惠州大幫手軟體有限公司 如主站訪問慢,可訪問輔站 chs.helpersoft.cn 簡體  繁體  用QQ聯繫業務人員365630986 用Skype聯繫業務人員zhong_jx
首頁 軟體產品 硬件產品 軟體下載 客戶服務 相關知識 關於我們 聯繫我們
硬件產品
打卡鐘
ID卡打卡鐘
IC卡打卡鐘
指紋識別機
指紋+ID打卡鐘
消費機
巡檢機
VPN
軟體產品
大幫手小企業ERP繫統
大幫手手袋/箱包/皮具行業ERP繫統(Helper Bag-ERP)
大幫手人力資源管理繫統(Helper HRMS)
大幫手計件薪資管理繫統
大幫手協同辦公管理繫統(Helper OA)
五金行業ERP繫統
知 識 列 表
VPN技術比較
VPN技術非常復雜,它涉及到通信技術、密碼技術和現代認證技術,是一項交叉科學。目前,CPE-based VPN主要包含兩種技術:隧道技術與安全技術。

一、隧道技術

-----隧道技術的基本過程是在源局域網與公網的接口處將數據(可以是ISO 七層模型中的數據鏈路層或網絡層數據)作為負載封裝在一種可以在公網上傳輸的數據格式中,在目的局域網與公網的接口處將數據解封裝,取出負載。被封裝的數據包在互聯網上傳遞時所經過的邏輯路徑被稱為“隧道”。

-----要使數據順利地被封裝、傳送及解封裝,通信協議是保證的核心。目前VPN隧道協議有4種:點到點隧道協議PPTP、第二層隧道協議L2TP、網絡層隧道協議IPSec以及SOCKS v5,它們在OSI 七層模型中的位置如表所示。各協議工作在不同層次,無所謂誰更有優勢。但我們應該注意,不同的網絡環境適合不同的協議,在選擇VPN產品時,應該注意選擇。

1﹒點到點隧道協議–PPTP

-----PPTP協議將控制包與數據包分開,控制包采用TCP控制,用於嚴格的狀態查詢及信令資訊;數據包部分先封裝在PPP協議中,然後封裝到GRE V2協議中。目前,PPTP協議基本已被淘汰,不再使用在VPN產品中。

2﹒第二層隧道協議–L2TP

-----L2TP是國際標準隧道協議,它結合了PPTP協議以及第二層轉發L2F協議的優點,能以隧道方式使PPP包通過各種網絡協議,包括ATM、SONET和幀中繼。但是L2TP沒有任何加密措施,更多是和IPSec協議結合使用,提供隧道驗證。

3﹒IPSec協議

-----IPSec協議是一個範圍廣泛、開放的VPN安全協議,工作在OSI模型中的第三層––網絡層。它提供所有在網絡層上的數據保護和透明的安全通信。IPSec協議可以設置成在兩種模式下運行:一種是隧道模式,一種是傳輸模式。在隧道模式下,IPSec把IPv4數據包封裝在安全的IP幀中。傳輸模式是為了保護端到端的安全性,不會隱藏路由資訊。1999年底,IETF安全工作組完成了IPSec的擴展,在IPSec協議中加上了ISAKMP協議,其中還包括密鑰分配協議IKE和Oakley。

-----一種趨勢是將L2TP和IPSec結合起來: 用L2TP作為隧道協議,用IPSec協議保護數據。目前,市場上大部分VPN采用這類技術。

----優點:它定義了一套用於保護私有性和完整性的標準協議,可確保運行在TCP/IP協議上的VPN之間的互操作性。

----缺點:除了包過濾外,它沒有指定其他訪問控制方法,對於采用NAT方式訪問公共網絡的情況難以處理。

----適用場合:最適合可信LAN到LAN之間的VPN。

4﹒SOCKS v5協議

----SOCKS v5工作在OSI模型中的第五層––會話層,可作為建立高度安全的VPN的基礎。SOCKS v5協議的優勢在訪問控制,因此適用於安全性較高的VPN。 SOCKS v5現在被IETF建議作為建立VPN的標準。

-----優點:非常詳細的訪問控制。在網絡層隻能根據源目的的IP地址允許或拒絕被通過,在會話層控制手段更多一些;由於工作在會話層,能同低層協議如IPV4、IPSec、PPTP、L2TP一起使用;用SOCKS v5的代理服務器可隱藏網絡地址結構;能為認證、加密和密鑰管理提供“插件”模塊,讓用戶自由地采用所需要的技術。SOCKS v5可根據規則過濾數據流,包括Java Applet和Actives控制。

----缺點:其性能比低層次協議差,必須制定更復雜的安全管理策略。

----適用場合:最適合用於客戶機到服務器的連接模式,適用於外部網VPN和遠程訪問VPN。

二、安全技術

----VPN 是在不安全的Internet 中通信,通信的內容可能涉及企業的機密數據,因此其安全性非常重要。VPN中的安全技術通常由加密、認證及密鑰交換與管理組成。

1﹒認證技術

----認證技術防止數據的偽造和被篡改,它采用一種稱為“摘要”的技術。“摘要”技術主要采用HASH 函數將一段長的報文通過函數變換,映射為一段短的報文即摘要。由於HASH 函數的特性,兩個不同的報文具有相同的摘要幾乎不可能。該特性使得摘要技術在VPN 中有兩個用途:驗證數據的完整性、用戶認證。

2﹒加密技術

----IPSec通過ISAKMP/IKE/Oakley 協商確定幾種可選的數據加密算法,如DES 、3DES等。DES密鑰長度為56位,容易被破譯,3DES使用三重加密增加了安全性。當然國外還有更好的加密算法,但國外禁止出口高位加密算法。基於同樣理由,國內也禁止重要部門使用國外算法。國內算法不對外公開,被破解的可能性極小。 3﹒密鑰交換和管理

-----VPN 中密鑰的分發與管理非常重要。密鑰的分發有兩種方法:一種是通過手工配置的方式,另一種采用密鑰交換協議動態分發。手工配置的方法由於密鑰更新困難,隻適合於簡單網絡的情況。密鑰交換協議采用軟體方式動態生成密鑰,適合於復雜網絡的情況且密鑰可快速更新,可以顯著提高VPN 的安全性。目前主要的密鑰交換與管理標準有IKE (互聯網密鑰交換)、SKIP (互聯網簡單密鑰管理)和Oakley。

VPN組網方式

----VPN在企業中的組網方式分以下3種。在各種組網方式下采用的隧道協議有所不同,要仔細選擇。

1﹒ Access VPN (遠程訪問VPN):客戶端到網關

----遠程用戶撥號接入到本地的ISP,它適用於流動人員遠程辦公,可大大降低電話費。SOCKS v5協議適合這類連接。

2﹒ Intranet VPN (企業內部VPN):網關到網關

----它適用於公司兩個異地機構的局域網互連,在Internet 上組建世界範圍內的企業網。利用Internet 的線路保證網絡的互聯性,而利用隧道、加密等VPN 特性可以保證資訊在整個Intranet VPN 上安全傳輸。IPSec隧道協議可滿足所有網關到網關的VPN連接,因此,在這類組網方式中用得最多。

3﹒Extranet VPN (擴展的企業內部VPN):與合作伙伴企業網構成Extranet

----由於不同公司的網絡相互通信,所以要更多考慮設備的互連、地址的協調、安全策略的協商等問題。它也屬於網關到網關的連接,選擇IPSec協議是明智之舉。
文章來源: 中國IT實驗室

惠州市大幫手軟體有限公司 廣東省惠州市演達一路麗園新村10棟6D樓 郵編:516001
電話:0752-2587641 傳真:0752-2587640 E-mail:sales@helpersoft.cn 值班手機:15913877227(鐘生)  
Copyright-2007 All By HuiZhou Helper Software Co.,Ltd.  粵ICP備07029494號
頁面更新時間:2010-01-02