兩種VPN隧道網(wǎng)絡(luò)協(xié)議詳解與比較

摘要:隨著現(xiàn)代企業(yè)對(duì)電子商務(wù)要求的提高，企業(yè)需要更加經(jīng)濟(jì)安全、易于操作的方式通過(guò)公用網(wǎng)訪問公司內(nèi)網(wǎng)，提高效率。該文主要介紹了兩種技術(shù)虛擬專用網(wǎng)技術(shù)，即IPSec VPN和SSL VPN，并對(duì)兩種技術(shù)進(jìn)行詳細(xì)比較。

關(guān)鍵詞:隧道協(xié)議;IPSec;SSL;安全

中圖分類號(hào):TP311文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2009)36-10592-02

The Introduction and Comparison of Two kinds of VPN Technology

ZHOU Ying

(Sichuan Electric Power Designing and Consulting Co. Ltd， Chengdu 610016， China)

Abstract: As enterprise e-business requirements increase， companies need to be more economic and security way through a public network to access the company network and improve efficiency. This paper describes two techniques virtual private network technology， namely， IPSec VPN and SSL VPN， and a comparison of the two technologies.

Key words: tunneling protocol; IPSec; SSL; security

虛擬專用網(wǎng)VPN(Virtual Private Network)是一種“基于公共數(shù)據(jù)網(wǎng)，給用戶一種直接連接到私人局域網(wǎng)感覺的服務(wù)”。 它依靠ISP(Internet服務(wù)提供商)和其它NSP(網(wǎng)絡(luò)服務(wù)提供商)，在公用網(wǎng)絡(luò)中建立一個(gè)臨時(shí)的、安全的連接，是一條穿過(guò)公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。VPN極大地降低了用戶的費(fèi)用，而且提供了比傳統(tǒng)方法更強(qiáng)的安全性和可靠性。

數(shù)據(jù)安全是VPN的核心問題， VPN主要采用四項(xiàng)技術(shù)來(lái)保證安全，這四項(xiàng)技術(shù)分別是隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、使用者與設(shè)備身份認(rèn)證技術(shù)。隧道技術(shù)是應(yīng)用最為廣泛的VPN技術(shù)，通過(guò)匹配四層網(wǎng)絡(luò)模型中的不同層協(xié)議，可以生成不同的VPN技術(shù)及產(chǎn)品，目前VPN隧道協(xié)議中的IPSec VPN和SSL VPN是當(dāng)前主流VPN技術(shù)。

1 IPSec VPN 端對(duì)端的安全

IPSec工作于網(wǎng)絡(luò)層，是一個(gè)開放的結(jié)構(gòu)，定義在IP數(shù)據(jù)包格式中，不同的加密算法都可以利用IPSec定義的體系結(jié)構(gòu)在網(wǎng)絡(luò)數(shù)據(jù)傳輸過(guò)程中實(shí)施。IPSec協(xié)議可以設(shè)置成在隧道模式和傳輸(transport)模式下運(yùn)行， IPSec幾乎可以為所有的應(yīng)用提供訪問，包括客戶端/服務(wù)器模式和某些傳統(tǒng)的應(yīng)用，但是由于基于網(wǎng)絡(luò)層，不能穿越通常的NAT、防火墻。

IPSec VPN是基于IPSec協(xié)議的VPN產(chǎn)品，由IPSec協(xié)議提供隧道安全保障。IPSec是一種由IETF設(shè)計(jì)的端到端的確?；贗P通訊的數(shù)據(jù)安全性的機(jī)制。IPSec隧道模式具有以下特點(diǎn):只能支持IP數(shù)據(jù)流;工作在IP棧的底層，應(yīng)用程序和高層協(xié)議可以繼承IPSEC的行為;由一個(gè)安全策略進(jìn)行控制。安全策略按照優(yōu)先級(jí)的先后順序創(chuàng)建可供使用的加密和隧道機(jī)制以及驗(yàn)證方式。當(dāng)需要建立通訊時(shí)，雙方機(jī)器執(zhí)行相互驗(yàn)證，然后協(xié)商使用何種加密方式。此后的所有數(shù)據(jù)流都將使用雙方協(xié)商的加密機(jī)制進(jìn)行加密，然后封裝在隧道包頭內(nèi)。

1.1 IPSec VPN技術(shù)的優(yōu)點(diǎn)

1) IPSec是與應(yīng)用無(wú)關(guān)的技術(shù)，因此IPSec VPN的客戶端支持所有IP層協(xié)議;

2) IPSec技術(shù)中，客戶端至站點(diǎn)(client-to-site)、站點(diǎn)對(duì)站點(diǎn)(site-to-site)、客戶端至客戶端(client-to-client)連接所使用的技術(shù)是完全相同的;

3) IPSec VPN網(wǎng)關(guān)一般整合了網(wǎng)絡(luò)防火墻的功能;

4) IPSec客戶端程序可與個(gè)人防火墻等其他安全功能一起銷售，因此，可保證配置、預(yù)防病毒，并能進(jìn)行入侵檢測(cè)。

1.2 IPSec VPN技術(shù)的不足

1) IPSec VPN需要安裝客戶端軟件，但并非所有客戶端操作系統(tǒng)均支持IPSec VPN的客戶端程序;

2) IPSec VPN的連接性會(huì)受到網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)的影響，或受網(wǎng)關(guān)代理設(shè)備(proxy)的影響;

3) IPSec VPN需要先完成客戶端配置才能建立通信信道，并且配置復(fù)雜。

IPSec為Internet業(yè)務(wù)提供最強(qiáng)的安全功能，與其他隧道和安全技術(shù)相比，其優(yōu)越性在于它的安全性和互操作性，但是管理復(fù)雜，適合于組建遠(yuǎn)程網(wǎng)絡(luò)互聯(lián)VPN。

2 SSL VPNWeb應(yīng)用表現(xiàn)出眾

SSL是一個(gè)端到端的協(xié)議，因而是在處于通信線路端點(diǎn)的機(jī)器上實(shí)現(xiàn)，而不需要在通信通路的中間節(jié)點(diǎn)(如路由器或防火墻)上實(shí)現(xiàn)，并且由于不需要安裝客戶端軟件，僅僅通過(guò)瀏覽器就可以實(shí)現(xiàn)VPN的連接。

除了具備與IPSec VPN相當(dāng)?shù)陌踩酝?，還增加了訪問控制機(jī)制，客戶端只需要擁有支持SSL的瀏覽器即可，適合遠(yuǎn)程用戶訪問企業(yè)內(nèi)部網(wǎng)，SSL VPN相對(duì)成本比較低，不受網(wǎng)絡(luò)環(huán)境的限制。SSL VPN優(yōu)勢(shì)還表現(xiàn)在:對(duì)應(yīng)用的支持更廣泛，由最早期的僅僅支持WEB應(yīng)用，到支持絕大部分基于TCP的應(yīng)用;對(duì)網(wǎng)絡(luò)的支持更加廣泛，現(xiàn)在多數(shù)優(yōu)秀的SSL VPN都能通過(guò)用戶可選的客戶端插件形式為終端用戶分配虛擬IP，并通過(guò)SSL 隧道建立層三(Level 3)隧道，實(shí)現(xiàn)與傳統(tǒng)IPSEC VPN客戶端幾乎一樣強(qiáng)大的終端網(wǎng)絡(luò)功能;對(duì)終端的安全性要求更嚴(yán)格，SSL VPN加入了客戶端安全檢查的功能:通過(guò)插件對(duì)終端操作系統(tǒng)版本，終端安全軟件的部署情況進(jìn)行檢查，來(lái)判斷其接入的權(quán)限，從而減輕間諜軟件和釣魚軟件的威脅。

2.1 SSL VPN技術(shù)的優(yōu)點(diǎn)

1) 它的HTTPS客戶端程序，如Microsoft Internet Explorer已經(jīng)預(yù)裝在了終端設(shè)備中，因此不需要再次安裝;

2) 像Microsoft Outlook這類程序所支持的SSL HTTPS功能，與市場(chǎng)上主要的Web服務(wù)器捆綁銷售，或者通過(guò)專門的軟硬件供貨商(例如Web存取設(shè)備)獲得;

3) SSL VPN可在NAT代理裝置上以透明模式工作;

4) SSL VPN不會(huì)受到安裝在客戶端與服務(wù)器之間的防火墻的影響。

2.2 SSL VPN技術(shù)的不足

1) SSL VPN不適用做點(diǎn)對(duì)點(diǎn)的VPN，后者通常是使用IPSec/IKE技術(shù);

2) SSL VPN需要開放網(wǎng)絡(luò)防火墻中的HTTPS連接端口，以使SSL VPN網(wǎng)關(guān)流量通過(guò);

3) SSL VPN通常需要其他安全配置，例如用第三方技術(shù)驗(yàn)證“非信任”設(shè)備的安全性(“非信任”設(shè)備是指其他信息站或家用計(jì)算機(jī))。

3 IPSec與SSL技術(shù)比較

3.1 IPSec的主要不足

1) 安全性能高，但通信性能較低

因?yàn)镮PSec安全協(xié)議是工作在網(wǎng)絡(luò)層的，IPSec不僅使你正在通信的那一很小的部分通道加密，而是對(duì)所有通道進(jìn)行加密。所以在在安全性方面比SSL VPN好，但整體通信性能卻因安全性受到了影響。

2) 需要客戶端軟件

在IPSec VPN中需要在每一客戶端安裝特殊用途的客戶端軟件，用這些軟件來(lái)替換或者增加客戶系統(tǒng)的TCP/IP堆棧。這就可能帶來(lái)了與其他系統(tǒng)軟件之間兼容性問題的風(fēng)險(xiǎn)，且IPSec協(xié)議在硬件應(yīng)用中同樣存在著兼容性方面的問題。

3) 安裝和維護(hù)困難

IPSec安全協(xié)議方案需要大量的IT技術(shù)支持，包括在運(yùn)行和長(zhǎng)期維護(hù)兩個(gè)方面。在大的企業(yè)通常有幾個(gè)專門的員工為通過(guò)IPSecI安全協(xié)議進(jìn)行的VPN遠(yuǎn)程訪問提供服務(wù)。

4) 實(shí)際全面支持的系統(tǒng)比較少

雖然已有許多開發(fā)的操作系統(tǒng)提出對(duì)IPSec協(xié)議的支持，但是在實(shí)際應(yīng)用是，IPSec安全協(xié)議客戶的計(jì)算機(jī)通常只運(yùn)行基于Windows系統(tǒng)，很少有運(yùn)行其它PC系統(tǒng)平臺(tái)的。

3.2 SSL的優(yōu)勢(shì)

1) 不需要客戶端軟件和硬件需求

在SSL代理中的一個(gè)關(guān)鍵優(yōu)勢(shì)就是不需要在客戶端安裝另外的軟件，而只需要在服務(wù)器端安裝相應(yīng)的軟件和硬件，然后通過(guò)服務(wù)器向客戶端發(fā)布。SSL代理可以使用于支持SSL技術(shù)的標(biāo)準(zhǔn)Web瀏覽器和email客戶中。

2) 容易使用，容易支持Web界面

有許多Web瀏覽器和支持SSL的email客戶端，包括Windows、Macintosh、Linux/UNIX，移動(dòng)電話都可以通過(guò)SSL協(xié)議進(jìn)行通信。

3) 端到端 vs. 端到邊緣安全

IPSec安全協(xié)議的一個(gè)主要優(yōu)勢(shì)就是只需要在客戶和網(wǎng)絡(luò)資源邊緣處建立通道。僅保護(hù)從客戶到公司網(wǎng)絡(luò)邊緣連接的安全，所有運(yùn)行在內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)是透明的，包括任何密碼和在傳輸中的敏感數(shù)據(jù)。SLL安全通道是在客戶到所訪問的資源之間建立的，確保端到端的真正安全。無(wú)論在內(nèi)部網(wǎng)絡(luò)還是在因特網(wǎng)上數(shù)據(jù)都不是透明的?？蛻魧?duì)資源的每一次操作都需要經(jīng)過(guò)安全的身份驗(yàn)證和加密。

4) 90%以上的通信是基于Web和Email的

近乎90%的企業(yè)利用VPN進(jìn)行的內(nèi)部網(wǎng)和外部網(wǎng)的聯(lián)接都只是用來(lái)進(jìn)行因特網(wǎng)訪問和電子郵件通信，另外10%的用戶是利用諸如x11、聊天協(xié)議和其它私有客戶端應(yīng)用，屬非因特網(wǎng)應(yīng)用。

表1是SSL VPN與IPSec VPN主要性能比較，從表中可以看出各自的主要優(yōu)勢(shì)與不足。

4 結(jié)束語(yǔ)

VPN技術(shù)借助公共網(wǎng)絡(luò)平臺(tái)很好的實(shí)現(xiàn)了專用網(wǎng)絡(luò)的功能，企業(yè)以低廉的價(jià)格享受著安全優(yōu)質(zhì)的服務(wù)。用戶可依據(jù)遠(yuǎn)程訪問不同的特定需求與目標(biāo)進(jìn)行解決方案選擇，以IPSec VPN作為點(diǎn)對(duì)點(diǎn)連結(jié)方案，再搭配以SSL VPN作為遠(yuǎn)程訪問方案，能滿足員工、商業(yè)伙伴與客戶的安全連接需求，是最合適也最具成本效益的組合。相對(duì)傳統(tǒng)的單一VPN技術(shù)，融合了IPSec和SSL兩種VPN精髓，同時(shí)配合完善的安全管理平臺(tái)的混合VPN技術(shù)將會(huì)在越來(lái)越多的行業(yè)中得以使用。

參考文獻(xiàn):

[1] 宋西軍.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[M].北京:北京大學(xué)出版社，2009.

[2] 弗拉海.SSL與遠(yuǎn)程接入VPN[M].北京:人民郵電出版社，2009.

[3] 周賢偉.IPSec解析[M].北京:國(guó)防工業(yè)出版社，2006.