地载阵:地阵十二,其形正方,云主四角,冲敌难当,其体莫测,动用无穷,独立不可,配之於阳。
地载阵是一种防护阵型,此阵不可独立部署,必须配合其他阵法防护,善于防守和加速,将可抵御外部的一切干扰,百毒不侵。
VPN是一种防护型加密传输设备,也是必须成对部署(即网关-网关、网关-客户端、客户端-客户端),无论是IPSEC VPN还是SSL VPN都需要用户两端协商建立加密通道来完成,如果全网部署定会使整个网络安全传输,形成一道网络安全的加密屏障,迫使外部入侵无从下手。
点亮智慧的隧道
一、VPN所面临的处境
随着云计算时代的到来,全球型集团、大型企业以及中小型公司的统一信息平台建立和资源共享的需求越来越普遍,甚至波及到个人电脑和互联网应用技术的普及,例如“在家办公”、“异地办公”、“移动办公”等多种远程办公模式逐渐流行。而需要实现全省、全国乃至跨国的所有分支机构互联所带来的高昂专线费用则大大增加了企业的运营成本,作为集团局域网的延伸,在保持数据的私密性、完整性的情况下,依托互联网建立一个安全虚拟专网,为各种应用提供方便的远程访问服务,是目前很多单位都面临的巨大挑战;分公司、经销商、合作伙伴、客户和外地出差人员要求随时经过公用网访问公司的资源,这些资源包括:公司的内部资料、办公OA、ERP系统、CRM系统、项目管理系统等。因此,VPN既是实现低成本的安全稳定互通的解决方案。但是单一协议的VPN已不能满足现有云时代的用户需求,安全厂商也越来越感到VPN技术发展的紧迫性,那么针对VPN有哪些基本要求呢?
1.1、保证数据的真实性
通信主机必须是经过授权的,隧道技术在两个站点间建立一条虚拟的专用线路,使用端到端的认证和加密保证数据的安全性;同时,设备要有抵抗地址假冒(IP Spoofing)的能力。
1.2、保证数据的完整性
接收方对发送方发来的包进行认证,以确保数据的完整性,接收到的数据必须与发送时的一致,要有抵抗不法分子篡改数据的能力。
1.3、保证通道的机密性
提供强有力的加密手段,必须使偷听者不能破解拦截到的通道数据。数据包封装发生在VPN的发送节点,此时需将原数据包打包,添加合法的外层IP包头,这个包可通过公网被传送到接收端的VPN节点,该节点接收后进行拆包处理,还原出原报文后传述给目标主机。
1.4、提供动态密钥交换功能和集中安全管理服务
无论从安全性还是灵活性上考虑, 动态交换都要优于手工配置;集中的安全管理服务能大幅简化配置流程,提供快速直观的管理服务。
1.5、提供安全防护措施和访问控制
VPN设备自身是否具有抵抗黑客通过VPN通道攻击企业网络的能力,并且可以对VPN通道进行访问控制。具备动态包过滤功能、双向NAT功能、MAC地址绑定功能、ARP代理功能、透明应用代理功能,并可防止半连接、拒绝服务、IP碎片等常见攻击功能;
1.6、多种应用环境下的混合访问
IPSec VPN和SSL VPN是两种不同的VPN架构,IPSec VPN是工作在网络层的,提供所有在网络层上的数据保护和透明的安全通信,而SSL VPN是工作在应用层(基于HTTP协议)和TCP层之间的,从整体的安全等级来看,两者都能够提供安全的远程接入。但是,IPSec VPN技术是被设计用于连接和保护在信任网络中的数据流,因此更适合为不同的网络提供通信安全保障,而SSL VPN因为以下的技术特点则更适合应用于远程分散移动用户的安全接入。保障这两种协议的混合应用是现有的一种强烈需求。
二、两种常用的VPN技术
VPN在经历了大规模商用后,其技术和应用方式也发生了很大发展。其中,有两种主流的VPN技术的应用最为广泛。第一种是基于IP 网络层的IPSec VPN,另一种是基于应用层的SSL VPN技术。
2.1、IPSec VPN技术
IPSec的英文全名为“ Internet Protocol Security”,中文名为“因特网安全协议”,这个安全协议是VPN的基本加密协议,它为数据在通过公用网络(如因特网)在网络层进行传输时提供安全保障。通信双方在建立IPSec通道前,首先要协商具体的方式来建立通信连接。因为IPSec协议支持多种操作模式,所以通信双方要确定所要采用的安全策略和使用模式,这包括加密运算法则和身份验证方法类型等。在IPSec协议中,一旦IPSec通道建立,所有在网络层之上的协议在通信双方都经过加密,如TCP、 UDP 、SNMP、HTTP、 POP3 等,而不管这些通道构建时所采用的安全和加密方法如何。
IPSec VPN在应用方面具有以下特点:
适用于网对网连接方案;
需要安装客户端软件,安装和维护成本相对高;
存在系统兼容性的问题。
在IPSec VPN之后,又一种VPN技术逐渐成为了主流,即基于应用层的SSL VPN技术。
2.2、SSL VPN技术
近年来,移动办公已成为趋势,移动用户接入公司内部专网的需求不断增加,使得IPSec VPN的使用也逐渐增加。但由于IPSec VPN的维护困难,造成企业IT成本过高;另一方面,企业对于内网资源的保护的要求也不断提高,IPSec VPN由于开放了整网的资源给接入用户,企业内网安全方面的问题逐渐暴露。
鉴于IPSec VPN应用中存在的不足,基于应用层的SSL VPN开始迅速兴起。SSL的英文全称是“Secure Sockets Layer ”,中文名为“安全套接层协议层”,它是网景(Netscape)公司提出的基于WEB应用的安全协议。是一种基于应用层的虚拟专网技术,它利用SSL技术和代理技术,向终端用户提供安全访问HTTP资源、C/S资源,以及文件共享资源等的功能,同时可以实现不同方式的用户认证,以及细粒度的访问控制。通过该技术的应用,我们可真正实现 “在任何时候、任何地点、通过任何设备安全地接入公司内部网”的目标。
SSL VPN技术应用具有以下优势和特点:
通过点到应用的保护,对每一个应用都可以设定安全策略;
无需手动安装任何VPN客户端软件 ;
兼容性好,支持各种操作系统和移动终端(如PDA、SmartPhone等)
在远程访问领域,SSL VPN正逐步取代IPSec VPN。但是,作为传统的站点到站点安全联接的主流技术,IPSec VPN仍然是不可取代的。当前,VPN领域的共识是:IPSec VPN更适合于站点到站点安全联接,SSL VPN是实现安全远程访问的最佳技术。
就目前的技术而言,VPN的发展到现在没有所谓最佳选择,到底选择那种VPN必须根据远程访问的需求与目标而定。当企业需要安全的点对点连接时,IPSec可能是最适合的解决方案,即IPSec更加适合用来解决网到网的互联问题。
SSL VPN则更适合下述情况:移动用户通过互联网来访问企业内部获取广泛而全面性的信息,管理员希望精确的了解接入用户的访问情况,SSL VPN在这方面更胜一筹。
如果一个企业会同时存在网间互联和点到网的互联需求,所以我们需要的是一台设备同时支持这两种VPN技术,在需要网到网互联的时候使用IPSec、在需要点到网互联的时候使用SSL,用最合适的技术来满足用户的需求。#p#
三、VPN技术发展趋势
从目前的市场情况看,IPSec仍占据最大的市场份额,但是它的种种弊端已经暴露出来。一些用户已经开始同时部署两种解决方案,比如远程访问办公通过SSL VPN,而站点之间的连接通过IPSec。在未来几年内,两种解决方案还将共存,但是SSL VPN凭借其简单易用、部署及维护成本低,会受到企业用户的青睐,将会有更大的发展空间。SSL VPN、多功能合一的VPN产品,会逐渐成为市场热点。用户的需求正在从简单的通过VPN实现“连接”这一基本要求,逐渐在向VPN网络的效率、可管理性、扩展性等方面发展。另外移动办公的VPN应用也在迅速发展。SSL VPN以其不需安装客户端的最明显特点,在移动办公领域具有易用、易于管理的显著优势。
VPN的发展代表了互联网络今后的发展趋势,它综合了传统数据网络的安全和服务质量,以及共享数据网络结构的简单和低成本,建立安全的数据通道。VPN在降低成本的同时满足了用户对网络带宽、接入和服务不断增加的需求,因此,VPN必将成为未来网络发展的主要方向。
VPN技术的发展将促进业务市场的繁荣。VPN上传输的数据流是经过加密处理的,这条安全通道的协议必须保证数据的真实性、数据的完整性、通道的机密性,提供动态密匙交换功能,提供安全防护措施和访问控制,抵抗黑客通过VPN通道攻击企业网络的能力,并且可以对VPN通道进行访问控制。
随着市场的扩大,用户需求将成为VPN技术发展的动力,多形式、多用途、灵活易用、功能强大、服务优异的VPN产品将适用于不同的用户群,部署在宽带、窄带、拨号或者移动通信网络上。
四、怎样选择好的VPN产品
VPN发展到现在,出现了很多的产品。用户在选择一款VPN的时候应该注重那些技术呢?什么样的产品才算的上是一款理想的VPN呢?
用户在选择IPSec VPN的时候应该注意以下几点 :
4.1、IPSec VPN速度
国内的用户往往需要面临“南北电信”互访的速度问题。由于时延大、丢包率高,南北方的网络互通时速度很慢。针对这种现象,主要有2种解决方法。第一种是通过申请多条线路,设置策略路由或通过负载均衡类的技术来实现;第二种是采用Flash- Link 技术,优化高丢包环境下的数据传输。两者相比,后者由于不需要申请额外的线路,更符合企业的实际情况。
4.2、IPSec VPN稳定性
VPN上传输的应用往往是企业的业务数据,其稳定性相当重要。VPN的稳定性分为设备的稳定性和线路的稳定性两个方面。设备稳定性包括:支持硬件设备冗余技术,支持设备的关键部件(硬盘、电源、风扇)热插拔功能,避免主机宕机带来的业务中断;线路稳定性主要包括线路的冗余和自愈功能,即可通过多条线路进行备份,主线路故障后,可以自动启用备份线路。当线路故障修复后,可以在几秒内迅速恢复连接。
4.3、IPSec VPN安全性
IPSec VPN的安全性集中在接入、传输和访问控制。接入安全包括可提供多种认证手段,包括硬件身份认证、SecureID等;传输安全主要是采用高强度的加密算法,目前通用算法的类型较多,我们需要选择可提供多种算法的产品;另外,访问控制也是IPSec VPN安全性种比较重要的方面,由于IPSec VPN是双向访问的,而且初始化时,对端的网络资源完全透明。优秀的IPSec VPN可以对双向的互访进行访问控制,对不同的用户开放不同的内网资源。
而在选择SSL VPN应注意以下几点:
4.4、SSL VPN速度
由于SSL VPN是为移动办公而生的,而移动用户“行踪不定”的性质,导致各种有线、无线、跨运营商的接入方式存在。所以,SSL VPN的速度快慢也直接决定了用户的访问感受。 和IPSec VPN一样,用户也可以考虑支持线路负载均衡以及Flash-Link技术的SSL VPN,而支持对HTTP数据进行压缩、对无线通讯协议进行优化的SSL VPN,自然是更进一步的选择。
4.5、SSL VPN易用性
易用性的考察主要依赖于用户体验。除了考察管理员是否易于操作和掌握SSL VPN网关的使用,很重要的需要考察SSL VPN的终端是否易于使用和维护。在登录SSL VPN之前,终端不应该安装独立的客户端。SSL VPN的插件应该做到自动安装自动修复。用户登录SSL VPN不需要培训和指导就能进入应用。对于大规模的SSL VPN用户部署,应该要支持对统一用户认证数据的无缝支持,如域认证,Radius认证,目录服务认证等,这样可以避免在SSL VPN上维护大量用户。
4.6、SSL VPN安全性
我们拿常见的网上银行举例,其安全性的隐患往往出现在认证手段的疏漏,导致账户被盗用。SSL VPN的安全性也主要体现在对多种认证的支持,除了通用的X509、 PKI 、Radius等认证外,最好能够提供更安全的 USB KEY,动态令牌,一次性短信口令、硬件特征码等较难复制盗用的认证方法。
另外,如果用户既有网对网的需求又有移动访问的需求,那么单一的SSL VPN无法解决所有互联需求和安全需求,比如SSL VPN就不能解决网对网的互联问题。因此需要多种安全和互联需求的用户,如果能在同等价格下,购买集成SSL ,IPSec VPN的一体化设备将更加划算。一台设备结合IPSec和SSL 两套主流的VPN技术,利用两者的优势进行互补,避免了单一VPN设备存在的不足。最大限度地发挥了IPSec /SSL VPN给企业带来的效益,真正做到一台设备的投资,两种设备的功能。
五、网御超级VPN网关
网御星云公司推出市场领先的安全接入VPN 产品,既支持对所有IP级的通信进行加密和认证,实现了数据安全加密的传输,具备了传统IPSec VPN的数据加密功能,也支持无需安装客户端、无需改变用户网络既有设置、无需考虑NAT穿透问题、无需考虑私有地址冲突问题的SSL VPN功能,无论用户在何时、无论用户在何地、无论用户用何种接入设备、无论用户用何种接入方式,均可通过网御VPN安全、快捷的访问加密的内网业务系统,实现业务的无限延伸。
网御VPN网关系列产品由网御VPN安全网关、网御VPN客户端以及集中管理平台三部分组成。VPN网关产品(以下简称为“VPN”)可为各种规模的企业和政府机构提供相应的网络数据加解密服务。VPN系列产品是集IPSec、SSL VPN、L2TP、PPTP协议的传输数据加密功能,防火墙、防蠕虫病毒及流量整形等众多功能于一身的多功能安全保密网关。
网御VPN系列产品特点:
5.1、智能的双动态隧道
网御VPN网关产品通过集中的VPN策略管理方式成功解决了双动态IP之间自动建立VPN隧道的问题。网关接入因特网之后首先向企业总部部署的“安全策略服务器(SPS)”进行注册和身份认证,然后从SPS下载自己的VPN策略;同时SPS负责当策略参数发生改变时,实时通知在线的网关产品更新策略。从而确保所有的网关都能够获得最新的策略参数变化情况,使其变为智慧的隧道。
5.2、广泛的网络适用
网御VPN解决方案能够解决企业构建VPN网络所提出的各种应用需求,包括企业机构内部之间的数据通信、与合作伙伴之间的数据通信、企业分支机构与企业总部之间的数据通信、远程移动办公人员与企业内部安全通信以及移动人员之间的安全通信等等。同时,网御VPN解决方案能够应用于目前国内所有的因特网接入技术,包括高速专线接入、ADSL接入、城域网宽带接入、有线电视网宽带接入、小区宽带接入和普通电话拨号接入等等;而且在因特网接入IP地址方式上,也为用户提供了最大的选择空间,无论用户是否拥有静态的IP地址,都能够成功组建自己的VPN网络,真正实现了“只要能够接入因特网,就能够构建企业VPN”的服务承诺。
5.3、灵活的扩展伸缩
网御VPN产品拥有完善的产品系列和多种产品形态,这使得我们可以根据用户的企业规模、资金投入和应用系统需求,为用户量体裁衣,制定切实可行的VPN解决方案。无论是分支机构构遍布全国的大型企业集团,还是只有若干办事机构的小型企业,都能够获得满意的VPN解决方案。
5.4、可靠的安全接入
网御VPN产品是集VPN功能、防火墙功能、主动防御功能于一身的网络安全产品,通过公安部安全产品评测中心、国家信息安全产品测评中心等多家国内权威安全产品评测机构的评测,并取得VPN行标三级的销售资质,因此其安全性和成熟性都有很好的保障。
5.5、良好的集中管理
针对企业VPN网络实际应用需求,通过网御VPN“安全管理中心”、“安全策略服务器”、“证书托管中心”、“VPN远程控制台”等产品技术手段,实现了对整个VPN网络的“集中认证、统一监控、分级管理”的管理模式,既充分保障了整个网络的安全性,有效减轻了网络管理人员的负担,同时对技术力量比较薄弱的分支机构真正实现的设备的“零管理”。
【编辑推荐】