VPN技术基础知识

VPN技术基础目录基本概念PKI基础VPN技术介绍常见互连方案比较VPN的定义

VPN，VirtualPrivateNetwork（虚拟专用网络），被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展,它可以帮助异地用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。

VPN可以省去专线租用费用或者长距离电话费用，大大降低成本VPN可以充分利用internet公网资源，快速地建立起公司的广域连接VPN的用途

1、使用VPN连接远程局域网络。

2、连接企业内部网络计算机

3、

采用VPN方案，既能够实现与整个企业网络的连接，又可以保证保密数据的安全性。企业网络管理人员通过使用VPN服务器，指定只有符合特定身份要求的用户才能连接VPN服务器获得访问敏感信息的权利。此外，可以对所有VPN数据进行加密，从而确保数据的安全性。没有访问权利的用户无法看到部门的局域网络。VPN的基本要求

一般来说，企业在选用一种远程网络互联方案时都希望能够对访问企业资源和信息的要求加以控制，所选用的方案应当既能够实现授权用户与企业局域网资源的自由连接，不同分支机构之间的资源共享；又能够确保企业数据在公共互联网络或企业内部网络上传输时安全性不受破坏.因此，最低限度，一个成功的VPN方案应当能够满足以下所有方面的要求：

·加密数据，以保证通过公网传输的信息即使被他人截获也不会泄露。

·信息认证和身份认证，保证信息的完整性、合法性，并能鉴别用户的身份。

·提供访问控制，不同的用户有不同的访问权限。

PKI介绍PKI（Public

Key

Infrastructure）公钥基础设施是提供公钥加密和数字签名服务的系统或平台，目的是为了管理密钥和证书。PKI是一种新的安全技术，它由公开密钥密码技术、数字证书、证书发放机构（CA）和关于公开密钥的安全策略等基本成分共同组成的。PKI是利用公钥技术实现电子商务安全的一种体系，是一种基础设施，网络通讯、网上交易是利用它来保证安全的。从某种意义上讲，PKI包含了安全认证系统，即安全认证系统-CA/RA系统是PKI不可缺的组成部分。对称密码算法非对称密码算法非对称算法的应用—数字签名公钥密码体制在实际应用中包含数字签名和数字信封两种方式。

数字签名是指用户用自己的私钥对原始数据的哈希摘要进行加密所得的数据。信息接收者使用信息发送者的公钥对附在原始信息后的数字签名进行解密后获得哈希摘要，并通过与自己用收到的原始数据产生的哈希哈希摘要对照，便可确信原始信息是否被篡改。这样就保证了数据传输的不可否认性。哈希算法是一类符合特殊要求的散列函数(Hash)函数，这些特殊要求是:

接受的输入报文数据没有长度限制;

对任何输入报文数据生成固定长度的摘要(“数字指纹”)输出;

由报文能方便地算出摘要;

难以对指定的摘要生成一个报文,由该报文可以得出指定的摘要;

难以生成两个不同的报文具有相同的摘要。

非对称算法的应用—数字信封数字证书数字证书是各类实体(持卡人/个人、商户/企业、网关/银行等)在网上进行信息交流及商务活动的身份证明，在电子交易的各个环节，交易的各方都需验证对方证书的有效性，从而解决相互间的信任问题。证书是一个经证书认证中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。

从证书的用途来看，数字证书可分为签名证书和加密证书。签名证书主要用于对用户信息进行签名，以保证信息的不可否认性；加密证书主要用于对用户传送信息进行加密，以保证信息的真实性和完整性。

简单的说，数字证书是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据。身份验证机构的数字签名可以确保证书信息的真实性。证书格式及证书内容遵循X.509标准。

PKI的核心—认证中心CA为保证网上数字信息的传输安全，除了在通信传输中采用更强的加密算法等措施之外，必须建立一种信任及信任验证机制，即参加电子商务的各方必须有一个可以被验证的标识，这就是数字证书。数字证书是各实体(持卡人/个人、商户/企业、网关/银行等)在网上信息交流及商务交易活动中的身份证明。该数字证书具有唯一性。数字证书认证中心（Certficate

Authority,CA）是整个网上电子交易安全的关键环节。它主要负责产生、分配并管理所有参与网上交易的实体所需的身份认证数字证书。每一份数字证书都与上一级的数字签名证书相关联，最终通过安全链追溯到一个已知的并被广泛认为是安全、权威、足以信赖的机构-根认证中心（根CA）。

常见的VPN协议

1、点对点隧道协议（PPTP）

2、第2层隧道协议（L2TP）

3、安全IP（IPSec)隧道模式

4、SOCKSv5协议5、SSL协议各种VPN在OSI协议栈中的位置

SSLVPN

Socks5VPN

IPSecVPN

PPTP及L2TP应用层物理层数据链路层网络层传输层会话层表示层PPTP和L2TP的特点

PPTP和L2TP都使用PPP协议对数据进行封装，然后添加附加包头用于数据在互联网络上的传输。尽管两个协议非常相似，但是仍存在以下几方面的不同：

1.PPTP要求互联网络为IP网络。L2TP只要求隧道媒介提供面向数据包的点对点的连接。L2TP可以在IP（使用UDP），桢中继永久虚拟电路（PVCs),X.25虚拟电路（VCs）或ATMVCs网络上使用。

2.PPTP只能在两端点间建立单一隧道。L2TP支持在两端点间使用多隧道。使用L2TP，用户可以针对不同的服务质量创建不同的隧道。

3.L2TP可以提供包头压缩。当压缩包头时，系统开销（overhead）占用4个字节，而PPTP协议下要占用6个字节。

4.L2TP可以提供隧道验证，而PPTP则不支持隧道验证。但是当L2TP或PPTP与IPSEC共同使用时，可以由IPSEC提供隧道验证，不需要在第2层协议上验证隧道。

IPSec（InternetProtocolSecurity）的特点为实现在专用或公共IP网络上的安全传输，IPSEC隧道模式使用的安全方式封装和加密整个IP包。然后对加密的负载再次封装在明文IP包头内通过网络发送到隧道服务器端。隧道服务器对收到的数据报进行处理，在去除明文IP包头，对内容进行解密之后，获的最初的负载IP包。负载IP包在经过正常处理之后被路由到位于目标网络的目的地。

IPSEC隧道模式具有以下功能和局限：

1.只能支持IP数据流

2.工作在IP栈（IPstack）的底层，因此，应用程序和高层协议可以继承IPSEC的行为。

3.由一个安全策略（一整套过滤机制）进行控制。安全策略按照优先级的先后顺序创建可供使用的加密和隧道机制以及验证方式。当需要建立通讯时，双方机器执行相互验证，然后协商使用何种加密方式。此后的所有数据流都将使用双方协商的加密机制进行加密，然后封装在隧道包头内。

Socks5协议的特点

Socks5的优点：Socks5在OSI模型的会话层控制数据流，它定义了非常详细的访问控制。在网络层只能根据源和目的IP地址允许或拒绝数据包通过，在会话层控制手段要更多一些。Socks5在客户机和主机之间建立了一条虚电路，可根据对用户的认证进行监视和访问控制。Socks5和SSL工作在会话层，因此能向低层协议如IPv4，IPSec，PPTP，L2TP一起使用。它能提供非常复杂的方法来保证信息安全传输。用Socks5的代理服务器可隐藏网络地址结构。如果SOCKS5同防火墙结合起来使用，数据包经一个唯一的防火墙端口（缺省的是1080）到代理服务器，再经代理服务器过滤发往目的计算机的数据，这样可以防止防火墙上存在的漏洞。SOCKS5能为认证、加密和密钥管理提供“插件”模块，可让用户很自由地采用他们所需要的技术。Socks5可根据规则过滤数据流，包括JavaApplet和ActiveX控件。

Socks5的缺点：因为Socks5通过代理服务器来增加一层安全性，因此其性能往往比低层协议差。尽管比网络层和传输层的方案要更安全，但要制定比低层协议更为复杂的安全管理策略。SSL协议安全套接层协议（SSL，SecuritySocketLayer）是网景（Netscape）公司提出的基于WEB应用的安全协议，它包括：服务器认证、客户认证（可选）、SSL链路上的数据完整性和SSL链路上的数据保密性。对于电子商务应用来说，使用SSL可保证信息的真实性、完整性和保密性。

主要适用于点对点之间的信息传输，常用WebServe。SSL（SecureSocketLayer）安全协议是目前网银、电子商务中针对应用交易信息安全采取的最基本的保护措施。主要是用于保护网上信息传递通道的安全，可以把它理解为一种"管道式安全"，具有保密性、可靠性和服务器端可认证性。SSL协议的优势SSL

VPN不需要安装客户端软件。远程用户只需借助标准的浏览器连接Internet，即可访问企业的网络资源。此外，SSL

VPN连接要比IPSec

VPN更稳定，这是因为IPSec

VPN是网络层连接，故容易中断。除此之外，SSL

VPN还具有以下优势。

适用大多数设备：基于Web访问的开放体系可以被任何运行标准浏览器的系统所访问，包括非传统设备，如可以上网的手机和PDA通信产品。

适用于大多数操作系统：不管是Windows、Macintosh、UNIX还是

Linux，只要运行标准的浏览器，都可以支持SSL

VPN对企业内部网站和Web站点进行访问。

良好的安全性：SSL

VPN访问的并不是网络的真实节点，而是被代理的内部资源，这种方法较为安全。

较强的资源控制能力：SSL

VPN为远程访问用户提供较细粒度的资源访问控制。

绕过防火墙和代理服务器：基于SSL

VPN的远程访问方案可以绕过防火墙和代理服务器访问企业网资源，这是基于IPSec

VPN的远程访问很难做到的。SSL协议的缺点

依靠Internet进行访问：远程用户的Web浏览器依靠企业的服务器访问所有进程。如果Internet没有连通，远程用户就不能与总部网络进行连接，只能单独工作。

有限支持Windows应用及其他非Web系统：大多数SSL

VPN都是基于Web浏览器工作的。虽然有些SSL提供商已经开始合并终端服务来支持非Web应用，但是目前大多数SSL

VPN方案还未正式提出全面支持。

此外，SSL

VPN是应用层加密，性能比较差，需要使用加速装置。

VPN替代方案DDNModem池拨号服务器托管DDNSe地通VPN与DDN专线的比较DDN专线

e地通VPN•需要投入专线初装费及每个点路由器的费用•需要专业人员配置,安装使用较复杂•长期的专线使用费•新增分支机构,需要增加租用专线•远程移动用户接入困难•不需任何硬件设备•客户端免安装,适合大规模实施•无需固定IP地址,任意方式接入Internet•新增用户只序添加用户授权•维护简单e地通VPN与远程拨号的比较远程拨号接入

e地通VPN•每次使用需要支付长途话费•只能使用Modem拨号接入，速度较慢

•需要设置专用的远程拨号接入服务器

•一条电话线同时只能支持一个用户接入•稳定性差

•使用时只需接入Internet，不增加其它费用

•任意方式接入Internet，速度等同于接入速度

•无需增加任何硬件设备

•支持多个用户同时接入

•稳定性好e地通VPN与服务器托管的比较服务器托管

e地通VPN•长期缴纳服务器托管费用•所有用户、包括总部用户都必须通过Internet访问服务器，整体速度较慢

•用户名和密码容易泄漏，安全性不高

•难以完整解决远程互联问题

•服务器不在总部，维护不便

•一次性软件费用，支持动态IP地址

•服务器仍然放在公司总部，只有驻外用户通过Internet访问，整体效率高

•独有的加密方案，安全性高

•扩展性好，解决所有远程互联问题

•服务器在总部局域网内，维护方便

e地通VPN与动态域名的比较动态域名解析e地通VPN•需要长期交纳服务费用•网络寻址安全性不高•第三方服务,会产生依赖性•稳定性差•一次性投资,只需要一次购买一套软件即可•实现安全的网络寻址•可以建立完全属于客户自己的互联系统•稳定性高e地通VPN与MPLSVPN的比较MPLSVPNe地通VPN•需要投入每个点的硬件设备费用

•需要专业人员配置，安装使用较复杂

•需要长期的服务费用•扩展性差,依赖于服务供应商•不支持移动用户•一次性投资,只需要一次购买一套软件即可•安装使用简单,维护方便•扩展方便,适应于各种网络结构•支持远程移动用户方便接入e地通VPN与PPTP/L2TPVPN的比较PPTP/L2TPVPNe地通VPN•安全性差

•网络适应性差•扩展性差•需要固定IP或动态域名解析支持•维护麻烦•高可靠性,高安全性•支持动态IP及私有IP•网络适应性强,方便扩展到在型网络•维护方便e地通软件VPN与其他硬件VPN的比较e地通硬件VPN外部安全性采用用户名密码、硬件绑定、随机