第10讲 VPN技术.pptVIP

第10讲 VPN技术 在网络互联世界中，企业为了各站点之间能够 安全地传输数据，往往选择从通信厂商处租用昂贵 的专有链路来进行传送。为了降低成本，我们可以 在现有的Internet结构基础和其他用户共享通信链路 上进行数据传输，但同时如何保证数据传输的安全 就成了最重要的问题。其中一种有效的解决方案就 是构建虚拟专用网VPN。 10.1 VPN概述 VPN是将不同物理位置的组织和个人通过已有的公共网络 建立一条点到点的虚拟链路，模拟专用网进行安全数据通信的 网络技术，其基本原理是通过一定的技术将互联网上每个VPN 用户的数据与其他数据加以区别，避免未经授权的访问，从而 确保数据的安全。通过利用共享的公共网络设施实现VPN，能 够以极低的费用为远程用户提供性能和专用网络相媲美的保密 通信服务。 1.隧道技术 隧道技术是目前构建VPN的基本方式。隧道技术是指把一 种类型的报文封装在另一种报文中在网络上进行传输，如图 10.1所示。两个网络通过VPN接入设备的一个端口，即一个VPN 端点，建立的虚拟链路就叫隧道。发送给远程网络的数据要进 行一定的封装处理，从发送方网络的一个VPN端点进入VPN，经 相关隧道穿越VPN(物理上穿越不安全的互联网)，到达接收方 网络的另一个VPN端点，再经过解封装处理，便得到原始数 据，并且把加密后的原始数据发给目的主机。封装的数据在传 送中，不仅遵循指定的路径，避免经过不信任的节点而到达未 授权接收方，而且封装处理使得传送的中间节点不必也不会解 析原始数据，这在一定程度上防止了数据泄密。对主机来说， 不管是发送主机还是接收主机，都不知道数据曾经被封装过， 也不知道数据是在Internet网络上进行传输的， 它只需要提供 要传输的数据，而不需要特殊的软件或配置，所有传送过程都 由VPN设备来处理。 仅仅通过隧道技术还不能建立适合所有安全要求的VPN， 因为一般的隧道技术只能够满足在单个运营商网络上进行数据 安全传输的需求。用户数据要跨越多个运营商网络时，在两个 独立网络节点的封装数据要先解封处理后再封装，可能在此过 程中造成信息泄漏，因此，必须结合加密技术和密钥管理等 技术保证数据传输的机密性。同时，身份认证及访问控制等 技术可以支持远程接入或动态建立隧道的VPN，通过对访问 者身份的确认及对其访问资源的控制来保证信息安全。所以 VPN通信具有与专用网同等的通信安全性。VPN的简单通信 过程如下： (1)客户机向VPN服务器发出请求。 (2)VPN服务器响应请求，并要求客户进行身份认证。 (3)客户机将机密的用户身份认证响应信息发给服务器。 (4)VPN服务器收到客户的认证响应信息，确认该帐户是 否有效，是否具有远程访问权限。如果有访问权限，则接收 此连接。 (5)VPN服务器利用在认证过程中产生的客户机和服务器 的公有密钥对数据进行加密，然后通过VPN隧道技术进行封 装、加密、传输到目的内部网络。 总之，VPN可以通过隧道技术、密码技术、身份认证及访 问控制技术等在共享的互联网上实现低成本的安全数据传输。 2. VPN的优点 VPN的优点如下： 1)费用低廉 这是使用VPN的最主要的好处。通过使用VPN，我们可以 在公共网络上尽可能安全地传输数据，而不需要再租用专线来 组网。并且，多数VPN都可以提供可靠的远程拨号服务，如此 便减少了管理、维护和操作拨号网络的人力成本，节约了相关 费用。 2)安全可靠 VPN为数据安全传输提供了许多安全保证，可以保证传输数 据的机密性、完整性和对发送/接收者的认证。 3) 部署简单 VPN使用的是已有的基础设施，因此可以利用现有的基础设 施快速建立VPN，从而降低工作量，节省时间，减少施工费用 3. VPN的缺点 VPN有如上所述的许多优点，但同时也有一些缺点： 1)增加了处理开销 为了保证数据传输安全，通常对传输的每一个报文都进行加 密，如此便增加了VPN处理压力。虽然可以采取硬件技术来解 决，但同时也增加了构建VPN的成本。同时，由于VPN对发送 的报文进行了封装，或者在原始报文上增加额外报文信息，这 些都增加了处理开销，对网络性能构成一定的影响。 2)实现问题 由于现有的网络基础情况一般比较复杂，因此VPN在设计 的时候必须考虑到实现的问题，包括VPN通过、网络地址转换