基于SSL VPN系統(tǒng)架構(gòu)網(wǎng)絡(luò)的應(yīng)用

2013-12-05 15:10:53 電力信息化　點(diǎn)擊量：評論 (0)

摘要：本文對實(shí)現(xiàn)VPN（Virtual Private Network）的幾種技術(shù)做了介紹，比較詳細(xì)地對IPSec VPN和SSL VPN進(jìn)行比較，從應(yīng)用、安全角度等考慮如何選擇合適的VPN技術(shù)，并且結(jié)合天津電力的應(yīng)用和安全需求，介紹了S

et的一個(gè)隧道, 并使用IP-IN-IP封裝通過隧道轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)。其基本原理如圖１所示，為了確保保密性?內(nèi)層數(shù)據(jù)經(jīng)過加密。如圖一所示，VPN授權(quán)主機(jī)A發(fā)給主機(jī)B的整個(gè)內(nèi)層數(shù)據(jù)報(bào),包括首部,在被封裝前進(jìn)行了加密。當(dāng)數(shù)據(jù)報(bào)通過隧道到達(dá)VPN服務(wù)器時(shí), VPN服務(wù)器將數(shù)據(jù)區(qū)解密, 還原出內(nèi)層數(shù)據(jù)報(bào), 然后轉(zhuǎn)發(fā)該數(shù)據(jù)報(bào)給B主機(jī)。它們之間的數(shù)據(jù)傳輸過程是透明的。Ａ要發(fā)送的原始信息包的目的地址就是Ｂ, 用戶并無覺察數(shù)據(jù)經(jīng)過打包交由VPN服務(wù)器轉(zhuǎn)發(fā)給Ｂ, 反之亦然。感覺上Ａ和Ｂ之間存在一條虛擬的加密直達(dá)鏈路?？傊?VPN通過Internet傳輸數(shù)據(jù), 但對網(wǎng)點(diǎn)間傳輸進(jìn)行加密,以保證保密性。

圖一：VPN原理圖

包含了三個(gè)基本元素：(1)授權(quán)：VPN服務(wù)器對遠(yuǎn)程接入終端進(jìn)行授權(quán)接入VPN,(2)加密：遠(yuǎn)程接入終端發(fā)送的數(shù)據(jù)加密后才通過非私有網(wǎng)傳輸；(3)隧道：遠(yuǎn)程接入終端發(fā)送的數(shù)據(jù)經(jīng)過封裝?由VPN服務(wù)器轉(zhuǎn)發(fā)。

三、VPN技術(shù)介紹

IPSec(IP Security) VPN的介紹

IPSec的工作原理(如圖2所示)類似于包過濾防火墻，可以看作是對包過濾防火墻的一種擴(kuò)展。當(dāng)接收到一個(gè)IP數(shù)據(jù)包時(shí)，包過濾防火墻使用其頭部在一個(gè)規(guī)則表中進(jìn)行匹配。當(dāng)找到一個(gè)相匹配的規(guī)則時(shí)，包過濾防火墻就按照該規(guī)則制定的方法對接收到的IP數(shù)據(jù)包進(jìn)行處理。這里的處理工作只有兩種：丟棄或轉(zhuǎn)發(fā)。

　　　圖2 IPSec工作原理示意圖

IPSec通過查詢SPD(Security P01icy Database安全策略數(shù)據(jù)庫)決定對接收到的IP數(shù)據(jù)包的處理。但是IPSec不同于包過濾防火墻的是，對IP數(shù)據(jù)包的處理方法除了丟棄，直接轉(zhuǎn)發(fā)(繞過IPSec)外，還有一種，即進(jìn)行IPSec處理。正是這新增添的處理方法提供了比包過濾防火墻更進(jìn)一步的網(wǎng)絡(luò)安全性?！　?/span>

進(jìn)行IPSec處理意味著對IP數(shù)據(jù)包進(jìn)行加密和認(rèn)證。包過濾防火墻只能控制來自或去往某個(gè)站點(diǎn)的IP數(shù)據(jù)包的通過，可以拒絕來自某個(gè)外部站點(diǎn)的IP數(shù)據(jù)包訪問內(nèi)部某些站點(diǎn)，．也可以拒絕某個(gè)內(nèi)部站點(diǎn)方對某些外部網(wǎng)站的訪問。但是包過濾防火墻不能保證自內(nèi)部網(wǎng)絡(luò)出去的數(shù)據(jù)包不被截取，也不能保證進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包未經(jīng)過篡改。只有在對IP數(shù)據(jù)包實(shí)施了加密和認(rèn)證后，才能保證在外部網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包的機(jī)密性，真實(shí)性，完整性，通過Internet進(jìn)新安全的通信才成為可能。

IPSec既可以只對IP數(shù)據(jù)包進(jìn)行加密，或只進(jìn)行認(rèn)證，也可以同時(shí)實(shí)施二者。但無論是進(jìn)行加密還是進(jìn)行認(rèn)證，IPSec都有兩種工作模式，一種是與其前一節(jié)提到的協(xié)議工作方式類似的隧道模式，另一種是傳輸模式。

IPSec VPN可以為公司分支點(diǎn)之間的通訊提供一種簡單的，高性價(jià)比的方法，其高連接性和彈性可以滿足大多數(shù)的

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊