的用途及其分类

5.4.2　VPN的用途及其分类

虚拟专用网（VPN）被定义为通过一个公共网络建立的一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道，它是对企业内部网的扩展。如图5-20所示：

图5-20　VPN模型（基于IPv6/IPSec的移动IPVPN模型）

VPN可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。通过将数据流转移到低成本的IP网络上，一个企业的VPN解决方案将大幅度地减少用户花费在WAN上和远程网络连接上的费用。同时，这将简化网络的设计和管理，加速连接新的用户和网站。随着企业的商业服务不断发展，企业的VPN解决方案可以使企业将精力集中到自己的生意上，而不是网络上。VPN可用于不断增长的移动用户的全球Internet接入以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路：可用于有效地连接到商业伙伴和用户的安全“外连网VPN”。企业级的VPN解决方案使得这一切更加易于管理，更加经济。

然而选择一个合适的VPN解决方案或产品对一个管理人员来说是困难的，因为每一种解决方案都可提供不同程度的安全性、可用性，并且都各有优缺点。为了选择一个合适的安全产品，决策者应该首先明确他们公司的商业需求，例如，公司是需要将少数几个可信的远地雇员连到公司总部，还是希望为每个分支机构、合作伙伴、供应商、顾客和远地雇员都建立一个安全连接通道。无论如何，一个VPN至少应该能提供如下功能：

①加密数据，以保证通过公网传输的信息即使被他人截获也不会泄露。

②信息认证和身份认证，保证信息的完整性、合法性，并能鉴别用户的身份。

③提供访问控制，确保不同的用户有不同的访问权限。

基于Internet建立VPN，如果实施得当，可以保护网络免受病毒感染、防止欺骗、防商业间谍、增强访问控制、增强系统管理、加强认证等。在VPN提供的功能中，认证和加密是最重要的。而访问控制相对比较复杂，因为它的配置与实施策略和所用的工具紧密相关。VPN的三种功能必须相互配合，才能保证真正的安全性。

在连接到Internet之前，公司应指定相应的安全策略，清楚地说明不同身份的用户可以访问哪些资源。一个更安全的解决方案可能包括防火墙、路由器、代理服务器、VPN软件或硬件。它们中的任何一种设备可能提供足够的安全通信，但是采用何种设备取决于安全策略。

以上介绍了VPN的功能和用途，下面将从不同角度对VPN的分类作介绍。

（1）按VPN的应用平台分类

VPN的应用平台可分为3类：软件平台、专用硬件平台及辅助硬件平台。

①软件平台VPN

当对数据连接速率要求不高，对性能和安全性需求不强时，可以利用一些软件公司所提供的完全基于软件的VPN产品来实现简单的VPN功能。如CheckPoint Software公司的VPN-1产品。

②专用硬件平台VPN

使用专用硬件平台的VPN设备可以满足企业和个人用户对高数据安全及通信性能的需求，尤其是从通信性能的角度来看，指定的硬件平台可以完成数据加密等对CPU处理能力需求很高的功能。提供这些平台的硬件厂商比较多，如Nortel、Cisco、3Com等。

③辅助硬件平台VPN

这类VPN的平台介于软件平台和指定硬件平台之间。辅助硬件平台的VPN主要是指以现有网络设备为基础，再增添适当的VPN软件以实现VPN的功能。

（2）按VPN的协议分类

VPN从协议方面来分类主要是指从构建VPN的隧道协议来分类。VPN的隧道协议可分为第二层隧道协议和第三层隧道协议。第二层隧道协议最为典型的有PPTP（点到点隧道协议，Point to Point Tunneling Protocol）、L2F（第二层转发，Level Two Forwarding）、L2TP（第二层隧道协议，Level Two Tunneling Protocol）等。第三层隧道协议有GRE（通用路由封装，Generic Route Encapsulation）、IPSec（Internet协议安全，Internet Protocol Security）等。

第二层隧道和第三层隧道的本质区别在于用户的数据包是被封装在哪一层协议的数据包在隧道里传输的。第二层隧道协议和第三层隧道协议一般来说是分别使用的，但是合理地应用两层协议将具有更好的安全性。例如：L2TP与IPSec协议相互配合使用，可以使L2TP隧道更加安全。

（3）按VPN的部署模式分类

VPN可以通过部署模式来区分，部署模式从本质上描述了VPN的隧道是如何建立和终止的。一般有3种VPN部署模式。

①端到端（End－to－End）模式

该模式是典型的由自建VPN的客户所采用的模式。在该模式中隧道的发起点和终止点都是用户的网络设备，对ISP是完全通明的。在端到端模式中，最常见的隧道协议是IPSec和PPTP。

②供应商-企业（Provide－Enterprise）模式

在该模式中，隧道通常在VPN服务器或路由器中创建，在到达客户前端前关闭。在该模式中，客户不需要购买专门的隧道软件，由服务商和企业的设备来建立通道并验证，然而，客户仍然可以通过加密数据实现端到端的全面的安全性。在该模式中，最常见的隧道协议有L2TP、L2F和PPTP。

③内部供应商（Intra－Provider）模式

这是最受服务商欢迎的模式，因为在该模式中，服务商保持了对整个VPN设施的控制。在该模式中，隧道的建立和终止都是在服务商的网络设施中实现的。对客户来说，该模式最大优点就是他们不需要做任何实现VPN的工作。客户不需要增加任何设备或软件投资，整个网络都由服务商来建立和维护。缺点是客户不能亲自掌控通信的安全保障。

（4）按VPN的服务类型分类

根据不同需要，不同商业环境对VPN的要求和VPN的服务类型的不同，可以把VPN分为三种类型：

①内部网VPN

内部网是通过公共网络将一个组织的各分支机构的LAN连接而成的网络。这种类型的LAN到LAN的连接带来的风险最小，因为公司通常认为他们的分支机构是可信的，这种方式连接而成的网络被称为Intranet，可把它作为公司网络的扩展。

当一个数据传输通道的两个端点被认为是可信的时候，公司可以选择“内部网VPN”解决方案，安全性主要在于加强两个VPN服务器之间加密和认证手段上，大量的数据经常需要通过VPN在局域网之间传递。通过把中心数据库或其他计算资源连接起来的各个局域网可以看成是内部网的一部分。

②远程访问VPN

人们现在开始意识到通过Internet的远程拨号访问所带来的好处。用Internet作为远程访问的骨干网比传统的方案更容易实现，而且花钱更少。如果一个用户无论是在家里还是在旅途之中，他想同公司的内部网建立一个安全连接，则可以用“远程访问VPN”来实现。如图5-21所示。典型的远程访问VPN是用户通过本地的Internet服务提供商（ISP）登录到Internet上，并在所在的办公室和公司内部网之间建立一条加密信道。

图5-21　远程访问VPN

公司往往制定一种“透明的访问策略”，即使在远处的雇员也能像他们坐在公司总部的办公室一样自由地访问公司的信息资源。因此首先要考虑的是所有端到端的数据都要加密，并且只有特定的接收者才能解密。大多数VPN除了加密以外还要考虑加密密码的强度、认证方法。这种VPN要对个人用户的身份进行认证，而不仅认证IP地址，这样公司就能知道哪个用户欲访问公司的网络。认证后决定是否允许用户对网络资源的访问。认证技术可以包括用一次口令、Kerheros认证方案、令牌卡、智能卡或者是指纹。一旦一个用户同公司的VPN服务器进行了认证，根据他的访问权限表，他就有一定程度的访问权限。每个人的访问权限表由网络管理员制定，并且要符合公司的安全策略。

有较高安全度的远程访问VPN应能截取到特定主机的信息流，有加密、身份验证、过滤等功能。

③外连网VPN

外连网VPN为公司合作伙伴、顾客、供应商和在远地的公司雇员提供安全性。如图5-22。它应能保证包括TCP和UDP服务在内的各种应用服务的安全，例如E－mail、HTTP、FTP、Real Audio、数据库的安全以及一些应用程序如Java、ActiveX的安全。因为不同公司的网络环境是不相同的，一个可行的外部网VPN方案应能适用于各种操作平台、协议、各种不同的认证方案及加密算法。

图5-22　外连网VPN

外连网VPN的主要目标就是要保证数据在传输过程中不被修改，保护网络资源不受外部威胁。安全的外连网VPN要求公司在同它的顾客、合作伙伴及在外地的雇员之间经Internet建立端到端的连接时，必须通过VPN服务器才能进行。在这种系统上，网络管理员可以为合作伙伴的职员指定特定的许可权，例如可以允许对方的销售经理访问一个受到保护的服务器上的销售报告。

外连网VPN中应是一个由加密、认证和访问控制功能组成的集成系统。通常公司将VPN代理服务器放在一个不能穿透的防火墙隔离层之后，防火墙阻止所有来历不明的信息传输。所有经过过滤后的数据通过唯一的入口传到VPN服务器，VPN服务器再根据安全策略来进一步过滤。

外连网VPN并不假定连接的公司双方之间存在双向信任关系。外连网VPN在Internet内打开一条隧道（Tunnel），并保证经包过滤后信息传输的安全。当公司将很多商业活动都通过公共网络进行交易时，一个外部网VPN应该用高强度的加密算法，密钥应选在128bits以上。此外应支持多种认证方案和加密算法，因为商业伙伴和顾客可能使用不同的网络结构和操作平台。

外连网VPN应能根据尽可能多的参数来控制对网络资源的访问，参数包括源地址、目的地址、应用程序的用途、所用的加密和认证类型、个人身份、工作组、子网等。管理员应能对个人用户进行身份认证，而不仅仅根据IP地址。