VPN(Virtual Private Network,虚拟专用网)是指将在物理上分布于不同区域的网络通过公用骨干网络连接成的逻辑上的虚拟子网,它采用数据加密技术、身份认证技术、隧道技术和密钥管理技术等关键技术实施通信保护,防止通信信息被泄露、篡改和复制。
当前,随着VPN技术的日趋成熟,已经有越来越多的企业和机构采用VPN技术来构建自己的虚拟专用网络以达到灵活扩展自身内部网络、连接跨区域分支网络等目的。与传统的物理专用网络相比,VPN具有组网成本低、通信安全、管理方便、扩展性强、可靠的服务质量(QoS)等特点。
按照实现技术的不同,VPN可分为PPTP(Point-to-Point Tunneling Protocol),L2TP(Layer 2 Tunneling Protocol),MPLS(Multi-Protocol Label Switch)、IPSec(Internet Protocol Security)与SSL(Secure Sockets Layer)等几种。其中,基于MPLS技术的VPN与基于IPSec协议及SSL协议的VPN是目前应用最为广泛的三种VPN解决方案。
下面分别对这三种技术进行比较与分析。
1 IPSec VPN与MPLS VPN及SSL VPN的工作原理
1.1 IPSec VPN
IPSec(Internet Protocol Security)是IETF提供Internet安全通信的一系列规范,它提供私有信息通过公用网的安全保障。IPSec组件包括安全协议认证头(AH)和封装安全载荷(ESP)、密钥交换(IKE)、安全联盟(SA)及加密和验证算法等。IPSec是在网络层实现数据加密和验证,提供端到端的网络安全方案,可以提供访问控制、数据源的验证、无连接数据的完整性验证,数据内容的机密性、抗重防保护以及有限的数据流机密性保证等服务。
IPSec协议为IPv4与IPv6提供可互操作的、高质量的、基于加密体制的安全方案。它包括访问控制、无连接的完整性、数据源认证、防止重播攻击、信息加密与流量保密等安全服务。所有这些服务都建立在IP层,并保护上层的协议。这些服务通过使用两个安全协议:认证头AH[RFC2402]和封装安全载荷ESP[RFC2406],以及通过使用加密密钥管理过程和协议来实现。
IPSec VPN是一项成熟的技术,目前有许多基于硬件的解决方案来保障它的高性能,是远程办公室点对点互联的优选方案。
1.2 MPLS VPN
MPLS(Multi-Protocol Label Switching,多协议标签交换)是由Cisco提出的新一代IP骨干网络交换标准,介于第二层和第三层之间的交换技术,所以它既可以兼容多种链路层技术,又能支持多种网络层的协议,实现了边缘的路由和核心的交换。
MPLS VPN是一种基于MPLS技术的VPN,在网络路由与交换设备上使用MPLS技术,应用标签交换,通过LSP将私有网络的不同分支联结起来,并结合传统的路由技术。适用于多点到多点的连接。MPLS作为骨干网络的一种路由转发的新模式,必须由LSR(Label Switch Router,标签交换路由器)构建,普通路由器无法完成。如果网络规模比较大。则可能需要较多的LSR。
1.3 SSL VPN
SSL(Secure Socket Layer,安全套接层)协议是由网景(Netscape)公司提出的基于Web的安全协议,它是一种在Internet上保证发送信息安全的通用协议,处于应用层。SSL用公钥加密通过SSL连接传输的数据来工作。SSL协议指定了一种在应用程序协议(如HTTP、Telnet,SMTP和FTP等)与TCP/IP协议之间进行数据交换的安全机制,为TCP/IP连接提供数据加密、服务器认证以及可选的客户机认证。SSL协议包括握手协议,记录协议以及警告协议三部分。握手协议负责确定用于客户机与服务器间的会话加密参数。记录协议用于交换应用数据。警告协议用于在发生错误时终止两个主机之间的会话。尽管SSL协议并非为实现VPN而设计,但SSL对VPN实现所需的数据加密、身份认证与密钥管理等关键技术提供了良好的支持。
SSL VPN是工作在应用层(基于HTTP协议)与TCP层之间的,能够提供安全的远程接入。SSL VPN利用浏览器内建的安全套接层(SSL)封包处理功能,通过浏览器连回公司内部的SSLVPN服务器,然后通过网络封包转向的方式,令客户可以在远程计算机执行应用程序,读取公司内部服务器数据。SSLVPN采用标准的安全套接层(SSL)对传输中的数据包进行加密,从而在应用层保护了数据的安全性。通过SSL VPN可以实现远程访问企业内部网络的构架。
2 IPSec VPN,MPLS VPN与SSL VPN的比较及分析
2.1 安全性比较与分析
IPSec VPN采用了对称式(Symmetric)与非对称式(Asymmetric)的加密算法以及摘要算法等。通过身份认证、数据加密、数据完整性校验等多种方式保证了接入的安全性、数据的私密性,其安全性高。MPLS VPN采用路由与地址隔离以及信息隐藏等多种方法来抗攻击与标记欺骗,但它并没有解决所有管理型的共享网络普遍存在的非法访问受保护的网络元、错误配置以及内部攻击等安全问题。MPLS本身并未提供加密与验证的安全功能,它可以集成IPSec协议以提供安全保护。因而其安全性一般。SSL VPN与IPSec VPN一样,也采用了对称式与非对称式的加密算法执行加密作业,其安全通道是端到端的,通信端口少。因而降低了受外部黑客攻击的可能性,并且受客户端病毒感染的可能性也很小,故其安全性较高。
2.2 认证方式与管理的比较及分析
IPSec采用了因特网密钥变换(Internet Key Exchange)方式,使用数字凭证(Digital Certificate)或者一组Secret Key做认证。对于IPSec VPN,由于一个新用户节点的增加,删除或修改均需要重新设置现有的所有节点,并在客户端安装复杂的软件及配置。另外,IPSec VPN对客户端采用的操作系统也具有较高的要求,不同的终端操作系统需要不同的客户端软件,其易管理性差。SSL仅能使用数字凭证,若都采用数字凭证来认证,SSL与IPSec在认证的安全等级上则没有太大的差别。大多数厂商对SSL的认证均会建置硬件令牌(Token)以提升认证的安全性。在实际作业时,大多数人均在整个网段(Subset)上进行开发以避免太多的设定所带来的麻烦。SSL可以设定不同的使用者以执行不同的应用系统,另外浏览器中也内置了SSL协议,客户端不需要安装软件,不需要配置。因而,SSL在管理和设定上比IPSec简单方便得多,便于管理。对于MPLS VPN,由于在同一VPN的成员之间不需要建立与维护连接,若有新成员加入,ISP仅需要告知用户端的设备如何与网络连接,并配置PE来识别来自CE的VPN成员,BGP便会自动更新相关配置,用户不需要手动升级或改变自己的边缘设备。MPLS VPN并不需要客户端管理软件,因而易于管理。
2.3 成本的比较
MPLS VPN对于用户而言,其一次性投入的成本较低,但长期投入的资金比较高。对于IPSec VPN,在实施IPSec方案时不仅需要人工发放认证的材料,用户还需要知道所使用的加密和认证算法,内网路由配置等诸多繁琐事宜,还需要预装客户端软件等。这些不便在大规模实施过程中给用户带来了难以负担的工作量和费用,其投入的成本较高。由于SSL VPN客户端则不需要安装客户端软件,因为浏览器内置了SSL协议,其投入的成本最少。
3 结语
通过上述比较分析可看出,三种VPN技术各具特色,互有长短。IPSec VPN与SSL VPN这两种VPN架构,从整体的安全等级来看,它们均能提供安全的远程登入存取联机。但SSL VPN在其易用性及安全层级上,均比IPSec VPN高。由于Internet的快速扩展,针对远程安全登入的需求也日益增加。因此,在实际选择VPN时,应根据实际需求,可以某种VPN技术为主,结合其他技术,充分发挥它们各自的优势,让VPN网络为企业和员工提供更好的服务。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:主流VPN技术的比较与分析
相关文章
