相關知識

2.1 VPN產品概述

自從人類出現以來，就在使用著多種手段進行通信、溝通。在很多時候都需要進行不公開的私有會話，即在指定的接收者和發送者之間進行秘密通信，因此人們發明了耳語、密信、隱喻等方式實現這種保密通信。

對保密通信進行分析可以總結出其實現方式有兩種：一是物理隔離，二是加密通信。物理隔離實際就是使通信雙方的通信從公眾視線中隔離出來，只有指定的接收者才能收到發送者的信息。加密通信實際是使用各種方法讓消息變得隱晦、令人迷惑，只有指定的接收者才能理解其中的信息，這種通信可以在公眾的視線下進行。

Internet的出現對人類的通信方式有著非常深刻的影響，從根本上改變了人們的交往方式，與傳統的通信方式一樣，網絡通信也有保密性的要求。Internet是開放的網絡，這在推動互聯網迅速發展普及的同時，也帶來了各種安全問題。軍隊、金融、交通等部門不得不使用專用網絡（物理隔離）來實現安全、保密的通信。一些企業隨著自身的發展壯大，在不同的地方不斷設立分支機構，這時，企業也需要構建專用網絡來實現企業內部的安全通信。

專用網絡具有支持一系列協議，如幀中繼、異步傳輸方式（ATM）和TCP/IP協議，高性能，高速度，高安全性等明顯優勢。然而，構建專用網絡需要租用專線，租賃費用昂貴，往往利用又不充分，使網絡運營成本很高。此外，企業還需要對所建立的專用網絡進行維護和管理。專用網絡中的硬件設備，如Modem、ISDN交換機等需要不斷地加強功能，應用軟件也需要升級換代，企業需要為此付出巨大的人力、物力和財力。因此，傳統的通過租用專線或者撥號網絡的方式越來越不適用。在這種情況下，虛擬專用網技術應運而生。

2.1.1 VPN的定義和特點

1.VPN的概念

VPN（Virtual Private Network）即虛擬專網技術，是指利用Internet或其他公共網絡為用戶建立一條臨時的、安全的隧道，形成邏輯上的“專用網絡”，并提供與專用網絡相同的安全和功能保障。圖2-1是使用專網與使用VPN的示意圖。

“虛擬”意味著沒有專門的物理上的網絡基礎設施用于專用網絡，而“專用”則是指組建VPN的目的是保持通信數據的機密性。相對于租賃專線來說，使用互聯網進行傳輸，費用極為低廉，所以VPN的出現，使企業通過互聯網既安全又經濟地傳輸私有的機密信息成為可能。

隨著電子政務和電子商務信息化建設的快速推進和發展，越來越多的政府、企事業單位已經或即將構建網上辦公系統和業務應用系統，使內部辦公人員通過網絡可以迅速地獲取信息，使“在家辦公”、“異地辦公”、“移動辦公”等多種遠程辦公模式得以逐步實現，同時使合作伙伴也能夠訪問到相應的信息資源。這種發展趨勢也使得VPN的應用越來越廣泛。

虛擬專用網可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接，并保證數據的安全傳輸。通過將數據流轉移到低成本的網絡上，一個企業的虛擬專用網解決方案將大幅度地減少用戶花費在城域網和遠程網絡連接上的費用。同時，這將簡化網絡的設計和管理，加速連接新的用戶和網站。另外，虛擬專用網還可以保護現有的網絡投資。隨著用戶的商業服務不斷發展，企業的虛擬專用網解決方案可以使用戶將精力集中到自己的生意上，而不是網絡上。虛擬專用網可用于不斷增長的移動用戶的全球因特網接入，以實現安全連接；可用于實現企業網站之間安全通信的虛擬專用線路；可用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網。

2.VPN的特點

與傳統專用網相比較，VPN具有以下特點。

1）價格便宜

費用較低是VPN相對于專用網絡最直接的優點。VPN省去了價格昂貴的專線租賃費用和傳統專用網中的設備維護費用。

2）安全性

VPN提供用戶一種私人專用（Private）的感覺，因此在不安全、不可信任的公共數據網建立VPN的首要任務是解決安全性問題。VPN使用加密技術提供在數據傳輸過程中的數據安全性和數據完整性，使用身份驗證和訪問控制限制對企業網絡資源和服務的訪問。

在傳統的專用網絡中，傳輸過程的安全性依賴于通信服務提供商對于數據機密性采取的物理安全措施，難以防范中途的搭線竊聽截取數據。

3）可擴充性和靈活性

相較于傳統專用網范圍較為固定的特點，VPN可擴充性強、靈活性強。一方面，地理覆蓋范圍更廣，受地理位置的影響小，更容易擴展；另一方面，更容易支持新的傳輸方式，新的傳輸協議，新的數據流。VPN能夠支持通過Intranet和Extranet的任何類型的數據流，方便增加新的節點，支持多種類型的傳輸媒介，可以滿足同時傳輸語音、圖像和數據等新應用對高質量傳輸及帶寬增加的需求。

4）服務質量（QoS）較難保證

VPN應當為企業數據提供不同等級的服務質量保證，不同的用戶和業務對服務質量保證的要求差別較大。另外，在網絡優化方面，VPN的另一重要需求是充分有效地利用有限的廣域網資源，為重要數據提供可靠的帶寬。在服務質量上VPN相對于專用網絡具有先天劣勢——專線自然會提供更高的服務質量。可以通過一些技術手段保證服務質量。

5）可管理性

VPN是公司對外的延伸，因此VPN要有一個確定的管理方案以減輕管理、報告等方面的負擔。從用戶角度和運營商角度都應該能夠方便地進行管理、維護。VPN管理的目標為：減小網絡風險、高擴展性、經濟性、高可靠性。具體來說，VPN管理主要包括安全管理、設備管理、配置管理、訪問控制列表管理、QoS管理等內容。

3.VPN產品

VPN至少需要兩個協同操作的設備（硬件或軟件），這些設備之間的通信路徑，可以被看成是一條通過不安全的Internet基礎設施的安全信道。環繞這個信道的是一系列的功能特性，包括身份驗證、訪問控制及數據安全性和數據加密。

VPN產品是指那些使VPN成為可能的硬件和軟件。最常用的VPN設備是VPN網關（VPN Gatway），它是網絡通信和通信資源的守護者，隧道通常建立在從VPN網關到其他作為隧道端點的VPN設備之間。一個VPN網關常位于企業網絡周邊，是可信任專網和不可信網絡的分界線。

VPN網關要做到兩點：一要保證合法通信安全、順利地進行，二要能夠拒絕不希望的、非法的通信進出專網。VPN網關要實現與VPN相關的基本功能：隧道技術、身份驗證、訪問控制、數據完整性和機密性。不同廠商的產品在實現VPN網關功能時的做法是不同的，表現在：VPN網關可能是個獨立的設備，也可能是集成了路由器或者防火墻功能的產品。

通常，一個VPN網關有兩個或更多的網絡接口，至少有一個網絡接口與不安全的網絡相連，還要有一個或多個網絡接口與安全的內部網相連接。這點與防火墻和路由器相似。

VPN客戶程序（VPN Client）是用來為單個計算機或者用戶提供遠程VPN訪問的軟件。與VPN網關不同，VPN客戶是個程序，被設計成僅代表一個計算機，使本地的應用可以安全地訪問公司的網絡資源，因此VPN客戶必須與主機的操作系統、本地應用和VPN網關協同工作，通過網絡提供可靠的資源通信。通常，客戶程序是安裝在主機上的一個軟件包。

對于VPN客戶軟件來說，很重要的一個要求就是安裝與操作必須簡便。VPN軟件還要提供或支持多種加密方案和身份驗證方法，以便用戶選用。

2.1.2 VPN關鍵技術

實現VPN的幾個關鍵技術包括：隧道技術（Tunneling）、身份認證技術、訪問控制技術和密碼技術，另外，密鑰管理和QoS技術對VPN的具體實現也至關重要，如圖2-2所示。

1.隧道技術

隧道實質上是一種封裝技術，即將一種協議的報文封裝在另一種協議中傳輸，從而實現被封裝協議對封裝協議的透明性，保持被封裝協議的安全特性。

為了透明傳輸多種不同網絡層協議的數據包，可以采取兩種方法。一種是先把各種網絡層協議（如IP、IPX和Apple Talk等）封裝到數據鏈路層的點到點協議（PPP）幀里，再把整個PPP幀裝入隧道協議里。這種封裝方法封裝的是數據鏈路層的數據包，所以稱為“第二層隧道”，L2TP、PPTP協議屬于這一種。另一種是把各種網絡層協議數據包直接裝入隧道協議中，由于封裝的是網絡層數據包，所以稱為“第三層隧道”，如GRE、IPSec協議。此外，也有直接將應用層數據包進行封裝的隧道協議，如SSL協議。

2.身份認證技術

一次安全的通信首先要求信源和（或）信宿必須是合法的、確定的，這就需要進行身份認證。身份認證能夠確保通信雙方的真實性，防止非法用戶的欺騙。有時還要求VPN保證通信雙方的不可否認性，就是防止一方否認自己曾做過的事（發過的信息）。目前，計算機及網絡系統中常用的身份認證方式主要有用戶名/密碼方式、智能卡認證、動態口令、USBKey認證。

用戶名/密碼是最簡單也是最常用的身份認證方法，是基于“what you know”的驗證手段。每個用戶的密碼是由用戶自己設定的，只有用戶自己才知道。只要能夠正確輸入密碼，計算機就認為操作者是合法用戶。

智能卡是一種內置集成電路的芯片，芯片中存有與用戶身份相關的數據，智能卡由專門的廠商通過專門的設備生產，是不可復制的硬件。智能卡由合法用戶隨身攜帶，登錄時必須將智能卡插入專用的讀卡器讀取其中的信息，以驗證用戶的身份。智能卡認證是基于“what you have”的手段，通過智能卡硬件不可復制來保證用戶身份不會被仿冒。然而由于每次從智能卡中讀取的數據是靜態的，通過內存掃描或網絡監聽等技術還是很容易截取到用戶的身份驗證信息，因此還是存在安全隱患。

動態口令技術是一種讓用戶密碼按照時間或使用次數不斷變化，每個密碼只能使用一次的技術。它采用一種叫做動態令牌的專用硬件，內置電源、密碼生成芯片和顯示屏，密碼生成芯片運行專門的密碼算法，根據當前時間或使用次數生成當前密碼并顯示在顯示屏上。認證服務器采用相同的算法計算當前的有效密碼。用戶使用時只需要將動態令牌上顯示的當前密碼輸入客戶端計算機，即可實現身份認證。由于每次使用的密碼必須由動態令牌來產生，只有合法用戶才持有該硬件，所以只要通過密碼驗證就可以認為該用戶的身份是可靠的。而用戶每次使用的密碼都不相同，即使黑客截獲了一次密碼，也無法利用這個密碼來仿冒合法用戶的身份。

基于USBKey的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟、硬件相結合、一次一密的強雙因子認證模式，很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設備，它內置單片機或智能卡芯片，可以存儲用戶的密鑰或數字證書，利用USBKey內置的密碼算法實現對用戶身份的認證。基于USBKey身份認證系統主要有兩種應用模式：一是基于沖擊/響應的認證模式，二是基于PKI體系的認證模式。

3.訪問控制技術

當身份認證過程完成后，VPN還需要確定通信實體的訪問權限，這個工作由訪問控制技術來完成。通常訪問控制過程在隧道的端點進行。

訪問控制過程有兩個方面：

一方面是確定訪問控制信息，通常，這些信息包括請求訪問實體的身份信息、請求訪問的資源及管理訪問的規則。請求者的身份信息一般是用戶名、IP地址或證書等。

另一方面是具體決策過程的組織，如決策過程可以完全在提交和協商安全的地方完成，或者系統可以詢問一個獨立的策略服務器來做決策。在一個中心服務器上管理所有的策略，能過使管理工作更加容易。

4.密碼技術

VPN技術的所有組成部分都涉及數據安全性，根據“水桶原則”，系統整體的安全性取決于最薄弱的環節。由于VPN使用公用網來傳輸專用數據，數據在公共信道上傳輸的過程中被中途截取甚至被人篡改都是有可能的。因此，強勁的加密算法和消息完整性認證應該被應用在每個數據報文上。另外，數據報文傳輸系統應該能夠預防重放攻擊。在這方面要用到密碼學的加密技術，哈希函數（HASH），消息認證等技術。

數據加密的基本思想是通過變換信息的表示形式來偽裝需要保護的敏感信息，使非授權者不能了解被保護信息的內容。加密算法有RC4、DES、三重DES、AES、IDEA等。

加密技術可以在協議棧的任意層進行；可以對數據或報文頭進行加密。在網絡層中的加密標準是IPSec。網絡層加密實現的最安全方法是在主機的端到端進行。另一個選擇是“隧道模式”：加密只在路由器中進行，而終端與第一條路由之間不加密。這種方法不太安全，因為數據從終端系統到第一條路由時可能被截取而危及數據安全。終端到終端的加密方案中，VPN安全粒度達到個人終端系統的標準；而“隧道模式”方案中，VPN安全粒度只達到子網標準。在鏈路層中，目前還沒有統一的加密標準，因此所有鏈路層加密方案基本上是生產廠家自己設計的，需要特別的加密硬件。

2.1.3 VPN的分類

VPN的分類方式比較混亂。不同的生產廠家在銷售它們的VPN產品時使用了不同的分類方式，主要是從產品的角度來劃分的。而不同的ISP在開展VPN業務時也使用了不同的分類方式，主要是從業務開展的角度來劃分的。而用戶往往也有自己的劃分方法，主要是根據自己的需求來進行的。下面簡單介紹一下按照VPN作用和協議類型對VPN的劃分方式。

根據VPN所起的作用，可以將VPN分為三類：Access VPN、Intranet VPN和Extranet VPN。

1.Access VPN

在該方式下遠端用戶不再是如傳統的遠程網絡訪問那樣，通過長途電話撥號到公司遠程接入端口，而是撥號接入到用戶本地的ISP，利用VPN系統在公眾網上建立一個從客戶端到網關的安全傳輸通道。這種方式最適用于公司內部經常有流動人員遠程辦公的情況。出差員工或者在家辦公、異地辦公的人員撥號接入到用戶本地的ISP，就可以和公司的VPN網關建立私有的隧道連接。服務器可對員工進行驗證和授權，保證連接的安全，同時負擔的整體接入成本大大降低。

2.Intranet VPN

在公司遠程分支機構的LAN和公司總部LAN之間的VPN。通過Intranet這一公共網絡將公司在各地分支機構的LAN連到公司總部的LAN，以便公司內部的資源共享、文件傳遞等，可節省DDN等專線所帶來的高額費用。

3.Extranet VPN

在供應商、商業合作伙伴的LAN和公司的LAN之間的VPN。由于不同公司網絡環境的差異性，該產品必須能兼容不同的操作平臺和協議。由于用戶的多樣性，公司的網絡管理員還應該設置特定的訪問控制表ACL（Access Control List），根據訪問者的身份、網絡地址等參數來確定他所相應的訪問權限，開放部分資源而非全部資源給外聯網的用戶。

根據VPN的協議，可以將VPN分為PPTP、L2F、L2TP、MPLS、IPSec和SSL，如圖2-3所示。