淺談適合企業的VPN技術
VPN的主要目標是建立一種靈活、低成本、可擴展的網絡互連手段,以替代傳統的長途專線連接和遠程撥號連接,但同時VPN也是一種實現企業內部網安全隔離的有效方式。VPN技術需要解決的主要問題概括起來就是:實現低成本的互通和安全。
企業網絡互聯的基本安全要素
企業通過公網實現跨地域的系統互聯必然面臨安全問題。使用公用網絡會導致機構間的傳輸信息容易被竊取,同時攻擊者有可能通過公網對機構的內部網絡實施攻擊,因此虛擬專用網的重點在于建立安全的數據通道,該通道應具備以下的基本安全要素
保證數據的真實性,通信主機必須是經過授權的,要有抵抗地址假冒(IP Spoofing)的能力。
保證數據的完整性,接收到的數據必須與發送時的一致,要有抵抗不法分子纂改數據的能力。
保證通道的機密性,提供強有力的加密手段,必須使偷聽者不能破解攔截到的通道數據。
提供動態密鑰交換功能和集中安全管理服務。
提供安全防護措施和訪問控制,具有抵抗黑客通過VPN通道攻擊企業網絡的能力,并且可以對VPN通道進行訪問控制。
需要強調指出的是:網絡信息系統是由人參與的信息系統環境,建立良好的安全組織和管理是首要的安全需求,也是一切安全技術手段得以有效發揮的基礎。企業需要的是集組織、管理和技術為一體的完整的安全解決方案。
VPN技術基礎
實現一個完整的VPN的主要基礎技術包括隧道技術、密碼技術和網絡訪問控制技術。隧道技術使得各種內部數據包可以通過公網進行傳輸;密碼技術用于加密隱蔽傳輸信息、認證用戶身份、抗否認等,網絡訪問控制技術用于對系統進行安全保護,抵抗各種外來攻擊。
隧道技術
由于受到Internet網絡中IP地址資源短缺的影響,各企業內部網絡使用的多為私有IP地址,從這些地址發出的數據包是不能直接通過Internet傳輸的, 而必須代之以合法的IP地址。有多種方法可以完成這種地址轉換,如靜態IP地址轉換、動態IP地址轉換、端口替換、數據包封裝等,對于VPN而言,數據包封裝(隧道)是最常用的技術。數據包封裝發生在VPN的發送節點,此時需將原數據包打包,添加合法的外層IP包頭,這個包可通過公網被傳送到接收端的VPN節點,該節點接收后進行拆包處理,還原出原報文后傳述給目標主機。幾乎所有的VPN技術均采用了數據包封裝技術。
密碼技術
密碼技術是實現網絡安全的最有效的技術之一,實際上,數據加密作為一項基本技術已經成為所有通信數據安全的基石。在多數情況下,數據加密是保證信息機密性的唯一方法。一個加密網絡,不但可以防止非授權用戶的搭線竊聽和 入網,而且也是對付惡意軟件的有效方法,這使得它能以較小的代價提供很強的安全保護。
數據加密過程是由各種加密算法來具體實施,按照收發雙方密鑰是否相同來分類,可以將這些加密算法分為對稱密碼算法和非對稱密碼算法(公鑰算法)。
對稱密鑰密碼算法的收信方和發信方使用相同的密鑰,即加密密鑰和解密密鑰是相同或等價的。最著名的對稱密碼算法為美國的DES算法及其各種變形。對稱密碼算法的優點是有很強的保密強度和較快的運算速度,但其密鑰必須通過安全的途徑傳送。因此,其密鑰管理成為系統安全的重要因素。
非對稱密鑰(公鑰)密碼算法的收信方和發信方使用的密鑰互不相同,而且幾乎不可能從加密密鑰推導出解密密鑰,這些特性使其成為實現數字簽名的最佳選擇。由于非對稱密碼算法加密速度慢,不適宜直接對實時的和大量的數據加密。在IPSec實現中,非對稱算法(證書)用于自動協商隧道密鑰(對稱密鑰),從而可大大簡化密鑰的管理工作。在IP最著名也是應用最為廣泛的公鑰密碼算法是RSA算法。
網絡訪問控制技術
網絡訪問控制技術對出入廣域網的數據包進行過濾,即傳統的防火墻功能。由于防火墻和VPN均處于公網出口處,在網絡中的位置基本相同,而其功能具有很強的互補性,因此一個完整的VPN產品應同時提供完善的網絡訪問控制功能,這可以在系統的安全性、性能及統一管理上帶來一系列的好處。
VPN技術的介紹就為大家介紹到這,企業中對于VPN的應用已經很廣泛了,這也證明著VPN對于一個企業運營的重要性,希望大家多多掌握此方面的知識。更多資源請閱讀:http://m.ekrvqnd.cn/col/946/
【編輯推薦】
