VPN技術比較

2019-11-03 09:11:49

字體：大中小

來源：轉載

供稿：網友

　　VPN技術非常復雜，它涉及到通信技術、密碼技術和現代認證技術，是一項交叉科學。目前，CPE-based VPN主要包含兩種技術：隧道技術與安全技術。

一、隧道技術

　　隧道技術的基本過程是在源局域網與公網的接口處將數據(可以是ISO 七層模型中的數據鏈路層或網絡層數據)作為負載封裝在一種可以在公網上傳輸的數據格式中，在目的局域網與公網的接口處將數據解封裝，取出負載。被封裝的數據包在互聯網上傳遞時所經過的邏輯路徑被稱為“隧道”。

　　要使數據順利地被封裝、傳送及解封裝，通信協議是保證的核心。目前VPN隧道協議有4種：點到點隧道協議PPTP、第二層隧道協議L2TP、網絡層隧道協議ipSec以及SOCKS v5，它們在OSI 七層模型中的位置如表所示。各協議工作在不同層次，無所謂誰更有優勢。但我們應該注意，不同的網絡環境適合不同的協議，在選擇VPN產品時，應該注意選擇。

1．點到點隧道協議—PPTP

　　PPTP協議將控制包與數據包分開，控制包采用TCP控制，用于嚴格的狀態查詢及信令信息；數據包部分先封裝在PPP協議中，然后封裝到GRE V2協議中。目前，PPTP協議基本已被淘汰，不再使用在VPN產品中。

2．第二層隧道協議—L2TP

　　L2TP是國際標準隧道協議，它結合了PPTP協議以及第二層轉發L2F協議的優點，能以隧道方式使PPP包通過各種網絡協議，包括ATM、SONET和幀中繼。但是L2TP沒有任何加密措施，更多是和IPSec協議結合使用，提供隧道驗證。

3．IPSec協議

　　IPSec協議是一個范圍廣泛、開放的VPN安全協議，工作在OSI模型中的第三層——網絡層。它提供所有在網絡層上的數據保護和透明的安全通信。IPSec協議可以設置成在兩種模式下運行：一種是隧道模式，一種是傳輸模式。在隧道模式下，IPSec把IPv4數據包封裝在安全的IP幀中。傳輸模式是為了保護端到端的安全性，不會隱藏路由信息。1999年底，IETF安全工作組完成了IPSec的擴展，在IPSec協議中加上了ISAKMP協議，其中還包括密鑰分配協議IKE和Oakley。

　　一種趨勢是將L2TP和IPSec結合起來: 用L2TP作為隧道協議，用IPSec協議保護數據。目前，市場上大部分VPN采用這類技術。

表 4種隧道協議在OSI七層模型中的位置

優點：它定義了一套用于保護私有性和完整性的標準協議，可確保運行在TCP/IP協議上的VPN之間的互操作性。

缺點：除了包過濾外，它沒有指定其他訪問控制方法，對于采用NAT方式訪問公共網絡的情況難以處理。

適用場合：最適合可信LAN到LAN之間的VPN。

4．SOCKS v5協議

　　SOCKS v5工作在OSI模型中的第五層——會話層，可作為建立高度安全的VPN的基礎。SOCKS v5協議的優勢在訪問控制，因此適用于安全性較高的VPN。 SOCKS v5現在被IETF建議作為建立VPN的標準。

　　優點：非常詳細的訪問控制。在網絡層只能根據源目的的IP地址允許或拒絕被通過，在會話層控制手段更多一些；由于工作在會話層，能同低層協議如IPV4、IPSec、PPTP、L2TP一起使用；用SOCKS v5的代理服務器可隱藏網絡地址結構；能為認證、加密和密鑰管理提供“插件”模塊，讓用戶自由地采用所需要的技術。SOCKS v5可根據規則過濾數據流，包括java Applet和Actives控制。

　　缺點：其性能比低層次協議差，必須制定更復雜的安全管理策略。

　　適用場合：最適合用于客戶機到服務器的連接模式，適用于外部網VPN和遠程訪問VPN。

二、安全技術

　　VPN 是在不安全的Internet 中通信，通信的內容可能涉及企業的機密數據，因此其安全性非常重要。VPN中的安全技術通常由加密、認證及密鑰交換與管理組成。

1．認證技術

　　認證技術防止數據的偽造和被篡改，它采用一種稱為“摘要”的技術?！罢奔夹g主要采用HASH 函數將一段長的報文通過函數變換，映射為一段短的報文即摘要。由于HASH 函數的特性，兩個不同的報文具有相同的摘要幾乎不可能。該特性使得摘要技術在VPN 中有兩個用途：驗證數據的完整性、用戶認證。

2．加密技術

　　IPSec通過ISAKMP/IKE/Oakley 協商確定幾種可選的數據加密算法，如DES 、3DES等。DES密鑰長度為56位，容易被破譯，3DES使用三重加密增加了安全性。當然國外還有更好的加密算法，但國外禁止出口高位加密算法?；谕瑯永碛?，國內也禁止重要部門使用國外算法。國內算法不對外公開，被破解的可能性極小。 3．密鑰交換和管理

　　VPN 中密鑰的分發與管理非常重要。密鑰的分發有兩種方法：一種是通過手工配置的方式，另一種采用密鑰交換協議動態分發。手工配置的方法由于密鑰更新困難，只適合于簡單網絡的情況。密鑰交換協議采用軟件方式動態生成密鑰，適合于復雜網絡的情況且密鑰可快速更新，可以顯著提高VPN 的安全性。目前主要的密鑰交換與管理標準有IKE （互聯網密鑰交換）、SKIP （互聯網簡單密鑰管理）和Oakley。

VPN組網方式

　　VPN在企業中的組網方式分以下3種。在各種組網方式下采用的隧道協議有所不同，要仔細選擇。

1． access VPN （遠程訪問VPN）：客戶端到網關

　　遠程用戶撥號接入到本地的ISP，它適用于流動人員遠程辦公，可大大降低電話費。SOCKS v5協議適合這類連接。

2． Intranet VPN （企業內部VPN）：網關到網關

　　它適用于公司兩個異地機構的局域網互連，在Internet 上組建世界范圍內的企業網。利用Internet 的線路保證網絡的互聯性，而利用隧道、加密等VPN 特性可以保證信息在整個Intranet VPN 上安全傳輸。IPSec隧道協議可滿足所有網關到網關的VPN連接，因此，在這類組網方式中用得最多。

3．Extranet VPN （擴展的企業內部VPN）：與合作伙伴企業網構成Extranet

　　由于不同公司的網絡相互通信，所以要更多考慮設備的互連、地址的協調、安全策略的協商等問題。它也屬于網關到網關的連接，選擇IPSec協議是明智之舉。

摘自《計算機世界報》

上一篇：組播技術大盤點

下一篇：從IPv4報頭結構分析延長使用壽命策略