随着连入Internet的用户迅速增加,各个公司都在考虑怎样利用Internet来获取更多的商业利益。早期,公司只是利用Internet宣传其形象和产品,提供WWW访问,现在可以利用Internet实现网络银行、电子购物、电子商务等。要实现这些新功能就必须采用安全技术,虚拟专用网(VPN)技术将是重要手段之一。VPN的市场正在迅速增长,2000年可能会达到数10亿美元。通过Internet传输,VPN可以降低费用、增加灵活性,而且比传统的网络连接(如通过租用专线和远端拨号访问)更容易管理。 VPN被定以为通过公共网络(通常是Internet)建立一个临时的、安全的连接,它是对企业内部网的扩展。VPN可以帮助远程用户、公司分支机构、商业伙伴及供应商与公司的内部网建立可信的安全连接,并保证数据的安全传输。 然而选择一个合适的VPN解决方案或产品对一个管理人员来说是困难的,因为每一种解决方案都可提供不同程度的安全性、可用性,并且都各有优缺点。为了选择一个合适的安全产品,决策者应该首先明确他们公司的商业需求, 例如,公司是需要将少数几个可信的远地雇员连到公司总部,还是希望为每个分支机构、合作伙伴、供应商、顾客和远地雇员都建立一个安全连接通道。不管怎样,一个VPN 至少应该能提供如下功能:加密数据,已保证通过公网传输的信息即使被他人截获也不会泄密。信息认证和身份认证,保证信息的完整性,合法性,并能鉴别用户的身份。提供访问控制,不同的用户有不同的访问权限。
2 虚拟专用网的分类及用途
基于Internet建立的VPN,如果实施得当,可以使网络免受病毒感、防止欺骗、防商业间谍、增强访问控制、增强系统管理、加强认证等。在VPN提供的功能中,认证和加密是最重要的。访问控制相对比较复杂,因为它的配置与实施策略和所用的工具紧密相关。VPN的三种功能必须相互配合,才能保证真正的安全性。在连到Internet之前,公司应指定相应的安全策略,清楚地说明不同身份的用户可以访问哪些资源。一个安全的解决方案包括防火墙、路由器、代理服务器、VPN软件或硬件。 根据不同需要,可以构造不同类型的VPN,不同商业环境对VPN的要求和VPN所起的作用是不一样的。下面分三种情况说明VPN的用途。在公司总部和它的分支机构之间建立VPN,称为“内部网VPN”。在公司总部和远地雇员或旅行中的雇员之间建立VPN,称为“远程访问VPN”。在公司和商业伙伴、顾客、供应商、投资者之间建立VPN,称为“外部网VPN”。
2-1 内部网VPN 内部网VPN是通过公共网络将一个组织的各分支机构的LAN连接而成的网络,被称为Internet,它使公司网络的扩展。当一个数据传输通道的两个端点被认为是可信的时候,公司可以选择“内部网VPN”解决方案,安全性主要在于加强两个VPN服务器之间的加密和认证手段上,如图1所示。大量的数据经常需要通过VPN在局域网之间传递。可以把中心数据库或其它计算资源连接起来的各个局域网看成是内部网的一部分。
在子公司中有一定访问权限的用户才能通过“ 内部网VPN”访问公司总部的资源,所有端点之间的数据传输都要经过加密和身份鉴别。如果总公司对分公司或个人有不同的可信程度,可以通过基于认证的VPN方案来保证信息的安全传输,而不是靠可信的通信子网。这种VPN的主要任务是保护公司的Internet不被外部入侵,同时保证公司的重要数据流经Internet时的安全性。
2-2 远程访问VPN 人们现在开始意识到通过Internet的远程拨号访问所带来的好处。用Internet作为远程访问的骨干网比传统的方案更容易实现,而且花钱更少。如果一个用户无论是在家里还是在旅途之中,他想同公司的内部网建立一个安全连接,可以用“ 远程访问VPN”来实现,如图2所示。典型的远程访问VPN是通过本地的信息服务提供商(ISP)登录到Internet上,并在办公室和公司内部网之间建立一调加密信道。
远程访问VPN的客户端应尽量简单,因为普通雇员一般都缺乏专门训练。客户应可以手工建立一条VPN信道,即当客户每次想建立一个安全通信信道时,只需安转VP软件。在服务器端,因为要监视大量用户,有时需要增加或删除用户,这样可能造成混乱,并带来安全风险,因此服务器应集中并且易于管理。 公司往往制定一种“透明的访问策略”,即使在远地的雇员也能象坐在公司总部的办公室里一样自由地访问公司的资源。因此首先要考虑的是所有端到端的数据都要加密,并且只有特定的接收者才能解密。大多数VPN除了加密以外还要考虑加密密码的强度、认证方法。这种VPN要对个人用户的身份进行认证,而不仅认证IP地址,这样公司就会知道哪个用户欲访问公司的网络。认证后决定是否允许用户对网络资源的访问。认证技术可以包括用一次口令、Kerbores认证方案、令牌卡、智能卡、或者是指纹。一旦一个用户同公司的VPN服务器进行了认证,根据他的访问权限表,他就有一定的访问权限。每个人的访问权限表由网络管理员制定,并且要符合公司的安全策略。 有较高安全度的远程访问VPN应能截取到特定主机的信息流,有加密、身份验证、过滤等功能。 2-3 外部网VPN 外部网VPN为公司合作伙伴、顾客、供应商和在远地的公司雇员提供安全性。它应能保证包括TCP和UDP服务在内的各种应用服务的安全,例如Email、Http、FTP、Real、Audio、数据库的安全以及一些应用程序如Java、ActiveX的安全。因为不同公司的网络环境是不相同的,一个可行的外部网VPN方案应能适用于各种操作平台、协议、各种不同的认证方案及加密算法。 外部网VPN的主要目标是保证数据在传输过程中不被修改,保护网络资源不受外部威胁。安全的外部网VPN要求公司在同它的顾客、合作伙伴及在外地的雇员之间经Internet建立端到端的连接时,必须通过VPN服务器才能进行。在这种系统上,网络管理员可以为合作伙伴的职员指定特定的许可权,例如可以允许对方的销售经理访问一个受到保护的服务器上的销售报告。 外部网VPN应是一个由加密、认证和访问控制功能组成的集成系统。通常公司将VPN代理服务器放在一个不能穿透的放火 墙隔离层之后,防火墙阻止所有来历不明的信息传输。所有经过过滤后的数据通过唯一一个入口传到VPN服务器,VPN服务器再根据安全策略来进一步过滤。VPN可以建立在网络协议的上层,如应用层;也可以建立在较低的层次,如网络层。在应用层的VPN可以用一个代理服务器实现,这就是说,不直接打开任何公司内部网的连接,这样有了VPN代理服务器之后,就可以防止IP地址欺骗。所有的访问都要经过代理,这样管理员就可以知道谁曾企图访问内部网以及他做了多少次这种尝试。 外部网VPN并不假定连接的公司双方之间存在双向信任关系。外部网VPN在Internet内打开一条隧道(Tunnel),并保证经过过滤后信息传输的安全。当公司将很多商业活动通过公共网络进行交易时,一个外部网VPN应该用高强度的加密算法,密钥应选在128bit以上。此外应支持多种认证方案和加密算法,因为商业伙伴和顾客可能有不同的网络结构和操作平台。
外部网VPN应能根据尽可能多的参数来控制对网络资源的访问,参数包括原地址、目的地址、应用程序的用途、所用的加密和认证类型、个人身份、工作组、子网等。管理员应能对个人用户身份进行认证,而不仅仅根据IP地址.
3 安全协议
3-1. SOCKSv5协议 SOCKv5是一个需要认证的放火墙协议。当SOCKS同SSL协议配合使用时,可作为建立高度安全的VPN的基础。SOCKS协议的优势在访问控制,因此适用于安全性较高的VPN。 SOCKS现在被IETF建议作为建立VPN的标准,尽管还有一些其他协议,但SOCKS协议得到了一些著名的公司如MICROSOFT、NETSCAPE、IBM的支持。
优点:SOCKSV5在OSI模型的会话层控制数据流,它定义了非常详细的访问控制。在网络层只能根据源目的的IP地址允许或拒绝被通过,在会话层控制手段要更多一些。SOXKSV5在客户机和主机之间建立了一条虚电路,可根据对用户的认证进行监视和访问控制。SOCKSV5和SSL工作在会话层,因此能同低层协议如IPV4、IPSEC、PPTP、L2TP一起使用。它能提供非常复杂的方法来保证信息安全传输。用SOCKSV5的代理服务器可隐藏网络地址结构。如果SOCKSV5同放火墙结合起来使用,数据包经唯一的放火墙端口(缺省的是1080)到代理服务器,由代理服务器过滤发往目的计算机的数据,这样可以防止防火墙上存在的漏洞。SOCKSV5能为认证、加密和密钥管理提供“插件”模块,可让用户很自由地采用他们所需要的技术。SOXKSV5可根据规则过滤数据流,包括JAVAAPPLET和ACTIVEX控制。
缺点:因为SOCKSV5通过代理服务器来增加一层安全性,所以其性能往往比低层次协议差。尽管比网络层和传输层的方案要更安全,但要比低层次协议需要制定更为复杂的安全管理策略。3-2. IPSec协议 IPSec协议是一个范围广泛,开放的VPN安全协议。IPSec适应向Ipv6迁移,它提供所有在网络层上的数据保护,提供透明的安全通信。IPSec用密码技术从三个方面来保证数据的安全。 通过认证,对主机和端点进行身份鉴别。利用完整性检查来保证数据在通过网络传输时没有被修改。加密IP地址和数据以保证私有性。 IPSec协议可以设置成在两种模式下运行:一种是隧道(tunnel)模式,一种是传输(transport) 模式。在隧道模式下,IPSec把Ipv4数据包封装在安全的IP帧中,这样保证从一个防火墙到另一个防火墙时的安全性,信息封装是为了保护端到端的安全性,即在这种模式下不会隐藏路由信息。隧道模式是最安全的,但会带来较大的系统开销。IPSec现在还不完全成熟,但它得到了一些路由器厂商和硬件厂商的大力支持。预计它今后将成为VPI的主要标准。IPSec有扩展能力,可适应未来商业的需要。在1997年底,IETF安全工作组完成了IPSec的扩展,在IPSec协议中加上ISAKMP(Internet SecurityAssociation
and Key Management Protocol)协议,其中还包括一个密钥分配协议Oakley。ISAKMP/Oakley支持自动建立加密信道,以及密钥的自动安全分发和更新。IPSec也可以用于连接其它层已存在的通信协议,如支持安全电子交易协议SET(Secure Electronic Transaction
