【文章內(nèi)容簡介】 供安全保護，通訊的雙方首先進行身份認證，這中間要經(jīng)過大量的協(xié)商，在此基礎(chǔ)上，發(fā)送方將 實現(xiàn) VPN 的關(guān)鍵技術(shù)和主要協(xié)議 7 數(shù)據(jù)加密后發(fā)出，接受端先對數(shù)據(jù)進行完整性檢查，然后解密，使用。這要求雙方事先確定要使用的加密和完整性檢查算法。由此可見，整個過程必須在雙方共同遵守的規(guī)范 ( 協(xié)議 ) 下進行。 VPN 區(qū)別于一般網(wǎng)絡(luò)互聯(lián)的關(guān)鍵是隧道的建立，數(shù)據(jù)包經(jīng)過加密后，按隧道協(xié)議進行封裝、傳送以保證安全性。一般，在數(shù)據(jù)鏈路層實現(xiàn)數(shù)據(jù)封裝的協(xié)議叫第二層隧道協(xié)議，常用的有 PPTP , L2TP 等 。在網(wǎng)絡(luò)層實現(xiàn)數(shù)據(jù)封裝的協(xié)議叫第三層隧道協(xié)議，如 IPSec。另外， SOCKSv5 協(xié)議則在 TCP 層實現(xiàn)數(shù)據(jù)安全。 PPTP/L2TP 1996 年， Microsoft 和 Ascend 等在 PPP 協(xié)議的基礎(chǔ)上開發(fā)了 PPTP ， 它集成于 Windows NT 中， Windows NT Workstation 和 Windows 也提供相應的客戶端軟件。 PPP 支持多種網(wǎng)絡(luò)協(xié)議，可把 IP 、 IPX、 AppleTalk 或 NetBEUI的數(shù)據(jù)包封裝在 PPP 包中，再將整個報文封裝在 PPTP 隧道協(xié)議包中，最后，再嵌入 IP 報文或幀中繼或 ATM 中進行傳輸。 PPTP 提供流量控制，減少擁塞的可能性，避免由于包丟棄而引發(fā)包重傳的數(shù)量。 PPTP 的加密方法采用 Microsoft 點對點加密(MPPE: Microsoft Pointto Point) 算法，可以選用較弱的 40 位密鑰或強度較大的 128 位密鑰。 1996 年， Cisco 提出 L2F(Layer 2 Forwarding)隧道協(xié)議，它也支持多協(xié)議，但其主要用于 Cisco的路由器和撥號訪問服務器。 1997年底， Microsoft 和 Cisco 公司把 PPTP 協(xié)議和 L2F 協(xié)議的優(yōu)點結(jié)合在一起，形成了 L2TP 協(xié)議。 L2TP支持多協(xié)議，利用公共網(wǎng)絡(luò)封裝 PPP 幀，可以實現(xiàn)和企業(yè)原有非 IP 網(wǎng)的兼容。還繼承了 PPTP 的流量控制，支持 MP(Multilink Protocol)，把多個物理通道捆綁為單一邏輯信道。 L2TP 使用 PPP 可靠性發(fā)送 (RFC 1663)實現(xiàn)數(shù)據(jù)包的可靠發(fā) 送。 L2TP隧道在兩端的 VPN 服務器之間采用口令握手協(xié)議 CHAP 來驗證對方的身份， L2TP 受到了許多大公司的支持。 PPTP/L2TP 協(xié)議的優(yōu)點 : PPTP/L2TP 對用微軟操作系統(tǒng)的 用戶來說很方便，因為微軟己把它作為路由軟件的一部分。 PPTP/ L2TP 支持其它網(wǎng)絡(luò)協(xié)議。如 NOWELL的 IPX,NETBEUI 和 APPLETALK 協(xié)議 ,還支持流量控制。 它通過減少丟棄包來改善網(wǎng)絡(luò)性能，這樣可減少重傳。 PPTP/ L2TP 協(xié)議的缺點： PM 和 L2TP 將不安全的 IP 包封裝在安全的 IP 包內(nèi)，它們用 IP 幀在兩 臺計算機之間創(chuàng)建和打開數(shù)據(jù)通道，一旦通道打開，源和目的用戶身份就不再需要，這樣可能帶來問題，它不對兩個節(jié)點間的信息傳輸進行監(jiān)視 實現(xiàn) VPN 的關(guān)鍵技術(shù)和主要協(xié)議 8 或控制。 PPTP 和 L2TP 限制同時最多只能連接 255 個用戶，端點用戶需要在連接前手工建立加密信道，認證和加密受到限制，沒有強加密和認證支持。 PPTP/ L2TP 最適合于遠程訪問 VPN。 IPSec 協(xié)議 IPSec 是 IETF(Inter Engineer Task Force) 正在完善的安全標準，它把幾種安全技術(shù)結(jié)合在一起形成一個較為完整的體系，受到了 眾多廠商的關(guān)注和支持。通過對數(shù)據(jù)加密、認證、完整性檢查來保證數(shù)據(jù)傳輸?shù)目煽啃浴⑺接行院捅Ｃ苄浴?IPSec由 IP 認證頭 AH(Authentication Header)、 IP 安全載荷封載 ESP(Encapsulated Security Payload)和密鑰管理協(xié)議組成。 IPSec 協(xié)議是一個范圍廣泛、開放的虛擬專用網(wǎng)安全協(xié)議。 IPSec 適應向 IPv6遷移， 它提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護，提供透明的安全通信。 IPSec 用密碼技術(shù)從三個方面來保證數(shù)據(jù)的安全。即 : ? 認證：用于對主機和端點進行身份鑒別。 ? 完整性檢查：用于保證數(shù)據(jù)在通過網(wǎng)絡(luò)傳輸時沒有被修改。 ? 加密：加密 IP 地址和數(shù)據(jù)以保證私有性。 IPSec 協(xié)議可以設(shè)置成在兩種模式下運行 :一種是隧道模式，一種是傳輸模式。 在隧道模式下， IPSec 把 IPv4 數(shù)據(jù)包封裝在安全的 IP 幀 中 ,這樣保護從一個防火墻到另一個防火墻時的安全性。在隧道模式下，信息封裝是為了保護端到端的安全性，即在這種模式下不會隱藏路由信息。隧道模式是最安全的，但會帶來較大的系統(tǒng)開銷。 IPSec 現(xiàn)在還不完全成熟，但它得到了一些路由器廠商和硬件廠商的大力支持。預計它今后將成為虛擬專用網(wǎng)的主要標 準。 IPSec 有擴展能力以適應未來商業(yè)的需要。在 1997 年底， IETF 安全工作組完成了 IPSec 的擴展， 在 IPSec 協(xié)議中加上ISAKMP(Inter Security Association and Kay Management Protocol)協(xié)議，其中還包括一個密鑰分配協(xié)議 Oakley。 ISAKMP/Oakley 支持自動建立加密信道，密鑰的自動安全分發(fā)和更新。 IPSec 也可用于連接其它層己存在的通信協(xié)議，如支持安全電子交易 (SET:Secure Electronic Transaction)協(xié)議和 SSL（ Secure Socket layer）協(xié)議。即使不用 SET 或 SSL， IPSec 都能提供認證和加密手段以保證信息的傳輸。 實例分析 9 4 實例分析 VPN 的具體實現(xiàn)方案有很多，實際應用中應根據(jù)用戶的需求、用戶資源現(xiàn)狀、承載網(wǎng)絡(luò)資源現(xiàn)狀、投資效益以及相關(guān)技術(shù)比較等多種因素綜合考慮，選擇一種主流的方案。在本文中就以一個中小型企業(yè)為例模擬實際環(huán)境建立一個基于 ISA 的企業(yè) VPN 網(wǎng)絡(luò)以滿足遠程辦公、分公司和合作伙伴遠程訪問的要求。這個實驗在理論的指導下實現(xiàn)了一種 VPN 的實際應用，為中小企業(yè)設(shè)計 VPN 網(wǎng)絡(luò)提供 參考和借鑒 。 需求分析 隨著公司的發(fā)展壯大， 廈門某公司 在上海開辦了分公司來進一步發(fā)展業(yè)務，公司 希望 總部 和分公司、總部與合作伙伴可以隨時的 進行 安全的 信息溝通， 而 外出辦公人員可以訪問到企業(yè)內(nèi)部關(guān)鍵數(shù)據(jù)，隨時隨地共享商業(yè)信息，提高工作效率。 一些大型跨國公司解決這個問題的方法，就是在各個公司之間租用運營商的專用線路。這個辦法雖然能解決問題，但是費用昂貴，對于 中小企業(yè) 來說是無法負擔的，而 VPN 技術(shù)能解決這個問題 。 根據(jù) 該 公司用戶的需求，遵循著方便實用、高效低成本、安全可靠、網(wǎng)絡(luò)架構(gòu)彈性大等相關(guān)原則 決定采用 ISA Server VPN 安全方案 ，以 ISA 作為網(wǎng)絡(luò)訪問的安全控制。 ISA Server 集成了 Windows server VPN 服務，提供一個完善的防火墻和 VPN 解決方案。 以 ISA VPN 作為連接 Inter 的安全網(wǎng)關(guān)，并使用雙網(wǎng)卡，隔開內(nèi)外網(wǎng)，增加網(wǎng)絡(luò)安全性。 ISA 具備了基于策略的安全性，并且能夠加速和管理對 Inter 的訪問。防火墻能對數(shù)據(jù)包層、鏈路層和應用層進行數(shù)據(jù)過濾、對穿過防火墻的數(shù)據(jù)進行狀態(tài)檢查、對訪問策略進行控制并對網(wǎng)絡(luò)通信進行路由。對于各種規(guī)模的企業(yè)來說， ISA Server 都可 以增強網(wǎng)絡(luò)安全性、貫徹一致的 Inter 使用策略、加速 Inter 訪問并實現(xiàn)員工工作效率最大化。 在 ISA 中可以使用以下三種協(xié)議來建立 VPN 連接： ? IPSEC 隧道模式； ? L2TP over IPSec 模式； ? PPTP； 下表比較了這三種協(xié)議： 實例分析 10 表 41 ISA 中三種協(xié)議對比表 協(xié)議 何時使用 安全等級 備注 IPSec 隧道模式 連接到第三方的 VPN服務器 高 這是唯一一種可以連接到非微軟VPN 服務器的方式 L2TP over IPSec 連接到 ISA Server 20 ISA Server 2020 或者 Windows VPN 服務器 高 使用 RRAS。比 IPSec 隧道模式更容易理解，但是要求遠程 VPN 服務器是 ISA Server 或者 Windows VPN 服務器。 PPTP 連接到 ISA Server 20 ISA Server 2020 或者 Windows VPN 服務器 中等 使用 RRAS，和 L2TP 具有同樣的限制，但是更容易配置。因為使用IPSec 加密， L2TP 更認為更安全。 三個站點都采用 ISA VPN 作為安全網(wǎng)關(guān)，且 L2TP over IPSec 結(jié)合了 L2TP 和 IPSec 的優(yōu)點， 所以在這里采用 L2TP over IPSec 作為 VPN 實施方案。 方案達到的目的 1) 廈門 總部 和 分公司 之間以及廈門總部和合作伙伴之間 透過 VPN 聯(lián)機采用 IPSec協(xié)定，確保傳輸數(shù)據(jù)的安全； 2) 在外出差或想要連回總部或分公司的用戶也可使用 IPSec 方式連回企業(yè)網(wǎng)路； 3) 對 總部 內(nèi)網(wǎng)實施上網(wǎng)的訪問控制，通過 VPN 設(shè)備的訪問控制策略，對 訪問的 PC進行嚴格的訪問控制 ； 4) 對外網(wǎng)可以抵御黑客的入侵，起到 Firewall 作用。具有控制和限制的安全機制和措施，具備防火墻和抗攻擊等功能； 5) 部署 靈活，維護方便，提供強大的管理功能，以減少系統(tǒng)的維護量以適應大規(guī)