VPN技術分析與比較

南京特殊教育師范學院 劉炳芳

VPN技術分析與比較

南京特殊教育師范學院 劉炳芳

本文簡要分析各類VPN的技術原理，對各類VPN的優缺點及實現場合作比較，介紹了各類VPN的典型應用。

VPN；網絡安全；協議；虛擬網

前言

VPN技術是在公共通信網絡（如Internet）傳輸數據，通過傳輸管理、數據加密、路由選擇等手段，實現數據的安全通信的技術。它的基本原理是在需要數據通信的兩個端點，可能連接在公共網絡上，也可能是兩個局域網，一方面要保證數據的可達性，另一方面要保證數據傳輸的保密性，VPN技術是將通信的兩端上，增設VPN設備，在通信網絡上創建一條虛擬的專用通信信道，通過通信協議規定雙方通信鏈路的建立、數據的封裝和加密以及數據的解密和解封等一系列動作，讓通信數據在公共網絡上安全傳輸，保證了通信數據在傳輸過程的機密性和安全性。VPN能有效地使授權用戶在其授權范圍內使用企業內部的數據，實現數據的安全通信和交換。目前VPN受到廣泛關注和普遍應用，其根本原因是企業內部和企業之間信息存取的需求日益增加，通信安全要求日益重視。VPN正是基于在不安全、可靠的Internet建立安全的網絡通這一要求應運而生的，具有價格便宜，安全性更高，快捷方便等優點。根據VPN的實現技術和使用的協議的不同，我們可以將VPN分為數據鏈路層VPN、網絡層VPN、傳輸層及應用層VPN等。VPN技術除了加密的訪問隧道外，包涵了很多其它技術，包括訪問控制、傳輸管理、加密、路由選擇、可用性管理等，使得VPN的安全性得到全面提升，在全球的信息安全體系中發揮著重要的作用。

1 常見幾種VPN原理

1.1 PPTP VPN

PPTP VPN是由3Com和微軟公司合作開發，廣泛使用的VPN的協議，Windows 98、Windows 2000等微軟操作系統中都包含有該協議， Unix、Linux操作系統也支持這一協議。PPTP是一種隧道機制，它通過通信雙方在其通信的中間鏈路上使用點對點協議（PPP）幀的進行數據傳輸，通過利用PPP的身份驗證、PAP或CHAP加密協議進行，實現遠程客戶端與企業服務器端之間數據的安全傳輸。PPTP協議規定將PPP幀封裝成IP數據包，對封裝的數據包進行加密，然后在公共網絡（Internet網）上傳輸，保證數據通信的安全性。PPTP最初是針對撥號或專線方式的用戶，通過PPP協議建立點對點連接，建立安全通信信道，來發送經過加密的數據，達到安全通信的目的，其后PPTP協議發展成為各種主機、網橋和路由器實現共通的解決方案。PPTP使用PPP協議對數據進行封裝，PPTP也有缺點，就是它只能在兩端點間建立單一隧道。

1.2 L2TP

第2層隧道協議 (L2TP) 是IETF基于L2F（Cisco的第二層轉發協議）開發的PPTP的后續版本。是一種比PPTP更安全的一種隧道協議，其可以在點到點協議 (PPP) 框架基礎上為數據包提供封裝，是擴展的PPP模型。L2TP使用PPP協議來封裝用戶數據，允許多種協議通過隧道進行傳送。L2TP相比較PPTP性能更好，L2TP支持多隧道，用戶可以根據不同的服務質量要求，創建不同的隧道。L2TP還可以跟IPsec結合起來使用，將L2TP數據包封裝在IPSec數據報中，充分利用IPSec的安全性優點和擴展了L2TP的性能，包括用戶驗證、隧道地址分配和配置和支持PPP的多協議等功能。Windows操作系統中推薦使用L2TP/IPSec結合的模式。L2TP報文分為控制報文和數據報文兩類?？刂茍笪陌↙2TP通道的建立、維護、拆除，控制消息中的參數用AVP值對來表示，使得L2TP協議具有良好的擴展性。數據報文用于PPP報文進行封裝和傳輸。

1.3 IPSec隧道模式

IPSec VPN即指采用IPSec協議來實現遠程接入的一種VPN技術，IPSec全稱為Internet Protocol Security，是由Internet Engineering Task Force (IETF) 定義的安全標準框架，用以提供公用和專用網絡的端對端加密和驗證服務。IPsec有兩種工作模式，一種是傳輸模式，另一種是隧道模式，傳輸模式與隧道模式的區別在于數據封裝的方式不一樣，傳輸模式是在原IP數據包后增加IPsec頭，而隧道模式則是將原IP數據包作為新IP包的數據部分，另外新建一個帶IPsec頭的IP頭。IPSec隧道模式包含數據包的封裝、路由與解封裝的整個過程。封裝后的新的數據包可能會有新的源地址和目的地址和新的路由信息，保證其能夠通過公共網絡傳輸，到達目點地后解封，還原成原始數據包。IPSec VPN將隧道與數據加密結合起來后，雖然傳輸過程中數據包可能被竊取，但數據包內的數據是加密的，無法還原成原始數據。封裝的數據包到達目的地后，會用系統協商好的算法對數據包解除封裝，獲取原始的數據包，再根據原始數據包頭信息，在目標網絡中進行路由，將數據包路由到最終目的地。

表1

IPsec VPN中的隧道是一個邏輯傳輸路徑。隧道內傳輸的數據包封裝了原始數據據，包括原始的源地址和目的地址，原始數據包在隧道中是邏輯不可見的。封裝的數據包在網絡中的隧道內部傳輸。隧道的兩端的網關，可以是公共網絡（Internet）或者是專用網絡的周界網關。使用IPSec隧道模式一個重要原因是增加其兼容性，能為其他不支持 IPSec 上的 L2TP 或 PPTP VPN 隧道技術的路由器、網關或終端系統提供互操作。

1.4 SSL VPN

SSL VPN是解決遠程用戶訪問公司敏感數據最簡單最安全的解決技術。使用SSL VPN遠程訪問數據不需要安裝額外的客戶端軟件，只要使用系統自帶的瀏覽器即可。SSL協議是應用層協議，SSL協議指定了在應用程序協議和TCP/ IP 之間進行數據交換的安全機制，為TCP/IP連接提供數據加密、服務器認證以及可選擇的客戶機認證。SSL協議由許多子協議組成，其中主要有兩個子協議，分別是握手協議和記錄協議。握手協議建立在TCP協議之上，提供了數據封裝、壓縮、加密等基本功能。記錄協議主要用于通訊雙方身份認證、加密算法協商、密鑰交換等功能。

SSL 通過加密方式保護在互聯網上傳輸的數據安全性，它可以自動應用在每一個瀏覽器上。因此SSL VPN獨立于應用，任何應用程序都可以享受它的安全性而不必理會執行細節。相對于IPSEC VPN而言，SSL VPN具有部署簡單，無客戶端，維護成本低，網絡適應強等特點。SSL VPN具有兩個基本要求，其一是必須使用SSL協議進行認證和加密，其二是不需要安裝額客戶端，直接使用瀏覽器完成操作。目前SSL VPN產品有很多，常用的有FirePass SSLVPN、網神SSL VPN、Open SSLVPN等。

2 常見VPN協議對比

各類VPN其實現技術和基于的協議各不相同，實現條件也不相同，在安全性、加密、與硬件防火墻的兼容性、訪問控制等方面都有區別，現將主要區別列出如表1所示。

3 VPN的典型應用

3.1 企業內部網絡互連

目前很多企業有分支機構或分公司，它們之間的網絡通信基本是通過Internet網絡實現互聯，要實瑞安全通信，VPN技術是其必不可少的選擇。在企業分公司的防火墻或者路由器上，配置VPN服務。在公司各分支機構通過Internet網，利用VPN技術，建立起一條專用通信通道，數據在通道上被封裝、加密，在傳送到對方防火墻或路由器上時，VPN服務將傳送過來的數據包解密和解封，恢復成原始的數據怨，實現分公司之間的網絡通信。由此可見，一方面VPN技術可在一定程度上保障網絡通信內容的安全性。另一方面利用虛擬局域專用網絡，在網絡通信速度上得到有效保障。

在利用VPN技術實現公司內部之間網絡連接，需要注意二點：（1）網絡帶寬。VPN技術雖然實現了網絡的可訪性，但是在部署VPN應用時，要注意分析可能產生的帶寬問題與訪問連接數問題。（2）訪問權限與安全管理。利用VPN實現公司分支機構互連時，需最大程度增加網絡透明性，設置統一的訪問賬戶與密碼，讓用戶感受不到VPN的存在，這就要求對公司分支機構的VPN服務器能統一配置和管理，對訪問者的權限進行合理的配置。

3.2 企業擴展虛擬局域網

企業擴展虛擬局域網，是指企業的外部合作伙伴，能夠快速、安全的訪問本企業的內部網絡應用。利用VPN技術實現公司之間網絡的互連。在網絡互連時要注意以下問題 ，一是數據的過濾。通過VPN服務器進行控制，進行外部用戶的賬戶設置并分配給其合理的權限。保證本公司內部的核心數據不外泄。二是訪問內容的限制。對外公司的客戶對本企業資源的訪問必須嚴格限制，只能夠訪問有限的資源。給外部公司的客戶的帳戶在分配權限的時候，要遵循最小權限的原則。

3.3 遠程用戶訪問虛擬網

遠程用戶訪問虛擬網，是指當本公司的員工出差或者在家里時，利用VPN技術，訪問企業的內部網絡，比如訪問企業內部的ERP系統、文件服務器系統、甚至特定的服務器或者主機等。對于遠程用戶訪問VPN時，最頭疼的問題密碼保護問題，網絡管理員要引起充分的重視。

4 結束語

通過對常見的各種VPN比較分析，可以看出VPN對現代企事業信息安全交換帶來很大的便利，安全性得到大大提升。在實際應用中，IPSec VPN具有部署簡單、使用靈活、維護成本低、對網絡設備透明、應用安全性高的優點。SSL VPN能夠保障應用系統的安全，適應移動辦公用戶和遠程終端隨時隨地接入的靈活性。但SSL VPN 與IPSec VPN相比，在數據傳輸效率上有差距，SSL VPN每次連接都要握手，開銷大。在實際應用中，我們往往會根據不同的需要使用不同的VPN，多種VPN技術綜合使用。

[1]劉洋．IPSec VPN和SSL VPN的分析比較[J]．電腦知識與技術,2009,5(4):825-827．

[2]李宇耀．IPSec VPN與BGP MPLS VPN技術原理及安全性能比較[J]．陜西工學院學報,2005,3(21):64-67．

[3]易光華．MPLS VPN、IPSec VPN和SSLVPN技術的研究與比較[J]．貴州科學,2007,25(2):34-38．

[4]唐如鴻．SSL VPN與IPSec VPN技術比較[J]．計算機安全,2004(8):8-9．

[5]徐家臻,陳基萌．基于IPSec與基于SSL的VPN的比較與分析[J]．2004,25(4):586-588．

[6]吳剛．多種平臺的VPN應用比較[J]．計算機系統應用,2011,20(8):245-249．

劉炳芳（1973—），男，南京特殊教育師范學院，高級工程師，信息技術部主任，從事計算機網絡、信息資源數字化、信息檢索與整合和圖書館無障礙服務等方面研究。