概 述
VPN(虚拟专用网)是建立在公共网络基础设施上的虚拟专用网络。虚拟,是因为它不提供物理上的端到端的专有连接;专用,是因为它只为某一企业、团体服务。VPN 的主要目标是建立一种灵活、低成本、可扩展的网络互联手段,以替代传统的长途专线连接和远程拨号连接,但同时VPN 也是一种实现企业内部网络安全隔离的有效方式。VPN 技术需要解决的主要问题有两个:实现低成本的互联互通和安全通信。随着Internet规模的高速膨胀,越来越多的电信运营商都将自己的网络朝IP化的方向发展。受此影响,VPN技术也转向IP化。
IPVPN的历史
20世纪90年代中前期,人们主要使用L2TP和PPTP来构建VPN。PPTP和L2TP都是OSI较早期的VPN协议,今天使用仍然相当广泛。前者是微软在1996年制定,后者则由Cisco与微软在PPTP和L2F的基础上制定。第二层协议对PPP协议本身并没有做任何修改,只是将用户的PPP帧基于GRE封装成IP报文。PPTP和L2TP均具有简单易用的优点,但是它们的可扩展性都不好。PPTP和L2TP限制同时最多只能连接255个用户。更重要的是,它们都没有提供内在的安全机制。端点用户需要在连接前手工建立加密信道,认证和加密受到限制,没有强加密和认证支持。安全程度差、组网能力不强是PPTP/L2TF简易型VPN最大的弱点。
从20世纪90年代中后期开始,基于IPsec协议的VPN模式受到人们重视,逐步成为企业VPN的主流。IPsec是IETF完善的安全标准,它把几种安全技术结合在一起形成一个较为完整的体系,通过对数据加密、认证、完整性检查来保证数据传输的可靠性、完整性和机密性。IPsec由IP认证头AH、IP安全载荷封载ESP和密钥管理协议组成。IPsec是目前支持最广泛的VPN协议。
MPLS VPN也是由IETF制定的、与IPsec互补的VPN标准。MPLS VPN广泛用于ISP直接向VPN客户提供专线VPN的服务。
进入21世纪,基于SSL协议的SSL VPN产品开始出现。SSL是一种建立在应用层上的高层安全协议,它保证在Internet上可以安全地传输信息,是目前Internet上应用最广泛的安全协议。SSL VPN使用SSL协议和代理为终端用户提供HTTP、客户机/服务器和共享的文件资源的访问认证和访问安全,以其不需要客户端软件和硬件、容易使用、不受时间和地点的限制等优势,迅速得到发展。
VPN产品新趋势
基于Internet构建的IPVPN具有传统VPN架构和Internet多样性的优点:IPVPN既具有Internet所提供的通用连接性和对距离的不敏感性,同时又可以提供VPN所具有的无可比拟的、充裕的逻辑连接。IPVPN能够将企业的网络扩展到远程站点、远程工作者、移动工作者,从而削减现有企业网络各站点之间的通信成本,减少经费支出,提高企业经济效益。因为IPVPN具备如此多诱人的优点,越来越多的企业和机构都希望依托Internet构建自己的VPN。近年来,市场上出现越来越多的VPN产品,这些能满足各种VPN需求的产品使构建VPN的门槛越来越低。当VPN开始具备大众化的趋势时,它的发展将出现新趋势,从而适应用户对VPN产品更多、更高的要求。
· 简单易用
随着VPN的普及,越来越多的非专业人员开始承担VPN的维护工作。这些维护人员通常只具备基本的网络和信息安全知识,甚至有部分人员只是普通的用户。这就要求VPN产品必须具备简单易用的特点。
对VPN网关,要求最好支持基于Web的配置,不需要安装专用的软件,只需要使用浏览器就能对设备进行管理。网关的配置管理系统对复杂操作应提供向导,这样才能大大简化配置流程,降低对设备管理员的专业技术要求。
网络设备一般都提供基于Console口的命令行配置, 任何设备配置和管理操作,都可以通过命令完成。为了降低配置管理复杂度,VPN网关最好能提供基于菜单的配置方式,管理员不需要记忆复杂的配置命令,只需要通过选择菜单就能完成配置操作。
针对常见的应用,VPN网关的配置管理系统最好能提供配置模板,缺省配置就能满足大部分的需要,这样可以大大缩短设备部署时间,降低了维护用的难度。
随着网络规模的不断扩大和VPN网关部署数量的不断增多,对VPN网关的正确配置和管理日渐重要,可以采用两种方式解决多设备环境中的正确设备配置和管理问题:
· 对于小规模的VPN应用,采用自动配置下载的方式。VPN网关具备小型策略服务器的功能,使下级网关和客户端实现“零”配置功能。VPN网关管理员和客户端用户只需要配置身份信息,当通过了身份认证后,VPN网关和客户端会自动从上级网关获取所有的配置信息,然后不需要人工干预,就能自动完成相关的配置操作。
· 对大中规模的VPN应用,提供集中安全管理系统,以统一的策略和集成的平台对被管网络进行统一的安全配置和管理。管理中心管理员通过集中管理中心可以对全局网络中的安全网关完成集中、统一的配置、管理和系统监视工作。
多设备应用中的配置管理一致性问题的解决,可以提高网络的可维护性,保证网络的整体稳定性,大大降低VPN网络维护成本。
· 安全性高
因为Internet自身的高度开放性和自由性,使基于Internet构建的VPN面临着比传统VPN更多的安全威胁。因此,目前的VPN网关往往都和防火墙配合使用,或者有些VPN网关产品本身就具备一定的防火墙功能,从而使VPN网关成为集多种安全功能于一体的安全网关。众所周知,VPN技术通过建立安全隧道,实现了物理分离的多个私有网络之间的互联。但是,安全隧道带来这种便捷性的同时,也带来了新的安全威胁。使原本只针对一个私有网络的安全威胁扩大到了多个网络。VPN的应用,使企业内网外网的概念和划分越来越模糊,从而对网关类产品提出了更高的要求。这个要求就是要对企业网络进行全方位的细粒度安全防护。如果简单地在某一个地点实施安全检查,往往效果比较差,并且会带来瓶颈效应。因此,现在的安全解决方案,都要求在多点对网络进行立体防护。采用分布式防火墙技术,可以实现安全策略的集中制定,多点执行,从而形成立体的保护网络,有效地保护内部网络免遭各种网络攻击(见图1)。
图1 分布式访问控制
VPN网关和客户端应该支持在VPN隧道中应用多种加密算法。目前AES加密算法已经被业界证明比目前主流的3DES算法更安全、更难以被破解,是未来商业加密算法的首选。VPN产品应该增加对AES算法的支持来满足用户的安全通信需要。
为了防止通信过程中的加密密钥被暴力破解,VPN网关和客户端都应该支持动态密钥协商技术,能够定期协商新的通信加密密钥。
VPN网关和客户端应该支持数字证书的身份认证方式,从而有效地防止身份被假冒的可能,保证VPN通信的安全。考虑到VPN客户端的移动特性,客户端还应该支持基于USBKEY的双因子或一次性口令的高强度认证机制,从而杜绝任何可能的身份假冒行为。
