VPN(虚拟专用网络) 下载本文

1. SSL安全通道是在客户到所访问的资源之间建立的,确保点到点的真正安全。无论在内部网络还是在因特网上数据都不是透明的,客户对资源的每一次操作都需要经过安全的身份验证和加密。

2. 若是采取SSL VPN来联机,因为是直接开启应用系统,并没在网络层上连接,黑客不易侦测出应用系统内部网络设置,同时黑客攻击的也只是VPN服务器,无法攻击到后台的应用服务器,攻击机会相对就减少。有的厂商如F5公司的产品,可以对客户端允许访问的地址、协议、端口都加以限制;可以对客户端做各种检查,如操作系统补丁、防病毒软件及病毒库更新时间、个人防火墙等等,不符合条件的客户端可以不允许其登录,这样就大大增加了整个系统的安全性。

3. 而对于SSL VPN的联机,病毒传播会局限于这台主机,而且这个病毒必须是针对应用系统的类型,不同类型的病毒是不会感染到这台主机的。因此通过SSL VPN连接,受外界病毒感染的可能性大大减小。有的厂商如F5公司的产品,自身带有防病毒软件,更可以通过标准协议连接防病毒软件,加强对于病毒的防治。

4. SSL VPN就没有这方面的困扰。因为在远程主机与SSLVPN 之间,采用SSL通讯端口443来作为传输通道,这个通讯端口,一般是作为Web Server对外的数据传输通道,因此,不需在防火墙上做任何修改,也不会因为不同应用系统的需求,而来修改防火墙上的设定,减少IT管理者的困扰。如果所有后台系统都通过SSL VPN的保护,那么在日常办公中防火墙只开启一个443端口就可以,因此大大增强内部网络受外部黑客攻击的可能性。

1.3 SSL VPN相比IPSec VPN有更好可扩展性

对于SSL VPN的性能,一向是IPSec VPN阵营攻击SSL VPN的有力武器。确实,SSL VPN单台的性能是无法与最高端的IPSec VPN相抗衡的,但是由于F5的FirePass可以通过自由堆叠来扩展,反而可以提供更高的性能。

首先我们还是先认识一下IPSec VPN存在的不足之处:

IPSec VPN在部署时一般放置在网络网关处,因而要考虑网络的拓扑结构,如果增添新的设备,往往要改变网络结构,那么IPSec VPN就要重新部署,因此造成IPSec VPN的可扩展性比较差。 其次我们再看看SSL VPN的优势特点:

SSL VPN就有所不同,它一般部署在内网中任一节点处即可,可以随时根据需要,添加需要VPN保护的服务器,因此无需影响原有网络结构。 1.4 在访问控制方面比IPSec VPN更细致

为什么最终用户要部署VPN,究其根本原因,还是要保护网络中重要数据的安全,比如财务部门的财务数据,人事部门的人事数据,销售部门的项目信息,生产部门的产品配方等等。

首先我们还是先认识一下IPSEC存在的不足之处:

由于IPSec VPN部署在网络层,因此,内部网络对于通过VPN的使用者来说是透明的,只要是通过了IPSec VPN网关,他可以在内部为所欲为。因此,IPSec VPN的目标是建立起来一个虚拟的IP网,而无法保护内部数据的安全。所以IPSec VPN又被称为网络安全设备。 其次我们再看看SSL的优势特点:

在电子商务和电子政务日益发展的今天,各种应用日益复杂,需要访问内部网络人员的身份也多种多样,比如可能有自己的员工、控股公司的工作人员、供货商、分销商、商业合作伙伴等等。与IPSec VPN只搭建虚拟传输网络不同的是,SSL VPN重点在于保护具体的敏感数据,比如SSL VPN可以根据用户的不同身份,给予不同的访问权限。就是说,虽然都可以进入内部网络,但是不同人员可以访问的数据是不同的。而且在配合一定的身份认证方式的基础上,不仅可以控制访问人员的权限,还可以对访问人员的每个访问,做的每笔交易、每个操作进行数字签名,保证每笔数据的不可抵赖性和不可否认性,为事后追踪提供了依据。

1.5 SSL VPN比IPSec VPN也具有更好的经济性

假设一个公司有1000个用户需要进行远程访问,那么如果购买IPSec VPN,那么就需要购买1000个客户端许可,而如果购买SSL VPN,因为这1000个用户并不同时进行远程访问,按照统计学原理,假定只有100个用户会同时进行远程访问,只需要购买100个客户端许可即可。 1.6 SSL和IPSec各实现在哪一层的优劣

SSL协议是高层协议,实现在第四层。IPSec实现在第三层。

许多TCP/IP协议栈是这样实现的: TCP、IP 以及IP以下的协议实现在操作系统中,而TCP之上的协议实现在用户进程中(应用程序)。SSL协议的设计思想是在不改变操作系统的情况下部署实现,因此实现在TCP之上,SSL协议要求与应用程序接口(安全套结字API)而不是与TCP接口,也就不与操作系统接口。与SSL协议的设计思想不同,IPSec是在操作系统内部实现安全功能,从而自动地对应用系统实现保护。

SSL实现在TCP之上的安全协议存在一个问题,因为TCP协议本身没有密码的保护,所以只要恶意的代码插入数据包并通过TCP的校验,TCP数据包就不能够觉察到恶意代码的存在,TCP会将这些数据包转发给 SSL,而SSL会接受这些数据包,然后进行完整性验证,最后丢弃这些数据包;但是当真实的数据包到达时,TCP会以为这是重复的数据包,从而丢弃,因为丢弃的包和前一个包有着相同的序列号。SSL别无选择,只好关闭。 同样,IPSec不能对应用程序进行修改就可以运行也有安全问题,因为IPSec可以对源IP地址进行认证,但却无法告诉应用程序真正用户的身份。许多情况下,通信实体往往从不同的地址登录,并被允许访问网络。大多数应用程序需要区分不同的用户,如果IPSec已经认证了用户的身份,那

么理论上它应该把用户的身份告诉给应用程序,但这样就要修改API和应用程序。最大可能就是基于公钥的认证方法,并建立IP地址与用户名的关联方法。

2 Socks5 VPN与IPSec VPN、SSL VPN比较

Socks5 VPN功能是对传统的IPSec VPN和SSL VPN的革新,是在总结了IPSec VPN和SSL VPN的优缺点以后,提出的一种全新的解决方案。 Socks5 VPN运行在会话层,并且提供了对应用数据和应用协议的可见性,使网络管理员能够对用户远程访问实施细粒度的安全策略检查。基于会话层实现Socks5 VPN的核心是会话层代理,通过代理可以将用户实际的网络请求转发给应用服务器,从而实现远程访问的能力。

在实现上,通过在用户机器上安装Socks5 VPN瘦客户端,由瘦客户端监控用户的远程访问请求,并将这些请求转化成代理协议可以识别的请求并发送给Socks5 VPN服务器进行处理,Socks5 VPN服务器则根据发送者的身份执行相应的身份认证和访问控制策略。在这种方式上,Socks5 VPN客户端和Socks5 VPN服务器扮演了中间代理的角色,可以在用户访问远程资源之前执行相应的身份认证和访问控制,只有通过检查的合法数据才允许流进应用服务器,从而有力保护了组织的内部专用网络。 Socks5 VPN与传统的L2TP、IPSec 等VPN相比:

有效地避免了黑客和病毒通过VPN隧道传播的风险,而这些风险是防火墙和防病毒难以克服的,因为他们已经把VPN来访作为安全的授信用户。 基于会话层实现的VPN优化了访问应用和资源提供细粒度的访问控制。 基于代理模式的会话层数据转发减少了隧道传输过程中的数据冗余,从而取得了传统VPN无法媲美的传输效率。

Socks5 VPN同时又保证了对应用的兼容性,避免SSL VPN的以下三大难题:

因为运行在会话层,非应用层,支持传输层以上的所有网络应用程序的访问请求,支持所有TCP应用,无须如SSL VPN那样通过复杂的协议转换来支持各种不同应用所导致的效率损失和很多应用不兼容的两大难题。 还克服了SSL VPN只能组建单向星状网络的尴尬局面,满足了双向互访、多向网状、星状访问的复杂网络环境。

带宽控制

在网络中,服务质量(QoS)是指所能提供的带宽级别。将QoS融入一个VPN,使得管理员可以在网络中完全控制数据流。信息包分类和带宽管理是两种可以实现控制的方法: 信息包分类

信息包分类按重要性将数据分组。数据越重要,它的级别越高,当然,它的操作也会优先于同网络中相对次要的数据。 带宽管理

通过带宽管理,一个VPN管理员可以监控网络中所有输入输出的数据流,可以允许不同的数据包类获得不同的带宽。 其他的带宽控制形式还有: 通信量管理

通信量管理方法的形成是一个服务提供商在Internet通信拥塞中发现的。大量的输入输出数据流排队通过,这使得带宽没有得到合理使用。 公平带宽

公平带宽允许网络中所有用户机会均等地利用带宽访问Internet。通过公平带宽,当应用程序需要用更大的数据流,例如MP3时,它将减少所用带宽以便给其他人访问的机会。 传输保证

传输保证为网络中特殊的服务预留出一部分带宽,例如视频会议,IP电话和现金交易。它判断哪个服务有更高的优先权并分配相应带宽。 网络管理员必须管理虚拟个人网络以及使一个组织正常运作所需的资源。因为远程办公还有待发展,VPN管理员在维护带宽上还有许多问题。然而,新技术对QoS的补充将会帮助网络管理员解决这个问题。

制约因素

在国外,Internet已成为全社会的信息基础设施,企业端应用也大都基于IP,在Internet上构筑应用系统已成为必然趋势,因此基于IP的VPN业务获得了极大的增长空间。Infornetics Research公司预言,在2001年,全球VPN市场将达到120亿美元。据预测,到2004年,北美的VPN业务收入将增至88亿美元。

在中国,制约VPN的发展、普及的因素大致可分为客观因素和主观因素两方面。

1.客观因素包括因特网带宽和服务质量QoS问题。

在过去无论因特网的远程接入还是专线接入,以及骨干传输的带宽都很小,QoS更是无法保障,造成企业用户宁愿花费大量的金钱去投资自己的专线网络或是宁愿花费巨额的长途话费来提供远程接入。现在随着ADSL、DWDM、MPLS等新技术的大规模应用和推广,上述问题将得到根本改善和解决。譬如,过去专线接入速率最高才2Mbps,而从今年开始,中国的企业用户可以享受到10Mbps,乃至100Mbps的Internet专线接入,而骨干网现在最高已达到40Gbps,并且今后几年内将发展到上百乃至上千个Gbps,这已不是技术问题而是时间问题。随着互联网技术的发展,可以说VPN在未来几年内将会得到迅猛发展。