网络信息安全

VPN（虚拟专用网）之 SSL VPN 与 IPSec VPN分析与比较姓名：赵琪学号：40910049专业：计算机科学与技术目录1.虚拟专用网络 .31.2 意义 31.3 特点 31.3.1 安全保障 .31.3.2 服务质量保证（QoS） .31.3.3 可扩充性和灵活性 .41.3.4 可管理性 .41.4 功能 41.4.1 信息包分类 .41.4.2 带宽管理 .41.4.3 通信量管理 .41.4.4 公平带宽 .41.4.5 传输保证 .41.6 分类 51.6.1 按 VPN 的协议分类 51.6.2 按 VPN 的应用分类 51.6.3 按所用的设备类型进行分类 .51.7 实现技术 51.7.1 隧道技术 .51.7.2 隧道协议 62. SSL VPN 和 IPSec VPN.62.1 SSL VPN 工作原理 62.2 IPSec VPN 工作原理 .72 .3 SSL 与 IPSec VPN 的优势与不足分析 .72.3.1 SSL VPN 的优缺点： 72.3.2 IPSec VPN 的优缺点： .82.4 PSec VPN 与 SSL VPN 的比较 92.4.1 安全策略对比分析 92.4.2 应用范围 .102.4.3 部署、管理方便性 102.4.4 可扩展性 112.4.5 可控制性 112.4.6 经济性 111.虚拟专用网络1.1VPN虚拟专用网络(Virtual Private Network ，简称 VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个 VPN 网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM(异步传输模式 、Frame Relay （帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN 主要采用了彩隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。1.2 意义在传统的企业网络配置中，要进行异地局域网之间的互连，传统的方法是租用 DDN(数字数据网)专线或帧中继。这样的通讯方案必然导致高昂的网络通讯/ 维护费用。对于移动用户(移动办公人员)与远端个人用户而言，一般通过拨号线路 (Internet)进入企业的局域网，而这样必然带来安全上的隐患。虚拟专用网的提出就是来解决这些问题：(1)使用 VPN 可降低成本通过公用网来建立 VPN，就可以节省大量的通信费用，而不必投入大量的人力和物力去安装和维护 WAN(广域网) 设备和远程访问设备。(2)传输数据安全可靠 虚拟专用网产品均采用加密及身份验证等安全技术，保证连接用户的可靠性及传输数据的安全和保密性。(3)连接方便灵活 用户如果想与合作伙伴联网，如果没有虚拟专用网，双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路，有了虚拟专用网之后，只需双方配置安全连接信息即可。(4)完全控制 虚拟专用网使用户可以利用 ISP 的设施和服务，同时又完全掌握着自己网络的控制权。用户只利用 ISP 提供的网络资源，对于其它的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网。1.3 特点1.3.1 安全保障VPN 通过建立一个隧道，利用加密技术对传输数据进行加密，以保证数据的私有和安全性。1.3.2 服务质量保证（QoS）VPN 可以不同要求提供不同等级的服务质量保证。1.3.3 可扩充性和灵活性VPN 支持通过 Internet 和 Extranet 的任何类型的数据流。1.3.4 可管理性VPN 可以从用户和运营商角度方便进行管理。1.4 功能在网络中，服务质量(QoS)是指所能提供的带宽级别。将 QoS 融入一个 VPN，使得管理员可以在网络中完全控制数据流。信息包分类和带宽管理是两种可以实现控制的方法：1.4.1 信息包分类信息包分类按重要性将数据分组。数据越重要，它的级别越高，当然，它的操作也会优先于同网络中相对次要的数据。1.4.2 带宽管理通过带宽管理，一个 VPN 管理员可以监控网络中所有输入输出的数据流，可以允许不同的数据包类获得不同的带宽。其他的带宽控制形式还有：1.4.3 通信量管理通信量管理方法的形成是一个服务提供商在 Internet 通信拥塞中发现的。大量的输入输出数据流排队通过，这使得带宽没有得到合理使用。1.4.4 公平带宽公平带宽允许网络中所有用户机会均等地利用带宽访问 Internet。通过公平带宽，当应用程序需要用更大的数据流，例如 MP3 时，它将减少所用带宽以便给其他人访问的机会。1.4.5 传输保证传输保证为网络中特殊的服务预留出一部分带宽，例如视频会议，IP 电话和现金交易。它判断哪个服务有更高的优先权并分配相应带宽。网络管理员必须管理虚拟个人网络以及使一个组织正常运作所需的资源。因为远程办公还有待发展，VPN 管理员在维护带宽上还有许多问题。然而，新技术对 QoS 的补充将会帮助网络管理员解决这个问题。1.6 分类根据不同的划分标准，VPN 可以按几个标准进行分类划分1.6.1 按 VPN 的协议分类VPN 的隧道协议主要有三种，PPTP，L2TP 和 IPSec，其中 PPTP 和 L2TP 协议工作在 OSI模型的第二层，又称为二层隧道协议；IPSec 是第三层隧道协议，也是最常见的协议。 L2TP和 IPSec 配合使用是目前性能最好，应用最广泛的一种。1.6.2 按 VPN 的应用分类1) Access VPN（远程接入 VPN）：客户端到网关，使用公网作为骨干网在设备之间传输 VPN 的数据流量2) Intranet VPN（内联网 VPN）：网关到网关，通过公司的网络架构连接来自同公司的资源3) Extranet VPN（外联网 VPN）：与合作伙伴企业网构成 Extranet,将一个公司与另一个公司的资源进行连接1.6.3 按所用的设备类型进行分类网络设备提供商针对不同客户的需求，开发出不同的 VPN 网络设备，主要为交换机，路由器，和防火墙1）路由器式 VPN：路由器式 VPN 部署较容易，只要在路由器上添加 VPN 服务即可2）交换机式 VPN：主要应用于连接用户较少的 VPN 网络3）防火墙式 VPN：防火墙式 VPN 是最常见的一种 VPN 的实现方式，许多厂商都提供这种配置类型1.7 实现技术1.7.1 隧道技术实现 VPN 的最关键部分是在公网上建立虚信道，而建立虚信道是利用隧道技术实现的，IP 隧道的建立可以是在链路层和网络层。第二层隧道主要是 PPP 连接，如 PPTP，L2TP，其特点是协议简单，易于加密，适合远程拨号用户;第三层隧道是 IPinIP，如 IPSec，其可靠性及扩展性优于第二层隧道，但没有前者简单直接。1.7.2 隧道协议隧道是利用一种协议传输另一种协议的技术，即用隧道协议来实现 VPN 功能。为创建隧道，隧道的客户机和服务器必须使用同样的隧道协议。1) PPTP（点到点隧道协议）是一种用于让远程用户拨号连接到本地的 ISP，通过因特网安全远程访问公司资源的新型技术。它能将 PPP（点到点协议）帧封装成 IP 数据包，以便能够在基于 IP 的互联网上进行传输。PPTP 使用 TCP（传输控制协议）连接的创建，维护，与终止隧道，并使用 GRE(通用路由封装)将 PPP 帧封装成隧道数据。被封装后的 PPP 帧的有效载荷可以被加密或者压缩或者同时被加密与压缩。2) L2TP 协议：L2TP 是 PPTP 与 L2F（第二层转发）的一种综合，他是由思科公司所推出的一种技术。3) IPSec 协议：是一个标准的第三层安全协议，他是在隧道外面再封装，保证了隧在传输过程中的安全。IPSec 的主要特征在于它可以对所有 IP 级的通信进行加密。2. SSL VPN 和 IPSec VPN2.1 SSL VPN 工作原理SSL（安全套接层）协议是一种在 Internet 上保证发送信息安全的通用协议。它处于应用层。SSL 用公钥加密通过 SSL 连接传输的数据来工作。SSL 协议指定了在应用程序协议（如 HTTP、Telnet 和 FTP 等）和 TCP/IP 协议之间进行数据交换的安全机制，为 TCP/IP 连接提供数据加密、服务器认证以及可选的客户机认证。SSL 协议包括握手协议、记录协议以及警告协议三部分。握手协议负责确定用于客户机和服务器之间的会话加密参数。记录协议用于交换应用数据。警告协议用于在发生错误时终止两个主机之间的会话。SSL VPN 利用浏览器内建的 Secure Socket Layer 封包处理功能，通过浏览器连回公司内部 SSL VPN 服务器，然后通过网络封包转向的方式，让客户可以在远程计算机执行应用程序，读取公司内部服务器数据。它采用标准的安全套接层（SSL ）对传输中的数据包进行加密，从而在应用层保护了数据的安全性。通过 SSL VPN 可以实现远程访问企业内部网络的构架SSL VPN 指的是以 HTTPS 为基础的 VPN，但也包括可支持 SSL 的应用程序，例如，电子邮件客户端程序，如 Microsoft Outlook 或 Eudora。SSL VPN 经常被称之“无客户端” ，因为目前大多数计算机在出货时，都已经安装了支持 HTTP 和 HTTPS（以 SSL 为基础的 HTTP）的 Web 浏览器。 目前，SSL 已由 TLS 传输层安全协议（RFC 2246）整合取代，它工作在 TCP 之上。如同IPSec/IKE 一样，它必须首先进行配置，包括使用公钥与对称密钥加密以交换信息。此种交换通过数字签名让客户端使用已验证的服务器，还可选择性地通过签名或其他方法让服务器验证客户端的合法性，接着可安全地产生会话密钥进行信息加密并提供完整性检查。SSL可利用各种公钥（RSA、DSA）算法、对称密钥算法（DES 、3DES、RC4 ）和完整性（MD5、 SHA-1）算法。 2.2 IPSec VPN 工作原理IPSec 协议为 IPv4 和 IPv6 提供可互操作的、高质量的、基于加密体制的安全方案。包括访问控制、无连接的完整性、数据源认证、防止重播攻击、信息加密和流量保密等安全服务。所有这些服务都建立在 IP 层，并保护上层的协议。这些服务通过使用两个安全协议：认证头 AHRFC2402和封装安全载荷 ESPRFC2406，以及通过使用加密密钥管理过程和协议来实现。IPSec 提供站点间（例如：分支办公室到总部）及远程访问的安全联机。这是一种成熟的标准，全球各地许多厂家提供这种解决方案。IPSec/IKE 事实上指的是 IETF 标准（从 RFCs 2401 到 241X）的集合，包括密钥管理协议（IKE）和加密封包格式协议（IPSec ） 。IPSec/IKE 可支持各种加密算法（DES 、3DES 、AES 与 RC4）及信息完整性检验机制（MD5、 SHA-1） 。 IPSec 是网络层的 VPN 技术，表示它独立于应用程序。IPSec 以自己的封包封装原始 IP信息，因此可隐藏所有应用协议的信息。一旦 IPSec 建立加密隧道后，就可以实现各种类型的一对多的连接，如 Web、电子邮件、文件传输、VoIP 等连接，并且，每个传输必然对应到 VPN 网关之后的相关服务器上。 2 .3 SSL 与 IPSec VPN 的优势与不足分析2.3.1 SSL VPN 的优缺点： 优点1） 无需安装客户端软件：在大多数执行基于 SSL 协议的远程访问是不需要在远程客户端设备上安装软件。只需通过标准的 Web 浏览器连接因特网，即可以通过网页访问到企业总部的网络资源。这样无论是从软件协议购买成本上，还是从维护、管理成本上都可以节省一大笔资金，特别是对于大、中型企业和网络服务提供商。2） 适用大多数设备：基于 Web 访问的开放体系可以在运行标准的浏览器下可以访问任何设备，包括非传统设备，如可以上网的电话和 PDA 通讯产品。这些产品目前正在逐渐普及，因为它们在不进行远程访问时也是一种非常理想的现代时尚产品。3） 适用于大多数操作系统：可以运行标准的因特网浏览器的大多数操作系统都可以用来进行基于 Web 的远程访问，不管操作系统是 Windows、Macintosh、UNIX 还是 Linux。可以对企业内部网站和 Web 站点进行全面的访问。用户可以非常容易地得到基于企业内部网站的资源，并进行应用.4） 支持网络驱动器访问：用户通过 SSL VPN 通信可以访问在网络驱动器上的资源。5） 良好的安全性：用户通过基于 SSL 的 Web 访问并不是网络的真实节点，就像 IPSec 安全协议一样。而且还可代理访问公司内部资源。因此，这种方法可以非常安全的，特别是对于外部用户的访问。6）较强的资源控制能力：基于 Web 的代理访问允许公司为远程访问用户进行详尽的资源访问控制。7）减少费用：为那些简单远程访问用户（仅需进入公司内部网站或者进行 Email 通信） ，基于 SSL 的 VPN 网络可以非常经济地提供远程访问服务。8）可以绕过防火墙和代理服务器进行访问：基于 SSL 的远程访问方案中，使用 NAT（网络地址转换）服务的远程用户或者因特网代理服务的用户可以从中受益，因为这种方案可以绕过防火墙和代理服务器进行访问公司资源，这是采用基于 IPSec 安全协议的远程访问所很难或者根本做不到的。 缺点：1） 必须依靠因特网进行访问：为了通过基于 SSL VPN 进行远程工作，当前必须与因特网保持连通性。因为此时 Web 浏览器实质上是扮演客户服务器的角色，远程用户的 Web 浏览器依靠公司的服务器进行所有进程。正因如此，如果因特网没有连通，远程用户就不能与总部网络进行连接，只能单独工作。2） 对新的或者复杂的 Web 技术提供有限支持：基于 SSL 的 VPN 方案是依赖于反代理技术来访问公司网络的。因为远程用户是从公用因特网来访问公司网络的，而公司内部网络信息通常不仅是处于防火墙后面，而且通常是处于没有内部网 IP 地址路由表的空间中。反代理的工作就是翻译出远程用户 Web 浏览器的需求，通常使用常见的 URL 地址重写方法，例如，内部网站也许使用内部 DNS 服务器地址链接到其他的内部网链接，而 URL 地址重写必需完全正确地读出以上链接信息，并且重写这些 URL 地址，以便这些链接可以通过反代理技术获得路由，当有需要时，远程用户可以轻松地通过点击路由进入公司内部网络。对于 URL 地址重写器完全正确理解所传输的网页结构是极其重要的，只有这样才可正确显示重写后的网页，并在远程用户计算机浏览器上进行正确地操作。3） 只能有限地支持 Windows 应用或者其它非 Web 系统：因为大多数基于 SSL 的 VPN 都是基 Web 浏览器工作的，远程用户不能在 Windows1、UNIX 、Linux、AS400 或者大型系统上进行非基于 Web 界面的应用。虽然有些 SSL 提供商已经开始合并终端服务来提供上述非 Web 应用，但是目前 SSLVPN 还未正式提出全面支持。4） 只能为访问资源提供有限安全保障：当使用基于 SSL 协议通过 Web 浏览器进行 VPN 通信时，对用户来说外部环境并不是完全安全、可达到无缝连接的。因为 SSL VPN 只对通信双方的某个应用通道进行加密，而不是对在通信双方的主机之间的整个通道进行加密。在通信时，在 Web 页面中呈现的文件很难也基本上无法保证只出现类似于上传的文件和邮件附件等简单的文件，这样就很难保证其它文件不被暴露在外部，存在一定的安全隐患。2.3.2 IPSec VPN 的优缺点： 优点日益增加的对 SSL VPN 的关注并不能降低对传统 IPSec VPN 解决方案价值的认可，IPSec 仍然是作为站点到站点的 VPN 事实上的标准。IPSec VPN 通过在互联网上的两站点间创建隧道提供直接接入，一旦隧道创建，远程 PC 就如同物理地处于企业总部 LAN 中，为公司的分支机构用户提供远程访问总部局域网内部资源的可能。只要能建立 IPSec VPN 隧道连接，远程的办事处和移动用户就能几乎总部局域网的所有应用和资源，而不像 SSL VPN具有一定的局限性。IPSec VPN 的优点是：最适合局域网到局域网的通信，适用性更大。IPSec 是与应用无关的技术，因此 IPSec VPN 的客户端支持所有 IP 层协议; IPSec 技术中，客户端至站点（client-to-site ） 、站点对站点（site-to-site） 、客户端至客户端（client-to-client ）连接所使用的技术是完全相同的; IPSec VPN 网关一般整合了网络防火墙的功能; IPSec 客户端程序可与个人防火墙等其他安全功能一起销售，因此，可保证配置、预防病毒，并能进行入侵检测。 不足 IPSec VPN 需要安装客户端软件，但并非所有客户端操作系统均支持 IPSec VPN 的客户端程序; IPSec VPN 的连接性会受到网络地址转换（NAT）的影响，或受网关代理设备（proxy）的影响;IPSec VPN 需要先完成客户端配置才能建立通信信道，并且配置复杂。 缺点：在远程方面访问，当只创建有限的几个隧道时，IPSec 能满足基本的需要，如：总公司与若干个办事处的远程连接。但是，如果有数千个远程互联网用户分布在不同的地点，分发和管理客户端软件就是一件非常麻烦，也很费时的事情。另外，不易解决网络地址转换和穿越防火墙的问题。IPSec VPN 产品并不总能很好地解决包括网络地址转换、防火墙穿越和宽带接入在内的复杂的远程访问问题。例如，如果一个用户已经安装了 IPSec 客户端，但他仍然不能在其他公司的网络内接入互联网（例如，工作在客户处的咨询顾问） ，IPSec 会被那个公司的防火墙阻止，除非该用户和这个公司的网络管理员协商，在防火墙上打开另一个端口。而这是一个烦人、花时间的事情，也会增加风险，这是许多公司不愿承担的。需要同一家的产品，不同 IPSec 供应商之间的互操作可能存在问题。IPSec VPN 需要安装客户端软件，但并非所有客户端操作系统均支持 IPSec VPN 的客户端程序; IPSec VPN 的连接性会受到网络地址转换（NAT）的影响，或受网关代理设备（proxy）的影响;IPSec VPN 需要先完成客户端配置才能建立通信信道，并且配置复杂。 2.4 PSec VPN 与 SSL VPN 的比较2.4.1 安全策略对比分析安全通道(Secure Tunnel)IPSec 和 SSL 这两种安全协议，都有采用对称式 (Symmetric)和非对称式(Asymmetric)的加密算法来执行加密作业。在安全的通道比较上，并没有谁好谁坏之差，仅在于应用上的不同。 认证和权限控管IPSec 采取 Internet Key Exchange(IKE)方式，使用数字凭证(Digital Certificate)或是一组Secret Key 来做认证，而 SSL 仅能使用数字凭证，如果都是采取数字凭证来认证，两者在认证的安全等级上就没有太大的差别 SSL 的认证，大多数的厂商都会建置硬件的 Token，来提升认证的安全性。对于使用权限的控管，IPSec 可以支持 Selectors，让网络封包过滤喊阻隔某些特定的主机应用系统。但是实际作业上，大多数人都是开发整个网段(Subset)，以避免太多的设定所造成的麻烦。SSL 可以设定不同的使用者，执行不同的应用系统，它在管理和设定上比 IPSec 简单方便许多。应用系统的攻击远程用户以 IPSec VPN 的方式与公司内部网络建立联机之后，内部网络所连接的应用系统，都是可以侦测得到，这就提供了黑客攻击的机会。若是采取 SSLVPN 来联机，因为是直接开启应用系统，并没在网络层上连接，黑客不易侦测出应用系统内部网络物制，所受到的威胁也仅是所联机的这个应用系统，攻击机会相对就减少。病毒入侵一般企业在 Internet 联机入口，都是采取适当的防毒侦测措施。不论是 IPSec VPN 或SSL VPN 联机，对于入口的病毒侦测效果是相同的，但是比较从远程客户端入侵的可能性，就会有所差别。采用 IPSec 联机，若是客户端电脑遭到病毒感染，这个病毒就有机会感染到内部网络所连接的每台电脑。相对于 SSL VPN 的联机，所感染的可能性，会局限于这台主机，而且这个病毒必须是针对应用系统的类型，不同类型的病毒是不会感染到这台主机的。 防火墙上的通讯埠(Port)在 TCP/IP 的网络架构上，各式各样的应用系统会采取不同的通讯协议，并且通过不同的通讯埠来作为服务器和客户端之间的数据传输通道。以 Internet Email 系统来说，发信和收信一般都是采取 SMTP 和 POP3 通讯协议，而且两种通讯埠是采用 Port25，若是从远程电脑来联机 Email 服务器，就必须在防火墙上开放 Port25，否则远程电脑是无法与 SMTP 和POP3 主机沟通的。IPSecVPN 联机就会有这个困扰和安全顾虑。在防火墙上，每开启一个通讯埠，就多一个黑客攻击机会。反观之，SSL VPN 就没有这方面的困扰。因为在远程主机与 SSLVPN Gateway 之间，采用 SSL 通讯埠(Port443)来作为传输通道，这个通讯埠，一般是作为 Web Server 对外的数据传输通道，因此，不需在防火墙上做任何修改，也不会因为不同应用系统的需求，而来修改防火墙上的设定，减少 IT 管理者的困扰。IPSec VPN 和 SSL VPN 这两种 VPN 架构， 从整体的安全等级来看，两种都能够提供安全的远程登入存取联机。但综观上述，SSL VPN 在其易于使用性及安全层级，都比 IPSec VPN 高。我们都知道，由于 Internet 的迅速扩展，针对远程安全登入的需求也日益提升。对于使用者而言，方便安全的解决方案，才能真正符合需求，所以在能满足需要的情况下，IPSec VPN 是用户的合适选择。2.4.2 应用范围IPSec VPN 是一种出现较早、较为成熟的 VPN 技术。IPSec 协议位于网络层，在 IP 包级为通信双方提供安全的数据传输业务，不涉及到上层的应用程序，所以 IPSecVPN 几乎适用于一切应用程序，并且在远程访问本地资源时 , 远程用户与本地局域网内的用户感觉完全一样。SSL VPN 是用来实现企业远程用户安全接人内部网络的一种新型的 VPN 技术，SSL 协议位于 TCP/IP 和应用层之间，与应用层有密切的联系，它只能访问那些支持 SSL 或者 Web 浏览器的资源。因此 , 它的应用范围主要是电子邮件系统、文件共享和 Web 应用程序。不过考虑到 Internet 和 Intranet 通信量的 90% 都是基于标准 Web 方式和电子邮件方式的 , SSL 的应用范围也相当广泛。2.4.3 部署、管理方便性IPSec VPN 一种网络基础设施性质的安全技术，其真正价值在于尽量提高 IP 传输环境的安全性。部署 IPSec VPN 需要对网络基础设施进行重大改造，才能通过互联网这个不安全的网络实现远程访问，由此带来的部署成本很高。IPSec VPN 方案需要大量的 IT 技术支持，使得它的运行与维护管理成本很高，特别是需要客户端安装复杂的软件，不同的终端操作系统需要不同的客户端软件，并且当用户的 VPN 策略稍微有所改变时，VPN 的管理难度将呈几何级数增长。基于 B/S 结构的业务中，SSL VPN 的客户端只要使用标准的浏览器，就可通过浏览器中内嵌的简单的 SSL 加密协议安全地访问企业内网中的信息，从而避开了部署及管理客户软件所带来的复杂性和人力的需求， 。但如果应用系统采用的是 C/S 结构的话，SSL 仍然需要安装客户端软件，而在基于 C/S 结构的应用上，IPSec VPN 比在 SSL VPN 做了更深入与成熟的研究，比如说提供一套 VPN 客户端自动部署系统，能帮助用户轻松实现客户端、证书等的统一部署，而目前 SSL VPN 还没有这方面的功能。2.4.4 可扩展性在新设备扩展方面，IPsec VPN 不如 SSL VPN。IPSec VPN 在部署时一般放置在网络网关上，因此要考虑网络的拓扑结构，如果添加新的设备，往往需要改变网络结构。并且 IPSec VPN 技术本身的特性决定了它通常不