发信人: liwhite(海阔天空)
整理人: firphoenix(2002-02-05 23:11:48), 站内信件
|
随着连入Internet的用户迅速增加,各个公司都在考虑怎样利用Internet来获取更多的 商业利益。早期,公司只是利用Internet宣传其形象和产品,提供WWW访问,现在可以利 用Internet实现网络银行、电子购物、电子商务等。要实现这些新功能就必须采用安全 技术,虚拟专用网(VPN)技术将是重要手段之一。VPN的市场正在迅速增长,2000年可 能会达到数10亿美元。通过Internet传输,VPN可以降低费用、增加灵活性,而且比传统 的网络连接(如通过租用专线和远端拨号访问)更容易管理。 VPN被定以为通过公共网 络(通常是Internet)建立一个临时的、安全的连接,它是对企业内部网的扩展。VPN可 以帮助远程用户、公司分支机构、商业伙伴及供应商与公司的内部网建立可信的安全连 接,并保证数据的安全传输。 然而选择一个合适的VPN解决方案或产品对一个管理人员 来说是困难的,因为每一种解决方案都可提供不同程度的安全性、可用性,并且都各有优 缺点。为了选择一个合适的安全产品,决策者应该首先明确他们公司的商业需求, 例如, 公司是需要将少数几个可信的远地雇员连到公司总部,还是希望为每个分支机构、合作伙 伴、供应商、顾客和远地雇员都建立一个安全连接通道。不管怎样,一个VPN 至少应该能 提供如下功能:加密数据,已保证通过公网传输的信息即使被他人截获也不会泄密。信息 认证和身份认证,保证信息的完整性,合法性,并能鉴别用户的身份。提供访问控制,不同 的用户有不同的访问权限。 2 虚拟专用网的分类及用途 基于Internet建立的VPN,如果实施得当,可以使网络免受病毒感、防止欺骗、防商业 间谍、增强访问控制、增强系统管理、加强认证等。在VPN提供的功能中,认证和加密是 最重要的。访问控制相对比较复杂,因为它的配置与实施策略和所用的工具紧密相关。VP N的三种功能必须相互配合,才能保证真正的安全性。在连到Internet之前,公司应指定相 应的安全策略,清楚地说明不同身份的用户可以访问哪些资源。一个安全的解决方案包括 防火墙、路由器、代理服务器、VPN软件或硬件。 根据不同需要,可以构造不同类型的VP N,不同商业环境对VPN的要求和VPN所起的作用是不一样的。下面分三种情况说明VPN的用 途。在公司总部和它的分支机构之间建立VPN,称为“内部网VPN”。在公司总部和远地雇 员或旅行中的雇员之间建立VPN,称为“远程访问VPN”。在公司和商业伙伴、顾客、供应 商、投资者之间建立VPN,称为“外部网VPN”。 2-1 内部网VPN 内部网VPN是通过公共网络将一个组织的各分支机构的LAN连接而成 的网络,被称为Internet,它使公司网络的扩展。当一个数据传输通道的两个端点被认为 是可信的时候,公司可以选择“内部网VPN”解决方案,安全性主要在于加强两个VPN服务 器之间的加密和认证手段上,如图1所示。大量的数据经常需要通过VPN在局域网之间传 递。可以把中心数据库或其它计算资源连接起来的各个局域网看成是内部网的一部分。 在子公司中有一定访问权限的用户才能通过“ 内部网VPN”访问公司总部的资源,所有端 点之间的数据传输都要经过加密和身份鉴别。如果总公司对分公司或个人有不同的可信 程度,可以通过基于认证的VPN方案来保证信息的安全传输,而不是靠可信的通信子网。这 种VPN的主要任务是保护公司的Internet不被外部入侵,同时保证公司的重要数据流经Int ernet时的安全性。 2-2 远程访问VPN 人们现在开始意识到通过Internet的远程拨号访问所带来的好处 。用Internet作为远程访问的骨干网比传统的方案更容易实现,而且花钱更少。如果一个 用户无论是在家里还是在旅途之中,他想同公司的内部网建立一个安全连接,可以用“ 远 程访问VPN”来实现,如图2所示。典型的远程访问VPN是通过本地的信息服务提供商(ISP )登录到Internet上,并在办公室和公司内部网之间建立一调加密信道。 远程访问VPN的客户端应尽量简单,因为普通雇员一般都缺乏专门训练。客户应可以手工 建立一条VPN信道,即当客户每次想建立一个安全通信信道时,只需安转VP软件。在服务器 端,因为要监视大量用户,有时需要增加或删除用户,这样可能造成混乱,并带来安全风险, 因此服务器应集中并且易于管理。 公司往往制定一种“透明的访问策略”,即使在远地 的雇员也能象坐在公司总部的办公室里一样自由地访问公司的资源。因此首先要考虑的 是所有端到端的数据都要加密,并且只有特定的接收者才能解密。大多数VPN除了加密以 外还要考虑加密密码的强度、认证方法。这种VPN要对个人用户的身份进行认证,而不仅 认证IP地址,这样公司就会知道哪个用户欲访问公司的网络。认证后决定是否允许用户对 网络资源的访问。认证技术可以包括用一次口令、Kerbores认证方案、令牌卡、智能卡 、或者是指纹。一旦一个用户同公司的VPN服务器进行了认证,根据他的访问权限表,他 就有一定的访问权限。每个人的访问权限表由网络管理员制定,并且要符合公司的安全 策略。 有较高安全度的远程访问VPN应能截取到特定主机的信息流,有加密、身份验证 、过滤等功能。 2-3 外部网VPN 外部网VPN为公司合作伙伴、顾客、供应商和在远地的 公司雇员提供安全性。它应能保证包括TCP和UDP服务在内的各种应用服务的安全,例如E mail、Http、FTP、Real、Audio、数据库的安全以及一些应用程序如Java、ActiveX的安 全。因为不同公司的网络环境是不相同的,一个可行的外部网VPN方案应能适用于各种操 作平台、协议、各种不同的认证方案及加密算法。 外部网VPN的主要目标是保证数据在 传输过程中不被修改,保护网络资源不受外部威胁。安全的外部网VPN要求公司在同它的 顾客、合作伙伴及在外地的雇员之间经Internet建立端到端的连接时,必须通过VPN服务 器才能进行。在这种系统上,网络管理员可以为合作伙伴的职员指定特定的许可权,例 如可以允许对方的销售经理访问一个受到保护的服务器上的销售报告。 外部网VPN应是 一个由加密、认证和访问控制功能组成的集成系统。通常公司将VPN代理服务器放在一个 不能穿透的放火 墙隔离层之后,防火墙阻止所有来历不明的信息传输。所有经过过滤后 的数据通过唯一一个入口传到VPN服务器,VPN服务器再根据安全策略来进一步过滤。 VPN可以建立在网络协议的上层,如应用层;也可以建立在较低的层次,如网络层。在应 用层的VPN可以用一个代理服务器实现,这就是说,不直接打开任何公司内部网的连接, 这样有了VPN代理服务器之后,就可以防止IP地址欺骗。所有的访问都要经过代理,这样 管理员就可以知道谁曾企图访问内部网以及他做了多少次这种尝试。 外部网VPN并不假 定连接的公司双方之间存在双向信任关系。外部网VPN在Internet内打开一条隧道(Tunn el),并保证经过过滤后信息传输的安全。当公司将很多商业活动通过公共网络进行交 易时,一个外部网VPN应该用高强度的加密算法,密钥应选在128bit以上。此外应支持多 种认证方案和加密算法,因为商业伙伴和顾客可能有不同的网络结构和操作平台。 外部 网VPN应能根据尽可能多的参数来控制对网络资源的访问,参数包括原地址、目的地址、 应用程序的用途、所用的加密和认证类型、个人身份、工作组、子网等。管理员应能对 个人用户身份进行认证,而不仅仅根据IP地址. 3 安全协议 3-1. SOCKSv5协议 SOCKv5是一个需要认证的放火墙协议。当SOCKS同SSL协议配合使 用时,可作为建立高度安全的VPN的基础。SOCKS协议的优势在访问控制,因此适用于安 全性较高的VPN。 SOCKS现在被IETF建议作为建立VPN的标准,尽管还有一些其他协议, 但SOCKS协议得到了一些著名的公司如MICROSOFT、NETSCAPE、IBM的支持。 优点:SOCKSV5在OSI模型的会话层控制数据流,它定义了非常详细的访问控制。在 网络层只能根据源目的的IP地址允许或拒绝被通过,在会话层控制手段要更多一些。SOX KSV5在客户机和主机之间建立了一条虚电路,可根据对用户的认证进行监视和访问控制 。SOCKSV5和SSL工作在会话层,因此能同低层协议如IPV4、IPSEC、PPTP、L2TP一起使用 。它能提供非常复杂的方法来保证信息安全传输。用SOCKSV5的代理服务器可隐藏网络地 址结构。如果SOCKSV5同放火墙结合起来使用,数据包经唯一的放火墙端口(缺省的是10 80)到代理服务器,由代理服务器过滤发往目的计算机的数据,这样可以防止防火墙上 存在的漏洞。SOCKSV5能为认证、加密和密钥管理提供“插件”模块,可让用户很自由地 采用他们所需要的技术。SOXKSV5可根据规则过滤数据流,包括JAVAAPPLET和ACTIVEX控 制。 缺点:因为SOCKSV5通过代理服务器来增加一层安全性,所以其性能往往比低层次协 议差。尽管比网络层和传输层的方案要更安全,但要比低层次协议需要制定更为复杂的 安全管理策略。 3-2. IPSec协议 IPSec协议是一个范围广泛,开放的VPN安全协议。IPS ec适应向Ipv6迁移,它提供所有在网络层上的数据保护,提供透明的安全通信。IPSec用 密码技术从三个方面来保证数据的安全。 通过认证,对主机和端点进行身份鉴别。利用 完整性检查来保证数据在通过网络传输时没有被修改。加密IP地址和数据以保证私有性 。 IPSec协议可以设置成在两种模式下运行:一种是隧道(tunnel)模式,一种是传输( transport) 模式。在隧道模式下,IPSec把Ipv4数据包封装在安全的IP帧中,这样保证 从一个防火墙到另一个防火墙时的安全性,信息封装是为了保护端到端的安全性,即在 这种模式下不会隐藏路由信息。隧道模式是最安全的,但会带来较大的系统开销。IPSec 现在还不完全成熟,但它得到了一些路由器厂商和硬件厂商的大力支持。预计它今后将 成为VPI的主要标准。IPSec有扩展能力,可适应未来商业的需要。在1997年底,IETF安 全工作组完成了IPSec的扩展,在IPSec协议中加上ISAKMP(Internet Security Association and Key Management Protocol)协议,其中还包括一个密钥分配协议Oakle y。ISAKMP/Oakley支持自动建立加密信道,以及密钥的自动安全分发和更新。IPSec也可 以用于连接其它层已存在的通信协议,如支持安全电子交易协议SET(Secure Electronic Transaction) 协议和SSL(Secure Socket Layer)协议了,即使不用SET或SS L,IPSet都提供认证和加密手段以保证信息的传输。 优点:它定义了一套用于认证,保 护私有性和完整性的标准协议。IPSec支持一系列加密算法如DES,三重DES,IDEA。它检 查传输的数据包的完整性,以确保数据没有被修改。IPSec用来在多个防火墙和服务器之 间提供安全性。IPSec可确保运行在TCP/IP协议上的VPN之间的互操作性。 缺点:IPSec 在客户机/服务器模式下实现有一些问题,在实际运用中,需要公钥来完成。IPSec需要 已知范围的IP地址或固定范围的IP地址,因此在动态分配地址时不太适合于IPSec。除了 TCP/IP协议以外,IPSec不支持其它协议。除了包过滤外,它没有指定其它访问控制方法 。可能它的最大缺点是微软公司对IPSec的支持不够。 3-3 PPTP/L2T协议 PPTP(Point To Point Tunneling Protocol)协议是微软公司提出来的,PPTP已被嵌入到NT4操作系统 中,并被用于Microsoft的路由和远程访问服务,它是数据链路层上的协议。PPTP用IP包 来封闭PPP协议,用简单的包过滤和微软域网络控制来实现访问控制。L2TP(Layer 2 Tunneling Protocol)协议是PPTP协议和Cisco公司的L2F(Layer 2 Forwarding)组合而成 ,可用于基于Internet的远程拨号方式访问。它有能力为使用PPP协议的客户端建立拨号 方式的VPN连接。L2TP也可用于传输多种协议数据,如NetBIOS。当PPTP和L2TP一起使用 时,还可提供较强的访问控制能力。 优点:PPTP/L2TP对用微软操作系统的用户来说很方便,因为微软已把它作为路由软 件的一部分。PPTP/L2TP支持其它网络协议,如Novell的IPX,NetBEUI和AppleTalk协议 ,还支持流量控制。它通过减少丢弃包来改善网络性能,这样可减少重传。 缺点:将不安全的IP包封装在安全的IP包内,它们用IP帧在两台计算机之间创建和 打开数据通道,一旦通道打开,源和目的地身份就不再需要,这样可能带来问题。它不 对两个节点间的信息传输进行监视或控制。PPTP和L2TP限制同时最多只能连接255个用户 。端点用户需要在连接前手工建立加密信道。认证和加密受到限制,没有强加密和认证 支持。 表1 OSI七层模型 安全技术 安全协议` 应用层 表示层 应用代理 会话层 传输 层 会话层代理 SOCKSv5 网络层 数据链路层 物理层 包过滤 IPSec PPTP/L2TP 表1列出 了OSI参考模型与相应层次的安全技术和所用安全协议。基于SOCKSv5的VPN最适合用于客 户机到服务器的连接模式,适合用于外部网VPN。PPTP和L2TP适合可信的LAN到LAN之间的 VPN,即内部网VPN。PPTP和L2TP最适合用于远程访问VPN。 4 . 未来的虚拟专用网方案 N方案可能包括: 1. -适用于各种操作系统和平台。 2. -适应现在的IP地 址分配协议Ipv4,也能很容易地升级到Ipv6。 3. -包含有防火墙的功能 4. -可以在路 由器上嵌入IPsec协议和防火墙技术。 5. 提供综合的VPN管理能力,包括对安全策略, 证书,IP地址及密钥的管理能力。 6. 支持在不断扩展的网络应用服务上提供VPN的能力 VPN技术是一门非常新的技术,它能为我们通过Internet建立可靠的安全连接,因此未 来的VPN将会得到不断发展。
----
海阔凭鱼跃天高任鸟飞 |
|