文稿信息安全全

1、10.2虚拟专用网（VPN） 10.2.1 VPN的简介 VPN-指将物理上分布在不同地点的网络通过公用骨干网（互联网等）联接而形成逻辑上的虚拟“私”网，依靠ISP（Internet Service Provider，互联网服务提供商）或NSP（Network Service Provider，网络服务提供商）在安全隧道、用户认证和访问控制等相关技术的控制下达到与专用网络相类同的安全性能，从而实现基于Internet安全传输重要信息的效应。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用Internet公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求

2、的网络。 10.2.2 VPN的分类1) 按照网络拓扑结构，VPN在部署上面总体上分为 :A)基于网络的VPN(NB-VPN):构成IP VPN的关键部件是隧道，它是连接VPN两个节点之间的特殊链路。当隧道的两端为服务提供商边缘设备（在Internet环境下，也称ISP边缘路由器）时，IP隧道采用节点之间以全连接或部分连接形式构成IP VPN的主干网。 B)基于用户边缘设备(CE)的VPN:若隧道的两端为CE设备(在Internet环境下，称为用户前端设备路由器) 2）按接入方式划分专线VPN：它是为已经通过专线接入ISP边缘路由器的用户提供的VPN解决方案。这是一种”永远在线”的VPN，可以

3、节省传统的长途专线费用。拨号VPN（又称VPDN）：它是向利用拨号ISDN（综合业务数字网，Integrated Service Digital NeTwork）或者xDSL（数字用户线路， Digital Subscriber Line）接入ISP的用户提供的VPN业务。这是一种”按需连接”的VPN .10.2.3 VPN的隧道技术隧道技术-数据包不是公开在网上传播，而是首先进行加密以确保安全，然后由VPN封装成IP包的形式，通过隧道在网上传播。 基本过程-在源局域网与公网的接口处将数据（可以是ISO 七层模型中的数据链路层或网络层数据）作为负载封装在一种可以在公网上传输的数据格式中，在目的

4、局域网与公网的接口处将数据解封装，取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为”隧道”。隧道技术是指包括数据封装，传输和解包在内的全过程。 隧道可以划分为两种类型：1）自愿隧道（Voluntary Tunnel）用户或客户端计算机可以通过发送VPN请求配置和创建一条自愿隧道。此时，用户端计算机作为隧道客户方成为隧道的一个端点。2）强制隧道（Compulsory Tunnel）由支持VPN的拨号接入服务器配置和创建一条强制隧道。此时，用户端的计算机不作为隧道端点，而是由位于客户计算机和隧道服务器之间的远程接入服务器作为隧道客户端，成为隧道的一个端点。10.2.5 VPN的特点1）信息的安全性-VPN采用安全隧道（Secure Tunnel）技术向用户提供无缝的和安全的端到端连接服务，确保信息资源的安全。（2）可扩充性-网络路由设备配置简单，无需增加太多的设备，省时省钱。只需连接到公用网上，对新加入网络终端在逻辑上进行设置，也不需要考虑公用网的容量。（3）可管理性- VPN将大量的网络管理工作放到互联网络提供者（ISP）一端来统一实施，从而减轻了企业内部网络管理的负担。（4）成本优势-企业不必租用长途专线建设专网，不必大量的网络维护人员和设备投资,而是利用现有的公用网组建的内部网。（5）服务质量保证（QoS） - VPN网为用户数据提供不同等级