軟件水平網(wǎng)絡(luò)工程輔導(dǎo):VPN技術(shù)詳解(二)

字號(hào):

通過(guò)Internet實(shí)現(xiàn)網(wǎng)絡(luò)互連
    可以采用以下兩種方式使用VPN連接遠(yuǎn)程局域網(wǎng)絡(luò)。
    1.使用專線連接分支機(jī)構(gòu)和企業(yè)局域網(wǎng)。
    不需要使用價(jià)格昂貴的長(zhǎng)距離專用電路,分支機(jī)構(gòu)和企業(yè)端路由器可以使用各自本地的專用線路通過(guò)本地的ISP連通Internet。VPN軟件使用與當(dāng)本地ISP建立的連接和Internet網(wǎng)絡(luò)在分支機(jī)構(gòu)和企業(yè)端路由器之間創(chuàng)建一個(gè)虛擬專用網(wǎng)絡(luò)。
    2.使用撥號(hào)線路連接分支機(jī)構(gòu)和企業(yè)局域網(wǎng)。
    不同于傳統(tǒng)的使用連接分支機(jī)構(gòu)路由器的專線撥打長(zhǎng)途或(1-800)電話連接企業(yè)NAS的方式,分支機(jī)構(gòu)端的路由器可以通過(guò)撥號(hào)方式連接本地ISP。VPN軟件使用與本地ISP建立起的連接在分支機(jī)構(gòu)和企業(yè)端路由器之間創(chuàng)建一個(gè)跨越Internet的虛擬專用網(wǎng)絡(luò)。
    應(yīng)當(dāng)注意在以上兩種方式中,是通過(guò)使用本地設(shè)備在分支機(jī)構(gòu)和企業(yè)部門與Internet之間建立連接。無(wú)論是在客戶端還是服務(wù)器端都是通過(guò)撥打本地接入電話建立連接,因此VPN可以大大節(jié)省連接的費(fèi)用。建議作為VPN服務(wù)器的企業(yè)端路由器使用專線連接本地ISP。VPN服務(wù)器必須一天24小時(shí)對(duì)VPN數(shù)據(jù)流進(jìn)行監(jiān)聽(tīng)。
    連接企業(yè)內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)
    在企業(yè)的內(nèi)部網(wǎng)絡(luò)中,考慮到一些部門可能存儲(chǔ)有重要數(shù)據(jù),為確保數(shù)據(jù)的安全性,傳統(tǒng)的方式只能是把這些部門同整個(gè)企業(yè)網(wǎng)絡(luò)斷開(kāi)形成孤立的小網(wǎng)絡(luò)。這樣做雖然保護(hù)了部門的重要信息,但是由于物理上的中斷,使其他部門的用戶無(wú)法,造成通訊上的困難。
    采用VPN方案,通過(guò)使用一臺(tái)VPN服務(wù)器既能夠?qū)崿F(xiàn)與整個(gè)企業(yè)網(wǎng)絡(luò)的連接,又可以保證保密數(shù)據(jù)的安全性。路由器雖然也能夠?qū)崿F(xiàn)網(wǎng)絡(luò)之間的互聯(lián),但是并不能對(duì)流向敏感網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行限制。使用VPN服務(wù)器,但是企業(yè)網(wǎng)絡(luò)管理人員通過(guò)使用VPN服務(wù)器,指定只有符合特定身份要求的用戶才能連接VPN服務(wù)器獲得訪問(wèn)敏感信息的權(quán)利。此外,可以對(duì)所有VPN數(shù)據(jù)進(jìn)行加密,從而確保數(shù)據(jù)的安全性。沒(méi)有訪問(wèn)權(quán)利的用戶無(wú)法看到部門的局域網(wǎng)絡(luò)。
    三、VPN的基本要求
    一般來(lái)說(shuō),企業(yè)在選用一種遠(yuǎn)程網(wǎng)絡(luò)互聯(lián)方案時(shí)都希望能夠?qū)υL問(wèn)企業(yè)資源和信息的要求加以控制,所選用的方案應(yīng)當(dāng)既能夠?qū)崿F(xiàn)授權(quán)用戶與企業(yè)局域網(wǎng)資源的自由連接,不同分支機(jī)構(gòu)之間的資源共享;又能夠確保企業(yè)數(shù)據(jù)在公共互聯(lián)網(wǎng)絡(luò)或企業(yè)內(nèi)部網(wǎng)絡(luò)上傳輸時(shí)安全性不受破壞.因此,最低限度,一個(gè)成功的VPN方案應(yīng)當(dāng)能夠滿足以下所有方面的要求:
    1.用戶驗(yàn)證
    VPN方案必須能夠驗(yàn)證用戶身份并嚴(yán)格控制只有授權(quán)用戶才能訪問(wèn)VPN。另外,方案還必須能夠提供審計(jì)和記費(fèi)功能,顯示何人在何時(shí)訪問(wèn)了何種信息。
    2.地址管理
    VPN方案必須能夠?yàn)橛脩舴峙鋵S镁W(wǎng)絡(luò)上的地址并確保地址的安全性。
    3.數(shù)據(jù)加密
    對(duì)通過(guò)公共互聯(lián)網(wǎng)絡(luò)傳遞的數(shù)據(jù)必須經(jīng)過(guò)加密,確保網(wǎng)絡(luò)其他未授權(quán)的用戶無(wú)法讀取該信息。
    4.密鑰管理
    VPN方案必須能夠生成并更新客戶端和服務(wù)器的加密密鑰。
    5.多協(xié)議支持
    VPN方案必須支持公共互聯(lián)網(wǎng)絡(luò)上普遍使用的基本協(xié)議,包括IP,IPX等。以點(diǎn)對(duì)點(diǎn)隧道協(xié)議(PPTP)或第2層隧道協(xié)議(L2TP)為基礎(chǔ)的VPN方案既能夠滿足以上所有的基本要求,又能夠充分利用遍及世界各地的Internet互聯(lián)網(wǎng)絡(luò)的優(yōu)勢(shì)。其它方案,包括安全I(xiàn)P協(xié)議(IPSec),雖然不能滿足上述全部要求,但是仍然適用于在特定的環(huán)境。本文以下部分將主要集中討論有關(guān)VPN的概念,協(xié)議,和部件(component)。