【文章內(nèi)容簡(jiǎn)介】 送方將數(shù)據(jù)加密后發(fā)出，接受端先對(duì)數(shù)據(jù)進(jìn)行完整性檢查，然后解密，使用。這要求雙方事先確定要使用的加密和完整性檢查算法。由此可見，整個(gè)過(guò)程必須在雙方共同遵守的規(guī)范( 協(xié)議) 下進(jìn)行。VPN區(qū)別于一般網(wǎng)絡(luò)互聯(lián)的關(guān)鍵是隧道的建立，數(shù)據(jù)包經(jīng)過(guò)加密后，按隧道協(xié)議進(jìn)行封裝、傳送以保證安全性。一般，在數(shù)據(jù)鏈路層實(shí)現(xiàn)數(shù)據(jù)封裝的協(xié)議叫第二層隧道協(xié)議，常用的有PPTP , L2TP 等。在網(wǎng)絡(luò)層實(shí)現(xiàn)數(shù)據(jù)封裝的協(xié)議叫第三層隧道協(xié)議，如IPSec。另外，SOCKSv5協(xié)議則在TCP層實(shí)現(xiàn)數(shù)據(jù)安全。 PPTP/L2TP1996年，Microsoft和Ascend等在PPP 協(xié)議的基礎(chǔ)上開發(fā)了PPTP ， 它集成于Windows NT ，Windows NT Workstation 和Windows 。PPP支持多種網(wǎng)絡(luò)協(xié)議，可把IP 、IPX、AppleTalk或NetBEUI的數(shù)據(jù)包封裝在PPP包中，再將整個(gè)報(bào)文封裝在PPTP隧道協(xié)議包中，最后，再嵌入IP報(bào)文或幀中繼或ATM中進(jìn)行傳輸。PPTP提供流量控制，減少擁塞的可能性，避免由于包丟棄而引發(fā)包重傳的數(shù)量。PPTP的加密方法采用Microsoft點(diǎn)對(duì)點(diǎn)加密(MPPE: Microsoft Pointto Point) 算法，可以選用較弱的40位密鑰或強(qiáng)度較大的128位密鑰。1996年，Cisco提出L2F(Layer 2 Forwarding)隧道協(xié)議，它也支持多協(xié)議，但其主要用于Cisco的路由器和撥號(hào)訪問(wèn)服務(wù)器。1997年底，Microsoft 和Cisco公司把PPTP 協(xié)議和L2F協(xié)議的優(yōu)點(diǎn)結(jié)合在一起，形成了L2TP協(xié)議。L2TP支持多協(xié)議，利用公共網(wǎng)絡(luò)封裝PPP幀，可以實(shí)現(xiàn)和企業(yè)原有非IP網(wǎng)的兼容。還繼承了PPTP的流量控制，支持MP(Multilink Protocol)，把多個(gè)物理通道捆綁為單一邏輯信道。L2TP使用PPP可靠性發(fā)送(RFC 1663)實(shí)現(xiàn)數(shù)據(jù)包的可靠發(fā)送。L2TP隧道在兩端的VPN服務(wù)器之間采用口令握手協(xié)議CHAP來(lái)驗(yàn)證對(duì)方的身份，L2TP受到了許多大公司的支持。PPTP/L2TP協(xié)議的優(yōu)點(diǎn): PPTP/L2TP對(duì)用微軟操作系統(tǒng)的 用戶來(lái)說(shuō)很方便，因?yàn)槲④浖喊阉鳛槁酚绍浖囊徊糠帧PTP/ L2TP支持其它網(wǎng)絡(luò)協(xié)議。如NOWELL的IPX,NETBEUI和APPLETALK協(xié)議,還支持流量控制。 它通過(guò)減少丟棄包來(lái)改善網(wǎng)絡(luò)性能，這樣可減少重傳。PPTP/ L2TP協(xié)議的缺點(diǎn)：PM和L2TP 將不安全的IP包封裝在安全的IP包內(nèi)，它們用IP幀在兩臺(tái)計(jì)算機(jī)之間創(chuàng)建和打開數(shù)據(jù)通道，一旦通道打開，源和目的用戶身份就不再需要，這樣可能帶來(lái)問(wèn)題，它不對(duì)兩個(gè)節(jié)點(diǎn)間的信息傳輸進(jìn)行監(jiān)視或控制。PPTP和L2TP限制同時(shí)最多只能連接255個(gè)用戶，端點(diǎn)用戶需要在連接前手工建立加密信道，認(rèn)證和加密受到限制，沒(méi)有強(qiáng)加密和認(rèn)證支持。PPTP/ L2TP最適合于遠(yuǎn)程訪問(wèn)VPN。 IPSec協(xié)議IPSec是IETF(Internet Engineer Task Force) 正在完善的安全標(biāo)準(zhǔn)，它把幾種安全技術(shù)結(jié)合在一起形成一個(gè)較為完整的體系，受到了眾多廠商的關(guān)注和支持。通過(guò)對(duì)數(shù)據(jù)加密、認(rèn)證、完整性檢查來(lái)保證數(shù)據(jù)傳輸?shù)目煽啃浴⑺接行院捅Ｃ苄?。IPSec由IP認(rèn)證頭AH(Authentication Header)、IP安全載荷封載ESP(Encapsulated Security Payload)和密鑰管理協(xié)議組成。IPSec協(xié)議是一個(gè)范圍廣泛、開放的虛擬專用網(wǎng)安全協(xié)議。IPSec 適應(yīng)向IPv6遷移， 它提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)，提供透明的安全通信。IPSec用密碼技術(shù)從三個(gè)方面來(lái)保證數(shù)據(jù)的安全。即:u 認(rèn)證：用于對(duì)主機(jī)和端點(diǎn)進(jìn)行身份鑒別。u 完整性檢查：用于保證數(shù)據(jù)在通過(guò)網(wǎng)絡(luò)傳輸時(shí)沒(méi)有被修改。u 加密：加密IP地址和數(shù)據(jù)以保證私有性。IPSec協(xié)議可以設(shè)置成在兩種模式下運(yùn)行:一種是隧道模式，一種是傳輸模式。 在隧道模式下，IPSec把IPv4數(shù)據(jù)包封裝在安全的IP幀 中,這樣保護(hù)從一個(gè)防火墻到另一個(gè)防火墻時(shí)的安全性。在隧道模式下，信息封裝是為了保護(hù)端到端的安全性，即在這種模式下不會(huì)隱藏路由信息。隧道模式是最安全的，但會(huì)帶來(lái)較大的系統(tǒng)開銷。IPSec現(xiàn)在還不完全成熟，但它得到了一些路由器廠商和硬件廠商的大力支持。預(yù)計(jì)它今后將成為虛擬專用網(wǎng)的主要標(biāo)準(zhǔn)。IPSec有擴(kuò)展能力以適應(yīng)未來(lái)商業(yè)的需要。在1997年底，IETF安全工作組完成了IPSec 的擴(kuò)展， 在IPSec協(xié)議中加上ISAKMP(Internet Security Association and Kay Management Protocol)協(xié)議，其中還包括一個(gè)密鑰分配協(xié)議Oakley。ISAKMP/Oakley支持自動(dòng)建立加密信道，密鑰的自動(dòng)安全分發(fā)和更新。IPSec也可用于連接其它層己存在的通信協(xié)議，如支持安全電子交易(SET:Secure Electronic Transaction)協(xié)議和SSL（Secure Socket layer）協(xié)議。即使不用SET或SSL，IPSec 都能提供認(rèn)證和加密手段以保證信息的傳輸。 實(shí)例分析4 實(shí)例分析VPN的具體實(shí)現(xiàn)方案有很多，實(shí)際應(yīng)用中應(yīng)根據(jù)用戶的需求、用戶資源現(xiàn)狀、承載網(wǎng)絡(luò)資源現(xiàn)狀、投資效益以及相關(guān)技術(shù)比較等多種因素綜合考慮，選擇一種主流的方案。在本文中就以一個(gè)中小型企業(yè)為例模擬實(shí)際環(huán)境建立一個(gè)基于ISA的企業(yè)VPN網(wǎng)絡(luò)以滿足遠(yuǎn)程辦公、分公司和合作伙伴遠(yuǎn)程訪問(wèn)的要求。這個(gè)實(shí)驗(yàn)在理論的指導(dǎo)下實(shí)現(xiàn)了一種VPN的實(shí)際應(yīng)用，為中小企業(yè)設(shè)計(jì)VPN網(wǎng)絡(luò)提供參考和借鑒。 需求分析隨著公司的發(fā)展壯大，廈門某公司在上海開辦了分公司來(lái)進(jìn)一步發(fā)展業(yè)務(wù)，公司希望總部和分公司、總部與合作伙伴可以隨時(shí)的進(jìn)行安全的信息溝通，而外出辦公人員可以訪問(wèn)到企業(yè)內(nèi)部關(guān)鍵數(shù)據(jù)，隨時(shí)隨地共享商業(yè)信息，提高工作效率。一些大型跨國(guó)公司解決這個(gè)問(wèn)題的方法，就是在各個(gè)公司之間租用運(yùn)營(yíng)商的專用線路。這個(gè)辦法雖然能解決問(wèn)題，但是費(fèi)用昂貴，對(duì)于中小企業(yè)來(lái)說(shuō)是無(wú)法負(fù)擔(dān)的，而VPN技術(shù)能解決這個(gè)問(wèn)題。根據(jù)該公司用戶的需求，遵循著方便實(shí)用、高效低成本、安全可靠、網(wǎng)絡(luò)架構(gòu)彈性大等相關(guān)原則決定采用ISA Server VPN安全方案，以ISA作為網(wǎng)絡(luò)訪問(wèn)的安全控制。ISA Server集成了Windows server VPN服務(wù)，提供一個(gè)完善的防火墻和VPN解決方案。以 ISA VPN作為連接Internet的安全網(wǎng)關(guān)，并使用雙網(wǎng)卡，隔開內(nèi)外網(wǎng)，增加網(wǎng)絡(luò)安全性。ISA具備了基于策略的安全性，并且能夠加速和管理對(duì)Internet的訪問(wèn)。防火墻能對(duì)數(shù)據(jù)包層、鏈路層和應(yīng)用層進(jìn)行數(shù)據(jù)過(guò)濾、對(duì)穿過(guò)防火墻的數(shù)據(jù)進(jìn)行狀態(tài)檢查、對(duì)訪問(wèn)策略進(jìn)行控制并對(duì)網(wǎng)絡(luò)通信進(jìn)行路由。對(duì)于各種規(guī)模的企業(yè)來(lái)說(shuō)，ISA Server 都可以增強(qiáng)網(wǎng)絡(luò)安全性、貫徹一致的Internet 使用策略、加速Internet 訪問(wèn)并實(shí)現(xiàn)員工工作效率最大化。在ISA中可以使用以下三種協(xié)議來(lái)建立VPN連接： u IPSEC隧道模式； u L2TP over IPSec模式； u PPTP； 下表比較了這三種協(xié)議： 表41 ISA中三種協(xié)議對(duì)比表協(xié)議何時(shí)使用安全等級(jí)備注IPSec隧道模式連接到第三方的VPN服務(wù)器高這是唯一一種可以連接到非微軟VPN服務(wù)器的方式L2TP over IPSec連接到ISA Server 2000、ISA Server 2004或者Windows VPN服務(wù)器高使用RRAS。比IPSec隧道模式更容易理解，但是要求遠(yuǎn)程VPN服務(wù)器是ISA Server或者Windows VPN服務(wù)器。PPTP連接到ISA Server 2000、ISA Server 2004或者Windows VPN服務(wù)器中等使用RRAS，