-
虛擬專用網絡
鎖定
虛擬專用網絡簡介
在傳統的企業網絡配置中,要進行遠程訪問,傳統的方法是租用DDN(數字數據網)專線或幀中繼,這樣的通訊方案必然導致高昂的網絡通訊和維護費用。對於移動用户(移動辦公人員)與遠端個人用户而言,一般會通過撥號線路(Internet)進入企業的局域網,但這樣必然帶來安全上的隱患。
[2]
讓外地員工訪問到內網資源,利用VPN的解決方法就是在內網中架設一台VPN服務器。外地員工在當地連上互聯網後,通過互聯網連接VPN服務器,然後通過VPN服務器進入企業內網。為了保證數據安全,VPN服務器和客户機之間的通訊數據都進行了加密處理。有了數據加密,就可以認為數據是在一條專用的數據鏈路上進行安全傳輸,就如同專門架設了一個專用網絡一樣,但實際上VPN使用的是互聯網上的公用鏈路,因此VPN稱為虛擬專用網絡,其實質上就是利用加密技術在公網上封裝出一個數據通訊隧道。有了VPN技術,用户無論是在外地出差還是在家中辦公,只要能上互聯網就能利用VPN訪問內網資源,這就是VPN在企業中應用得如此廣泛的原因。
[3]
虛擬專用網絡工作原理
通過上述説明可以發現,在VPN網關對數據包進行處理時,有兩個參數對於VPN通訊十分重要:原始數據包的目標地址(VPN目標地址)和遠程VPN網關地址。根據VPN目標地址,VPN網關能夠判斷對哪些數據包進行VPN處理,對於不需要處理的數據包通常情況下可直接轉發到上級路由;遠程VPN網關地址則指定了處理後的VPN數據包發送的目標地址,即VPN隧道的另一端VPN網關地址。由於網絡通訊是雙向的,在進行VPN通訊時,隧道兩端的VPN網關都必須知道VPN目標地址和與此對應的遠端VPN網關地址。
[4]
虛擬專用網絡工作過程
VPN的基本處理過程如下:
③對需要加密的數據,VPN設備將其整個數據包(包括要傳輸的數據、源IP地址和目的lP地址)進行加密並附上數據簽名,加上新的數據報頭(包括目的地VPN設備需要的安全信息和一些初始化參數)重新封裝。
[2]
虛擬專用網絡分類標準
虛擬專用網絡按VPN的協議分類
虛擬專用網絡按VPN的應用分類
虛擬專用網絡按所用的設備類型進行分類
虛擬專用網絡按照實現原理劃分
虛擬專用網絡實現方式
方法 | 描述 |
---|---|
VPN服務器 | 在大型局域網中,通過網絡中心搭建VPN服務器來實現VPN。 |
軟件VPN | 使用專用的軟件來實現VPN。 |
使用專用的硬件來實現VPN。 | |
集成VPN | 一些硬件設備(如路由器、防火牆等)含有VPN功能,通過集成這些功能來實現VPN。 |
虛擬專用網絡優缺點
優點 | 描述 |
---|---|
移動性和遠程訪問 | |
成本效率 | 高速寬帶網連接提供一種成本效率高的連接遠程辦公室的方法。 |
模塊化和可升級 | 設計良好的寬帶VPN是模塊化的和可升級的。 |
易用性 | VPN能夠讓應用者使用一種很容易設置的互聯網基礎設施,讓新的用户迅速和輕鬆地添加到這個網絡。 |
大容量和應用支持 | 這種能力意味着企業不用增加額外的基礎設施就可以提供大量的容量和應用。 |
高水平的安全 | VPN能提供高水平的安全,使用高級的加密和身份識別協議保護數據避免受到窺探,阻止數據竊賊和其他非授權用户接觸這種數據。 |
完全控制 | 虛擬專用網使用户可以利用ISP的設施和服務,同時又完全掌握着自己網絡的控制權。 |
缺點 | 描述 |
---|---|
可靠性 and 性能控制權 | 企業不能直接控制基於互聯網的VPN的可靠性和性能。機構必須依靠提供VPN的互聯網服務提供商保證服務的運行。 |
部署難度 | 企業創建和部署VPN線路並不容易。這種技術需要高水平地理解網絡和安全問題,需要認真的規劃和配置。 |
混合產品的不兼容性 | 不同廠商的VPN產品和解決方案總是不兼容的,因為許多廠商不願意或者不能遵守VPN技術標準。因此,混合使用不同廠商的產品可能會出現技術問題。 |
成本可能增加 | 使用一家供應商的設備可能會提高成本。 |
無線設備的安全風險 | 當使用無線設備時,VPN有安全風險。在接入點之間漫遊特別容易出問題。當用户在接入點之間漫遊的時候,任何使用高級加密技術的解決方案都可能被攻破。 |
虛擬專用網絡面臨的問題
虛擬專用網絡相關法律法規及政策
2003年4月,信息產業部頒發了《電信業務分類目錄》,取消了國際電信業務的分類,同時將虛擬專用網業務自基礎電信業務中分離出來,成為獨立的增值電信業務分類。但是此處的“虛擬專用網”概念與行業內的VPN業務是不一樣的。新的《電信業務分類目錄》中對該分類的解釋是:國內因特網虛擬專用網業務(IP-VPN)是指經營者利用自有的或租用公用因特網網絡資源,採用TCP/IP協議,為國內用户定製因特網閉合用户羣網絡的服務。這種分類的解釋強調了兩個特點,一個是利用因特網網絡資源,一個是採用TCP/IP協議。這種解釋是與當時的市場狀況所對應的,當時關注的是基於互連網的IPSec VPN,雖然該解釋可以基本涵蓋後出現的SSL VPN模式,但並沒有關注MPLS VPN。
[7]
2006年1月,信息產業部發布《關於兩項增值電信業務及國內多方通信服務的通告》,正式開放“國內因特網虛擬專用網業務”和“在線數據處理與交易處理業務”兩項增值電信業務,上述兩項增值電信業務由商用試驗轉為正式商用。
[8]
2015年1月27日,工信部迴應VPN被封事件,表示一些不良信息應該按照中國法律進行管理。工信部此前發佈規定,在中國提供VPN服務的公司必須登記註冊,否則將“不會受到中國法律的保護”。
[10]
2017年1月,工信部出台了《關於清理規範互聯網網絡接入服務市場的通知》,《通知》主要是為了更好地規範市場的行為,規範的對象主要是未經電信主管部門批准,無國際通信業務經營資質的企業和個人,租用國際專線或者VPN,違規開展跨境電信業務經營活動。這些規定主要是對那些無證經營的、不符合規範的進行清理,對於依法依規的企業和個人不會帶來什麼影響。
[11]
關於VPN的問題,工信部信息通信發展司司長聞庫補充稱,在中國經營相關業務應該按照中國的法律法規來進行申請許可,這實際上在全世界很多國家都是這樣做的。在美國、在歐洲、在亞洲都是這樣做的,各個國家的管理方式也不盡相同。在中國三大運營商給老百姓提供服務方面做了大量工作,網速不斷提升,取得了很好的成效。
[11]
聞庫表示,特別是數字經濟方面,大街小巷特別是地鐵口邊上的共享單車等等,説明網絡覆蓋是非常完善的,應用是日益廣泛的。同時我們也會關注老百姓的一些需求。但是通過網絡來傳播有害甚至是暴恐信息,是中國法律所不允許的。
[11]
- 參考資料
-
- 1. 李飛,吳春旺,王敏編著.信息安全理論與技術:西安電子科技大學出版社,2016.03:第190頁
- 2. 李娟芳,陳瑞志主編;申青蓮,趙圓圓副主編.計算機網絡技術與應用:中國鐵道出版社,2013.09:第198頁
- 3. 喬向傑,張凌雲,黃玉婷編著.旅遊信息化基礎教程:中國旅遊出版社,2016.01:第98頁
- 4. 呂春雨.企業網遠程寬帶接入的實現[J].煉油與化工. 2004年03期
- 5. 温濤叢書主編;鄧國斌主編;羅擁軍,鄧朝輝,孫如祥,丁知平副主編.網絡項目設計與配置技術:東軟電子出版社,2013.07:第194頁
- 6. 何明,湯偉,賴俊,張婷婷等編著.大學計算機基礎:東南大學出版社,2015.08:第185頁
- 7. 信息產業部關於重新調整《電信業務分類目錄》的通告 .知網[引用日期2019-07-11]
- 8. 關於兩項增值電信業務及國內多方通信服務的通告 .中國政府網[引用日期2019-07-11]
- 9. 工業和信息化部關於修訂《電信業務分類目錄(2015年版)》的公告 .中國政府網[引用日期2019-07-11]
- 10. 工信部迴應VPN被封:不良信息應按中國法律管理 .人民網[引用日期2019-07-11]
- 11. 工信部迴應網民VPN等使用問題 .人民網[引用日期2019-07-11]
- 12. 李濤,郭洪新,邵昆鵬.虛擬專用網(VPN)安全性能提升研究[J].山東通信技術,2021,41(04):14-15+18.
- 收起