虚拟私有网络（VPN）保安.PDF

虛擬私有網絡（VPN ）保安 2008 年 2 月 © 香港特別行政區政府 這份文件的內容為香港特別行政區政府的財產，未經香港特別行政區政府的明文 批准，不得轉載全部或部份文件內容。 免責聲明：政府盡力確保本文資料準確，但不明示或隱含保證資料準確無誤。對於因使用本文資 料而引致或與之有關的任何錯誤或遺漏，香港特別行政區政府概不承擔任何法律責任。 目錄 摘要 2 I. 虛擬私有網絡（VPN ）是什麼？ 3 VPN 的保安特性 3 II. 商業上的考慮 4 VPN 的用途 4 VPN 產品種類 4 III. 常用的VPN 隧道技術 6 互聯網規約保安（Internet Protocol Security, IPsec ） 6 點對點隧道規約（Point-to-Point Tunneling Protocol, PPTP ） 8 第二層隧道規約（Layer 2 Tunneling Protocol L2TP ） 9 SSL / TLS 10 IV. VPN 的風險和限制11 入侵者攻擊11 用戶身份認證11 客戶方風險11 電腦病毒／惡意軟件感染11 不恰當的網絡接達權 12 互用性 12 V. 保安考慮事項 13 一般VPN 保安考慮事項 13 外聯網VPN 保安考慮事項 13 客戶端VPN 保安考慮事項 13 VPN 產品常見的保安功能 14 VI. 總結 15 虛擬私有網絡 （VPN ）保安 第 1 頁 摘要 現今，由遙距網絡接達到內聯網的需求日漸增加，員工經常需要從家裡、酒店、機場或 其它外部網絡經互聯網（互聯網基本上是不安全的）接達到內部私有網絡。當員工或業 務伙伴經常由不安全的外部網絡接連到內部網絡，保安便成為重要的考慮因素。 虛擬私有網絡（Virutal Private Network, VPN ）技術是保護在互聯網傳送資訊的方法之 一。用戶可利用該技術與內部網絡建立一條虛擬私有隧道，通過不安全的網絡如互聯 網，卻能夠安全地進入內部網絡，接達內部的資源、數據及進行通訊。 本文將提供有關VPN 的概述和VPN 核心技術，並探討可能涉及的保安風險，以及建立 VPN 時應注意的保安事項。 虛擬私有網絡 （VPN ）保安 第 2 頁 I. 虛擬私有網絡 （VPN ）是什麼？ 虛擬私有網絡（Virtual Private Network, VPN ）指在不安全或不被信任的網絡上建立一條 1 加密隧道，利用一些技術的組合令連接變得安全，成為安全的通訊網絡 。VPN 並非使 用指定連接方式例如專線等，而是讓不同地域的用戶，在共享或公共網絡如互聯網上建 立「虛擬」連接，讓數據猶如通過私有連接來傳輸。 VPN 通過隧道傳送數據，即在傳送數據包前先加上新的標頭，然後把它壓縮（包裹）成 為新的數據包。這個標頭提供路由資料，因此它能夠於到達其隧道終點前穿過共享或公 共網絡。數據包所穿過的邏輯路徑稱為隧道。當數據包抵達隧道終點時，便會被「解壓」 然後前向至其目的地。當然，雙方的隧道終點均須支援同一項隧道規約。隧道規約在開 放系統互連（Open System Interconnection, OSI ）第二層（數據鏈路層（data-link layer ）） 或第三層（網絡層 （net