什么是VPN
VPN(Virtual Private Network):虚拟专用网络,是一门网络新技术,为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。我们知道一个网络连接通常由三个部分组成:客户机、传输介质和服务器。VPN同样也由这三部分组成,不同的是VPN连接使用隧道作为传输通道,这个隧道是建立在公共网络或专用网络基础之上的,如:Internet或Intranet。
要实现VPN连接,企业内部网络中必须配置有一台基于Windows NT或Windows2000 Server的VPN服务器,VPN服务器一方面连接企业内部专用网络,另一方面要连接到Internet,也就是说VPN服务器必须拥有一个公用的IP地址。当客户机通过VPN连接与专用网络中的计算机进行通信时,先由ISP(Internet服务提供商)将所有的数据传送到VPN服务器,然后再由VPN服务器负责将所有的数据传送到目标计算机。VPN使用三个方面的技术保证了通信的安全性:隧道协议、身份验证和数据加密。客户机向VPN服务器发出请求,VPN服务器响应请求并向客户机发出身份质询,客户机将加密的响应信息发送到VPN服务器,VPN服务器根据用户数据库检查该响应,如果账户有效,VPN服务器将检查该用户是否具有远程访问权限,如果该用户拥有远程访问的权限,VPN服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。VPN连接的示意图如下所示。(略)
VPN的基本配置:
工作原理:
一边服务器的网络子网为192.168.1.0/24
路由器为100.10.15.1
另一边的服务器为192.168.10.0/24
路由器为200.20.25.1。
执行下列步骤:
1. 确定一个预先共享的密钥(保密密码)(以下例子保密密码假设为noIP4u)
2. 为SA协商过程配置IKE。
3. 配置IPSec。
配置IKE:
Shelby(config)#crypto isakmp policy 1
注释:policy 1表示策略1,假如想多配几个VPN,可以写成policy 2、policy3┅
Shelby(config-isakmp)#group 1
注释:除非购买高端路由器,或是VPN通信比较少,否则最好使用group 1长度的密钥,group命令有两个参数值:1和2。参数值1表示密钥使用768位密钥,参数值2表示密钥使用1024位密钥,显然后一种密钥安全性高,但消耗更多的CPU时间。
Shelby(config-isakmp)#authentication pre-share
注释:告诉路由器要使用预先共享的密码。
Shelby(config-isakmp)#lifetime 3600
注释:对生成新SA的周期进行调整。这个值以秒为单位,默认值为86400,也就是一天。值得注意的是两端的路由器都要设置相同的SA周期,否则VPN在正常初始化之后,将会在较短的一个SA周期到达中断。
Shelby(config)#crypto isakmp key noIP4u address 200.20.25.1
注释:返回到全局设置模式确定要使用的预先共享密钥和指归VPN另一端路由器IP地址,即目的路由器IP地址。相应地在另一端路由器配置也和以上命令类似,只不过把IP地址改成100.10.15.1。
配置IPSec
Shelby(config)#access-list 130 permit ip 192.168.1.0 0.0.0.255 172.16.10.0 0.0.0.255
注释:在这里使用的访问列表号不能与任何过滤访问列表相同,应该使用不同的访问列表号来标识VPN规则。
Shelby(config)#crypto ipsec transform-set vpn1 ah-md5-hmac esp-des esp-md5-hmac
注释:这里在两端路由器唯一不同的参数是vpn1,这是为这种选项组合所定义的名称。在两端的路由器上,这个名称可以相同,也可以不同。以上命令是定义所使用的IPSec参数。为了加强安全性,要启动验证报头。由于两个网络都使用私有地址空间,需要通过隧道传输数据,因此还要使用安全封装协议。最后,还要定义DES作为保密密码钥加密算法。
Shelby(config)#crypto map shortsec 60 ipsec-isakmp
注释:以上命令为定义生成新保密密钥的周期。如果攻击者破解了保密密钥,他就能够解使用同一个密钥的所有通信。基于这个原因,我们要设置一个较短的密钥更新周期。比如,每分钟生成一个新密钥。这个命令在VPN两端的路由器上必须匹配。参数shortsec是我们给这个配置定义的名称,稍后可以将它与路由器的外部接口建立关联。
Shelby(config-crypto-map)#set peer 200.20.25.1
注释:这是标识对方路由器的合法IP地址。在远程路由器上也要输入类似命令,只是对方路由器地址应该是100.10.15.1。
Shelby(config-crypto-map)#set transform-set vpn1
Shelby(config-crypto-map)#match address 130
注释:这两个命令分别标识用于这个连接的传输设置和访问列表。
Shelby(config)#interface s0
Shelby(config-if)#crypto map shortsec
注释:将刚才定义的密码图应用到路由器的外部接口。
现在剩下的部分是测试这个VPN的连接,并且确保通信是按照预期规划进行的。
最后一步是不要忘记保存运行配置,否则所作的功劳白费了。
附:参照网络安全范围,VPN硬件设备应放置以下四个地点:
● 在DMZ的防火墙之外
● 连接到防火墙的第三个网卡(服务网络)
● 在防火墙保护的范围之内
● 与防火墙集成
VPN的工作原理
用户连接VPN的形式:
常规的直接拨号连接与虚拟专网连接的异同点在于在前一种情形中,PPP(点对点协议)数据包流是通过专用线路传输的。在VPN中,PPP数据包流是由一个LAN上的路由器发出,通过共享IP网络上的隧道进行传输,再到达另一个LAN上的路由器。
这两者的关键不同点是隧道代替了实实在在的专用线路。隧道好比是在WAN云海中拉出一根串行通信电缆。那么,如何形成VPN隧道呢?
建立隧道有两种主要的方式:客户启动(Client-Initiated)或客户透明(Client-Transparent)。客户启动要求客户和隧道服务器(或网关)都安装隧道软件。后者通常都安装在公司中心站上。通过客户软件初始化隧道,隧道服务器中止隧道,ISP可以不必支持隧道。客户和隧道服务器只需建立隧道,并使用用户ID和口令或用数字许可证鉴权。一旦隧道建立,就可以进行通信了,如同ISP没有参与连接一样。
另一方面,如果希望隧道对客户透明,ISP的POPs就必须具有允许使用隧道的接入服务器以及可能需要的路由器。客户首先拨号进入服务器,服务器必须能识别这一连接要与某一特定的远程点建立隧道,然后服务器与隧道服务器建立隧道,通常使用用户ID和口令进行鉴权。这样客户端就通过隧道与隧道服务器建立了直接对话。尽管这一方针不要求客户有专门软件,但客户只能拨号进入正确配置的访问服务器。
VPN是什么,请看如下一些表述:
■ VPN是利用公网来构建专用网络,它是通过特殊设计的硬件和软件直接通过共享的 IP网所建立的隧道来完成的。我们通常将VPN当作WAN解决方案,但它也可以简单地用于LAN。VPN类似于点到点直接拨号连接或租用线路连接,尽管它是以交换和路由的方式工作。
■ 可以说,VPN是Intranet(内部网)在公众网络上的延伸,它可以提供与专用网一样的安全性、可管理性和传输性能,而建设、运转和维护网络的工作也从企业内部的IT部门剥离出来,交由运营商来负责。
■ VPN是建立在实际网络(或物理网络)基础上的一种功能性网络。它利用公共网络做为企业骨干网的低成本优势,同时克服公共网络缺乏保密性的弱点,在VPN网络中,位于公共网络两端的网络在公共网络上传输信息时,其信息都是经过安全处理的,可以保证数据的完整性、真实性和私有性。
■ VPN是指在共用网络上建立专用网络的技术。之所以称为虚拟网主要是因为整个 VPN网络的任意两个结点之间的连接并没有传统专网建设所需的点到点的物理链路,而是架构在公用网络服务商ISP所提供的网络平台之上的逻辑网络。用户的数据是通过ISP在公共网络(Internet)中建立的逻辑隧道(Tunnel),即点到点的虚拟专线进行传输的。通过相应的加密和认证技术来保证用户内部网络数据在公网上安全传输,从而真正实现网络数据的专有性。
■ VPN是企业网在因特网等公共网络上的延伸,它能在公共网络上创建一个安全的私有连接,因此让公司的远程用户、分支机构、业务伙伴等与公司的企业网连接起来,构成一个扩展的企业网。
|
|
无论从VPN技术发展历程和应用模式看VPN技术包含了多种当前新兴的网络技术,涉及到通信技术、密码技术、硬件集成加速技术和认证技术,是多种技术的复杂结合体。这决定了用户在选择VPN时必须以应用为导向,以解决方案为实施依据,方可事倍功半地部署恰当的VPN产品。
VPN是一个建立在现有共用网络基础上的专网,它由各种网络节点、统一的运行机制和与物理网络的接口构成,一般至少包括以下几个关键组成部分:
■ VPN服务器:作为端点的计算机系统,可能是防火墙、路由器、专用网关,也可能是一台运行VPN软件的联网计算机,或是一台联网手持设备
■ 算法体系:VPN的专用网络的形成的关键,常见的有:摘要算法MD5或SHA1,对称加密RC4、RC5、DES、3DES、AES、IDEA、BLOWFISH,公用密钥加密RSA、DSA。不同类型的VPN根据应用特点在实现上使用对应的算法,有的还可以由用户根据使用现场临时更换
■ 认证系统:VPN是一个网络,要为网络节点提供可靠的连接。如同现实社会交往中强调的“诚信”原则,当你通过一个网络去访问一个网络资源时,你自然希望对方是像你要求的那样是真实的,可以想象,对方也是这样要求你的,如何认证对方和认证自己,同时还要防止认证信息泄露,这就是认证系统所要解决的问题,是开始VPN连接的基础。一般使用的有口令、一次性密码、RSA SecurID、双因素令牌、LDAP、Windows AD、Radius、证书,一个系统中往往包括一种以上的方式以增加灵活性
■ VPN协议:它规定了VPN产品的特征,主要包括安全程度和与上下层网络系统的接口形式。安全不仅要靠算法,由于VPN强调的是网络连接和传输,配套的密钥交换和密钥保护方法甚至比算法更重要,而接口决定了一个VPN产品的适用度。常见的有PPTP 、L2TP 、MPLS VPN、IPsec 、SOCKS、SSL |
|
|
■ 商业角度
安全性:安全是VPN技术的基础。VPN提供给用户的是专用网络,因此建立在不安全、不可信任的公共网络的首要任务是解决安全性问题。VPN的安全机制可通过隧道技术、加密算法、密钥长度、密钥交换管理、数据认证技术、用户认证和访问控制等得到实。
可管理性:由于VPN的安全特征,它必须是可管理的,这不仅出于成本,更为重要的是保证安全性得到实现。应包括对网络的可知,如对现行运行状态的监控,日志记录丰富程度,审计手段,预警方式;应包括对网络使用的可控,如安全策略的部署,用户的控制,非法入侵的锁定。应具备一个统一管理平台来实现,而不是将管理信息分散在不同节点。管理平台的操作便捷性和安全保证是关键。
可用性/性能:实现安全的代价往往是性能,所以一个优良VPN要满足性能要求。这样需要在硬件平台和软件效率上加以考察,如主机的加解密速度,系统使用的主要算法强度,需要同时支持的连接数量,对带宽变化的适应性等。
可用性/用户操作便捷和可控性:VPN应用的一个常见场景是个体用户的远程访问,这时系统对他的支持能力和需要他作出的联网动作关系到整个VPN系统被接受的程度,动作要少而简单,支持要彻底。
部署和实施:VPN要在现有网络上建立,必须与现有网络环境相融合;网络的实现,需要在不同地点实现各个网络节点,这些各异的环境造成网络的复杂性,VPN也不例外。所以要从VPN产品的部署和应用模式上,调试和管理方式上结合现有网络设备和架构一并加以考察,衡量不同VPN方案部署和实施的成本。
可伸缩性:用户的网络环境、规模和网络应用均是变化的,VPN应能适合用户规模的增长,网络的变动,应用系统软件的变动和添加。应考察VPN系统对用户支持的限制因素。
可靠性和服务质量:VPN的顺利运行依靠数个方面,硬件平台的稳定,软件模块的设计质量,网络部署的合理和优化,基础网络的质量,这些均可影响VPN的可靠性,这时VPN选择和部署的经验很重要,而保证的措施是全面和严格的测试。VPN可以通过实现HA来提高可靠性,部分网络层的VPN产品还具备QoS的管理能力。
兼容性:VPN不仅要在现有网络上建立,常常还要面对用户已装备的一些网络应用系统,如可能用户现有网络由互联网和一段非TCP/IP协议的网段组成,网络应用中已经使用了MS Windows AD域认证,这时用户要实施一个VPN就必须面对与现有系统兼容的问题
互操作/标准:应当尽量使用采用国际或行业标准的VPN产品,为网络扩展和对接提供依据,减少互连障碍。特别在Extranet VPN中,企业要与不同的客户及供应商建立联系,无法保证它们的VPN解决方案与自己的一致。因此为实现企业的VPN产品应该能够同其他厂家的产品进行互操作,就要求双方所选择的VPN方案均应是基于工业标准和协议的。
■ 技术角度
VPN与承载它的公共网络相互独立。
VPN的构建在Internet、用户专网之上,公共网络内不知道VPN的存在,也不会保留任何VPN的状态信息。公共网络的组网设备,VPN设备接入公共网络的方式均与实现VPN功能无关,用户利用互联网组成VPN时可以选择ADSL、DDN,拨号等多种上网形式,既可选择网通的接入线路也可选择广电的接入线路。不需要对公共网络作任何改动,VPN只是利用公共网络的数据传输能力。
VPN使用的协议与公共网络使用的协议无关,两个运行在同一公共网络上的VPN可以使用不同协议。
每个VPN都有一个属于自己的独立私有地址空间,与公共网络地址和其他VPN地址无关。
公共网络所能到达的地点VPN均可覆盖到,所以VPN是全球化的。
一台主机可以根据要求处于不同的VPN网络,如一个销售人员通过VPN1接入公司内网查询销售信息,也可通过VPN2到公司签约的旅行社订购机票。
可以选择算法和密钥长度来支持不同等级的安全特性。 | | |
|
