九宮八陣圖之地載陣—VPN
地載陣:地陣十二,其形正方,云主四角,沖敵難當,其體莫測,動用無窮,獨立不可,配之於陽。
地載陣是一種防護陣型,此陣不可獨立部署,必須配合其他陣法防護,善于防守和加速,將可抵御外部的一切干擾,百毒不侵。
VPN是一種防護型加密傳輸設備,也是必須成對部署(即網關-網關、網關-客戶端、客戶端-客戶端),無論是IPSEC VPN還是SSL VPN都需要用戶兩端協商建立加密通道來完成,如果全網部署定會使整個網絡安全傳輸,形成一道網絡安全的加密屏障,迫使外部入侵無從下手。
點亮智慧的隧道
一、VPN所面臨的處境
隨著云計算時代的到來,全球型集團、大型企業以及中小型公司的統一信息平臺建立和資源共享的需求越來越普遍,甚至波及到個人電腦和互聯網應用技術的普及,例如“在家辦公”、“異地辦公”、“移動辦公”等多種遠程辦公模式逐漸流行。而需要實現全省、全國乃至跨國的所有分支機構互聯所帶來的高昂專線費用則大大增加了企業的運營成本,作為集團局域網的延伸,在保持數據的私密性、完整性的情況下,依托互聯網建立一個安全虛擬專網,為各種應用提供方便的遠程訪問服務,是目前很多單位都面臨的巨大挑戰;分公司、經銷商、合作伙伴、客戶和外地出差人員要求隨時經過公用網訪問公司的資源,這些資源包括:公司的內部資料、辦公OA、ERP系統、CRM系統、項目管理系統等。因此,VPN既是實現低成本的安全穩定互通的解決方案。但是單一協議的VPN已不能滿足現有云時代的用戶需求,安全廠商也越來越感到VPN技術發展的緊迫性,那么針對VPN有哪些基本要求呢?
1.1、保證數據的真實性
通信主機必須是經過授權的,隧道技術在兩個站點間建立一條虛擬的專用線路,使用端到端的認證和加密保證數據的安全性;同時,設備要有抵抗地址假冒(IP Spoofing)的能力。
1.2、保證數據的完整性
接收方對發送方發來的包進行認證,以確保數據的完整性,接收到的數據必須與發送時的一致,要有抵抗不法分子篡改數據的能力。
1.3、保證通道的機密性
提供強有力的加密手段,必須使偷聽者不能破解攔截到的通道數據。數據包封裝發生在VPN的發送節點,此時需將原數據包打包,添加合法的外層IP包頭,這個包可通過公網被傳送到接收端的VPN節點,該節點接收后進行拆包處理,還原出原報文后傳述給目標主機。
1.4、提供動態密鑰交換功能和集中安全管理服務
無論從安全性還是靈活性上考慮, 動態交換都要優于手工配置;集中的安全管理服務能大幅簡化配置流程,提供快速直觀的管理服務。
1.5、提供安全防護措施和訪問控制
VPN設備自身是否具有抵抗黑客通過VPN通道攻擊企業網絡的能力,并且可以對VPN通道進行訪問控制。具備動態包過濾功能、雙向NAT功能、MAC地址綁定功能、ARP代理功能、透明應用代理功能,并可防止半連接、拒絕服務、IP碎片等常見攻擊功能;
1.6、多種應用環境下的混合訪問
IPSec VPN和SSL VPN是兩種不同的VPN架構,IPSec VPN是工作在網絡層的,提供所有在網絡層上的數據保護和透明的安全通信,而SSL VPN是工作在應用層(基于HTTP協議)和TCP層之間的,從整體的安全等級來看,兩者都能夠提供安全的遠程接入。但是,IPSec VPN技術是被設計用于連接和保護在信任網絡中的數據流,因此更適合為不同的網絡提供通信安全保障,而SSL VPN因為以下的技術特點則更適合應用于遠程分散移動用戶的安全接入。保障這兩種協議的混合應用是現有的一種強烈需求。
二、兩種常用的VPN技術
VPN在經歷了大規模商用后,其技術和應用方式也發生了很大發展。其中,有兩種主流的VPN技術的應用最為廣泛。第一種是基于IP 網絡層的IPSec VPN,另一種是基于應用層的SSL VPN技術。
2.1、IPSec VPN技術
IPSec的英文全名為“ Internet Protocol Security”,中文名為“因特網安全協議”,這個安全協議是VPN的基本加密協議,它為數據在通過公用網絡(如因特網)在網絡層進行傳輸時提供安全保障。通信雙方在建立IPSec通道前,首先要協商具體的方式來建立通信連接。因為IPSec協議支持多種操作模式,所以通信雙方要確定所要采用的安全策略和使用模式,這包括加密運算法則和身份驗證方法類型等。在IPSec協議中,一旦IPSec通道建立,所有在網絡層之上的協議在通信雙方都經過加密,如TCP、 UDP 、SNMP、HTTP、 POP3 等,而不管這些通道構建時所采用的安全和加密方法如何。
IPSec VPN在應用方面具有以下特點:
適用于網對網連接方案;
需要安裝客戶端軟件,安裝和維護成本相對高;
存在系統兼容性的問題。
在IPSec VPN之后,又一種VPN技術逐漸成為了主流,即基于應用層的SSL VPN技術。
2.2、SSL VPN技術
近年來,移動辦公已成為趨勢,移動用戶接入公司內部專網的需求不斷增加,使得IPSec VPN的使用也逐漸增加。但由于IPSec VPN的維護困難,造成企業IT成本過高;另一方面,企業對于內網資源的保護的要求也不斷提高,IPSec VPN由于開放了整網的資源給接入用戶,企業內網安全方面的問題逐漸暴露。
鑒于IPSec VPN應用中存在的不足,基于應用層的SSL VPN開始迅速興起。SSL的英文全稱是“Secure Sockets Layer ”,中文名為“安全套接層協議層”,它是網景(Netscape)公司提出的基于WEB應用的安全協議。是一種基于應用層的虛擬專網技術,它利用SSL技術和代理技術,向終端用戶提供安全訪問HTTP資源、C/S資源,以及文件共享資源等的功能,同時可以實現不同方式的用戶認證,以及細粒度的訪問控制。通過該技術的應用,我們可真正實現 “在任何時候、任何地點、通過任何設備安全地接入公司內部網”的目標。
SSL VPN技術應用具有以下優勢和特點:
通過點到應用的保護,對每一個應用都可以設定安全策略;
無需手動安裝任何VPN客戶端軟件 ;
兼容性好,支持各種操作系統和移動終端(如PDA、SmartPhone等)
在遠程訪問領域,SSL VPN正逐步取代IPSec VPN。但是,作為傳統的站點到站點安全聯接的主流技術,IPSec VPN仍然是不可取代的。當前,VPN領域的共識是:IPSec VPN更適合于站點到站點安全聯接,SSL VPN是實現安全遠程訪問的最佳技術。
就目前的技術而言,VPN的發展到現在沒有所謂最佳選擇,到底選擇那種VPN必須根據遠程訪問的需求與目標而定。當企業需要安全的點對點連接時,IPSec可能是最適合的解決方案,即IPSec更加適合用來解決網到網的互聯問題。
SSL VPN則更適合下述情況:移動用戶通過互聯網來訪問企業內部獲取廣泛而全面性的信息,管理員希望精確的了解接入用戶的訪問情況,SSL VPN在這方面更勝一籌。
如果一個企業會同時存在網間互聯和點到網的互聯需求,所以我們需要的是一臺設備同時支持這兩種VPN技術,在需要網到網互聯的時候使用IPSec、在需要點到網互聯的時候使用SSL,用最合適的技術來滿足用戶的需求。#p#
三、VPN技術發展趨勢
從目前的市場情況看,IPSec仍占據最大的市場份額,但是它的種種弊端已經暴露出來。一些用戶已經開始同時部署兩種解決方案,比如遠程訪問辦公通過SSL VPN,而站點之間的連接通過IPSec。在未來幾年內,兩種解決方案還將共存,但是SSL VPN憑借其簡單易用、部署及維護成本低,會受到企業用戶的青睞,將會有更大的發展空間。SSL VPN、多功能合一的VPN產品,會逐漸成為市場熱點。用戶的需求正在從簡單的通過VPN實現“連接”這一基本要求,逐漸在向VPN網絡的效率、可管理性、擴展性等方面發展。另外移動辦公的VPN應用也在迅速發展。SSL VPN以其不需安裝客戶端的最明顯特點,在移動辦公領域具有易用、易于管理的顯著優勢。
VPN的發展代表了互聯網絡今后的發展趨勢,它綜合了傳統數據網絡的安全和服務質量,以及共享數據網絡結構的簡單和低成本,建立安全的數據通道。VPN在降低成本的同時滿足了用戶對網絡帶寬、接入和服務不斷增加的需求,因此,VPN必將成為未來網絡發展的主要方向。
VPN技術的發展將促進業務市場的繁榮。VPN上傳輸的數據流是經過加密處理的,這條安全通道的協議必須保證數據的真實性、數據的完整性、通道的機密性,提供動態密匙交換功能,提供安全防護措施和訪問控制,抵抗黑客通過VPN通道攻擊企業網絡的能力,并且可以對VPN通道進行訪問控制。
隨著市場的擴大,用戶需求將成為VPN技術發展的動力,多形式、多用途、靈活易用、功能強大、服務優異的VPN產品將適用于不同的用戶群,部署在寬帶、窄帶、撥號或者移動通信網絡上。
四、怎樣選擇好的VPN產品
VPN發展到現在,出現了很多的產品。用戶在選擇一款VPN的時候應該注重那些技術呢?什么樣的產品才算的上是一款理想的VPN呢?
用戶在選擇IPSec VPN的時候應該注意以下幾點 :
4.1、IPSec VPN速度
國內的用戶往往需要面臨“南北電信”互訪的速度問題。由于時延大、丟包率高,南北方的網絡互通時速度很慢。針對這種現象,主要有2種解決方法。第一種是通過申請多條線路,設置策略路由或通過負載均衡類的技術來實現;第二種是采用Flash- Link 技術,優化高丟包環境下的數據傳輸。兩者相比,后者由于不需要申請額外的線路,更符合企業的實際情況。
4.2、IPSec VPN穩定性
VPN上傳輸的應用往往是企業的業務數據,其穩定性相當重要。VPN的穩定性分為設備的穩定性和線路的穩定性兩個方面。設備穩定性包括:支持硬件設備冗余技術,支持設備的關鍵部件(硬盤、電源、風扇)熱插拔功能,避免主機宕機帶來的業務中斷;線路穩定性主要包括線路的冗余和自愈功能,即可通過多條線路進行備份,主線路故障后,可以自動啟用備份線路。當線路故障修復后,可以在幾秒內迅速恢復連接。
4.3、IPSec VPN安全性
IPSec VPN的安全性集中在接入、傳輸和訪問控制。接入安全包括可提供多種認證手段,包括硬件身份認證、SecureID等;傳輸安全主要是采用高強度的加密算法,目前通用算法的類型較多,我們需要選擇可提供多種算法的產品;另外,訪問控制也是IPSec VPN安全性種比較重要的方面,由于IPSec VPN是雙向訪問的,而且初始化時,對端的網絡資源完全透明。優秀的IPSec VPN可以對雙向的互訪進行訪問控制,對不同的用戶開放不同的內網資源。
而在選擇SSL VPN應注意以下幾點:
4.4、SSL VPN速度
由于SSL VPN是為移動辦公而生的,而移動用戶“行蹤不定”的性質,導致各種有線、無線、跨運營商的接入方式存在。所以,SSL VPN的速度快慢也直接決定了用戶的訪問感受。 和IPSec VPN一樣,用戶也可以考慮支持線路負載均衡以及Flash-Link技術的SSL VPN,而支持對HTTP數據進行壓縮、對無線通訊協議進行優化的SSL VPN,自然是更進一步的選擇。
4.5、SSL VPN易用性
易用性的考察主要依賴于用戶體驗。除了考察管理員是否易于操作和掌握SSL VPN網關的使用,很重要的需要考察SSL VPN的終端是否易于使用和維護。在登錄SSL VPN之前,終端不應該安裝獨立的客戶端。SSL VPN的插件應該做到自動安裝自動修復。用戶登錄SSL VPN不需要培訓和指導就能進入應用。對于大規模的SSL VPN用戶部署,應該要支持對統一用戶認證數據的無縫支持,如域認證,Radius認證,目錄服務認證等,這樣可以避免在SSL VPN上維護大量用戶。
4.6、SSL VPN安全性
我們拿常見的網上銀行舉例,其安全性的隱患往往出現在認證手段的疏漏,導致賬戶被盜用。SSL VPN的安全性也主要體現在對多種認證的支持,除了通用的X509、 PKI 、Radius等認證外,最好能夠提供更安全的 USB KEY,動態令牌,一次性短信口令、硬件特征碼等較難復制盜用的認證方法。
另外,如果用戶既有網對網的需求又有移動訪問的需求,那么單一的SSL VPN無法解決所有互聯需求和安全需求,比如SSL VPN就不能解決網對網的互聯問題。因此需要多種安全和互聯需求的用戶,如果能在同等價格下,購買集成SSL ,IPSec VPN的一體化設備將更加劃算。一臺設備結合IPSec和SSL 兩套主流的VPN技術,利用兩者的優勢進行互補,避免了單一VPN設備存在的不足。最大限度地發揮了IPSec /SSL VPN給企業帶來的效益,真正做到一臺設備的投資,兩種設備的功能。
五、網御超級VPN網關
網御星云公司推出市場領先的安全接入VPN 產品,既支持對所有IP級的通信進行加密和認證,實現了數據安全加密的傳輸,具備了傳統IPSec VPN的數據加密功能,也支持無需安裝客戶端、無需改變用戶網絡既有設置、無需考慮NAT穿透問題、無需考慮私有地址沖突問題的SSL VPN功能,無論用戶在何時、無論用戶在何地、無論用戶用何種接入設備、無論用戶用何種接入方式,均可通過網御VPN安全、快捷的訪問加密的內網業務系統,實現業務的無限延伸。
網御VPN網關系列產品由網御VPN安全網關、網御VPN客戶端以及集中管理平臺三部分組成。VPN網關產品(以下簡稱為“VPN”)可為各種規模的企業和政府機構提供相應的網絡數據加解密服務。VPN系列產品是集IPSec、SSL VPN、L2TP、PPTP協議的傳輸數據加密功能,防火墻、防蠕蟲病毒及流量整形等眾多功能于一身的多功能安全保密網關。
網御VPN系列產品特點:
5.1、智能的雙動態隧道
網御VPN網關產品通過集中的VPN策略管理方式成功解決了雙動態IP之間自動建立VPN隧道的問題。網關接入因特網之后首先向企業總部部署的“安全策略服務器(SPS)”進行注冊和身份認證,然后從SPS下載自己的VPN策略;同時SPS負責當策略參數發生改變時,實時通知在線的網關產品更新策略。從而確保所有的網關都能夠獲得最新的策略參數變化情況,使其變為智慧的隧道。
5.2、廣泛的網絡適用
網御VPN解決方案能夠解決企業構建VPN網絡所提出的各種應用需求,包括企業機構內部之間的數據通信、與合作伙伴之間的數據通信、企業分支機構與企業總部之間的數據通信、遠程移動辦公人員與企業內部安全通信以及移動人員之間的安全通信等等。同時,網御VPN解決方案能夠應用于目前國內所有的因特網接入技術,包括高速專線接入、ADSL接入、城域網寬帶接入、有線電視網寬帶接入、小區寬帶接入和普通電話撥號接入等等;而且在因特網接入IP地址方式上,也為用戶提供了最大的選擇空間,無論用戶是否擁有靜態的IP地址,都能夠成功組建自己的VPN網絡,真正實現了“只要能夠接入因特網,就能夠構建企業VPN”的服務承諾。
5.3、靈活的擴展伸縮
網御VPN產品擁有完善的產品系列和多種產品形態,這使得我們可以根據用戶的企業規模、資金投入和應用系統需求,為用戶量體裁衣,制定切實可行的VPN解決方案。無論是分支機構構遍布全國的大型企業集團,還是只有若干辦事機構的小型企業,都能夠獲得滿意的VPN解決方案。
5.4、可靠的安全接入
網御VPN產品是集VPN功能、防火墻功能、主動防御功能于一身的網絡安全產品,通過公安部安全產品評測中心、國家信息安全產品測評中心等多家國內權威安全產品評測機構的評測,并取得VPN行標三級的銷售資質,因此其安全性和成熟性都有很好的保障。
5.5、良好的集中管理
針對企業VPN網絡實際應用需求,通過網御VPN“安全管理中心”、“安全策略服務器”、“證書托管中心”、“VPN遠程控制臺”等產品技術手段,實現了對整個VPN網絡的“集中認證、統一監控、分級管理”的管理模式,既充分保障了整個網絡的安全性,有效減輕了網絡管理人員的負擔,同時對技術力量比較薄弱的分支機構真正實現的設備的“零管理”。
【編輯推薦】
