簡介
VPN屬于遠程訪問技術,簡單地說就是利用公用網絡架設專用網絡。例如某公司員工出差到外地,他想訪問企業内網的服務器資源,這種訪問就屬于遠程訪問。
在傳統的企業網絡配置中,要進行遠程訪問,傳統的方法是租用DDN(數字數據網)專線或幀中繼,這樣的通訊方案必然導緻高昂的網絡通訊和維護費用。對于移動用戶(移動辦公人員)與遠端個人用戶而言,一般會通過撥号線路(Internet)進入企業的局域網,但這樣必然帶來安全上的隐患。
讓外地員工訪問到内網資源,利用VPN的解決方法就是在内網中架設一台VPN服務器。外地員工在當地連上互聯網後,通過互聯網連接VPN服務器,然後通過VPN服務器進入企業内網。為了保證數據安全,VPN服務器和客戶機之間的通訊數據都進行了加密處理。有了數據加密,就可以認為數據是在一條專用的數據鍊路上進行安全傳輸,就如同專門架設了一個專用網絡一樣,但實際上VPN使用的是互聯網上的公用鍊路,因此VPN稱為虛拟專用網絡,其實質上就是利用加密技術在公網上封裝出一個數據通訊隧道。有了VPN技術,用戶無論是在外地出差還是在家中辦公,隻要能上互聯網就能利用VPN訪問内網資源,這就是VPN在企業中應用得如此廣泛的原因。
工作原理
通常情況下,VPN網關采取雙網卡結構,外網卡使用公網IP接入Internet。
網絡一(假定為公網internet)的終端A訪問網絡二(假定為公司内網)的終端B,其發出的訪問數據包的目标地址為終端B的内部IP地址。
網絡一的VPN網關在接收到終端A發出的訪問數據包時對其目标地址進行檢查,如果目标地址屬于網絡二的地址,則将該數據包進行封裝,封裝的方式根據所采用的VPN技術不同而不同,同時VPN網關會構造一個新VPN數據包,并将封裝後的原數據包作為VPN數據包的負載,VPN數據包的目标地址為網絡二的VPN網關的外部地址。
網絡一的VPN網關将VPN數據包發送到Internet,由于VPN數據包的目标地址是網絡二的VPN網關的外部地址,所以該數據包将被Internet中的路由正确地發送到網絡二的VPN網關。
網絡二的VPN網關對接收到的數據包進行檢查,如果發現該數據包是從網絡一的VPN網關發出的,即可判定該數據包為VPN數據包,并對該數據包進行解包處理。解包的過程主要是先将VPN數據包的包頭剝離,再将數據包反向處理還原成原始的數據包。
網絡二的VPN網關将還原後的原始數據包發送至目标終端B,由于原始數據包的目标地址是終端B的IP,所以該數據包能夠被正确地發送到終端B。在終端B看來,它收到的數據包就和從終端A直接發過來的一樣。
從終端B返回終端A的數據包處理過程和上述過程一樣,這樣兩個網絡内的終端就可以相互通訊了。
通過上述說明可以發現,在VPN網關對數據包進行處理時,有兩個參數對于VPN通訊十分重要:原始數據包的目标地址(VPN目标地址)和遠程VPN網關地址。根據VPN目标地址,VPN網關能夠判斷對哪些數據包進行VPN處理,對于不需要處理的數據包通常情況下可直接轉發到上級路由;遠程VPN網關地址則指定了處理後的VPN數據包發送的目标地址,即VPN隧道的另一端VPN網關地址。由于網絡通訊是雙向的,在進行VPN通訊時,隧道兩端的VPN網關都必須知道VPN目标地址和與此對應的遠端VPN網關地址。
工作過程
VPN的基本處理過程如下:
①要保護主機發送明文信息到其他VPN設備。
②VPN設備根據網絡管理員設置的規則,确定是對數據進行加密還是直接傳輸。
③對需要加密的數據,VPN設備将其整個數據包(包括要傳輸的數據、源IP地址和目的lP地址)進行加密并附上數據簽名,加上新的數據報頭(包括目的地VPN設備需要的安全信息和一些初始化參數)重新封裝。
④将封裝後的數據包通過隧道在公共網絡上傳輸。
⑤數據包到達目的VPN設備後,将其解封,核對數字簽名無誤後,對數據包解密。
分類标準
根據不同的劃分标準,VPN可以按幾個标準進行分類劃分:
按VPN的協議分類
VPN的隧道協議主要有三種,PPTP、L2TP和IPSec,其中PPTP和L2TP協議工作在OSI模型的第二層,又稱為二層隧道協議;IPSec是第三層隧道協議。
按VPN的應用分類
(1)Access VPN(遠程接入VPN):客戶端到網關,使用公網作為骨幹網在設備之間傳輸VPN數據流量;
(2)Intranet VPN(内聯網VPN):網關到網關,通過公司的網絡架構連接來自同公司的資源;
(3)Extranet VPN(外聯網VPN):與合作夥伴企業網構成Extranet,将一個公司與另一個公司的資源進行連接。
按所用的設備類型進行分類
網絡設備提供商針對不同客戶的需求,開發出不同的VPN網絡設備,主要為交換機、路由器和防火牆:
(1)路由器式VPN:路由器式VPN部署較容易,隻要在路由器上添加VPN服務即可;
(2)交換機式VPN:主要應用于連接用戶較少的VPN網絡;
按照實現原理劃分
(1)重疊VPN:此VPN需要用戶自己建立端節點之間的VPN鍊路,主要包括:GRE、L2TP、IPSec等衆多技術。
(2)對等VPN:由網絡運營商在主幹網上完成VPN通道的建立,主要包括MPLS、VPN技術。
實現方式
VPN的實現有很多種方法,常用的有以下四種:
1.VPN服務器:在大型局域網中,可以通過在網絡中心搭建VPN服務器的方法實現VPN。
2.軟件VPN:可以通過專用的軟件實現VPN。
3.硬件VPN:可以通過專用的硬件實現VPN。
4.集成VPN:某些硬件設備,如路由器、防火牆等,都含有VPN功能,但是一般擁有VPN功能的硬件設備通常都比沒有這一功能的要貴。
優缺點
優點
1.VPN能夠讓移動員工、遠程員工、商務合作夥伴和其他人利用本地可用的高速寬帶網連接(如DSL、有線電視或者WiFi網絡)連接到企業網絡。此外,高速寬帶網連接提供一種成本效率高的連接遠程辦公室的方法。
2.設計良好的寬帶VPN是模塊化的和可升級的。VPN能夠讓應用者使用一種很容易設置的互聯網基礎設施,讓新的用戶迅速和輕松地添加到這個網絡。這種能力意味着企業不用增加額外的基礎設施就可以提供大量的容量和應用。
3.VPN能提供高水平的安全,使用高級的加密和身份識别協議保護數據避免受到窺探,阻止數據竊賊和其他非授權用戶接觸這種數據。
4.完全控制,虛拟專用網使用戶可以利用ISP的設施和服務,同時又完全掌握着自己網絡的控制權。用戶隻利用ISP提供的網絡資源,對于其它的安全設置、網絡管理變化可由自己管理。在企業内部也可以自己建立虛拟專用網。
缺點
1.企業不能直接控制基于互聯網的VPN的可靠性和性能。機構必須依靠提供VPN的互聯網服務提供商保證服務的運行。這個因素使企業與互聯網服務提供商簽署一個服務級協議非常重要,要簽署一個保證各種性能指标的協議。
2.企業創建和部署VPN線路并不容易。這種技術需要高水平地理解網絡和安全問題,需要認真的規劃和配置。因此,選擇互聯網服務提供商負責運行VPN的大多數事情是一個好主意。
3.不同廠商的VPN産品和解決方案總是不兼容的,因為許多廠商不願意或者不能遵守VPN技術标準。因此,混合使用不同廠商的産品可能會出現技術問題。另一方面,使用一家供應商的設備可能會提高成本。
4.當使用無線設備時,VPN有安全風險。在接入點之間漫遊特别容易出問題。當用戶在接入點之間漫遊的時候,任何使用高級加密技術的解決方案都可能被攻破。
面臨的問題
(1)VPN域名/IP地址公開透明,受衆面太廣;
(2)外網地址相對固定,缺少變化;
(3)域名幾乎一成不變,長時間暴露在外,容易被攻擊;
(4)任何人都可以根據域名IP打開登錄頁面;
(5)VPN容易導緻賬号共享;
(6)VPN默認登錄時間到達後強制退出,用戶體驗不好;
(7)無白名單管控;
(8)無VPN退出失效機制。
相關法律法規及政策
2003年4月,信息産業部頒發了《電信業務分類目錄》,取消了國際電信業務的分類,同時将虛拟專用網業務自基礎電信業務中分離出來,成為獨立的增值電信業務分類。但是此處的“虛拟專用網”概念與行業内的VPN業務是不一樣的。新的《電信業務分類目錄》中對該分類的解釋是:國内因特網虛拟專用網業務(IP-VPN)是指經營者利用自有的或租用公用因特網網絡資源,采用TCP/IP協議,為國内用戶定制因特網閉合用戶群網絡的服務。這種分類的解釋強調了兩個特點,一個是利用因特網網絡資源,一個是采用TCP/IP協議。這種解釋是與當時的市場狀況所對應的,當時關注的是基于互連網的IPSec VPN,雖然該解釋可以基本涵蓋後出現的SSL VPN模式,但并沒有關注MPLS VPN。
2006年1月,信息産業部發布《關于兩項增值電信業務及國内多方通信服務的通告》,正式開放“國内因特網虛拟專用網業務”和“在線數據處理與交易處理業務”兩項增值電信業務,上述兩項增值電信業務由商用試驗轉為正式商用。
2013年,工業與信息化部公布的《電信業務分類目錄(征求意見稿)》中仍然沒有對此作出任何改變。
2015年1月27日,工信部回應VPN被封事件,表示一些不良信息應該按照中國法律進行管理。工信部此前發布規定,在中國提供VPN服務的公司必須登記注冊,否則将“不會受到中國法律的保護”。
2017年1月,工信部出台了《關于清理規範互聯網網絡結構服務市場的通知》,《通知》主要是為了更好地規範市場的行為,規範的對象主要是未經電信主管部門批準,無國際通信業務經營資質的企業和個人,租用國際專線或者VPN,違規開展跨境電信業務經營活動。這些規定主要是對那些無證經營的、不符合規範的進行清理,對于依法依規的企業和個人不會帶來什麼影響。
關于VPN的問題,工信部信息通信發展司司長聞庫補充稱,在中國經營相關業務應該按照中國的法律法規來進行申請許可,這實際上在全世界很多國家都是這樣做的。在美國、在歐洲、在亞洲都是這樣做的,各個國家的管理方式也不盡相同。在中國三大運營商給老百姓提供服務方面做了大量工作,網速不斷提升,取得了很好的成效。
聞庫表示,特别是數字經濟方面,大街小巷特别是地鐵口邊上的共享單車等等,說明網絡覆蓋是非常完善的,應用是日益廣泛的。同時我們也會關注老百姓的一些需求。但是通過網絡來傳播有害甚至是暴恐信息,是中國法律所不允許的。
