2001年全球VPN市場(chǎng)將達(dá)到120億美元。在中國(guó)雖然人們對(duì)VPN的定義還有些模糊不清,對(duì)VPN的安全性、服務(wù)質(zhì)量(QOS)等方面存在疑慮,但互聯(lián)網(wǎng)和電子商務(wù)的快速發(fā)展使我們有理由相信,中國(guó)的VPN市場(chǎng)將會(huì)逐漸熱起來(lái)。
對(duì)國(guó)內(nèi)的用戶來(lái)說(shuō),VPN(虛擬專用網(wǎng),VirtualPrivateNetwork)最大的吸引力在哪里?據(jù)估算,如果企業(yè)放棄租用專線而采用VPN,其整個(gè)網(wǎng)絡(luò)的成本可節(jié)約21%-45%,至于那些以電話撥號(hào)方式聯(lián)網(wǎng)存取資料的公司,采用VPN則可以節(jié)約通訊成本50%-80%。為什么采用VPN可以節(jié)約這么多的成本?這就先要從VPN的概念談起。
一、用戶需要的VPN
1、VPN的特點(diǎn)
在實(shí)際應(yīng)用中,用戶需要的是什么樣的VPN呢?一般情況下,一個(gè)高效、成功的VPN應(yīng)具備以下幾個(gè)特點(diǎn):
1)安全保障
雖然實(shí)現(xiàn)VPN的技術(shù)和方式很多,但所有的VPN均應(yīng)保證通過(guò)公用網(wǎng)路平臺(tái)傳輸數(shù)據(jù)的專用性和安全性。在非面向連接的公用IP網(wǎng)絡(luò)上建立一個(gè)邏輯的、點(diǎn)對(duì)點(diǎn)的連接,稱之為建立一個(gè)隧道,可以利用加密技術(shù)對(duì)經(jīng)過(guò)隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密,以保證數(shù)據(jù)僅被指定的發(fā)送這和接受者了解,從而保證了數(shù)據(jù)的私有性和安全性。在安全方面,由于VPN直接構(gòu)建在公用網(wǎng)上使操作變的簡(jiǎn)單、方便與靈活,但同時(shí)其安全問(wèn)題也更為突出。企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改,并且要防止非法用戶對(duì)網(wǎng)絡(luò)資源或私有信息的訪問(wèn)。ExtranetVPN將企業(yè)網(wǎng)擴(kuò)展到合作伙伴和客戶,對(duì)安全性提出了更高的要求。
2)服務(wù)質(zhì)量保證(Qos)
VPN網(wǎng)應(yīng)當(dāng)為企業(yè)數(shù)據(jù)提供不同等級(jí)的服務(wù)質(zhì)量保證,不同的用戶和業(yè)務(wù)對(duì)服務(wù)質(zhì)量保證的要求差別較大。如移動(dòng)辦公用戶,提供廣泛地連接和服該行時(shí)保證VPN服務(wù)一個(gè)主要因素;而對(duì)于擁有眾多分支機(jī)構(gòu)的專線VPN網(wǎng)絡(luò),交互式的內(nèi)部企業(yè)網(wǎng)應(yīng)用則要求網(wǎng)絡(luò)能提供良好的穩(wěn)定性;對(duì)于其它應(yīng)用(如視頻等)則對(duì)網(wǎng)絡(luò)提出了更明確的要求,如網(wǎng)絡(luò)時(shí)延及誤碼率等,所有以上網(wǎng)絡(luò)應(yīng)用均要求網(wǎng)絡(luò)根據(jù)需要提供不同等級(jí)的服務(wù)質(zhì)量,在網(wǎng)絡(luò)優(yōu)化方面,構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源,為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低,在流量高峰時(shí)引起網(wǎng)絡(luò)阻塞,產(chǎn)生網(wǎng)絡(luò)瓶頸,使實(shí)時(shí)性要求高的數(shù)據(jù)得不到及時(shí)發(fā)送;而在流量低谷時(shí)又造成大量的網(wǎng)絡(luò)帶寬空閑。Qos通過(guò)流量預(yù)測(cè)與流量控制策略,可以按照優(yōu)先級(jí)分配帶寬資源,實(shí)現(xiàn)帶寬管理,使得各類數(shù)據(jù)能夠被合理地先后發(fā)送,并預(yù)防阻塞的發(fā)生。
3)可擴(kuò)充性和靈活性
VPN必須能夠支持通過(guò)Intranet和Extranet的任何類型的數(shù)據(jù)流,方便增加新的節(jié)點(diǎn),支持多種類型的傳輸媒介,可以滿足同時(shí)傳輸語(yǔ)音、圖像和數(shù)據(jù)等新應(yīng)用對(duì)高質(zhì)量傳輸以及帶寬增加的需求。
4)可管理性
從用戶角度和運(yùn)營(yíng)商角度應(yīng)可方便地進(jìn)行管理、維護(hù)。在VPN管理方面,VPN要求企業(yè)將其網(wǎng)絡(luò)管理功能從局域網(wǎng)無(wú)縫地延伸到公用網(wǎng),甚至是客戶和合作伙伴。雖然可以將一些次要的網(wǎng)絡(luò)管理任務(wù)交給服務(wù)提供商去完成,企業(yè)自己仍需要完成許多網(wǎng)絡(luò)管理任務(wù),所以,一個(gè)完善的VPN管理系統(tǒng)是必不可少的。VPN管理的目標(biāo)為:減小網(wǎng)絡(luò)危險(xiǎn)、具有高擴(kuò)展性、經(jīng)濟(jì)性、高可靠性等優(yōu)點(diǎn)。事實(shí)上,VPN管理主要包括安全管理、設(shè)備管理、配置管理、訪問(wèn)控制列表管理、Qos管理等內(nèi)容。
2、自建還是外包
由于VPN低廉的使用成本和良好的安全性,許多大型企業(yè)及其分布在各地的辦事處或分支構(gòu)成了VPN順理成章的用戶群,對(duì)于那些最需要VPN業(yè)務(wù)的中小企業(yè)來(lái)說(shuō),一樣有合適的VPN策略,當(dāng)然,不論何種VPN策略,它們都有一個(gè)基本目標(biāo):在提供與現(xiàn)有專用網(wǎng)絡(luò)基礎(chǔ)設(shè)施相當(dāng)或更高的可管理性、可擴(kuò)展性以及簡(jiǎn)單性的基礎(chǔ)之上,進(jìn)一步擴(kuò)展公司的網(wǎng)絡(luò)連接。
1)大型企業(yè)自建VPN
大型企業(yè)用戶由于有雄厚的資金投入作保證,可以自己建立VPN,降VPN設(shè)備安裝在其總部和分支機(jī)構(gòu)中,將各個(gè)機(jī)購(gòu)低成本且安全地連接在一起。企業(yè)建立自己的VPN,最大的優(yōu)勢(shì)自語(yǔ)高控制性,尤其是基于安全基礎(chǔ)之上的控制。一個(gè)內(nèi)部VPN能使企業(yè)對(duì)所有的安全認(rèn)證,網(wǎng)絡(luò)系統(tǒng)以及網(wǎng)絡(luò)訪問(wèn)情況進(jìn)行控制,建立端到端的安全結(jié)構(gòu),集成和協(xié)調(diào)現(xiàn)有的內(nèi)部安全技術(shù)。
企業(yè)還可以確保得到業(yè)內(nèi)最好的技術(shù)以滿足自身的特殊需要,這要優(yōu)于ISP所提供的普通服務(wù),而且,建立內(nèi)部VPN能使企業(yè)有效節(jié)省VPN的運(yùn)作費(fèi)用。企業(yè)可以節(jié)省用于外包管理設(shè)備的額外費(fèi)用,并且能將現(xiàn)有的遠(yuǎn)程訪問(wèn)和端到端的網(wǎng)絡(luò)集成起來(lái),以獲取最佳性價(jià)比的VPN。
雖然VPN外包能避免技術(shù)過(guò)時(shí),但并不意味著企業(yè)可以節(jié)省開(kāi)支。因?yàn)椋髽I(yè)最終還要為高額產(chǎn)品支付費(fèi)用,以作為使用新技術(shù)的代價(jià),雖然VPN外包可以簡(jiǎn)化企業(yè)網(wǎng)絡(luò)部署,但這同樣降低了企業(yè)對(duì)公司網(wǎng)的控制等級(jí),網(wǎng)絡(luò)越大,企業(yè)也就越依賴于外包VPN供應(yīng)商。因此,自建VPN是大型企業(yè)的最好選擇。
2)中小型企業(yè)外包VPN
雖然每個(gè)中小型企業(yè)都是相對(duì)集中和固定的,但是部門(mén)與部門(mén)之間、企業(yè)與其業(yè)務(wù)相關(guān)企業(yè)之間的聯(lián)系依然需要廉價(jià)而安全的信息溝通,在這種情況下就用得上VPN。電信企業(yè),IDC目前提供的VPN服務(wù),更多的是面向中小企業(yè),因?yàn)榭梢哉犀F(xiàn)有資源,包括網(wǎng)絡(luò)優(yōu)勢(shì)、托管和技術(shù)力量來(lái)為中小企業(yè)提供整體的服務(wù)。中小型企業(yè)如果自己購(gòu)買(mǎi)VPN設(shè)備,則財(cái)務(wù)成本較高,而且一般中小型企業(yè)的IT人員短缺、技能水平不足、資金能力有限、不足以支持VPN,所以,外包VPN是較好的選擇。
Ø外包VPN比企業(yè)自己動(dòng)手建立VPN要快得多,也更為容易;
Ø外包VPN的可擴(kuò)展性很強(qiáng),已于企業(yè)管理。有統(tǒng)計(jì)表明,使用外包VPN方式的企業(yè),可以支持多于2300名用戶,而內(nèi)部VPN平均只能支持大約150名客戶。而且,隨著用戶數(shù)母的增長(zhǎng),對(duì)用于監(jiān)控、管理、提供IT資源和人力資源的要求也將成指數(shù)增長(zhǎng);
Ø企業(yè)VPN必須將安全和性能結(jié)合在一起,然而,實(shí)際情況中兩者不能兼顧。例如:對(duì)安全加密級(jí)別的配置經(jīng)常降低VPN的整體性能。而通過(guò)提供VPN外包業(yè)務(wù)的專業(yè)ISP的統(tǒng)一管理,可大大提高VPN的性能和安全。ISP的VPN專家還可幫助企業(yè)進(jìn)行VPN決策;
Ø對(duì)服務(wù)水平協(xié)議(SLA)的改進(jìn)和服務(wù)質(zhì)量(Qos)保證,為企業(yè)外包VPN方式提供了進(jìn)一步的保證。
二、VPN安全技術(shù)
由于傳輸?shù)氖撬接行畔ⅲ琕PN用戶對(duì)數(shù)據(jù)的安全性都比較關(guān)心。
目前VPN主要采用四項(xiàng)技術(shù)來(lái)保證安全,這四項(xiàng)技術(shù)分別是:隧道技術(shù)(Tunneling)、加解密技術(shù) (Encryption&Decryption)、密鑰管理技術(shù)(KeyManagement)、使用者與設(shè)備身份認(rèn)證技術(shù) (Authentication)。
1、隧道技術(shù)是VPN的基本技術(shù)
類似于點(diǎn)對(duì)點(diǎn)連接技術(shù),它在公用網(wǎng)建立一條數(shù)據(jù)通道(隧道),讓數(shù)據(jù)包通過(guò)這條隧道傳輸。隧道是由隧道協(xié)議形成的,分為第二、三層隧道協(xié)議。第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中,再把整個(gè)數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進(jìn)行傳輸,第二層隧道協(xié)議有L2F、PPTP、L2TP等,L2TP協(xié)議是目前IETF的標(biāo)準(zhǔn),由IETF融合PPTP于L2F而形成。
第三層隧道協(xié)議是吧各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中,形成的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸。第三層隧道協(xié)議有VTP、IPSec等。 IPSec(IPSecurity)是由一組RFC文檔組成,定義了一個(gè)系統(tǒng)來(lái)提供安全協(xié)議選擇、安全算法,確定服務(wù)所使用密鑰等服務(wù),從而在IP層提供安全保障。
2、加解密技術(shù)
加解密技術(shù)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù),VPN可直接利用現(xiàn)有技術(shù)。
3、密鑰管理技術(shù)
密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取。現(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMP/OAKLEY兩種:
ØSKIP主要是利用DiffieHellman的演算法則,在網(wǎng)絡(luò)上傳輸密鑰;
Ø在SAKMP中,雙方都有兩把密鑰,分別用于公用、私用
4、身份認(rèn)證技術(shù)
身份認(rèn)證技術(shù)最常用的是使用者名稱與密碼或卡片式認(rèn)證等方式。
三、堵住安全漏洞
安全問(wèn)題是VPN的核心問(wèn)題。目前,VPN的安全保證主要是通過(guò)防火墻技術(shù)、路由器配以隧道技術(shù)、加密協(xié)議和安全密鑰來(lái)實(shí)現(xiàn)的,可以保證企業(yè)員工安全地訪問(wèn)公司網(wǎng)絡(luò)。但是,如果一個(gè)企業(yè)的VPN需要擴(kuò)展到遠(yuǎn)程訪問(wèn)時(shí),就要注意,這些對(duì)公司網(wǎng)直接或始終在線的連接將會(huì)是黑客攻擊的主要目標(biāo),因?yàn)椋h(yuǎn)程工作員工通過(guò)防火墻之外的個(gè)人計(jì)算機(jī)可以接觸到公司預(yù)算、戰(zhàn)略技術(shù)以及工程項(xiàng)目等核心內(nèi)容,這就構(gòu)成了公司安全防御系統(tǒng)中的弱點(diǎn)。雖然,員工可以雙倍地提高工作效率,并減少在交通上所花費(fèi)的時(shí)間,但同時(shí)也為黑客、競(jìng)爭(zhēng)對(duì)手以及商業(yè)間諜提供了無(wú)數(shù)進(jìn)入公司網(wǎng)絡(luò)核心的機(jī)會(huì)。