主流VPN技術(shù)的比較與分析

　　VPN(Virtual Private Network，虛擬專用網(wǎng))是指將在物理上分布于不同區(qū)域的網(wǎng)絡(luò)通過公用骨干網(wǎng)絡(luò)連接成的邏輯上的虛擬子網(wǎng)，它采用數(shù)據(jù)加密技術(shù)、身份認證技術(shù)、隧道技術(shù)和密鑰管理技術(shù)等關(guān)鍵技術(shù)實施通信保護，防止通信信息被泄露、篡改和復(fù)制。

　　當前，隨著VPN技術(shù)的日趨成熟，已經(jīng)有越來越多的企業(yè)和機構(gòu)采用VPN技術(shù)來構(gòu)建自己的虛擬專用網(wǎng)絡(luò)以達到靈活擴展自身內(nèi)部網(wǎng)絡(luò)、連接跨區(qū)域分支網(wǎng)絡(luò)等目的。與傳統(tǒng)的物理專用網(wǎng)絡(luò)相比，VPN具有組網(wǎng)成本低、通信安全、管理方便、擴展性強、可靠的服務(wù)質(zhì)量(QoS)等特點。

　　按照實現(xiàn)技術(shù)的不同，VPN可分為PPTP(Point-to-Point Tunneling Protocol)，L2TP(Layer 2 Tunneling Protocol)，MPLS(Multi-Protocol Label Switch)、IPSec(Internet Protocol Security)與SSL(Secure Sockets Layer)等幾種。其中，基于MPLS技術(shù)的VPN與基于IPSec協(xié)議及SSL協(xié)議的VPN是目前應(yīng)用最為廣泛的三種VPN解決方案。

　　下面分別對這三種技術(shù)進行比較與分析。

1 IPSec VPN與MPLS VPN及SSL VPN的工作原理

　　1.1 IPSec VPN

　　IPSec(Internet Protocol Security)是IETF提供Internet安全通信的一系列規(guī)范，它提供私有信息通過公用網(wǎng)的安全保障。IPSec組件包括安全協(xié)議認證頭(AH)和封裝安全載荷(ESP)、密鑰交換(IKE)、安全聯(lián)盟(SA)及加密和驗證算法等。IPSec是在網(wǎng)絡(luò)層實現(xiàn)數(shù)據(jù)加密和驗證，提供端到端的網(wǎng)絡(luò)安全方案，可以提供訪問控制、數(shù)據(jù)源的驗證、無連接數(shù)據(jù)的完整性驗證，數(shù)據(jù)內(nèi)容的機密性、抗重防保護以及有限的數(shù)據(jù)流機密性保證等服務(wù)。

　　IPSec協(xié)議為IPv4與IPv6提供可互操作的、高質(zhì)量的、基于加密體制的安全方案。它包括訪問控制、無連接的完整性、數(shù)據(jù)源認證、防止重播攻擊、信息加密與流量保密等安全服務(wù)。所有這些服務(wù)都建立在IP層，并保護上層的協(xié)議。這些服務(wù)通過使用兩個安全協(xié)議：認證頭AH[RFC2402]和封裝安全載荷ESP[RFC2406]，以及通過使用加密密鑰管理過程和協(xié)議來實現(xiàn)。

　　IPSec VPN是一項成熟的技術(shù)，目前有許多基于硬件的解決方案來保障它的高性能，是遠程辦公室點對點互聯(lián)的優(yōu)選方案。

　　1.2 MPLS VPN

　　MPLS(Multi-Protocol Label Switching，多協(xié)議標簽交換)是由Cisco提出的新一代IP骨干網(wǎng)絡(luò)交換標準，介于第二層和第三層之間的交換技術(shù)，所以它既可以兼容多種鏈路層技術(shù)，又能支持多種網(wǎng)絡(luò)層的協(xié)議，實現(xiàn)了邊緣的路由和核心的交換。

　　MPLS VPN是一種基于MPLS技術(shù)的VPN，在網(wǎng)絡(luò)路由與交換設(shè)備上使用MPLS技術(shù)，應(yīng)用標簽交換，通過LSP將私有網(wǎng)絡(luò)的不同分支聯(lián)結(jié)起來，并結(jié)合傳統(tǒng)的路由技術(shù)。適用于多點到多點的連接。MPLS作為骨干網(wǎng)絡(luò)的一種路由轉(zhuǎn)發(fā)的新模式，必須由LSR(Label Switch Router，標簽交換路由器)構(gòu)建，普通路由器無法完成。如果網(wǎng)絡(luò)規(guī)模比較大。則可能需要較多的LSR。

　　1.3 SSL VPN

　　SSL(Secure Socket Layer，安全套接層)協(xié)議是由網(wǎng)景(Netscape)公司提出的基于Web的安全協(xié)議，它是一種在Internet上保證發(fā)送信息安全的通用協(xié)議，處于應(yīng)用層。SSL用公鑰加密通過SSL連接傳輸?shù)臄?shù)據(jù)來工作。SSL協(xié)議指定了一種在應(yīng)用程序協(xié)議(如HTTP、Telnet，SMTP和FTP等)與TCP/IP協(xié)議之間進行數(shù)據(jù)交換的安全機制，為TCP/IP連接提供數(shù)據(jù)加密、服務(wù)器認證以及可選的客戶機認證。SSL協(xié)議包括握手協(xié)議，記錄協(xié)議以及警告協(xié)議三部分。握手協(xié)議負責確定用于客戶機與服務(wù)器間的會話加密參數(shù)。記錄協(xié)議用于交換應(yīng)用數(shù)據(jù)。警告協(xié)議用于在發(fā)生錯誤時終止兩個主機之間的會話。盡管SSL協(xié)議并非為實現(xiàn)VPN而設(shè)計，但SSL對VPN實現(xiàn)所需的數(shù)據(jù)加密、身份認證與密鑰管理等關(guān)鍵技術(shù)提供了良好的支持。

　　SSL VPN是工作在應(yīng)用層(基于HTTP協(xié)議)與TCP層之間的，能夠提供安全的遠程接入。SSL VPN利用瀏覽器內(nèi)建的安全套接層(SSL)封包處理功能，通過瀏覽器連回公司內(nèi)部的SSLVPN服務(wù)器，然后通過網(wǎng)絡(luò)封包轉(zhuǎn)向的方式，令客戶可以在遠程計算機執(zhí)行應(yīng)用程序，讀取公司內(nèi)部服務(wù)器數(shù)據(jù)。SSLVPN采用標準的安全套接層(SSL)對傳輸中的數(shù)據(jù)包進行加密，從而在應(yīng)用層保護了數(shù)據(jù)的安全性。通過SSL VPN可以實現(xiàn)遠程訪問企業(yè)內(nèi)部網(wǎng)絡(luò)的構(gòu)架。

2 IPSec VPN，MPLS VPN與SSL VPN的比較及分析

　　2.1 安全性比較與分析
　　
　　IPSec VPN采用了對稱式(Symmetric)與非對稱式(Asymmetric)的加密算法以及摘要算法等。通過身份認證、數(shù)據(jù)加密、數(shù)據(jù)完整性校驗等多種方式保證了接入的安全性、數(shù)據(jù)的私密性，其安全性高。MPLS VPN采用路由與地址隔離以及信息隱藏等多種方法來抗攻擊與標記欺騙，但它并沒有解決所有管理型的共享網(wǎng)絡(luò)普遍存在的非法訪問受保護的網(wǎng)絡(luò)元、錯誤配置以及內(nèi)部攻擊等安全問題。MPLS本身并未提供加密與驗證的安全功能，它可以集成IPSec協(xié)議以提供安全保護。因而其安全性一般。SSL VPN與IPSec VPN一樣，也采用了對稱式與非對稱式的加密算法執(zhí)行加密作業(yè)，其安全通道是端到端的，通信端口少。因而降低了受外部黑客攻擊的可能性，并且受客戶端病毒感染的可能性也很小，故其安全性較高。

　　2.2 認證方式與管理的比較及分析

　　IPSec采用了因特網(wǎng)密鑰變換(Internet Key Exchange)方式，使用數(shù)字憑證(Digital Certificate)或者一組Secret Key做認證。對于IPSec VPN，由于一個新用戶節(jié)點的增加，刪除或修改均需要重新設(shè)置現(xiàn)有的所有節(jié)點，并在客戶端安裝復(fù)雜的軟件及配置。另外，IPSec VPN對客戶端采用的操作系統(tǒng)也具有較高的要求，不同的終端操作系統(tǒng)需要不同的客戶端軟件，其易管理性差。SSL僅能使用數(shù)字憑證，若都采用數(shù)字憑證來認證，SSL與IPSec在認證的安全等級上則沒有太大的差別。大多數(shù)廠商對SSL的認證均會建置硬件令牌(Token)以提升認證的安全性。在實際作業(yè)時，大多數(shù)人均在整個網(wǎng)段(Subset)上進行開發(fā)以避免太多的設(shè)定所帶來的麻煩。SSL可以設(shè)定不同的使用者以執(zhí)行不同的應(yīng)用系統(tǒng)，另外瀏覽器中也內(nèi)置了SSL協(xié)議，客戶端不需要安裝軟件，不需要配置。因而，SSL在管理和設(shè)定上比IPSec簡單方便得多，便于管理。對于MPLS VPN，由于在同一VPN的成員之間不需要建立與維護連接，若有新成員加入，ISP僅需要告知用戶端的設(shè)備如何與網(wǎng)絡(luò)連接，并配置PE來識別來自CE的VPN成員，BGP便會自動更新相關(guān)配置，用戶不需要手動升級或改變自己的邊緣設(shè)備。MPLS VPN并不需要客戶端管理軟件，因而易于管理。

　　2.3 成本的比較

　　MPLS VPN對于用戶而言，其一次性投入的成本較低，但長期投入的資金比較高。對于IPSec VPN，在實施IPSec方案時不僅需要人工發(fā)放認證的材料，用戶還需要知道所使用的加密和認證算法，內(nèi)網(wǎng)路由配置等諸多繁瑣事宜，還需要預(yù)裝客戶端軟件等。這些不便在大規(guī)模實施過程中給用戶帶來了難以負擔的工作量和費用，其投入的成本較高。由于SSL VPN客戶端則不需要安裝客戶端軟件，因為瀏覽器內(nèi)置了SSL協(xié)議，其投入的成本最少。

3 結(jié)語

　　通過上述比較分析可看出，三種VPN技術(shù)各具特色，互有長短。IPSec VPN與SSL VPN這兩種VPN架構(gòu)，從整體的安全等級來看，它們均能提供安全的遠程登入存取聯(lián)機。但SSL VPN在其易用性及安全層級上，均比IPSec VPN高。由于Internet的快速擴展，針對遠程安全登入的需求也日益增加。因此，在實際選擇VPN時，應(yīng)根據(jù)實際需求，可以某種VPN技術(shù)為主，結(jié)合其他技術(shù)，充分發(fā)揮它們各自的優(yōu)勢，讓VPN網(wǎng)絡(luò)為企業(yè)和員工提供更好的服務(wù)。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://m.hanmeixuan.com/

本文標題：主流VPN技術(shù)的比較與分析

本文網(wǎng)址：http://m.hanmeixuan.com/html/support/1112153970.html