文档介绍:第十一讲: 虚拟专网(VPN)技术简介
虚拟专用网被定义为通过一个公共网络(通常是英特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。
虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。通过将数据流转移到低成本的IP网络上,一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时,这将简化网络的设计和管理,加速连接新的用户和网站。另外,虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展,企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上,而不是网络上。虚拟专用网可用于不断增长的移动用户的全球英特网接入, 以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效的连接到商业伙伴和用户的安全外连网虚拟专用网。
虚拟专用网至少应该能提供如下功能:
加密数据,以保证通过公网传输的信息即使被他人截获也不会泄露。
信息认证和身份认证,保证信息的完整性、合法性,并能鉴别用户的身份。
提供访问控制,不同的用户有不同的访问权限。
A: 虚拟专用网概述
选择一个合适的虚拟专用网解决方案或产品并不是一件容易的事情。每一种解决方案都可提供不同程度的安全性、可用性,并且都各有优缺点。为了选择一个合适的安全产品,决策者应该首先明确他们公司的商业需求,例如,公司是需要将少数几个可信的远地雇员连到公司总部,还是希望为每个分支机构、合作伙伴、供应商、顾客和远地雇员都建立一个安全连接通道等。如果选择了适当的虚拟专用网,便可以保护网络免受病毒感染、防止欺骗、防商业间谍、增强访问控制、增强系统管理、加强认证等。
在虚拟专用网提供的功能中,认证和加密是最重要的。而访问控制相对比较复杂,因为它的配置与实施策略和所用的工具紧密相关。虚拟专用网的认证、加密和访问控制这三种功能必须相互配合,才能保证真正的安全性。
在连到英特网之前,企业应指定相应的安全策略,清楚地说明不同身份的用户可以访问哪些资源。一个更安全的解决方案可能包括防火墙、路由器、代理服务器、虚拟专用网软件或硬件。它们中的任何一种设备可能提供足够的安全通信,但是采用何种设备取决于安全策略。
根据不同需要,可以构造不同类型的虚拟专用网,不同商业环境对虚拟专用网的要求和虚拟专用网所起的作用是不一样的。
以用途为标准,虚拟专用网可以分为三类:
在公司总部和它的分支机构之间建立虚拟专用网,称为“内部网虚拟专用网”。
在公司总部和远地雇员或旅行之中雇员之间建立虚拟专用网,称为“远程访问虚拟专用网”。
在公司与商业伙伴、顾客、供应商、投资者之间建立虚拟专用网,称为“外连网虚拟专用网”。
下面分别对这三种虚拟专用网进行简要介绍。
B: 内部网虚拟专用网
内部网是通过公共网络将一个组织的各分支机构的局域网连接而成的网络。这种类型的局域网到局域网的连接带来的风险最小,因为公司通常认为他们的分支机构是可信的,这种方式连接而成的网络被称为企业内联网,可把它作为公司网络的扩展。
当一个数据传输通道的两个端点被认为是可信的时候,公司可以选择“内部网虚拟专用网”解决方案,安全性主要在于加强两个虚拟专用网服务器之间加密和认证手段上。