全面認識VPN(一),網際網路營銷

狼人2007發表於2019-05-10

  在國外,VPN已經迅速發展起來,2001年全球VPN市場將達到120億美元。在中國,雖然人們對VPN的定義還有些模糊不清,對VPN的安全性、服務質量(QoS)等方面存有疑慮,但網際網路和電子商務的快速發展使我們有理由相信,中國的VPN市場將逐漸熱起來。 對國內的使用者來說,VPN(虛擬專用網,Virtual Private Network)最大的吸引力在哪裡?是價格。據估算,如果企業放棄租用專線而採用VPN,其整個網路的成本可節約21%-45%,至於那些以電話撥號方式連網存取資料的公司,採用VPN則可以節約通訊成本50%-80%。 
  為什麼VPN可以節約這麼多的成本?這就先要從VPN的概念談起。 認識VPN 現在有很多連線都被稱作VPN,使用者經常分不清楚,那麼一般所說的VPN到底是什麼呢?顧名思義,虛擬專用網不是真的專用網路,但卻能夠實現專用網路的功能。虛擬專用網指的是依靠ISP(Internet服務提供商)和其它NSP(網路服務提供商),在公用網路中建立專用的資料通訊網路的技術。在虛擬專用網中,任意兩個節點之間的連線並沒有傳統專網所需的端到端的物理鏈路,而是利用某種公眾網的資源動態組成的。IETF草案理解基於IP的VPN為:”使用 IP機制模擬出一個私有的廣域網”是通過私有的隧道技術在公共資料網路上模擬一條點到點的專線技術。所謂虛擬,是指使用者不再需要擁有實際的長途資料線路,而是使用Internet公眾資料網路的長途資料線路。所謂專用網路,是指使用者可以為自己制定一個最符合自己需求的網路。 
  使用者現在在電信部門租用的幀中繼(Frame Relay)與ATM等資料網路提供固定虛擬線路(PVC-Permanent Virtual Circuit)來連線需要通訊的單位,所有的許可權掌握在別人的手中。如果使用者需要一些別的服務,需要填寫許多的單據,再等上相當一段時間,才能享受到新的服務。更為重要的是兩端的終端裝置不但價格昂貴,而且管理也需要一定的專業技術人員,無疑增加了成本,而且幀中繼、ATM資料網路也不會像 Internet那樣,可立即與世界上任何一個使用Internet網路的單位連線。而在Internet上,VPN使用者可以控制自己與其他使用者的聯絡,同時支援撥號的使用者。 
  所以我們說的虛擬專用網一般指的是建築在Internet上能夠自我管理的專用網路,而不是Frame Relay或ATM等提供虛擬固定線路(PVC)服務的網路。以IP為主要通訊協議的VPN,也可稱之為IP-VPN。 由於VPN是在Internet上臨時建立的安全專用虛擬網路,使用者就節省了租用專線的費用,在執行的資金支出上,除了購買VPN裝置,企業所付出的僅僅是向企業所在地的ISP支付一定的上網費用,也節省了長途電話費。這就是VPN價格低廉的原因。 越來越多的使用者認識到,隨著Internet和電子商務的蓬勃發展,經濟全球化的最佳途徑是發展基於Internet的商務應用。隨著商務活動的日益頻繁,各企業開始允許其生意夥伴、供應商也能夠訪問本企業的區域網,從而大大簡化資訊交流的途徑,增加資訊交換速度。這些合作和聯絡是動態的,並依靠網路來維持和加強,於是各企業發現,這樣的資訊交流不但帶來了網路的複雜性,還帶來了管理和安全性的問題,因為Internet是一個全球性和開放性的、基於 TCP/IP 技術的、不可管理的國際網際網路絡,因此,基於Internet的商務活動就面臨非善意的資訊威脅和安全隱患。 
  還有一類使用者,隨著自身的的發展壯大與跨國化,企業的分支機構不僅越來越多,而且相互間的網路基礎設施互不相容也更為普遍。因此,使用者的資訊科技部門在連線分支機構方面也感到日益棘手。 使用者的需求正是虛擬專用網技術誕生的直接原因。 

使用者需要的VPN 

  一. VPN的特點 
  在實際應用中,使用者需要的是什麼樣的VPN呢?一般情況下,一個高效、成功的VPN應具備以下幾個特點: 

  • 安全保障 

   雖然實現VPN的技術和方式很多,但所有的VPN均應保證通過公用網路平臺傳輸資料的專用性和安全性。在非面向連線的公用IP網路上建立一個邏輯的、點對點的連線,稱之為建立一個隧道,可以利用加密技術對經過隧道傳輸的資料進行加   密,以保證資料僅被指定的傳送者和接收者瞭解,從而保證了資料的私有性和安全性。在安全性方面,由於VPN直接構建在公用網上,實現簡單、方便、靈活,但同時其安全問題也更為突出。企業必須確保其VPN上傳送的資料不被攻擊者窺   視和篡改,並且要防止非法使用者對網路資源或私有資訊的訪問。ExtranetVPN將企業網擴充套件到合作伙伴和客戶,對安全性提出了更高的要求。

  • 服務質量保證(QoS) 

   VPN 網應當為企業資料提供不同等級的服務質量保證。不同的使用者和業務對服務質量保證的要求差別較大。如移動辦公使用者,提供廣泛的連線和覆蓋性是保證 VPN服務的一個主要因素;而對於擁有眾多分支機構的專線VPN網路,互動式    的內部企業網應用則要求網路能提供良好的穩定性;對於其它應用(如視訊等)則對網路提出了更明確的要求,如網路時延及誤位元速率等。所有以上網路應用均要求網路根據需要提供不同等級的服務質量。在網路優化方面,構建VPN的另一    重要需求是充分有效地利用有限的廣域網資源,為重要資料提供可靠的頻寬。廣域網流量的不確定性使其頻寬的利用率很低,在流量高峰時引起網路阻塞,產生網路瓶頸,使實時性要求高的資料得不到及時傳送;而在流量低谷時又造成大    量的網路頻寬空閒。QoS通過流量預測與流量控制策略,可以按照優先順序分配頻寬資源,實現頻寬管理,使得各類資料能夠被合理地先後傳送,並預防阻塞的發生。 

  • 可擴充性和靈活性 

   VPN必須能夠支援通過Intranet和Extranet的任何型別的資料流,方便增加新的節點,支援多種型別的傳輸媒介,可以滿足同時傳輸語音、影像和資料等新應用對高質量傳輸以及頻寬增加的需求。 

  • 可管理性 

   從使用者角度和運營商角度應可方便地進行管理、維護。在VPN管理方面,VPN要求企業將其網路管理功能從區域網無縫地延伸到公用網,甚至是客戶和合作夥伴。雖然可以將一些次要的網路管理任務交給服務提供商去完成,企業自己仍需    要完成許多網路管理任務。所以,一個完善的VPN管理系統是必不可少的。VPN 管理的目標為:減小網路風險、具有高擴充套件性、經濟性、高可靠性等優點。事實上,VPN管理主要包括安全管理、裝置管理、配置管理、訪問控制列表管理、    QoS管理等內容。 
  二. 自建還是外包 
  由於VPN低廉的使用成本和良好的安全性,許多大型企業及其分佈在各地的辦事處或分支機構成了VPN順理成章的使用者群。對於那些最需要VPN業務的中小企業來說,一樣有適合的VPN策略。當然,不論何種VPN策略,它們都有一個基本目標:在提供與現有專用網路基礎設施相當或更高的可管理性、可擴充套件性以及簡單性的基礎之上,進一步擴充套件公司的網路連線。 

  1. 大型企業自建VPN,大型企業使用者由於有雄厚的資金投入做保證,可以自己建立VPN,將VPN裝置安裝在其總部和分支機構中,將各個機構低成本且安全地連線在一起。企業建立自己的VPN,最大的優勢在於高控制性,尤其是基於安全基礎之上的控制。一個內部VPN能使企業對所有的安全認證、網路系統以及網路訪問情況進行控制,建立端到端的安全結構,整合和協調現有的內部安全技術。 企業還可以確保得到業內最好的技術以滿足自身的特殊需要,這要優於ISP所提供的普通服務。而且,建立內部VPN能使企業有效節省VPN的運作費用。企業可以節省用於外包管理裝置的額外費用,並且能將現有的遠端訪問和端到端的網路整合起來,以獲取最佳價效比的VPN。 雖然VPN外包能避免技術過時,但並不意味著企業可以節省開支。因為,企業最終還要為高額產品支付費用,以作為使用新技術的代價。雖然VPN外包可以簡化企業網路部署,但這同樣降低了企業對公司網的控制等級。網路越大,企業就越依賴於外包VPN供應商。因此,自建VPN是大型企業的最好選擇。 
  2. 中小型企業外包VPN,雖然每個中小型企業都是相對集中和固定的,但是部門與部門之間、企業與其業務相關企業之間的聯絡依然需要廉價而安全的資訊溝通,在這種情況下就用得上 VPN。電信企業、IDC目前提供的VPN服務,更多的是面向中小企業,因為可以整合現有資源,包括網路優勢、託管和技術力量來為中小企業提供整體的服務。中小型企業如果自己購買VPN裝置,則財務成本較高,而且一般中小型企業的IT人員短缺、技能水平不足、資金能力有限,不足以支援VPN,所以,外包 VPN是較好的選擇。因為:(1)外包VPN比企業自己動手建立VPN要快得多,也更為容易。(2)外包VPN的可擴充套件性很強,易於企業管理。有統計表明,使用外包VPN方式的企業,可以支援多於2300名使用者,而內部VPN平均只能支援大約150名使用者。而且,隨著使用者數目的增長,對用於監控、管理、提供IT資源和人力資源的要求也將呈指數增長。(3)企業VPN必須將安全和效能結合在一起,然而,實際情況中兩者不能兼顧。例如,對安全加密級別的配置經常降低VPN的整體效能。而通過提供VPN外包業務的專業ISP的統一管理,可大大提高VPN的效能和安全。ISP的VPN專家還可幫助企業進行VPN決策。(4)對服務水平協議(SLA)的改進和服務質量(QoS)保證,為企業外包VPN方式提供了進一步的保證。

  三. VPN安全技術 

  由於傳輸的是私有資訊,VPN使用者對資料的安全性都比較關心。 目前VPN主要採用四項技術來保證安全,這四項技術分別是隧道技術(Tunneling)、加解密技術(Encryption & Decryption)、金鑰管理技術(Key Management)、使用者與裝置身份認證技術(Authentication)。 

  1. 隧道技術是VPN的基本技術,類似於點對點連線技術,它在公用網建立一條資料通道(隧道),讓資料包通過這條隧道傳輸。隧道是由隧道協議形成的,分為第二、三層隧道協議。第二層隧道協議是先把各種網路協議封裝到PPP中,再把整個資料包裝入隧道協議中。這種雙層封裝方法形成的資料包靠第二層協議進行傳輸。第二層隧道協議有L2F、PPTP、L2TP等。L2TP協議是目前IETF的標準,由IETF融合PPTP與L2F而形成。 第三層隧道協議是把各種網路協議直接裝入隧道協議中,形成的資料包依靠第三層協議進行傳輸。第三層隧道協議有VTP、IPSec等。IPSec(IP Security)是由一組RFC文件組成,定義了一個系統來提供安全協議選擇、安全演算法,確定服務所使用金鑰等服務,從而在IP層提供安全保障。 
  2. 加解密技術是資料通訊中一項較成熟的技術,VPN可直接利用現有技術。 
  3. 金鑰管理技術的主要任務是如何在公用資料網上安全地傳遞金鑰而不被竊取。現行金鑰管理技術又分為SKIP與ISAKMP/OAKLEY兩種。SKIP 主要是利用Diffie-Hellman的演演算法則,在網路上傳輸金鑰;在ISAKMP中,雙方都有兩把金鑰,分別用於公用、私用。 
  4. 身份認證技術最常用的是使用者名稱與密碼或卡片式認證等方式。 

  四.堵住安全漏洞 
  安全問題是VPN的核心問題。目前,VPN的安全保證主要是通過防火牆技術、路由器配以隧道技術、加密協議和安全金鑰來實現的,可以保證企業員工安全地訪問公司網路。 但是,如果一個企業的VPN需要擴充套件到遠端訪問時,就要注意,這些對公司網直接或始終線上的連線將會是黑客攻擊的主要目標。因為,遠端工作員工通過防火牆之外的個人計算機可以接觸到公司預算、戰略計劃以及工程專案等核心內容,這就構成了公司安全防禦系統中的弱點。雖然,員工可以雙倍地提高工作效率,並減少在交通上所花費的時間,但同時也為黑客、競爭對手以及商業間諜提供了無數進入公司網路核心的機會。 
  但是,企業並沒有對遠距離工作的安全性予以足夠的重視。大多數公司認為,公司網路處於一道網路防火牆之後是安全的,員工可以撥號進入系統,而防火牆會將一切非法請求拒之其外;還有一些網路管理員認為,為網路建立防火牆併為員工提供VPN,使他們可以通過一個加密的隧道撥號進入公司網路就是安全的。這些看法都是不對的。 
  在家辦公是不錯,但從安全的觀點來看,它是一種極大的威脅,因為,公司使用的大多數安全軟體並沒有為家用計算機提供保護。一些員工所做的僅僅是進入一臺家用計算機,跟隨它通過一條授權的連線進入公司網路系統。雖然,公司的防火牆可以將侵入者隔離在外,並保證主要辦公室和家庭辦公室之間VPN的資訊保安。但問題在於,侵入者可以通過一個被信任的使用者進入網路。因此,加密的隧道是安全的,連線也是正確的,但這並不意味著家庭計算機是安全的。 
  黑客為了侵入員工的家用計算機,需要探測IP地址。有統計表明,使用撥號連線的IP地址幾乎每天都受到黑客的掃描。因此,如果在家辦公人員具有一條諸如 DSL的不間斷連線鏈路(通常這種連線具有一個固定的IP地址),會使黑客的入侵更為容易。因為,撥號連線在每次接入時都被分配不同的IP地址,雖然它也能被侵入,但相對要困難一些。一旦黑客侵入了家庭計算機,他便能夠遠端執行員工的VPN客戶端軟體。因此,必須有相應的解決方案堵住遠端訪問VPN的安全漏洞,使員工與網路的連線既能充分體現VPN的優點,又不會成為安全的威脅。在個人計算機上安裝個人防火牆是極為有效的解決方法,它可以使非法侵入者不能進入公司網路。當然,還有一些提供給遠端工作人員的實際解決方法: 
  *所有遠端工作人員必須被批准使用VPN; 
  *所有遠端工作人員需要有個人防火牆,它不僅防止計算機被侵入,還能記錄連線被掃描了多少次; 
  *所有的遠端工作人員應具有入侵檢測系統,提供對黑客攻擊資訊的記錄; 
  *監控安裝在遠端系統中的軟體,並將其限制只能在工作中使用; 
  * IT人員需要對這些系統進行與辦公室系統同樣的定期性預定檢查; 
  *外出工作人員應對敏感檔案進行加密; 
  *安裝要求輸入密碼的訪問控制程式,如果輸入密碼錯誤,則通過Modem向系統管理員發出警報; 
  *當選擇DSL供應商時,應選擇能夠提供安全防護功能的供應商。

全面認識VPN (一)

全面認識VPN (二)

全面認識VPN (三)


相關文章