文稿信息安全全

1、10.2虛擬專用網(wǎng)（VPN） 10.2.1 VPN的簡介 VPN-指將物理上分布在不同地點的網(wǎng)絡通過公用骨干網(wǎng)（互聯(lián)網(wǎng)等）聯(lián)接而形成邏輯上的虛擬“私”網(wǎng)，依靠ISP（Internet Service Provider，互聯(lián)網(wǎng)服務提供商）或NSP（Network Service Provider，網(wǎng)絡服務提供商）在安全隧道、用戶認證和訪問控制等相關技術的控制下達到與專用網(wǎng)絡相類同的安全性能，從而實現(xiàn)基于Internet安全傳輸重要信息的效應。所謂虛擬，是指用戶不再需要擁有實際的長途數(shù)據(jù)線路，而是使用Internet公眾數(shù)據(jù)網(wǎng)絡的長途數(shù)據(jù)線路。所謂專用網(wǎng)絡，是指用戶可以為自己制定一個最符合自己需求

2、的網(wǎng)絡。 10.2.2 VPN的分類1) 按照網(wǎng)絡拓撲結構，VPN在部署上面總體上分為 :A)基于網(wǎng)絡的VPN(NB-VPN):構成IP VPN的關鍵部件是隧道，它是連接VPN兩個節(jié)點之間的特殊鏈路。當隧道的兩端為服務提供商邊緣設備（在Internet環(huán)境下，也稱ISP邊緣路由器）時，IP隧道采用節(jié)點之間以全連接或部分連接形式構成IP VPN的主干網(wǎng)。 B)基于用戶邊緣設備(CE)的VPN:若隧道的兩端為CE設備(在Internet環(huán)境下，稱為用戶前端設備路由器) 2）按接入方式劃分專線VPN：它是為已經通過專線接入ISP邊緣路由器的用戶提供的VPN解決方案。這是一種”永遠在線”的VPN，可以

3、節(jié)省傳統(tǒng)的長途專線費用。撥號VPN（又稱VPDN）：它是向利用撥號ISDN（綜合業(yè)務數(shù)字網(wǎng)，Integrated Service Digital NeTwork）或者xDSL（數(shù)字用戶線路， Digital Subscriber Line）接入ISP的用戶提供的VPN業(yè)務。這是一種”按需連接”的VPN .10.2.3 VPN的隧道技術隧道技術-數(shù)據(jù)包不是公開在網(wǎng)上傳播，而是首先進行加密以確保安全，然后由VPN封裝成IP包的形式，通過隧道在網(wǎng)上傳播。 基本過程-在源局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)（可以是ISO 七層模型中的數(shù)據(jù)鏈路層或網(wǎng)絡層數(shù)據(jù)）作為負載封裝在一種可以在公網(wǎng)上傳輸?shù)臄?shù)據(jù)格式中，在目的

4、局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)解封裝，取出負載。被封裝的數(shù)據(jù)包在互聯(lián)網(wǎng)上傳遞時所經過的邏輯路徑被稱為”隧道”。隧道技術是指包括數(shù)據(jù)封裝，傳輸和解包在內的全過程。 隧道可以劃分為兩種類型：1）自愿隧道（Voluntary Tunnel）用戶或客戶端計算機可以通過發(fā)送VPN請求配置和創(chuàng)建一條自愿隧道。此時，用戶端計算機作為隧道客戶方成為隧道的一個端點。2）強制隧道（Compulsory Tunnel）由支持VPN的撥號接入服務器配置和創(chuàng)建一條強制隧道。此時，用戶端的計算機不作為隧道端點，而是由位于客戶計算機和隧道服務器之間的遠程接入服務器作為隧道客戶端，成為隧道的一個端點。10.2.5 VPN的特點1）信息的安全性-VPN采用安全隧道（Secure Tunnel）技術向用戶提供無縫的和安全的端到端連接服務，確保信息資源的安全。（2）可擴充性-網(wǎng)絡路由設備配置簡單，無需增加太多的設備，省時省錢。只需連接到公用網(wǎng)上，對新加入網(wǎng)絡終端在邏輯上進行設置，也不需要考慮公用網(wǎng)的容量。（3）可管理性- VPN將大量的網(wǎng)絡管理工作放到互聯(lián)網(wǎng)絡提供者（ISP）一端來統(tǒng)一實施，從而減輕了企業(yè)內部網(wǎng)絡管理的負擔。（4）成本優(yōu)勢-企業(yè)不必租用長途專線建設專網(wǎng)，不必大量的網(wǎng)絡維護人員和設備投資,而是利用現(xiàn)有的公用網(wǎng)組建的內部網(wǎng)。（5）服務質量保證（QoS） - VPN網(wǎng)為用戶數(shù)據(jù)提供不同等級