文档编号:111 浏览:14235 评分:329 最后更新于:2008-08-15
(一)、 缩略语与专用名词
VPN(Vitual Private Network),虚拟专用网:VPN指的是依靠ISP(Internet Service Provider因特网服务提供商)和其它NSP(Network Service Provider 网络服务提供商),在公用网络(如Internet)中建立专用的数据通信网络的技术。
PPTP(Point-to-Point Tunneling Protocol),点到点隧道协议:PPTP是一种虚拟专用网络协议,属于第二层的协议。PPTP将PPP(Point-to-Point Protocol)帧封装在IP数据报中,通过IP网络如Internet或企业专用Intranet等发送。
L2TP(Layer Two Tunneling Protocol),第二层隧道协议:L2TP是一种虚拟专用网络协议,已成为IETF有关二层隧道协议的工业标准。L2TP将PPP(Point-to-Point Protocol)帧封装后,可通过IP,X.25,帧中继或ATM等网络进行传送。
IPSec(IP Security Protocol),IP网络安全协议:IPSec是IETF制定的一系列协议,以保证在Internet上传送数据的安全保密性能,通信方之间在IP层通过加密与数据源验证来保证数据包在Internet上传输时的私有性、完整性和真实性。
IETF(Internet Engineering Task Force),因特网工程任务组:全球因特网组织中专门负责开发因特网协议的组织之一。IETF的工作是围绕着若干工作小组展开的,每个小组专门负责某一类问题或某一类协议的研究制定。
RFC(Request for Comment),请求注释文档:IETF设计的文档编制机制,用于提供Internet各个组成部分的实现标准。任何实现(协议或通信方法),都可以通过文档的形式提交给IETF。IETF分析文档后,就赋予该文档一个惟一的编号,然后公开发布该RFC文档。
虚拟专用网(VPN)主要采用了两种技术:隧道技术与安全技术。隧道技术当前主要有三种协议支持:PPTP,L2TP和IPSec。安全技术主要有IPSec等。
VPN具体实现是采用隧道技术,将数据包封装在隧道中进行传输。隧道协议可分为第二、第三层隧道协议。第二层隧道协议(如PPTP、L2TP)是先把各种网络协议封装到PPP帧中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第三层隧道协议(如IPSec、GRE等)是先把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。
为了保证传输的安全,需要一定的安全加密手段保证数据的私密性和完整性。虽然PPTP和L2TP各自有自己的优点,但是都没能很好地解决隧道加密和数据加密的问题。而IPSec协议支持对数据加密,同时确保数据的完整性。IPSec为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,可以有效抵御网络攻击。IPSec提供两种安全机制:加密和认证。认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改。加密机制通过对数据进行编码来保证数据的机密性,以防数据在传输过程中被窃听。
PPTP/L2TP提供了能够满足大多数公司需要的安全性级别,同基于IPSec的VPN解决方案相比,它们使用的安全模型虽然不够完整但是仍然具有一些优点, 如容易使用, 部署方便等。尽管IPSec具有更高的安全性和可靠性,但是它的部署通常更加复杂,而且受到一定的限制,如有些NAT设备不支持IPSec数据穿透等。因此,在实际应用中,应该根据实际需求选择相应的方式。
使用Windows 2000或Windows XP客户机本身都能够充当PPTP/L2TP VPN客户机,因此VPN通道可以直接扩展到拨号用户的计算机上,从而提供端对端通道。另外,Microsoft公司在新版本的Windows软件中(Windows XP)提供了初步的IPSec VPN支持。 )三)
(三)、VPN解决方案
使用HiPER虚拟专用网(VPN)解决方案,可以通过公共网络为企业在公司总部与各远程分支机构以及移动商务人员之间提供一个安全的网络连接。服务提供商还可以使用HiPER虚拟专用网(VPN)解决方案为他们的客户提供VPN服务。
HiPER是上海艾泰科技有限公司开发的新一代集成的VPN网关,HiPER 产品的VPN功能支持PPTP,L2TP和IPSec三种VPN协议,为用户提供了前所未有的方便和灵活的选择。
对于远程移动用户或其他出差用户来说,既可以使用Windows 系统内置的PPTP/L2TP拨号软件,也可以使用IPSec客户端软件同企业建立VPN的连接。使用PPTP、L2TP的好处是方便,不需要另外的软件;而使用IPSec客户端软件的好处是更高的安全性和可靠性保证。
对于公司总部和各远程分支机构而言,使用HiPER VPN网关的好处是高度的安全性保证,可以通过采用动态的密钥来保证数据的安全。在企业本地网络和远程网络之间可以采用IPSec协议来建立VPN的连接,从而保证数据的机密性、可靠性和真实性。
HiPER VPN网关提供友好的人性化的WEB管理界面,方便使用和管理。即使用户没有丰富的网络知识,也可以很快掌握配置和维护HiPER VPN网关的方法,为企业充分利用VPN技术快速构建其Intranet网络提供了保证。
HiPER VPN网关的特点包括:
1. 集成的解决方案,提供全面的VPN功能, 同时支持IPSec、L2TP及 PPTP VPN。
2. 符合行业标准,通过ICSA认证。
1) 在隧道模式下的IPSec 协议
2) DES,3DES和AES加密
3) HMAC MD5和HMAC SHA-1数据完整性认证
4) 基于预共享密钥的IKE
5) 手动密钥通道
6) Diffie-Hellman 组1、2、和5
7) 野蛮模式和主模式
8) 抗重播
9) 前向保密(需要软件升级)
3. L2TP VPN 标准。
1) L2TP服务器
2) L2TP客户端
3) 基于L2TP的远程拨号的VPN
4) 基于L2TP的LAN到LAN的VPN
4. PPTP VPN 标准。
1) PPTP 服务器
2) PPTP 客户端
3) 基于PPTP的远程拨号的VPN
4) 基于PPTP的LAN到LAN的VPN
5. 基于防火墙策略的IPSec VPN。
6. IPSec NAT穿透技术,允许位于NAT后面的远程IPSec VPN 网关或VPN客户端连接到IPSec VPN网关。
7. VPN星形连接,可以使VPN流量从一个隧道经HiPER连接到另一个隧道。
8. IPSec VPN、L2TP VPN或PPTP VPN与DDNS相结合,可实现无固定IP地址的VPN。
企业Intranet网络建设的VPN连接方案利用IPSec安全协议的VPN和加密能力,实现两个或多个企业分支机构之间跨越Internet的企业内部网连
接,实现了安全的企业内部数据通信。通过HiPER内部策略控制体系对VPN的数据可以进行有效的控制和管理,使企业的内部网络通信具有良好
的扩展性和管理性。
对于移动的办公室、出差用户、及采用ADSL上网的分支办公室,HiPER VPN网关都提供了完善的解决方案。HiPER支持PPTP/L2TP/IPSec多种协议体系,而且对于用户来说,其配置和使用都非常方便。如图1-2,给出了分支办公室动态地址方式、移动办公用户、出差用户和总部中心的VPN连接解决方案。
HiPER VPN网关同时还设计了一项简单易用的VPN Pass-Through 功能,称为VPN透明通过技术。使得HiPER在NAT情况下,保证远程VPN管理的正常应用。在很多企业中,企业总部需要对分支企业或分部进行统一的远程安全管理。为了保证管理数据的安全和私密性,利用远程VPN管理是理想的方式。但如果管理中心主机是通过NAT转换后建立VPN的话,PPTP、IPSec协议不能成功建立。如果选用HiPER产品作为企业的NAT设备,则能透明地转发PPTP/IPSec VPN数据包,保证企业远程管理的正常应用。
在HiPER的VPN设计中,可以支持双向的NAT处理,使远程办公室的主机以本地IP地址的方式出现,增强了网络兼容性。VPN的策略控制设计,使管理员可以灵活控制使用VPN隧道的IP地址、服务、时间等参数,增强了VPN安全控制。
作为新一代的安全网关设备,HiPER以其贴近未来应用的设计理念将领导VPN网关产品市场的新变革。
最后
对企业来说,虚拟专用网 (VPN) 是一种具有成本效益的安全方法。HiPER VPN设备是在多个企业网络中提供安全VPN访问的最佳选择。根据用户规模的大小,连接到HiPER VPN设备的用户可以使用VPN客户端软件或者HiPER VPN网关。例如,小型的办公室可以使用HiPER 3100VF或3300VF,分支办公机构可以使用HiPER 3300VF 或HiPER 4520VF。服务供应商还可以用HiPER 4520VF或3300VF为多个客户网络提供VPN服务,每个网络连接到一个不同的用户定义接口。