当前位置 > 首页 > 网站建设学院 > > 电信网络

虚拟专用网络技术动向

2/14/2005来源:电信网络人气:8975

吴腾奇 付清儒
  在Internet尚未出现之前,远距离的网络通信是采用向电信服务公司租用专线来实现的,此专用线路是ISDN和T1线。由于租用该专线的费用相当昂贵,因而除了有雄厚资金的大公司用得起外,一般中小型企业只能望尘莫及。然而,现在却不同了,Internet已成为大众用作全球通信且费用低廉的工具,不但中小型企业可以采用,甚至连个人用户也在大量使用,其规模之大真是空前的,使用最为普遍的就是电子邮件。可是,Internet的最致命弱点就是很不安全,或者说保密性很差,这对于公司来说是极为不利的,因为公司所传送的资料往往是不便公开的,甚至可能是极为秘密的商业资料。于是,人们提出了一个需求,能否有一个既运用Internet作通信又能保证安全性的网络,这就是虚拟专用网络(VPN)。

  现在,一般公司内大都铺设有不同规模的网络,多采以太网。我们通常称这些网络为局域网(LAN),因为它是在一个特定的有局限的范围内所铺设的网络,所采用的网络设备也是有限的,最重要的是,这个网络是有形的,网络管理员可以看得到它的每一个部分,也可以看到网络是如何连接的,即使发生故障,也完全可以根据网络布线图去查找故障所在。

  Internet是个无形的网络

  Internet与一般局域网主要不同之处就是它的结构是无形的,也就是说没有人能讲出Internet的结构是怎样的。因为它是一个全球性的网络,每个人使用Internet的网络都可能是不同的。对于专用网络,顾名思义,不难理解,主要不知虚拟两字的含义,所以在虚拟专用网络的图解上,往往将Internet表示为一朵云,其含义真恰如其分。世界各地的个人和公司就将自己的电脑或网络连接到“这朵云”上进行通信。在虚拟专用网络中,我们主要解决的问题是要利用Internet作通信,开通一条安全可靠的通信管道,将信息送到对方,这个通信管道被称为隧道。要想打通这条隧道,就必须按照一定的协议去做,而且还要将传送的信息加密。同时为了防止Internet的黑客攻击,还必须用防火墙之类的产品将黑客阻止在系统外等。只有采取了一系列不可或缺的措施,才能保证你在Internet上可以作为可靠安全的通信。每个公司用户利用Internet作远距离通信时,都要自己即时建立一条这样的通信隧道,这是一种虚拟的概念。

  虚拟的奥妙何在

  如果一个在中国香港地区的公司用户要与美国的公司作通信,而又是利用Internet作为远距离通信的网络,那就必须将公司网络连在Internet上,并要从开始连接Internet的端点打通一条到美国的公司的隧道,并与美国的公司所拥有的网络相接通。由于此方法的通信成本低廉,所以促使人们努力研制出一套办法,现今已可成功地交付使用。这个虚拟的隧道的奥妙除了网络通信一般要做到的做法之外,最主要的是在发送信息的加密以及防止Internet上的黑客进入公司网络等方面,也就是要使整个通信通道处于保密状态,以达到网络服务素质(Quality of server,QoS)的要求。

  1.防火墙的起源

  防火墙是一种将公司网络和Internet之间加上的一道防盗墙,使得网络信息资料拙入都受到防火墙的监管,即不会失密,也不会被盗。它可以对发出的信息包进行加密,再发送到目的地网络,同样,它也可将由Internet接收的信息包进行解密,然后再进入公司内部网络。此技术是采用标准的ip标题,对于通过Internet或其他的TCP/IP网络的已加密信息包并没有特别的要求。但随着VPN的要求的不断提高,产生相应的解决方案有很多类型,而且将VPN的要求包括到防火墙之中,此类产品的供应商有Sun Microsystems Check Point和Raptor Systems等公司。在开始时,在Internet两端所用的防火墙必须由同一家供应商所生产,因为当时不同供应商的防火墙并不能互相操作,而这种要求在实际应用中是极不方便的,设置也很困难,针对这个问题,就出现了互联网协议保安性(Internet PRotocol Security,IPSec)类型的产品,原先IPSec当作IP的第六版本的一部分,它是作鉴证和加密的附加物用到第四版本的产品之中去,现在的防火墙就是这样的产品,主要是交换被其他协议所掩盖的协议,而不会全部按标准来做的,例如ISA/KMP,即Internet Security Association和Key Management Protocol以及Oakley。很多防火墙、路由器和IP堆栈的供应商都参加进去,以证实其产品的互操作能力。第一阶段的测试主要集中于发送、接收和正确处理各种产品之间的加密问题。第二阶段涉及其他方面,例如对主要交换作处理。解决这些问题才使得VPN能真正成为实际应用的技术。

  2.隧道穿通

  如今,VPN的新方案已出现,例如采用将IP标题附着于每个信息包的首部,通过IP使路由器具有足够的隧道穿通其他协议的能力,这就是所谓密封的过程。再采用加密技术,使路由器利用隧道穿涌去建立VPN。如Ascend、IBM、Intel、Network Systems和Digital等公司在其产品中加入加密能力,包括有硬件的加密设备或者支持它们作为一种选项,例如Cisco Systems公司的PIX可以提供较大的吞吐量。由于其加密速度快的缘故,对于慢速的通信线路低于64kbps来说,一般来说是不存在问题的;但是当速度提高时,采用专用的设备作硬件加密就显得相当重要,可以有效避免造成延迟。而软件产品方面集中于使VPN成为普及化,这些产品主要用于运行Windows NT或Unix的工作站上,并且能处理鉴证、加密和运行VPN的管理功能。这些产品的供应商是TimeStep、Red Creek和Extended Systems公司。

  然而,特别有趣的是这些产品的价格与防火墙不相上下,即使它们所提供的功能只是防火墙的一部分。Windows NT也提供VPN的方式,它是用综合的点对点隧道穿通协议(Point to Point Tunneling Protocol ,PPTP)提供远程存取服务(Remote Assess Service,RAS)。在RAS之中,PPTP采用Microsoft点对点加密技术,可支持40bit或128bit的RC4加密。如果一个远距离系统上具有Windows NT或者加上PPTP去支持Windows 95,就可以允许远距离用户和远距离网络作VPN存取,而无需购买附加软件。有一种由Extended Systems公司生产的第三方软件包ExtendNet也支持PPTP。

  3.浮动的链接

  如何利用笔记本电脑来建立VPN呢?随着笔记本电脑价格的不断降低,使用笔记本电脑的用户会越来越多,这些用户需要利用VPN与公司作存取资料。所以,如Gauntlet PC Extended和Check point公司的Secure Remote软件包装到笔记本电脑就可以应用VPN技术,无论在什么地方都可将笔记本电脑连接到Internet上,同时也可以用PPTP和Windows。通常这类产品每一位的价格在70-100美元。与租用专用线路相比,采用VPN的好处就是可以节省大量金钱。现在许多公司重视使用VPN的主要原因在于:可扩大公司网络的安全可靠范围,VPN是一种以隧道方式进入公司网络的,用加密的方式在公司网络外面检查它,从而保护公司网络,这个隧道也可以与流动的用户相连接,或者和公司的办事处相连接,无论对流动用户还是公司办事处都具有同样的保安控制以及相同级别的信任度。然而,有时并不完全如此。例如,一个流动用户已安装了一些VPN软件在笔记本电脑上,又正依赖ISP提供已加密的隧道到公司网络中去,这样用户就可以按图标按钮而自动登录,使笔记本电脑连接Internet和建立加密的隧道。以后,如果笔记本电脑连接Internet和建立加密的隧道,以后,如果笔记本电脑被人偷走了,盗窃者只须按动图标就可存取你公司的资料。有些产品则强调用户在使用之前必须先输入密码、口令、例如Pata Fellow。Microsoft的Windows 95上的PPTP需要登入密码、口令才可以用作网络存取,而此口令是由用户所提供的,用户随后就将电脑置于睡眠状态模式,但盗窃者也只要简单地醒电脑的Windows 95,就可以使用已输入的口令作远距离存取网络了。当VPN服务器的支持是综合在防火墙中时,隧道可端接在防火墙上,并不在公司的网络范围内,但并不是所有的防火墙都支持这种特性的。要及时防范一个不受信任的VPN连接,所以施加防火墙的保安策略是至关重要的事情。

  现在可以开始吗

  可以想象一下,你已经小心地作好了VPN的设置,对笔记本电脑上的硬驱动也已作了加密,并且你也从未离开过你的电脑,除非完全关机。你正使用一个经过加密的ISP的VPN,保证所发出的数据不会被发觉或修改过,但是你可以完全依赖ISP吗?假设ISP处理的某些东西出错,例如加密隧道的本地端接发生故障而影响通信,VPN软件不能与你的笔记本电脑通信,请记住,这是由ISP所提供的完全透明的服务,这样,ISP无法通知你加密已出问题,然后ISP可有两种选择,一种是切断链路,另一种是继续提供无加密的连接。如果ISP简单地切断链路,你并不知道正出什么错误,可能是出在链路上,也可能是发生本地存在点POP处;但如果ISP继续保持链路,你就使用着无加密的链路,而且你无法知道这一切。

  加密本身是一个相当复杂的技术,它有两点是要被人们考虑的,首先就是加密算法,并非是专利的算法,如数据加密标准(Data Encryption Standard,DES)、3层DES triple DES RC4以及国际数据加密算法(International Data Encryption Algorith,IDEA),要建立一个不能被破坏的加密算法。其次,必须有一定的密码匙的长度,据估计,想破解一个40bit的密码匙,至少要花费3.5小时,而想破解48bit的密码匙,就要花费313小时,从现有的破解密码匙的现状而言,你至少要有56bit的密码匙长度,而对未来而言,要有80bit的密码匙长度才是安全的。

  服务素质(QoS)问题

  除了利用通过Internet的VPN技术去取代以往的租用线路昂贵的费用,还要考虑一个在保安性之外的问题----服务素质。Internet提供一种不同服务素质的级别,它取决于ISP所能控制之外的一些因素,在设置虚拟链路形式的方面,某些ISP提供的是正常运行时间、性能的保证。例如,你和你的办事处是由同一ISP提供服务,ISP给你们一个指定的服务级别,即可以达到99.7%保证有正常运行时间,若不能满足此保证,通常它减免月费的10%,但是这保证只是对正常运行时间而言,并不包括通信量在内。uuNET ISP提供一个附加保证,即每一通路的延迟时间少于150ms,如果达不到保证,则另外再减免月费的25%。

  保安性始终是首要的

  VPN是一种用于Internet上的重要技术,它可以为公司节省大量的金钱,而且在使用上也较为简便。不过你也不要忘记使用VPN的主要目的,就是为了提供一个通过利用Internet不可靠的网络而得到安全的通信链路。理想的加密系统应当是使用简便和极为安全可靠,然而,重要问题就是密码匙的分发和管理问题,数码证书如X.509可以解决此问题。VPN可以说是这种通信技术上的一种极为重要的突破,也使得Internet这种大众化的又不安全的网络发挥了重要的作用,然而千万要注意保安性的问题,这样,VPN就能实现你能所期望的快捷,安全的通信。

摘自《实用无线电--网络通信》2001.10