VPN 技术应用.docVIP

VPN 技术应用 　　摘要：VPN（虚拟专用网）技术是采用隧道技术以及加密、身份认证等方法，在公共网络上构建企业网络的技术。该文首先对VPN的基本原理进行说明，结合TCP/IP协议、加密技术等与VPN相关基础知识较详细论述了VPN通道技术以及IPsec协议和VNP的两个主要协议： 认证头协议（AH）和封装安全载荷协议（LZTP）。最后展示了VPN的不同应用场景。 　　关键词：VPN；隧道；安全传输 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2015）27-0042-03 　　随着网络技术的快速发展，越来越多的组织或单位的员工需要随时随地连接到总部的网络，很多跨国企业在全球建立多个分支机构，同时企业也要使用网络与合作伙伴或客户之间进行动态的联系，这些都会给企业带来了网络的管理和安全性问题[1]。VPN（visual Private Network）技术就是在这种形势下应运而生，它使企业能够在公共网络上创建自己的专用网络，使得企业员工，分支机构，以及合作伙伴之间可以进行安全必威体育官网网址的通信。VPN已经是当前网络中的一项重要的应用。 　　1 VPN的工作原理 　　VPN就是在当前现有网络协议的基础之上通过附加相关的协议使通信双方可以在公共网络上进行通信时能够实施数据机密性保护，数据完整性保护，数据源身份认证，数据重放避免的方法进行数据保护的技术。 　　1.1 网络风险 　　数据泄漏风险是指网络通信过程中拨入段数据泄漏风险包括：攻击者在拨入链路上实施监听； ISP查看用户的数据；Internet上数据泄漏的风险。信息在到达请求或返回信息服务点之前穿越多个路由器，明文传输的数据很容易在路由器上被查看和修改[2]。窃听者可以在其中任一段网络链路上监听数据，逐段加密不能防止报文在路由器上被抓取，恶意的ISP（网络提供商）经常利用修改通道的终点的方法让信息转到一个存在风险的网关。安全在网关中的风险：数据在安全网关中是没有经过加密的，所以网关管理员可以随意查看机密数据，网关本身也会存在漏洞，一旦被黑客攻破，流经安全网关的数据将面临风险。单位内部网中数据泄漏的风险：内部网中可能存在被内部恶意人员或者恶意程序控制的主机、路由器等，内部员工可以获得企业内部网的数据报文。 　　数据源身份伪造：发送信息者伪造别人的身份进行信息的传送，而接收者不能明确的确定发送者的身份，从而给接收者带来不必要的损失。在公司企业中如果接收到伪造公司领导身份发送重要的决策指令将会给公司和企业带来重大的损失。 　　信息篡改，截断：当黑客通过其他相关手段掌握了信息的传递方式，以及信息格式等相应的规律后，通过各种方法，将网络上传送的报文信息在中间路由器上被修改，然后再发向目的地，这种方式是恶意者常使用的方法 [9]。 　　重放攻击：重放攻击又称重播攻击、回放攻击是计算机世界黑客常用的攻击方式，所谓重放攻击就是恶意人员发送一个目的主机已接收过的包，让系统重新执行相关操作来进行恶意活的过程，这种方式主要用来身份认证阶段。 　　1.2 VPN协议介绍 　　采用VPN技术，通过使用VPN服务器可以通畅的链接单组或组织内部网，同时又能保证信息的安全必威体育官网网址。当前直接使用路由器可以很容易实现不同主机网络之间的互联，但是并不能对特别用途的数据进行限制。使用VPN服务器进行网络信息的管控，只有符合单位身份要求的用户才能连接VPN服务器获得访问信息的权限。此外，VPN服务器可以对所有VPN数据进行加密，部门内部的局域网对其他用户来说是不可见的，从而确保数据的安全性。 　　常用的VPN协议有：L2F（Layer 2 Forwarding Protocol），是由思科系统公司开发的，创建在互联网上的虚拟专用网络连接的隧道协议。L2F协议本身并不提供加密或必威体育官网网址；它依赖于协议被传输以提供必威体育官网网址，L2F是专为隧道点对点协议（PPP）通信[3]。L2TP（Layer Two Tunneling Protocol，第二层隧道协议）是一种虚拟隧道协议，是一种虚拟专用网的协议。L2TP协议本身不具有加密的功能 ，因此必须跟其他协议配和使用才能完成必威体育官网网址通信的工作。与L2TP协议搭配的加密协议是IPsec，通常称为L2TP/IPsec。点对点隧道协议（Point to Point Tunneling Protocol）是实现虚拟专用网（VPN）的方式之一，PPTP使用传输控制协议（TCP）创建控制通道来发送控制命令，以及利用通用路由封装（GRE）通道来封装点对点协议（PPP）数据包以发送数据，这个协议最早由微软等厂商主导开发，但因为它的加密方式容易被破解，微软已经不再建议使用这个协议。 　　1.3 VPN隧道技术 　　隧道技术是一种在现在网络协议的基础之上，通过