什么是VPN
VPN是Virtual Private Network的缩写,中文译为虚拟专用网。Virtual Network的含义有两个,一是VPN是建立在现有物理网络之上,与物理网络具体的网络结构无关,用户一般无需关心物理网络和设备;二是VPN用户使用VPN时看到的是一个可预先设定义的动态的网络。Private Network的含义也有两个,一是表明VPN建立在所有用户能到达的公共网络上,特别是Internet,也包括PSTN、帧中继、ATM等,当在一个由专线组成的专网内构建VPN时,相对VPN这也是一个“公网”;二是VPN将建立专用网络或者称为私有网络,确保提供安全的网络连接,它必须具备几个关键功能:认证、访问控制、加密和数据完整。
一个网络连接一般由三个部分组成:客户机、传输介质和服务器。VPN也一样,不同的是VPN连接使用隧道作为传输通道,靠的是对数据包的封装和加密。
VPN是一种快速建立广域联接的互联和访问工具,也是一种强化网络安全和管理的工具。
VPN建立在用户的物理网络之上、融入在用户的网络应用系统之中。VPN技术涵盖了多个技术专业,不同应用领域所适用的技术和产品有很大差异。
VPN技术仍在快速发展中。
VPN是什么,请看如下一些表述:
■ VPN是利用公网来构建专用网络,它是通过特殊设计的硬件和软件直接通过共享的 IP网所建立的隧道来完成的。我们通常将VPN当作WAN解决方案,但它也可以简单地用于LAN。VPN类似于点到点直接拨号连接或租用线路连接,尽管它是以交换和路由的方式工作。
■ 可以说,VPN是Intranet(内部网)在公众网络上的延伸,它可以提供与专用网一样的安全性、可管理性和传输性能,而建设、运转和维护网络的工作也从企业内部的IT部门剥离出来,交由运营商来负责。
■ VPN是建立在实际网络(或物理网络)基础上的一种功能性网络。它利用公共网络做为企业骨干网的低成本优势,同时克服公共网络缺乏保密性的弱点,在VPN网络中,位于公共网络两端的网络在公共网络上传输信息时,其信息都是经过安全处理的,可以保证数据的完整性、真实性和私有性。
■ VPN是指在共用网络上建立专用网络的技术。之所以称为虚拟网主要是因为整个 VPN网络的任意两个结点之间的连接并没有传统专网建设所需的点到点的物理链路,而是架构在公用网络服务商ISP所提供的网络平台之上的逻辑网络。用户的数据是通过ISP在公共网络(Internet)中建立的逻辑隧道(Tunnel),即点到点的虚拟专线进行传输的。通过相应的加密和认证技术来保证用户内部网络数据在公网上安全传输,从而真正实现网络数据的专有性。
■ VPN是企业网在因特网等公共网络上的延伸,它能在公共网络上创建一个安全的私有连接,因此让公司的远程用户、分支机构、业务伙伴等与公司的企业网连接起来,构成一个扩展的企业网。
 TOP
|
| VPN的优势
■ 节约支出:VPN能够充分利用现有网路资源,提供经济、灵活的连网方式,为客户节省设备、人员和管理所需的费用,大大降低用户的网络投资。一般认为内联网VPN可节约成本20%以上,远程接入VPN更可达60%以上:
1.网络设备成本。替代专线的VPN可以通过普通联网设备实现接入,同时由于VPN独立公共网络,这就使得接入用户可以继续使用传统设备,保护了用户在现有硬件和软件系统上的投资。彻底取代远程接入常用的Modem Pool,大大减少成本
2.租用专线的成本可降为互联网接入成本,移动用户长途拨号成本可降低为本地互联网接入成本
3.节约了设备管理维护费用
■ 高度安全和方便地实现远程互联
■ 用户可控的广域网建网方式,可根据地点环境、业务需要灵活配置,将网络配置和管理集中化,大大减少网络设计、部署和管理复杂度以及成本。极大简化了网络的调整和扩充
■ 为用户建立一个协同工作平台:为用户的OA、CRM、ERP等企业核心应用提供网络基础和用户认证
■ 提高用户信息利用率:通过安全接入系统,员工可以随时随地访问企业内部网上的信息资源,收取和添加信息和资料,不仅便捷,而且提高了用户信息资源的实时化
■ 实现与合作伙伴的互通互连:VPN系统提供一种简单易行的可扩展途径将合作伙伴与具体的企业应用连接,而不必构建静态路由设备
■ 保护用户信息资产:强化内部员工管理,有效保护网络资源的使用,防止信息丢失和窃取。
TOP
|
VPN的特性
■ 商业角度
安全性 :安全是VPN技术的基础。VPN提供给用户的是专用网络,因此建立在不安全、不可信任的公共网络的首要任务是解决安全性问题。VPN的安全机制可通过隧道技术、加密算法、密钥长度、密钥交换管理、数据认证技术、用户认证和访问控制等得到实。
可管理性 :由于VPN的安全特征,它必须是可管理的,这不仅出于成本,更为重要的是保证安全性得到实现。应包括对网络的可知,如对现行运行状态的监控,日志记录丰富程度,审计手段,预警方式;应包括对网络使用的可控,如安全策略的部署,用户的控制,非法入侵的锁定。应具备一个统一管理平台来实现,而不是将管理信息分散在不同节点。管理平台的操作便捷性和安全保证是关键。
可用性/性能 :实现安全的代价往往是性能,所以一个优良VPN要满足性能要求。这样需要在硬件平台和软件效率上加以考察,如主机的加解密速度,系统使用的主要算法强度,需要同时支持的连接数量,对带宽变化的适应性等。
可用性/用户操作便捷和可控性 :VPN应用的一个常见场景是个体用户的远程访问,这时系统对他的支持能力和需要他作出的联网动作关系到整个VPN系统被接受的程度,动作要少而简单,支持要彻底。
部署和实施 :VPN要在现有网络上建立,必须与现有网络环境相融合;网络的实现,需要在不同地点实现各个网络节点,这些各异的环境造成网络的复杂性,VPN也不例外。所以要从VPN产品的部署和应用模式上,调试和管理方式上结合现有网络设备和架构一并加以考察,衡量不同VPN方案部署和实施的成本。
可伸缩性 :用户的网络环境、规模和网络应用均是变化的,VPN应能适合用户规模的增长,网络的变动,应用系统软件的变动和添加。应考察VPN系统对用户支持的限制因素。
可靠性和服务质量 :VPN的顺利运行依靠数个方面,硬件平台的稳定,软件模块的设计质量,网络部署的合理和优化,基础网络的质量,这些均可影响VPN的可靠性,这时VPN选择和部署的经验很重要,而保证的措施是全面和严格的测试。VPN可以通过实现HA来提高可靠性,部分网络层的VPN产品还具备QoS的管理能力。
兼容性 :VPN不仅要在现有网络上建立,常常还要面对用户已装备的一些网络应用系统,如可能用户现有网络由互联网和一段非TCP/IP协议的网段组成,网络应用中已经使用了MS Windows AD域认证,这时用户要实施一个VPN就必须面对与现有系统兼容的问题
互操作/标准 :应当尽量使用采用国际或行业标准的VPN产品,为网络扩展和对接提供依据,减少互连障碍。特别在Extranet VPN中,企业要与不同的客户及供应商建立联系,无法保证它们的VPN解决方案与自己的一致。因此为实现企业的VPN产品应该能够同其他厂家的产品进行互操作,就要求双方所选择的VPN方案均应是基于工业标准和协议的。
■ 技术角度
VPN与承载它的公共网络相互独立。
VPN的构建在Internet、用户专网之上,公共网络内不知道VPN的存在,也不会保留任何VPN的状态信息。公共网络的组网设备,VPN设备接入公共网络的方式均与实现VPN功能无关,用户利用互联网组成VPN时可以选择ADSL、DDN,拨号等多种上网形式,既可选择网通的接入线路也可选择广电的接入线路。不需要对公共网络作任何改动,VPN只是利用公共网络的数据传输能力。
VPN使用的协议与公共网络使用的协议无关,两个运行在同一公共网络上的VPN可以使用不同协议。
每个VPN都有一个属于自己的独立私有地址空间,与公共网络地址和其他VPN地址无关。
公共网络所能到达的地点VPN均可覆盖到,所以VPN是全球化的。
一台主机可以根据要求处于不同的VPN网络,如一个销售人员通过VPN1接入公司内网查询销售信息,也可通过VPN2到公司签约的旅行社订购机票。
可以选择算法和密钥长度来支持不同等级的安全特性。
TOP
|
VPN的用途
■ 远程访问VPN
(Remote Access VPN)
最适用于用户从离散的地点访问固定的网络 资源,如从住所访问办公室内的资源;出差员工从外地旅店存取企业网数据;技术支持人员从客户网络内访问公司的数据库查询调试参数;纳税企业从本企业内接入互联网并通过VPN进入当地税务管理部门进行网上税金缴纳。远程访问VPN可以完全替代以往昂贵的远程拨号接入,并加强了数据安全。
■ 内联网(分支机构联网)VPN
(Intranet VPN/LAN to LAN/Site to Site/ router-to-router )
最适用将异地的两个或多个局域网或主机相连形成一个内网,主要用于将用户的异地LAN通过互联网上的VPN作为一条虚拟专线连接起来,或是将分支机构与总部连接起来。内联网VPN可以替代目前市场上使用帧中继和ATM等专线构成的专网,显著降低网络建设和运行成本,极大提高了部署和扩展灵活性。
■ 安全平台
将相同工作性质的,离散地理位置的终端设备、局域网内的主机或局域网连接形成一个专网,满足协同工作的要求,如总公司销售部门的LAN与下属单位的销售部门的PC,以及外出销售人员的笔记本之间构成一个安全销售网,共享CRM、文档和IP电话,满足用户动态、业务导向化的组网要求,这是其他方案难以实现的。
■ 替代专线
内联网VPN的简化版,简单地将两个主机相连实现联机、遥控,或一个主机与一个LAN相连,或替代现有专网的某一条专线成为专网的一部分。
■ 用户认证
利用VPN用户认证机制和VPN的安全性,强化用户认证的安全,如上网计费系统,认证后的数据传输安全不是重点。
■ 网络资源访问控制
将VPN用户认证机制和VPN网关对网络访问的调度能力结合起来,根据预定的安全策略给与不同用户不同的资源访问权限,强化网络资源的合理配置和安全性。
TOP
|
VPN组成
无论从VPN技术发展历程和应用模式看VPN技术包含了多种当前新兴的网络技术,涉及到通信技术、密码技术、硬件集成加速技术和认证技术,是多种技术的复杂结合体。这决定了用户在选择VPN时必须以应用为导向,以解决方案为实施依据,方可事倍功半地部署恰当的VPN产品。
VPN是一个建立在现有共用网络基础上的专网,它由各种网络节点、统一的运行机制和与物理网络的接口构成,一般至少包括以下几个关键组成部分:
■ VPN服务器:作为端点的计算机系统,可能是防火墙、路由器、专用网关,也可能是一台运行VPN软件的联网计算机,或是一台联网手持设备
■ 算法体系:VPN的专用网络的形成的关键,常见的有:摘要算法MD5或SHA1,对称加密RC4、RC5、DES、3DES、AES、IDEA、BLOWFISH,公用密钥加密RSA、DSA。不同类型的VPN根据应用特点在实现上使用对应的算法,有的还可以由用户根据使用现场临时更换
■ 认证系统:VPN是一个网络,要为网络节点提供可靠的连接。如同现实社会交往中强调的“诚信”原则,当你通过一个网络去访问一个网络资源时,你自然希望对方是像你要求的那样是真实的,可以想象,对方也是这样要求你的,如何认证对方和认证自己,同时还要防止认证信息泄露,这就是认证系统所要解决的问题,是开始VPN连接的基础。一般使用的有口令、一次性密码、RSA SecurID、双因素令牌、LDAP、Windows AD、Radius、证书,一个系统中往往包括一种以上的方式以增加灵活性
■ VPN协议:它规定了VPN产品的特征,主要包括安全程度和与上下层网络系统的接口形式。安全不仅要靠算法,由于VPN强调的是网络连接和传输,配套的密钥交换和密钥保护方法甚至比算法更重要,而接口决定了一个VPN产品的适用度。常见的有PPTP 、L2TP 、MPLS VPN、IPsec 、SOCKS、SSL
TOP
|
VPN实例
实例一:远程移动办公安全方案
某单位全国各地分设分公司和办事处,还有部分出差人员。为了分公司、办事处和出差人员及时获取和更新设置在总部的数据库,它们与总部之间总部设置了拨号服务器,分布在外地的单位和人员通过拨号接入公司总部内网并通过网络沟通和交换信息。网络示意图如下:
一. 原方案网络系统的问题和需求
■ 并发接入用户数限制问题:受到总部拨号server的拨入Modem数量限制,同时连入拨号server的用户数量有限,业务忙时就会经常占线,造成无法联机现象。而扩展Modem Pool开销较大
■ 一般的PSTN拨号网络带宽小于64K,对分支部门带宽过窄,满足不了需要
■ 费用高:PSTN拨号要支付较高的长途电话费用
■ 线路浪费:绝大多数分支均具备上网条件,但无法有效和安全利用带宽
■ 安全问题:希望将OA应用、数据库应用和财务应用的用户给与不同权限,增加安全性
二.解决方案是采用VPN实现远程移动接入和管理
该方案对原有网络进行改造,充分利用现有宽带接入的优势,充分利用互联网,全面解决原有方案中提到问题,满足需求。
■ 放弃原有拨号系统,将其作为备用系统使用,避免原有投入浪费
■ 充分利用现有互联网接入能力,可以使用ADSL的地点配置ADSL接入,没有ADSL的地 点可以将原电话转为拨号上网接入互联网
■ 公司总部选择企业ADSL接入,得到较稳定的带宽
■ 公司总部和分公司安装VPN网关,办事处和出差人员下载安装客户端软件
■ 总部VPN网关与现有防火墙配合,并设置访问策略将不同访问引导到不同服务器上:OA服务器、财务服务器和业务服务器
■ 在总部VPN网关内设置人员权限和审计原则
■ 示意图如下
图中,各地公司分别在当地通过本地ISP接入Internet,每个用户通过VPN联接到总部,并根据授权来访问不同数据:财务人员可以访问OA和财务系统,销售人员可以访问OA和销售数据库,经理则这3个系统均可进入
三. 方案主要优点
■ 提高效率:由于ADSL是宽带接入,以往拨号传输的缓慢和断线得到彻底改善,访问 速度大大提高,极大提高了工作效率
■ 操作简单:安装完成后用户使用很简便,只要上了互联网,就可登陆到VPN网关进行 身份验证,访问数据,如同上网浏览
■ 出差人员接入公司网络获取数据成为可能:可以从住所、客户内部网等任意可上网的地点访问总部数据
■ 节约费用:变长途拨号费为本地上网费,通讯费用大大降低
■ 提高网络应用水平:使得OA、数据库等应用的使用率大大提高,使用安全性得到保障
■ 可扩展:准备安装VoIP应用,实现长途通话“0”话费
TOP |
