概要:如同任何的网络资源一样,VPN也必须得到有效的管理。同时需要关注的还有VPN的安全问题,尤其是和Internet相关的安全问题。针对这一方面,目前所有的VPN设备都应用了相关的核心技术,这些技术包括隧道协议 (Tunneling)、资料加密 (Encryption)、认证 (Authentication)及存取控制 (Access control)等。(1)隧道协议 (Tunneling):一般而言,隧道协议技术区分为两种不同的类型。第一种类型是端对点(End-to-End)隧道技术;从用户的PC延伸到用户所连接的服务器上。每个端点的VPN设备都必须负责隧道的建立与端点之间资料加密及解密等工作。第二种类是节点对节点(Node-to-Node)隧道技术。主要是连接不同地区的局域网络。在局域网络内部传送的资料并不需做任何的变动;一旦资料必需经由网络外围(edge)的VPN设备传送到不同的局域网络时,这些数据才会被加密且经由隧道传送给下一个节点的对应设备。当节点收到资料后,VPN设备会将这些资料解密,还原成原来的
常见远程连接的方法及安全问题,标签:电脑技巧大全,电脑技术,http://www.laixuea.com如同任何的网络资源一样,VPN也必须得到有效的管理。同时需要关注的还有VPN的安全问题,尤其是和Internet相关的安全问题。针对这一方面,目前所有的VPN设备都应用了相关的核心技术,这些技术包括隧道协议 (Tunneling)、资料加密 (Encryption)、认证 (Authentication)及存取控制 (Access control)等。
(1)隧道协议 (Tunneling):
一般而言,隧道协议技术区分为两种不同的类型。第一种类型是端对点(End-to-End)隧道技术;从用户的PC延伸到用户所连接的服务器上。每个端点的VPN设备都必须负责隧道的建立与端点之间资料加密及解密等工作。
第二种类是节点对节点(Node-to-Node)隧道技术。主要是连接不同地区的局域网络。在局域网络内部传送的资料并不需做任何的变动;一旦资料必需经由网络外围(edge)的VPN设备传送到不同的局域网络时,这些数据才会被加密且经由隧道传送给下一个节点的对应设备。当节点收到资料后,VPN设备会将这些资料解密,还原成原来的格式传送到内部局域网络。隧道利用软件「覆盖」在一个实体网络之上,构成VPN的虚拟特性,让其上任何一个连接看起来像是线路上唯一的交通。隧道也让一个VPN得以维持一如内部网络的安全性和优先性,以提供交通控制能力。
目前大部分的VPN 设备都采用下面这些隧道技术:IPSec (Internet Protocol Security,IP安全协议)、GRE(Generic Route Encapsulation)、L2TP (Layer 2 TunnelingProtocol,第二层隧道协议)、L2F及PPTP (Point-to-Point Tunneling Protocol,点对点隧道协议)。IT管理人员必须从VPN 设备所采用的众多核心技术之中,挑选出最适合他们特质的产品技术,并将挑选出来的各项产品应用在网络上。
(2)资料加密 (Encryption):
大部分的VPN设备厂商都支持市场上主要的几种加密技术,像RSA Security公司的Rivest Cipher技术、DES及Triple-DES (三重DES)等。密钥长度的选择取决于许多的因素,较明显的因素包括:确保资料机密的重要性程度以及资料所流经的网络安全性等。
一旦VPN采用加密技术后,系统也必须提供用户一套取得密钥的方法。最常见的几种密钥管理技术为:PPP (Point-to-Point Procotol,点对点协议)中的ECP (Encrytion Control Protocol,加密控制协议)协议、具备密钥管理功能的MPPE (Microsoft Point-to-PointEncryption,Microsoft点对点加密技术)、以及ISAKMP/IKE(Internet Society Association KeyManagement Protocol/Internet Key Exchange)等。
VPN提供私密性。加密应只使用于特别敏感的交通,当有需要时才使用,或加装硬件加密模块,因为加密非常占用处理器资源,而且会影响速度性能。
(3)认证 (Authentication):
VPN采用了许多现存的用户认证技术。举例来说,许多厂商所推出的VPN设备中,都具备了PPP的PAP (Password AuthenticationProtocol,密码认证协议)技术、CHAP (Challenge Handshake AuthenticationProtocol,查间性握手验证协议)以及Microsoft CHAP的支持能力。
不过VPN连接中一般都包括两种形式的认证:(a)用户身份认证,在VPN连接建立之前,VPN服务器对请求建立连接的VPN客户机进行身份验证,核查其是否为合法的授权用户。如果使用双向验证,还需进行VPN客户机对VPN服务器的身份验证,以防伪装的非法服务器提供错误信息。(b)数据完整性和合法性认证,检查链路上传输的数据是否出自源端以及在传输过程中是否经过篡改。VPN链路中传输的数据包含密码检查和,密钥只由发送者和接受者双方共享。
(4)存取控制 (Accesscontrol):
在确认用户身份之后,进一步所需要的功能就是针对不同的用户授予不同的存取权限。这部分的功能也是认证服务器拥有的另一功能。
许多VPN的产品都伴随有适用该产品的认证服务器,如RADIUS (Remote AuthenticationDial-In User Service,拨号用户远程认证服务器)及TACAS (Terminal AccessController Access System,终端存取控制存取系统)共同运作的能力。用户必须接受身分认证(Authentication),让网络知道他们是谁;和授权程序(Authorization),让用户知道他们可以做些什么;一个良好的系统也会执行帐户稽核(Accounting),以追踪支出源和确保安全性。验证、授权和帐户稽核,统称为AAA服务。