文档介绍：第十二讲: 虚拟专用网安全协议
实现虚拟专用网通常用到的安全协议主要包括:SOCKs V5、IPSec和PPTP/L2TP。在介绍了虚拟专用网的工作原理之后,本讲将对这些安全协议作一简要介绍。
A: 虚拟专用网的工作原理
虚拟专用网是一种连接,从表面上看它类似一种专用连接,但实际上是在共享网络上实现的。它常使用一种被称作“隧道”的技术,数据包在公共网络上的专用“隧道”内传输,专用“隧道”用于建立点对点的连接。来自不同数据源的网络业务经由不同的隧道在相同的体系结构上传输,并允许网络协议穿越不兼容的体系结构,还可区分来自不同数据源的业务,因而可将该业务发往指定的目的地,并接受指定等级的服务。
一个隧道的基本组成是:
一个隧道启动器
一个路由网络(英特网)
一个可选的隧道交换机
一个或多个隧道终结器
隧道启动和终止可由许多网络设备和软件来实现。例如,一个隧道可以由一台位于ISP服务点的适用于虚拟专用网的接入集中器建立,亦可由一台企业分支机构或办公室局域网的防火墙建立,该防火墙也需要适用于虚拟专用网。或者还可由一台带有模拟的PC调制解调卡和装有适用于虚拟专用网的拨号软件的的便携机来建立。一个通道可由ISP的网络接入路由器的虚拟专用网网关终止,或者由隧道终结器或企业网的交换机终止。
此外,通常还需要一台或多台安全服务器,虚拟专用网除了具备常规的防火墙和地址转换功能,还应具有数据加密,鉴别和授权的功能。安全服务器通常也提供带宽和隧道终端节点信息,在某些情况下还可提供网络规则信息和服务等级信息。
要建立隧道,现在所用的安全协议主要是PPTP/L2TP协议或IPSEsec协议。
下面来说明虚拟专用网的工作原理。
在远程访问虚拟专用网的情况下,远程访问客户需要向远程访问服务器发送点对点协议(PPP)数据包。同样,在采用局域网对局域网的虚拟租用线路(VLL)的情况下,一个局域网上的路由器需向另一局域网的路由器发送PPP数据包。
不同的是,客户机对服务器的情况下,PPP数据包不是通过专用线路传送,而是通过共享网络的隧道进行传送。虚拟专用网的作用就如同在广域网上拉一条串行电缆。PPP协议经过协商,在远程用户和隧道终止设备之间建立一条直接连接。创建符合标准的虚拟专用网隧道经常采用下列方法:将网络协议(IP、IPX、AppleTalk等)封装到PPP协议中,典型的隧道协议是IP协议,但也可是ATM协议或帧中继协议。由于传送的是第二层协议,故该方法被称为
“第二层隧道”。另一种选择是:将网络协议直接封装进隧道协议中,例如虚拟隧道协议(VTP)中。由于传送是第三层协议,故该方法被称为“第三层隧道”。
隧道启动器在隧道内封装的是在TCP/IP包中封装原生包——例如IPX包。包括控制信息在内的整个IPX包都将成为TCP/IP包的负载,然后它通过英特网传输。另一端隧道终结器的软件打开包并将其发送给原来的协议进行常规处理。
B: 虚拟专用网的SOCKS v5协议
SOCKS v5是一个需要认证的防火墙协议。当SOCKS同SSL协议配合使用,可作为建立高度安全的虚拟专用网的基础。SOCKS协议的优势在访问控制,因此适合用于安全性较高的虚拟专用网。SOCKS现在被IETF建议作为建立虚拟专用网的标准,尽管还有一些其它协议,scape、IBM的支持。
SOCKS v5的优点:SOCKS v5在OSI模型的会话层控制数据流,它定义了非常详细的访问控制。在网络层只能根据源和目的IP地址允许或拒绝数据包通过,在会话层控制手段要更多一些。SOCKS v5在客户机和主机之间建立了一条虚电路,可根据对用户的认证进行监视和访问控制。SOCKS v5和SSL工作在会话层,因此能同低层协议如IPv4、IPSec、PPTP、L2TP一起使用。它能提供非常复杂的方法来保证信息安全传输。用SOCKS v5的代理服务器可隐藏网络地址结构。如果SOCKS v5同防火墙结合起来使用,数据包经一个唯一的防火墙端口(缺省的是1080
)到代理服务器,代理服务器然后过滤发往目的计算机的数据,这样可以防止防火墙上存在的漏洞。SOCKS v5能为认证、加密和密钥管理提供“插件”模块,可让用户很自由地采用他们所需要的技术。SOCKS v5可根据规则过滤数据流,包括Java Applet 和ActiveX控件。
缺点:因为SOCKS v5通过代理服务器来增加一层安全性,因此其性能往往比低层协议差。尽管比网络层和传输层的方案要更安全,但要比低层协议制定更为复杂的安全管理策略。
基于SOCKS v5的虚拟专用网最适合用于客户机到服务器的连接模式,适合用于外部网虚拟专用网。
C: 虚拟专用网的IPSec协议
IPSec协议是一个范围广泛,开放的虚拟专用网