主流VPN技术探索与分析

一直以来，VPN技术在企业网的发展过程中异常活跃。特别是近些年，随着企业安全意识的不断提高，各种VPN技术层出不穷，在企业信息安全建设中扮演着不可或缺的角色。

技术篇——细数VPN脉络

VPN技术发展很快，其中各种协议与加密算法种类繁多，对于企业来讲，理清技术脉络，辨明自身需求则更显重要。

按照微软公司的定义，虚拟专用网络(VPN)作为专用网络的延伸，它包含了类似Internet 的共享性或公共网络的连接性。VPN通过模拟点对点专用链接的方式，利用共享或公共网络在两台计算机之间发送数据。

从企业的角度看，VPN是对企业内部网络的扩展。VPN可以帮助企业的远程用户、公司分支机构、商业伙伴及供应商，同公司的内网建立可信的安全连接，并保证数据的安全传输。特别是近几年随着移动商业环境的发展，VPN可用于不断增长的移动用户的安全网络接入。

事实上，以前还专门分析了利用VPN实现ERP远程安全接入的业务，而这也恰恰体现了VPN技术安全且经济的一面。

VPN的发展已经不再单单是一个网络安全问题，更多的情况下，它还牵扯到企业的业务问题。正如新华人寿IT经理杜大军所说的，随着企业业务的不断发展，VPN可以使企业将精力集中到自己的业务拓展上，而不是网络上。因为对于金融机构来说，VPN可用于不断增长的移动展业需求，同时也可以满足企业网站之间安全结算的开展。

业务类型划分

截止到2005年，一些国内外主流研究机构仍习惯于根据VPN作用于业务的不同，将其区分为三大类:即VPDN(虚拟拨号专网)、内网VPN和外网VPN。

一般远程用户和企业内网之间的VPN连接，称为VPDN;在企业远程分支机构的局域网和企业总部内网之间的VPN，称为内网VPN;在供应商、合作伙伴的局域网和企业内网之间的VPN连接，称为外网VPN。

神州数码网络的安全技术经理王景辉认为，用户无论选择哪种类型，一个标准的VPN技术都必须提供:数据加密功能，确保公网信息传送的安全性;信息认证和身份认证功能，保证信息的完整、合法，并能鉴别使用者身份;访问控制功能，确保实现不同用户的不同访问权限。

协议类型划分

另外要强调的是，VPN技术主要基于隧道原理，目前在各种隧道加密协议上，出现了大量的分支。业内著名的VPN厂商侠诺科技的张建清博士指出，众多新型协议的“分庭抗礼”，恰恰成为了近几年VPN发展的亮点，这对于用户是件大好事。

目前主流的隧道协议包括了在数据链路层的PPTP、L2TP协议;在网络层的IPSec协议;在TCP层的SOCKs v5协议;在会话层的SSL协议。

PPTP/L2TP协议是微软公司(后者有Cisco的参与)提出来的，PPTP/L2TP已被嵌入到微软的操作系统中，用于微软的路由和远程访问服务。

深信服科技的技术经理叶宜斌认为，PPTP/L2TP目前已经不是主流。因为它们没有提供内在的安全机制，端点用户需要在连接前手工建立加密信道，没有加密和认证支持，稳定性也很差，而且也无法穿越NAT，因此仅仅少部分微软用户还在使用。

IPSec是IETF支持的标准之一，它在网络层对数据进行加密。IPSec协议可以设置成在两种模式下运行:一种是隧道模式，一种是传输模式。IPSec可以对终端站点间所有的传输数据进行保护，而不管是哪类网络应用。同时，IPSec能够在不同局域网之间，以及远程客户端与中心节点之间，建立安全的传输通道，因此应用较广。

而神州数码网络的技术经理杨燕群强调，由于VPN环境中用户数据在被加密后仍然在公网上传输，因此加密技术非常重要，它直接影响到用户数据的安全。而IPSec在这方面是做的比较好的一种技术。IPSec VPN的主要缺点在于配置复杂，客户端需要安装复杂的软件，而且当用户数量增加时，IPSec VPN的管理难度将呈几何级数增长。因此，IPSec最适合可信的LAN到LAN之间的内部VPN使用。

SOCKs v5是建立在TCP层上的安全协议，其本身工作在OSI模型的会话层上，本身较为安全，但其要制定比低层协议更为复杂的安全管理策略。而随着SSL技术的兴起，目前SOCKs v5基本上趋于淘汰。

SSL VPN是目前较新的技术，而且随着B/S结构的流行，其发展大有赶超前者的意味。SSL对应OSI模型的会话层协议，这也注定了其与电子商务的关系最为密切。相对而言，SSL更加关注应用，其优势主要集中在VPN客户端的部署和管理上。因为它无须安装客户端，浏览器内嵌了SSL协议，在处理基于B/S结构的业务时，可以直接使用浏览器完成SSL VPN的建立。但对于非Web页面的文件访问，往往要借助于应用转换。

目前，有些SSL VPN产品所能支持的应用转换器和代理的数量非常少。但令人高兴的是，以神州数据网络、深信服科技为代表的本土厂商已经可以很好地支持FTP、网络文件系统和微软文件服务器的应用转换。但SSL VPN并不能真正形成LAN对LAN的应用，其重心在于帮助企业进行应用层面的安全防护。

结构篇——IPSec对比SSL

作为目前最主流的两种VPN协议，IPSec与SSL的争论久矣，各自优劣与企业的需求相关联，用户不得不注意。

IPSec VPN占据主流

从目前的发展情况来看，IPSec VPN和SSL VPN势头较好。事实上，企业在采购和使用过程中，基于上述两种隧道协议的产品也是应用较多的。

从体系结构上分析，IPSec VPN通过选择特定的安全协议，在IP层提供安全服务，同时协议会确定服务所用的算法，为提供所需的业务增加加密密钥。IPSec能够在一对主机、一对安全网关或主机和安全网关之间保护一条或多条隧道。

本质上IPSec是为提供两个设备间的安全IP 通路而指定的一系列协议。因此王景辉的看法是，IPSec VPN是基于设备的，而不是基于网络的，企业用户无须对路由器进行额外的配置。IPSec VPN可以在主机或站点之间通过安全网关实现。

IPSec提供了两种不同的模式来传输加密数据:传输模式和隧道模式。一般传输模式只用于两台主机之间的安全通信。

相对而言，杨燕群认为隧道模式更适合企业使用。因为隧道模式用在网关到网关的会话或主机到网关的会话之中。它为会话提供唯一的加密通道，为整个IP包提供保护。IPSec整个协议在IP层上实现，上层应用可不必进行任何修改，并且由于IPSec在实现安全策略上的灵活性，使得对安全网络系统的管理变得简便灵活。然而，如果要一个大的点对点的企业网远程接入VPN，则其中的主机都必须被单独配置，这对企业应用VPN带来了巨大的压力，并且VPN的配置是相当复杂的，牵一发而动全身，小的失误也可能带来严重的后果。

企业用户需要注意的是，IPSec的安全性更多体现在原理本身。换句话说，相对于加密技术，攻击者可能更热衷于在用户和用户之间的VPN两端建立站点。另外，如何杜绝病毒在IPSec VPN内部跨网传播始终是一个挥之不去的问题。对此侠诺科技公司的技术总监张桢岩表示，IPSec接通的局域网就像是不同局域网一样，因此病毒的确有可能通过广播传送到跨网上。若要杜绝此类问题，只能有赖于防毒机制的设计了。

SSL VPN正值壮年

相对而言，SSL是对计算机之间整个会话进行加密的协议。SSL VPN采用当前广泛使用的工业级安全套接层协议SSL，无须安装客户端软件，授权用户能够从任何标准的Web浏览器和互联网连接安全地接入网络资源，包括PC、笔记本电脑和移动设备，从而安全可靠地获取信息。王景辉表示，由于安全与历史的原因，SSL在Internet上广泛用于处理ERP等较为敏感的信息。

在SSL中，采用了公开密钥和专有密钥两种加密模式。在建立连接过程中采用公开密钥，在会话过程中使用专有密钥。加密的类型和强度则在两端之间建立连接的过程中判断决定。通常服务器来完成对客户机的身份验证。

在每个SSL会话中，会要求服务器完成一次使用服务器专用密钥的操作和一次使用客户机公开密钥的操作。由于大部分系统都使用RSA加密法，每次操作都需要完成模数算法下的指数运算。通常选择的公开指数为小数，以减少要做的工作。因此，一次SSL会话只要一次加密运算即可。

对企业来说，将SSL技术与标准的VPN结合起来，可以让企业员工或者外部合作伙伴使用浏览器访问支持Web的数据。杨燕群指出，企业将SSL VPN作为一种服务对外提供，既不需要在服务器上安装SSL安全装置，也不用买SSL软件。 因此，企业可以利用SSL VPN降低成本，特别是其大规模部署很便宜。

一般来说，SSL VPN的使用者基本上不需要IT部门过多地支持，只要从其PC机上的浏览器向公司内网注册即可。而SSL连接本身也较IPSec更加稳定，不容易中断。

另外，张桢岩也认为，SSL VPN可依不同软件应用，帮助企业用户进行权限控管，因此只要配置适宜，企业内网的资源是可以得到更高程度的保护的。特别是目前的SSL VPN大多支持多重身份认证技术。对于用户而言，一种方式是只要单一身份签入，即可访问内部不同资源，VPN服务器可以负责解决权限的问题;另一种方式是不同资源必须要有不同身份认证，企业网管有很大的空间可以调适。这两种情况都会发生，以适应不同的用户需要。对于企业而言，SSL VPN先天具有的弹性，的确安全方便。