選擇合適的VPN 建造功能均衡的VPN
VPN可以擴大局域網的覆蓋范圍,而不需要擁有或者租賃專用線路,其成本通常比專線低得多。企業可以使用VPN讓遠程用戶和移動用戶接入網絡,把分散在不同地區的分支機構連入統一網絡,并且能夠遠程使用依靠內部服務器的應用系統。
VPN可以使用兩種機制:其一,向可信賴的通信提供商租賃專用線,這種VPN名叫可信VPN(TrustedVPN);其二,通過公共因特網傳送經過加密的流量,名叫安全VPN(SecureVPN)。使用基于可信VPN的安全VPN名為混合VPN(HybridVPN),把兩種安全VPN(譬如IPSec和SSL)結合到一個網關也屬于混合VPN。
可信VPN
這些年來,可信VPN已從向電信供應商租賃原始專用線,改為向因特網提供商租賃專用IP網絡線路。在IP網絡上實施可信VPN所用的技術主要有:異步傳輸方式(ATM)、幀中繼和多協議標記交換(MPLS)。
ATM和幀中繼在數據鏈路層工作,數據鏈路層是開放系統互連(OSI)模型的第二層,它基于分組交換網絡,MPLS模擬了線路交換網絡的一些屬性,它在通常所謂的“第2.5層”工作,這一層介于數據鏈路層和網絡層之間。MPLS正開始取代ATM和幀中繼,實施面向大型企業及服務提供商的可信VPN。
安全VPN
安全VPN可以使用IPSec、第二層隧道協議(L2TP,Layer2TunnelingProtocol)、安全套接層(SSL,SecuritySocketLayer)3.0、傳輸層安全(TLS,TransportLayerSecurity)、第二層轉發協議(L2F,Layer2TunnelingProtocol)或者點對點隧道協議(PPTP,Point-to-PointTunnelingProtocol)。
IPSec即IP安全,是在網絡層對IP數據包進行加密和驗證的一項標準。IPSec有一系列加密協議,它的兩個主要用途是:保護網絡數據包安全和交換加密密鑰。有些安全專家認為,自上世紀90年代末以來,IPSec是VPN的優先協議。支持IPSec的操作系統包括WindowsXP/2000/2003/Vista、Linux2.6及更高版本、MacOSX、NetBSD、FreeBSD、OpenBSD、Solaris、AIX、HP-UX和VxWorks。許多廠商都提供IPSecVPN服務器和客戶機軟件。
微軟在Windows95OSR2以后的所有版本里面都添加了PPTP客戶機軟件,并且在WindowsNT4.0以后的所有服務器產品中添加了PPTP服務器軟件。Linux、MacOSX、PalmPDA設備及WindowMobile2003設備里都有PPTP客戶端軟件。
PPTP可以通過密碼身份驗證協議(PAP)、可擴展身份驗證協議(EAP)等方法增強安全性,可以使遠程用戶通過撥入ISP直接連接Internet或其他網絡安全地訪問企業網。它具有隨處可得、免費、易于安裝等優點。
Schneier和黑客組織LophtHeavyIndustries的Mudge在前些年發現并公布了微軟PPTP存在的安全漏洞。微軟利用MS-CHAPv2和微軟點對點加密(MPPE)協議迅速解決了這些問題,后來Schneier和Mudge指出:微軟PPTP的安全性仍取決于每個用戶的密碼有多安全。微軟于是在操作系統中執行密碼強度策略,從而解決了這個問題,但Schneier和Mudge仍建議在構建安全VPN時采用IPSec,而不是采用PPTP,因為前者天生更安全。
L2F是由思科公司開發的一種比較舊的協議。L2TP借鑒了L2F和PPTP的概念,從而成為數據鏈路層協議。L2TP可以提供隧道,但不提供安全或者驗證,L2TP可以在隧道里面傳輸PPP會話。思科將L2TP實施在路由器中,并且有好幾種采用開放源代碼的L2TP是針對Linux實施的。
L2TP/IPSec結合了L2TP的隧道和IPSec的安全通道功能,這樣一來,安全的因特網密鑰交換(IKE)比純粹的IPSec更容易實現。自2002年以來,微軟為Windows98/ME/NT提供了免費的L2TP/IPSecVPN客戶機軟件,并且隨同WindowsXP/2000/2003/Vista交付L2TP/IPSecVPN客戶機軟件,WindowsServer2003和Windows2000Server都包括L2TP/IPSec服務器軟件。
SSL和TLS都是在OSI模型的第4層保護數據流安全的協議。SSL3.0及其后續版本TLS1.0通常都與能夠實現安全Web瀏覽的HTTP(名為HTTPS)一起使用。不過,SSL/TLS也可以用來創建VPN隧道。譬如,OpenVP就是一款采用開放源代碼的VPN軟件包,適用于Linux、xBSD、MacOSX、PocketPC和Windows2000/XP/2003/Vista。OpenVP使用SSL來提供對數據通道和控制通道進行加密的功能。
VPN的安全風險
在某些時候,使用VPN會讓公司面臨潛在的安全風險。雖然如今使用的VPN大多數就其本身而言相當安全,但VPN加大了合理保護網絡邊界安全的難度,網絡管理員必須對通過VPN連接到網絡的計算機和直接連接到LAN的計算機實行同樣的安全標準。
結合使用兩個VPN可能會把一家公司的網絡暴露在另一家公司的網絡面前。此外,如果PCAnywhere、GoToMyPC或者VNC等遠程控制軟件與VPN一起使用,公司的網絡可能會暴露在駐留本身并沒有連接到VPN的遠程計算機上的惡意軟件面前。
建造功能均衡的VPN
因為安全VPN依靠加密來保證性能,而一些加密功能屬于計算密集型,所以使用頻繁的VPN可能會讓服務器不堪重負。管理員通常可以把同時連接的數量限制在服務器能夠處理的水平,從而管理服務器的負載。
如果試圖連接到VPN的用戶數量突然達到高峰,譬如在導致交通中斷的暴風雨期間,員工可能會發現自己無法連接上VPN,因為所有VPN端口都處于忙碌狀態。管理員應確保不需要VPN的關鍵應用系統正常運行,例如設置代理服務器或者因特網消息訪問協議(IMAP)服務器,讓員工可以在家里或者在路上使用電子郵件。
就特定的情形而言,決定使用IPSec還是SSL/TLS可能很難。要考慮的一個因素就是,SSL/TLS能夠透過基于網絡地址轉換(NAT)的防火墻工作,IPSec卻不能,不過這兩種協議都可以透過并不轉換地址的防火墻工作。
IPSec可以對兩臺計算機之間傳輸的所有IP流量進行加密,而SSL/TLS只針對某種應用進行加密。SSL/TLS使用成本高昂的異步加密功能來建立連接,并使用更有效的同步加密功能來保護通路的安全。
在遠程應用中,管理員可能會混合搭配各種協議,以求VPN在性能和安全之間獲得最佳平衡。例如,客戶機使用由SSL/TLS保護的瀏覽器,通過防火墻連接到基于Web的前端程序;Web服務器使用IPSec連接到應用服務器;而應用服務器可能使用SSL,跨另一個防火墻連接到數據庫服務器。另外,使用專門的服務器硬件有時可以增強VPN的擴展性。
【編輯推薦】
