zhuzc
驱动中牛
驱动中牛
  • 注册日期2001-09-01
  • 最后登录2005-04-03
  • 粉丝0
  • 关注0
  • 积分0分
  • 威望0点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
阅读:1354回复:1

虚拟个人网目前的状况

楼主#
更多 发布于:2002-07-19 17:08
虚拟个人网(VPN)可以让你成为公司的英雄,也可以让你成为替罪羊。  

简单地说,VPN是通过个人网保护数据或资源访问的。个人网通过公共数据线连接,使用隧道协议和加密策略。

过去几十年,VPN是网络历史上最常用的缩写词,每个想使用VPN解决方案的公司都会有些急不可待。 在本节中,我会讨论VPN的方法、VPN的设计和VPN技术。

阻力最小的一条路

专家们说VPN和相关业务到2001年会有超过100亿美元的市场份额。CEO、CIO、网络执行官,甚至底层管理人员也很了解VPN。从世界的任何一个角落安全地访问公司网络,这个承诺极有吸引力,更别说VPN还能提供方便、便宜地维护现有网络了。在非标准和快速变化技术的世界中,VPN看起来是从喜马拉雅之颠通往高可用性、可靠性和安全网络的阻力最小的一条路。

从表面上看,VPN带来的效益相当高,但是不要忘了一个小因素,那就是,理解VPN的技术和如何工作和知道是否需要VPN截然不同。得到效益的唯一方法是深入了解VPN技术和它的基础。许多专业人员刚刚开始接触个人网的潜力、服务。

雾里看花

应该在深入研究VPN技术之前,了解它的好处。它不总是能够带来效益,也不是对每个公司和每种情况都适用,所以实际的结果和收益是不同的。

在网络界,价格驱动和控制着许多项目。如果肯出钱的话,技术几乎可以提供所有令人满意和需要的结果。理想情况下,每个技术队伍的成员面临几乎都面临预算紧张(如果雇了一个管理者,公司项目没有预算限制,请发邮件给我,我会应聘)。信息技术部和管理者都花钱寻找更好的解决方法,更好意味着更快、更安全、更可靠或更可用,通常得到类似结果的更好方法和便宜的差一些的方法没有区别,VPN可能就是许多公司寻找的解决方案。

VPN的最著名的好处就是可以在Internet上任何一点访问资源,这个访问使得现在使用多点入口的公司可以使用单点入口。通过Internet服务提供商(ISP)的快速连接占用了许多其他的数据线和远程访问媒体。一根高速线可以替代多个点对点连接,每个连接选项需要某种特别的用剑,导致需要独特的管理和花销,但连接可以在发送和接收远程用户和远程站点的所有需要的数据通讯。

减少入口点最明显的好处就是减少失败和硬件、管理开支,另一个好处就是可以利用Intenet内在的剩余。和ISP的好的服务协议会下载一些责任和网络正常工作时间,但是不管剩余和计划的水平多高,都不能保证工人在美国的别处修理电话线,都有可能不小心接错光纤电缆,将内部网络暴露在Internet中,确实发生过这样的灾难。所有的预防方法都不能预防此类问题,可喜的是,这种情况极少发生,所以使用VPN减少多个点对点的连接是节省资源的相当安全的方法。

保存在网络中的资源和金钱一样,普通的远程访问可以节省50%的钱,跨国的远程访问比普通的远程访问还能节省90%,站点连接节省的钱是点对点的70%。这些估计都是大概的,但是却可以明显的看出VPN可以为公司节省资金。但是,说VPN可以节省每个公司的资金是不对的,在技术界,总是有例外。

虽然节省的资金不同,但是现在没有基于Internet的VPN可以全球远程访问,这可以利用基于标准的Internet协议(IP)实现。

随着低价、高速Internet接入的出现,VPN不但可以降低失业率,而且还是雇员的一项技能。劳动力市场现在是有史以来竞争最激烈的时候,雇主找到合格的、合适职位的雇员很困难,通过VPN的通讯可以让公司走出本地的劳动力市场,雇佣别处的人,不会引起重新布置的开销。
VPN技术  

假设VPN是可行方案,那么就有两个关心的问题。虽然IP是由标准的Internet协议指派的,但是这个协议没有考虑性能和安全。在Internet发展的早期,性能和安全都不是必要的,保证VPN网络性能、安全和可用性的标准已经确立。

把私有信息通过公共线传输的主要障碍对大多数IT管理者都是非常熟悉的,就是通过VPN的数据必须:

保持完整性。
抗修改。
不能被未授权方复制。
到达接收者之前是保密的。
VPN通过在数据的起始点到目的点之间的Internet建立隧道就可以完成上述功能,这些隧道是加密数据不被未授权方阻截的安全通道,已经开发出了在Internet上建立VPN的协议套件,下面是四个协议套件:


PPTP:点对点隧道协议。
L2F:第二层转发。
L2TP:第二层隧道协议。
IPSec:IP保护协议。 PPTP是微软在Windows 98中提出的标准,RRAS是在NT4中提出的,RRAS在Windows 95的服务包里面。PPTP用PPP(点对点协议)通过Internet提供远程访问服务。PPP包使用修改过的GRE(一般路由封装)协议封装的,这种协议还可以封装其他的协议供PPTP使用,如NetBEUI。这是PPTP的主要优点,在设计上,它工作在开放系统互联(OSI)模型的数据链路层(第二层),允许传输协议,而不是IP。IPSec则不然,它工作在OS)模型的网络层(第三层)。PPTP的缺点主要是缺乏基于权标的身份认证和加密功能薄弱,PPTP依赖于PAP(密码认证协议)、CHAP(Challenge Handshake认证协议)、类似微软Windows NT中NT域级身份认证和MS-CHAP(微软Challenge Handshake认证协议)。
L2F是隧道协议,它可以封装含有IP包的PPP包,它允许通过对Internet用户隐藏远程用户的IP地址,使用未登记的IP地址。L2F和PPTP不同,它可以直接和框架延迟(Frame Relay)和ATM(异步传输模式)一起工作,L2F使用PPP进行远程用户身份认证,但是它支持TACACS(终端访问控制器访问系统)和RADIUS(远程认证拨入用户服务)。在PPTP只允许通过隧道连接的地方,L2F还允许多连接。因为他在OSI模型的数据链路层(第二层)工作,所以L2F也可以处理协议,而不是IP。

L2TP。它是用来代替L2F和PPTP剩下的部分,而且被IETF(Internet Engineering Task Force)允许,它是结合L2F和PPTP优点的第二层隧道协议,它支持传输协议,而不是IP,主要用在远程访问控制情况下。尽管许多人相信L2TP是安全的协议,但是它不能提供安全的隧道。它和L2F一样,方便了用户和连接的认证。为了安全起见,L2TP必须和IPSec结合使用。

IPSec被广泛认为是安全VPN的最优解决方案,IPSec最开始是用来把不太安全的IPv4加入到下一代IP协议IPv6中去。IPv5的采纳是缓慢的,现在对安全IP包的需要也缓慢。在修改IPSec,使其和IPv4兼容过程中,这两个因素起了很大作用。支持IPSec头在IPv4中是可选的,但在IPv6中是强制使用的。

现有的网络应用程序如果要使用IPSec,它们必须并入特别设计的可以包括IPSec协议的TCP/IP堆栈,IPSec是IETF制定的有认证和加密功能的第三层安全协议。IPSec可以让IP包的发送者在包层认证和加密数据。

IPSec的使用方法有两种,是把认证和加密程序分成两个包造成的。分别是隧道模式和传输模式。在传输模式下,传输层是唯一认证和加密的层。隧道模式认证或加密整个包,这个包提供对未授权访问、数据截取、攻击等更多保护。

IPSec是在很多标准化的保密、数据集成、认证等密码技术下开发的。例如,IPSec使用:


Diffie-Hellman密钥交换,在公共网上发送密钥。
公共密钥密码术,用来签名Diffie-Hellman密钥交换、保证双方身份、避免第三者攻击。
数据加密标准(DES)和其他的大块数据加密算法。
用来认证包的keyed hash算法(HMAC、MD5、SHA)。
确认公共密钥的数字认证。
IPSec是靠交换密钥保证通讯安全的,密钥管理是IPSec的关键部分,有两种方法处理这些密码交换和管理。第一,手动设置密码,在ISAKMP/Oakley(也称为IKE:Internet密钥交换)体系中,IKE自动管理密钥,是将ISAKMP(Internet安全阻止和密钥管理协议)和Oakley协议组合的结果,ISAKMP是认证和密钥交换的框架,Oakley描述密钥交换的不同模式。手动密钥和IKE都是IPSec的必需品。

和其他的管理自动化工具比较来看,IKE的优点就明显了。有着少数站点的VPN使用手动密钥效率就很高,包括大量用户或支持许多远程访问用户的VPN可以使用IKE,实现自动化。

IKE有以下功能:


它为提供协议统一方法。
保证和目的方通讯。
管理同意的密钥。
彻底、安全地进行密钥交换。
IPSec现在被看作是基于IP环境的最好解决方案,它包括其他协议包缺少的安全性:加密、认证、密钥使用和密钥管理。虽然IPSec是只是用来处理IP包的,所以PPTP和L2TP更适合传送IPX、NetBEUI和AppleTalk。

VPN设计

在Internet之外,基于Internet的VPN还有三个部分:安全网关、安全策略服务器和认证授权。Internet是VPN的基础,它通过VPN生成的小隧道提供大的横穿管道。

安全网关是个人网的守门员,它保护网络不让未授权用户访问内部网的信息,它包括路由器、防火墙、VPN硬件或软件。大部分情况下,几乎所有这些功能是由网关提供的,反之亦然。

安全策略服务器包括访问列表信息,它说明了谁来允许对资源的访问,这个访问列表存在于许多地方:路由器、防火墙、VPN硬件或RADIUS服务器中。

认证权威是控制密钥确认的控制主体,它可以是个人网中的数据库,也可以是外购的。如果公司利用外部网的话,后者是最好的方法。在解决最好的VPN方案之前,先回答几个关于贵公司的基本问题:


每个站点有多少用户?
每次连接需要的带宽是多少?
是永久连接,还是拨号连接?
站点有多少数据流量?
什么是服务级别的需要?
现在有没有VPN可以解决的问题?
为什么VPN比其他的好?
VPN应该外购,还是应该自己做?
结束语

对许多公司来说, VPN的使用会带来很多好处,很多情况下,也可以节省巨大开销,VPN和Internet的连接速度更是家中办公的梦想。但是因为这是比较新的技术,所以有好多问题需要研究。

最好的解决方案是根据知识来的,如果VPN适合你,看看未来。确保你认为真的需要它,还要密切注意大的实体(如政府)的强行规定和需要。现在对大公司和小公司都有适合的产品,如果贵公司需要VPN,考虑当前需要、可升级,制定出最优方案。
我是树上的那只鸟,整理着自己的羽毛,看着城市的喧嚣……
moqingsong
论坛版主
论坛版主
  • 注册日期2002-04-07
  • 最后登录2011-02-03
  • 粉丝0
  • 关注0
  • 积分74分
  • 威望71点
  • 贡献值0点
  • 好评度10点
  • 原创分0分
  • 专家分0分
沙发#
发布于:2002-07-19 17:23
综艺大观。
按第一贴的“给分”键,给分。
游客

返回顶部