282012

安装OpenVPN需要主机支持tun,安装PPTP需要主机支持tun和ppp。

首先要检测你的VPS是否开启了TUN和PPP,联系你的服务器提供商,直接询问。如果没有开启,可以要求他们开启。

自行检测的方法:

检测TUN

cat /dev/net/tun

返回:

cat: /dev/net/tun: File descriptor in bad state 说明正常

检测是支持PPP模块

cat /dev/ppp

返回:

cat: /dev/ppp: No such device or address 说明正常 Continue reading »

选择PPTP与OpenVPN

Posted by 冰河 at 17:43 2 Responses » 38,450 Views
122010

使用VPN服务最主要就是通过隐藏你的IP地址实现匿名,以及在网络中发送加密数据提供 隐私。目前有各种各样的VPN连接,但是一般来说,VPN提供商提供PPTP和OpenVPN连 接方式,原因就在于二者的使用简易和效率高。除匿名外,他们都提供不同级别的加 密技术。

PPTP

点对点隧道协议(PPTP)是一种实现虚拟专用网络的方法。 PPTP使用用于封装PPP数据包的TCP及GRE隧道控制通道。

OpenVPN

OpenVPN是一免费开源软件,以路由器或桥接配置和远程访问设备方式实现虚拟专用网络(VPN)创建安全的点 对点或站对站连接的解决方案。它使用SSL / TLS安全加密,具有穿越网络地址转 换(NATs)和防火墙的功能。

PPTP与OpenVPN之比较和选择 ?

在PPTP和OpenVPN二者之间做出选择的一个重要考虑因素,也是我们无法控制的因素,就是有时互联网服务供应商会阻止 PPTP连接。次情况下我们无计可施,只能选择使用OpenVPN。 PPTP具有一些独 特优势,但此刻用OpenVPN会是不错的选择。

PPTP可以应用到几乎所有的操作系统软件,无需安装任何软件。它也兼容许多移动设备,如 iphone,ipad和Windows移动,安装简易。相比之下,OpenVPN的安装比PPTP要复杂一点,但只 要按照正确的指示安装则无太大困难。请注意OpenVPN不兼容移动设备。

PPTP加密技术使用密码作为密钥,它的数据流载有可获 取的混编密码。如果中间有人拦截到了数据流并且破译了密码(尽 管可能但很难),那么他就可以破译你的信息。然而OpenVPN使用非 常强大的加密(Blowfish)技术。即使有人拦 截你的数据流,他们也无计可施。这使得OpenVPN比PPTP安全得多。

如何抉择

如果你希望得到高安全性以及更加关注数据安全传输问题,那么你应该使用OpenVPN。如果您为了简便或者想在移动设备上使用VPN那么PPTP适合你。还有其他协议,例如L2P或IPSec,但他们在用户友好或成本上没有优势。

全面认识VPN(三)

Posted by 冰河 at 09:36 No Responses » 7,561 Views
112010

VPN发展趋势
在 国外,Internet已成为全社会的信息基础设施,企业端应用也大都基于IP,在Internet上构筑应用系统已成为必然趋势,因此基于IP的 VPN业务获得了极大的增长空间。Infornetics Research公司预言,在2001年,全球VPN市场将达到120亿美元。据预测,到2004年,北美的VPN业务收入将增至88亿美元。

在中国,制约VPN的发展、普及的因素大致可分为客观因素和主观因素两方面。

1.客观因素包括因特网带宽和服务质量QoS问题。

在 过去无论因特网的远程接入还是专线接入,以及骨干传输的带宽都很小,QoS更是无法保障,造成企业用户宁愿花费大量的金钱去投资自己的专线网络或是宁愿花 费巨额的长途话费来提供远程接入。现在随着ADSL、DWDM、MPLS等新技术的大规模应用和推广,上述问题将得到根本改善和解决。譬如,过去专线接入 速率最高才2Mbps,而从今年开始,中国的企业用户可以享受到10Mbps,乃至100Mbps的Internet专线接入,而骨干网现在最高已达到 40Gbps,并且今后几年内将发展到上百乃至上千个Gbps,这已不是技术问题而是时间问题。随着互联网技术的发展,可以说VPN在未来几年内将会得到 迅猛发展。

2.主观因素之一是用户总害怕自己内部的数据在Internet上传输不安全。

其实前面介绍的VPN技术已经能够提供足够安全的保障,可以使用户数据不被查看、修改。主观因素之二,也是VPN应用最大的障碍,是客户自身的应用跟不上,只有企业将自己的业务完全和网络联系上,VPN才会有了真正的用武之地。

可 以想象,当我们消除了所有这些障碍因素后,VPN将会成为我们网络生活的主要组成部分。在不远的将来,VPN技术将成为广域网建设的最佳解决方案,它不仅 会大大节省广域网的建设和运行维护费用,而且增强了网络的可靠性和安全性。同时,VPN会加快企业网的建设步伐,使得集团公司不仅仅只是建设内部局域网, 而且能够很快地把全国各地分公司的局域网连起来,从而真正发挥整个网络的作用。VPN对推动整个电子商务、电子贸易将起到不可低估的作用。

Q&A

Q:如何定义VPN?

A:利用公共网络来构建的私家专用网络称为虚拟私有网络(VPN,Virtual Private Network),用于构建VPN的公共网络包括Internet、帧中继、ATM等。在公共网络上组建的VPN象企业现有的私有网络一样提供安全性、可靠性和可治理性等。

“虚拟”的概念是相对传统私有网络的构建方式而言的。对于广域网连接,传统的组网方式是通过远程拨号连接来实现的,而VPN是利用服务提供商所提供的 公共网络来实现远程的广域连接。通过VPN,企业可以以显著更低的本钱连接它们的远地办事机构、出差工作职员以及业务合作伙伴、企业内部资源享用者只需连 入本地ISP的POP(Point Of Presence,接入服务提供点)即可相互通讯;而利用传统的WAN组建技术,彼此之间要有专线相连才可以达到同样的目的。虚拟网组成后,出差员工和外 埠客户只需拥有本地ISP的上网权限就可以访问企业内部资源;假如接入服务器的用户身份认证服务器支持周游,甚至不必拥有本地ISP的上网权限。这对于活 动性很大的出差员工和分布广泛的客户与合作伙伴来说是很有意义的。并且企业开设VPN服务所需的设备很少,只需在资源共享处放置一台VPN服务器就可以 了。

Q:VPN可分为哪几类?

A:VPN分为三种类型:远程访问虚拟网(Access VPN)、企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(Extranet VPN),这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。

Q:VPN应该遵循哪些设计原则?

A:VPN的设计包含以下原则:安全性、网络优化、VPN治理等。

在安全性方面,因为VPN直接构建在公用网上,实现简朴、利便、灵活,但同时其安全题目也更为凸起。企业必需确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。Extranet VPN将企业网扩展到合作伙伴和客户,对安全性提出了更高的要求。

在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很 低,在流量高峰时引起网络梗阻,产生网络瓶颈,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量猜测与流量 控制策略,可以按照优先级分配带宽资源,实现带宽治理,使得各类数据能够被公道地先后发送,并预防梗阻的发生。

全面认识VPN(二)

Posted by 冰河 at 09:31 No Responses » 5,927 Views
112010

寻求适合的VPN方案
VPN 有三种解决方案,用户可以根据自己的情况进行选择。这三种解决方案分别是:远程访问虚拟网(AccessVPN)、企业内部虚拟网 (IntranetVPN)和企业扩展虚拟网(ExtranetVPN),这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及 企业网和相关合作伙伴的企业网所构成的Extranet相对应。

1.如果企业的内部人员移动或有远程办公需要,或者商家要提供B2C的安全访问服务,就可以考虑使用AccessVPN。

AccessVPN 通过一个拥有与专用网络相同策略的共享基础设施,提供对企业内部网或外部网的远程访问。AccessVPN能使用户随时、随地以其所需的方式访问企业资 源。AccessVPN包括模拟、拨号、ISDN、数字用户线路(xDSL)、移动IP和电缆技术,能够安全地连接移动用户、远程工作者或分支机构。如图 1所示。



图1 AceessVPN结构图

AccessVPN最适用于公司内部经常有流动人员远程办公的情况。出差员工利用当地ISP提供的VPN服务,就可以和公司的VPN网关建立私有的隧道连接。RADIUS服务器可对员工进行验证和授权,保证连接的安全,同时负担的电话费用大大降低。

AccessVPN对用户的吸引力在于:

* 减少用于相关的调制解调器和终端服务设备的资金及费用,简化网络;

* 实现本地拨号接入的功能来取代远距离接入或800电话接入,这样能显著降低远距离通信的费用;

* 极大的可扩展性,简便地对加入网络的新用户进行调度;

* 远端验证拨入用户服务(RADIUS)基于标准,基于策略功能的安全服务;

* 将工作重心从管理和保留运作拨号网络的工作人员转到公司的核心业务上来。

2.如果要进行企业内部各分支机构的互联,使用IntranetVPN是很好的方式。

越 来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等,各个分公司之间传统的网络连接方式一般是租用专线。显然,在分公司增多、业务 开展越来越广泛时,网络结构趋于复杂,费用昂贵。利用VPN特性可以在Internet上组建世界范围内的IntranetVPN。利用 Internet的线路保证网络的互联性,而利用隧道、加密等VPN特性可以保证信息在整个IntranetVPN上安全传输。IntranetVPN通 过一个使用专用连接的共享基础设施,连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠 性。如图2所示。



图2 IntranetVPN结构图

IntranetVPN对用户的吸引力在于:

* 减少WAN带宽的费用;

* 能使用灵活的拓扑结构,包括全网络连接;

* 新的站点能更快、更容易地被连接;

* 通过设备供应商WAN的连接冗余,可以延长网络的可用时间。

3.如果是提供B2B之间的安全访问服务,则可以考虑ExtranetVPN。

随 着信息时代的到来,各个企业越来越重视各种信息的处理。希望可以提供给客户最快捷方便的信息服务,通过各种方式了解客户的需要,同时各个企业之间的合作关 系也越来越多,信息交换日益频繁。Internet为这样的一种发展趋势提供了良好的基础,而如何利用Internet进行有效的信息管理,是企业发展中 不可避免的一个关键问题。利用VPN技术可以组建安全的Extranet,既可以向客户、合作伙伴提供有效的信息服务,又可以保证自身的内部网络的安全。

ExtranetVPN通过一个使用专用连接的共享基础设施,将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。如图3所示。



图3 ExtranetVPN结构图

ExtranetVPN对用户的吸引力在于:能容易地对外部网进行部署和管理,外部网的连接可以使用与部署内部网和远端访问VPN相同的架构和协议进行部署。主要的不同是接入许可,外部网的用户被许可只有一次机会连接到其合作人的网络。

VPN的益处
Internet服务提供商(ISP)和企业将是VPN的直接受益者。ISP将VPN作为一项增值业务推向企业,并从企业得到回报。因此,VPN的最终目的是服务于企业,为企业带来可观的经济效益,为现代化企业的信息共享提供安全可靠的途径。

1.ISP受益

对 于ISP来说,VPN提供了巨大商机。世纪互联的薛滔先生介绍说:世纪互联使用的是基于网通的全国网络,有很好的硬件条件。面对IDC在2001年更加激 烈的竞争状况,世纪互联希望在IDC基础之上找到新的增长点。因为网站缩水,所以世纪互联将目光转向大中型传统企业,分析他们对电信资源有哪些需求,结果 觉得VPN是一个机会。世纪互联现在正在探索,VPN的方案和技术已经准备就绪。世纪互联的目标用户是全国有分支机构,信息化建设已经达到一定水平的单 位,世纪互联将整合现有资源,包括网络、托管和技术力量来为用户提供服务。通过向企业提供VPN增值服务,ISP可以与企业建立更加紧密的长期合作关系, 同时充分利用现有网络资源,提高业务量。事实上,VPN用户的数据流量较普通用户要大得多,而且时间上也是相互错开的。VPN用户通常是上班时间形成流量 的高峰,而普通用户的流量高峰期则在工作时间之外。ISP对外提供两种服务,资源利用率和业务量都会大大增加。同时,VPN使ISP能够经济地维持开发客 户群、增加利润、提供增强服务,如视频会议、电子商务、IP电话、远程教学、多媒体商务应用等等。

2.用户受益

哪些用户适于使用VPN呢?在满足基本应用要求后,有三类用户比较适合采用VPN:

1)位置众多,特别是单个用户和远程办公室站点多,例如企业用户、远程教育用户;

2)用户/站点分布范围广,彼此之间的距离远,遍布全球各地,需通过长途电信,甚至国际长途手段联系的用户;

3)带宽和时延要求相对适中;

4)对线路保密性和可用性有一定要求的用户。

北 京红帆沃德通信网络技术有限公司王军先生说:红帆的用户大多是北京的用户,这些用户利用VPN与外地或国外分支机构进行连接。用户的VPN线路大部分是建 立在Cisco或华为路由器之间,利用Internet传送数据。不管用户使用哪个ISP,基本都能满足用户的需求,数据加密效果很好。在与用户接触的过 程中,王先生感觉,分公司遍布全国或国外的企业对VPN需求比较强烈,希望数据在Internet上能够加密传输,并节省费用。还有一点,就是外资、合资 公司使用VPN比较多,而国有企业计算机应用水平低,几乎不用VPN。

相对而言,有四种情况可能并不适于采用VPN:

1)非常重视传输数据的安全性;

2)不管价格多少,性能都被放在第一位的情况;

3)采用不常见的协议,不能在IP隧道中传送应用的情况;

4)大多数通信是实时通信的应用,如语音和视频。但这种情况可以使用公共交换电话网(PSTN)解决方案与VPN配合使用。

对 于企业来说,VPN提供了安全、可靠的 Internet访问通道,为企业进一步发展提供了可靠的技术保障。而且VPN能提供专用线路类型服务,是方便快捷的企业私有网络。企业甚至可以不必建立 自己的广域网维护系统,而将这一繁重的任务交由专业的ISP来完成。由于VPN的出现,用户可以从以下几方面获益:

1)实现网络安全 具有高度的安全性,对于现在的网络是极其重要的。新的服务如在线银行、在线交易都需要绝对的安全,而VPN以多种方式增强了网络的智能和安全性。首先,它 在隧道的起点,在现有的企业认证服务器上,提供对分布用户的认证。另外,VPN支持安全和加密协议,如SecureIP(IPsec)和 Microsoft点对点加密(MPPE)。

2)简化网络设计网络管理者可以使用VPN替代租用线路来实现分支机构的连接。这样就可 以将对远程链路进行安装、配置和管理的任务减少到最小,仅此一点就可以极大地简化企业广域网的设计。另外,VPN通过拨号访问来自于ISP或NSP的外部 服务,减少了调制解调器池,简化了所需的接口,同时简化了与远程用户认证、授权和记账相关的设备和处理。

3)降低成本 VPN可以立即且显著地降低成本。当使用Internet时,实际上只需付短途电话费,却收到了长途通信的效果。因此,借助ISP来建立VPN,就可以节 省大量的通信费用。此外,VPN还使企业不必投入大量的人力和物力去安装和维护WAN设备和远程访问设备,这些工作都可以交给ISP。VPN使用户可以降 低如下的成本:

◆移动用户通信成本。VPN可以通过减少长途费或800费用来节省移动用户的花费。

◆租用线路成本。VPN可以以每条连接的40%到60%的成本对租用线路进行控制和管理。对于国际用户来说,这种节约是极为显著的。对于话音数据,节约金额会进一步增加。

◆ 主要设备成本。VPN通过支持拨号访问外部资源,使企业可以减少不断增长的调制解调器费用。另外,它还允许一个单一的WAN接口服务多种目的,从分支网络 互连、商业伙伴的外连网终端、本地提供高带宽的线路连接到拨号访问服务提供者,因此,只需要极少的WAN接口和设备。由于VPN可以完全管理,并且能够从 中央网站进行基于策略的控制,因此可以大幅度地减少在安装配置远端网络接口所需设备上的开销。另外,由于VPN独立于初始协议,这就使得远端的接入用户可 以继续使用传统设备,保护了用户在现有硬件和软件系统上的投资。

4)容易扩展如果企业想扩大VPN的容量和覆盖范围。企业需做的事情 很少,而且能及时实现:企业只需与新的IPS签约,建立账户;或者与原有的ISP重签合约,扩大服务范围。在远程办公室增加VPN能力也很简单:几条命令 就可以使Extranet路由器拥有Internet和VPN能力,路由器还能对工作站自动进行配置。

5)可随意与合作伙伴联网 在过去,企业如果想与合作伙伴连网,双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路。有了VPN之后,这种协商也毫无必要,真正达到了要连就连,要断就断。

6)完全控制主动权 借助VPN,企业可以利用ISP的设施和服务,同时又完全掌握着自己网络的控制权。比方说,企业可以把拨号访问交给ISP去做,由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。

7)支持新兴应用 许多专用网对许多新兴应用准备不足,如那些要求高带宽的多媒体和协作交互式应用。VPN则可以支持各种高级的应用,如IP语音,IP传真,还有各种协议,如RSIP、IPv6、MPLS、SNMPv3等。

正由于VPN能给用户带来诸多的好处,VPN在全球发展得异常红火,在北美和欧洲,VPN已经是一项相当普遍的业务;在亚太地区,该项服务也迅速开展起来。

全面认识VPN(一)

Posted by 冰河 at 09:30 No Responses » 19,229 Views
112010

在国外,VPN已经迅速发展起来,2001年全球VPN市场将达到120亿美元。在中国,虽然人们对VPN的定义还有些模糊不清,对VPN的安全性、服务质量(QoS)等方面存有疑虑,但互联网和电子商务的快速发展使我们有理由相信,中国的VPN市场将逐渐热起来。

对 国内的用户来说,VPN(虚拟专用网,Virtual Private Network)最大的吸引力在哪里?是价格。据估算,如果企业放弃租用专线而采用VPN,其整个网络的成本可节约21%-45%,至于那些以电话拨号方 式连网存取数据的公司,采用VPN则可以节约通讯成本50%-80%。

为什么VPN可以节约这么多的成本?这就先要从VPN的概念谈起。

认识VPN
现 在有很多连接都被称作VPN,用户经常分不清楚,那么一般所说的VPN到底是什么呢?顾名思义,虚拟专用网不是真的专用网络,但却能够实现专用网络的功 能。虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在虚拟专用 网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。IETF草案理解基于IP的VPN为:”使用 IP机制仿真出一个私有的广域网”是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路, 而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。

用户现在在 电信部门租用的帧中继(Frame Relay)与ATM等数据网络提供固定虚拟线路(PVC-Permanent Virtual Circuit)来连接需要通讯的单位,所有的权限掌握在别人的手中。如果用户需要一些别的服务,需要填写许多的单据,再等上相当一段时间,才能享受到新 的服务。更为重要的是两端的终端设备不但价格昂贵,而且管理也需要一定的专业技术人员,无疑增加了成本,而且帧中继、ATM数据网络也不会像 Internet那样,可立即与世界上任何一个使用Internet网络的单位连接。而在Internet上,VPN使用者可以控制自己与其他使用者的联 系,同时支持拨号的用户。

所以我们说的虚拟专用网一般指的是建筑在Internet上能够自我管理的专用网络,而不是Frame Relay或ATM等提供虚拟固定线路(PVC)服务的网络。以IP为主要通讯协议的VPN,也可称之为IP-VPN。

由于VPN是在Internet上临时建立的安全专用虚拟网络,用户就节省了租用专线的费用,在运行的资金支出上,除了购买VPN设备,企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用,也节省了长途电话费。这就是VPN价格低廉的原因。

越 来越多的用户认识到,随着Internet和电子商务的蓬勃发展,经济全球化的最佳途径是发展基于Internet的商务应用。随着商务活动的日益频繁, 各企业开始允许其生意伙伴、供应商也能够访问本企业的局域网,从而大大简化信息交流的途径,增加信息交换速度。这些合作和联系是动态的,并依靠网络来维持 和加强,于是各企业发现,这样的信息交流不但带来了网络的复杂性,还带来了管理和安全性的问题,因为Internet是一个全球性和开放性的、基于 TCP/IP 技术的、不可管理的国际互联网络,因此,基于Internet的商务活动就面临非善意的信息威胁和安全隐患。

还有一类用户,随着自身的的发展壮大与跨国化,企业的分支机构不仅越来越多,而且相互间的网络基础设施互不兼容也更为普遍。因此,用户的信息技术部门在连接分支机构方面也感到日益棘手。

用户的需求正是虚拟专用网技术诞生的直接原因。

用户需要的VPN
一.VPN的特点

在实际应用中,用户需要的是什么样的VPN呢?一般情况下,一个高效、成功的VPN应具备以下几个特点:

1.安全保障

虽 然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点 的连接,称之为建立一个隧道,可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证了数据的私有性和安全 性。在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视 和篡改,并且要防止非法用户对网络资源或私有信息的访问。ExtranetVPN将企业网扩展到合作伙伴和客户,对安全性提出了更高的要求。

2.服务质量保证(QoS)

VPN 网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户,提供广泛的连接和覆盖性是保证 VPN服务的一个主要因素;而对于拥有众多分支机构的专线VPN网络,交互式的内部企业网应用则要求网络能提供良好的稳定性;对于其它应用(如视频等)则 对网络提出了更明确的要求,如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面,构建VPN的另一重要需 求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,产生网络瓶颈, 使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带 宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。

3.可扩充性和灵活性

VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。

4.可管理性

从 用户角度和运营商角度应可方便地进行管理、维护。在VPN管理方面,VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。 虽然可以将一些次要的网络管理任务交给服务提供商去完成,企业自己仍需要完成许多网络管理任务。所以,一个完善的VPN管理系统是必不可少的。VPN 管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、 QoS管理等内容。

二.自建还是外包

由于VPN低廉的使用成本和良好的安全性,许多大型企业及其分布在各地的办事 处或分支机构成了VPN顺理成章的用户群。对于那些最需要VPN业务的中小企业来说,一样有适合的VPN策略。当然,不论何种VPN策略,它们都有一个基 本目标:在提供与现有专用网络基础设施相当或更高的可管理性、可扩展性以及简单性的基础之上,进一步扩展公司的网络连接。

1.大型企业自建VPN

大 型企业用户由于有雄厚的资金投入做保证,可以自己建立VPN,将VPN设备安装在其总部和分支机构中,将各个机构低成本且安全地连接在一起。企业建立自己 的VPN,最大的优势在于高控制性,尤其是基于安全基础之上的控制。一个内部VPN能使企业对所有的安全认证、网络系统以及网络访问情况进行控制,建立端 到端的安全结构,集成和协调现有的内部安全技术。

企业还可以确保得到业内最好的技术以满足自身的特殊需要,这要优于ISP所提供的普通服务。而且,建立内部VPN能使企业有效节省VPN的运作费用。企业可以节省用于外包管理设备的额外费用,并且能将现有的远程访问和端到端的网络集成起来,以获取最佳性价比的VPN。

虽 然VPN外包能避免技术过时,但并不意味着企业可以节省开支。因为,企业最终还要为高额产品支付费用,以作为使用新技术的代价。虽然VPN外包可以简化企 业网络部署,但这同样降低了企业对公司网的控制等级。网络越大,企业就越依赖于外包VPN供应商。因此,自建VPN是大型企业的最好选择。

2.中小型企业外包VPN

虽 然每个中小型企业都是相对集中和固定的,但是部门与部门之间、企业与其业务相关企业之间的联系依然需要廉价而安全的信息沟通,在这种情况下就用得上 VPN。电信企业、IDC目前提供的VPN服务,更多的是面向中小企业,因为可以整合现有资源,包括网络优势、托管和技术力量来为中小企业提供整体的服 务。中小型企业如果自己购买VPN设备,则财务成本较高,而且一般中小型企业的IT人员短缺、技能水平不足、资金能力有限,不足以支持VPN,所以,外包 VPN是较好的选择。

* 外包VPN比企业自己动手建立VPN要快得多,也更为容易。

* 外包VPN的可扩展性很强,易于企业管理。有统计表明,使用外包VPN方式的企业,可以支持多于2300名用户,而内部VPN平均只能支持大约150名用户。而且,随着用户数目的增长,对用于监控、管理、提供IT资源和人力资源的要求也将呈指数增长。

* 企业VPN必须将安全和性能结合在一起,然而,实际情况中两者不能兼顾。例如,对安全加密级别的配置经常降低VPN的整体性能。而通过提供VPN外包业务的专业ISP的统一管理,可大大提高VPN的性能和安全。ISP的VPN专家还可帮助企业进行VPN决策。

* 对服务水平协议(SLA)的改进和服务质量(QoS)保证,为企业外包VPN方式提供了进一步的保证。

三.VPN安全技术

由于传输的是私有信息,VPN用户对数据的安全性都比较关心。

目 前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)。

1. 隧道技术是VPN的基本技术,类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第 二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传 输。第二层隧道协议有L2F、PPTP、L2TP等。L2TP协议是目前IETF的标准,由IETF融合PPTP与L2F而形成。

第 三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等。IPSec(IP Security)是由一组RFC文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在IP层提供安全保障。

2.加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。

3. 密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP 主要是利用Diffie-Hellman的演算法则,在网络上传输密钥;在ISAKMP中,双方都有两把密钥,分别用于公用、私用。

4.身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。

四.堵住安全漏洞

安全问题是VPN的核心问题。目前,VPN的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来实现的,可以保证企业员工安全地访问公司网络。

但 是,如果一个企业的VPN需要扩展到远程访问时,就要注意,这些对公司网直接或始终在线的连接将会是黑客攻击的主要目标。因为,远程工作员工通过防火墙之 外的个人计算机可以接触到公司预算、战略计划以及工程项目等核心内容,这就构成了公司安全防御系统中的弱点。虽然,员工可以双倍地提高工作效率,并减少在 交通上所花费的时间,但同时也为黑客、竞争对手以及商业间谍提供了无数进入公司网络核心的机会。

但是,企业并没有对远距离工作的安全 性予以足够的重视。大多数公司认为,公司网络处于一道网络防火墙之后是安全的,员工可以拨号进入系统,而防火墙会将一切非法请求拒之其外;还有一些网络管 理员认为,为网络建立防火墙并为员工提供VPN,使他们可以通过一个加密的隧道拨号进入公司网络就是安全的。这些看法都是不对的。

在 家办公是不错,但从安全的观点来看,它是一种极大的威胁,因为,公司使用的大多数安全软件并没有为家用计算机提供保护。一些员工所做的仅仅是进入一台家用 计算机,跟随它通过一条授权的连接进入公司网络系统。虽然,公司的防火墙可以将侵入者隔离在外,并保证主要办公室和家庭办公室之间VPN的信息安全。但问 题在于,侵入者可以通过一个被信任的用户进入网络。因此,加密的隧道是安全的,连接也是正确的,但这并不意味着家庭计算机是安全的。

黑 客为了侵入员工的家用计算机,需要探测IP地址。有统计表明,使用拨号连接的IP地址几乎每天都受到黑客的扫描。因此,如果在家办公人员具有一条诸如 DSL的不间断连接链路(通常这种连接具有一个固定的IP地址),会使黑客的入侵更为容易。因为,拨号连接在每次接入时都被分配不同的IP地址,虽然它也 能被侵入,但相对要困难一些。一旦黑客侵入了家庭计算机,他便能够远程运行员工的VPN客户端软件。因此,必须有相应的解决方案堵住远程访问VPN的安全 漏洞,使员工与网络的连接既能充分体现VPN的优点,又不会成为安全的威胁。在个人计算机上安装个人防火墙是极为有效的解决方法,它可以使非法侵入者不能 进入公司网络。当然,还有一些提供给远程工作人员的实际解决方法:

* 所有远程工作人员必须被批准使用VPN;

* 所有远程工作人员需要有个人防火墙,它不仅防止计算机被侵入,还能记录连接被扫描了多少次;

* 所有的远程工作人员应具有入侵检测系统,提供对黑客攻击信息的记录;

* 监控安装在远端系统中的软件,并将其限制只能在工作中使用;

* IT人员需要对这些系统进行与办公室系统同样的定期性预定检查;

* 外出工作人员应对敏感文件进行加密;

* 安装要求输入密码的访问控制程序,如果输入密码错误,则通过Modem向系统管理员发出警报;

* 当选择DSL供应商时,应选择能够提供安全防护功能的供应商。

© 2009 - 2024 冰河的博客