虚拟专用网络（VPN）的安全基础

/ns/wz/sys/data/20030710050759.htm

发布日期：2000-6-8
来自于：中国网络安全响应中心

一.虚拟专用网(Virtual private network)

随着企业网应用的不断扩大，企业网的范围也不断扩大，从一个本地到一个跨地区跨城市甚至是跨国家的网络。但采用传统的广域网建立企业专网，往往需要租用昂贵的跨地区数字专线。同时公众信息网(Internet与视聆通)的发展，已经遍布各地，在物理上，各地的公众信息网都是连通的，但公众信息网是对社会开放的，如果企业的信息要通过公众信息网进行传输，在安全性上存在着很多问题。如何能够利用现有的公众信息网，来安全地建立企业的专有网络呢？

虚拟专网(VPN)技术是指在公共网络中建立专用网络，数据通过安全的"加密管道"在公共网络中传播。企业只需要租用本地的数据专线，连接上本地的公众信息网，各地的机构就可以互相传递信息；同时，企业还可以利用公众信息网的拨号接入设备，让自己的用户拨号到公众信息网上，就可以连接进入企业网中。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处，是目前和今后企业网络发展的趋势。

因此必须充分认识虚拟专网的技术特点，建立完善的服务体系。

在分布式的计算机网络环境下，虚拟专用网络的出现为网络管理员提供了一种很好的解决方案。在企业的每个站点内，工作站、服务器和数据库等都由一个或多个局域网（LAN）连接起来。这些局域网在网络管理器的控制之下，并可以被设置及调配。Internet及其他公用网可以将这些站点相互连接起来，这样做比使用专用网更经济，同时，管理任务由ISP负责。远距离工作者和移动办公的雇员可以从远程站点登录到所在机构的网络中。

然而，网络管理员所面临的一个最基本的问题就是网络的安全。使用公用网络会使机构的信息容易被窃取，就相当于给那些未经授权的使用者设置一个“入口”。为了解决这一问题，网络管理员就会选择各种形式的加密和认证。如果采取的是特殊的加密和认证方式，它所提供的安全保障级别则相对较低。而且，没有哪个网络管理者愿意为了与安全兼容而限制工作站、服务器、路由器、防火墙的选择。


从应用上虚拟专网可以分为虚拟企业网和虚拟专用拨号网络（有厂家称之为VPDN，属于VPN的一种特例）。虚拟企业网主要是使用专线上网的企业分部、合作伙伴间的虚拟专网；虚拟专用拨号网络是指使用电话拨号（PPP拨号）上网的远程用户与企业网间的虚拟专网。虚拟专网的重点在于建立安全的数据通道，构造这条安全通道的协议必须具备以下条件：

保证数据的真实性，通信主机必须是经过授权的，要有抵抗地址冒认（IP Spoofing）的能力。
保证数据的完整性，接收到的数据必须与发送时的一致，要有抵抗不法分子纂改数据的能力。
保证通道的机密性，提供强有力的加密手段，必须使偷听者不能破解拦截到的通道数据。
提供动态密匙交换功能，提供密匙中心管理服务器，必须具备防止数据重演（Replay）的功能，保证通道不能被重演。
提供安全防护措施和访问控制，要有抵抗黑客通过VPN通道攻击企业网络的能力，并且可以对VPN通道进行访问控制（Access Control）。
虚拟专用网VPN可以使在Internet中的信息交换有安全保障，大多数的VPN产品支持IPSec。最初VPN技术被设想为Intenet节点的连接方式，后来它很快被公认为是一种远端的接入技术，例如在一个远程的PC或笔记本电脑用户与他的公司本部之间建立的加密通道。随着Windows 2000的公布，IPSec也将会应用在操作系统中。目前，VPN技术正在迅速走向成熟，而且它正处于兴盛期。

VPN的主要优点 　　

1. VPN致力于为网络提供整体的安全性，是性能价格比比较高的安全方式。

2. VPN与防火墙和代理服务器不同，大多数的VPN产品可以在网络连接中透明地配置，而不需要修改网络或客户端的配置。

3. VPN的管理性能提高得很快，就单一厂商的环境，管理工作站可以直接提供多单元的支持。

4. 因为IPSec致力于公网的高可靠性的安全，所以IPSec VPN是最安全和流行的选择。

随着新的IPSec标准逐渐被大家接受，各机构在组建安全的虚拟专用网络（VPN）方面将会有更加一致的举措。

有待提高的方面

但目前的VPN还存在不足，总结起来有下面主要几个方面： 　　

1. 尽管VPN的设备供应商们可以为远程办公室或Extranet服务的专线或帧中继提供有效方式，可是VPN的服务提供商们只保证数据在其管辖范围内的性能，一旦出了其“辖区”则安全没有保证。 　　

2. 作为一种典型技术，VPN的应用时间还不长，VPN的管理流程和平台相对于其他远程接入服务器或其他网络结构的设备来说，有时并不太好用。 　　

3. 不同厂商的IPSec VPN的管理和配置掌握起来是最难的，这需要同时熟悉IPSec和不同厂商的执行方式，包括不同的术语。

二. 虚拟专网标准

目前建造虚拟专网的国际标准有IPSEC（RFC 1825-1829）和L2TP（草案draft-ietf-pppext-l2tp-10）。其中L2TP是虚拟专用拨号网络协议，是IETF根据各厂家协议（包括微软公司的PPTP、Cisco的L2F）进行起草的，目前尚处于草案阶段。IPSEC是由IETF正式定制的开放性IP安全标准，是虚拟专网的基础，已经相当成熟可靠。L2TP协议草案中规定它（L2TP标准）必须以IPSEC为安全基础。同时IPSEC的厂家支持广泛，Microsoft 的NT5、Cisco PIX防火墙、Ascent Secure Access Control防火墙都支持IPSEC标准。因此我们在构造VPN基础设施时最好采用IPSEC标准，至少也必须采取以IPSEC为加密基础的L2TP协议。否则将发生难以预测的后果（如Microsoft 的PPTP协议出现重大安全漏洞）。

但是目前各国外厂家提出的方案中都尽量避开IPSEC的描述，主要是由于IPSEC标准中采用了多种先进的加密技术，有很高的保密性能，受到美国法律管制出口，因此3Com、Cisco、Ascend尽管本身拥有相当成熟的IPSEC产品或以IPSEC作加密标准的L2TP产品，也不可能进入美国以外的市场。而且美国政府正在起草进一步加强加密技术出口管制的法律，所以依靠美国产品构造真正的VPN是不可行的。国内研制的高保密性产品已经达到了国际先进的水平，对IPSEC的有很好的支持，并且可以支持大量的并发VPN连接。因此从安全和性能方面考虑我们只有选用国内的安全产品作为虚拟专网设备。

=========================
文章类型:转载 提交:秋阳 核查:NetDemon