VPN技術與DDNS專線比較的優勢

一.原理概述:

隨著網絡,尤其是網絡經濟的發展,企業日益擴張,客戶分布日益廣泛,合作伙伴日益增多,這種情況促使了企業的效益日益增長,另一方面也越來越凸現傳統企業網的功能缺陷:傳統企業網基于固定物理地點的專線連接方式已難以適應現代企業的需求?于是企業對于自身的網絡建設提出了更高的需求,主要表現在網絡的靈活性?安全性?經濟性?擴展性等方面?在這樣的背景下, VPN 以其獨具特色的優勢贏得了越來越多的企業的青睞,令企業可以較少地關注網絡的運行與維護,而更多地致力于企業的商業目標的實現,但它與傳統的專有網絡,例如數字數據網( Digital Data Network )是利用數字信道傳輸數據信號的數據傳輸網,它的傳輸媒介有光纜?數字微波?衛星信道以及用戶端可用的普通電纜和雙絞線?利用數字信道傳輸數據信號與傳統的模擬信道相比,具有傳輸質量高?速度快?帶寬利用率高等一系列優點?虛擬專用網( Virtual Private Network )被定義為通過一個公用網絡(通常是 Internet )建立一個臨時的?安全的連接,是一條穿過混亂的公用網絡的安全?穩定的隧道?虛擬專用網是對企業內部網的擴展?虛擬專用網可以幫助遠程用戶?公司分支機構?商業伙伴及供應商同公司的內部網建立可信的安全連接,并保證數據的安全傳輸?虛擬專用網可用于不斷增長的移動用戶的全球因特網接入,以實現安全連接;可用于實現企業網站之間安全通信的虛擬專用線路,用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網?

二?VPN 協議簡介

要使數據順利地被封裝?傳送及解封裝,通信協議是保證的核心?目前 VPN 隧道協議有 4 種:點到點隧道協議 PPTP ?第二層隧道協議 L2TP ?網絡層隧道協議 IPSec 以及 SOCKS v5 ,它們在 OSI 七層模型中的位置如表所示?各協議工作在不同層次,無所謂誰更有優勢?但我們應該注意,不同的網絡環境適合不同的協議,在選擇 VPN 產品時,應該注意選擇?

1 .點到點隧道協議 —PPTPPPTP 協議將控制包與數據包分開,控制包采用 TCP 控制,用于嚴格的狀態查詢及信令信息;數據包部分先封裝在 PPP 協議中,然后封裝到 GRE V2 協議中?目前, PPTP 協議基本已被淘汰,不再使用在 VPN 產品中?

2 .第二層隧道協議 —L2TPL2TP 是國際標準隧道協議,它結合了 PPTP 協議以及第二層轉發 L2F 協議的優點,能以隧道方式使 PPP 包通過各種網絡協議,包括 ATM ? SONET 和幀中繼?但是 L2TP 沒有任何加密措施,更多是和 IPSec 協議結合使用,提供隧道驗證?

三?隧道協議在 OSI 七層模型中的位置

1?IPSec 的安全性描述

IPSec ( 1P Security )產生于 IPv6 的制定之中,用于提供 IP 層的安全性?由于所有支持 TCP / IP 協議的主機進行通信時,都要經過 IP 層的處理,所以提供了 IP 層的安全性就相當于為整個網絡提供了安全通信的基礎?鑒于 IPv4 的應用仍然很廣泛,所以后來在 IPSec 的制定中也增添了對 IPv4 的支持?最初的一組有關 IPSec 標準由 IETF 在 1995 年制定,但由于其中存在一些未解決的問題,從 1997 年開始 IETF 又開展了新一輪的 IPSec 的制定工作,截止至 1998 年 11 月份主要協議已經基本制定完成?不過這組新的協議仍然存在一些問題,預計在不久的將來 IETF 又會進行下一輪 IPSec 的修訂工作?

2?IPSec 基本工作原理 IPSec 的工作原理(如下圖所示)類似于包過濾防火墻,可以看作是對包過濾防火墻的一種擴展?當接收到一個 IP 數據包時,包過濾防火墻使用其頭部在一個規則表中進行匹配?當找到一個相匹配的規則時,包過濾防火墻就按照該規則制定的方法對接收到的 IP 數據包進行處理? 這里的處理工作只有兩種:丟棄或轉發?IPSec 通過查詢 SPD ( Security P01icy Database 安全策略數據庫)決定對接收到的 IP 數據包的處理?但是 IPSec 不同于包過濾防火墻的是,對 IP 數據包的處理方法除了丟棄,直接轉發(繞過 IPSec )外,還有一種,即進行 IPSec 處理?正是這新增添的處理方法提供了比包過濾防火墻更進一步的網絡安全性?進行 IPSec 處理意味著對 IP 數據包進行加密和認證?包過濾防火墻只能控制來自或去往某個站點的 IP 數據包的通過,可以拒絕來自某個外部站點的 IP 數據包訪問內部某些站點,.也可以拒絕某個內部站點方對某些外部網站的訪問?但是包過濾防火墻不能保證自內部網絡出去的數據包不被截取,也不能保證進入內部網絡的數據包未經過篡改?只有在對 IP 數據包實施了加密和認證后,才能保證在外部網絡傳輸的數據包的機密性,真實性,完整性,通過 Internet 進新安全的通信才成為可能?IPSec 既可以只對 IP 數據包進行加密,或只進行認證,也可以同時實施二者?但無論是進行加密還是進行認證, IPSec 都有兩種工作模式,一種是與其前一節提到的協議工作方式類似的隧道模式,另一種是傳輸模式?傳輸模式,如圖 2 所示,只對 IP 數據包的有效負載進行加密或認證?此時,繼續使用以前的 IP 頭部,只對 IP 頭部的部分域進行修改,而 IPSec 協議頭部插入到 IP 頭部和傳輸層頭部之間?隧道模式,如圖 3 所示,對整個 IP 數據色進行加密或認證?此時,需要新產生一個 IP 頭部, IPSec 頭部被放在新產生的 IP 頭部和以前的 IP 數據包之間,從而組成一個新的 IP 頭部?

四?IPSec 中的三個主要協議 前面已經提到 IPSec 主要功能為加密和認證,為了進行加密和認證 IPSec 還需要有密鑰的管理和交換的功能,以便為加密和認證提供所需要的密鑰并對密鑰的使用進行管理?以上三方面的工作分別由 AH , ESP 和 IKE 三個協議規定?為了介紹這三個協議,需要先引人一個非常重要的術語棗 SA ( Securlty Association 安全關聯)?所謂安全關聯是指安全服務與它服務的載體之間的一個“連接”? AH 和 ESP 都需要使用 SA ,而 IKE 的主要功能就是 SA 的建立和維護?只要實現 AH 和 ESP 都必須提供對 SA 的支持?通信雙方如果要用 IPSec 建立一條安全的傳輸通路,需要事先協商好將要采用的安全策略,包括使用的加密算法?密鑰?密鑰的生存期等?當雙方協商好使用的安全策略后,我們就說雙方建立了一個 SA ? SA 就是能向其上的數據傳輸提供某種 IPSec 安全保障的一個簡單連接,可以由 AH 或 ESP 提供?當給定了一個 SA ,就確定了 IPSec 要執行的處理,如加密,認證等? SA 可以進行兩種方式的組合,分別為傳輸臨近和嵌套隧道?

1 .ESP ( Encapsulating Secuity Fayload )ESP 協議主要用來處理對 IP 數據包的加密,此外對認證也提供某種程度的支持? ESP 是與具體的加密算法相獨立的,幾乎可以支持各種對稱密鑰加密算法,例如 DES , TripleDES , RC5 等?為了保證各種 IPSec 實現間的互操作性,目前 ESP 必須提供對 56 位 DES 算法的支持?ESP 協議數據單元格式三個部分組成,除了頭部?加密數據部分外,在實施認證時還包含一個可選尾部?頭部有兩個域:安全策略索引( SPl )和序列號( Sequencenumber )?使用 ESP 進行安全通信之前,通信雙方需要先協商好一組將要采用的加密策略,包括使用的算法?密鑰以及密鑰的有效期等?“安全策略索引”使用來標識發送方是使用哪組加密策略來處理 IP 數據包的,當接收方看到了這個序號就知道了對收到的 IP 數據包應該如何處理?“序列號”用來區分使用同一組加密策略的不同數據包?加密數據部分除了包含原 IP 數據包的有效負載,填充域(用來保證加密數據部分滿足塊加密的長度要求)包含其余部分在傳輸時都是加密過的?其中“下一個頭部( Next Header )”用來指出有效負載部分使用的協議,可能是傳輸層協議( TCP 或 UDP ),也可能還是 IPSec 協議( ESP 或 AH )?

通常, ESP 可以作為 IP 的有效負載進行傳輸,這 JFIP 的頭 UKB 指出下廣個協議是 ESP ,而非 TCP 和 UDP ?由于采用了這種封裝形式,所以 ESP 可以使用舊有的網絡進行傳輸?

前面已經提到用 IPSec 進行加密是可以有兩種工作模式,意味著 ESP 協議有兩種工作模式:傳輸模式( Transport Mode )和隧道模式( TunnelMode )?當 ESP 工作在傳輸模式時,采用當前的 IP 頭部?而在隧道模式時,侍整個 IP 數據包進行加密作為 ESP 的有效負載,并在 ESP 頭部前增添以網關地址為源地址的新的 IP 頭部,此時可以起到 NAT 的作用?

2 .AH ( Authentication Header )AH 只涉及到認證,不涉及到加密? AH 雖然在功能上和 ESP 有些重復,但 AH 除了對可以對 IP 的有效負載進行認證外,還可以對 IP 頭部實施認證?主要是處理數據對,可以對 IP 頭部進行認證,而 ESP 的認證功能主要是面對 IP 的有效負載?為了提供最基本的功能并保證互操作性, AH 必須包含對 HMAC-SHA 和 HMAC- MD5 ( HMAC 是一種 SHA 和 MD5 都支持的對稱式認證系統)的支持?

AH 既可以單獨使用,也可在隧道模式下,或和 ESP 聯用?

3 .IKE ( Internet Key Exchange )IKE 協議主要是對密鑰交換進行管理,它主要包括三個功能: 對使用的協議?加密算法和密鑰進行協商?

方便的密鑰交換機制(這可能需要周期性的進行)?

跟蹤對以上這些約定的實施?

五?DDN 和 VPN 安全性比較

一般在DDN線路中,都是采用專用線路,沒有與公眾線路連接在一起,所以在很大程度上與VPN相比,容易導致安全上的誤解?

從實際使用上看,由于DDN線路的專用性,所以也大大減少了其被攻擊破壞的可能性?

但是另外一方面,從原理上分析,數據在DDN網絡上面傳輸其實是不安全的,數據傳送的過程中可能會被人竊取?修改等;數據在VPN虛擬專網中傳輸的過程是安全的,通過加密?身份認證?封包認證等過程保證數據包在傳送的過程中不被竊取?刪除和修改?

六?總結

其實DDN是專有網絡最傳統的方式?以Cisco為代表的產品都是這樣去解決?在歐美發達國家,由于固定IP地址的費用比較低,DDN方式的專用網絡很容易實現,而在亞洲許多國家,IP地址比較匱乏,從而使得DDN固定IP的費用非常昂貴?客觀的說,DDN的專有網絡無疑是穩定的,雖然配置要求專業人員,也能形成網狀的連接?但是從購買設備?安裝調試和后期的維護的費用都是巨大的,而且還有每月高昂的通訊費用,這都將在國內制約著DDN專有網絡的發展?隨著IP技術的發展和國內骨干網絡帶寬的不斷提高,VPN越來越能滿足用戶安全性?高效性和靈活性等要求?可以相信,在未來幾年內,VPN架構的企業信息化網絡是主流方式?

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]