基于SSL VPN系統(tǒng)架構網(wǎng)絡的應用

2013-12-05 15:10:53 電力信息化　點擊量：評論 (0)

摘要：本文對實現(xiàn)VPN（Virtual Private Network）的幾種技術做了介紹，比較詳細地對IPSec VPN和SSL VPN進行比較，從應用、安全角度等考慮如何選擇合適的VPN技術，并且結合天津電力的應用和安全需求，介紹了S

摘要：本文對實現(xiàn)VPN（Virtual Private Network）的幾種技術做了介紹，比較詳細地對IPSec VPN和SSL VPN進行比較，從應用、安全角度等考慮如何選擇合適的VPN技術，并且結合天津電力的應用和安全需求，介紹了SSL VPN接入方案、保證安全的措施，以及SSL VPN認證過程。

關鍵詞：遠程接入、安全性、隧道協(xié)議、VPN 、IPSec、SSL、數(shù)據(jù)加密、用戶認證、數(shù)據(jù)壓縮

一、引言

隨著Internet網(wǎng)絡規(guī)模與使用的擴大和廣泛化，通過Internet傳輸保密數(shù)據(jù)的安全性需求日益提上議程。分布式企業(yè)想在處于不同地域的部門之間安全傳遞數(shù)據(jù)，傳統(tǒng)的方法是使用租用線路將各部門的私有網(wǎng)絡相連，并使用租用線路進行內(nèi)部通訊。該方案的主要缺點在于租用線路價格昂貴。一種新的降低成本的途徑是允許單位配置VPN技術，不用任何租用線路? 通過Internet傳輸加密數(shù)據(jù)，這樣可以把線路費用降到最低。該技術通過隧道和加密技術達到類似私有網(wǎng)絡的安全數(shù)據(jù)傳輸功能,有著非常廣闊的應用前景。VPN具有下面的優(yōu)點：

(1) 降低成本：企業(yè)不必租用長途專線建設專網(wǎng)，不必大量的網(wǎng)絡維護人員和設備投資。利用現(xiàn)有的公用網(wǎng)組建的Intranet，要比租用專線或鋪設專線要節(jié)省開支，而且當距離越遠時節(jié)省的越多。如：某企業(yè)的北京與紐約分部之間的連接，不太可能自鋪專線：當一個遠程用戶在紐約想要連到北京的Intranet，用拔號訪問時，花的是國際長途話費；而用VPN技術時，只需在紐約和北京分別連接到當?shù)氐腎nternet就實現(xiàn)了互聯(lián)，雙方花的都是市話費。

（2）容易擴展：網(wǎng)絡路由設備配置簡單，無需增加太多的設備，省時省錢。對于發(fā)展很快的企業(yè)來說，VPN就更是不可不用了。如果企業(yè)組建自己的專用網(wǎng)，在擴展網(wǎng)絡分支時，考慮到網(wǎng)絡的容量，架設新鏈路，增加互聯(lián)設備，升級設備等；而實現(xiàn)了VPN就方便多了，只需連接到公用網(wǎng)上，對新加入的網(wǎng)絡終端在邏輯上進行設置，也不需要考慮公用網(wǎng)的容量問題、設備問題等。

（3）完全控制主動權：VPN上的設施和服務完全掌握在企業(yè)手可。例如，企業(yè)可以把撥號訪問交給NSP去做，由自己負責用戶的查驗、訪問權、網(wǎng)絡地址、安全性和網(wǎng)絡變化管理等重要工作。

VPN通過采用“隧道”技術，并在Internet或國際互聯(lián)網(wǎng)工程工作組（IETF）制定的Ipsec標準統(tǒng)一下，在公眾網(wǎng)可形成企業(yè)的安全、機密、順暢的專用鏈路。

二、VPN的基本工作原理

VPN主要使用了隧道傳輸(tunneling)技術和加密(encrypting)技術。為了實現(xiàn)保密性, VPN把外發(fā)的數(shù)據(jù)報加密傳輸。對于私有性，VPN使用隧道技術, 定義了兩個網(wǎng)點的路由器之間通過Intern