基于SSL VPN系統架構網絡的應用

2013-12-05 15:10:53 電力信息化　點擊量：評論 (0)

摘要：本文對實現VPN（Virtual Private Network）的幾種技術做了介紹，比較詳細地對IPSec VPN和SSL VPN進行比較，從應用、安全角度等考慮如何選擇合適的VPN技術，并且結合天津電力的應用和安全需求，介紹了S

et的一個隧道, 并使用IP-IN-IP封裝通過隧道轉發數據報。其基本原理如圖１所示，為了確保保密性?內層數據經過加密。如圖一所示，VPN授權主機A發給主機B的整個內層數據報,包括首部,在被封裝前進行了加密。當數據報通過隧道到達VPN服務器時, VPN服務器將數據區解密, 還原出內層數據報, 然后轉發該數據報給B主機。它們之間的數據傳輸過程是透明的。Ａ要發送的原始信息包的目的地址就是Ｂ, 用戶并無覺察數據經過打包交由VPN服務器轉發給Ｂ, 反之亦然。感覺上Ａ和Ｂ之間存在一條虛擬的加密直達鏈路。總之,VPN通過Internet傳輸數據, 但對網點間傳輸進行加密,以保證保密性。

圖一：VPN原理圖

包含了三個基本元素：(1)授權：VPN服務器對遠程接入終端進行授權接入VPN,(2)加密：遠程接入終端發送的數據加密后才通過非私有網傳輸；(3)隧道：遠程接入終端發送的數據經過封裝?由VPN服務器轉發。

三、VPN技術介紹

IPSec(IP Security) VPN的介紹

IPSec的工作原理(如圖2所示)類似于包過濾防火墻，可以看作是對包過濾防火墻的一種擴展。當接收到一個IP數據包時，包過濾防火墻使用其頭部在一個規則表中進行匹配。當找到一個相匹配的規則時，包過濾防火墻就按照該規則制定的方法對接收到的IP數據包進行處理。這里的處理工作只有兩種：丟棄或轉發。

　　　圖2 IPSec工作原理示意圖

IPSec通過查詢SPD(Security P01icy Database安全策略數據庫)決定對接收到的IP數據包的處理。但是IPSec不同于包過濾防火墻的是，對IP數據包的處理方法除了丟棄，直接轉發(繞過IPSec)外，還有一種，即進行IPSec處理。正是這新增添的處理方法提供了比包過濾防火墻更進一步的網絡安全性。　　

進行IPSec處理意味著對IP數據包進行加密和認證。包過濾防火墻只能控制來自或去往某個站點的IP數據包的通過，可以拒絕來自某個外部站點的IP數據包訪問內部某些站點，．也可以拒絕某個內部站點方對某些外部網站的訪問。但是包過濾防火墻不能保證自內部網絡出去的數據包不被截取，也不能保證進入內部網絡的數據包未經過篡改。只有在對IP數據包實施了加密和認證后，才能保證在外部網絡傳輸的數據包的機密性，真實性，完整性，通過Internet進新安全的通信才成為可能。

IPSec既可以只對IP數據包進行加密，或只進行認證，也可以同時實施二者。但無論是進行加密還是進行認證，IPSec都有兩種工作模式，一種是與其前一節提到的協議工作方式類似的隧道模式，另一種是傳輸模式。

IPSec VPN可以為公司分支點之間的通訊提供一種簡單的，高性價比的方法，其高連接性和彈性可以滿足大多數的