VPN 技术 — 替代专线通信最佳解决方案

network

VPN 技术 — 替代专线通信最佳解决方案
--为您带来最好的安全和最大的投资保护

一、概述：
　　越来越多的用户认识到，随着 Internet 和电子商务的蓬勃发展，经济全球化的最佳、最快捷途径是发展基于 Internet 的商务应用。随着商务活动的日益频繁，各企业开始允许其生意伙伴、供应商、服务提供商也能够访问本企业的局域网，从而大大简化信息交流的途径，增加信息交换速度。这些合作和联系是动态的，并依靠网络来维持和加强，于是各企业发现，这样的信息交流不但带来了网络的复杂性，还带来了管理和安全性的问题，因为 Internet 是一个全球性和开放性的、基于 TCP/IP 技术的、不可管理的国际互联网络，因此，基于 Internet 的电子商务活动面临着恶意的信息威胁和安全隐患。
　　还有一类企业用户，随着自身的发展壮大与跨国化，企业的分支机构不仅越来越多，而且相互间的网络基础设施互不兼容也更为普遍。因此，用户的信息技术部门在连接分支机构方面也感到日益棘手。
　　用户的需求正是 VPN 技术诞生的直接原因。人们越来越认识到利用 VPN 技术能为他们带来更多方便、更好的安全。我们以金融行业的需求作为例子（对企业依然适合）：
● 企业网络的安全：企业网络连接在 Internet 上，为了防止非法访问或入侵，充分保护自身网络资源的安全变得非常重要。
● 身份认证及访问控制：在网上证券交易过程中，证券经纪与用户进行互相认证，交易服务提供商根据用户身份，对其访问信息进行控制。
● 机密性和完整性：保证网上证券交易中涉及的大量个人保密信息在公开网络的传输过程中不被窃取，并保证没有虚假交易。
● 不可抵赖：参与网上证券交易的任何一方都无法否认发生的交易。证券经纪无法否认在某个时间某个客户提出了某个交易委托申请，而客户也不能抵赖他曾经提交过的委托。
● 安全存储和审计：由于证券交易数据对安全的敏感性，对交易数据需要安全的存储和审计设计，保证在以后可以进行检查。
● 用户漫游：在完成以上的安全设计后，还应该保证用户是可以漫游的，而且漫游用户也有安全保障。
二、VPN 市场趋势
　　在国外，VPN 早从 1997 年开始已经迅速发展起来，2001 年全球 VPN 市场近 13 亿美元，预计到 2005 年将达到 29 亿美金（Infonetics Research，2002）。在中国，虽然人们对 VPN 的定义还有些模糊不清，对 VPN 的安全性、服务质量（QoS）等方面存有疑虑，但互联网和电子商务的快速发展使我们有理由相信，中国的 VPN 市场将逐渐热起来。
　　Gartner Group 曾预言到 2002 年 90% 的企业将利用 VPN 来联结远程分支机构和移动用户；Infonetics Research 曾调查得出：到 2002 年全球企业将会有 67% 计划实施端到端的 VPN；73% 计划实施远程访问 VPN；27% 计划实施 Extranet VPN。同时 Infonetics Research 根据调查，到 2002 年根据企业规模大小实施 VPN 技术的比例将达到：57% 的大型企业；55% 的中型企业；51% 的小型企业。
三、当前国内现状及安全隐患
　　当前国内大多数企业用户均采用租用线路方式实现企业内部之间通信，形成整个跨区域企业内部网络基础架构。针对企业的移动用户或远程访问的请求，通常的做法是在企业内部创建庞大的 Modem Pool，远程访问用户需要在外地长途拨号到企业总部来实现资源共享。
　　企业现在在电信部门租用的帧中继（Frame Relay）与 ATM 等数据网络提供固定虚拟线路（PVC-Permanent Virtual Circuit）或采用 DDN 方式来连接需要通信的部门和分支机构，用户当前对所谓的“专线”方式的安全性没有太大质疑，因此在这些线路中传递信息时没有考虑任何数据安全。但我们应该清楚认识到，所有这些基础架构的权限掌握在别人的手中。如果企业用户需要一些特殊的网络服务，需要填写许多的单据，再等上相当一段时间，才能享受到新的服务。更为重要的是两端的终端设备不但价格昂贵，而且管理也需要一定的专业技术人员，无疑增加了企业运营成本，而且 DDN、帧中继、ATM 数据网络也不会像 Internet 那样，可立即与世界上任何一个使用 Internet 网络的单位连接。虽然是“专线”，但是我们依然应保持时刻的安全警惕，尤其是来自物理层的安全隐患：
● 搭线窃听：
　　企业租用的专线通常情况经过了大厦的布线机房到达就近的电话局然后经由电信部门实现网络出口。犯罪分子为了获取所需的情报，可能会搭线监听通信线路，非法接收信息。
● 电磁泄露：
　　网络端口、传输线路和处理机都可能因屏蔽不严或未屏蔽而造成电磁泄露。通过侦截辐射的方法可以轻易得到许多重要的信息。
四、VPN 将取代专线通信
　　对于企业用户来说，VPN 提供了安全、可靠的 Internet 访问通道，为企业进一步发展提供了可靠的技术保障。而且 VPN 能提供专用线路类型服务，是方便快捷的企业私有网络。企业甚至可以不必建立自己的广域网维护系统，而将这一繁重的任务交由专业的 ISP 来完成。由于 VPN 的出现，用户可以从以下几方面获益：
1）VPN 最大优势 —— 降低成本，投资回报
　　VPN 可以立即且显著地降低成本。当使用 Internet 时，实际上只需付本地电话费，却收到了长途通信的效果。因此，借助 ISP 来建立 VPN，就可以节省大量的通信费用。此外，VPN 还使企业不必投入大量的人力和物力去安装和维护昂贵的 WAN 设备和远程访问设备，这些工作都可以交给 ISP。VPN 使用户降低以下的成本：
● 移动用户的通信成本。VPN 可以通过减少长途费或 800 费用来节省移动用户的花费。
● 租用线路成本。VPN 可以以每条连接的 40% 到 60% 的成本对租用线路进行控制和管理。对于租用国际线路的企业来说，这种节约是更为显著。对于话音数据，节约金额会进一步增加。对国内的用户来说，VPN 最大的吸引力在哪里？是价格。据估算，如果企业放弃租用专线而采用 VPN，其整个网络的成本可节约 21%-45%，至于那些以电话拨号方式联网存取数据的公司，采用 VPN 则可以节约通讯成本 50%-80%。
● 主要设备成本。VPN 通过支持拨号访问资源，使企业可以减少不断增长的调制解调器费用。另外，用户可以在单一的 WAN 接口中实现多种服务，从分支机构网络互联、商业伙伴的外联网终端，本地提供高带宽的线路连接到访问服务提供者，因此，只需要极少的 WAN 接口和设备。由于 VPN 可以实现完全管理，并且能够从中央进行基于策略的控制，因此可以大幅度地减少在安装配置远端网络接口所需设备上的开销。另外，由于 VPN 独立于初始协议，这就使得远程的接入用户可以继续使用原有设备，保护了用户在现有硬件和软件系统上的投资。
　　我们把专线方式与其它接入方式作个比较，看看哪种更适合？
当前国内专线费用表如下：

	带宽	调测费	端接设备费	月服务费
DDN 接入	64Kbps	4,000.00	13,900.00	4,000.00
	128Kbps	4,000.00	13,900.00	6,000.00
	256Kbps	4,000.00	13,900.00	6,000.00
	512Kbps	4,000.00	13,900.00	6,000.00
帧中继接入	128Kbps	4,000.00	13,900.00	4,000.00
	256Kbps	4,000.00	13,900.00	6,000.00
	512Kbps	4,000.00	13,900.00	6,000.00
	1024Kbps	4,000.00	13,900.00	12,000.00

* 2002年初摘自北京某 ISP
　　如果跨国公司采用国际专线，费用将更加昂贵。
　　下面我们看一下国内当前宽带接入情况：

宽带接入	带宽	初装费 + 包年（或月）费用	其他设备费用（WAN 口等）
ADSL	512K-1Mbps	￥1000	没有
以太网接入	10Mbps	￥1000（初装费） ￥500-1000（包月费）	没有

　　从上面两个表比较，显然采用宽带接入方式不仅灵活方便，而且费用低廉。中国自从加入 WTO 后，电信数据服务已经面临许多来自国内的竞争对手，今后还会有国外运营商踏上中国土地，对最终用户来说，接入费用将越来越便宜；随着 IT 技术飞速发展，宽带接入技术也将不断提高，相信不远的将来百兆、千兆入户将不再是梦想。而专线的地位将岌岌可危。
2）实现网络通信安全
　　具有高度的安全性，对于现在的网络是极其重要的。新的服务如在线银行、在线交易都需要绝对的安全，而 VPN 以多种方式增强了网络的智能和安全性。首先，它在隧道的起点，在权威的认证服务器上，提供对分布用户的身份认证。另外，VPN 支持安全和加密协议，如 IPsec。
3）怎样实现端到端的 QoS
　　使用 VPN，用户会担心其应用的 QoS，其实大可不必。相反，通过成熟的技术来对带宽进行管理，会让用户感觉到事半功倍的效果。
● 首先，利用宽带接入，从传输率上来讲本身就比租用线路要快。目前国内以太网接入的速率能够达到10兆；ADSL 的速率能够达到1兆。
● 实现端到端的 QoS 控制：Check Point FloodGate-1 集成的区分服务（DiffServ）支持功能使服务提供商可以在 IP WAN 上为 VPN 和未加密的业务通信提供端到端的 QoS。用户按照 DiffServ 标准来设定业务通信的优先级，FloodGate-1 使用户 QoS 需求扩展到 WAN 上。“DiffServ”能够被几乎所有网络设备厂商支持，当 VPN 流量在 Internet 上通过 ISP 时，用户可以向该 ISP 申请该服务。这样，当有不同“DiffServ”标记的流量在 Internet 上传输时，ISP 会自动根据“Diffserv”所设置的不同优先级进行处理，以保证重要的业务（例如：VPN 流量）其 QoS。

● IPSEC、MPLS 与“Diffserv”的集成：当前有些用户在实现端到端的 QoS 的时候采用 MPLS 技术。MPLS 是网络第二层的 QoS 实现技术，通常用于骨干网上的流量控制和 QoS 实现。被打了“DiffServ”标记的流量同样可以在骨干网上基于 MPLS 技术来传输（如下图）。这样的集成同样实现了端到端的 QoS 保证。

● Check Point 还支持 LLQ（Low Latency Queuing）技术：当在 VPN 网络中传递基于对 QoS 要求更高的多媒体流量时，通过 LLQ 技术可以对每个包进行配置来保证其带宽需求，这些配置参数包括：连续的比特率（CBR）和最大延时等。通过 LLQ 的配置可以对这些流量设置成为优先级最高的级别，充分保证端到端的 QoS。
4）VPN 的其它优势
● 简化网络设计
　　企业用户可以使用 VPN 替代租用线路来实现分支机构的连接。这样可以将对远程链路进行安装、配置和管理的任务减少到最小，仅此一点就可以极大地简化企业广域网的设计。另外，VPN 远程用户通过拨号访问当地 ISP 与企业总部建立 VPN，减少了在企业总部 Modem Pool 的配置，简化了所需的接口，同时简化了与远程用户认证、授权和记帐相关的设备和处理。
● 容易扩展
　　如果企业想扩大 VPN 的容量和覆盖范围。企业需做的事情很少，而且能及时实现。不需要为等待搭建专线耗费宝贵的时间。在远程办公室增加 VPN 能力也很简单：通过远程访问方式或通过性能价格比非常好的 VPN 硬盒子即可与总部实现 VPN 通信。
● 可随意与合作伙伴实现 Extranet
　　在过去，企业如果想与合作伙伴连网，双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路。有了 VPN 之后，这种协商变得非常简单：在业务上授权对方进行资源共享，通过权威的认证机构实现双方严格的身份认证即可。真正达到了要连就连，要断就断。
● 完全控制主动权
　　借助 VPN，企业可以利用 ISP 的设施和服务，同时又完全掌握着自己网络的控制权。例如，企业可以把拨号访问交给 ISP 去做，由自己负责用户的身份查验、访问权限、安全性和网络变化管理等重要工作。
● 支持更多新兴应用
　　许多专用网对许多新兴应用准备不足，如那些要求高带宽的多媒体和协作交互式应用。VPN 则可以支持各种高级的应用，如 IP 语音，IP 传真，还有各种协议，如 IPv6、MPLS、SNMPv3 等。
五、选择适合的 VPN 解决方案
　　针对不同的用户要求，VPN 通常有四种解决方案：远程访问 VPN（Access VPN）、企业内部 VPN（Intranet VPN）、企业外部 VPN（Extranet VPN）和基于 Client/Server 的 VPN 形式。这四种类型的 VPN 分别与传统的远程访问网络、企业内部的 Intranet、企业内部重要服务器的访问以及企业网和相关合作伙伴的企业网所构成的 Extranet 相对应。
● 远程访问 VPN
　　远程访问 VPN，通常针对移动用户或出差在外职员提供对企业内部网或外部网的远程访问。远程访问 VPN 能使这些用户随时、随地以其所需的方式访问企业资源，包括通过拨号、ISDN、数字用户线路（xDSL）、移动 IP 等技术，能够安全地连接移动用户、远程员工或分支机构。

远程访问 VPN
提供通过 Internet 访问公司网络内部资源的方法
降低了长途、大型 Modem Pool 和技术支持的费用

● Intranet VPN
　　越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司等，各个分公司之间传统的网络连接方式一般是租用专线。显然，在分公司增多、业务开展越来越广泛时，网络结构趋于复杂，费用昂贵。利用 VPN 特性可以在 Internet 上组建世界范围内的 Intranet VPN。利用 Internet 的线路保证网络的互联性，而利用隧道、加密等 VPN 特性可以保证信息在整个 Intranet VPN 上安全传输。Intranet VPN 通过使用 VPN 基础设施，连接企业总部、远程办事处和分支机构。企业拥有与专用网络相同的政策，包括安全、服务质量（QoS）、可管理性和可靠性。

Intranet VPN
利用 Internet 安全连接多个分支机构
减少对 frame relay 和租用线路的依靠

● Extranet VPN
　　随着信息时代的到来，各个企业越来越重视各种信息的处理。希望可以提供给客户最快捷方便的信息服务，通过各种方式了解客户的需要，同时各个企业之间的合作关系也越来越多，信息交换日益频繁。Internet 为这样的一种发展趋势提供了良好的基础，而如何利用 Internet 进行有效的信息管理，是企业发展中不可避免的一个关键问题。利用 VPN 技术可以组建安全的 Extranet，既可以向客户、合作伙伴提供有效的信息服务，又可以保证自身的内部网络的安全。
　　Extranet VPN 能帮助业务往来的企业之间容易地部署和集中地管理外部网。外部网的连接使用与部署内部网和远端访问 VPN 相同的架构和协议进行。通过 Extranet VPN 企业可以将各自相关的业务或服务进行共享，并在中央制定相应的安全规则来保证实现 Extranet VPN 的同时确保各自企业其它方面的安全。通过这样一个互联的共享基础设施，将企业重要客户、供应商、 合作伙伴连接到企业内部网。企业拥有与专用网络相同的政策，包括安全、服务质量（QoS）、可管理性和可靠性。

Extranet VPN
向商业合作伙伴提供对内部重要数据的访问（销售信息、工具软件等等）
减少了事务处理和操作中的费用

● Client/Server VPN

Client/Server VPN
保护较为敏感的内部通信
防止内部的攻击

　　企业的网络环境中运行有很多重要服务器：ERP、OA、数据库服务器等，它们掌握着企业最重要的数据资源。这些服务器当前已经不仅仅局限于向内部员工提供资源访问，它们同时提供外部用户的访问。从这些服务器中被访问的资源，尤其是敏感的数据信息在很多用户环境中没有任何措施来确保其安全。因此从数据本身而言没有任何安全保证，从服务器本身而言同样没有任何安全防范。
　　因此，用户需要一种能保护企业网络内或因特网上的各个关键应用服务器的解决方案，它同时提供 Client/Server 之间 VPN 连接，从而提高了企业的安全性。企业可确保各客户机与运行敏感应用程序（Oracle、SAP 等）以及基于因特网的应用程序（E-Mail，FTP）的服务器之间通信安全。
六、应用 VPN 技术应注意的问题及解决方案
1．安全保障
　　虽然实现 VPN 的技术和方式很多，但所有的 VPN 均必须保证通过公用网络平台传输数据的专用性和安全性。用户可以利用加密技术对经过 VPN 隧道传输的数据进行加密，以保证数据仅被指定的发送者和接收者了解，从而保证了数据的私有性和安全性。在安全性方面，由于 VPN 直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必须确保其 VPN 上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。因此，在搭建 VPN 构架时我们还应充分考虑以下因素：
● VPN 技术的使用：当前 Internet VPN 工业标准为采用 IPSEC 方式来实现。IPSEC 通过了完整的、成熟的技术来充分保证数据的私密性、完整性、不可诋毁性等。
● VPN 设备不被攻击：最有效的方法是通过将 VPN 与防火墙技术紧密的集成在一起来实现真正的安全。VPN 设备放置在防火墙之前、之后或并行处理都是不可取的。
● 对于远程用户 VPN 访问使用个人防火墙：当远程客户端建立到公司网络的 VPN 连接时，如果远程主机被侵入，攻击者可以通过被侵入的远程客户端建立的 VPN 随意访问公司网络。因此，理想的 VPN 解决方案应该允许集成个人或分布式防火墙保护所建立的 VPN 连接，尤其是远程访问。
● 实现中央基于策略的管理：只有实现了中央基于策略的管理才能一方面带来更大的管理效率，另一方面实现企业内部统一的安全部署，避免内部网络出现由于多重管理带来的安全隐患。
● 选择权威的认证机构实现最安全的身份认证：无论是设备之间或用户之间的身份认证均是建立 VPN 最重要的过程。因此，用户选择权威的 CA 中心，选择有更多相关服务的认证中心是保证用户利用 VPN 实现安全通信的关键。
2．VPN 的性能和服务质量保证（QoS）
　　我们在第四部分已经就用户对 VPN QoS 需求作了详细阐述。简单总结一下，VPN 网络应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户，提供广泛的连接和覆盖性是保证 VPN 服务的一个主要因素；而对于拥有众多分支机构的专线 VPN 网络，交互式的内部企业网应用则要求网络能提供良好的稳定性；对于其它应用（如视频等）则对网络提出了更明确的要求，如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面，构建 VPN 的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。QoS 通过流量预测与流量控制策略，可以按照优先级分配带宽资源，实现带宽管理，使得各类数据或应用能够被合理地分配，并预防阻塞的发生。 管理好 QoS 实际上是对 VPN 性能提升的一种解决方案。
　　当然，我们还可以通过其它手段来提高 VPN 性能：
● 选择既安全，性能又高的加密算法：AES 128/256。AES 128/256 具有比当前 3DES 更好的安全性和更快的速率。AES 128 的性能大约是 3DES 的3倍左右。
● 选择各种加速技术：Check Point 的 SecureXL 技术能够让 VPN 的性能达到千兆级以上，充分保证用户需求。SecureXL 实现方式有多种，可以是软件加速或硬件的加速卡方式，用户选择余地很大。
● Check Point 还提供集群方式--VPN Load Distribution 来提高 VPN 的吞吐量。该集群方式可以实现多个 VPN 网关并行处理 VPN 流量，来达到用户需要的 VPN 性能高度（千兆级的 VPN 性能）。
3．高可用性
　　VPN 高可用性解决方案可以提供企业用户更可靠的 VPN 应用环境。尤其 VPN 在企业网络关键点，用户可以通过高可用性实现多个 VPN 网关之间的透明切换。杜绝了企业网络关键业务的单点故障。
4．可扩充性和灵活性
　　VPN 必须能够支持通过 Intranet 和 Extranet 的任何类型的数据流，方便增加新的节点，支持多种类型的传输介质，可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
5．可管理性
　　从用户角度和运营商角度应可方便地进行管理、维护。在 VPN 管理方面，VPN 要求企业将其网络管理功能从局域网无缝地延伸到公用网，甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成，企业自己仍需要完成许多网络管理任务。所以，一个完善的 VPN 管理系统是必不可少的。VPN 管理的目标为：减小网络风险、具有高扩展性、高效率、高可靠性等优点。事实上，VPN 管理主要包括安全管理、设备管理、配置管理、QoS 管理等内容。