ç¬¬ä¸€ç« VPN 基础技术简介
1. VPN 的概念
在ç»?济全ç?ƒåŒ–的今天,越æ?¥è¶Šå¤šçš„å…¬å?¸ã€?ä¼?业开始在å?„地建立分支机构开展业务,移动办公人员也éš?ä¹‹å‰§å¢žã€‚åœ¨è¿™æ ·çš„èƒŒæ™¯ä¸‹ï¼Œè¿™äº›åœ¨å®¶åŠžå…¬æˆ–ä¸‹ç?å?Žç»§ç»å·¥ä½œçš„人员和移动办公人员,远程办公室,公å?¸å?„分支机构,å…¬å?¸ä¸Žå?ˆä½œä¼™ä¼´ã€?供应商,å…¬å?¸ä¸Žå®¢æˆ·ä¹‹é—´éƒ½å?¯èƒ½å»ºç«‹è¿žæŽ¥é€šé?“以进行信æ?¯ä¼ é€?。
î—¥î—¥ä¼ ç»Ÿçš„ä¼?业网组网方案ä¸ï¼Œè¦?进行远地LAN 到 LAN 互连,除了租用DDN 专线或帧ä¸ç»§ä¹‹å¤–ï¼Œå¹¶æ— æ›´å¥½çš„è§£å†³æ–¹æ³•ã€‚å¯¹äºŽç§»åŠ¨ç”¨æˆ·ä¸Žè¿œç«¯ç”¨æˆ·è€Œè¨€ï¼Œå?ªèƒ½é€šè¿‡æ‹¨å?·çº¿è·¯è¿›å…¥ä¼?业å?„自独立的局域网。éš?ç?€å…¨ç?ƒåŒ–çš„æ¥ä¼?åŠ å¿«ï¼Œç§»åŠ¨åŠžå…¬äººå‘˜è¶Šæ?¥è¶Šå¤šï¼Œå…¬å?¸å®¢æˆ·å…³ç³»è¶Šæ?¥è¶Šåºžå¤§ï¼Œè¿™æ ·çš„方案必然导致高昂的长途线路租用费å?Šé•¿é€”电è¯?费。于是,虚拟专用网VPN(Virtual Private Network )的概念与市场éš?之出现。其实虚拟专用网VPN 技术早在1993年,欧洲虚拟专用网è?”盟(EVUA )就æˆ?立了,力图在全欧洲范围内推广VPN 。然而å?´æ˜¯ç”±äºŽ
Internet 的迅猛å?‘展为VPN æ??供了技术基础,全ç?ƒåŒ–çš„ä¼?业为VPN æ??供了市场,使得VPN开始é??布全世界。
虚拟专用网是ä¼?ä¸šç½‘åœ¨å› ç‰¹ç½‘ç‰å…¬å…±ç½‘络上的延伸,通过一个ç§?有的通é?“在公共网络上创建一个安全的ç§?有连接。虚拟专用网通过安全的数æ?®é€šé?“将远程用户,公å?¸åˆ†æ”¯æœºæž„,公å?¸ä¸šåŠ¡ä¼™ä¼´ç‰è·Ÿå…¬å?¸çš„ä¼?业网连接起æ?¥ï¼Œæž„æˆ?一个扩展的公å?¸ä¼?业网。在该网ä¸çš„主机将ä¸?会觉察到公共网络的å˜åœ¨ï¼Œä»¿ä½›æ‰€æœ‰çš„主机都处于一个网络之ä¸ã€‚公共网络仿佛是å?ªç”±æœ¬ç½‘络在独å? 使用,而事实上并é?žå¦‚æ¤ï¼Œæ‰€ä»¥ç§°ä¹‹è™šæ‹Ÿä¸“ç”¨ã€‚ä¹‹æ‰€ä»¥é‡‡ç”¨è™šæ‹Ÿä¸“ç”¨ç½‘æ˜¯å› ä¸ºVPNæœ‰ä»¥ä¸‹å‡ æ–¹é?¢ä¼˜ç‚¹ï¼š
.
.
�低�本
通过公用网æ?¥å»ºç«‹VPN 与建立DDN ã€?PSTN ç‰ä¸“线方å¼?相比,å?¯ä»¥èŠ‚çœ?大é‡?的费用开支。
容易扩展
如果用户想扩大VPN 的容é‡?和覆盖范围,å?ªéœ€æ”¹å?˜ä¸€äº›é…?ç½®ï¼Œæˆ–å¢žåŠ å‡ å?°è®¾å¤‡ã€?扩大æœ?åŠ¡èŒƒå›´ã€‚åœ¨è¿œç¨‹åŠžå…¬å®¤å¢žåŠ VPN 也很简å?•ï¼Œå?ªéœ€é€šè¿‡ä½œé€‚当的设备é…?ç½®å?³å?¯ã€‚
伸缩性高
用户如果想与å?ˆä½œä¼™ä¼´è?”网,如果没有VPN,å?Œæ–¹çš„ä¿¡æ?¯æŠ€æœ¯éƒ¨é—¨å°±å¿…é¡»å??商如何在å?Œæ–¹ä¹‹é—´å»ºç«‹ç§Ÿç”¨çº¿è·¯æˆ–帧ä¸ç»§çº¿è·¯ï¼Œæœ‰äº†VPN 之å?Žï¼Œå?ªéœ€å?Œæ–¹é…?置安全连接信æ?¯å?³å?¯ã€‚当ä¸?å†?需è¦?è?”网时,也很容易拆除连接。
完全控制主动�
ä¼?业å?¯ä»¥åˆ©ç”¨å…¬ç½‘或在网络内部自己组建管ç?†VPN 。由自己负责用户的查验ã€?访问æ?ƒã€?网络地å?€ã€?安全性和网络å?˜åŒ–管ç?†ç‰é‡?è¦?工作。
全方�的安全�护
VPN ä¸?仅能在网络与网络之间建立专用通é?“,ä¿?护网关与网关之间信æ?¯ä¼ 输的安全,而且能在ä¼?业内部的用户与网关之间ã€?移动办公用户和网关之间ã€?用户与用户之间建立安全通é?“,建立全方ä½?的安全ä¿?护,ä¿?è¯?网络的安全。
高的性价比
VPN 致力于为网络æ??ä¾›æ•´ä½“çš„å®‰å…¨æ€§ï¼Œæ˜¯æ€§èƒ½ä»·æ ¼æ¯”æ¯”è¾ƒé«˜çš„å®‰å…¨æ–¹å¼?。
使用和管ç?†æ–¹ä¾¿VPN 产å“?å?¯ä»¥åœ¨ç½‘络连接ä¸é€?明地é…?置,而ä¸?需è¦?修改网络或客户端的é…?置,é?žå¸¸æ–¹ä¾¿ä½¿ç”¨ã€‚VPN 产å“?å?¯ä»¥å®žçŽ°é›†ä¸ç®¡ç?†ï¼Œä¹Ÿå°±æ˜¯åœ¨å?Œä¸€ä¸ªåœ°æ–¹å®žçŽ°å¯¹ä¸?å?Œåœ°æ–¹VPN çš„é…?ç½®ã€?监控和维护ç‰ã€‚
投资�护
VPN 基于IPSEC 实现,IPSec æ ‡å‡†é€?æ¸?被大家接å?—ï¼Œç”¨æˆ·ç½‘ç»œçš„æ”¹é€ å’Œæ‰©å±•æœ‰å¾ˆå¥½çš„ä¿?护。
2. VPN çš„ç±»åž‹ä¸Žæ ‡å‡†
å?¯ä»¥æ ¹æ?®ç½‘络连接方å¼?çš„ä¸?å?ŒæŠŠVPN åˆ†ä¸ºä»¥ä¸‹å‡ ç§?类型:
Access VPN ï¼ˆè¿œç¨‹è®¿é—®è™šæ‹Ÿä¸“ç½‘ï¼‰ä¸Žä¼ ç»Ÿçš„è¿œç¨‹è®¿é—®ç½‘ç»œç›¸å¯¹åº”ã€‚
在该方å¼?下远端用户ä¸?å†?æ˜¯å¦‚ä¼ ç»Ÿçš„è¿œç¨‹ç½‘ç»œè®¿é—®é‚£æ ·ï¼Œé€šè¿‡é•¿é€”ç”µè¯?拨å?·åˆ°å…¬å?¸è¿œç¨‹æŽ¥å…¥ç«¯å?£ï¼Œè€Œæ˜¯æ‹¨å?·æŽ¥å…¥åˆ°ç”¨æˆ·æœ¬åœ°çš„ISP ,利用VPN ç³»ç»Ÿåœ¨å…¬ä¼—ç½‘ä¸Šå»ºç«‹ä¸€ä¸ªä»Žå®¢æˆ·ç«¯åˆ°ç½‘å…³çš„å®‰å…¨ä¼ è¾“é€šé?“。示例如图1-1 :
这�方�最适用于公�内部�常有�动人员远程办公的情况。出差员工拨�接入到用户本地的ISP ,就�以和公�的VPN 网关建立�有的隧�连接,�但��连接的安全,�时负担的电�费用大大�低。
Intranet VPN (�业内部虚拟专网)与�业内部的Intranet 相对应。
在VPN技术出现以å‰?,公å?¸ä¸¤ä¸ªå¼‚地机构的局网想è¦?互连一般会采用租用专线的方å¼?,虽然该方å¼?也采用如隧é?“ç‰æŠ€æœ¯ï¼Œåœ¨ä¸€ç«¯å°†æ•°æ?®å°?装å?Žé€šè¿‡ä¸“çº¿ä¼ è¾“åˆ°ç›®çš„æ–¹è§£å°?装,然å?Žå?‘往最终目的地。该方å¼?也能æ??ä¾›ä¼ è¾“çš„é€?明性,但是它与VPNæŠ€æœ¯åœ¨å®‰å…¨æ€§ä¸Šæœ‰æ ¹æœ¬çš„å·®å¼‚ã€‚è€Œä¸”åœ¨åˆ†å…¬å?¸å¢žå¤šã€?业务开展越æ?¥è¶Šå¹¿æ³›æ—¶ï¼Œç½‘络结构趋于å¤?æ?‚,费用昂贵。利用VPN特性å?¯ä»¥åœ¨Internet上组建世界范围内的Intranet VPN。利用Internet的线路ä¿?è¯?网络的互è?”性,而利用隧é?“ã€?åŠ å¯†ç‰VPN特性å?¯ä»¥ä¿?è¯?ä¿¡æ?¯åœ¨æ•´ä¸ªIntranet VPNä¸Šå®‰å…¨ä¼ è¾“ã€‚Intranet VPN通过一个使用专用连接的共享基础设施,连接ä¼?业总部ã€?远程办事处和分支机构。ä¼?业拥有与专用网络的相å?Œæ”¿ç–,包括安全ã€?æœ?务质é‡?(QoS)ã€?å?¯ç®¡ç?†æ€§å’Œå?¯é? 性。示例如图1-2:
Extranet VPN(扩展的�业内部虚拟专网)与�业网和相关�作伙伴的�业网所构�的Extranet相对应。
æ¤ç§?类型与上一ç§?类型没有本质的区别,但由于是ä¸?å?Œå…¬å?¸çš„网络相互通信,所以è¦?更多的考虑设备的互连,地å?€çš„å??调,安全ç–略的å??商ç‰é—®é¢˜ã€‚利用VPN技术å?¯ä»¥ç»„建安全的Extranet,既å?¯ä»¥å?‘客户ã€?å?ˆä½œä¼™ä¼´æ??供有效的信æ?¯æœ?务,å?ˆå?¯ä»¥ä¿?è¯?自身的内部网络的安全。Extranet VPN通过一个使用专用连接的共享基础设施,将客户ã€?供应商ã€?å?ˆä½œä¼™ä¼´æˆ–兴趣群体连接到ä¼?业内部网。ä¼?业拥有与专用网络的相å?Œæ”¿ç–,包括安全ã€?æœ?务质é‡?(QoS)ã€?å?¯ç®¡ç?†æ€§å’Œå?¯é? 性。示例如图1-3:
在下表ä¸æ ¹æ?®ISO七层模型给出了VPN的主è¦?å??è®®æ ‡å‡†ã€‚
OSI七层模型 安全技术 安全å??è®®
应用层
表示层 应用代�
会�层
ä¼ è¾“å±‚ 会è¯?层代ç?† SOCKSv5/SSL
网络层
数�链路层
物�层 包过滤 IPSec
PPTP/L2F/L2TP
表1-1
IPSecå??è®®
IPSecå??议是一个应用广泛,开放的VPN安全å??议。IPSec适应å?‘Ipv6è¿?移,它æ??供所有在网络层上的数æ?®ä¿?护,进行é€?明的安全通信。IPSec用密ç ?技术æ??供以下安全æœ?åŠ¡ï¼šæŽ¥å…¥æŽ§åˆ¶ï¼Œæ— è¿žæŽ¥å®Œæ•´æ€§ï¼Œæ•°æ?®æº?认è¯?,防é‡?æ”¾ï¼ŒåŠ å¯†ï¼Œé˜²ä¼ è¾“æµ?分æž?。IPSecå??è®®å?¯ä»¥è®¾ç½®æˆ?在两ç§?模å¼?下è¿?行:一ç§?是隧é?“(tunnel)模å¼?,一ç§?æ˜¯ä¼ è¾“(transport)模å¼?。在隧é?“模å¼?下,IPSec把IPv4æ•°æ?®åŒ…å°?装在安全的IP帧ä¸ã€‚ä¼ è¾“æ¨¡å¼?是为了ä¿?护端到端的安全性,å?³åœ¨è¿™ç§?模å¼?下ä¸?会éš?è—?路由信æ?¯ã€‚隧é?“模å¼?是最安全的,但会带æ?¥è¾ƒå¤§çš„系统开销。在1999年底,IETF安全工作组完æˆ?了IPSec的扩展,在IPSecå??è®®ä¸åŠ 上ISAKMP(Internet Security Association and Key Management Protocol)å??议,密钥分é…?å??è®®IKEã€?Oakley。ISAKMP/IKE/Oakley支æŒ?è‡ªåŠ¨å»ºç«‹åŠ å¯†ã€?认è¯?ä¿¡é?“,以å?Šå¯†é’¥çš„自动安全分å?‘和更新。
IPSEC它定义了一套用于ä¿?护ç§?æœ‰æ€§å’Œå®Œæ•´æ€§çš„æ ‡å‡†å??议。IPSec支æŒ?ä¸€ç³»åˆ—åŠ å¯†ç®—æ³•å¦‚DESã€?3DESã€?IDEAã€‚å®ƒæ£€æŸ¥ä¼ è¾“çš„æ•°æ?®åŒ…的完整性,以确ä¿?æ•°æ?®æ²¡æœ‰è¢«ä¿®æ”¹ï¼Œå…·æœ‰æ•°æ?®æº?认è¯?功能。IPSecå?¯ç¡®ä¿?è¿?行在TCP/IPå??议上的VPN之间的互æ“?作性。
3. VPN技术
虚拟专用网主è¦?采用了两ç§?技术:隧é?“技术与安全技术。下é?¢ç»“å?ˆIPsecå??è®®æ—?作介ç»?。
3.1 隧�技术
3.1.1 隧�技术简介
è¦?能够使得ä¼?业网内一个局网的数æ?®é€?明的穿过公用网到达å?¦ä¸€ä¸ªå±€ç½‘, 虚拟专用网采用了一ç§?称之为隧é?“的技术。隧é?“技术的基本过程是在æº?局网与公用网的接å?£å¤„将局网å?‘é€?çš„æ•°æ?®(å?¯ä»¥æ˜¯ISO七层模型ä¸çš„æ•°æ?®é“¾è·¯å±‚或网络层数æ?®)作为负载å°?装在一ç§?å?¯ä»¥åœ¨å…¬ç”¨ç½‘ä¸Šä¼ è¾“çš„æ•°æ?®æ ¼å¼?ä¸ï¼Œåœ¨ç›®çš„局网与公用网的接å?£å¤„将公用网的数æ?®è§£å°?装å?Žï¼Œå?–出负载å?³æº?局网å?‘é€?çš„æ•°æ?®åœ¨ç›®çš„å±€ç½‘ä¼ è¾“ã€‚ç”±äºŽå°?装与解å°?装å?ªåœ¨ä¸¤ä¸ªæŽ¥å?£å¤„由设备按照隧é?“å??è®®é…?置进行,局网ä¸çš„其他设备将ä¸?会觉察到这一过程。被å°?装的数æ?®åŒ…在隧é?“的两个端点之间通过公共互è?”网络进行路由。被å°?装的数æ?®åŒ…在公共互è?”ç½‘ç»œä¸Šä¼ é€’æ—¶æ‰€ç»?过的逻辑路径称为隧é?“。下图1-4是该过程的示æ„?.
3.1.2 IPsecä¸çš„隧é?“å??è®®IPIP
IPIPæ•°æ?®æŠ¥æ ¼å¼?如下图1-5:
Media 外部IPå??议头 内部IPå??议头 用户数æ?®
图1-5
IPIPæ•°æ?®æŠ¥æ ¼å¼?
从图ä¸å?¯ä»¥çœ‹å‡ºï¼ŒIPIPå??议是将一个IP包作为å?¦ä¸€ä¸ªIPçš„è´Ÿè½½æ?¥å¤„ç?†ã€‚举个简å?•çš„例
从图ä¸å?¯ä»¥çœ‹å‡ºï¼ŒIPIPå??议是将一个IP包作为å?¦ä¸€ä¸ªIPçš„è´Ÿè½½æ?¥å¤„ç?†ã€‚举个简å?•çš„例
天�信安全技术高�质的��第8页TOPSEC VPN Solution White Book
å?æ?¥è¯´æ˜ŽIPIPå??议的工作过程。一个IP包æº?为A,A所在的局网与Internet的接å?£ä¸ºB,目的地为远地的D,D所在的局网与Internet的接å?£ä¸ºC,IP包è¦?穿过Internet到达D,å?¯åœ¨B作如下图1-6çš„å°?装,数æ?®åŒ…在Internet上å?¯ä»¥æŒ‰ç…§è·¯ç”±åˆ°è¾¾C,在C处解å°?装去掉外
Media 外部目的C 外部�B 内部目的D 内部�A 用户数�
图1-6 IPIP�装
图1-6 IPIP�装
部IPå??议头,将内部IP包在局网上å?‘é€?。数æ?®åŒ…将按照局网的路由到达D。IPIPå??议在具体的使用ä¸è¦?考虑如何建立外部IPå??议头的内容,è¦?考虑内部IPå??议头ä¸çš„æŸ?些内容如æœ?务质é‡?å?‚数,是å?¦è¦?æ‹·è´?到外部å??议头ä¸ã€‚实际上图1-6的示æ„?并ä¸?准确,在两个IPå??议头之间å?¯ä»¥æ?’入其它的å??议内容。IPSecå??è®®æ—?在使用IPIP隧é?“时就å?¯èƒ½æ?’å…¥å?¦å¤–两个å??议头:AHã€?ESP。IPSecå??è®®æ—?建立隧é?“å?¯èƒ½é‡‡ç”¨å¦‚下的方å¼?:
外部IP AH 内部IP
方�1
外部IP ESP 内部IP
方�2
外部IP AH ESP 内部IP
方�3
图1-7 IPIP在IPSecä¸çš„使用
3.2 VPN的安全机制
由于VPN是在ä¸?安全的Internetä¸è¿›è¡Œé€šä¿¡ï¼Œè€Œé€šä¿¡çš„内容å?¯èƒ½æ¶‰å?Šåˆ°ä¼?业的机密数æ?®ï¼Œå› æ¤å…¶å®‰å…¨æ€§å°±æ˜¾å¾—é?žå¸¸é‡?è¦?,必须采å?–一系列的安全机制æ?¥ä¿?è¯?VPNçš„å®‰å…¨ã€‚é€šå¸¸ç”±åŠ å¯†ã€?认è¯?å?Šå¯†é’¥äº¤æ?¢ä¸Žç®¡ç?†ç»„æˆ?了VPN的安全机制。
3.2.1 认�技术简介
认è¯?技术å?¯ä»¥åŒºåˆ†çœŸå®žæ•°æ?®ä¸Žä¼ªé€ ã€?被篡改过的数æ?®ã€‚这对于网络数æ?®ä¼ 输,特别是电å?商务是æž?å…¶é‡?è¦?的。认è¯?å??议一般都è¦?采用一ç§?称为摘è¦?的技术。摘è¦?技术主è¦?是采用HASH函数将一段长的报文通过函数å?˜æ?¢ï¼Œæ˜ 射为一段çŸçš„报文å?³æ‘˜è¦?。由于HASH函数的特性,使得è¦?找到两个ä¸?å?Œçš„报文具有相å?Œçš„摘è¦?是困难的。该特性使得摘è¦?技术在VPNä¸æœ‰ä¸¤ä¸ªç”¨é€”:
A. 验è¯?æ•°æ?®çš„完整性。å?‘é€?方将数æ?®æŠ¥æ–‡å’ŒæŠ¥æ–‡æ‘˜è¦?一å?Œå?‘é€?,接收方通过计算报文摘è¦?,与å?‘æ?¥æ‘˜è¦?比较,相å?Œåˆ™è¯´æ˜ŽæŠ¥æ–‡æœªç»?修改。由于在报文摘è¦?的计算过程ä¸ä¸€èˆ¬æ˜¯å°†ä¸€ä¸ªå?Œæ–¹å…±äº«çš„秘密信æ?¯è¿žæŽ¥ä¸Šå®žé™…报文一å?Œå?‚与摘è¦?的计算,ä¸?知é?“秘密信æ?¯å°†å¾ˆéš¾ä¼ªé€ 一个匹é…?的摘è¦?,从而ä¿?è¯?了接收方å?¯ä»¥è¾¨è®¤å‡ºä¼ªé€ 或篡改过的报文。
B. 用户认è¯?。该功能实际上是上一ç§?功能的延伸。当一方希望验è¯?对方,但å?ˆä¸?希望验è¯?ç§˜å¯†åœ¨ç½‘ç»œä¸Šä¼ é€?,这时一方å?¯ä»¥å?‘é€?一段éš?机报文,è¦?求对方将秘密信æ?¯è¿žæŽ¥ä¸Šè¯¥æŠ¥æ–‡ä½œæ‘˜è¦?å?Žå?‘回,接收方å?¯ä»¥é€šè¿‡éªŒè¯?摘è¦?是å?¦æ£ç¡®æ?¥ç¡®å®šå¯¹æ–¹æ˜¯å?¦æ‹¥æœ‰ç§˜å¯†ä¿¡æ?¯ï¼Œä»Žè€Œè¾¾åˆ°éªŒè¯?对方的目的。
常用的HASH函数有MD5,SHA-1ç‰ã€‚
3.2.2 IPsecä¸çš„认è¯?å??è®®AH
1) Next Header:下一个头部的å??议类型。
2) Payload Len:认�头部长度(32bit��)�2,IPv4 是32�对�,IPv6是64bit ��。
3) RESERVED:全0。
4) Security Parameters Index (SPI):由接收方在创建安全连接时指定,SPI,目的IP地å?€,AHå??议唯一确定一个使用AH的安全连接。
5) Sequence Number Field:用于防æ¢é‡?放攻击,采用类似于TCPå??è®®ä¸çš„窗å?£æœºåˆ¶ã€‚åˆ?值为0,安全连接å?‘é€?,æ¯?å?‘ä¸€åŒ…è®¡æ•°åŠ 1。
6) Authentication Data:对指定的数æ?®çš„认è¯?ç ?,如HMAC-MD5-96。
认è¯?的过程如下:å?‘é€?方采用哈希算法计算认è¯?ç ?,添入AH头部ä¸çš„认è¯?ç ?域å?‘往目的地。认è¯?ç ?计算方法为HASH(认è¯?密钥,认è¯?æ•°æ?®ï¼‰ã€‚å…¶ä¸ï¼Œè®¤è¯?密钥是å?Œæ–¹å…±äº«çš„。å?¯ä»¥æ˜¯æ‰‹å·¥åˆ†å?‘的,也å?¯ä»¥æ˜¯å?Žé?¢å°†ä»‹ç»?的密钥管ç?†å??议动æ€?分å?‘。接收方采用å?Œæ ·çš„方法计算出认è¯?ç ?å?Žä¸ŽAH头部ä¸çš„认è¯?ç ?域内的值比较,如果相å?Œåˆ™è®¤è¯?æˆ?功,å?¦åˆ™è®¤è¯?失败。HASH算法å?¯ä»¥ä¿?è¯?如果ä¸?知é?“认è¯?密钥,è¦?ä¼ªé€ ä¸Žè®¤è¯?æ•°æ?®åŒ¹é…?的认è¯?ç ?是困难的,å?ˆç”±äºŽè®¤è¯?æ•°æ?®ä¸åŒ…å?«æœ‰IPå??议头部的æº?IP地å?€ï¼Œæ‰€ä»¥å?ªè¦?ä¿?è¯?认è¯?密钥的秘密性就å?¯ä»¥æœ‰æ•ˆçš„区别伪装IP地å?€çš„欺骗数æ?®åŒ…。å?Œæ—¶AH还能检查出被认è¯?çš„æ•°æ?®æ®µæ˜¯å?¦è¢«ç¯¡æ”¹ã€‚
3.2.3 åŠ å¯†æŠ€æœ¯ç®€ä»‹
在VPNä¸ä¸ºäº†ä¿?è¯?é‡?è¦?çš„æ•°æ?®åœ¨å…¬å…±ç½‘ä¸Šä¼ è¾“æ—¶ä¸?被他人窃å?–,é‡‡ç”¨äº†åŠ å¯†æœºåˆ¶ã€‚IPSec通过ISAKMP/IKE/Oakleyå??å•†ç¡®å®šå‡ ç§?å?¯é€‰çš„æ•°æ?®åŠ 密方法如DESã€?3DES。在现代密ç ?å¦ä¸ï¼ŒåŠ å¯†ç®—æ³•è¢«åˆ†ä¸ºå¯¹ç§°åŠ å¯†ç®—æ³•å’Œé?žå¯¹ç§°åŠ 密算法。
å¯¹ç§°åŠ å¯†ç®—æ³•é‡‡ç”¨å?Œä¸€æŠŠå¯†é’¥è¿›è¡ŒåŠ 密和解密,优点是速度快,但密钥的分å?‘与交æ?¢ä¸?便于管ç?†ã€‚
使用ä¸?å¯¹ç§°åŠ å¯†åŠ å¯†æ—¶ï¼Œé€šè®¯å?„方使用两个ä¸?å?Œçš„密钥,一个是å?ªæœ‰å?‘é€?方知é?“的专用密钥d,å?¦ä¸€ä¸ªåˆ™æ˜¯å¯¹åº”的公用密钥e,任何人都å?¯ä»¥èŽ·å¾—公用密钥eã€‚ä¸“ç”¨å¯†é’¥å’Œå…¬ç”¨å¯†é’¥åœ¨åŠ å¯†ç®—æ³•ä¸Šç›¸äº’å…³è?”,一个用于数æ?®åŠ 密,å?¦ä¸€ä¸ªç”¨äºŽæ•°æ?®è§£å¯†ã€‚由于ä¸?å¯¹ç§°åŠ å¯†è¿?ç®—é‡?å¤§ï¼Œä¸€èˆ¬ç”¨äºŽåŠ å¯†å¯¹ç§°åŠ å¯†ç®—æ³•ä¸ä½¿ç”¨çš„密钥。ä¸?å¯¹ç§°åŠ å¯†è¿˜æœ‰ä¸€ä¸ªé‡?è¦?用途å?³æ•°å—ç¾å??。
ç›®å‰?,常用的数æ?®åŠ 密算法有:
å¯¹ç§°åŠ å¯†ç®—æ³•ï¼š . . . . .
国际数æ?®åŠ 密算法(IDEA:International Data Encryption Algorithm):128ä½?长密钥,把64ä½?的明文å?—åŠ å¯†æˆ?64ä½?的密文å?—。
DESå’Œ3DESåŠ å¯†ç®—æ³•(The Data Encryption Standard):DES有64ä½?长密钥,实际上å?ªä½¿ç”¨56ä½?密钥。
AES:RijndialåŠ å¯†ç®—æ³•
ä¸?å¯¹ç§°åŠ å¯†ç®—æ³•ï¼š
RSA
æ¤åœ†æ›²çº¿åˆ¶ç®—法
3.2.4 IPsecä¸çš„åŠ å¯†å??è®®ESP
下图是ESPçš„å¤´éƒ¨æ ¼å¼?。
1) SPI:æ„?义å?ŒAHå??è®®
2) Sequence Number:æ„?义å?ŒAHå??è®®
3) Payload Data:是算法的åˆ?始数æ?®ï¼ˆIV)与上层å??议的数æ?®ã€‚上层å??议的数æ?®å°†è¢«åŠ 密,算法的åˆ?始数æ?®ï¼ˆIV)ä¸?å?‚ä¸ŽåŠ å¯†ï¼Œæœ‰äº›ç®—æ³•çš„åˆ?始数æ?®åœ¨Payload Data的开始ä½?置,有些算法的åˆ?始数æ?®ç”±ç®—法éš?å¼?指定。
4) Padding:填充内容
5) Pad Length:填充数�长度
6) Next Header:指定Payload Dataä¸æ•°æ?®çš„å??议类型如TCP,UDP..
7) Authentication Data:是对1-6数�的认�。
åŠ å¯†è¿‡ç¨‹ï¼š
1) å°?装数æ?®ã€‚将上层å??议数æ?®æˆ–整个IPæº?包添入到Payload Data。
2) åŠ å…¥å¡«å……æ•°æ?®ã€‚
3) åŠ å¯†æ˜Žæ–‡Payload Data,Padding,Pad len, Next Headerå?Žï¼Œå¯†æ–‡é‡?新添入对应明文ä½?ç½®ã€‚åŠ å¯†ç®—æ³•å?¯èƒ½æ˜¯DES-CBC,3DES-CBC。
4) 如果算法�求显示IV则�将IV添入Payload Data指定�置。
5) ESP还有一个认�尾部,功能类似于AH。
解密过程:
解密过程相对简å?•ï¼Œå¯¹äºŽéœ€è¦?IVçš„åŠ å¯†ç®—æ³•ï¼Œé¦–å…ˆä»ŽPayload Data指定ä½?ç½®å?–出IV,然å?Žè§£å¯†Payload Data,Padding,Pad len, Next Headerç‰åŸŸå?³å?¯ã€‚
3.2.5 密钥交�和管�
VPNä¸æ— 论是认è¯?è¿˜æ˜¯åŠ å¯†éƒ½éœ€è¦?秘密信æ?¯ï¼Œå› 而密钥的分å?‘与管ç?†æ˜¾å¾—é?žå¸¸é‡?è¦?。密钥的分å?‘有两ç§?方法:一ç§?是通过手工é…?置的方å¼?,å?¦ä¸€ç§?是采用密钥交æ?¢å??议动æ€?分å?‘。手工é…?置的方法由于密钥更新困难,å?ªé€‚å?ˆäºŽç®€å?•ç½‘络的情况。密钥交æ?¢å??议采用软件方å¼?动æ€?生æˆ?密钥,适å?ˆäºŽå¤?æ?‚网络的情况且密钥å?¯å¿«é€Ÿæ›´æ–°ï¼Œå?¯ä»¥æ˜¾è‘—æ??高VPN的安全性。目å‰?主è¦?的密钥交æ?¢ä¸Žç®¡ç?†æ ‡å‡†æœ‰IKE(Internet Key Exchange)ã€?SKIP(Simple Key-Management for Internet Protocol)和OAKLEY Key Determination Protocol。Diffie_Hellman算法是当å‰?使用最广泛的密钥交æ?¢ä½“制。现举IPSecä¸çš„密钥交æ?¢å??è®®IKE的一ç§?情况作简å?•ä»‹ç»?。
ç¬¬äºŒç« VPN解决方案的组æˆ?
1. 系统简介
ICEFLOW VPN 系列硬件路由器是我公å?¸è‡ªä¸»ç ”å?‘,拥有全部知识产æ?ƒã€‚使用ICEFLOW VPN路由器基于ADSL组建VPN网,解决了动æ€?IP的问题。为客户大大节约了使用VPNçš„æˆ?本。ICEFLOW VPN ROUTER是专用软ã€?硬件设备,å?¯å…·æœ‰å¤šä¸ªç½‘络接å?£ï¼Œå?¯å®‰è£…于内è?”网å?„局域网出å?£å¤„或安装于内è?”网与公共网络接å?£å¤„,在我们的设备上å?Œæ—¶ä¹Ÿé›†æˆ?了防ç?«å¢™ï¼Œå¯¹å®¢æˆ·çš„内部网å?šå…¨é?¢çš„ä¿?护。
2.ICEFLOW VPN Routerä¸IPsec体系的实现
3. ICEFLOW VPN系统特点
l 高安全性
åŠ å¯†å¼ºåº¦é«˜ã€‚é‡‡ç”¨128ä½?IDEAåŠ å¯†ã€‚
采用专用的æ“?作系统ã€?å??è®®å?Šå®‰å…¨è½¯ä»¶ï¼Œè¿?行于专用硬件平å?°ï¼ŒæŠ—攻击能力强;且自身具有抵抗攻击能力ã€?自带防ç?«å¢™åŠŸèƒ½ï¼›
支æŒ?IPSec,æ??ä¾›ä¼ è¾“æ–¹å¼?和隧é?“æ–¹å¼?安全;
é‡‡ç”¨å›½é™…æ ‡å‡†å®‰å…¨å??议,é?µå¾ªIPSec(IP Security)安全å??议,对用户数æ?®æ??ä¾›åŠ å¯†ã€?完整性验è¯?以å?Šèº«ä»½è®¤è¯?的功能,最大é™?度的对上层应用æ??供安全ä¿?护;
æ??供防ç?«å¢™åŠŸèƒ½ï¼Œå?¯ä»¥å¯¹æ˜Žæ–‡æ•°æ?®è¿›è¡Œè®¿é—®æŽ§åˆ¶ï¼Œå¢žå¼ºç½‘络通信的安全性;
æ??供安全的远程WWW管ç?†SSL,和安全的远程终端管ç?†SSH,以æ??供远程管ç?†çš„安全性。
l 高�用性
�活��的工作模�,�支��明模�和路由器模�;
å¤šæ ·åŒ–çš„å·¥ä½œæ–¹å¼?,å?¯ä»¥å®žçŽ°ç½‘å…³ï¼?网关ã€?网关ï¼?客户端ã€?网关ï¼?客户端ï¼?网关的工作方å¼?ï¼›
é€?明支æŒ?å?„ç§?应用æœ?åŠ¡ï¼Œæ— éœ€å?šä»»ä½•ä¿®æ”¹å?³å?¯å®žçŽ°å®‰å…¨ä¿?护;
支�固定IP和动�IP;
支æŒ?NAT和防ç?«å¢™è®¿é—®æŽ§åˆ¶æ¨¡å¼?ä¸‹çš„åŠ å¯†ä¼ è¾“ï¼›
支æŒ?带宽管ç?†åŠŸèƒ½ï¼Œå?¯ä»¥æœ‰æ•ˆçš„实现对明文和秘文的æµ?é‡?控制能力,以æ??供隧é?“通信的带宽ä¿?障。
l 高扩展性
å?¯æ ¹æ?®ç”¨æˆ·éœ€æ±‚扩展接å?£ï¼Œæ¯?个接å?£å?¯ç»‘定多个IP地å?€ï¼Œä»¥å?‘挥对多个内部å?网的安全ä¿?护;
模�化设计,更大�度的�障网络信�的安全性;
功能�选,增强了使用的�活性。
l 高易用性
基于对象模å¼?çš„å…¨ä¸æ–‡WWW管ç?†ç•Œé?¢ï¼Œç®€å?•ã€?å?‹å¥½ã€?直观,方便快æ?·ï¼Œæ˜“于管ç?†ï¼›
完整的系统日志管�,详细记录系统的�行状�和�作过程;
对安全域ä¸æ‰€æœ‰å®‰å…¨ç½‘关进行集ä¸å¼?网络化安全管ç?†ï¼›ç”±ä¸€ä¸ªç®¡ç?†ä¸å¿ƒç®¡ç?†æ‰€æœ‰çš„VPN设备。
l 高效性
采用先进的数æ?®åŽ‹ç¼©æŠ€æœ¯ï¼Œå¯¹æ•°æ?®è¿›è¡Œå¤§æ¯”例压缩å?Žå†?è¿›è¡ŒåŠ å¯†å¤„ç?†ï¼Œå¤§å¤§æ??é«˜äº†åŠ å¯†æ•ˆçŽ‡ã€‚
4. ICEFLOW VPNç³»ç»Ÿæ€§èƒ½æŒ‡æ ‡
系统平å?‡æ— 故障时间MTBF:≥40000å°?时;
网络接å?£ï¼šæ ‡å‡†é…?置为2个10M/100M自适应以太网接å?£ï¼ˆ10/100MbaseT)
åŠ å¯†é€Ÿåº¦ï¼šAH>80M,ESP>70M,AH+ESP>60Mï¼›
密钥长度:对称:128�,
åŠ å¯†éš§é?“è®¾è®¡æŒ‡æ ‡ï¼šæ— é™?ï¼›
应用支æŒ?çš„å??议:FTPã€?TELNETã€?HTTPã€?SMTPã€?POP3ã€?DNSç‰ï¼›
入侵检测的类型:扫æ??探测ã€?DoSã€?WEB攻击ã€?木马攻击ç‰ï¼›
支æŒ?çš„å??议:TCP/IPã€?UDPã€?ICMPã€?IPSEC ESP/AH/IPCOMPã€?IKEã€?PUTPç‰ã€‚
5. ICEFLOW VPN系统基本功能
l 带宽管�
ICEFLOW VPN能够针对具体的规则(包括æº?地å?€ã€?目的地å?€ã€?å??è®®å?Šç«¯å?£èŒƒå›´ï¼‰å¯¹ç½‘络带宽进行分é…?,能够æ??供对带宽分é…?çš„å?¯æ‰©å±•æ€§ï¼Œèƒ½å¤Ÿå¯¹å½“å‰?带宽管ç?†è¿›è¡Œç›‘视,æ??供所有å?¯æŸ¥è¯¢çš„æ•°æ?®ã€‚ä¿?è¯?在任何时刻网络带宽都能够被尽é‡?使用。当接å?£ä¸Šçš„æŸ?一规则的预留带宽没有使用时,其它规则å?¯ä»¥å…±äº«ä½¿ç”¨å‰©ä½™å¸¦å®½ã€‚对于共享带宽的接å?£ï¼Œå½“å…¶ä¸ä¸€ä¸ªæŽ¥å?£ä¸?能完全使用预留的带宽时,其它接å?£è¿˜å?¯ä»¥ä½¿ç”¨å‰©ä¸‹çš„带宽。总之,带宽管ç?†å?¯ä»¥ä¸ºç”¨æˆ·ä¸?å?Œçš„通信æ??供充分的æœ?务质é‡?QoS(Quality of Security)ä¿?è¯?。
l 隧�管�
ICEFLOW VPN能ä¾?æ?®ç³»ç»Ÿè¦?求自动建立隧é?“ï¼Œæ ¹æ?®ç®¡ç?†å‘˜åœ¨ç®¡ç?†ç•Œé?¢ä¸Šé?¢è¾“入的隧é?“建立规则,在系统å?¯åŠ¨æ—¶è‡ªåŠ¨å»ºç«‹éš§é?“连接。但对于隧é?“çš„å?œæ¢æˆ–åˆ é™¤ä»?须通过人工的方å¼?进行。
l 集ä¸ç®¡ç?†
iceflow vpn 对所有相关的信æ?¯è®¾ç½®å…¨éƒ¨é€šè¿‡ç»Ÿä¸€çš„WEB管ç?†ç•Œé?¢è¿›è¡Œï¼Œå®¢æˆ·çš„VPNç½‘ç»œæ— è®ºæœ‰å¤šä¹ˆå¤§ï¼Œå?ªéœ€è¦?一å??管ç?†å‘˜ã€‚VPN网络所有的设置,æ“?作都通过这个界é?¢è¿›è¡Œã€‚
l 访问控制功能
ICEFLOW VPN利用其自身的包过滤模å?—实现简å?•çš„å†…éƒ¨ç½‘ç»œå’Œå¤–éƒ¨ç½‘ç»œçš„éš”ç¦»ï¼Œæ ¹æ?®ç›¸åº”的访问规则å…?许或ç¦?æ¢å¤–部网络到内部网络的访问,从而å?¯ä»¥æŽ§åˆ¶å¤–部网络对内部å?网的通信访问。并且å?¯ä»¥é€šè¿‡å°†éš§é?“报文设置为ç¦?æ¢çŠ¶æ€?,æ?¥é˜²æ¢æœ¬åº”该通过隧é?“ä¼ è¾“çš„æŠ¥æ–‡å?´æ²¡æœ‰é€šè¿‡éš§é?“而被接收进æ?¥çš„情况。
l 支�防�墙NAT
客户å?¯èƒ½éœ€è¦?通过内部网络访问公共网络,我们æ??供防ç?«å¢™ä»¥å?ŠNAT地å?€æ˜ 射功能,ä¿?è¯?客户在访问公网的,内部网络的安全。
l 支�SSH远程安全登录
为了æ??供管ç?†å‘˜è¿œç¨‹è¿›è¡Œä¸²å?£ç®¡ç?†çš„æ“?作,ICEFLOW VPN支æŒ?SSH安全登录å??议,远程管ç?†å‘˜å?¯ä»¥ä½¿ç”¨SSH客户端软件,与ICEFLOW Routerçš„SSHæœ?务进行连接,从而å?¯ä»¥å®‰å…¨çš„登录到Iceflow Router上。管ç?†å‘˜å?¯ä»¥åƒ?是直接连在串å?£ç»ˆç«¯ä¸Šä¸€æ ·ï¼Œå¯¹è¿œç¨‹çš„VPN设备进行管ç?†ã€‚除了VPN设备的IP地å?€ä¸?能éš?便更改外,其它æ“?作与串å?£ç®¡ç?†æ— 异。并且管ç?†çš„命令全部ç»?过数æ?®åŠ å¯†ï¼Œå› æ¤ä¿?è¯?了远程管ç?†çš„安全性。
ç¬¬ä¸‰ç« ICEFLOW VPN解决方案
1. ICEFLOW VPN解决方案的特点
(一) 动�VPN
动æ€?VPNï¼Œæ˜¯ä¼ ç»Ÿçš„ç¬¬ä¸‰å±‚VPN的一ç§?延伸,
是一ç§?å?¯ä»¥æž„件在ADSL,CableModem,甚至是ISDN,Modemç‰ä½¿ç”¨åŠ¨æ€?IPçš„Internet接入方å¼?之上的第三层VPN系统。
现有的VPN系统,有两�构件方�,
一�是使用专线接入,利用SVC和PVC�构建第二层的VPN;
一�是利用有固定IP的INTERNET接入构件第三层VPN。
动æ€?VPNç³»ç»Ÿå’Œä¼ ç»Ÿçš„ç¬¬ä¸‰å±‚VPNç³»ç»Ÿæ¯”è¾ƒç›¸ä¼¼ï¼Œä¹Ÿå…¼å®¹ä¸Žä¼ ç»Ÿçš„ç¬¬ä¸‰å±‚VPN系统,
ç›¸å¯¹ä¸Žä¼ ç»Ÿçš„ç¬¬ä¸‰å±‚VPN,动æ€?VPN支æŒ?在å?„ç§?使用动æ€?IPçš„INTERNET接入(诸如,ADSL,CableModem,甚至是ISDN,Modem)上构建VPN系统。
动æ€?VPN采用ä¸å¤®è°ƒæŽ§ï¼Œé€šè¿‡æŽ§åˆ¶ä¸å¿ƒæ?¥è´Ÿè´£ä¸ªVPN节点之间的å??è°ƒã€?å?Œæ¥å’Œç®¡ç?†ï¼Œç”¨æˆ·çš„æ•°æ?®ä¼ 输则在å?„VPN节点之间以点对点的方å¼?进行。
动�VPN网络兼有星型和网状网络的特点,拥有�常良好的�济性,�活性和�管�性。
éš?ç?€ADSL,CABLEMODEMç‰å»‰ä»·é«˜æ•ˆçš„宽带接入方å¼?çš„ä¸?æ–æ™®å?Šï¼ŒåŠ¨æ€?VPNå?¯ä¸ºä¼?业的网络结构带æ?¥ä¸€æ¬¡é?©å‘½ï¼Œ
�以让�业以�常低廉的费用拥有高效的VPN网络系统。
(二) 优势对比
现有的解决方案大多基于一下三�途径:
一是使用昂贵的专线,建立基于数�链路层的VPN;
二是使用DDN专线,在DDN的��IP上构建第三层VPN;
三是使用低速的Modem/ISDN对拨的方�,通过电�线进行窄带互连。
与动�VPN相比,以上三�方案都有�自的�足。
综�比较
专网的实现方å¼? ä»·æ ¼ 性能 ç?µæ´»æ€§ å?¯ç®¡ç?†æ€§ 稳定性 安全性
第三层动æ€?VPN 很低 高,ä¾?赖于具体使用的带宽 é?žå¸¸é«˜ 最高 æŽ¥è¿‘ä¼ ç»Ÿçš„ç¬¬ä¸‰å±‚VPN ä¸?äºšäºŽä¼ ç»Ÿçš„ç¬¬ä¸‰å±‚VPN
专线方å¼?的第二层VPN é?žå¸¸è´µ 高,ä¾?赖于具体使用的带宽 很差 ä¸ç‰ï¼Œä¾?赖于ISP 最高 最高
ä¼ ç»Ÿçš„ç¬¬ä¸‰å±‚VPN ä»·æ ¼ä¸ç‰ 高,ä¾?赖于具体使用的带宽 比较高 高 比较稳定 比较高
Modem/ISDN对拨方å¼? é?žå¸¸ä½Ž 很差 很差 å¾ˆå·®ï¼Œæ— æ³•é›†ä¸ç®¡ç?† 比较稳定 高
专网的实现方å¼? ä»·æ ¼ 性能 ç?µæ´»æ€§ å?¯ç®¡ç?†æ€§ 稳定性 安全性
第三层动æ€?VPN 很低 高,ä¾?赖于具体使用的带宽 é?žå¸¸é«˜ 最高 æŽ¥è¿‘ä¼ ç»Ÿçš„ç¬¬ä¸‰å±‚VPN ä¸?äºšäºŽä¼ ç»Ÿçš„ç¬¬ä¸‰å±‚VPN
专线方å¼?的第二层VPN é?žå¸¸è´µ 高,ä¾?赖于具体使用的带宽 很差 ä¸ç‰ï¼Œä¾?赖于ISP 最高 最高
ä¼ ç»Ÿçš„ç¬¬ä¸‰å±‚VPN ä»·æ ¼ä¸ç‰ 高,ä¾?赖于具体使用的带宽 比较高 高 比较稳定 比较高
Modem/ISDN对拨方å¼? é?žå¸¸ä½Ž 很差 很差 å¾ˆå·®ï¼Œæ— æ³•é›†ä¸ç®¡ç?† 比较稳定 高
��:
专线方å¼?ï¼Œæ€§èƒ½ä¼˜è¶Šï¼Œä»·æ ¼æ˜‚è´µï¼Œå¯¹äºŽé¢„ç®—æœ‰é™?或者是分支机构众多的ä¼?业,高昂的拥有æˆ?本æˆ?为一个沉é‡?的包袱。
Modemæ–¹æ¡ˆï¼Œä»·æ ¼ç›¸å¯¹ä½Žå»‰ï¼Œä½†ç¼ºä¹?集ä¸ç®¡ç?†çš„手段,最致命的缺点是速率太低,满足ä¸?了现代ä¼?业日益增长的数æ?®ä¼ 输的需è¦?。
ä¼ ç»Ÿçš„ç¬¬ä¸‰å±‚VPN,性能å?¯è¾¾åˆ°ä¸Žä¸“线方å¼?相å?Œï¼Œä»·æ ¼éƒ½ä»‹äºŽä»¥ä¸Šä¸¤è€…之间。
而动æ€?VPN,以é?žå¸¸ä½Žçš„ä»·æ ¼å®žçŽ°äº†ä¸Žä¸“çº¿æ–¹å¼?å?Œç‰çš„性能和接近专线方å¼?的稳定性和安全性,是性价比最高的一ç§?解决方案。
2.ICEFLOW VPN解决方案的典型应用
远程办公
  VPN作为一ç§?新技术的出现,带有很多的优点,给我们的ä¼?业带æ?¥äº†æ— é™?的商机和å?‘展机é?‡ï¼ŒæŠ“ä½?机é?‡ï¼Œè¿Žæ?¥å…¬å?¸çš„飞速å?‘展。VPN的主è¦?优势有:
a. 利用VPNæ?¥å¼€å±•ç”µå?商务: 有了VPN,公å?¸å?¯ä»¥é€šè¿‡Internet实现远程办公,开会,å?¯ä»¥å®žçŽ°åœ¨å®¶é‡Œä¸Šç?;也å?¯ä»¥å’Œå®¢æˆ·ç›´æŽ¥è¿œç¨‹è°ˆåˆ¤ï¼Œå??商业务,ç¾è®¢å?ˆå?Œï¼›æœ‰äº†è¿™äº›ï¼ŒVPNä¸?但给我们的工作带æ?¥äº†å·¨å¤§çš„方便,节çœ?大é‡?的时间,大大æ??高了工作效率,而且直接节约了大é‡?的费用。之所以有这些,æ£æ˜¯å› 为VPN能通过安全的数æ?®é€šé?“å°†åŠ å¯†çš„æŠ€æœ¯æ•°æ?®å’Œå…³é”®æ€§çš„商务应用å?Šæ•°æ?®è¿›è¡Œä¼ 输。离开这一点,ä¸?难想象进行远程商务谈判和技术数æ?®ä¼ 输对公å?¸çš„å½±å“?有多大。
 b. ä¸?å?—地ç?†ä½?置的é™?制: Internetå?‘å±•åˆ°çŽ°åœ¨å‡ ä¹Žæ— å¤„ä¸?在,它的接入是到处都有的,我们å?ªè¦?å°†å?„个接入点都接在internet上,然å?Žå†?实现VPN,就å?¯ä»¥å°†æœ‰å…³å…³é”®æ€§çš„æ•°æ?®è¿›è¡Œå®‰å…¨çš„ä¼ è¾“ã€‚è¦?è¾¾åˆ°å®‰å…¨çš„ä¼ è¾“ï¼Œå½“ç„¶è¿˜æœ‰ä¸“çº¿ä¼ è¾“ã€‚ä¾‹å¦‚ATM,光纤ç‰ç‰ã€‚一æ?¥ä»–们的费用高昂,二æ?¥ä»–们的接入点找起æ?¥æ˜¯ä¸?方便的。
 c. å?¯æ‰©å±•æ€§å¼º: Internetçš„æ— å¤„ä¸?åœ¨å†³å®šäº†å¢žåŠ æˆ–å‡?少用户接入是é?žå¸¸å®¹æ˜“的。而专线就ä¸?å?Œï¼Œå‡?å°‘å‡ ä¸ªæŽ¥å…¥ç‚¹è¿˜å¥½åŠžï¼Œè¦?æ˜¯å¢žåŠ å‡ ä¸ªç”¨æˆ·ï¼Œé¦–å…ˆä½ å¾—æ?žæ¸…楚附近有没有接入点,å?³ä½¿æœ‰äº†æŽ¥å…¥ç‚¹ï¼Œä½ 必须进行工程布线æ‰?能接入。
 d. 节çœ?大é‡?费用: 使用VPN通过远程办公,远程商务洽谈,远程技术支æŒ?,节约大é‡?çš„æ—¶é—´ï¼ŒåŠžå…¬è´¹ç”¨ï¼ŒèŠ‚çº¦äº†åºžå¤§çš„å‡ºå·®è´¹ã€‚æ ¹æ?®Infonetics Researchå…¬å?¸çš„一个VPNç ”ç©¶æŠ¥å‘Šï¼Œå°†ç§Ÿç”¨çº¿è·¯æ›¿æ?¢æˆ?VPNæ?¥è¿žæŽ¥è¿œç¨‹ç«™ç‚¹å?¯ä»¥èŠ‚约20%-40%的开支。对于远程访问VPN,节约下æ?¥çš„费用å?¯ä»¥è¾¾åˆ°å…¬å?¸è¿œç¨‹æ‹¨å?·è´¹ç”¨çš„60%-80%。还å?¯èŠ‚çœ?由于带宽å?‡çº§è€Œé‡?新布线所产生的费用。
 e. 节çœ?投资: 由于Internetçš„å˜åœ¨ï¼Œå¸¦å®½æ˜¯ä¸?è¦?考虑的。如è¦?å?‡çº§ï¼Œå…¬å?¸å?ªéœ€è€ƒè™‘自己的机器的å?‡çº§å°±è¡Œï¼Œè€Œæ— 需考虑Internetçš„å?‡çº§ã€‚如果使用专线则ä¸?å?Œï¼Œç”±äºŽæ—¶ä»£çš„è¿›æ¥ï¼Œå…¬å?¸çš„å?‘展,线路的带宽就会æˆ?为瓶颈。
实现:
我们采用IceFlow 路由器为ä¼?业实现VPN功能,å?¯ä»¥å……分共享两地资æº?,如文件资料ã€?打å?°æœºç‰ï¼Œé€‚å?ˆå…¬å?¸ã€?ä¼?业的两个分点。
VPN是针对目��业分公��分支机构以�移动办公员工迅速�长的状况,集�公网与专网优势,�帮助�业实现�济高效的数�通信的一�手段。由于通过ISP接入Internet公网虽然比较�济��活,但是安全性差;而�业自身租用专用网络虽然稳定安全,但是费用高。首创网络VPN�务就是在这对矛盾之间为�业找到一个平衡点,帮助�业�低网络建设费用。
适用的�业:
分支机构�置众多,特别是�个用户和远程办公室站点多时;
用户或站点分布范围广,彼æ¤ä¹‹é—´çš„è·?
è¯éŸ³ç½‘络
许多大ä¸åž‹ä¼?业ç»?常为æ¯?月高é¢?的长途è¯?费支出而苦æ?¼ã€‚ç›®å‰?ä¼?业å?¯é€šè¿‡è´ä¹°IP电è¯?å?¡æœ?务ç‰æ–¹å¼?节约è¯?费,但由于其冗长的用户å?Šå¯†ç ?验è¯?,ä¸?具备如呼å?«è½¬ç§»ã€?é?‡å¿™å›žå?«ã€?广æ’ã€?三方通è¯?ç‰æ–°ä¸šåŠ¡ï¼Œ 甚至é‡?拨都é?žå¸¸éº»çƒ¦ï¼Œéš¾äºŽåœ¨ä¼?业推广应用。而目å‰?通过ADSL的宽带接入方å¼?越æ?¥è¶Šæ™®å?Šï¼Œè®¸å¤šä¼?业以å?Šä»–们的分支机构已ç»?通过这ç§?æ–¹å¼?接入Internet.鉴于ADSL便宜的使用费用,广泛的普å?ŠèŒƒå›´ï¼ŒåŸºäºŽADSLçš„VOIP解决方案在解决VOIPçš„å?Œæ—¶ï¼Œè¿˜ä¸ºå®¢æˆ·å»ºç«‹çš„VPN,是一套性价比é?žå¸¸é«˜çš„方案。
视频监控
网络技术飞速å?‘展的今天,我们ä¸?ä»…å?¯ä»¥é€šè¿‡VPN解决è¯éŸ³ä¼ 输问题,å?Œæ ·å?¯ä»¥æ??供高å“?质视频信æ?¯çš„ä¼ è¾“ï¼Œåœ¨ä¸€äº›è¿žé”?商业机构的总部,或者是生产性ä¼?业的总部,以å?Šä¸€äº›é‡?点消防å?•ä½?,都需è¦?对下属的分店,下属的生产ä¼?业,以å?Šä¸‹å±žçš„éƒ¨é—¨è¿›è¡Œè¿œç¨‹è§†é¢‘ç›‘æŽ§ã€‚é€šè¿‡ä¼ ç»Ÿçš„ç›‘æŽ§æ–¹å¼?,å?ªèƒ½åœ¨å?Œä¸€åº§å¤§æ¥¼å†…å®žçŽ°ï¼Œæ— æ³•å®žçŽ°è¿œè·?离,跨区域监控。而通过DDN组建专用网络,进行数å—视频监控,费用å?ˆæ— 法接å?—。而通过廉价的基于ADSLçš„VPN解决方案与视频监控结å?ˆã€‚å°±å?¯ä»¥è¾¾åˆ°æ€§èƒ½ä¸Žä»·æ ¼çš„完美结å?ˆã€‚
商业连�机构,异地ERP�CRM
利用低æˆ?本的ADSL,CableModemç‰å»‰ä»·å®½å¸¦ç³»ç»Ÿï¼Œä¼?业å?¯ä»¥å°†ä¼—多的连é”?机构通过VPN系统连接æˆ?一个整体。
在众多的分支连é”?机构之间,以ä¼?业内部网的方å¼?é€šè®¯ï¼Œåœ¨è¿™æ ·çš„ä¸€ä¸ªç½‘ç»œä¹‹ä¸Šï¼Œè¿?è¡ŒERP,CRM系统,æ??高ä¼?业的è¿?作效率,简化ä¼?业的管ç?†æ–¹å¼?ï¼Œå¢žåŠ ä¼?业的利润率。
统一的OA系统
éš?ç?€ç§‘技的进æ¥ï¼Œåˆ†å·¥æ—¥ç›Šç»†åŒ–,对于一个公å?¸ï¼Œå?Œä¸€ä¸ªä»»åŠ¡å?¯èƒ½éœ€è¦?å…¨ç?ƒå?„地的å?Œäº‹å??å?Œå®Œæˆ?。过去通过电è¯?,email,ä¸?仅效率低,而且费用也ä¸?低。而有了VPN之å?Žï¼Œå?ªéœ€è¦?è¿?行一套C/S,或者BSçš„OA系统,全ç?ƒå?„地的å?Œäº‹å°±å?¯ä»¥å??作完æˆ?任务了。
文件,数�库的共享
在没有VPN之�,�地分公�之间,或者分公�与总部之间如果需�共享文件,或者数�库的�,就需�通过email,或者通过internet进行,这两�方��但效率低,而且对客户的数�安全是一个很大的�患。有了VPN,这个问题就迎刃而解,对于文件,之间通过windows文件共享就�以。而对于数�库,也�以相互之间直接访问。
