虚拟专用网络系统的应用

在现今的信息科技年代，每一个迅速发展的企业都已全面应用网际网络在所有业务环节中，以配合分公司、远程工作人员和其它外连网络用户增长之需求。然而，网际网络在安全上潜在着严重的问题，产生很多漏洞，使得企业主机遭受计算机病毒感染，或者资料数据外泄的机会大增。为满足企业在网络安全方面的需求，加密、虚拟专用网络(VPN)及相关技术相继涌现，但许多信息科技企业却没有时间和专才为企业执行相关的安全方案。对企业来说，他们需要专注于经营业务发展，而不是管理信息科技的工作；因此，越来越多企业把网络连接以及主要的电子商务和企业应用方案外包给其它服务供货商。据市场研究机构Infonetics指出，VPN服务的市场总值到2003年把增至350亿美元，即由2000年至2004年间，市场的年成长率高达606%。这种情况显示目前网站代管、主机代管设施和可控安全等市场的服务供货商正采用多种不同的安全产品和平台，来肩负起保护重要客户数据之重任。所以，一个可高度扩展和操作互通的方案对于上述的服务供货商是极为重要的。

随着企业把服务外包的情况不断增加，服务供货商的安全系统必须能够扩展，以迎合市场增长之需求。可是，大部分供货商直到最近仍被迫把供企业用的防火墙和VPN等安全产品「拼凑」成不完整的方案。

VPN旨在确保透过公共网络连接的两个或多个点之间的安全和专有通讯，在业界皆追求操作简易和费用廉宜的网络方案的情况下，VPN被普遍采用。根据IDC和Infonetics的统计显示，到2003年时，防火墙产品的销售额把增至14亿美元，而VPN产品更高达33亿美元。

VPN的销售能不断攀升，是由于VPN技术拥有众多的优点，使得企业对VPN的需求增加。VPN利用先进的加密和身份确认协议提供高度的安全性，较传统的专线网络更具高成本效益。VPN技术出现后，企业无需再使用收费昂贵的800号码或长途电话连接调制解调器群组，远程用户只需要通过当地的网际网络服务供货商便可连接至企业网络。VPN亦可帮助远距办公室透过网际网络与企业保持联系，无需使用费用较高的讯框中继(Frame Relay)或专属线路等私人网络。

VPN的可扩展性特点更能节省企业在设备方面之成本开支，无需增添大量的基础设施便可无限量地扩充系统容量。企业亦能够充分利用网际网络服务供货商之基础设施，只需一台VPN设备和一条数字用户回路(DSL)，便可代替昂贵的服务器和调制解调器线路。

但是VPN要和防火墙等其它安全产品结合一并使用，才能发挥最大的效能。所以我们只要了解VPN技术的基础标准和建立标准时所遇到的挑战，便能妥善地运用VPN和防火墙各自的独特功能。

目前网络、拨号连接所采用的标准为IPSec(Internet Protocol Security)。尽管IPSec是众多协议中最为复杂的，然而它包含网络安全的所有元素，而成为业界中被肯定的标准。

其它较为普遍的协议有PPTP和L2TP，虽然两者同样包括部分主要的安全元素，却不及IPSec的表现全面和高度效率。

IPSec提供一般专有远程访问方案所不能提供的加密、关键管理和严密的身份确认标准，使其顺理成章地成为满足VPN公共线路要求的唯一选择。值得注意的是，安全标准的未来发展很可能是把L2TP的强力度纳入IPSec的安全性内。

所有这些特别元素令IPSec的执行较为复杂，单是其基本的加密功能已经对一般的硬件和软件式产品造成容量压力。要建立一条信道，IPSec除了需要加密外，还要利用公钥密码演算来提供高度安全性，以确认信道两端的身份及保障数据经过信道时能保持其隐私。

大部分防火墙都有提供内容过滤和病毒扫瞄的功能，这些都是任何企业最关注的安全问题。但是这些功能却会带来降低网际网络性能的副作用，如果为远程访问用户再加入软件式加密设备，防火墙肯定会丧失其应有的功能。

在此情况下，供货商采用多种不同作法解决这些问题，有些防火墙供货商转用硬件式加密加速卡，以减轻软件式存取监管产品的负载。但这种方法只是权宜之计，因为尽管在一般用途的计算机加装硬件配件可以短暂地提高VPN的性能，但长远来说，对总线速度和其它架构上则会有所限制。

而且，当系统需要处理远程访问用户及其加密信道的特别需求时，仍然是力有不逮的。远程用户经常地登入和注销网络，同时，每条新信道需要多重公钥运作，处理这些运作必须使用特别专属的硬设备，犹如VPN市场中的法拉利品牌。

高性能的VPN系统和产品在设计上必须兼具面板配置、处理器速度、提升驱动器性能，以及加上用作公钥运作和加密的订制安全ASIC芯片。若干测试显示这种设备装置与硬件加速组态的软件式产品比较，产品性能方面可快五至十倍之多。

当然，在比较VPN系统的性能时，速度只是其中一项因素，我们还需考虑管理能力的问题。在选购独立的VPN和防火墙产品时，首先需要决定怎么样把它们互相整合，以及怎么样配合其它设备如网络地址转译(NAT)、公钥基建(PKI)和路由器等。

把这些功能和次系统结合为一整套安全系统是极具挑战性的工作，因为过程中存在很多变量、限制和未能互相兼容的问题。当使用不同的设备装置分别处理IPSec VPN、存取监管(防火墙)和NAT时，可以预见把会发生以下的情形：由于VPN流量是通往VPN网关器，进入网络时不会有任何问题，但要令VPN流量经由正确的设备装置离开网络，却是一大难题。IPSec功能具有高度的安全性，使其无法与 NAT功能无缝地接合起来。在安全信道的传输中，NAT装置会令IP地址转变，因而改变原来的封包资料，做成「中途拦截攻击式」的情况，导致IPSec连接受到阻断。此外，部分IPSec协议，例如标题确认(authentication header)主要是保障封包不会被改变，因此在原则上不能与NAT兼容。

就算可寻找到一项IPSec协议能与NAT兼容，却会有其它问题出现，例如负责IPSec所需的对称密码钥交换的Internet Key Exchange (IKE) 管理协议，在众多NAT组态下，无法执行安全确认。这些问题只有两种可行的解决作法。第一是完成NAT程序后才进行处理IPSec；第二是由整合式硬件VPN与防火墙产品之同一系统内处理两者的运作。

倘若把VPN系统设置在防火墙以外，由于所有流量在到达防火墙时已经解密，会导致防火墙无法分辨出加密与非加密的流量；再者，我们亦无法为防火墙建立政策。在这情况下，即使VPN网关器采用数码认证的方法，亦无法确认在线路另一端的对方身份，结果可能需要用户进行一次、两次或多次身份确认。

 如果您对本文有任何疑问或者建议，请到讨论区发表您的意见: >> 论坛入口 <<

上一页12 下一页

上一篇： 1-100端口大全中文版   下一篇：Cisco教材 选路信息协议（RIP）详解

【文章评论】 【收藏本文】 【推荐好友】 【打印本文】 【我要投稿】 【论坛讨论】