VPN技術(shù)與DDNS專線比較的優(yōu)勢

一.原理概述:

隨著網(wǎng)絡(luò),尤其是網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展,企業(yè)日益擴(kuò)張,客戶分布日益廣泛,合作伙伴日益增多,這種情況促使了企業(yè)的效益日益增長,另一方面也越來越凸現(xiàn)傳統(tǒng)企業(yè)網(wǎng)的功能缺陷:傳統(tǒng)企業(yè)網(wǎng)基于固定物理地點(diǎn)的專線連接方式已難以適應(yīng)現(xiàn)代企業(yè)的需求?于是企業(yè)對(duì)于自身的網(wǎng)絡(luò)建設(shè)提出了更高的需求,主要表現(xiàn)在網(wǎng)絡(luò)的靈活性?安全性?經(jīng)濟(jì)性?擴(kuò)展性等方面?在這樣的背景下, VPN 以其獨(dú)具特色的優(yōu)勢贏得了越來越多的企業(yè)的青睞,令企業(yè)可以較少地關(guān)注網(wǎng)絡(luò)的運(yùn)行與維護(hù),而更多地致力于企業(yè)的商業(yè)目標(biāo)的實(shí)現(xiàn),但它與傳統(tǒng)的專有網(wǎng)絡(luò),例如數(shù)字?jǐn)?shù)據(jù)網(wǎng)( Digital Data Network )是利用數(shù)字信道傳輸數(shù)據(jù)信號(hào)的數(shù)據(jù)傳輸網(wǎng),它的傳輸媒介有光纜?數(shù)字微波?衛(wèi)星信道以及用戶端可用的普通電纜和雙絞線?利用數(shù)字信道傳輸數(shù)據(jù)信號(hào)與傳統(tǒng)的模擬信道相比,具有傳輸質(zhì)量高?速度快?帶寬利用率高等一系列優(yōu)點(diǎn)?虛擬專用網(wǎng)( Virtual Private Network )被定義為通過一個(gè)公用網(wǎng)絡(luò)(通常是 Internet )建立一個(gè)臨時(shí)的?安全的連接,是一條穿過混亂的公用網(wǎng)絡(luò)的安全?穩(wěn)定的隧道?虛擬專用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展?虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶?公司分支機(jī)構(gòu)?商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸?虛擬專用網(wǎng)可用于不斷增長的移動(dòng)用戶的全球因特網(wǎng)接入,以實(shí)現(xiàn)安全連接;可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路,用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)?

二?VPN 協(xié)議簡介

要使數(shù)據(jù)順利地被封裝?傳送及解封裝,通信協(xié)議是保證的核心?目前 VPN 隧道協(xié)議有 4 種:點(diǎn)到點(diǎn)隧道協(xié)議 PPTP ?第二層隧道協(xié)議 L2TP ?網(wǎng)絡(luò)層隧道協(xié)議 IPSec 以及 SOCKS v5 ,它們?cè)?OSI 七層模型中的位置如表所示?各協(xié)議工作在不同層次,無所謂誰更有優(yōu)勢?但我們應(yīng)該注意,不同的網(wǎng)絡(luò)環(huán)境適合不同的協(xié)議,在選擇 VPN 產(chǎn)品時(shí),應(yīng)該注意選擇?

1 .點(diǎn)到點(diǎn)隧道協(xié)議 —PPTPPPTP 協(xié)議將控制包與數(shù)據(jù)包分開,控制包采用 TCP 控制,用于嚴(yán)格的狀態(tài)查詢及信令信息;數(shù)據(jù)包部分先封裝在 PPP 協(xié)議中,然后封裝到 GRE V2 協(xié)議中?目前, PPTP 協(xié)議基本已被淘汰,不再使用在 VPN 產(chǎn)品中?

2 .第二層隧道協(xié)議 —L2TPL2TP 是國際標(biāo)準(zhǔn)隧道協(xié)議,它結(jié)合了 PPTP 協(xié)議以及第二層轉(zhuǎn)發(fā) L2F 協(xié)議的優(yōu)點(diǎn),能以隧道方式使 PPP 包通過各種網(wǎng)絡(luò)協(xié)議,包括 ATM ? SONET 和幀中繼?但是 L2TP 沒有任何加密措施,更多是和 IPSec 協(xié)議結(jié)合使用,提供隧道驗(yàn)證?

三?隧道協(xié)議在 OSI 七層模型中的位置

1?IPSec 的安全性描述

IPSec ( 1P Security )產(chǎn)生于 IPv6 的制定之中,用于提供 IP 層的安全性?由于所有支持 TCP / IP 協(xié)議的主機(jī)進(jìn)行通信時(shí),都要經(jīng)過 IP 層的處理,所以提供了 IP 層的安全性就相當(dāng)于為整個(gè)網(wǎng)絡(luò)提供了安全通信的基礎(chǔ)?鑒于 IPv4 的應(yīng)用仍然很廣泛,所以后來在 IPSec 的制定中也增添了對(duì) IPv4 的支持?最初的一組有關(guān) IPSec 標(biāo)準(zhǔn)由 IETF 在 1995 年制定,但由于其中存在一些未解決的問題,從 1997 年開始 IETF 又開展了新一輪的 IPSec 的制定工作,截止至 1998 年 11 月份主要協(xié)議已經(jīng)基本制定完成?不過這組新的協(xié)議仍然存在一些問題,預(yù)計(jì)在不久的將來 IETF 又會(huì)進(jìn)行下一輪 IPSec 的修訂工作?

2?IPSec 基本工作原理 IPSec 的工作原理(如下圖所示)類似于包過濾防火墻,可以看作是對(duì)包過濾防火墻的一種擴(kuò)展?當(dāng)接收到一個(gè) IP 數(shù)據(jù)包時(shí),包過濾防火墻使用其頭部在一個(gè)規(guī)則表中進(jìn)行匹配?當(dāng)找到一個(gè)相匹配的規(guī)則時(shí),包過濾防火墻就按照該規(guī)則制定的方法對(duì)接收到的 IP 數(shù)據(jù)包進(jìn)行處理? 這里的處理工作只有兩種:丟棄或轉(zhuǎn)發(fā)?IPSec 通過查詢 SPD ( Security P01icy Database 安全策略數(shù)據(jù)庫)決定對(duì)接收到的 IP 數(shù)據(jù)包的處理?但是 IPSec 不同于包過濾防火墻的是,對(duì) IP 數(shù)據(jù)包的處理方法除了丟棄,直接轉(zhuǎn)發(fā)(繞過 IPSec )外,還有一種,即進(jìn)行 IPSec 處理?正是這新增添的處理方法提供了比包過濾防火墻更進(jìn)一步的網(wǎng)絡(luò)安全性?進(jìn)行 IPSec 處理意味著對(duì) IP 數(shù)據(jù)包進(jìn)行加密和認(rèn)證?包過濾防火墻只能控制來自或去往某個(gè)站點(diǎn)的 IP 數(shù)據(jù)包的通過,可以拒絕來自某個(gè)外部站點(diǎn)的 IP 數(shù)據(jù)包訪問內(nèi)部某些站點(diǎn),.也可以拒絕某個(gè)內(nèi)部站點(diǎn)方對(duì)某些外部網(wǎng)站的訪問?但是包過濾防火墻不能保證自內(nèi)部網(wǎng)絡(luò)出去的數(shù)據(jù)包不被截取,也不能保證進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包未經(jīng)過篡改?只有在對(duì) IP 數(shù)據(jù)包實(shí)施了加密和認(rèn)證后,才能保證在外部網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包的機(jī)密性,真實(shí)性,完整性,通過 Internet 進(jìn)新安全的通信才成為可能?IPSec 既可以只對(duì) IP 數(shù)據(jù)包進(jìn)行加密,或只進(jìn)行認(rèn)證,也可以同時(shí)實(shí)施二者?但無論是進(jìn)行加密還是進(jìn)行認(rèn)證, IPSec 都有兩種工作模式,一種是與其前一節(jié)提到的協(xié)議工作方式類似的隧道模式,另一種是傳輸模式?傳輸模式,如圖 2 所示,只對(duì) IP 數(shù)據(jù)包的有效負(fù)載進(jìn)行加密或認(rèn)證?此時(shí),繼續(xù)使用以前的 IP 頭部,只對(duì) IP 頭部的部分域進(jìn)行修改,而 IPSec 協(xié)議頭部插入到 IP 頭部和傳輸層頭部之間?隧道模式,如圖 3 所示,對(duì)整個(gè) IP 數(shù)據(jù)色進(jìn)行加密或認(rèn)證?此時(shí),需要新產(chǎn)生一個(gè) IP 頭部, IPSec 頭部被放在新產(chǎn)生的 IP 頭部和以前的 IP 數(shù)據(jù)包之間,從而組成一個(gè)新的 IP 頭部?

四?IPSec 中的三個(gè)主要協(xié)議 前面已經(jīng)提到 IPSec 主要功能為加密和認(rèn)證,為了進(jìn)行加密和認(rèn)證 IPSec 還需要有密鑰的管理和交換的功能,以便為加密和認(rèn)證提供所需要的密鑰并對(duì)密鑰的使用進(jìn)行管理?以上三方面的工作分別由 AH , ESP 和 IKE 三個(gè)協(xié)議規(guī)定?為了介紹這三個(gè)協(xié)議,需要先引人一個(gè)非常重要的術(shù)語棗 SA ( Securlty Association 安全關(guān)聯(lián))?所謂安全關(guān)聯(lián)是指安全服務(wù)與它服務(wù)的載體之間的一個(gè)“連接”? AH 和 ESP 都需要使用 SA ,而 IKE 的主要功能就是 SA 的建立和維護(hù)?只要實(shí)現(xiàn) AH 和 ESP 都必須提供對(duì) SA 的支持?通信雙方如果要用 IPSec 建立一條安全的傳輸通路,需要事先協(xié)商好將要采用的安全策略,包括使用的加密算法?密鑰?密鑰的生存期等?當(dāng)雙方協(xié)商好使用的安全策略后,我們就說雙方建立了一個(gè) SA ? SA 就是能向其上的數(shù)據(jù)傳輸提供某種 IPSec 安全保障的一個(gè)簡單連接,可以由 AH 或 ESP 提供?當(dāng)給定了一個(gè) SA ,就確定了 IPSec 要執(zhí)行的處理,如加密,認(rèn)證等? SA 可以進(jìn)行兩種方式的組合,分別為傳輸臨近和嵌套隧道?

1 .ESP ( Encapsulating Secuity Fayload )ESP 協(xié)議主要用來處理對(duì) IP 數(shù)據(jù)包的加密,此外對(duì)認(rèn)證也提供某種程度的支持? ESP 是與具體的加密算法相獨(dú)立的,幾乎可以支持各種對(duì)稱密鑰加密算法,例如 DES , TripleDES , RC5 等?為了保證各種 IPSec 實(shí)現(xiàn)間的互操作性,目前 ESP 必須提供對(duì) 56 位 DES 算法的支持?ESP 協(xié)議數(shù)據(jù)單元格式三個(gè)部分組成,除了頭部?加密數(shù)據(jù)部分外,在實(shí)施認(rèn)證時(shí)還包含一個(gè)可選尾部?頭部有兩個(gè)域:安全策略索引( SPl )和序列號(hào)( Sequencenumber )?使用 ESP 進(jìn)行安全通信之前,通信雙方需要先協(xié)商好一組將要采用的加密策略,包括使用的算法?密鑰以及密鑰的有效期等?“安全策略索引”使用來標(biāo)識(shí)發(fā)送方是使用哪組加密策略來處理 IP 數(shù)據(jù)包的,當(dāng)接收方看到了這個(gè)序號(hào)就知道了對(duì)收到的 IP 數(shù)據(jù)包應(yīng)該如何處理?“序列號(hào)”用來區(qū)分使用同一組加密策略的不同數(shù)據(jù)包?加密數(shù)據(jù)部分除了包含原 IP 數(shù)據(jù)包的有效負(fù)載,填充域(用來保證加密數(shù)據(jù)部分滿足塊加密的長度要求)包含其余部分在傳輸時(shí)都是加密過的?其中“下一個(gè)頭部( Next Header )”用來指出有效負(fù)載部分使用的協(xié)議,可能是傳輸層協(xié)議( TCP 或 UDP ),也可能還是 IPSec 協(xié)議( ESP 或 AH )?

通常, ESP 可以作為 IP 的有效負(fù)載進(jìn)行傳輸,這 JFIP 的頭 UKB 指出下廣個(gè)協(xié)議是 ESP ,而非 TCP 和 UDP ?由于采用了這種封裝形式,所以 ESP 可以使用舊有的網(wǎng)絡(luò)進(jìn)行傳輸?

前面已經(jīng)提到用 IPSec 進(jìn)行加密是可以有兩種工作模式,意味著 ESP 協(xié)議有兩種工作模式:傳輸模式( Transport Mode )和隧道模式( TunnelMode )?當(dāng) ESP 工作在傳輸模式時(shí),采用當(dāng)前的 IP 頭部?而在隧道模式時(shí),侍整個(gè) IP 數(shù)據(jù)包進(jìn)行加密作為 ESP 的有效負(fù)載,并在 ESP 頭部前增添以網(wǎng)關(guān)地址為源地址的新的 IP 頭部,此時(shí)可以起到 NAT 的作用?

2 .AH ( Authentication Header )AH 只涉及到認(rèn)證,不涉及到加密? AH 雖然在功能上和 ESP 有些重復(fù),但 AH 除了對(duì)可以對(duì) IP 的有效負(fù)載進(jìn)行認(rèn)證外,還可以對(duì) IP 頭部實(shí)施認(rèn)證?主要是處理數(shù)據(jù)對(duì),可以對(duì) IP 頭部進(jìn)行認(rèn)證,而 ESP 的認(rèn)證功能主要是面對(duì) IP 的有效負(fù)載?為了提供最基本的功能并保證互操作性, AH 必須包含對(duì) HMAC-SHA 和 HMAC- MD5 ( HMAC 是一種 SHA 和 MD5 都支持的對(duì)稱式認(rèn)證系統(tǒng))的支持?

AH 既可以單獨(dú)使用,也可在隧道模式下,或和 ESP 聯(lián)用?

3 .IKE ( Internet Key Exchange )IKE 協(xié)議主要是對(duì)密鑰交換進(jìn)行管理,它主要包括三個(gè)功能: 對(duì)使用的協(xié)議?加密算法和密鑰進(jìn)行協(xié)商?

方便的密鑰交換機(jī)制(這可能需要周期性的進(jìn)行)?

跟蹤對(duì)以上這些約定的實(shí)施?

五?DDN 和 VPN 安全性比較

一般在DDN線路中,都是采用專用線路,沒有與公眾線路連接在一起,所以在很大程度上與VPN相比,容易導(dǎo)致安全上的誤解?

從實(shí)際使用上看,由于DDN線路的專用性,所以也大大減少了其被攻擊破壞的可能性?

但是另外一方面,從原理上分析,數(shù)據(jù)在DDN網(wǎng)絡(luò)上面?zhèn)鬏斊鋵?shí)是不安全的,數(shù)據(jù)傳送的過程中可能會(huì)被人竊取?修改等;數(shù)據(jù)在VPN虛擬專網(wǎng)中傳輸?shù)倪^程是安全的,通過加密?身份認(rèn)證?封包認(rèn)證等過程保證數(shù)據(jù)包在傳送的過程中不被竊取?刪除和修改?

六?總結(jié)

其實(shí)DDN是專有網(wǎng)絡(luò)最傳統(tǒng)的方式?以Cisco為代表的產(chǎn)品都是這樣去解決?在歐美發(fā)達(dá)國家,由于固定IP地址的費(fèi)用比較低,DDN方式的專用網(wǎng)絡(luò)很容易實(shí)現(xiàn),而在亞洲許多國家,IP地址比較匱乏,從而使得DDN固定IP的費(fèi)用非常昂貴?客觀的說,DDN的專有網(wǎng)絡(luò)無疑是穩(wěn)定的,雖然配置要求專業(yè)人員,也能形成網(wǎng)狀的連接?但是從購買設(shè)備?安裝調(diào)試和后期的維護(hù)的費(fèi)用都是巨大的,而且還有每月高昂的通訊費(fèi)用,這都將在國內(nèi)制約著DDN專有網(wǎng)絡(luò)的發(fā)展?隨著IP技術(shù)的發(fā)展和國內(nèi)骨干網(wǎng)絡(luò)帶寬的不斷提高,VPN越來越能滿足用戶安全性?高效性和靈活性等要求?可以相信,在未來幾年內(nèi),VPN架構(gòu)的企業(yè)信息化網(wǎng)絡(luò)是主流方式?

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]