【文章內(nèi)容簡介】 送方將數(shù)據(jù)加密后發(fā)出，接受端先對數(shù)據(jù)進行完整性檢查，然后解密，使用。這要求雙方事先確定要使用的加密和完整性檢查算法。由此可見，整個過程必須在雙方共同遵守的規(guī)范( 協(xié)議) 下進行。VPN區(qū)別于一般網(wǎng)絡互聯(lián)的關(guān)鍵是隧道的建立，數(shù)據(jù)包經(jīng)過加密后，按隧道協(xié)議進行封裝、傳送以保證安全性。一般，在數(shù)據(jù)鏈路層實現(xiàn)數(shù)據(jù)封裝的協(xié)議叫第二層隧道協(xié)議，常用的有PPTP , L2TP 等。在網(wǎng)絡層實現(xiàn)數(shù)據(jù)封裝的協(xié)議叫第三層隧道協(xié)議，如IPSec。另外，SOCKSv5協(xié)議則在TCP層實現(xiàn)數(shù)據(jù)安全。 PPTP/L2TP1996年，Microsoft和Ascend等在PPP 協(xié)議的基礎(chǔ)上開發(fā)了PPTP ， 它集成于Windows NT ，Windows NT Workstation 和Windows 。PPP支持多種網(wǎng)絡協(xié)議，可把IP 、IPX、AppleTalk或NetBEUI的數(shù)據(jù)包封裝在PPP包中，再將整個報文封裝在PPTP隧道協(xié)議包中，最后，再嵌入IP報文或幀中繼或ATM中進行傳輸。PPTP提供流量控制，減少擁塞的可能性，避免由于包丟棄而引發(fā)包重傳的數(shù)量。PPTP的加密方法采用Microsoft點對點加密(MPPE: Microsoft Pointto Point) 算法，可以選用較弱的40位密鑰或強度較大的128位密鑰。1996年，Cisco提出L2F(Layer 2 Forwarding)隧道協(xié)議，它也支持多協(xié)議，但其主要用于Cisco的路由器和撥號訪問服務器。1997年底，Microsoft 和Cisco公司把PPTP 協(xié)議和L2F協(xié)議的優(yōu)點結(jié)合在一起，形成了L2TP協(xié)議。L2TP支持多協(xié)議，利用公共網(wǎng)絡封裝PPP幀，可以實現(xiàn)和企業(yè)原有非IP網(wǎng)的兼容。還繼承了PPTP的流量控制，支持MP(Multilink Protocol)，把多個物理通道捆綁為單一邏輯信道。L2TP使用PPP可靠性發(fā)送(RFC 1663)實現(xiàn)數(shù)據(jù)包的可靠發(fā)送。L2TP隧道在兩端的VPN服務器之間采用口令握手協(xié)議CHAP來驗證對方的身份，L2TP受到了許多大公司的支持。PPTP/L2TP協(xié)議的優(yōu)點: PPTP/L2TP對用微軟操作系統(tǒng)的 用戶來說很方便，因為微軟己把它作為路由軟件的一部分。PPTP/ L2TP支持其它網(wǎng)絡協(xié)議。如NOWELL的IPX,NETBEUI和APPLETALK協(xié)議,還支持流量控制。 它通過減少丟棄包來改善網(wǎng)絡性能，這樣可減少重傳。PPTP/ L2TP協(xié)議的缺點：PM和L2TP 將不安全的IP包封裝在安全的IP包內(nèi)，它們用IP幀在兩臺計算機之間創(chuàng)建和打開數(shù)據(jù)通道，一旦通道打開，源和目的用戶身份就不再需要，這樣可能帶來問題，它不對兩個節(jié)點間的信息傳輸進行監(jiān)視或控制。PPTP和L2TP限制同時最多只能連接255個用戶，端點用戶需要在連接前手工建立加密信道，認證和加密受到限制，沒有強加密和認證支持。PPTP/ L2TP最適合于遠程訪問VPN。 IPSec協(xié)議IPSec是IETF(Internet Engineer Task Force) 正在完善的安全標準，它把幾種安全技術(shù)結(jié)合在一起形成一個較為完整的體系，受到了眾多廠商的關(guān)注和支持。通過對數(shù)據(jù)加密、認證、完整性檢查來保證數(shù)據(jù)傳輸?shù)目煽啃?、私有性和保密性。IPSec由IP認證頭AH(Authentication Header)、IP安全載荷封載ESP(Encapsulated Security Payload)和密鑰管理協(xié)議組成。IPSec協(xié)議是一個范圍廣泛、開放的虛擬專用網(wǎng)安全協(xié)議。IPSec 適應向IPv6遷移， 它提供所有在網(wǎng)絡層上的數(shù)據(jù)保護，提供透明的安全通信。IPSec用密碼技術(shù)從三個方面來保證數(shù)據(jù)的安全。即:u 認證：用于對主機和端點進行身份鑒別。u 完整性檢查：用于保證數(shù)據(jù)在通過網(wǎng)絡傳輸時沒有被修改。u 加密：加密IP地址和數(shù)據(jù)以保證私有性。IPSec協(xié)議可以設(shè)置成在兩種模式下運行:一種是隧道模式，一種是傳輸模式。 在隧道模式下，IPSec把IPv4數(shù)據(jù)包封裝在安全的IP幀 中,這樣保護從一個防火墻到另一個防火墻時的安全性。在隧道模式下，信息封裝是為了保護端到端的安全性，即在這種模式下不會隱藏路由信息。隧道模式是最安全的，但會帶來較大的系統(tǒng)開銷。IPSec現(xiàn)在還不完全成熟，但它得到了一些路由器廠商和硬件廠商的大力支持。預計它今后將成為虛擬專用網(wǎng)的主要標準。IPSec有擴展能力以適應未來商業(yè)的需要。在1997年底，IETF安全工作組完成了IPSec 的擴展， 在IPSec協(xié)議中加上ISAKMP(Internet Security Association and Kay Management Protocol)協(xié)議，其中還包括一個密鑰分配協(xié)議Oakley。ISAKMP/Oakley支持自動建立加密信道，密鑰的自動安全分發(fā)和更新。IPSec也可用于連接其它層己存在的通信協(xié)議，如支持安全電子交易(SET:Secure Electronic Transaction)協(xié)議和SSL（Secure Socket layer）協(xié)議。即使不用SET或SSL，IPSec 都能提供認證和加密手段以保證信息的傳輸。 實例分析4 實例分析VPN的具體實現(xiàn)方案有很多，實際應用中應根據(jù)用戶的需求、用戶資源現(xiàn)狀、承載網(wǎng)絡資源現(xiàn)狀、投資效益以及相關(guān)技術(shù)比較等多種因素綜合考慮，選擇一種主流的方案。在本文中就以一個中小型企業(yè)為例模擬實際環(huán)境建立一個基于ISA的企業(yè)VPN網(wǎng)絡以滿足遠程辦公、分公司和合作伙伴遠程訪問的要求。這個實驗在理論的指導下實現(xiàn)了一種VPN的實際應用，為中小企業(yè)設(shè)計VPN網(wǎng)絡提供參考和借鑒。 需求分析隨著公司的發(fā)展壯大，廈門某公司在上海開辦了分公司來進一步發(fā)展業(yè)務，公司希望總部和分公司、總部與合作伙伴可以隨時的進行安全的信息溝通，而外出辦公人員可以訪問到企業(yè)內(nèi)部關(guān)鍵數(shù)據(jù)，隨時隨地共享商業(yè)信息，提高工作效率。一些大型跨國公司解決這個問題的方法，就是在各個公司之間租用運營商的專用線路。這個辦法雖然能解決問題，但是費用昂貴，對于中小企業(yè)來說是無法負擔的，而VPN技術(shù)能解決這個問題。根據(jù)該公司用戶的需求，遵循著方便實用、高效低成本、安全可靠、網(wǎng)絡架構(gòu)彈性大等相關(guān)原則決定采用ISA Server VPN安全方案，以ISA作為網(wǎng)絡訪問的安全控制。ISA Server集成了Windows server VPN服務，提供一個完善的防火墻和VPN解決方案。以 ISA VPN作為連接Internet的安全網(wǎng)關(guān)，并使用雙網(wǎng)卡，隔開內(nèi)外網(wǎng)，增加網(wǎng)絡安全性。ISA具備了基于策略的安全性，并且能夠加速和管理對Internet的訪問。防火墻能對數(shù)據(jù)包層、鏈路層和應用層進行數(shù)據(jù)過濾、對穿過防火墻的數(shù)據(jù)進行狀態(tài)檢查、對訪問策略進行控制并對網(wǎng)絡通信進行路由。對于各種規(guī)模的企業(yè)來說，ISA Server 都可以增強網(wǎng)絡安全性、貫徹一致的Internet 使用策略、加速Internet 訪問并實現(xiàn)員工工作效率最大化。在ISA中可以使用以下三種協(xié)議來建立VPN連接： u IPSEC隧道模式； u L2TP over IPSec模式； u PPTP； 下表比較了這三種協(xié)議： 表41 ISA中三種協(xié)議對比表協(xié)議何時使用安全等級備注IPSec隧道模式連接到第三方的VPN服務器高這是唯一一種可以連接到非微軟VPN服務器的方式L2TP over IPSec連接到ISA Server 2000、ISA Server 2004或者Windows VPN服務器高使用RRAS。比IPSec隧道模式更容易理解，但是要求遠程VPN服務器是ISA Server或者Windows VPN服務器。PPTP連接到ISA Server 2000、ISA Server 2004或者Windows VPN服務器中等使用RRAS，