VPN是指在公用网络上建立一个私有的、专用的虚拟通信网络。在企业网络中VPN广泛应用于分支机构和出差员工连接公司总部网络。VPN网络和VPN技术通常是如何分类的呢?
根据建设单位不同分类:
这种分类根据VPN网络端点设备(关键设备)由运营商提供,还是由企业自己提供来划分。
根据组网方式不同分类:
根据应用场景不同分类:
远程访问VPN:Access VPN面向出差员工。允许出差员工跨越公用网络远程接入公司内部网络。
Intranet VPN(企业内部虚拟专网):Intranet VPN通过公用网络进行企业内部各个网络的互连。
Extranet VPN(扩展的企业内部虚拟专网):Extranet VPN是指利用VPN将企业网延伸至合作伙伴处,使不同企业间通过公网来构筑VPN。Intranet VPN 和Extranet VPN的不同点主要在于访问公司总部网络资源的权限有区别。
按照VPN技术实现的网络层次进行分类:
基于Internet的VPN技术有一个共同点就是必须解决VPN网络的安全问题:
出差员工的地理接入位置不固定,其所处位置往往不受企业其他信息安全措施的保护,所以需要对出差员工进行严格的接入认证,并且对出差员工可以访问的资源和权限进行精确控制。接入认证涉及身份认证技术。
合作伙伴需要根据业务开展的情况,灵活进行授权,限制合作伙伴可以访问的网络范围、可以传输的数据类型。此时推荐对合作伙伴进行身份认证,认证通过后进行可以通过策略配置等对合作伙伴的权限进行限制。
另外分支机构、合作伙伴和出差用户与公司总部之间的数据传输都必须是安全的。都涉及数据加密和数据验证技术。
下面简单讲解一下VPN用到的几个关键技术点:
1、隧道技术
隧道技术是VPN的基本技术,类似于点到点连接技术。它的基本过程就是在数据进入源VPN网关后,将数据“封装”后通过公网传输到目的VPN网关后再对数据“解封装”。“封装/解封装”过程本身就可以为原始报文提供安全防护功能,所以被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。不同的VPN技术封装/解封装的过程完全不同,具体封装过程在每个协议中详细介绍。
2、身份认证技术
主要用于移动办公的用户远程接入的情况。通过对用户的身份进行认证,确保接入内部网络的用户是合法用户,而非恶意用户。
不同的VPN技术能提供的用户身份认证方法不同:
GRE不支持身份认证技术。
L2TP:依赖PPP提供的认证(比如CHAP、PAP、EAP)。接入用户的用户名和密码本地认证也可以通过RADIUS服务器认证。认证通过以后再给用户分配内部的IP地址,通过此IP地址对用户进行授权和管理。
IPSec:通过IKEv2拨号时,支持进行EAP认证。接入用户的用户名和密码可以本地认证可以通过RADIUS服务器认证。认证通过以后再给用户分配内部的IP地址,通过此IP地址对用户进行授权和管理。另外IPSec还支持数据源认证,在下面的数据验证技术里进行说明。
SSL VPN:支持本地认证、证书认证和服务器认证。主要是对服务器进行身份认证,确认Web网页的合法性。
3、加密技术
加密技术就是把能读懂的报文变成无法读懂的报文,也就是把明文变成密文,这样即便是有黑客获取了报文也无法知道其真实含义。加密对象有数据报文和协议报文之分,能够实现协议报文和数据报文都加密的协议安全系数更高。
4、数据验证技术
数据验证技术就是对收到的报文进行验货。对于伪造的、被篡改的数据进行丢弃。那么验证是如何实现的呢?它采用一种称为“摘要”的技术。“摘要”技术主要采用HASH函数将一段长的报文通过函数变换,映射为一段短的报文。在收发两端都对报文进行验证,只有摘要一致的报文才被认可。
GRE:本身只提供简单的校验和验证和关键字验证,但可结合IPSec协议一起使用,使用IPSec的数据验证技术。
L2TP:本身不提供数据验证技术,但可结合IPSec协议一起使用,使用IPSec的数据验证技术。
IPSec:支持对数据进行完整性验证和数据源验证。在IPSec中验证和加密通常一起使用,对加密后的报文HMAC(Keyed-Hash Message Authentication Code)生成摘要,提供数据的安全性。HMAC利用Hash函数,以一个对称密钥和一个数据包作为输入,生成一个固定长度的输出,这个输出被称为完整性校验值ICV(Integrity Check Value)。由于在Hash运算时包含了密钥,即使用户同时修改了数据和摘要也可以被识别出来。
下面总结一下GRE、L2TP、IPSec和SSL VPN常用的安全技术和使用的场景:
本篇就简单的介绍了一下VPN,但是仅了解这些皮毛是不够的。想深入了解每种VPN技术的应用、配置和原理,敬请关注后面的知识点。