VPN技術(shù)與DDNS專線比較的優(yōu)勢
一.原理概述:
隨著網(wǎng)絡(luò),尤其是網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展,企業(yè)日益擴(kuò)張,客戶分布日益廣泛,合作伙伴日益增多,這種情況促使了企業(yè)的效益日益增長,另一方面也越來越凸現(xiàn)傳統(tǒng)企業(yè)網(wǎng)的功能缺陷:傳統(tǒng)企業(yè)網(wǎng)基于固定物理地點的專線連接方式已難以適應(yīng)現(xiàn)代企業(yè)的需求。于是企業(yè)對于自身的網(wǎng)絡(luò)建設(shè)提出了更高的需求,主要表現(xiàn)在網(wǎng)絡(luò)的靈活性、安全性、經(jīng)濟(jì)性、擴(kuò)展性等方面。在這樣的背景下, VPN 以其獨具特色的優(yōu)勢贏得了越來越多的企業(yè)的青睞,令企業(yè)可以較少地關(guān)注網(wǎng)絡(luò)的運行與維護(hù),而更多地致力于企業(yè)的商業(yè)目標(biāo)的實現(xiàn),但它與傳統(tǒng)的專有網(wǎng)絡(luò),例如數(shù)字?jǐn)?shù)據(jù)網(wǎng)( Digital Data Network )是利用數(shù)字信道傳輸數(shù)據(jù)信號的數(shù)據(jù)傳輸網(wǎng),它的傳輸媒介有光纜、數(shù)字微波、衛(wèi)星信道以及用戶端可用的普通電纜和雙絞線。利用數(shù)字信道傳輸數(shù)據(jù)信號與傳統(tǒng)的模擬信道相比,具有傳輸質(zhì)量高、速度快、帶寬利用率高等一系列優(yōu)點。虛擬專用網(wǎng)( Virtual Private Network )被定義為通過一個公用網(wǎng)絡(luò)(通常是 Internet )建立一個臨時的、安全的連接,是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入,以實現(xiàn)安全連接;可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路,用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。
二、VPN 協(xié)議簡介
要使數(shù)據(jù)順利地被封裝、傳送及解封裝,通信協(xié)議是保證的核心。目前 VPN 隧道協(xié)議有 4 種:點到點隧道協(xié)議 PPTP 、第二層隧道協(xié)議 L2TP 、網(wǎng)絡(luò)層隧道協(xié)議 IPSec 以及 SOCKS v5 ,它們在 OSI 七層模型中的位置如表所示。各協(xié)議工作在不同層次,無所謂誰更有優(yōu)勢。但我們應(yīng)該注意,不同的網(wǎng)絡(luò)環(huán)境適合不同的協(xié)議,在選擇 VPN 產(chǎn)品時,應(yīng)該注意選擇。
1 .點到點隧道協(xié)議 —PPTPPPTP 協(xié)議將控制包與數(shù)據(jù)包分開,控制包采用 TCP 控制,用于嚴(yán)格的狀態(tài)查詢及信令信息;數(shù)據(jù)包部分先封裝在 PPP 協(xié)議中,然后封裝到 GRE V2 協(xié)議中。目前, PPTP 協(xié)議基本已被淘汰,不再使用在 VPN 產(chǎn)品中。
2 .第二層隧道協(xié)議 —L2TPL2TP 是國際標(biāo)準(zhǔn)隧道協(xié)議,它結(jié)合了 PPTP 協(xié)議以及第二層轉(zhuǎn)發(fā) L2F 協(xié)議的優(yōu)點,能以隧道方式使 PPP 包通過各種網(wǎng)絡(luò)協(xié)議,包括 ATM 、 SONET 和幀中繼。但是 L2TP 沒有任何加密措施,更多是和 IPSec 協(xié)議結(jié)合使用,提供隧道驗證。
三、隧道協(xié)議在 OSI 七層模型中的位置
1、IPSec 的安全性描述
IPSec ( 1P Security )產(chǎn)生于 IPv6 的制定之中,用于提供 IP 層的安全性。由于所有支持 TCP / IP 協(xié)議的主機(jī)進(jìn)行通信時,都要經(jīng)過 IP 層的處理,所以提供了 IP 層的安全性就相當(dāng)于為整個網(wǎng)絡(luò)提供了安全通信的基礎(chǔ)。鑒于 IPv4 的應(yīng)用仍然很廣泛,所以后來在 IPSec 的制定中也增添了對 IPv4 的支持。最初的一組有關(guān) IPSec 標(biāo)準(zhǔn)由 IETF 在 1995 年制定,但由于其中存在一些未解決的問題,從 1997 年開始 IETF 又開展了新一輪的 IPSec 的制定工作,截止至 1998 年 11 月份主要協(xié)議已經(jīng)基本制定完成。不過這組新的協(xié)議仍然存在一些問題,預(yù)計在不久的將來 IETF 又會進(jìn)行下一輪 IPSec 的修訂工作。
2、IPSec 基本工作原理 IPSec 的工作原理(如下圖所示)類似于包過濾防火墻,可以看作是對包過濾防火墻的一種擴(kuò)展。當(dāng)接收到一個 IP 數(shù)據(jù)包時,包過濾防火墻使用其頭部在一個規(guī)則表中進(jìn)行匹配。當(dāng)找到一個相匹配的規(guī)則時,包過濾防火墻就按照該規(guī)則制定的方法對接收到的 IP 數(shù)據(jù)包進(jìn)行處理。 這里的處理工作只有兩種:丟棄或轉(zhuǎn)發(fā)。IPSec 通過查詢 SPD ( Security P01icy Database 安全策略數(shù)據(jù)庫)決定對接收到的 IP 數(shù)據(jù)包的處理。但是 IPSec 不同于包過濾防火墻的是,對 IP 數(shù)據(jù)包的處理方法除了丟棄,直接轉(zhuǎn)發(fā)(繞過 IPSec )外,還有一種,即進(jìn)行 IPSec 處理。正是這新增添的處理方法提供了比包過濾防火墻更進(jìn)一步的網(wǎng)絡(luò)安全性。進(jìn)行 IPSec 處理意味著對 IP 數(shù)據(jù)包進(jìn)行加密和認(rèn)證。包過濾防火墻只能控制來自或去往某個站點的 IP 數(shù)據(jù)包的通過,可以拒絕來自某個外部站點的 IP 數(shù)據(jù)包訪問內(nèi)部某些站點,.也可以拒絕某個內(nèi)部站點方對某些外部網(wǎng)站的訪問。但是包過濾防火墻不能保證自內(nèi)部網(wǎng)絡(luò)出去的數(shù)據(jù)包不被截取,也不能保證進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包未經(jīng)過篡改。只有在對 IP 數(shù)據(jù)包實施了加密和認(rèn)證后,才能保證在外部網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包的機(jī)密性,真實性,完整性,通過 Internet 進(jìn)新安全的通信才成為可能。IPSec 既可以只對 IP 數(shù)據(jù)包進(jìn)行加密,或只進(jìn)行認(rèn)證,也可以同時實施二者。但無論是進(jìn)行加密還是進(jìn)行認(rèn)證, IPSec 都有兩種工作模式,一種是與其前一節(jié)提到的協(xié)議工作方式類似的隧道模式,另一種是傳輸模式。傳輸模式,如圖 2 所示,只對 IP 數(shù)據(jù)包的有效負(fù)載進(jìn)行加密或認(rèn)證。此時,繼續(xù)使用以前的 IP 頭部,只對 IP 頭部的部分域進(jìn)行修改,而 IPSec 協(xié)議頭部插入到 IP 頭部和傳輸層頭部之間。隧道模式,如圖 3 所示,對整個 IP 數(shù)據(jù)色進(jìn)行加密或認(rèn)證。此時,需要新產(chǎn)生一個 IP 頭部, IPSec 頭部被放在新產(chǎn)生的 IP 頭部和以前的 IP 數(shù)據(jù)包之間,從而組成一個新的 IP 頭部。
四、IPSec 中的三個主要協(xié)議 前面已經(jīng)提到 IPSec 主要功能為加密和認(rèn)證,為了進(jìn)行加密和認(rèn)證 IPSec 還需要有密鑰的管理和交換的功能,以便為加密和認(rèn)證提供所需要的密鑰并對密鑰的使用進(jìn)行管理。以上三方面的工作分別由 AH , ESP 和 IKE 三個協(xié)議規(guī)定。為了介紹這三個協(xié)議,需要先引人一個非常重要的術(shù)語棗 SA ( Securlty Association 安全關(guān)聯(lián))。所謂安全關(guān)聯(lián)是指安全服務(wù)與它服務(wù)的載體之間的一個“連接”。 AH 和 ESP 都需要使用 SA ,而 IKE 的主要功能就是 SA 的建立和維護(hù)。只要實現(xiàn) AH 和 ESP 都必須提供對 SA 的支持。通信雙方如果要用 IPSec 建立一條安全的傳輸通路,需要事先協(xié)商好將要采用的安全策略,包括使用的加密算法、密鑰、密鑰的生存期等。當(dāng)雙方協(xié)商好使用的安全策略后,我們就說雙方建立了一個 SA 。 SA 就是能向其上的數(shù)據(jù)傳輸提供某種 IPSec 安全保障的一個簡單連接,可以由 AH 或 ESP 提供。當(dāng)給定了一個 SA ,就確定了 IPSec 要執(zhí)行的處理,如加密,認(rèn)證等。 SA 可以進(jìn)行兩種方式的組合,分別為傳輸臨近和嵌套隧道。
1 .ESP ( Encapsulating Secuity Fayload )ESP 協(xié)議主要用來處理對 IP 數(shù)據(jù)包的加密,此外對認(rèn)證也提供某種程度的支持。 ESP 是與具體的加密算法相獨立的,幾乎可以支持各種對稱密鑰加密算法,例如 DES , TripleDES , RC5 等。為了保證各種 IPSec 實現(xiàn)間的互操作性,目前 ESP 必須提供對 56 位 DES 算法的支持。ESP 協(xié)議數(shù)據(jù)單元格式三個部分組成,除了頭部、加密數(shù)據(jù)部分外,在實施認(rèn)證時還包含一個可選尾部。頭部有兩個域:安全策略索引( SPl )和序列號( Sequencenumber )。使用 ESP 進(jìn)行安全通信之前,通信雙方需要先協(xié)商好一組將要采用的加密策略,包括使用的算法、密鑰以及密鑰的有效期等。“安全策略索引”使用來標(biāo)識發(fā)送方是使用哪組加密策略來處理 IP 數(shù)據(jù)包的,當(dāng)接收方看到了這個序號就知道了對收到的 IP 數(shù)據(jù)包應(yīng)該如何處理。“序列號”用來區(qū)分使用同一組加密策略的不同數(shù)據(jù)包。加密數(shù)據(jù)部分除了包含原 IP 數(shù)據(jù)包的有效負(fù)載,填充域(用來保證加密數(shù)據(jù)部分滿足塊加密的長度要求)包含其余部分在傳輸時都是加密過的。其中“下一個頭部( Next Header )”用來指出有效負(fù)載部分使用的協(xié)議,可能是傳輸層協(xié)議( TCP 或 UDP ),也可能還是 IPSec 協(xié)議( ESP 或 AH )。
通常, ESP 可以作為 IP 的有效負(fù)載進(jìn)行傳輸,這 JFIP 的頭 UKB 指出下廣個協(xié)議是 ESP ,而非 TCP 和 UDP 。由于采用了這種封裝形式,所以 ESP 可以使用舊有的網(wǎng)絡(luò)進(jìn)行傳輸。
前面已經(jīng)提到用 IPSec 進(jìn)行加密是可以有兩種工作模式,意味著 ESP 協(xié)議有兩種工作模式:傳輸模式( Transport Mode )和隧道模式( TunnelMode )。當(dāng) ESP 工作在傳輸模式時,采用當(dāng)前的 IP 頭部。而在隧道模式時,侍整個 IP 數(shù)據(jù)包進(jìn)行加密作為 ESP 的有效負(fù)載,并在 ESP 頭部前增添以網(wǎng)關(guān)地址為源地址的新的 IP 頭部,此時可以起到 NAT 的作用。
2 .AH ( Authentication Header )AH 只涉及到認(rèn)證,不涉及到加密。 AH 雖然在功能上和 ESP 有些重復(fù),但 AH 除了對可以對 IP 的有效負(fù)載進(jìn)行認(rèn)證外,還可以對 IP 頭部實施認(rèn)證。主要是處理數(shù)據(jù)對,可以對 IP 頭部進(jìn)行認(rèn)證,而 ESP 的認(rèn)證功能主要是面對 IP 的有效負(fù)載。為了提供最基本的功能并保證互操作性, AH 必須包含對 HMAC-SHA 和 HMAC- MD5 ( HMAC 是一種 SHA 和 MD5 都支持的對稱式認(rèn)證系統(tǒng))的支持。
AH 既可以單獨使用,也可在隧道模式下,或和 ESP 聯(lián)用。
3 .IKE ( Internet Key Exchange )IKE 協(xié)議主要是對密鑰交換進(jìn)行管理,它主要包括三個功能: 對使用的協(xié)議、加密算法和密鑰進(jìn)行協(xié)商。
方便的密鑰交換機(jī)制(這可能需要周期性的進(jìn)行)。
跟蹤對以上這些約定的實施。
五、DDN 和 VPN 安全性比較
一般在DDN線路中,都是采用專用線路,沒有與公眾線路連接在一起,所以在很大程度上與VPN相比,容易導(dǎo)致安全上的誤解。
從實際使用上看,由于DDN線路的專用性,所以也大大減少了其被攻擊破壞的可能性。
但是另外一方面,從原理上分析,數(shù)據(jù)在DDN網(wǎng)絡(luò)上面?zhèn)鬏斊鋵嵤遣话踩?數(shù)據(jù)傳送的過程中可能會被人竊取、修改等;數(shù)據(jù)在VPN虛擬專網(wǎng)中傳輸?shù)倪^程是安全的,通過加密、身份認(rèn)證、封包認(rèn)證等過程保證數(shù)據(jù)包在傳送的過程中不被竊取、刪除和修改。
六、總結(jié)
其實DDN是專有網(wǎng)絡(luò)最傳統(tǒng)的方式。以Cisco為代表的產(chǎn)品都是這樣去解決。在歐美發(fā)達(dá)國家,由于固定IP地址的費用比較低,DDN方式的專用網(wǎng)絡(luò)很容易實現(xiàn),而在亞洲許多國家,IP地址比較匱乏,從而使得DDN固定IP的費用非常昂貴。客觀的說,DDN的專有網(wǎng)絡(luò)無疑是穩(wěn)定的,雖然配置要求專業(yè)人員,也能形成網(wǎng)狀的連接。但是從購買設(shè)備、安裝調(diào)試和后期的維護(hù)的費用都是巨大的,而且還有每月高昂的通訊費用,這都將在國內(nèi)制約著DDN專有網(wǎng)絡(luò)的發(fā)展。隨著IP技術(shù)的發(fā)展和國內(nèi)骨干網(wǎng)絡(luò)帶寬的不斷提高,VPN越來越能滿足用戶安全性、高效性和靈活性等要求。可以相信,在未來幾年內(nèi),VPN架構(gòu)的企業(yè)信息化網(wǎng)絡(luò)是主流方式。
【編輯推薦】