2001年全球VPN市场将达到120亿美元。在中国虽然人们对VPN的定义还有些模糊不清,对VPN的安全性、服务质量(QOS)等方面存在疑虑,但互联网和电子商务的快速发展使我们有理由相信,中国的VPN市场将会逐渐热起来。
对国内的用户来说,VPN(虚拟专用网,VirtualPrivateNetwork)最大的吸引力在哪里?据估算,如果企业放弃租用专线而采用VPN,其整个网络的成本可节约21%-45%,至于那些以电话拨号方式联网存取资料的公司,采用VPN则可以节约通讯成本50%-80%。为什么采用VPN可以节约这么多的成本?这就先要从VPN的概念谈起。
一、用户需要的VPN
1、VPN的特点
在实际应用中,用户需要的是什么样的VPN呢?一般情况下,一个高效、成功的VPN应具备以下几个特点:
1)安全保障
虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网路平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接,称之为建立一个隧道,可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送这和接受者了解,从而保证了数据的私有性和安全性。在安全方面,由于VPN直接构建在公用网上使操作变的简单、方便与灵活,但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。ExtranetVPN将企业网扩展到合作伙伴和客户,对安全性提出了更高的要求。
2)服务质量保证(Qos)
VPN网应当为企业数据提供不同等级的服务质量保证,不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户,提供广泛地连接和服该行时保证VPN服务一个主要因素;而对于拥有众多分支机构的专线VPN网络,交互式的内部企业网应用则要求网络能提供良好的稳定性;对于其它应用(如视频等)则对网络提出了更明确的要求,如网络时延及误码率等,所有以上网络应用均要求网络根据需要提供不同等级的服务质量,在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,产生网络瓶颈,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。Qos通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
3)可扩充性和灵活性
VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
4)可管理性
从用户角度和运营商角度应可方便地进行管理、维护。在VPN管理方面,VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成,企业自己仍需要完成许多网络管理任务,所以,一个完善的VPN管理系统是必不可少的。VPN管理的目标为:减小网络危险、具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、Qos管理等内容。
2、自建还是外包
由于VPN低廉的使用成本和良好的安全性,许多大型企业及其分布在各地的办事处或分支构成了VPN顺理成章的用户群,对于那些最需要VPN业务的中小企业来说,一样有合适的VPN策略,当然,不论何种VPN策略,它们都有一个基本目标:在提供与现有专用网络基础设施相当或更高的可管理性、可扩展性以及简单性的基础之上,进一步扩展公司的网络连接。
1)大型企业自建VPN
大型企业用户由于有雄厚的资金投入作保证,可以自己建立VPN,降VPN设备安装在其总部和分支机构中,将各个机购低成本且安全地连接在一起。企业建立自己的VPN,最大的优势自语高控制性,尤其是基于安全基础之上的控制。一个内部VPN能使企业对所有的安全认证,网络系统以及网络访问情况进行控制,建立端到端的安全结构,集成和协调现有的内部安全技术。
企业还可以确保得到业内最好的技术以满足自身的特殊需要,这要优于ISP所提供的普通服务,而且,建立内部VPN能使企业有效节省VPN的运作费用。企业可以节省用于外包管理设备的额外费用,并且能将现有的远程访问和端到端的网络集成起来,以获取最佳性价比的VPN。
虽然VPN外包能避免技术过时,但并不意味着企业可以节省开支。因为,企业最终还要为高额产品支付费用,以作为使用新技术的代价,虽然VPN外包可以简化企业网络部署,但这同样降低了企业对公司网的控制等级,网络越大,企业也就越依赖于外包VPN供应商。因此,自建VPN是大型企业的最好选择。
2)中小型企业外包VPN
虽然每个中小型企业都是相对集中和固定的,但是部门与部门之间、企业与其业务相关企业之间的联系依然需要廉价而安全的信息沟通,在这种情况下就用得上VPN。电信企业,IDC目前提供的VPN服务,更多的是面向中小企业,因为可以整合现有资源,包括网络优势、托管和技术力量来为中小企业提供整体的服务。中小型企业如果自己购买VPN设备,则财务成本较高,而且一般中小型企业的IT人员短缺、技能水平不足、资金能力有限、不足以支持VPN,所以,外包VPN是较好的选择。
Ø外包VPN比企业自己动手建立VPN要快得多,也更为容易;
Ø外包VPN的可扩展性很强,已于企业管理。有统计表明,使用外包VPN方式的企业,可以支持多于2300名用户,而内部VPN平均只能支持大约150名客户。而且,随着用户数母的增长,对用于监控、管理、提供IT资源和人力资源的要求也将成指数增长;
Ø企业VPN必须将安全和性能结合在一起,然而,实际情况中两者不能兼顾。例如:对安全加密级别的配置经常降低VPN的整体性能。而通过提供VPN外包业务的专业ISP的统一管理,可大大提高VPN的性能和安全。ISP的VPN专家还可帮助企业进行VPN决策;
Ø对服务水平协议(SLA)的改进和服务质量(Qos)保证,为企业外包VPN方式提供了进一步的保证。
二、VPN安全技术
由于传输的是私有信息,VPN用户对数据的安全性都比较关心。
目前VPN主要采用四项技术来保证安全,这四项技术分别是:隧道技术(Tunneling)、加解密技术 (Encryption&Decryption)、密钥管理技术(KeyManagement)、使用者与设备身份认证技术 (Authentication)。
1、隧道技术是VPN的基本技术
类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输,第二层隧道协议有L2F、PPTP、L2TP等,L2TP协议是目前IETF的标准,由IETF融合PPTP于L2F而形成。
第三层隧道协议是吧各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等。 IPSec(IPSecurity)是由一组RFC文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在IP层提供安全保障。
2、加解密技术
加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。
3、密钥管理技术
密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种:
ØSKIP主要是利用DiffieHellman的演算法则,在网络上传输密钥;
Ø在SAKMP中,双方都有两把密钥,分别用于公用、私用
4、身份认证技术
身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。
三、堵住安全漏洞
安全问题是VPN的核心问题。目前,VPN的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来实现的,可以保证企业员工安全地访问公司网络。但是,如果一个企业的VPN需要扩展到远程访问时,就要注意,这些对公司网直接或始终在线的连接将会是黑客攻击的主要目标,因为,远程工作员工通过防火墙之外的个人计算机可以接触到公司预算、战略技术以及工程项目等核心内容,这就构成了公司安全防御系统中的弱点。虽然,员工可以双倍地提高工作效率,并减少在交通上所花费的时间,但同时也为黑客、竞争对手以及商业间谍提供了无数进入公司网络核心的机会。