目录
总公司和分公司各自的内网要能够互相共享资料,且共享资料的流量需要经过各自的出口设备后在Internet上传输,为了保证流量在Internet传输过程中的安全性,希望资料在网络传输中不易被黑客截获破解窃取,保证资料的安全保密,此时您可以在总公司和分公司的网络设备上建立IPSec VPN,它即能实现总公司和分公司之间能够互相访问共享资料,也能对数据传输进行加密,保证了数据的安全性 。
IPSec用于保护敏感信息在Internet上传输的安全性。它在网络层对IP数据包进行加密和认证。 IPSec提供了以下网络安全服务,这些安全服务是可选的,通常情况下,本地安全策略决定了采用以下安全服务的一种或多种:
1、数据的机密性—IPSec的发送方对发给对端的数据进行加密
2、数据的完整性—IPSec的接收方对接收到的数据进行验证以保证数据在传送的过程中没有被修改
3、数据来源的认证—IPSec接收方验证数据的起源
4、抗重播—IPSec的接收方可以检测到重播的IP包丢弃
使用IPSec可以避免数据包的监听、修改和欺骗,数据可以在不安全的公共网络环境下安全的传输,IPSec的典型运用是构建VPN。
IPSec使用“封装安全载荷(ESP)”或者“鉴别头(AH)”证明数据的起源地、保障数据的完整性以及防止相同数据包的不断重播;
使用ESP保障数据的机密性。密钥管理协议称为ISAKMP ,根据安全策略数据库(SPDB)随IPSec使用,用来协商安全联盟(SA)并动态的管理安全联盟数据库。
IPsec 的密钥管理协议IKE RFC标准中对参与通讯的各方安全网关(或安全路由器)身份认证有3种方法:预共享密钥,公钥加密,数字签名。 数字证书称为数字标识 (Digital Certificate ,Digital ID)。它提供了一种在 Internet 上身份验证的方式,是用来标志和证明网络通信双方身份的数字信息文件,与司机驾照或日常生活中的身份证相似。数字证书它是由一个由权威机构即CA机构,又称为证书授权(Certificate Authority)中心发行的,人们可以在交往中用它来识别对方的身份。在网上进行电子商务活动时,交易双方需要使用数字证书来表明自己的身份,并使用数字证书来进行有关交易操作。通俗地讲,数字证书就是个人或单位在 Internet上的身份证。比较专业的数字证书定义是,数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间,发证机关(证书授权中心)的名称,该证书的序列号等信息,证书的格式遵循相关国际标准。有了数字证书,我们在网络上就可以畅通无阻。
IPsec 对参与通讯的各方安全网关(或安全路由器)身份认证有3种方法:预共享密钥,公钥加密,数字签名。
区别:预共享密钥的认证方式,认证密钥易泄露。使用数字证书的认证,能够更有效保障身份认证的安全性。
各自适用的场景:
预共享密钥方式:预共享密钥身份验证要求在协商密钥前预先把参与通讯的各方安全网关对应的密钥先保存在安全网关上,在IP地址不固定的情况下只能采取所有的安全网关都用相同的密钥,这显然只能适合小型且对安全性要求不高的网络。共享密钥优点是软件实现起来比较容易,配置简单,且设备投资比较小。
数字证书方式:公钥加密身份验证利用非对称加密算法验证设备的身份,要求协商密钥前预先把参与通讯的各方对应的公钥配置到安全网关上,安全性有很大的提高,但管理起来还是不方便。
ispec的vpn隧道第一阶段建立方式分为主模式和野蛮模式,这两个模式的主要区别在于进行IKE 协商的时候所采用的协商方式不同。
具体区别在于:
1、主模式在IKE协商的时候要经过三个阶段:SA交换、密钥交换、ID交换和验证;野蛮模式只有两个阶段:SA交换和密钥生成、ID交换和验证。
2、主模式一般采用IP地址方式标识对端设备;而野蛮模式可以采用IP地址方式或者域名方式标识对端设备。
因此相比较而言,主模式更安全,而野蛮模式协商速度更快,VPN的两个或多个设备都要设置成相同的模式VPN才能建立成功。
各自适用场景:
IKE的主模式:适用于两设备的公网IP是固定的静态IP地址。
野蛮模式:适用于公网IP是动态的,如外网线路使用ADSL拨号,其获得的公网IP不是固定的情况,也适用于存在NAT设备的情况下,即防火墙以旁路模式或桥模式放于内网,与分部设备建立VPN时需要穿过其他出口设备。
总公司和分公司各自的内网要能够互相共享资料,且PC机到服务器的流量需要经过各自的NGFW设备后在Internet上传输,为了保证流量在Internet传输过程中的安全性,希望资料在网络传输中不易被黑客截获破解 窃取,保证资料的安全保密,此时您可以在总公司和分公司的网络设备上建立网关到网关SSL VPN,它即能实现总公司和分公司之间能够直接互相访问资源,也能对数据传输进行加密,保证了数据的安全性 。
SSLVPN指的是利用SSL协议封包处理功能,利用公司内部SSLVPN网关,通过网络封包转向的方式,让使用者可以在远程计算机执行应用程序,读取公司内部服务器数据。它采用标准的安全套接层(SSL)对传输中的数据包进行加密,从而在应用层保护了数据的安全性。高质量的SSL VPN解决方案可保证企业进行安全的全局访问。在不断扩展的互联网WEB站点、远程办公室、传统交易大厅和客户端之间,SSLVPN克服了IPSec VPN的不足,用户无需安装客户端,可以轻松实现远程访问,而且配置简单、安全易用,这样就降低了用户的总成本,还能增加远程用户的工作效率。同样在这些地方,配置传统的IPSec VPN非常困难,甚至是不可能的,因为配置IPSec VPN还必须更改网络地址转换(NAT)和防火墙的设置。
1、web模式,也叫做代理Web页面,它将来自远端浏览器的页面请求(采用HTTPS协议)转发给Web服务器,然后将服务器的响应回传给终端用户。
2、Tunnel模式,需要下载运行的客户端支持。客户端和NGFW防火墙设备建立SSL隧道后,NGFW防火墙为客户端分配IP. 客户端通过建立的虚接口直接通过SSL隧道连接到内部网络。
某公司分部需要访问总部的服务器资料,且对资料安全保密要求不高,此时可通过在两个局域网的出口设备上建立GRE隧道实现两个局域网用户间的互访。
GRE协议的主要用途有两个:企业内部协议封装和私有地址封装。在国内,由于企业网几乎全部采用的是TCP/IP协议,因此在建立隧道时没有对企业内部协议封装的市场需求。企业使用GRE的唯一理由应该是对内部地址的封装。
GRE(Generic Routing Encapsulation,通用路由封装协议)GRE Tunnel,GRE 是一个原本由Cisco 开发的隧道协议﹐是一个类似于IP-in-IP的隧道协议﹐它可以把一个网络协议封装在另外一个网络协议里面。根据RFC 2784定义:外层的协议我们称为deliver protocol(传输协议),它把内层的协议,我们称为Payload(载荷),封装在里面。因为它比较简单,实施起来比较方便,而且相比较其他隧道协议有很强的通用性,甚至能够透过GRE tunnel 传送multicast 和IPv6等信息。
GRE主要用于源路由和终路由之间所形成的隧道。例如,将通过隧道的报文用一个新的报文头(GRE报文头)进行封装然后带着隧道终点地址放入隧道中。当报文到达隧道终点时,GRE报文头被剥掉,继续原始报文的目标地址进行寻址。 GRE隧道通常是点到点的,即隧道只有一个源地址和一个终地址。GRE建立起来的隧道只是在隧道源点和隧道终点可见,中间经过的设备仍按照外层IP在网络上进行普通的路由转发。
用户网络的出口采用NGFW防火墙作为网关,作为内网用户Internet出口,为了满足用户远程拨入的需要, 出差在外的员工PC要访问公司内部的某一服务器下载资料,要求客户端使用l2tp VPN访问公司的服务器。通过建立L2TP隧道给远程拨号用户提供了连接到VPN网关的解决方案,拨号VPN又称为VPDN(Virtual Private Dial Network)。
VPDN隧道协议可分为PPTP、L2F和L2TP三种,目前使用最广泛的是L2TP(Layer Two Tunneling Protocol)。RG-WALL1600下一代防火墙可以配置为PPTP/L2TP VPN网关,远程主机就可以通过Microsoft Windows 98/2000/XP/2003四种操作系统使用PPTP和L2TP连接企业内部网络。 相比PPTP来说,L2TP是一种更广泛的二层封装协议。但是就远程访问VPN来说,他们两者完成的功能一样。
备注:目前NGFW只支持作为L2TP的服务端,不支持作为L2TP的客户端
隧道技术是建立安全VPN的基本技术之一,类似于点对点连接技术,在公用网建立一条数据遂道,让数据包通过这条隧道传输。L2TP隧道协议是典型的被动式隧道协议,它结合了L2F和PPTP的优点,可以让用户从客户端或访问服务器端发起VPN连接。L2TP是把链路层PPP帧封装在公共网络设施如IP、ATM、帧中继中进行隧道传输的封装协议。
二层隧道协议 (Layer 2 Tunneling Protocol),目前使用最广泛的是第二版,在RFC 2661中定义.同其他VPN技术一样,L2TP能够通过隧道技术将用户网络的私有数据进行封装并在公网上进行传输同3层VPN(IPSec\GRE)有所区别的是,L2TP是将来自用户网络的私有数据从二层PPP头部开始进行封装,而三层VPN是将来自用户网络的私有数据从三层IP报头开始进行封装,L2TP只能对PPP数据帧进行封装,将其封装在UDP报文中。
单纯的L2TP VPN并不提供数据加密的功能,L2TP VPN多与IPSec技术结合使用。如下图拓扑所示,出差在外的员工可以通过公司的VPN网关建立VPN连接来访问内网邮件服务器,无论他身处何地,只要能够访问到公司网关的对外IP,并且具有拨号账号及密码即可。
1.同样的安全保密作用的IPsec VPN与SSL VPN各自适用的区别:
由于IPsec VPN实现方式上的局限性,导致其存在着一些不足:
1、部署 IPsec VPN 网络时,需要在用户主机上安装复杂的客户端软件。而远程用户的移动性要求VPN 可以快速部署客户端,并动态建立连接;远程终端的多样性还要求VPN 的客户端具有跨平台、易于升级和维护等特点。这些问题是IPsec VPN 技术难以解决的。
2、无法检查用户主机的安全性。如果用户通过不安全的主机访问公司内部网络,可能引起公司内部网络感染病毒。
3、访问控制不够细致。由于 IPsec 是在网络层实现的,对IP之上的报文内容无法识别,因而不能控制高层应用的访问请求。随着企业经营模式的改变,企业需要建立Extranet(Extranet是一个使用Internet/Intranet技术使企业与其客户和其它企业相连来完成其共同目标的合作网络),与合作伙伴共享某些信息资源,以便提高企业的运作效率。对合作伙伴的访问必须进行严格有效地控制,才能保证企业信息系统的安全,而IPsec VPN 无法实现访问权限的控制。
4、在复杂的组网环境中,IPsec VPN 部署比较困难。在使用NAT 的场合,IPsec VPN 需要支持NAT 穿越技术;在部署防火墙的网络环境中,由于IPsec 协议在原TCP/UDP 头的前面增加了IPsec 报文头,因此,需要在防火墙上进行特殊的配置,允许IPsec 报文通过。
因此IPsec VPN比较适合连接固定,对访问控制要求不高的场合,无法满足用户随时随地以多种方式接入网络、对用户访问权限进行严格限制的需求。
SSL VPN技术克服了IPsec VPN技术的缺点,以其跨平台、免安装、免维护的客户端,丰富有效的权限管理而成为远程接入市场上的新贵。
2.同样的点对点隧道协议的GRE与L2TP各自适用的区别:
在IPSec 和Multiprotocol Label Switching (MPLS) VPN出现前,GRE被用来提供Internet上的VPN功能。GRE将用户数据包封装到携带数据包中。因为支持多种协议,多播,点到点或点到多点协议,如今,GRE仍然被使用。
GRE是一个标准协议,支持多种协议和多播,能够用来创建弹性的VPN,支持多点隧道,能够实施QOS。GRE的劣势在于缺乏加密机制,没有标准的控制协议来保持GRE隧道(通常使用协议和keepalive),隧道很消耗CPU,出现问题要进行DEBUG很困难,另外MTU和IP分片是一个问题。
L2TP的优势是灵活的身份验证机制以及高度的安全性:L2TP协议本身并不提供连接的安全性,但它可依赖于PPP提供的认证(比如CHAP、PAP等),因此具有PPP所具有的所有安全特性。L2TP也可与 IPSec结合起来实现数据安全,这使得通过L2TP所传输的数据更难被攻击。L2TP还可根据特定的网络安全要求在L2TP之上采用通道加密技术、端对端数据加密或应用层数据加密等方案来提高数据的安全性。而且L2TP传输PPP数据包,这样就可以在PPP数据包内封装多种协议。
