Virtual Private Network

VPN技术的运行机制与发展

虚拟专用网络(Virtual Private Network,VPN)是利用不可靠的公用互联网络作为信息传输媒介，通过附加的安全隧道、用户认证和访问控制等技术实现与专用网络相类似的安全性能，从而实现对重要信息的安全传输。

根据技术应用环境的特点，VPN大致包括三种典型的应用环境，即Intranet VPN, Remote Access VPN和Extranet VPN。其中Intranet VPN主要是在内部专用网络上提供虚拟子网和用户管理认证功能；Remote Access VPN侧重远程用户接入访问过程中对信息资源的保护；而Extranet VPN则需要将不同的用户子网扩展成虚拟的企业网络。这三种方式中Extranet VPN应用的功能最完善，而其他两种均可在它的基础上生成，因此，我们主要讲解Extranet VPN,同时兼顾另两种应用方式的特点.

VPN技术的优点主要包括：

(1) 信息的安全性。虚拟专用网络采用安全隧道(Secure Tunnel)技术向用户提供无缝(Seamless)的和安全的端到端连接服务，确保信息资源的安全。

(2) 方便的扩充性。用户可以利用虚拟专用网络技术方便地重构企业专用网络(Private Network)，实现异地业务人员的远程接入，加强与客户、合作伙伴之间的联系，以进一步适应虚拟企业的新型企业组织形式。

(3) 方便的管理。VPN将大量的网络管理工作放到互联网络服务提供者(ISP)一端来统一实现，从而减轻了企业内部网络管理的负担。同时VPN也提供信息传输、路由等方面的智能特性及其与其他网络设备相独立的特性，也便于用户进行网络管理。

(4) 显著的成本效益。利用现有互联网络发达的网络构架组建企业内部专用网络，从而节省了大量的投资成本及后续的运营维护成本。

实现VPN的关键技术主要包括：

(1) 安全隧道技术(Secure Tunneling Technology)通过将待传输的原始信息经过加密和协议封装处理后再嵌套装入另一种协议的数据包送入网络中，像普通数据包一样进行传输。经过这样的处理，只有源端和宿端的用户对隧道中的嵌套信息进行解释和处理，而对于其他用户而言只是无意义的信息。这里采用的是加密和信息结构变换相结合的方式，而非单纯的加密技术。

(2) 用户认证技术(User Authentication Technology)。在正式的隧道连接开始之前需要确认用户的身份，以便系统进一步实施资源访问控制或用户授权(Authorization)。用户认证技术是相对比较成熟的一类技术，因此可以考虑对现有技术的集成。

(3) 访问控制技术(Access Control Technology)。由VPN服务的提供者与最终网络信息资源的提供者共同协商确定特定用户对特定资源的访问权限，以此实现基于用户的细粒度访问控制，以实现对信息资源的最大限度的保护。

第二章 VPN技术在信息保密上的实现与应用

一、VPN是如何工作的

VPN的建立可以基于几种不同的网络协议，其中最常见的是利用PPTP协议的VPN工作方式。

VPN是基于PPTP协议（点对点密道协议）的网络连接方式。

除了基于PPTP模式的VPN之外，VPN可以基于以下的几种协议。

(1) L2TP——第二层隧道协议

(2) IPSEC—IP Security

(3) SOCKs

2、VPN的基本要素

为了形成VPN中的隧道，需要具备：隧道开通器（TI），有路由能力的公用网络，一个或多个隧道终止器（TT），必要时增加一个隧道交换机以增加灵活性。

3、VPN的应用

VPN应用领域分为四类：远程访问、现场对现场连通，Extranet超级网和其它

(1) 远程访问

(2) 现场对现场连通

(3) 超级网

(4) 内部使用VPN

二、VPN对安全的保障

1．限制远程用户的访问自由

隧道终止器的设置方式基本上有两种。

一是单防火墙结构，远程用户到达防火墙后只能在这里等待交换数据。

二是双防火墙结构，内防火墙与外防火墙之间的地段称为“非军事区”（DMI），隧道终止器就设在这里。不管是哪种情况，远程用户只能访问网络边界处连接点的网络资源。防火墙可以防止非法用户窃取企业网络的信息。

2．隧道交换机提高了VPN的安全性和灵活性

隧道交换机含有隧道终止器和隧道开通器，通常设置在非军事区中，它既使远程用户可以访问防火墙后面的某些资源，又可以增加VPN的安全性。

隧道交换机在收到VPN信息流之后，将对用户进行RADIUS（远程授权拨入用户服务）检查，查验合格后就开通一条穿过防火墙的新隧道，直达指定的内部服务器，从而把VPN信息流送到这个服务器。这些服务器是隧道的最后终点。

隧道交换机具有以下好处：

(1) 为了支持许多VPN应用，防火墙只需打一个洞。由于各种IP应用（如FTP、Telnet等）都被封装在隧道协议里，并经由隧道交换机向内部网络延伸，所以防火墙只需为隧道协议开一个洞。

(2) 很容易区别对待远程职工的信息流和合作伙伴与客户的信息流。隧道交换机能够把不同类型用户经由同样的Internet接口传来的隧道转接到不同的地点，于是便可以对它们执行不同的安全政策。这使网络管理人员很容易查看和控制Extranet的活动，并根据本企业与合作伙伴的关系迅速作出调整。

(3) 各部门可以共用一个Internet接口，又可以各自执行自己的用户审批与访问控制政策。隧道交换机把隧道逼到每个部门的LAN，再由各个部门按自己的方式去控制远程用户的访问权。

(4) 可以最终利用IP地址空间。隧道交换机使VPN信息流可以进入内部网络，那里的地址空间比非军事区的地址空间大得多。但企业为这些隧道终点设定的地址是NSP无法知道的，这提高了VPN的安全性。

(5) 使远程用户很容易成为VLAN（虚拟LAN）的成员。VLAN可以改善网络的效率，因为不管用户走到哪里，他所需的信息就能送到哪里。但是，如果在VPN中没有隧道交换机，所有输入的VPN信息流只能送到同一个VLAN，因为VLAN通常是根据用户接入的集线器端口来指定VLAN成员的。隧道交换机可以把隧道信息流送到不同地点的不同隧道终止器，也就是能够把远程用户接入不同的端口，因而很容易把远程用户分配到不同的VLAN。

3．VPN的安全传输

针对隧道的安全数据传输，目前已制定了一些专用的安全协议。这些协议采用加密和数字签名技术，以确保数据的机密性和完整性，并可对收方和发方进行身份查验。

(1) Microsoft点对点加密（MPPE）协议

Microsoft公司的Dial Up Networking（拨号联网）软件已增加了MPPE加密能力。这个改进型软件的40位版本已捆绑在Windows 95中，128位版本则与Windows NT捆绑在一起。

MPPE先在客户端工作站上对PPP数据包进行加密，然后才把它们送入PPTP隧道。传输途中的隧道交换机无法对这些PPP数据包进行解密。这就提高了数据的保密性。

MPPE还使用增强型的口令握手协议（MS CHAP）来加强对用户身份的查验。

(2) 安全IP（IPsec）标准

IPsec是新出现的VPN安全性标准，它是由TETF制定的，其中包括一整套IP协议，用于在两个IP站之间商定所用的加密和数字签名方法。

IPsec比MPPE更可靠，它包括查验、加密和数据完整性功能。它还可以越过隧道终止器而直达目的地的主工作站。

IPsec的另一个优点是它的查验和安全性功能与它的密钥管理系统松散耦合。因此，如果未来的密钥管理系统发生变化，IPsec的安全机制不需要进行修改。

(3) 整个安全性实施过程的主要步骤

在这个例子中，客户机开通VPN，而ISP的访问集线器起路由器的作用。

① 用户审批

② 在隧道开通器和隧道终止器之间建立一条安全通道

③ 执行企业的安全策略并传输数据

4．VPN安全得以保障的关键性技术

VPN是在经过认证的双方或多方之间建立传输加密数据的网络通道，它保证数据的私密性、完整性和可靠性。一个完整的VPN其关键性能是保密性及高度可靠性。落实路由、隧道技术、自动化的密钥管理和标准也很重要。

(1) 数据完整性

(2) 数字认证

(3) 隧道技术

(4) 自动化密钥管理

（三）配置VPN系统

我们在这里主要讨论一些简单而且廉价的VPN配置方式，而更加专业的配置请参照有关的技术说明书。

1．基于Windows NT的安装

Windows NT 4.0可以像配置普通的远程访问一样管理此服务。

首先，需要安装PPTP协议，在NT4.0上安装PPTP协议也像安装其他网络协议一样，但是由于PPTP协议直接和NT的远程访问服务绑定，因此在安装时需要RAS的配置。在安装PPTIP之前，最好安装好RAS服务。

在控制面板的“网络”对话框里选取“协议”，点击“增加”，添入“Point to Point Tunneling Protocol”，如图3-17所示。

然后对PPTP协议进行一定的配置，例如可以如图3-18所示指定最多同时4个PPTP客户端连接在RAS服务器上，点击“确定”。

这样，您就完成了第一部分的安装，剩余的部分就是为PPTP协议安装和配置RAS服务。

单击网络中“确定”按钮，这时将初始化RAS的配置，同时增添了一个新的PPTP VPN端口，NT4.0自动导出RAS的配置对话框。

为在RAS中加入一个新的VPN端口，单击左下方的“添加”按钮，可以看到“添加RAS设备”对话框，在这个对话框中，可以看到您所添加的VPN端口，依次添加每个VPN端口（也可以单独添加）。在本例中，您可以加入4个RAS PPIP端口至RAS服务。请注意，这些端口默认的配置是“只能拨入”。同时，也可以如我们配置一个普通的RAS端口一般配置这些端口所使用的协议。

如何配置一个Windows 98环境下的客户端。

首先在拨号网络中新建连接，与一般设置拨号网络类似，在对方计算机名称中定义一个名称，但是请注意，在设备处选择Microsoft VPN Adapter。选择“下一步”。

在主机名或者IP地址中键入想要连接的计算机的IP地址，单击“完成”后就可以看到在拨号网络里面有了一个新的拨号连接。首先通过一个拨号连接连入Internet网，然后点击拨号网络中您所建立的虚拟专用网络的连接，在这里名称为“Virtual Private Network”。当通过用户名和密码验证后，您就可以像连接在您公司局域网中的任何一台工作站一样进行网络操作了。

2．基于LINUX的VPN配置

首先你需要两台异地的连在Internet 上的计算机，这样就可以在它们之间建立一个通道（tunnel)。当然，你也可以在一个局域网上安装它，不过这没有意义。这两台计算机上必须安装有配置好“ethertap”和“netlink”驱动程序的Linux 2.1.112或更高版本。另外，还必须有SSleay库，最好是0.9.0a版，如果你用的是其它版本，有可能遇到意想不到的问题。

当把一台计算机或一个局域网连接到Internet上时，我们最关心的就是安全性了。在局域网和主机系统中我们一般使用口令字（Pasword)来实现安全性检查。但在Internet中用口令实现安全性太不可靠了,因为在Internet上传送明文口令时，他人可能截获你的IP包，从而获得你的口令。Tunnel Vision 很好地避免了在Internet上传送口令，即使非要传送口令时也确保口令已被加密。

当你第一次使用Tunnel Vision 时，它将生成一对随机的1024位的RSA(一种加密算法）公用/私用密钥，并将它们保存在/etc/tunnelv.conf中。当两台计算机通过Tunnel Vision建立联系时，它们都向对方发送RSA密钥的公用部分，这样双方立即转到RSA加密通信方式。如果双方都承认对方的密钥，就说明它们已经相互信任了。这时就不再需要口令，Tunnel Vision提供的密钥随机性非常高，几乎不可能被他人破译，起码到目前为止还没有被破译过。但是RSA加密方式速度非常慢，这时其中一方继续生成一个随机的128位的“Blowfish”密钥，并通过RSA加密通道传给对方。随即双方都转到速度快、安全性高的“Blowfish”加密算法进行通信。

为了实现Tunnel Vision 的安全性，我们需要执行以下步骤：

（1）在双方建立/etc/tunnelv.conf文件，并在其中加入：[Tunnel Vision]

（2） Magic Password=XXXXXXX (你选定的口令）

（3）注意双方的口令应相同。然后在一方的根目录下键入：tunnelv 1234 ，在另一方键入：tunnelv “对方机器的地址” 1234

这里的"1234"是端口号，建议使用1234作为缺省的端口号。

（4）千万不要忘记将/etc/tunnelv.conf文件中的Magic Password=XXXXXXX行删除掉，以增强VPN的安全性。至此一个简单的基于Linux的虚拟专用网已经建成，你可以像使用自己的远程专网一样安全高效的使用它了。

（四）安全仍然是关键

在虚拟网络中，“安全”就是指将每个客户的通信分离开来，以保证数据的保密性。IPSec（Internet安全协议）通道和数据加密技术可以实现这一点，它可以将端到端的通道扩展到Internet公共带宽外，然后对位于这些通道内的信息进行加密以防止他人窃取。除了IPSec外，还有两个在第二层建立安全通道的标准协议，即PPTP（点对点隧道协议）和L2TP（第二层隧道协议），这两者都没有IPSec所具有的加密功能。

IPSec为保密的广域网VPN和远程拨号服务提供了可靠的安全结构。它为第二层网络结构起到了很好的补充作用，由于它新增加的安全服务可以保护公司的虚拟专用网络，因此IPSec的出现标志着VPN通信发展到了性能完全有保证的InternetVPN服务。

访问点QVPN将安全服务器的功能集成在它统一的IP服务结构中。它既支持点到点的WANVPN，也支持远程拨号VPN服务。安全集成包括对IKE（Internet密钥交换）的支持，IKE协议可自动协调网关端点之间的安全。访问点QVPN还通过支持X.509格式的认证，具有与现有的认证机构交互操作的功能。

（五）VPN引入带宽管理

客户要求VPN能够提供与他们在现有的网络享受的服务级别相当的性能服务。这包括两个方面。

第一，用户需要在整个骨干网上能够保证VPN的服务级别。访问点QVPN使用了DiffServ（区分服务）协议，以保证整个InternetVPN的服务级。Xedia的QVPN方案有一项带宽借用功能，即当用户遇到Internet带宽有空闲时可以拥有超过CIR的突发速率。类似地，客户的VPN链路内的不同的通信业务在需要时也可以相互“借用”带宽，这样位于第三层的VPN就拥有了对带宽统计多路复用的第二层的带宽效率。

第二，客户需要能够对如何在自己的用户和应用之间共享和划分它们的VPN带宽进行控制。这种QoS就是要解决每个网络访问点的带宽管理和优先通信的问题。

--如有