VPN安全技术在实际网络中的应用

  前言 选择VPN的技术优势

    实现网络安全很难，实现网络安全的成本很高，由于迅速发展的商业应用和商业实践在企业网基础设施上展开，各个企业都试图了解和控制与之相关的风险，使企业网络安全这个术语变得越来越流行。尽管这种状况使人感到有点担忧，但它却恰恰道出了一个事实：绝对的安全是不存在的。在公共网络基础结构上，企业使用VPN（虚拟专用网）建立起安全的、端到端的私有网络连接。使用内部或外部光纤设备以及广域网，许多企业已经建立了私有和可信任的网络基础结构，依靠物理安全提供一定程度的机密性。
    当这些企业从采用昂贵的、专门的、安全的连接转而采用更低成本的因特网时，他们要求在通常认为是不安全的因特网上进行安全通信。VPN能够降低因特网传输数据的安全风险，它能够取代昂贵的专门的租用线路。从用户的观点来看，建立了隧道物理网络的性质无关紧要，因为看起来好像信息在专门的私有网络上传输。VPN隧道在IP报文分组中封装数据，传输那些需要额外安全性或者不符合因特网寻址标准的信息。

站点对站点的VPN

    在一个企业网络环境中，主要有远程访问虚拟专用网、企业内部虚拟专用网和扩展的企业内部虚拟专用网。一个好的安全策略应该详细描述企业的基础结构、信息认证机制和访问权限，在很多情况下，它们将随着企业资源访问方式的改变而改变。例如，远程访问虚拟专用网中的认证机制比企业内部虚拟专用网或者扩展的企业内部虚拟专用网更加严格。
    有些办事处要求在多个LAN之间共享信息，例如在两个办事处的网关设备之间通过安全VPN隧道路由使得站点通过LAN共享信息，站点到站点VPN通过VPN隧道在两个网络之间建立一对一的端点关联，其中一个单独的VPN隧道保护多台主机和文件服务器之间的通信。最简单的形式是：两台服务器或者路由器建立加密的的IP通道，确保安全的从因特网上来回传递报文分组。VPN隧道端点设备在因特网创建逻辑的点对点连接。可以在每个网关设备上配置路由器，这样报文分组就可以在VPN链路上进行路由选择。

客户端到站点VPN

    当客户端要求从网络的LAN外部访问站点内部数据时，该客户端需要发起一个客户端到站点的VPN连接。这就保证了到站点的LAN的路径的安全。客户端到站点VPN是许多隧道的集合，这些隧道出口是在LAN一侧的通用共享的端点，一个或者多个客户端可以访问VPN服务器发起安全VPN连接，从一个不安全的远程位置并发的对内部数据进行安全访问，客户端从服务器那里获得一个IP地址，这样客户端看起来就好像是服务器所在LAN的成员。
    有些从客户端到站点VPN解决方案使用客户端的分离隧道，这些隧道具有许多安全分支，远程客户端能够通过分离的数据路径发送数据流，而不必再经过加密的VPN隧道转发，而以明文发送的信息流通过使用过滤器来确定，但是用户需要注意其分离隧道避开了安全VPN的安全性，所以一定要慎用这个功能。
    例如：许多客户端到站点VPN常常拥有一种机制，可以使得笔记本电脑用户能够安全的与企业办事处建立连接，其中一些VPN不要求用户认证机制，并且仅仅依赖设备认证。所以必须要特别谨慎，确保这些笔记本电脑的无力安全，避免发生任何危及安全的情况发生。

企业VPN安全应用

    要想保证VPN数据流的安全，需要综合使用诸如身份识别、隧道和加密等技术。基于IP的VPN在两个网络设备之间提供了IP隧道，这些隧道要么是站点到站点的，要么是客户端到站点的。在两个设备之间发送的数据是经过加密的，这样就可以在已有的IP网络上建立起安全的网络路径。隧道技术就是一种在因特网上的两个设备之间建立虚拟路径或者点对点连接方式。大多数的VPN的实现都是使用隧道在两个设备之间建立一个私有网络路径。
    有些VPN业通过使用安全壳隧道、安全套接层/传输层安全或其他安全应用协议展开创建。这些协议为特定应用提供了安全的端到端通信，有时还可以和此处所讨论的隧道协议共同使用。IPSec有两种使用模式：传输模式，保证了一个现有IP报文分组从源到目的地安全；隧道模式，把一个现有IP报文分组放入一个新IP报文中，新IP报文分组以IPSec格式发送到一个隧道端点。传输模式和隧道模式都可以封装在ESP或AH首部中。
    IPSec传输迷失用户两个通信系统之间的IP信息流提供端到端的安全保证，比如保证一个TCP连接或一个UDP数据报的安全。IPSec隧道模式主要用于为网络中间节点、路由器或网关提供安全保证，保证了连接一个公共网络或不可信任的IP网络上的私有IP网到另一个私有IP网的隧道内的其他IP信息流的安全性。两种模式都需要通过因特网密钥交换在两台计算机之间进行一个复杂的安全协商。