-
虚拟专用网络 编辑
虚拟专用网络
虚拟专用网络,简称虚拟专网(VPN),其主要功能是在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN可通过服务器、硬件、软件等多种方式实现。
在传统的企业网络配置中,要进行远程访问,传统的方法是租用DDN(数字数据网)专线或帧中继,这样的通讯方案必然导致高昂的网络通讯和维护费用。对于移动用户(移动办公人员)与远端个人用户而言,一般会通过拨号线路(Internet)进入企业的局域网,但这样必然带来安全上的隐患。
让外地员工访问到内网资源,利用VPN的解决方法就是在内网中架设一台VPN服务器。外地员工在当地连上互联网后,通过互联网连接VPN服务器,然后通过VPN服务器进入企业内网。为了保证数据安全,VPN服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密,就可以认为数据是在一条专用的数据链路上进行安全传输,就如同专门架设了一个专用网络一样,但实际上VPN使用的是互联网上的公用链路,因此VPN称为虚拟专用网络,其实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了VPN技术,用户无论是在外地出差还是在家中办公,只要能上互联网就能利用VPN访问内网资源,这就是VPN在企业中应用得如此广泛的原因。
通常情况下,VPN网关采取双网卡结构,外网卡使用公网IP接入Internet。
网络一(假定为公网internet)的终端A访问网络二(假定为公司内网)的终端B,其发出的访问数据包的目标地址为终端B的内部IP地址。
网络一的VPN网关在接收到终端A发出的访问数据包时对其目标地址进行检查,如果目标地址属于网络二的地址,则将该数据包进行封装,封装的方式根据所采用的VPN技术不同而不同,同时VPN网关会构造一个新VPN数据包,并将封装后的原数据包作为VPN数据包的负载,VPN数据包的目标地址为网络二的VPN网关的外部地址。
网络一的VPN网关将VPN数据包发送到Internet,由于VPN数据包的目标地址是网络二的VPN网关的外部地址,所以该数据包将被Internet中的路由正确地发送到网络二的VPN网关。
网络二的VPN网关对接收到的数据包进行检查,如果发现该数据包是从网络一的VPN网关发出的,即可判定该数据包为VPN数据包,并对该数据包进行解包处理。解包的过程主要是先将VPN数据包的包头剥离,再将数据包反向处理还原成原始的数据包。
网络二的VPN网关将还原后的原始数据包发送至目标终端B,由于原始数据包的目标地址是终端B的IP,所以该数据包能够被正确地发送到终端B。在终端B看来,它收到的数据包就和从终端A直接发过来的一样。
从终端B返回终端A的数据包处理过程和上述过程一样,这样两个网络内的终端就可以相互通讯了。
通过上述说明可以发现,在VPN网关对数据包进行处理时,有两个参数对于VPN通讯十分重要:原始数据包的目标地址(VPN目标地址)和远程VPN网关地址。根据VPN目标地址,VPN网关能够判断对哪些数据包进行VPN处理,对于不需要处理的数据包通常情况下可直接转发到上级路由;远程VPN网关地址则指定了处理后的VPN数据包发送的目标地址,即VPN隧道的另一端VPN网关地址。由于网络通讯是双向的,在进行VPN通讯时,隧道两端的VPN网关都必须知道VPN目标地址和与此对应的远端VPN网关地址。
①要保护主机发送明文信息到其他VPN设备。
②VPN设备根据网络管理员设置的规则,确定是对数据进行加密还是直接传输。
③对需要加密的数据,VPN设备将其整个数据包(包括要传输的数据、源IP地址和目的lP地址)进行加密并附上数据签名,加上新的数据报头(包括目的地VPN设备需要的安全信息和一些初始化参数)重新封装。
④将封装后的数据包通过隧道在公共网络上传输。
⑤数据包到达目的VPN设备后,将其解封,核对数字签名无误后,对数据包解密。
按VPN的协议分类
VPN的隧道协议主要有三种,PPTP、L2TP和IPSec,其中PPTP和L2TP协议工作在OSI模型的第二层,又称为二层隧道协议;IPSec是第三层隧道协议。
按VPN的应用分类
(1)Access VPN(远程接入VPN):客户端到网关,使用公网作为骨干网在设备之间传输VPN数据流量;
(2)Intranet VPN(内联网VPN):网关到网关,通过公司的网络架构连接来自同公司的资源;
(3)Extranet VPN(外联网VPN):与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接。
按所用的设备类型进行分类
网络设备提供商针对不同客户的需求,开发出不同的VPN网络设备,主要为交换机、路由器和防火墙:
(1)路由器式VPN:路由器式VPN部署较容易,只要在路由器上添加VPN服务即可;
(2)交换机式VPN:主要应用于连接用户较少的VPN网络;
按照实现原理划分
(1)重叠VPN:此VPN需要用户自己建立端节点之间的VPN链路,主要包括:GRE、L2TP、IPSec等众多技术。
(2)对等VPN:由网络运营商在主干网上完成VPN通道的建立,主要包括MPLS、VPN技术。
方法 | 描述 |
|---|---|
VPN服务器 | 在大型局域网中,通过网络中心搭建VPN服务器来实现VPN。 |
软件VPN | 使用专用的软件来实现VPN。 |
硬件VPN | 使用专用的硬件来实现VPN。 |
集成VPN | 一些硬件设备(如路由器、防火墙等)含有VPN功能,通过集成这些功能来实现VPN。 |
优点 | 描述 |
|---|---|
移动性和远程访问 | VPN能够让移动员工、远程员工、商务合作伙伴和其他人利用本地可用的高速宽带网连接(如DSL、有线电视或者WiFi网络)连接到企业网络。 |
成本效率 | 高速宽带网连接提供一种成本效率高的连接远程办公室的方法。 |
模块化和可升级 | 设计良好的宽带VPN是模块化的和可升级的。 |
易用性 | VPN能够让应用者使用一种很容易设置的互联网基础设施,让新的用户迅速和轻松地添加到这个网络。 |
大容量和应用支持 | 这种能力意味着企业不用增加额外的基础设施就可以提供大量的容量和应用。 |
高水平的安全 | VPN能提供高水平的安全,使用高级的加密和身份识别协议保护数据避免受到窥探,阻止数据窃贼和其他非授权用户接触这种数据。 |
完全控制 | 虚拟专用网使用户可以利用ISP的设施和服务,同时又完全掌握着自己网络的控制权。 |
缺点 | 描述 |
|---|---|
可靠性 and 性能控制权 | 企业不能直接控制基于互联网的VPN的可靠性和性能。机构必须依靠提供VPN的互联网服务提供商保证服务的运行。 |
部署难度 | 企业创建和部署VPN线路并不容易。这种技术需要高水平地理解网络和安全问题,需要认真的规划和配置。 |
混合产品的不兼容性 | 不同厂商的VPN产品和解决方案总是不兼容的,因为许多厂商不愿意或者不能遵守VPN技术标准。因此,混合使用不同厂商的产品可能会出现技术问题。 |
成本可能增加 | 使用一家供应商的设备可能会提高成本。 |
无线设备的安全风险 | 当使用无线设备时,VPN有安全风险。在接入点之间漫游特别容易出问题。当用户在接入点之间漫游的时候,任何使用高级加密技术的解决方案都可能被攻破。 |
(2)外网地址相对固定,缺少变化;
(3)域名几乎一成不变,长时间暴露在外,容易被攻击;
(4)任何人都可以根据域名IP打开登录页面;
(5)VPN容易导致账号共享;
(6)VPN默认登录时间到达后强制退出,用户体验不好;
(7)无白名单管控;
(8)无VPN退出失效机制。
2006年1月,信息产业部发布《关于两项增值电信业务及国内多方通信服务的通告》,正式开放“国内因特网虚拟专用网业务”和“在线数据处理与交易处理业务”两项增值电信业务,上述两项增值电信业务由商用试验转为正式商用。
2013年,工业与信息化部公布的《电信业务分类目录(征求意见稿)》中仍然没有对此作出任何改变。
2015年1月27日,工信部回应VPN被封事件,表示一些不良信息应该按照中国法律进行管理。工信部此前发布规定,在中国提供VPN服务的公司必须登记注册,否则将“不会受到中国法律的保护”。
2017年1月,工信部出台了《关于清理规范互联网网络接入服务市场的通知》,《通知》主要是为了更好地规范市场的行为,规范的对象主要是未经电信主管部门批准,无国际通信业务经营资质的企业和个人,租用国际专线或者VPN,违规开展跨境电信业务经营活动。这些规定主要是对那些无证经营的、不符合规范的进行清理,对于依法依规的企业和个人不会带来什么影响。
关于VPN的问题,工信部信息通信发展司司长闻库补充称,在中国经营相关业务应该按照中国的法律法规来进行申请许可,这实际上在全世界很多国家都是这样做的。在美国、在欧洲、在亚洲都是这样做的,各个国家的管理方式也不尽相同。在中国三大运营商给老百姓提供服务方面做了大量工作,网速不断提升,取得了很好的成效。
闻库表示,特别是数字经济方面,大街小巷特别是地铁口边上的共享单车等等,说明网络覆盖是非常完善的,应用是日益广泛的。同时我们也会关注老百姓的一些需求。但是通过网络来传播有害甚至是暴恐信息,是中国法律所不允许的。
1、本站所有文本、信息、视频文件等,仅代表本站观点或作者本人观点,请网友谨慎参考使用。
2、本站信息均为作者提供和网友推荐收集整理而来,仅供学习和研究使用。
3、对任何由于使用本站内容而引起的诉讼、纠纷,本站不承担任何责任。
4、如有侵犯你版权的,请来信(邮箱:baike52199@gmail.com)指出,核实后,本站将立即删除。
