VPN的作用与原理

VPN的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”。顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或WINDOWS2000等软件里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。

针对不同的用户要求,VPN有三种解决方案:远程访问虚拟网(Access VPN)、企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(Extranet VPN),这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet(外部扩展)相对应。
VPN网关是实现局域网(LAN)到局域网连接的设备。从字面上我们就能够知道它可以实现两大功能:VPN和网关。广义上讲,支持VPN(虚拟专用网)的路由器和防火墙等设备都可以算作VPN网关。目前常见的VPN网关产品可以包括单纯的VPN网关、VPN路由器、VPN防火墙、VPN服务器等产品。
典型的VPN网关产品应该具有以下性能:
它应集成包过滤防火墙和应用代理防火墙的功能。
企业级VPN产品是从防火墙产品发展而来,防火墙的功能特性己经成为它的基本功能集中的一部分。如果是一个独立的产品,VPN与防火墙的协同工作会遇到很多难以解决的问题,有可能不同厂家的防火墙和VPN不能协同工作,防火墙的安全策略无法制定(这是由于VPN把IP数据包加密封装的缘故)或者带来性能的损失,如防火墙无法使用NAT功能等等。而如果采用功能整合的产品,则上述问题不存在或很容易解决。
VPN应有一个开放的架构。
VPN部署在企业接入因特网的路由器之后,或者它本身就具有路由器的功能,因此,它己经成为保护企业内部资产安全最重要的门户。阻止黑客入侵、检查病毒、身份认证与权限检查等很多安全功能需要VPN完成或在同VPN与相关产品协同完成。因此,VPN必须按照一个开放的标准,提供与第三方安全产品协同工作的能力。
有完善的认证管理。
一个VPN系统应支持标准的认证方式,如RADIUS(Remote
Authentication Dial In User Service,远程认证拨号用户服务)认证、基于PKI(Public Key Infrastructure,公钥基础设施)的证书认证以及逐渐兴起的生物识别技术等等。对于一个大规模的VPN系统,PKI/KMI的密钥管理中心,提供实体(人员、设备、应用)信息的LDAP目录服务及采用标准的强认证技术(令牌、IC卡)是一个VPN系统成功实施和正常运行必不可少的条件。
VPN应提供第三方产品的接口。
当用户部署了客户到LAN的VPN方案时,VPN产品应提供标准的特性或公开的API(应用程序编程接口),可以从公司数据库中直接输入用户信息。否则,对于一个有数千甚至上万的SOHO人员和移动办公人员的企业来说,单独地创建和管理用户的权限是不可想像的。
VPN网关应拥有IP过滤语言,并可以根据数据包的性质进行包过滤。
数据包的性质有目标和源IP地址、协议类型、源和目的TCP/UDP端口、TCP包的ACK位、出栈和入栈网络接口等。