本文从具体概念,不同用户的解决方案,以及它的接口和实现功能,全面细致的讲解了VPN技术。
VPN 英文全称Virtual Private Network,中文译为:虚拟私人网络,又称为虚拟专用网络。
顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或WINDOWS2000等软件里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。
针对不同的用户要求,VPN有三种解决方案:远程访问虚拟网(Access VPN)、企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(Extranet VPN),这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet(外部扩展)相对应。
VPN网关是实现局域网(LAN)到局域网连接的设备。从字面上我们就能够知道它可以实现两大功能:VPN和网关。广义上讲,支持VPN(虚拟专用网)的路由器和防火墙等设备都可以算作VPN网关。目前常见的VPN网关产品可以包括单纯的VPN网关、VPN路由器、VPN防火墙、VPN服务器等产品。
典型的VPN网关产品应该具有以下性能:
它应集成包过滤防火墙和应用代理防火墙的功能。
企业级VPN产品是从防火墙产品发展而来,防火墙的功能特性己经成为它的基本功能集中的一部分。如果是一个独立的产品,VPN与防火墙的协同工作会遇到很多难以解决的问题,有可能不同厂家的防火墙和VPN不能协同工作,防火墙的安全策略无法制定(这是由于VPN把IP数据包加密封装的缘故)或者带来性能的损失,如防火墙无法使用NAT功能等等。而如果采用功能整合的产品,则上述问题不存在或很容易解决。
VPN应有一个开放的架构
VPN部署在企业接入因特网的路由器之后,或者它本身就具有路由器的功能,因此,它己经成为保护企业内部资产安全最重要的门户。阻止黑客入侵、检查病毒、身份认证与权限检查等很多安全功能需要VPN完成或在同VPN与相关产品协同完成。因此,VPN必须按照一个开放的标准,提供与第三方安全产品协同工作的能力。
有完善的认证管理
一个VPN系统应支持标准的认证方式,如RADIUS(Remote Authentication Dial In User Service,远程认证拨号用户服务)认证、基于PKI(Public Key Infrastructure,公钥基础设施)的证书认证以及逐渐兴起的生物识别技术等等。对于一个大规模的VPN系统,PKI/KMI的密钥管理中心,提供实体(人员、设备、应用)信息的LDAP目录服务及采用标准的强认证技术(令牌、IC卡)是一个VPN系统成功实施和正常运行必不可少的条件。
VPN应提供第三方产品的接口
当用户部署了客户到LAN的VPN方案时,VPN产品应提供标准的特性或公开的API(应用程序编程接口),可以从公司数据库中直接输入用户信息。否则,对于一个有数千甚至上万的SOHO人员和移动办公人员的企业来说,单独地创建和管理用户的权限是不可想像的。
VPN网关应拥有IP过滤语言,并可以根据数据包的性质进行包过滤。
数据包的性质有目标和源IP地址、协议类型、源和目的TCP/UDP端口、TCP包的ACK位、出栈和入栈网络接口等。
一个完整的VPN系统一般包括以下几个单元:
VPN服务器:一台计算机或设备用来接收和验证VPN连接的请求,处理数据打包和解包工作。
VPN客户端:一台计算机或设备用来发起VPN连接的请求,也处理数据的打包和解包工作。
VPN数据通道:一条建立在公用网络上的数据连接。
注意所谓的服务器和客户端在VPN连接建立之后在通信中的角色是相同的,它们的区别只在于连接是由谁发起的而已。
VPN可以实现哪些功能?
第一,DDN技术虽然可以实现企业间互连,但租金昂贵;ADSL宽带虽然价格低廉,但其只能应用于企业接入Internet ,不能实现企业之间的互联。VPN可以帮助实现既经济又安全的企业间互联,即企业可以通过无处不在的因特网来实现方便快捷的互访。
第二,虽然INTERNET为企业实现数据访问提供了方便,但其高度开放性和松散管理结构也使得企业面临严重的网络安全问题。用户可以利用加密技术对经过 VPN 隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证了数据的私有性和安全性。
VPN的使用限制
第一,如果是在公司内部局域网与外部网络之间搭建VPN,必须保证服务器和互联网连接的网卡获得的是一个公网地址,不是使用地址转换技术。
第二,在安装VPN服务器的一端必须要有固定IP地址,客户端要事先知道服务器端的IP地址才能发起连接。而大多数用户宽带上网的IP地址都是变化的,所以必须把动态IP地址转换成静态。
使用动态IP的用户,可以把动态域名解析服务和VPN方案相结合使用,把动态IP解析成静态。
常用的VPN三种部署方案
1.采用纯软件方式,总部安装VPN总部软件网关,分部安装VPN分部网关,移动用户(包括在外的笔记本和远程的单机)安装VPN客户端。这种方案有用微软的NT系统和桌面系统来做的,也有第三方开发的VPN服务与客户端软件。
2.总部采用带VPN功能防火墙,分部用带VPN功能的宽带路由器,移动用户(包括在外的笔记本和远程的单机)安装防火墙带的VPN客户端。VPN防火墙这类设备相对一般的带VPN功能的宽带路由器来说比较专业。较著名的产品比如有:NetScreen,Nokia, 安氏等。这些产品都能支持100条以上的VPN,数据吞吐率有较高表现,适用于企业机构的网络核心。
3.总部采用带VPN功能宽带路由器,分部能上宽带的用带VPN功能的宽带路由器,移动用户(包括在外的笔记本和远程的单机)安装WINDOWS带的VPN客户端。
对于较大的企业来说可以选择第二种方案,在网络性能方面有更高考虑。因为在使用VPN加解密技术后,数据的传送速度将相应下降。小企业一般采用第三种方案就足够了,市面上的产品丰常丰富。
【编辑推荐】