-
VPN專線
鎖定
VPN是一種常用於連接中、大型企業或團體與團體間的私人網絡的通信方式。它利用隧道協議(Tunneling Protocol)來達到保密、發送端認證、消息準確性等私人消息安全效果,這種技術可以用不安全的網絡(例如:互聯網)來發送可靠、安全的消息。需要注意的是,加密消息與否是可以控制的,如果是沒有加密的虛擬專用網消息依然有被竊取的危險。
VPN專線,這個“專”主要體現在ip的專用,連上VPN之後,獲得的出口ip是唯一的,沒有第二個人會與你的ip相同。
- 中文名
- VPN專線
- 外文名
- Virtual Private Network
- 特 點
- 出口ip是唯一的
- 適用場所
- 公用網絡服務商所提供的網絡平台
- 協 議
- 隧道協議
- 是否加密
- 可控制
VPN專線介紹
VPN即虛擬專用網絡(Virtual Private Network ,簡稱VPN)指的是在公用網絡上建立專用網絡的技術。其之所以稱為虛擬網,主要是因為整個VPN網絡的任意兩個節點之間的連接並沒有傳統專網所需的端到端的物理鏈路,而是架構在公用網絡服務商所提供的網絡平台,如Internet、ATM(異步傳輸模式〉、Frame Relay (幀中繼)等之上的邏輯網絡,用户數據在邏輯鏈路中傳輸。它涵蓋了跨共享網絡或公共網絡的封裝、加密和身份驗證鏈接的專用網絡的擴展。VPN主要採用了隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。
[1]
VPN專線分類
(2) IP Tunneling組建方式。即在多媒體通信網的IP層組建專用網。其傳輸速率不能完全保證,不支持多媒體通信;使用國際通行的加密算法,安全性好;這種組網方式的業務在公眾通信網遍及的地方均可提供。
[2]
(3) FR是基於光纖數字傳輸和用户設備智能化、簡化X.25網絡節點協議功能的一種快速分組交換技術。與 X.25 相比FR 更適合對速率和實時性要求更高的數據應用業務。幀中繼使用了統計複用技術,是點對多點的通信服務。幀中繼是一種高性能的WAN協議,它運行在OSI參考模型的物理層和數據鏈路層。
[2]
(4) VPN-Aware Netwares 。MPLS的VPN技術是專門為VPN所設計的,及所謂VPN-Aware網絡。在這種技術中,採用32位長的VPN標識符嵌入到IP包中,形成一個 VPN IP地址。BGP路由協議可以對 VPN IP地址進行路由尋址,但轉發數據包則要求多協議標記交換技術MPLS。BGP在散發路由信息時保證有關 VPN IP的路由信息只發布給處於該VPN內的路由器,從而在網絡設備級保證了VPN的安全性。
[3]
VPN專線協議
L2F,或第二層轉發協議(Layer 2 Forwarding Protocol),是由思科系統公司開發的,創建在互聯網上的虛擬專用網絡連接的隧道協議。L2F協議本身並不提供加密或保密;它依賴於協議被傳輸以提供保密。L2F是專為隧道點對點協議(PPP)通信。
[5]
L2TP是一種工業標準的Internet隧道協議,功能大致和PPTP協議類似,比如同樣可以對網絡數據流進行加密。不過也有不同之處,比如PPTP要求網絡為IP網絡,L2TP要求面向數據包的點對點連接;PPTP使用單一隧道,L2TP使用多隧道;L2TP提供包頭壓縮、隧道驗證,而PPTP不支持。
[6]
點對點隧道協議(英語:Point to Point Tunneling Protocol,縮寫為PPTP)是實現虛擬專用網(VPN)的方式之一。PPTP使用傳輸控制協議(TCP)創建控制通道來發送控制命令,以及利用通用路由封裝(GRE)通道來封裝點對點協議(PPP)數據包以發送數據。這個協議最早由微軟等廠商主導開發,但因為它的加密方式容易被破解,微軟已經不再建議使用這個協議。
[7]
PPTP的協議規範本身並未描述加密或身份驗證的部分,它依靠點對點協議(PPP)來實現這些安全性功能。因為PPTP協議內置在微軟視窗系統家族的各個產品中,在微軟點對點協議(PPP)協議堆棧中,提供了各種標準的身份驗證與加密機制來支持PPTP。 在微軟視窗系統中,它可以搭配PAP、CHAP、MS-CHAPv1/v2或EAP-TLS來進行身份驗證。通常也可以搭配微軟點對點加密(MPPE)或IPSec的加密機制來提高安全性。
[7]
- IPsec(如Cisco IPSec VPN)
互聯網安全協議(英語:Internet Protocol Security,縮寫為IPsec),是一個協議包,通過對IP協議的分組進行加密和認證來保護IP協議的網絡傳輸協議族(一些相互關聯的協議的集合)。
[8]
IPsec主要由以下協議組成:一、認證頭(AH),為IP數據報提供無連接數據完整性、消息認證以及防重放攻擊保護;二、封裝安全載荷(ESP),提供機密性、數據源認證、無連接完整性、防重放和有限的傳輸流(traffic-flow)機密性;三、安全關聯(SA),提供算法和數據包,提供AH、ESP操作所需的參數。
[8]
SSLVPN指的是基於安全套層協議(Security Socket Layer-SSL)建立遠程安全訪問通道的VPN技術。它是近年來興起的VPN技術,其應用隨着Web的普及和電子商務、遠程辦公的興起而發展迅速。
[8]
- AnyConnect(Cisco SSL VPN)
AnyConnect為思科推出的VPN客户端,現階段已有Windows、Android、iOS、OS X、Ubuntu、WebOS等操作系統的客户端。AnyConnect主要作用是方便員工在任何設備上安全地辦公。
[6]
VPN專線技術特徵
VPN三類之一的MPLS在IP路由和控制協議的基礎上提供面向連接(基於標記)的交換。MPLS如同一個“墊層(shim)”,它用於向IP提供連接服務,而它自己又從第二層(如PPP、ATM、Ethernet等)得到鏈路層服務。MPLS實際上就是一種隧道技術,所以使用它來建立VPN隧道是十分容易的。MPLS VPN需要公共IP網內部的所有相關路由器都能夠支持MPLS,所以這種技術對網絡有較為特殊的要求。MPLS技術目前還處於標準化的過程中,特別需要強調的是MPLS VPN的實施必須由運營商進行。MPLS VPN適用於對於網絡資源的利用率、網絡的可靠性有較高要求的VPN業務。
[4]
VPN三類之一的VPDN是指有遠程辦公(包括羣體遠程辦公和個人遠程辦公)需求的用户採用專門的賬號和企業自定義的IP地址,通過ADSLPPPOE撥號聯入企業內部網絡的一種技術,它實際上也是一種隧道技術,在用户ADSL接入服務器端與企業內部網接口間建立一個L2TP隧道。VPDN的實施必須運營商進行。既適用於地點固定的公司內部各支點連入總部,也適用於個人遠程訪問公司內部信息。
[4]
VPN三類之一的IPsec是一組開放的網絡安全協議的總稱,提供訪問控制、無連接的完整性保護、數據來源驗證、防重放保護、加密以及數據流分類加密等服務。IPsec在IP層提供這些安全服務,它包括兩個安全協議:認證頭(AH)和封裝安全載荷(ESP)。AH主要提供的功能有數據來源驗證、數據完整性驗證和防報文重放功能。ESP在AH協議的功能之外再提供對IP報文的加密功能。IPsec支持的組網方式包括:主機之間、主機與網關之間、網關之間的組網,支持對遠程用户訪問。IPsec可以和L2TP、GRE等隧道協議一起使用,給用户提供更大的靈活性和可靠性。另外,IPsec通常使用因特網密鑰交換(IKE)協議進行安全參數的自動協商。
[4]
VPN專線工作原理
通過上述説明可以發現,在VPN網關對數據包進行處理時,有兩個參數對於VPN通訊十分重要:原始數據包的目標地址(VPN目標地址)和遠程VPN網關地址。根據VPN目標地址,VPN網關能夠判斷對哪些數據包進行VPN處理,對於不需要處理的數據包通常情況下可直接轉發到上級路由;遠程VPN網關地址則指定了處理後的VPN數據包發送的目標地址,即VPN隧道的另一端VPN網關地址。由於網絡通訊是雙向的,在進行VPN通訊時,隧道兩端的VPN網關都必須知道VPN目標地址和與此對應的遠端VPN網關地址。
[9]
VPN專線工作過程
③對需要加密的數據,VPN設備將其整個數據包(包括要傳輸的數據、源IP地址和目的lP地址)進行加密並附上數據簽名,加上新的數據報頭(包括目的地VPN設備需要的安全信息和一些初始化參數)重新封裝。
[4]
VPN專線適用範圍
- 各VPN端點均能連接到當地電信運營商的MPLSVPN網絡;
- 各端點位置固定不變;
- 位置眾多,例如各駐地辦事處、連鎖店等;
- 用户/站點分佈範圍廣,且有一定數量的移動用户;
VPN專線相關法規
2003年4月,信息產業部頒發了《電信業務分類目錄》,取消了國際電信業務的分類,同時將虛擬專用網業務自基礎電信業務中分離出來,成為獨立的增值電信業務分類。但是此處的“虛擬專用網”概念與行業內的VPN業務是不一樣的。新的《電信業務分類目錄》中對該分類的解釋是:國內因特網虛擬專用網業務(IP-VPN)是指經營者利用自有的或租用公用因特網網絡資源,採用TCP/IP協議,為國內用户定製因特網閉合用户羣網絡的服務。這種分類的解釋強調了兩個特點,一個是利用因特網網絡資源,一個是採用TCP/IP協議。這種解釋是與當時的市場狀況所對應的,當時關注的是基於互連網的IPSecVPN,雖然該解釋可以基本涵蓋後出現的SSLVPN模式,但並沒有關注MPLSVPN。
[10]
2006年1月,信息產業部發布《關於兩項增值電信業務及國內多方通信服務的通告》,正式開放“國內因特網虛擬專用網業務”和“在線數據處理與交易處理業務”兩項增值電信業務,上述兩項增值電信業務由商用試驗轉為正式商用。
[10]
2013年,工業與信息化部公佈的《電信業務分類目錄(徵求意見稿)》中仍然沒有對此作出任何改變。
2017年1月,工信部出台了《關於清理規範互聯網網絡結構服務市場的通知》,《通知》主要是為了更好地規範市場的行為,規範的對象主要是未經電信主管部門批准,無國際通信業務經營資質的企業和個人,租用國際專線或者VPN,違規開展跨境電信業務經營活動。這些規定主要是對那些無證經營的、不符合規範的進行清理,對於依法依規的企業和個人不會帶來什麼影響。
[11]
關於VPN的問題,工信部信息通信發展司司長聞庫補充稱,在中國經營相關業務應該按照中國的法律法規來進行申請許可,這實際上在全世界很多國家都是這樣做的。在美國、在歐洲、在亞洲都是這樣做的,各個國家的管理方式也不盡相同。在中國三大運營商給老百姓提供服務方面做了大量工作,網速不斷提升,取得了很好的成效。
[11]
聞庫表示,特別是數字經濟方面,大街小巷特別是地鐵口邊上的共享單車等等,説明網絡覆蓋是非常完善的,應用是日益廣泛的。同時我們也會關注老百姓的一些需求。但是通過網絡來傳播有害甚至是暴恐信息,是中國法律所不允許的。
[11]
- 參考資料
-
- 1. 鄧國斌,網絡項目設計與配置技術,東軟電子出版社,2013.07,第193頁
- 2. 肖德琴.電子商務安全保密技術與應用 (第二版):華南理工大學出版社,2008.8:第195頁
- 3. 萬博通公司技術部.寬帶IP網絡技術及其應用實例:海洋出版社,2000年05月第1版:第274頁
- 4. 李娟芳,陳瑞志主編;申青蓮,趙圓圓副主編.計算機網絡技術與應用:中國鐵道出版社,2013.09:第198頁
- 5. Honda, Osamu; Ohsaki, Hiroyuki; Imase, Makoto; Ishizuka, Mika; Murayama, Junichi (October 2005)."Performance, Quality of Service, and Control of Next-Generation Communication and Sensor Networks III". Performance, Quality of Service, and Control of Next-Generation Communication and Sensor Networks III:6011: 60110H,Bibcode:2005SPIE.6011:doi:10.1117/12.630496
- 6. 崔英敏.網絡安全實用教程[M]:北京:中國青年出版社,2006.09:164-165
- 7. Cryptanalysis of Microsoft's PPTP Authentication Extensions. (MS-CHAPv2):Bruce Schneier,1999
- 8. 季慶光, 馮登國.對幾類重要網絡安全協議形式模型的分析[J]:計算機學報,2005:28(7):1071-1083
- 9. 呂春雨.企業網遠程寬帶接入的實現[J]:煉油與化工,2004年03期
- 10. 關於兩項增值電信業務及國內多方通信服務的通告 .中央政府門户網站[引用日期2019-09-03]
- 11. 工業和信息化部關於修訂《電信業務分類目錄(2015年版)》的公告 .中國政府網[引用日期2019-09-03]
- 收起