複製鏈接
請複製以下鏈接發送給好友
https://baike.baidu.hk/item/虛擬專用網絡/8747869
複製
複製成功

虛擬專用網絡

鎖定
虛擬專用網絡(VPN)的功能是:在公用網絡上建立專用網絡,進行加密通訊。在企業網絡中有廣泛應用。VPN網關通過對數據包的加密和數據包目標地址的轉換實現遠程訪問。VPN可通過服務器硬件、軟件等多種方式實現。 [1] 
中文名
虛擬專用網絡
外文名
Virtual Private Network
簡    稱
虛擬專網、VPN
用    途
加密通訊
一般類型
4GIPVPN
連接協議
PPTPL2TPIPSec

目錄

  1. 1 簡介
  2. 2 工作原理
  3. 3 工作過程
  4. 4 分類標準
  5. 按VPN的協議分類
  1. 按VPN的應用分類
  2. 按所用的設備類型進行分類
  3. 按照實現原理劃分
  4. 5 實現方式
  5. 6 優缺點
  1. 7 面臨的問題
  2. 8 相關法律法規及政策

虛擬專用網絡簡介

VPN屬於遠程訪問技術,簡單地説就是利用公用網絡架設專用網絡。例如某公司員工出差到外地,他想訪問企業內網的服務器資源,這種訪問就屬於遠程訪問。 [2] 
在傳統的企業網絡配置中,要進行遠程訪問,傳統的方法是租用DDN(數字數據網)專線或幀中繼,這樣的通訊方案必然導致高昂的網絡通訊和維護費用。對於移動用户移動辦公人員)與遠端個人用户而言,一般會通過撥號線路(Internet)進入企業的局域網,但這樣必然帶來安全上的隱患。 [2] 
讓外地員工訪問到內網資源,利用VPN的解決方法就是在內網中架設一台VPN服務器。外地員工在當地連上互聯網後,通過互聯網連接VPN服務器,然後通過VPN服務器進入企業內網。為了保證數據安全,VPN服務器和客户機之間的通訊數據都進行了加密處理。有了數據加密,就可以認為數據是在一條專用的數據鏈路上進行安全傳輸,就如同專門架設了一個專用網絡一樣,但實際上VPN使用的是互聯網上的公用鏈路,因此VPN稱為虛擬專用網絡,其實質上就是利用加密技術在公網上封裝出一個數據通訊隧道。有了VPN技術,用户無論是在外地出差還是在家中辦公,只要能上互聯網就能利用VPN訪問內網資源,這就是VPN在企業中應用得如此廣泛的原因。 [3] 

虛擬專用網絡工作原理

  1. 通常情況下,VPN網關採取雙網卡結構,外網卡使用公網IP接入Internet [4] 
  2. 網絡一(假定為公網internet)的終端A訪問網絡二(假定為公司內網)的終端B,其發出的訪問數據包的目標地址為終端B的內部IP地址。 [4] 
  3. 網絡一的VPN網關在接收到終端A發出的訪問數據包時對其目標地址進行檢查,如果目標地址屬於網絡二的地址,則將該數據包進行封裝,封裝的方式根據所採用的VPN技術不同而不同,同時VPN網關會構造一個新VPN數據包,並將封裝後的原數據包作為VPN數據包的負載,VPN數據包的目標地址為網絡二的VPN網關的外部地址。 [4] 
  4. 網絡一的VPN網關將VPN數據包發送到Internet,由於VPN數據包的目標地址是網絡二的VPN網關的外部地址,所以該數據包將被Internet中的路由正確地發送到網絡二的VPN網關。 [4] 
  5. 網絡二的VPN網關對接收到的數據包進行檢查,如果發現該數據包是從網絡一的VPN網關發出的,即可判定該數據包為VPN數據包,並對該數據包進行解包處理。解包的過程主要是先將VPN數據包的包頭剝離,再將數據包反向處理還原成原始的數據包。 [4] 
  6. 網絡二的VPN網關將還原後的原始數據包發送至目標終端B,由於原始數據包的目標地址是終端B的IP,所以該數據包能夠被正確地發送到終端B。在終端B看來,它收到的數據包就和從終端A直接發過來的一樣。 [4] 
  7. 從終端B返回終端A的數據包處理過程和上述過程一樣,這樣兩個網絡內的終端就可以相互通訊了。 [4] 
通過上述説明可以發現,在VPN網關對數據包進行處理時,有兩個參數對於VPN通訊十分重要:原始數據包的目標地址(VPN目標地址)和遠程VPN網關地址。根據VPN目標地址,VPN網關能夠判斷對哪些數據包進行VPN處理,對於不需要處理的數據包通常情況下可直接轉發到上級路由;遠程VPN網關地址則指定了處理後的VPN數據包發送的目標地址,即VPN隧道的另一端VPN網關地址。由於網絡通訊是雙向的,在進行VPN通訊時,隧道兩端的VPN網關都必須知道VPN目標地址和與此對應的遠端VPN網關地址。 [4] 

虛擬專用網絡工作過程

VPN的基本處理過程如下:
①要保護主機發送明文信息到其他VPN設備。 [2] 
②VPN設備根據網絡管理員設置的規則,確定是對數據進行加密還是直接傳輸。 [2] 
③對需要加密的數據,VPN設備將其整個數據包(包括要傳輸的數據、源IP地址和目的lP地址)進行加密並附上數據簽名,加上新的數據報頭(包括目的地VPN設備需要的安全信息和一些初始化參數)重新封裝。 [2] 
④將封裝後的數據包通過隧道在公共網絡上傳輸。 [2] 
⑤數據包到達目的VPN設備後,將其解封,核對數字簽名無誤後,對數據包解密。 [2] 

虛擬專用網絡分類標準

根據不同的劃分標準,VPN可以按幾個標準進行分類劃分: [5] 

虛擬專用網絡按VPN的協議分類

VPN的隧道協議主要有三種,PPTP、L2TP和IPSec,其中PPTP和L2TP協議工作在OSI模型的第二層,又稱為二層隧道協議;IPSec是第三層隧道協議。 [5] 

虛擬專用網絡按VPN的應用分類

(1)Access VPN(遠程接入VPN):客户端到網關,使用公網作為骨幹網在設備之間傳輸VPN數據流量; [5] 
(2)Intranet VPN(內聯網VPN):網關到網關,通過公司的網絡架構連接來自同公司的資源; [5] 
(3)Extranet VPN(外聯網VPN):與合作伙伴企業網構成Extranet,將一個公司與另一個公司的資源進行連接。 [5] 

虛擬專用網絡按所用的設備類型進行分類

網絡設備提供商針對不同客户的需求,開發出不同的VPN網絡設備,主要為交換機、路由器和防火牆: [5] 
(1)路由器式VPN:路由器式VPN部署較容易,只要在路由器上添加VPN服務即可; [5] 
(2)交換機式VPN:主要應用於連接用户較少的VPN網絡; [5] 

虛擬專用網絡按照實現原理劃分

(1)重疊VPN:此VPN需要用户自己建立端節點之間的VPN鏈路,主要包括:GRE、L2TP、IPSec等眾多技術。 [5] 
(2)對等VPN:由網絡運營商在主幹網上完成VPN通道的建立,主要包括MPLS、VPN技術。 [5] 

虛擬專用網絡實現方式

VPN的實現有很多種方法,常用的有以下四種: [6] 
方法
描述
VPN服務器
在大型局域網中,通過網絡中心搭建VPN服務器來實現VPN。
軟件VPN
使用專用的軟件來實現VPN。
硬件VPN
使用專用的硬件來實現VPN。
集成VPN
一些硬件設備(如路由器、防火牆等)含有VPN功能,通過集成這些功能來實現VPN。

虛擬專用網絡優缺點

優點
描述
移動性和遠程訪問
VPN能夠讓移動員工、遠程員工、商務合作伙伴和其他人利用本地可用的高速寬帶網連接(如DSL、有線電視或者WiFi網絡)連接到企業網絡。
成本效率
高速寬帶網連接提供一種成本效率高的連接遠程辦公室的方法。
模塊化和可升級
設計良好的寬帶VPN是模塊化的和可升級的。
易用性
VPN能夠讓應用者使用一種很容易設置的互聯網基礎設施,讓新的用户迅速和輕鬆地添加到這個網絡。
大容量和應用支持
這種能力意味着企業不用增加額外的基礎設施就可以提供大量的容量和應用。
高水平的安全
VPN能提供高水平的安全,使用高級的加密和身份識別協議保護數據避免受到窺探,阻止數據竊賊和其他非授權用户接觸這種數據。
完全控制
虛擬專用網使用户可以利用ISP的設施和服務,同時又完全掌握着自己網絡的控制權。
缺點
描述
可靠性 and 性能控制權
企業不能直接控制基於互聯網的VPN的可靠性和性能。機構必須依靠提供VPN的互聯網服務提供商保證服務的運行。
部署難度
企業創建和部署VPN線路並不容易。這種技術需要高水平地理解網絡和安全問題,需要認真的規劃和配置。
混合產品的不兼容性
不同廠商的VPN產品和解決方案總是不兼容的,因為許多廠商不願意或者不能遵守VPN技術標準。因此,混合使用不同廠商的產品可能會出現技術問題。
成本可能增加
使用一家供應商的設備可能會提高成本。
無線設備的安全風險
當使用無線設備時,VPN有安全風險。在接入點之間漫遊特別容易出問題。當用户在接入點之間漫遊的時候,任何使用高級加密技術的解決方案都可能被攻破。

虛擬專用網絡面臨的問題

(1)VPN域名/IP地址公開透明,受眾面太廣; [12] 
(2)外網地址相對固定,缺少變化; [12] 
(3)域名幾乎一成不變,長時間暴露在外,容易被攻擊; [12] 
(4)任何人都可以根據域名IP打開登錄頁面; [12] 
(5)VPN容易導致賬號共享; [12] 
(6)VPN默認登錄時間到達後強制退出,用户體驗不好; [12] 
(7)無白名單管控; [12] 
(8)無VPN退出失效機制。 [12] 

虛擬專用網絡相關法律法規及政策

2003年4月,信息產業部頒發了《電信業務分類目錄》,取消了國際電信業務的分類,同時將虛擬專用網業務基礎電信業務中分離出來,成為獨立的增值電信業務分類。但是此處的“虛擬專用網”概念與行業內的VPN業務是不一樣的。新的《電信業務分類目錄》中對該分類的解釋是:國內因特網虛擬專用網業務(IP-VPN)是指經營者利用自有的或租用公用因特網網絡資源,採用TCP/IP協議,為國內用户定製因特網閉合用户羣網絡的服務。這種分類的解釋強調了兩個特點,一個是利用因特網網絡資源,一個是採用TCP/IP協議。這種解釋是與當時的市場狀況所對應的,當時關注的是基於互連網的IPSec VPN,雖然該解釋可以基本涵蓋後出現的SSL VPN模式,但並沒有關注MPLS VPN。 [7] 
2006年1月,信息產業部發布《關於兩項增值電信業務及國內多方通信服務的通告》,正式開放“國內因特網虛擬專用網業務”和“在線數據處理與交易處理業務”兩項增值電信業務,上述兩項增值電信業務由商用試驗轉為正式商用。 [8] 
2013年,工業與信息化部公佈的《電信業務分類目錄(徵求意見稿)》中仍然沒有對此作出任何改變。 [9] 
2015年1月27日,工信部迴應VPN被封事件,表示一些不良信息應該按照中國法律進行管理。工信部此前發佈規定,在中國提供VPN服務的公司必須登記註冊,否則將“不會受到中國法律的保護”。 [10] 
2017年1月,工信部出台了《關於清理規範互聯網網絡接入服務市場的通知》,《通知》主要是為了更好地規範市場的行為,規範的對象主要是未經電信主管部門批准,無國際通信業務經營資質的企業和個人,租用國際專線或者VPN,違規開展跨境電信業務經營活動。這些規定主要是對那些無證經營的、不符合規範的進行清理,對於依法依規的企業和個人不會帶來什麼影響。 [11] 
關於VPN的問題,工信部信息通信發展司司長聞庫補充稱,在中國經營相關業務應該按照中國的法律法規來進行申請許可,這實際上在全世界很多國家都是這樣做的。在美國、在歐洲、在亞洲都是這樣做的,各個國家的管理方式也不盡相同。在中國三大運營商給老百姓提供服務方面做了大量工作,網速不斷提升,取得了很好的成效。 [11] 
聞庫表示,特別是數字經濟方面,大街小巷特別是地鐵口邊上的共享單車等等,説明網絡覆蓋是非常完善的,應用是日益廣泛的。同時我們也會關注老百姓的一些需求。但是通過網絡來傳播有害甚至是暴恐信息,是中國法律所不允許的。 [11] 
參考資料
展開全部 收起