選擇合適的VPN 建造功能均衡的VPN
VPN可以擴(kuò)大局域網(wǎng)的覆蓋范圍,而不需要擁有或者租賃專用線路,其成本通常比專線低得多。企業(yè)可以使用VPN讓遠(yuǎn)程用戶和移動用戶接入網(wǎng)絡(luò),把分散在不同地區(qū)的分支機(jī)構(gòu)連入統(tǒng)一網(wǎng)絡(luò),并且能夠遠(yuǎn)程使用依靠內(nèi)部服務(wù)器的應(yīng)用系統(tǒng)。
VPN可以使用兩種機(jī)制:其一,向可信賴的通信提供商租賃專用線,這種VPN名叫可信VPN(TrustedVPN);其二,通過公共因特網(wǎng)傳送經(jīng)過加密的流量,名叫安全VPN(SecureVPN)。使用基于可信VPN的安全VPN名為混合VPN(HybridVPN),把兩種安全VPN(譬如IPSec和SSL)結(jié)合到一個網(wǎng)關(guān)也屬于混合VPN。
可信VPN
這些年來,可信VPN已從向電信供應(yīng)商租賃原始專用線,改為向因特網(wǎng)提供商租賃專用IP網(wǎng)絡(luò)線路。在IP網(wǎng)絡(luò)上實施可信VPN所用的技術(shù)主要有:異步傳輸方式(ATM)、幀中繼和多協(xié)議標(biāo)記交換(MPLS)。
ATM和幀中繼在數(shù)據(jù)鏈路層工作,數(shù)據(jù)鏈路層是開放系統(tǒng)互連(OSI)模型的第二層,它基于分組交換網(wǎng)絡(luò),MPLS模擬了線路交換網(wǎng)絡(luò)的一些屬性,它在通常所謂的“第2.5層”工作,這一層介于數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層之間。MPLS正開始取代ATM和幀中繼,實施面向大型企業(yè)及服務(wù)提供商的可信VPN。
安全VPN
安全VPN可以使用IPSec、第二層隧道協(xié)議(L2TP,Layer2TunnelingProtocol)、安全套接層(SSL,SecuritySocketLayer)3.0、傳輸層安全(TLS,TransportLayerSecurity)、第二層轉(zhuǎn)發(fā)協(xié)議(L2F,Layer2TunnelingProtocol)或者點對點隧道協(xié)議(PPTP,Point-to-PointTunnelingProtocol)。
IPSec即IP安全,是在網(wǎng)絡(luò)層對IP數(shù)據(jù)包進(jìn)行加密和驗證的一項標(biāo)準(zhǔn)。IPSec有一系列加密協(xié)議,它的兩個主要用途是:保護(hù)網(wǎng)絡(luò)數(shù)據(jù)包安全和交換加密密鑰。有些安全專家認(rèn)為,自上世紀(jì)90年代末以來,IPSec是VPN的優(yōu)先協(xié)議。支持IPSec的操作系統(tǒng)包括WindowsXP/2000/2003/Vista、Linux2.6及更高版本、MacOSX、NetBSD、FreeBSD、OpenBSD、Solaris、AIX、HP-UX和VxWorks。許多廠商都提供IPSecVPN服務(wù)器和客戶機(jī)軟件。
微軟在Windows95OSR2以后的所有版本里面都添加了PPTP客戶機(jī)軟件,并且在WindowsNT4.0以后的所有服務(wù)器產(chǎn)品中添加了PPTP服務(wù)器軟件。Linux、MacOSX、PalmPDA設(shè)備及WindowMobile2003設(shè)備里都有PPTP客戶端軟件。
PPTP可以通過密碼身份驗證協(xié)議(PAP)、可擴(kuò)展身份驗證協(xié)議(EAP)等方法增強(qiáng)安全性,可以使遠(yuǎn)程用戶通過撥入ISP直接連接Internet或其他網(wǎng)絡(luò)安全地訪問企業(yè)網(wǎng)。它具有隨處可得、免費、易于安裝等優(yōu)點。
Schneier和黑客組織LophtHeavyIndustries的Mudge在前些年發(fā)現(xiàn)并公布了微軟PPTP存在的安全漏洞。微軟利用MS-CHAPv2和微軟點對點加密(MPPE)協(xié)議迅速解決了這些問題,后來Schneier和Mudge指出:微軟PPTP的安全性仍取決于每個用戶的密碼有多安全。微軟于是在操作系統(tǒng)中執(zhí)行密碼強(qiáng)度策略,從而解決了這個問題,但Schneier和Mudge仍建議在構(gòu)建安全VPN時采用IPSec,而不是采用PPTP,因為前者天生更安全。
L2F是由思科公司開發(fā)的一種比較舊的協(xié)議。L2TP借鑒了L2F和PPTP的概念,從而成為數(shù)據(jù)鏈路層協(xié)議。L2TP可以提供隧道,但不提供安全或者驗證,L2TP可以在隧道里面?zhèn)鬏擯PP會話。思科將L2TP實施在路由器中,并且有好幾種采用開放源代碼的L2TP是針對Linux實施的。
L2TP/IPSec結(jié)合了L2TP的隧道和IPSec的安全通道功能,這樣一來,安全的因特網(wǎng)密鑰交換(IKE)比純粹的IPSec更容易實現(xiàn)。自2002年以來,微軟為Windows98/ME/NT提供了免費的L2TP/IPSecVPN客戶機(jī)軟件,并且隨同WindowsXP/2000/2003/Vista交付L2TP/IPSecVPN客戶機(jī)軟件,WindowsServer2003和Windows2000Server都包括L2TP/IPSec服務(wù)器軟件。
SSL和TLS都是在OSI模型的第4層保護(hù)數(shù)據(jù)流安全的協(xié)議。SSL3.0及其后續(xù)版本TLS1.0通常都與能夠?qū)崿F(xiàn)安全Web瀏覽的HTTP(名為HTTPS)一起使用。不過,SSL/TLS也可以用來創(chuàng)建VPN隧道。譬如,OpenVP就是一款采用開放源代碼的VPN軟件包,適用于Linux、xBSD、MacOSX、PocketPC和Windows2000/XP/2003/Vista。OpenVP使用SSL來提供對數(shù)據(jù)通道和控制通道進(jìn)行加密的功能。
VPN的安全風(fēng)險
在某些時候,使用VPN會讓公司面臨潛在的安全風(fēng)險。雖然如今使用的VPN大多數(shù)就其本身而言相當(dāng)安全,但VPN加大了合理保護(hù)網(wǎng)絡(luò)邊界安全的難度,網(wǎng)絡(luò)管理員必須對通過VPN連接到網(wǎng)絡(luò)的計算機(jī)和直接連接到LAN的計算機(jī)實行同樣的安全標(biāo)準(zhǔn)。
結(jié)合使用兩個VPN可能會把一家公司的網(wǎng)絡(luò)暴露在另一家公司的網(wǎng)絡(luò)面前。此外,如果PCAnywhere、GoToMyPC或者VNC等遠(yuǎn)程控制軟件與VPN一起使用,公司的網(wǎng)絡(luò)可能會暴露在駐留本身并沒有連接到VPN的遠(yuǎn)程計算機(jī)上的惡意軟件面前。
建造功能均衡的VPN
因為安全VPN依靠加密來保證性能,而一些加密功能屬于計算密集型,所以使用頻繁的VPN可能會讓服務(wù)器不堪重負(fù)。管理員通常可以把同時連接的數(shù)量限制在服務(wù)器能夠處理的水平,從而管理服務(wù)器的負(fù)載。
如果試圖連接到VPN的用戶數(shù)量突然達(dá)到高峰,譬如在導(dǎo)致交通中斷的暴風(fēng)雨期間,員工可能會發(fā)現(xiàn)自己無法連接上VPN,因為所有VPN端口都處于忙碌狀態(tài)。管理員應(yīng)確保不需要VPN的關(guān)鍵應(yīng)用系統(tǒng)正常運行,例如設(shè)置代理服務(wù)器或者因特網(wǎng)消息訪問協(xié)議(IMAP)服務(wù)器,讓員工可以在家里或者在路上使用電子郵件。
就特定的情形而言,決定使用IPSec還是SSL/TLS可能很難。要考慮的一個因素就是,SSL/TLS能夠透過基于網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)的防火墻工作,IPSec卻不能,不過這兩種協(xié)議都可以透過并不轉(zhuǎn)換地址的防火墻工作。
IPSec可以對兩臺計算機(jī)之間傳輸?shù)乃蠭P流量進(jìn)行加密,而SSL/TLS只針對某種應(yīng)用進(jìn)行加密。SSL/TLS使用成本高昂的異步加密功能來建立連接,并使用更有效的同步加密功能來保護(hù)通路的安全。
在遠(yuǎn)程應(yīng)用中,管理員可能會混合搭配各種協(xié)議,以求VPN在性能和安全之間獲得最佳平衡。例如,客戶機(jī)使用由SSL/TLS保護(hù)的瀏覽器,通過防火墻連接到基于Web的前端程序;Web服務(wù)器使用IPSec連接到應(yīng)用服務(wù)器;而應(yīng)用服務(wù)器可能使用SSL,跨另一個防火墻連接到數(shù)據(jù)庫服務(wù)器。另外,使用專門的服務(wù)器硬件有時可以增強(qiáng)VPN的擴(kuò)展性。
【編輯推薦】
