基于SSL VPN系統(tǒng)架構網(wǎng)絡的應用

2013-12-05 15:10:53 電力信息化　點擊量：評論 (0)

摘要：本文對實現(xiàn)VPN（Virtual Private Network）的幾種技術做了介紹，比較詳細地對IPSec VPN和SSL VPN進行比較，從應用、安全角度等考慮如何選擇合適的VPN技術，并且結合天津電力的應用和安全需求，介紹了S

et的一個隧道, 并使用IP-IN-IP封裝通過隧道轉發(fā)數(shù)據(jù)報。其基本原理如圖１所示，為了確保保密性?內層數(shù)據(jù)經(jīng)過加密。如圖一所示，VPN授權主機A發(fā)給主機B的整個內層數(shù)據(jù)報,包括首部,在被封裝前進行了加密。當數(shù)據(jù)報通過隧道到達VPN服務器時, VPN服務器將數(shù)據(jù)區(qū)解密, 還原出內層數(shù)據(jù)報, 然后轉發(fā)該數(shù)據(jù)報給B主機。它們之間的數(shù)據(jù)傳輸過程是透明的。Ａ要發(fā)送的原始信息包的目的地址就是Ｂ, 用戶并無覺察數(shù)據(jù)經(jīng)過打包交由VPN服務器轉發(fā)給Ｂ, 反之亦然。感覺上Ａ和Ｂ之間存在一條虛擬的加密直達鏈路?？傊?VPN通過Internet傳輸數(shù)據(jù), 但對網(wǎng)點間傳輸進行加密,以保證保密性。

圖一：VPN原理圖

包含了三個基本元素：(1)授權：VPN服務器對遠程接入終端進行授權接入VPN,(2)加密：遠程接入終端發(fā)送的數(shù)據(jù)加密后才通過非私有網(wǎng)傳輸；(3)隧道：遠程接入終端發(fā)送的數(shù)據(jù)經(jīng)過封裝?由VPN服務器轉發(fā)。

三、VPN技術介紹

IPSec(IP Security) VPN的介紹

IPSec的工作原理(如圖2所示)類似于包過濾防火墻，可以看作是對包過濾防火墻的一種擴展。當接收到一個IP數(shù)據(jù)包時，包過濾防火墻使用其頭部在一個規(guī)則表中進行匹配。當找到一個相匹配的規(guī)則時，包過濾防火墻就按照該規(guī)則制定的方法對接收到的IP數(shù)據(jù)包進行處理。這里的處理工作只有兩種：丟棄或轉發(fā)。

　　　圖2 IPSec工作原理示意圖

IPSec通過查詢SPD(Security P01icy Database安全策略數(shù)據(jù)庫)決定對接收到的IP數(shù)據(jù)包的處理。但是IPSec不同于包過濾防火墻的是，對IP數(shù)據(jù)包的處理方法除了丟棄，直接轉發(fā)(繞過IPSec)外，還有一種，即進行IPSec處理。正是這新增添的處理方法提供了比包過濾防火墻更進一步的網(wǎng)絡安全性?！　?/span>

進行IPSec處理意味著對IP數(shù)據(jù)包進行加密和認證。包過濾防火墻只能控制來自或去往某個站點的IP數(shù)據(jù)包的通過，可以拒絕來自某個外部站點的IP數(shù)據(jù)包訪問內部某些站點，．也可以拒絕某個內部站點方對某些外部網(wǎng)站的訪問。但是包過濾防火墻不能保證自內部網(wǎng)絡出去的數(shù)據(jù)包不被截取，也不能保證進入內部網(wǎng)絡的數(shù)據(jù)包未經(jīng)過篡改。只有在對IP數(shù)據(jù)包實施了加密和認證后，才能保證在外部網(wǎng)絡傳輸?shù)臄?shù)據(jù)包的機密性，真實性，完整性，通過Internet進新安全的通信才成為可能。

IPSec既可以只對IP數(shù)據(jù)包進行加密，或只進行認證，也可以同時實施二者。但無論是進行加密還是進行認證，IPSec都有兩種工作模式，一種是與其前一節(jié)提到的協(xié)議工作方式類似的隧道模式，另一種是傳輸模式。

IPSec VPN可以為公司分支點之間的通訊提供一種簡單的，高性價比的方法，其高連接性和彈性可以滿足大多數(shù)的