首页      公司简介      产品中心      合作伙伴        招贤纳士    产品论坛    联系我们

   产品简介    PRODUCT

  话务耳机/拨号器/放大器

康达特电话耳机 Kontact

大北欧话务耳机 GN Netcom

MYTEL耳机电话

缤特力话务耳麦 Plantronics

森海塞尔电话耳麦

More

  无线局域网

WLAN无线网桥

WLAN无线网卡

WLAN无线路由器

More

  视频会议,音频会议系统

宝利通音频会议系统

宝利通视频会议系统

宝利通辅助产品

More

  VPN网关

More

  VoIP网关

More

  各类交换机

思科网络交换机

AVAYA程控交换机

北电程控交换机

More

如何选择VPN III

协议选择:协议是核心

在选择VPN产品的时候,还需要关注其采用的协议。因为协议就像人们日常通讯的语言,选择VPN协议,决定了安全性、稳定性等多方因素。

1.VPN协议有那些?

虚拟专用网络(VPN:Virtual Private Net)可以实现不同网络的组件和资源之间的相互连接。虚拟专用网络能够利用Internet或其它公共互联网络的基础设施为用户创建隧道,并提供与专用网络一样的安全和功能保障。
随着因特网的快速发展,近几年不断出现了一些新的网络协议,包括点对点隧道协议(PPTP)、第2层隧道协议(L2TP)、安全IP(IPSec)协议等。

IPSec

基于PKI技术的IPSec协议现在已经成为架构VPN 的基础,它可以为路由器之间、防火墙之间或者路由器和防火墙之间提供经过加密和认证的通信。虽然它的实现会复杂一些,但其安全性比其他协议都完善得多。由于IPSec是IP层上的协议,因此很容易在全世界范围内形成一种规范,具有非常好的通用性,而且IPSec本身就支持面向未来的协议--IPv6。总之,IPSec还是一个发展中的协议,随着成熟的公钥密码技术越来越多地嵌入到IPSec中,现在,该协议会在VPN世界里扮演越来越重要的角色。

IPSec是一种由IETF设计的端到端的确保基于IP通讯的数据安全性的机制。IPSEC支持对数据加密,同时确保数据的完整性。按照IETF的规定,不采用数据加密时,IPSEC使用验证包头(AH)提供验证来源验证(source authentication),确保数据的完整性;IPSec使用封装安全负载(ESP)与加密一道提供来源验证,确保数据完整性。在IPSec协议下,只有发送方和接受方知道秘密密钥。如果验证数据有效,接受方就可以知道数据来自发送方,并且在传输过程中没有受到破坏。

IPSec位于TCP/IP协议栈的下层。该层由每台机器上的安全策略和发送、接受方协商的安全关联(security association)进行控制。安全策略由一套过滤机制和关联的安全行为组成。如果一个数据包的IP地址,协议,和端口号满足一个过滤机制,那么这个数据包将要遵守关联的安全行为。

通过一个位于IP包头和传输包头之间的验证包头可以提供IP负载数据的完整性和数据验证。验证包头包括验证数据和一个序列号,共同用来验证发送方身份,确保数据在传输过程中没有被改动,防止受到第三方的攻击。IPSEC验证包头不提供数据加密;信息将以明文方式发送。为了保证数据的保密性并防止数据被第3方窃取,封装安全负载(ESP)提供了一种对IP负载进行加密的机制。另外,ESP还可以提供数据验证和数据完整性服务;因此在IPSec包中可以用ESP包头替代AH包头。

为实现在专用或公共IP网络上的安全传输,IPSec隧道模式使用的安全方式封装和加密整个IP包。然后对加密的负载再次封装在明文IP包头内通过网络发送到隧道服务器端。隧道服务器对收到的数据报进行处理,在去除明文IP包头,对内容进行解密之后,获的最初的负载IP包。负载IP包在经过正常处理之后被路由到位于目标网络的目的地。

目前,国际化设计的VPN产品,基本都是基于IPSEC协议。

PPTP

PPTP(PointtoPoint Tunneling Protocol)是点对点的协议,基于拨号使用的PPP协议使用PAP或CHAP之类的加密算法,或者使用Microsoft的点对点加密算法MPPE。 而L2TP(Layer 2 Tunneling Protocol)是 L2FP(Layer 2 Forwarding Protocol)和PPTP的结合,依赖PPP协议建立拨号连接,加密的方法也类似于PPTP,但这是一个两层的协议,可以支持非IP协议数据包的传输,如ATM 或X.25,因此也可以说L2TP是PPTP在实际应用环境中的推广。

GRE

GRE(通用路由协议封装)是由Cisco和Net-smiths等公司于1994年提交给IETF的,标号为RFC1701和RFC1702。目前有多数厂商的网络设备均支持GRE隧道协议。
GRE规定了如何用一种网络协议去封装另一种网络协议的方法。GRE的隧道由两端的源IP地址和目的IP地址来定义,允许用户使用IP包封装IP、IPX、AppleTalk包,并支持全部的路由协议(如RIP2、OSPF等)。通过GRE,用户可以利用公共IP网络连接IPX网络、AppleTalk网络,还可以使用保留地址进行网络互连,或者对公网隐藏企业网的IP地址。

2.IPSec的由来

TCP/IP协议族提供了一个开放式的协议平台,正将越来越多的部门和人员用网络连接起来,网络正在快速地改变着我们工作和生活的方式,但是安全性的缺乏已经减慢了联网的发展速度。目前网络面临的各种威胁包括保密数据的泄露、完整性的破坏、身份伪装和拒绝服务等。

IETF:互联网工程任务组(The Internet Engineering Task Force,简称IETF),成立于1985年底,其主要任务是负责互联网相关技术规范的制定。目前,IETF已成为全球互联网界最具权威的大型技术研究组织。

为实现IP网络上的安全,IETF建立了一个Internet安全协议工作组负责IP安全协议和密钥管理机制的制定。经过几年的努力,该工作组提出一系列的协议,构成一个安全体系,总称为IP Security Protocol,简称为IPSec。

3.如何选择VPN协议

通过以上的分析,选择VPN产品的时候,基于IPSEC协议的选择是最安全和最符合企业应用的。PPTP只是适用于点到LAN的ACCESS VPN的接入;GRE可以在部分只是需要语音和视频方面的应用下可以使用。

IPSEC协议经过IETF的数年的完善,现在已经成为主流VPN选择的必备协议。其设计上充分考虑安全性和扩展性,部分产品宣传对IPSEC进行了修改,这恐怕是难以禁得起推敲的。

APN支持GRE/IPSEC/PPTP协议。
                                                        相关链接 VPN系列产品

地址:广东省深圳市罗湖区嘉宾路国际商业大厦北座916室  邮编:518016

电话/Tel:0755-82207996、82207986、82259808     传真/Fax:0755-82259808   

Copyright ©2005 深圳市欣怡海科技有限公司  粤ICP备05119200号