在传统的企业网络配置中,要进行远程访问,传统的方法是租用DDN(数字数据网)专线或帧中继,这样的通讯方案必然导致高昂的网络通讯和维护费用。对于移动用户(移动办公人员)与远端个人用户而言,一般会通过拨号线路(Internet)进入企业的局域网,但这样必然带来安全上的隐患。 [2]
让外地员工访问到内网资源,利用VPN的解决方法就是在内网中架设一台VPN服务器。外地员工在当地连上互联网后,通过互联网连接VPN服务器,然后通过VPN服务器进入企业内网。为了保证数据安全,VPN服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密,就可以认为数据是在一条专用的数据链路上进行安全传输,就如同专门架设了一个专用网络一样,但实际上VPN使用的是互联网上的公用链路,因此VPN称为虚拟专用网络,其实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了VPN技术,用户无论是在外地出差还是在家中办公,只要能上互联网就能利用VPN访问内网资源,这就是VPN在企业中应用得如此广泛的原因。 [3]
- 1.
- 2.网络一(假定为公网internet)的终端A访问网络二(假定为公司内网)的终端B,其发出的访问数据包的目标地址为终端B的内部IP地址。 [4]
- 3.网络一的VPN网关在接收到终端A发出的访问数据包时对其目标地址进行检查,如果目标地址属于网络二的地址,则将该数据包进行封装,封装的方式根据所采用的VPN技术不同而不同,同时VPN网关会构造一个新VPN数据包,并将封装后的原数据包作为VPN数据包的负载,VPN数据包的目标地址为网络二的VPN网关的外部地址。 [4]
- 4.
- 5.网络二的VPN网关对接收到的数据包进行检查,如果发现该数据包是从网络一的VPN网关发出的,即可判定该数据包为VPN数据包,并对该数据包进行解包处理。解包的过程主要是先将VPN数据包的包头剥离,再将数据包反向处理还原成原始的数据包。 [4]
- 6.网络二的VPN网关将还原后的原始数据包发送至目标终端B,由于原始数据包的目标地址是终端B的IP,所以该数据包能够被正确地发送到终端B。在终端B看来,它收到的数据包就和从终端A直接发过来的一样。 [4]
- 7.从终端B返回终端A的数据包处理过程和上述过程一样,这样两个网络内的终端就可以相互通讯了。 [4]
通过上述说明可以发现,在VPN网关对数据包进行处理时,有两个参数对于VPN通讯十分重要:原始数据包的目标地址(VPN目标地址)和远程VPN网关地址。根据VPN目标地址,VPN网关能够判断对哪些数据包进行VPN处理,对于不需要处理的数据包通常情况下可直接转发到上级路由;远程VPN网关地址则指定了处理后的VPN数据包发送的目标地址,即VPN隧道的另一端VPN网关地址。由于网络通讯是双向的,在进行VPN通讯时,隧道两端的VPN网关都必须知道VPN目标地址和与此对应的远端VPN网关地址。 [4]
①要保护主机发送明文信息到其他VPN设备。 [2]
③对需要加密的数据,VPN设备将其整个数据包(包括要传输的数据、源IP地址和目的lP地址)进行加密并附上数据签名,加上新的数据报头(包括目的地VPN设备需要的安全信息和一些初始化参数)重新封装。 [2]
④将封装后的数据包通过隧道在公共网络上传输。 [2]
根据不同的划分标准,VPN可以按几个标准进行分类划分: [5]
(2)交换机式VPN:主要应用于连接用户较少的VPN网络; [5]
VPN的实现有很多种方法,常用的有以下四种: [6]
方法 | 描述 |
---|---|
VPN服务器 | 在大型局域网中,通过网络中心搭建VPN服务器来实现VPN。 |
软件VPN | 使用专用的软件来实现VPN。 |
使用专用的硬件来实现VPN。 | |
集成VPN | 一些硬件设备(如路由器、防火墙等)含有VPN功能,通过集成这些功能来实现VPN。 |
优点 | 描述 |
---|---|
移动性和远程访问 | |
成本效率 | 高速宽带网连接提供一种成本效率高的连接远程办公室的方法。 |
模块化和可升级 | 设计良好的宽带VPN是模块化的和可升级的。 |
易用性 | VPN能够让应用者使用一种很容易设置的互联网基础设施,让新的用户迅速和轻松地添加到这个网络。 |
大容量和应用支持 | 这种能力意味着企业不用增加额外的基础设施就可以提供大量的容量和应用。 |
高水平的安全 | |
完全控制 | 虚拟专用网使用户可以利用ISP的设施和服务,同时又完全掌握着自己网络的控制权。 |
缺点 | 描述 |
---|---|
可靠性 and 性能控制权 | 企业不能直接控制基于互联网的VPN的可靠性和性能。机构必须依靠提供VPN的互联网服务提供商保证服务的运行。 |
部署难度 | 企业创建和部署VPN线路并不容易。这种技术需要高水平地理解网络和安全问题,需要认真的规划和配置。 |
混合产品的不兼容性 | 不同厂商的VPN产品和解决方案总是不兼容的,因为许多厂商不愿意或者不能遵守VPN技术标准。因此,混合使用不同厂商的产品可能会出现技术问题。 |
成本可能增加 | 使用一家供应商的设备可能会提高成本。 |
无线设备的安全风险 | 当使用无线设备时,VPN有安全风险。在接入点之间漫游特别容易出问题。当用户在接入点之间漫游的时候,任何使用高级加密技术的解决方案都可能被攻破。 |
(3)域名几乎一成不变,长时间暴露在外,容易被攻击; [12]
(4)任何人都可以根据域名IP打开登录页面; [12]
(5)VPN容易导致账号共享; [12]
(8)无VPN退出失效机制。 [12]
2003年4月,信息产业部颁发了《电信业务分类目录》,取消了国际电信业务的分类,同时将虚拟专用网业务自基础电信业务中分离出来,成为独立的增值电信业务分类。但是此处的“虚拟专用网”概念与行业内的VPN业务是不一样的。新的《电信业务分类目录》中对该分类的解释是:国内因特网虚拟专用网业务(IP-VPN)是指经营者利用自有的或租用公用因特网网络资源,采用TCP/IP协议,为国内用户定制因特网闭合用户群网络的服务。这种分类的解释强调了两个特点,一个是利用因特网网络资源,一个是采用TCP/IP协议。这种解释是与当时的市场状况所对应的,当时关注的是基于互连网的IPSec VPN,虽然该解释可以基本涵盖后出现的SSL VPN模式,但并没有关注MPLS VPN。 [7]
2006年1月,信息产业部发布《关于两项增值电信业务及国内多方通信服务的通告》,正式开放“国内因特网虚拟专用网业务”和“在线数据处理与交易处理业务”两项增值电信业务,上述两项增值电信业务由商用试验转为正式商用。 [8]
2013年,工业与信息化部公布的《电信业务分类目录(征求意见稿)》中仍然没有对此作出任何改变。 [9]
2017年1月,工信部出台了《关于清理规范互联网网络接入服务市场的通知》,《通知》主要是为了更好地规范市场的行为,规范的对象主要是未经电信主管部门批准,无国际通信业务经营资质的企业和个人,租用国际专线或者VPN,违规开展跨境电信业务经营活动。这些规定主要是对那些无证经营的、不符合规范的进行清理,对于依法依规的企业和个人不会带来什么影响。 [11]