文章出处:黑色海岸线
1. 虚拟专网 (Virtual Private Network)
随着企业网应用的不断扩大,企业网的范围也不断扩大,从一个本地到一个跨地区跨城市甚至是跨国家的网络。但采用传统的广域网建立企业专网,往往需要租用昂贵的跨地区数字专线。同时公众信息网(Internet与视聆通)的发展,已经遍布各地,在物理上,各地的公众信息网都是连通的,但公众信息网是对社会开放的,如果企业的信息要通过公众信息网进行传输,在安全性上存在着很多问题。如何能够利用现有的公众信息网,来安全地建立企业的专有网络呢?虚拟专网(VPN)技术是指在公共网络中建立专用网络,数据通过安全的“加密管道”在公共网络中传播。企业只需要租用本地的数据专线,连接上本地的公众信息网,各地的机构就可以互相传递信息;同时,企业还可以利用公众信息网的拨号接入设备,让自己的用户拨号到公众信息网上,就可以连接进入企业网中。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处,是目前和今后企业网络发展的趋势。
从应用上虚拟专网可以分为虚拟企业网和虚拟专用拨号网络(有厂家称之为VPDN,属于VPN的一种特例)。虚拟企业网主要是使用专线上网的企业分部、合作伙伴间的虚拟专网;虚拟专用拨号网络是指使用电话拨号(PPP拨号)上网的远程用户与企业网间的虚拟专网。虚拟专网的重点在于建立安全的数据通道,构造这条安全通道的协议必须具备以下条件:
保证数据的真实性,通信主机必须是经过授权的,要有抵抗地址冒认(IP Spoofing)的能力。
保证数据的完整性,接收到的数据必须与发送时的一致,要有抵抗不法分子纂改数据的能力。
保证通道的机密性,提供强有力的加密手段,必须使偷听者不能破解拦截到的通道数据。
提供动态密钥交换功能,提供密钥中心管理服务器,必须具备防止数据重演(Replay)的功能,保证通道不能被重演。
提供安全防护措施和访问控制,要有抵抗黑客通过VPN通道攻击企业网络的能力,并且可以对VPN通道进行访问控制(Access Control)。
2. 虚拟专网标准
目前建造虚拟专网的国际标准有IPSEC(RFC 1825-1829)和L2TP(草案draft-ietf-pppext-l2tp-10)。其中L2TP是虚拟专用拨号网络协议,是IETF根据各厂家协议(包括微软公司的PPTP、Cisco的L2F)进行起草的,目前尚处于草案阶段。IPSEC是由IETF正式定制的开放性IP安全标准,是虚拟专网的基础,已经相当成熟可靠。L2TP协议草案中规定它(L2TP标准)必须以IPSEC为安全基础(见draft-ietf-pppext-l2tp-security-01)。同时IPSEC的厂家支持广泛,Microsoft 的NT5、Cisco PIX防火墙、Ascent Secure Access Control防火墙都支持IPSEC标准。因此我们在构造VPN基础设施时最好采用IPSEC标准,至少也必须采取以IPSEC为加密基础的L2TP协议。否则将发生难以预测的后果。
但是目前各国外厂家提出的方案中都尽量避开IPSEC的描述,主要是由于IPSEC标准中采用了多种先进的加密技术,有很高的保密性能,受到美国法律管制出口,因此3Com、Cisco、Ascend尽管本身拥有相当成熟的IPSEC产品或以IPSEC作加密标准的L2TP产品,也不可能进入美国以外的市场。而且美国政府正在起草进一步加强加密技术出口管制的法律,所以依靠美国产品构造真正的VPN是不可行的。国内研制的高保密性产品已经达到了国际先进的水平,对IPSEC的有很好的支持,并且可以支持大量的并发VPN连接。因此从安全和性能方面考虑我们只有选用国内的安全产品作为虚拟专网设备。
3. 技术方案
建立安全的虚拟专网应当遵循以下原则:
必须具有高安全性,保证数据安全可靠地传输。
必须使用开放性的国际标准,可以保证网络的安全性、稳定性、可行性,可以得到厂家的广泛支持。
必须能与原有网络的有良好的接口能力。
必须具有良好的性能,保证满足目前的需要。
必须具有高的性能价格比,符合经济原则。
必须具有良好的扩展能力,保证能满足日后的需要。
拨号虚拟专网的技术方案
建立在使用PPP连接上网的远程用户和使用专线上网的企业网络之间的虚拟专网成为拨号虚拟专网(Dial-Up Virtual Private Network),有的厂家又称之为VPDN。
采用专用VPN服务器建立拨号虚拟专网
使用专门的防火墙路由器与接入服务器、Radius服务器配合建立拨号虚拟专网,其示意图如下:
这种体系采用Radius服务器作用户数据库,普通用户和虚拟拨号网络用户的资料都放在Radius Server上。远程用户通过PSTN连接到接入服务器时,接入服务器从Radius服务器上取出用户资料,并根据这些资料分配IP给远程用户,建立PPP连接。普通公众信息网用户分配到Internet地址202.X.X.X。虚拟专网的IP地址为10.X.X.X,可以组成254个B类虚拟专网或65534个C类虚拟专网。虚拟拨号网络的用户建立PPP连接将获得所属拨号虚拟专网的IP地址。
用户建立PPP连接后,Switch Hub根据IP地址将用户分类,普通用户通过路由器连上公众信息网,虚拟拨号网络用户则连接到VPN服务器上,通过VPN服务器与企业VPN 服务器建立的IPSEC安全通道与企业内部网络相连,完成拨号虚拟专网的连接过程。虚拟拨号网络用户可以通过VPN服务器的NAT功能连上视聆通。
VPN服务器由专用的防火墙服务器担任。使用专用VPN服务器结构的拨号虚拟专网的优点有:
支持IPSEC开放性标准。
安全性高,不必担心流通在商业、金融、银行、军队建立的虚拟拨号网络中的机密资料外泄。
兼容性好,由于IPSEC属于开放性标准,通用性强。
性能价格比高,经济实用。
普通用户和虚拟拨号网络用户以及不同虚拟拨号网络组用户可以共享一条中继线路,可行性高。
不必为每一组虚拟拨号网络设置特服号,方便用户、方便管理、加低成本。
只需要增加一台专用VPN服务器,不必改动原有网络结构。
使用Radius服务器作为用户管理数据库,不需要改动现有管理结构,可以目前网络平滑接口。提供中心管理能力,便于管理。可以利用原有计费系统,节省开发成本。
容量大,能够满足一段时间内的需要;扩展能力强,日后可以方便的进行扩容。
拨号虚拟专网用户可以通过网络地址转移(NAT)访问公众信息网,方便用户。
拨号虚拟专网用户与普通用户使用两组不同的IP地址段,普通用户不能进入拨号虚拟专网。不同组拨号虚拟专网由于网段不同,不能互访。这样保证了网络的安全性。
SkyNet防火墙是由广州市众达天网公司开发的安全产品。它能够很好的支持IPSEC标准,可以提供最安全的虚拟专网功能。
优点:
属于建立VPN的专业产品,它全面支持IPSEC,包括支持40/56 Bits DES 、 112/168 Bits 3DES、Blowfish、IDEA加密算法,MD5、SHA1两种Hash算法,安全特性好。
该系统使用高速CPU,性能高容量大。最多可以建立256组虚拟专网,不使用加密算法时可以支持1024条同步VPN连接,使用40/56Bits Des中级加密算法时可以支持128条同步VPN连接,使用112/168 Bits Triple DES高级加密算法时可以支持64条同步VPN连接。性能价格比高,并且能够满足目前及日后扩展的需要。
由于使用了开放式标准,可以与其他厂家支持IPSEC标准的产品连接,如NT 5.0、PIX等,而且当L2TP标准正式公布时,只要其他厂家产品使用该标准,就可以互相接口。
采用基于168Bits SSL全中文HTML界面,既安全又便于管理。
支持对VPN连接的访问管理。
内建ISAKMP密钥管理服务器,可以提供密钥集中管理服务、密钥动态交互服务。支持HMAC-MD5及HMAC-SHA1防重演(Anti-Replay)算法。
4. 传统系统与虚拟拨号系统相比较
在价格上,虚拟拨号的使用费用比传统的自行建立拨号接入服务器方式便宜得多。传统的自行建立拨号服务器的方式需要建网初期需要租用大量的电话中继线,需要购置昂贵的拨号接入设备,运行后需要有专人维护接入设备,加上每月的高额电话中继线租用费用;而采用虚拟拨号网方式,无须支付以上费用,只需要在原来网络的基础上添置一台VPN服务器,和支付每月的虚拟拨号网的租用费;此外,由于公众信息网的接入设备由公众信息网的专业人员负责维护,接入设备的可靠性可以得到保证;采用虚拟拨号方式,用户在使用的时候也获得最大限度的方便,当用户出差在外时,无须通过长途电话上网,只要当地可以拨号连接上公众信息网就可以顺利地接通企业内部网;在安全性上,由于VPN服务器采用高位数的加密方式,无须担心数据在传输时被截获。
