您查看的文章来源于http://www.oklinux.cn
近来,随着中国经济的腾飞、各种工业企业投资增加,中国已经成为世界的制造中心。大型生产型、经营型企业的生产、调度早已经就严重依赖于网络。
随着企业规模的不断扩大,异地分支机构、办事处、连锁超市、经营部门、生产部门,以及投资管理机构,甚至出差人员对中心的数据越来越敏感,因此,这些企业大都已经或者正准备安装大型网络型ERP/财务软件用以满足以上各类需求。然而企业在付出高昂的软件安装部署实施费用后,大都为如何减少软件的运行费用而忧心重重。互联网的方便、高速和覆盖并没有被企业网充分利用,因为任何企业的IT经理都不会将企业内部网直接连接到互联网,企业内部网与互联网之间都会设置防火墙,只允许内部网络结点向互联网发起请求,进行互联网的访问,但不允许通过互联网结点访问企业内部的信息。因此公司老总很晚才下班,要在公司处理完所有的数据、邮件,尽管家中有宽带,但那是互联网接入,不能接到公司内部网络;出差在外的员工必须拔打昂贵的800号码或长途电话才能访问公司内部信息,以大约28.8Kbps的速率连接到公司内部网络,酒店的宽带接口却放在一边不能用。有什么好办法既能保证数据传输的安全性,又能降低运行成本呢?DDN专线吗,肯定不行,相关设备的安装难度,路由器等网络设备的大笔投入不说,光是每月昂贵的租用费用,随着分支机构的增加,这种负担正成为企业支出费用的大笔开销!利用传统的拨号线路吗?缓慢的速度,设备安装调试、管理、维护的问题更是让企业信息负责人望而却步。有没有一种更好的解决方案呢?怎样才能利用高速、便利的互联网接入安全地实现移动办公,在家办公呢?答案是远程接入VPN。
一、什么是VPN?
虚拟专用网(VPN,Virtual Private Network)是一种利用公共网络来构建的私人专用网络技术,不是真的专用网络,但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。 在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。IETF草案理解基于IP的VPN为:"使用IP机制仿真出一个私有的广域网"是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。
二、VPN的安全性
目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)。
1、隧道技术
隧道技术是VPN的基本技术类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。L2TP协议是目前IETF的标准,由IETF融合PPTP与L2F而形成。 第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等。IPSec(IP Security)是由一组RFC文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在IP层提供安全保障。
2、加解密技术
加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。
3、密钥管理技术
密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥;在ISAKMP中,双方都有两把密钥,分别用于公用、私用。
4、使用者与设备身份认证技术
使用者与设备身份认证技术最常用的是使用者名称与密码或卡片式认证等方式,目前这方面做的比较成熟的有国内的深信福科技的VPN解决方案。
