摘要:本文对实现VPN(Virtual Private Network)的几种技术做了介绍,比较详细地对IPSec VPN和SSL VPN进行比较,从应用、安全角度等考虑如何选择合适的VPN技术,并且结合天津电力的应用和安全需求,介绍了SSL VPN接入方案、保证安全的措施,以及SSL VPN认证过程。
关键词:远程接入、安全性、隧道协议、VPN 、IPSec、SSL、数据加密、用户认证、数据压缩
一、引言
随着Internet网络规模与使用的扩大和广泛化,通过Internet传输保密数据的安全性需求日益提上议程。分布式企业想在处于不同地域的部门之间安全传递数据,传统的方法是使用租用线路将各部门的私有网络相连,并使用租用线路进行内部通讯。该方案的主要缺点在于租用线路价格昂贵。一种新的降低成本的途径是允许单位配置VPN技术,不用任何租用线路? 通过Internet传输加密数据,这样可以把线路费用降到最低。该技术通过隧道和加密技术达到类似私有网络的安全数据传输功能,有着非常广阔的应用前景。VPN具有下面的优点:
(1) 降低成本:企业不必租用长途专线建设专网,不必大量的网络维护人员和设备投资。利用现有的公用网组建的Intranet,要比租用专线或铺设专线要节省开支,而且当距离越远时节省的越多。如:某企业的北京与纽约分部之间的连接,不太可能自铺专线:当一个远程用户在纽约想要连到北京的Intranet,用拔号访问时,花的是国际长途话费;而用VPN技术时,只需在纽约和北京分别连接到当地的Internet就实现了互联,双方花的都是市话费。
(2)容易扩展:网络路由设备配置简单,无需增加太多的设备,省时省钱。对于发展很快的企业来说,VPN就更是不可不用了。如果企业组建自己的专用网,在扩展网络分支时,考虑到网络的容量,架设新链路,增加互联设备,升级设备等;而实现了VPN就方便多了,只需连接到公用网上,对新加入的网络终端在逻辑上进行设置,也不需要考虑公用网的容量问题、设备问题等。
(3)完全控制主动权:VPN上的设施和服务完全掌握在企业手可。例如,企业可以把拨号访问交给NSP去做,由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。
VPN通过采用“隧道”技术,并在Internet或国际互联网工程工作组(IETF)制定的Ipsec标准统一下,在公众网可形成企业的安全、机密、顺畅的专用链路。
二、VPN的基本工作原理
VPN主要使用了隧道传输(tunneling)技术和加密(encrypting)技术。为了实现保密性, VPN把外发的数据报加密传输。对于私有性,VPN使用隧道技术, 定义了两个网点的路由器之间通过Intern
