VPN技術(shù)詳解

IPSEC
　　IPSEC是一種由IETF設(shè)計(jì)的端到端的確保基于IP通訊的數(shù)據(jù)安全性的機(jī)制。IPSEC支持對(duì)數(shù)據(jù)加密，同時(shí)確保數(shù)據(jù)的完整性。按照IETF的規(guī)定，不采用數(shù)據(jù)加密時(shí)，IPSEC使用驗(yàn)證包頭（AH）提供驗(yàn)證來源驗(yàn)證（source authentication)，確保數(shù)據(jù)的完整性；IPSEC使用封裝安全負(fù)載（ESP）與加密一道提供來源驗(yàn)證，確保數(shù)據(jù)完整性。IPSEC協(xié)議下，只有發(fā)送方和接受方知道秘密密鑰。如果驗(yàn)證數(shù)據(jù)有效，接受方就可以知道數(shù)據(jù)來自發(fā)送方，并且在傳輸過程中沒有受到破壞。
　　可以把IPSEC想象成是位于TCP/IP協(xié)議棧的下層協(xié)議。該層由每臺(tái)機(jī)器上的安全策略和發(fā)送、接受方協(xié)商的安全關(guān)聯(lián)（security association)進(jìn)行控制。安全策略由一套過濾機(jī)制和關(guān)聯(lián)的安全行為組成。如果一個(gè)數(shù)據(jù)包的IP地址，協(xié)議，和端口號(hào)滿足一個(gè)過濾機(jī)制，那么這個(gè)數(shù)據(jù)包將要遵守關(guān)聯(lián)的安全行為。

協(xié)商安全關(guān)聯(lián)（NegotiatedSecurityAssociation）
　　上述第一個(gè)滿足過濾機(jī)制的數(shù)據(jù)包將會(huì)引發(fā)發(fā)送和接收方對(duì)安全關(guān)聯(lián)進(jìn)行協(xié)商。ISAKMP/OAKLEY是這種協(xié)商采用的標(biāo)準(zhǔn)協(xié)議。在一個(gè)ISAKMP/OAKLEY交換過程中，兩臺(tái)機(jī)器對(duì)驗(yàn)證和數(shù)據(jù)安全方式達(dá)成一致，進(jìn)行相互驗(yàn)證，然后生成一個(gè)用于隨后的數(shù)據(jù)加密的個(gè)共享密鑰。

驗(yàn)證包頭
　　通過一個(gè)位于IP包頭和傳輸包頭之間的驗(yàn)證包頭可以提供IP負(fù)載數(shù)據(jù)的完整性和數(shù)據(jù)驗(yàn)證。驗(yàn)證包頭包括驗(yàn)證數(shù)據(jù)和一個(gè)序列號(hào)，共同用來驗(yàn)證發(fā)送方身份，確保數(shù)據(jù)在傳輸過程中沒有被改動(dòng)，防止受到第三方的攻擊。IPSEC驗(yàn)證包頭不提供數(shù)據(jù)加密；信息將以明文方式發(fā)送。

封裝安全包頭
　　為了保證數(shù)據(jù)的保密性并防止數(shù)據(jù)被第3方竊取，封裝安全負(fù)載（ESP）提供了一種對(duì)IP負(fù)載進(jìn)行加密的機(jī)制。另外，ESP還可以提供數(shù)據(jù)驗(yàn)證和數(shù)據(jù)完整性服務(wù)；因此在IPSEC包中可以用ESP包頭替代AH包頭。

用戶管理
　　在選擇VPN技術(shù)時(shí)，一定要考慮到管理上的要求。一些大型網(wǎng)絡(luò)都需要把每個(gè)用戶的目錄信息存放在一臺(tái)中央數(shù)據(jù)存儲(chǔ)設(shè)備中（目錄服務(wù)）便于管理人員和應(yīng)用程序?qū)π畔⑦M(jìn)行添加，修改和查詢。每一臺(tái)接入或隧道服務(wù)器都應(yīng)當(dāng)能夠維護(hù)自己的內(nèi)部數(shù)據(jù)庫，存儲(chǔ)每一名用戶的信息，包括用戶名，口令，以及撥號(hào)接入的屬性等。但是，這種由多臺(tái)服務(wù)器維護(hù)多個(gè)用戶帳號(hào)的作法難以實(shí)現(xiàn)及時(shí)的更新，給管理帶來很大的困難。因此，大多數(shù)的管理人員采用在目錄服務(wù)器，主域控制器或RADIUS服務(wù)器上建立一個(gè)主帳號(hào)數(shù)據(jù)庫的方法，進(jìn)行有效管理。

RAS支持
　　微軟的遠(yuǎn)程接入服務(wù)器（RAS）使用域控制器或RADIUS服務(wù)器存儲(chǔ)每名用戶的信息。因?yàn)楣芾韱T可以在單獨(dú)的數(shù)據(jù)庫中管理用戶信息中的撥號(hào)許可信息，所以使用一臺(tái)域控制器能夠簡(jiǎn)化系統(tǒng)管理。
　　微軟的RAS最初被用作撥號(hào)用戶的接入服務(wù)器?，F(xiàn)在，RAS可以作為PPTP和L2TP協(xié)議的隧道服務(wù)器（NT5將支持L2TP）。這些第2層的VPN方案繼承了已有的撥號(hào)網(wǎng)絡(luò)全部的管理基礎(chǔ)。

擴(kuò)展性
　　通過使用循環(huán)DNS在同屬一個(gè)安全地帶（securityperimeter）的VPN隧道服務(wù)器之間進(jìn)行請(qǐng)求分配，可以實(shí)現(xiàn)容余和負(fù)荷平衡。一個(gè)安全地帶只具有一個(gè)對(duì)外域名，但擁有多個(gè)IP地址，負(fù)荷可以在所有的IP地址之間進(jìn)行任意的分配。所有的服務(wù)器可以使用一個(gè)共享數(shù)據(jù)庫，如NT域控制器驗(yàn)證訪問請(qǐng)求。

RADIUS
　　遠(yuǎn)程驗(yàn)證用戶撥入服務(wù)（RADIUS）協(xié)議是管理遠(yuǎn)程用戶驗(yàn)證和授權(quán)的常用方法。RADIUS是一種基于UDP協(xié)議的超輕便（lightweight）協(xié)議。RADIUS服務(wù)器可以被放置在Internet網(wǎng)絡(luò)的任何地方為客戶NAS提供驗(yàn)證（包括PPP PAP，CHAP，MSCHAP和EAP）。另外，RADIUS服務(wù)器可以提供代理服務(wù)將驗(yàn)證請(qǐng)求轉(zhuǎn)發(fā)到遠(yuǎn)端的RADIUS服務(wù)器。例如，ISP之間相互合作，通過使用RADIUS代理服務(wù)實(shí)現(xiàn)漫游用戶在世界各地使用本地ISP提供的撥號(hào)服務(wù)連接Internet和VPN。如果ISP發(fā)現(xiàn)用戶名不是本地注冊(cè)用戶，就會(huì)使用RADIUS代理將接入請(qǐng)求轉(zhuǎn)發(fā)給用戶的注冊(cè)網(wǎng)絡(luò)。這樣企業(yè)在掌握授權(quán)權(quán)利的前提下，有效的使用ISP的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，使企業(yè)的網(wǎng)絡(luò)費(fèi)用開支實(shí)現(xiàn)最小化。

記費(fèi)，審計(jì)和報(bào)警
　　為有效的管理VPN系統(tǒng)，網(wǎng)絡(luò)管理人員應(yīng)當(dāng)能夠隨時(shí)跟蹤和掌握以下情況：系統(tǒng)的使用者，連接數(shù)目，異?；顒?dòng)，出錯(cuò)情況，以及其它可能預(yù)示出現(xiàn)設(shè)備故障或網(wǎng)絡(luò)受到攻擊的現(xiàn)象。日志記錄和實(shí)時(shí)信息對(duì)記費(fèi)，審計(jì)和報(bào)警或其它錯(cuò)誤提示具有很大幫助。例如，網(wǎng)絡(luò)管理人員為了編制帳單數(shù)據(jù)需要知道何人在使用系統(tǒng)以及使用了多長(zhǎng)時(shí)間。異常活動(dòng)可能預(yù)示著存在對(duì)系統(tǒng)的不正確使用或系統(tǒng)資源出現(xiàn)不足。對(duì)設(shè)備進(jìn)行實(shí)時(shí)的監(jiān)測(cè)可以在系統(tǒng)出現(xiàn)問題時(shí)及時(shí)向管理員發(fā)出警告。一臺(tái)隧道服務(wù)器應(yīng)當(dāng)能夠提供以上所有信息以及對(duì)數(shù)據(jù)進(jìn)行正確處理所需要的事件日志，報(bào)告和數(shù)據(jù)存儲(chǔ)設(shè)備。
　　NT4.0在RAS中提供了對(duì)記費(fèi)，審計(jì)和報(bào)警的支持。RADIUS協(xié)議對(duì)呼叫-記費(fèi)請(qǐng)求（call-accountingrequest)進(jìn)行了規(guī)定。當(dāng)RAS向RADIUS發(fā)送呼叫-記費(fèi)請(qǐng)求后由后者建立記費(fèi)記錄分別記錄呼叫開始，結(jié)束以及預(yù)定中斷的情況。

結(jié)論
　　如本文所述，Windows系統(tǒng)自帶的VPN服務(wù)允許用戶或企業(yè)通過公共或?qū)Ｓ镁W(wǎng)絡(luò)與遠(yuǎn)端服務(wù)器，分支機(jī)構(gòu)，或其他公司建立安全和可靠的連接。雖然上述通訊過程發(fā)生公共互聯(lián)網(wǎng)絡(luò)上，但是用戶端如同使用專用網(wǎng)絡(luò)進(jìn)行通訊一樣建立起安全的連接。使用Windows系統(tǒng)的VPN技術(shù)可以解決在當(dāng)今遠(yuǎn)程通訊量日益增大，企業(yè)全球運(yùn)作分布廣泛的情況下，員工需要訪問中央資源，企業(yè)相互之間必須能夠進(jìn)行及時(shí)和有效的通訊的問題。

隧道技術(shù)如何實(shí)現(xiàn)

　　對(duì)于象PPTP和L2TP這樣的第2層隧道協(xié)議，創(chuàng)建隧道的過程類似于在雙方之間建立會(huì)話；隧道的兩個(gè)端點(diǎn)必須同意創(chuàng)建隧道并協(xié)商隧道各種配置變量，如地址分配，加密或壓縮等參數(shù)。絕大多數(shù)情況下，通過隧道傳輸?shù)臄?shù)據(jù)都使用基于數(shù)據(jù)報(bào)的協(xié)議發(fā)送。隧道維護(hù)協(xié)議被用來作為管理隧道的機(jī)制。

　　第3層隧道技術(shù)通常假定所有配置問題已經(jīng)通過手工過程完成。這些協(xié)議不對(duì)隧道進(jìn)行維護(hù)。與第3層隧道協(xié)議不同，第2層隧道協(xié)議（PPTP和L2TP）必須包括對(duì)隧道的創(chuàng)建，維護(hù)和終止。

　　隧道一旦建立，數(shù)據(jù)就可以通過隧道發(fā)送。隧道客戶端和服務(wù)器使用隧道數(shù)據(jù)傳輸協(xié)議準(zhǔn)備傳輸數(shù)據(jù)。例如，當(dāng)隧道客戶端向服務(wù)器端發(fā)送數(shù)據(jù)時(shí)，客戶端首先給負(fù)載數(shù)據(jù)加上一個(gè)隧道數(shù)據(jù)傳送協(xié)議包頭，然后把封裝的數(shù)據(jù)通過互聯(lián)網(wǎng)絡(luò)發(fā)送，并由互聯(lián)網(wǎng)絡(luò)將數(shù)據(jù)路由到隧道的服務(wù)器端。隧道服務(wù)器端收到數(shù)據(jù)包之后，去除隧道數(shù)據(jù)傳輸協(xié)議包頭，然后將負(fù)載數(shù)據(jù)轉(zhuǎn)發(fā)到目標(biāo)網(wǎng)絡(luò)。

隧道協(xié)議和基本隧道要求

　　因?yàn)榈?層隧道協(xié)議（PPTP和L2TP）以完善的PPP協(xié)議為基礎(chǔ)，因此繼承了一整套的特性。

1.用戶驗(yàn)證
　　第2層隧道協(xié)議繼承了PPP協(xié)議的用戶驗(yàn)證方式。許多第3層隧道技術(shù)都假定在創(chuàng)建隧道之前，隧道的兩個(gè)端點(diǎn)相互之間已經(jīng)了解或已經(jīng)經(jīng)過驗(yàn)證。一個(gè)例外情況是IPSec協(xié)議的ISAKMP協(xié)商提供了隧道端點(diǎn)之間進(jìn)行的相互驗(yàn)證。

2.令牌卡（Tokencard）支持
　　通過使用擴(kuò)展驗(yàn)證協(xié)議（EAP），第2層隧道協(xié)議能夠支持多種驗(yàn)證方法，包括一次性口令（one-timepassword)，加密計(jì)算器（cryptographic calculator）和智能卡等。第3層隧道協(xié)議也支持使用類似的方法，例如，IPSec協(xié)議通過ISAKMP/Oakley協(xié)商確定公共密鑰證書驗(yàn)證。

3.動(dòng)態(tài)地址分配
　　第2層隧道協(xié)議支持在網(wǎng)絡(luò)控制協(xié)議（NCP）協(xié)商機(jī)制的基礎(chǔ)上動(dòng)態(tài)分配客戶地址。第3層隧道協(xié)議通常假定隧道建立之前已經(jīng)進(jìn)行了地址分配。目前IPSec隧道模式下的地址分配方案仍在開發(fā)之中。

4.數(shù)據(jù)壓縮
　　第2層隧道協(xié)議支持基于PPP的數(shù)據(jù)壓縮方式。例如，微軟的PPTP和L2TP方案使用微軟點(diǎn)對(duì)點(diǎn)加密協(xié)議（MPPE）。IETP正在開發(fā)應(yīng)用于第3層隧道協(xié)議的類似數(shù)據(jù)壓縮機(jī)制。

5.數(shù)據(jù)加密
　　第2層隧道協(xié)議支持基于PPP的數(shù)據(jù)加密機(jī)制。微軟的PPTP方案支持在RSA/RC4算法的基礎(chǔ)上選擇使用MPPE。第3層隧道協(xié)議可以使用類似方法，例如，IPSec通過ISAKMP/Oakley協(xié)商確定幾種可選的數(shù)據(jù)加密方法。微軟的L2TP協(xié)議使用IPSec加密保障隧道客戶端和服務(wù)器之間數(shù)據(jù)流的安全。

6.密鑰管理
　　作為第2層協(xié)議的MPPE依靠驗(yàn)證用戶時(shí)生成的密鑰，定期對(duì)其更新。IPSec在ISAKMP交換過程中公開協(xié)商公用密鑰，同樣對(duì)其進(jìn)行定期更新。

7.多協(xié)議支持
　　第2層隧道協(xié)議支持多種負(fù)載數(shù)據(jù)協(xié)議，從而使隧道客戶能夠訪問使用IP，IPX，或NetBEUI等多種協(xié)議企業(yè)網(wǎng)絡(luò)。相反，第3層隧道協(xié)議，如IPSec隧道模式只能支持使用IP協(xié)議的目標(biāo)網(wǎng)絡(luò)。
VPN的基本要求

　　一般來說，企業(yè)在選用一種遠(yuǎn)程網(wǎng)絡(luò)互聯(lián)方案時(shí)都希望能夠?qū)υL問企業(yè)資源和信息的要求加以控制，所選用的方案應(yīng)當(dāng)既能夠?qū)崿F(xiàn)授權(quán)用戶與企業(yè)局域網(wǎng)資源的自由連接，不同分支機(jī)構(gòu)之間的資源共享；又能夠確保企業(yè)數(shù)據(jù)在公共互聯(lián)網(wǎng)絡(luò)或企業(yè)內(nèi)部網(wǎng)絡(luò)上傳輸時(shí)安全性不受破壞.因此，最低限度，一個(gè)成功的VPN方案應(yīng)當(dāng)能夠滿足以下所有方面的要求：

1.用戶驗(yàn)證
　　VPN方案必須能夠驗(yàn)證用戶身份并嚴(yán)格控制只有授權(quán)用戶才能訪問VPN。另外，方案還必須能夠提供審計(jì)和記費(fèi)功能，顯示何人在何時(shí)訪問了何種信息。

2.地址管理
　　VPN方案必須能夠?yàn)橛脩舴峙鋵Ｓ镁W(wǎng)絡(luò)上的地址并確保地址的安全性。

3.數(shù)據(jù)加密
　　對(duì)通過公共互聯(lián)網(wǎng)絡(luò)傳遞的數(shù)據(jù)必須經(jīng)過加密，確保網(wǎng)絡(luò)其他未授權(quán)的用戶無法讀取該信息。

4.密鑰管理
　　VPN方案必須能夠生成并更新客戶端和服務(wù)器的加密密鑰。

5.多協(xié)議支持
　　VPN方案必須支持公共互聯(lián)網(wǎng)絡(luò)上普遍使用的基本協(xié)議，包括IP，IPX等。以點(diǎn)對(duì)點(diǎn)隧道協(xié)議（PPTP）或第2層隧道協(xié)議（L2TP）為基礎(chǔ)的VPN方案既能夠滿足以上所有的基本要求，又能夠充分利用遍及世界各地的Internet互聯(lián)網(wǎng)絡(luò)的優(yōu)勢(shì)。其它方案，包括安全I(xiàn)P協(xié)議（IPSec)，雖然不能滿足上述全部要求，但是仍然適用于在特定的環(huán)境。本文以下部分將主要集中討論有關(guān)VPN的概念，協(xié)議，和部件（component）。