VPN技术比较

VPN技术比较

来源：　作者：　发布时间：2008-04-11

　　VPN技术非常复杂，它涉及到通信技术、密码技术和现代认证技术，是一项交叉科学。目前，CPE-based VPN主要包含两种技术：隧道技术与安全技术。
　　
　　一、隧道技术
　　
　　隧道技术的基本过程是在源局域网与公网的接口处将数据(可以是ISO 七层模型中的数据链路层或网络层数据)作为负载封装在一种可以在公网上传输的数据格式中，在目的局域网与公网的接口处将数据解封装，取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。
　　
　　要使数据顺利地被封装、传送及解封装，通信协议是保证的核心。目前VPN隧道协议有4种：点到点隧道协议PPTP、第二层隧道协议L2TP、网络层隧道协议IPSec以及SOCKS v5，它们在OSI 七层模型中的位置如表所示。各协议工作在不同层次，无所谓谁更有优势。但我们应该注意，不同的网络环境适合不同的协议，在选择VPN产品时，应该注意选择。
　　1．点到点隧道协议—PPTP
　　PPTP协议将控制包与数据包分开，控制包采用TCP控制，用于严格的状态查询及信令信息；数据包部分先封装在PPP协议中，然后封装到GRE V2协议中。目前，PPTP协议基本已被淘汰，不再使用在VPN产品中。
　　2．第二层隧道协议—L2TP
　　L2TP是国际标准隧道协议，它结合了PPTP协议以及第二层转发L2F协议的优点，能以隧道方式使PPP包通过各种网络协议，包括ATM、SONET和帧中继。但是L2TP没有任何加密措施，更多是和IPSec协议结合使用，提供隧道验证。
　　3．IPSec协议
　　IPSec协议是一个范围广泛、开放的VPN安全协议，工作在OSI模型中的第三层——网络层。它提供所有在网络层上的数据保护和透明的安全通信。IPSec协议可以设置成在两种模式下运行：一种是隧道模式，一种是传输模式。在隧道模式下，IPSec把IPv4数据包封装在安全的IP帧中。传输模式是为了保护端到端的安全性，不会隐藏路由信息。1999年底，IETF安全工作组完成了IPSec的扩展，在IPSec协议中加上了ISAKMP协议，其中还包括密钥分配协议IKE和Oakley。
　　一种趋势是将L2TP和IPSec结合起来: 用L2TP作为隧道协议，用IPSec协议保护数据。目前，市场上大部分VPN采用这类技术。
　　表 4种隧道协议在OSI七层模型中的位置
　　

 
　　优点：它定义了一套用于保护私有性和完整性的标准协议，可确保运行在TCP/IP协议上的VPN之间的互操作性。
　　
　　缺点：除了包过滤外，它没有指定其他访问控制方法，对于采用NAT方式访问公共网络的情况难以处理。
　　
　　适用场合：最适合可信LAN到LAN之间的VPN。
　　
　　4．SOCKS v5协议
　　
　　SOCKS v5工作在OSI模型中的第五层——会话层，可作为建立高度安全的VPN的基础。SOCKS v5协议的优势在访问控制，因此适用于安全性较高的VPN。 SOCKS v5现在被IETF建议作为建立VPN的标准。
　　
　　优点：非常详细的访问控制。在网络层只能根据源目的的IP地址允许或拒绝被通过，在会话层控制手段更多一些；由于工作在会话层，能同低层协议如IPV4、IPSec、PPTP、L2TP一起使用；用SOCKS v5的代理服务器可隐藏网络地址结构；能为认证、加密和密钥管理提供“插件”模块，让用户自由地采用所需要的技术。SOCKS v5可根据规则过滤数据流，包括Java Applet和Actives控制。
　　
　　缺点：其性能比低层次协议差，必须制定更复杂的安全管理策略。
　　
　　适用场合：最适合用于客户机到服务器的连接模式，适用于外部网VPN和远程访问VPN。
　　
　　二、安全技术
　　
　　VPN 是在不安全的Internet 中通信，通信的内容可能涉及企业的机密数据，因此其安全性非常重要。VPN中的安全技术通常由加密、认证及密钥交换与管理组成。
　　
　　1．认证技术
　　
　　认证技术防止数据的伪造和被篡改，它采用一种称为“摘要”的技术。“摘要”技术主要采用HASH 函数将一段长的报文通过函数变换，映射为一段短的报文即摘要。由于HASH 函数的特性，两个不同的报文具有相同的摘要几乎不可能。该特性使得摘要技术在VPN 中有两个用途：验证数据的完整性、用户认证。
　　
　　2．加密技术
　　
　　IPSec通过ISAKMP/IKE/Oakley 协商确定几种可选的数据加密算法，如DES 、3DES等。DES密钥长度为56位，容易被破译，3DES使用三重加密增加了安全性。当然国外还有更好的加密算法，但国外禁止出口高位加密算法。基于同样理由，国内也禁止重要部门使用国外算法。国内算法不对外公开，被破解的可能性极小。
　　
　　3．密钥交换和管理
　　
　　VPN 中密钥的分发与管理非常重要。密钥的分发有两种方法：一种是通过手工配置的方式，另一种采用密钥交换协议动态分发。手工配置的方法由于密钥更新困难，只适合于简单网络的情况。密钥交换协议采用软件方式动态生成密钥，适合于复杂网络的情况且密钥可快速更新，可以显著提高VPN 的安全性。目前主要的密钥交换与管理标准有IKE （互联网密钥交换）、SKIP （互联网简单密钥管理）和Oakley。（胡英）
　　
　　VPN组网方式
　　
　　VPN在企业中的组网方式分以下3种。在各种组网方式下采用的隧道协议有所不同，要仔细选择。
　　
　　1． Access VPN （远程访问VPN）：客户端到网关
　　
　　远程用户拨号接入到本地的ISP，它适用于流动人员远程办公，可大大降低电话费。SOCKS v5协议适合这类连接。
　　
　　2． Intranet VPN （企业内部VPN）：网关到网关
　　
　　它适用于公司两个异地机构的局域网互连，在Internet 上组建世界范围内的企业网。利用Internet 的线路保证网络的互联性，而利用隧道、加密等VPN 特性可以保证信息在整个Intranet VPN 上安全传输。IPSec隧道协议可满足所有网关到网关的VPN连接，因此，在这类组网方式中用得最多。
　　3．Extranet VPN （扩展的企业内部VPN）：与合作伙伴企业网构成Extranet
　　由于不同公司的网络相互通信，所以要更多考虑设备的互连、地址的协调、安全策略的协商等问题。它也属于网关到网关的连接，选择IPSec协议是明智之举。