VPN技術(shù)與DDNS專線比較的優(yōu)勢

一.原理概述:

隨著網(wǎng)絡(luò),尤其是網(wǎng)絡(luò)經(jīng)濟的發(fā)展,企業(yè)日益擴張,客戶分布日益廣泛,合作伙伴日益增多,這種情況促使了企業(yè)的效益日益增長,另一方面也越來越凸現(xiàn)傳統(tǒng)企業(yè)網(wǎng)的功能缺陷:傳統(tǒng)企業(yè)網(wǎng)基于固定物理地點的專線連接方式已難以適應(yīng)現(xiàn)代企業(yè)的需求?于是企業(yè)對于自身的網(wǎng)絡(luò)建設(shè)提出了更高的需求,主要表現(xiàn)在網(wǎng)絡(luò)的靈活性?安全性?經(jīng)濟性?擴展性等方面?在這樣的背景下, VPN 以其獨具特色的優(yōu)勢贏得了越來越多的企業(yè)的青睞,令企業(yè)可以較少地關(guān)注網(wǎng)絡(luò)的運行與維護,而更多地致力于企業(yè)的商業(yè)目標(biāo)的實現(xiàn),但它與傳統(tǒng)的專有網(wǎng)絡(luò),例如數(shù)字?jǐn)?shù)據(jù)網(wǎng)( Digital Data Network )是利用數(shù)字信道傳輸數(shù)據(jù)信號的數(shù)據(jù)傳輸網(wǎng),它的傳輸媒介有光纜?數(shù)字微波?衛(wèi)星信道以及用戶端可用的普通電纜和雙絞線?利用數(shù)字信道傳輸數(shù)據(jù)信號與傳統(tǒng)的模擬信道相比,具有傳輸質(zhì)量高?速度快?帶寬利用率高等一系列優(yōu)點?虛擬專用網(wǎng)( Virtual Private Network )被定義為通過一個公用網(wǎng)絡(luò)(通常是 Internet )建立一個臨時的?安全的連接,是一條穿過混亂的公用網(wǎng)絡(luò)的安全?穩(wěn)定的隧道?虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴展?虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶?公司分支機構(gòu)?商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸?虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入,以實現(xiàn)安全連接;可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路,用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)?

二?VPN 協(xié)議簡介

要使數(shù)據(jù)順利地被封裝?傳送及解封裝,通信協(xié)議是保證的核心?目前 VPN 隧道協(xié)議有 4 種:點到點隧道協(xié)議 PPTP ?第二層隧道協(xié)議 L2TP ?網(wǎng)絡(luò)層隧道協(xié)議 IPSec 以及 SOCKS v5 ,它們在 OSI 七層模型中的位置如表所示?各協(xié)議工作在不同層次,無所謂誰更有優(yōu)勢?但我們應(yīng)該注意,不同的網(wǎng)絡(luò)環(huán)境適合不同的協(xié)議,在選擇 VPN 產(chǎn)品時,應(yīng)該注意選擇?

1 .點到點隧道協(xié)議 —PPTPPPTP 協(xié)議將控制包與數(shù)據(jù)包分開,控制包采用 TCP 控制,用于嚴(yán)格的狀態(tài)查詢及信令信息;數(shù)據(jù)包部分先封裝在 PPP 協(xié)議中,然后封裝到 GRE V2 協(xié)議中?目前, PPTP 協(xié)議基本已被淘汰,不再使用在 VPN 產(chǎn)品中?

2 .第二層隧道協(xié)議 —L2TPL2TP 是國際標(biāo)準(zhǔn)隧道協(xié)議,它結(jié)合了 PPTP 協(xié)議以及第二層轉(zhuǎn)發(fā) L2F 協(xié)議的優(yōu)點,能以隧道方式使 PPP 包通過各種網(wǎng)絡(luò)協(xié)議,包括 ATM ? SONET 和幀中繼?但是 L2TP 沒有任何加密措施,更多是和 IPSec 協(xié)議結(jié)合使用,提供隧道驗證?

三?隧道協(xié)議在 OSI 七層模型中的位置

1?IPSec 的安全性描述

IPSec ( 1P Security )產(chǎn)生于 IPv6 的制定之中,用于提供 IP 層的安全性?由于所有支持 TCP / IP 協(xié)議的主機進行通信時,都要經(jīng)過 IP 層的處理,所以提供了 IP 層的安全性就相當(dāng)于為整個網(wǎng)絡(luò)提供了安全通信的基礎(chǔ)?鑒于 IPv4 的應(yīng)用仍然很廣泛,所以后來在 IPSec 的制定中也增添了對 IPv4 的支持?最初的一組有關(guān) IPSec 標(biāo)準(zhǔn)由 IETF 在 1995 年制定,但由于其中存在一些未解決的問題,從 1997 年開始 IETF 又開展了新一輪的 IPSec 的制定工作,截止至 1998 年 11 月份主要協(xié)議已經(jīng)基本制定完成?不過這組新的協(xié)議仍然存在一些問題,預(yù)計在不久的將來 IETF 又會進行下一輪 IPSec 的修訂工作?

2?IPSec 基本工作原理 IPSec 的工作原理(如下圖所示)類似于包過濾防火墻,可以看作是對包過濾防火墻的一種擴展?當(dāng)接收到一個 IP 數(shù)據(jù)包時,包過濾防火墻使用其頭部在一個規(guī)則表中進行匹配?當(dāng)找到一個相匹配的規(guī)則時,包過濾防火墻就按照該規(guī)則制定的方法對接收到的 IP 數(shù)據(jù)包進行處理? 這里的處理工作只有兩種:丟棄或轉(zhuǎn)發(fā)?IPSec 通過查詢 SPD ( Security P01icy Database 安全策略數(shù)據(jù)庫)決定對接收到的 IP 數(shù)據(jù)包的處理?但是 IPSec 不同于包過濾防火墻的是,對 IP 數(shù)據(jù)包的處理方法除了丟棄,直接轉(zhuǎn)發(fā)(繞過 IPSec )外,還有一種,即進行 IPSec 處理?正是這新增添的處理方法提供了比包過濾防火墻更進一步的網(wǎng)絡(luò)安全性?進行 IPSec 處理意味著對 IP 數(shù)據(jù)包進行加密和認(rèn)證?包過濾防火墻只能控制來自或去往某個站點的 IP 數(shù)據(jù)包的通過,可以拒絕來自某個外部站點的 IP 數(shù)據(jù)包訪問內(nèi)部某些站點,.也可以拒絕某個內(nèi)部站點方對某些外部網(wǎng)站的訪問?但是包過濾防火墻不能保證自內(nèi)部網(wǎng)絡(luò)出去的數(shù)據(jù)包不被截取,也不能保證進入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包未經(jīng)過篡改?只有在對 IP 數(shù)據(jù)包實施了加密和認(rèn)證后,才能保證在外部網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包的機密性,真實性,完整性,通過 Internet 進新安全的通信才成為可能?IPSec 既可以只對 IP 數(shù)據(jù)包進行加密,或只進行認(rèn)證,也可以同時實施二者?但無論是進行加密還是進行認(rèn)證, IPSec 都有兩種工作模式,一種是與其前一節(jié)提到的協(xié)議工作方式類似的隧道模式,另一種是傳輸模式?傳輸模式,如圖 2 所示,只對 IP 數(shù)據(jù)包的有效負(fù)載進行加密或認(rèn)證?此時,繼續(xù)使用以前的 IP 頭部,只對 IP 頭部的部分域進行修改,而 IPSec 協(xié)議頭部插入到 IP 頭部和傳輸層頭部之間?隧道模式,如圖 3 所示,對整個 IP 數(shù)據(jù)色進行加密或認(rèn)證?此時,需要新產(chǎn)生一個 IP 頭部, IPSec 頭部被放在新產(chǎn)生的 IP 頭部和以前的 IP 數(shù)據(jù)包之間,從而組成一個新的 IP 頭部?

四?IPSec 中的三個主要協(xié)議 前面已經(jīng)提到 IPSec 主要功能為加密和認(rèn)證,為了進行加密和認(rèn)證 IPSec 還需要有密鑰的管理和交換的功能,以便為加密和認(rèn)證提供所需要的密鑰并對密鑰的使用進行管理?以上三方面的工作分別由 AH , ESP 和 IKE 三個協(xié)議規(guī)定?為了介紹這三個協(xié)議,需要先引人一個非常重要的術(shù)語棗 SA ( Securlty Association 安全關(guān)聯(lián))?所謂安全關(guān)聯(lián)是指安全服務(wù)與它服務(wù)的載體之間的一個“連接”? AH 和 ESP 都需要使用 SA ,而 IKE 的主要功能就是 SA 的建立和維護?只要實現(xiàn) AH 和 ESP 都必須提供對 SA 的支持?通信雙方如果要用 IPSec 建立一條安全的傳輸通路,需要事先協(xié)商好將要采用的安全策略,包括使用的加密算法?密鑰?密鑰的生存期等?當(dāng)雙方協(xié)商好使用的安全策略后,我們就說雙方建立了一個 SA ? SA 就是能向其上的數(shù)據(jù)傳輸提供某種 IPSec 安全保障的一個簡單連接,可以由 AH 或 ESP 提供?當(dāng)給定了一個 SA ,就確定了 IPSec 要執(zhí)行的處理,如加密,認(rèn)證等? SA 可以進行兩種方式的組合,分別為傳輸臨近和嵌套隧道?

1 .ESP ( Encapsulating Secuity Fayload )ESP 協(xié)議主要用來處理對 IP 數(shù)據(jù)包的加密,此外對認(rèn)證也提供某種程度的支持? ESP 是與具體的加密算法相獨立的,幾乎可以支持各種對稱密鑰加密算法,例如 DES , TripleDES , RC5 等?為了保證各種 IPSec 實現(xiàn)間的互操作性,目前 ESP 必須提供對 56 位 DES 算法的支持?ESP 協(xié)議數(shù)據(jù)單元格式三個部分組成,除了頭部?加密數(shù)據(jù)部分外,在實施認(rèn)證時還包含一個可選尾部?頭部有兩個域:安全策略索引( SPl )和序列號( Sequencenumber )?使用 ESP 進行安全通信之前,通信雙方需要先協(xié)商好一組將要采用的加密策略,包括使用的算法?密鑰以及密鑰的有效期等?“安全策略索引”使用來標(biāo)識發(fā)送方是使用哪組加密策略來處理 IP 數(shù)據(jù)包的,當(dāng)接收方看到了這個序號就知道了對收到的 IP 數(shù)據(jù)包應(yīng)該如何處理?“序列號”用來區(qū)分使用同一組加密策略的不同數(shù)據(jù)包?加密數(shù)據(jù)部分除了包含原 IP 數(shù)據(jù)包的有效負(fù)載,填充域(用來保證加密數(shù)據(jù)部分滿足塊加密的長度要求)包含其余部分在傳輸時都是加密過的?其中“下一個頭部( Next Header )”用來指出有效負(fù)載部分使用的協(xié)議,可能是傳輸層協(xié)議( TCP 或 UDP ),也可能還是 IPSec 協(xié)議( ESP 或 AH )?

通常, ESP 可以作為 IP 的有效負(fù)載進行傳輸,這 JFIP 的頭 UKB 指出下廣個協(xié)議是 ESP ,而非 TCP 和 UDP ?由于采用了這種封裝形式,所以 ESP 可以使用舊有的網(wǎng)絡(luò)進行傳輸?

前面已經(jīng)提到用 IPSec 進行加密是可以有兩種工作模式,意味著 ESP 協(xié)議有兩種工作模式:傳輸模式( Transport Mode )和隧道模式( TunnelMode )?當(dāng) ESP 工作在傳輸模式時,采用當(dāng)前的 IP 頭部?而在隧道模式時,侍整個 IP 數(shù)據(jù)包進行加密作為 ESP 的有效負(fù)載,并在 ESP 頭部前增添以網(wǎng)關(guān)地址為源地址的新的 IP 頭部,此時可以起到 NAT 的作用?

2 .AH ( Authentication Header )AH 只涉及到認(rèn)證,不涉及到加密? AH 雖然在功能上和 ESP 有些重復(fù),但 AH 除了對可以對 IP 的有效負(fù)載進行認(rèn)證外,還可以對 IP 頭部實施認(rèn)證?主要是處理數(shù)據(jù)對,可以對 IP 頭部進行認(rèn)證,而 ESP 的認(rèn)證功能主要是面對 IP 的有效負(fù)載?為了提供最基本的功能并保證互操作性, AH 必須包含對 HMAC-SHA 和 HMAC- MD5 ( HMAC 是一種 SHA 和 MD5 都支持的對稱式認(rèn)證系統(tǒng))的支持?

AH 既可以單獨使用,也可在隧道模式下,或和 ESP 聯(lián)用?

3 .IKE ( Internet Key Exchange )IKE 協(xié)議主要是對密鑰交換進行管理,它主要包括三個功能: 對使用的協(xié)議?加密算法和密鑰進行協(xié)商?

方便的密鑰交換機制(這可能需要周期性的進行)?

跟蹤對以上這些約定的實施?

五?DDN 和 VPN 安全性比較

一般在DDN線路中,都是采用專用線路,沒有與公眾線路連接在一起,所以在很大程度上與VPN相比,容易導(dǎo)致安全上的誤解?

從實際使用上看,由于DDN線路的專用性,所以也大大減少了其被攻擊破壞的可能性?

但是另外一方面,從原理上分析,數(shù)據(jù)在DDN網(wǎng)絡(luò)上面?zhèn)鬏斊鋵嵤遣话踩��?數(shù)據(jù)傳送的過程中可能會被人竊取?修改等;數(shù)據(jù)在VPN虛擬專網(wǎng)中傳輸?shù)倪^程是安全的,通過加密?身份認(rèn)證?封包認(rèn)證等過程保證數(shù)據(jù)包在傳送的過程中不被竊取?刪除和修改?

六?總結(jié)

其實DDN是專有網(wǎng)絡(luò)最傳統(tǒng)的方式?以Cisco為代表的產(chǎn)品都是這樣去解決?在歐美發(fā)達國家,由于固定IP地址的費用比較低,DDN方式的專用網(wǎng)絡(luò)很容易實現(xiàn),而在亞洲許多國家,IP地址比較匱乏,從而使得DDN固定IP的費用非常昂貴?客觀的說,DDN的專有網(wǎng)絡(luò)無疑是穩(wěn)定的,雖然配置要求專業(yè)人員,也能形成網(wǎng)狀的連接?但是從購買設(shè)備?安裝調(diào)試和后期的維護的費用都是巨大的,而且還有每月高昂的通訊費用,這都將在國內(nèi)制約著DDN專有網(wǎng)絡(luò)的發(fā)展?隨著IP技術(shù)的發(fā)展和國內(nèi)骨干網(wǎng)絡(luò)帶寬的不斷提高,VPN越來越能滿足用戶安全性?高效性和靈活性等要求?可以相信,在未來幾年內(nèi),VPN架構(gòu)的企業(yè)信息化網(wǎng)絡(luò)是主流方式?

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]