ADJ網路實驗室
打印

[介紹] 虛擬私有網路 --- VPN(Virtual Private Network)

虛擬私有網路 --- VPN(Virtual Private Network)

一、引言

網路的建構及擴展已漸漸地改變企業經營的模式,傳統的工作環境及上下游廠商的關係將隨著網際網路的普及而有所更動;尤其在虛擬私有網路(Virtual Private Network,VPN) 的架設之下,更會有革命性的變化。企業員工不再受限於固定的上班場所,而是只要能連結上企業網路的地方均可辦公。同時,商場競爭的壓力也會迫使相當多的產業尋求與其上下游廠商相結合,以類似一個大企業體系網路的方式運作(即所謂之Extranet),來增加其競爭優勢。

上述的改變將會使企業的營運更加快速,產生更大的產值;而在此同時,卻也意謂著傳統固接式的企業網路連結架構將不敷所需。在外出差的員工及配合廠商都將期待透過網際網路的途徑來存取企業內部的資訊,企業廣域網路架構也勢必需將VPN的功能納入其中。

依據美國Gartner Group的預測,在西元2003年時,幾乎所有的企業均會實際架設VPN的廣域網路方案。如此的動機其實是顯而易見的:VPN最能滿足未來廣域網路多樣化的需求。此外,VPN的好處也很輕易的便能說服企業加以實際應用;相較於長途專線,較低的建置成本,較快的回收期間及較為彈性的功能等優點,使VPN時代的來臨已是不爭的事實了。


二、何謂VPN

VPN,“虛擬私有網路”,簡易的說法,即是指在公眾網路架構上所建立的企業網路,且此企業網路擁有與私有網路相同的安全、管理及效能等條件。VPN乃是原有專線式企業私有廣域網路的替代方案,VPN並不是改變原有廣域網路的一些特性,諸如多重協定的支援、高可靠性及高擴充度,而是使用更為符合成本效益的方式來達成這些特性。

VPN可以分成三大項目,分別為遠端存取(Remote Access)、Intranets 及Extranets。遠端存取VPN乃是連結移動用戶(Mobile User)及小型的分公司,透過電話撥接上網來存取企業網路資源。Intranet VPN是利用Internet來將固定地點的總公司及分公司加以連結,成為一個企業總體網路。而Extranet VPN則是將Intranet VPN的連結再擴展到企業的經營夥伴,如供應商及客戶,以達到協力廠商彼此資訊共享的目的。


三、 為何要用VPN

相較於傳統的專線式網路連結,VPN的架構至少提供了下列的幾項優點:
(1). 成本較低。VPN的架設在設備的使用量及廣域網路的頻寬使用上均較專線式的架構節省,故能使企業網路的總成本(Total Cost of Ownership) 降低。根據分析,在LAN-to-LAN的連結上,VPN將較專線式的架構成本節省20% ~ 40%左右;而就遠端存取(Remote Access)而言,VPN更能比直接撥接至企業內部網路節省60% ~ 80%的成本。

(2). 網路架構彈性較大。VPN較專線式的架構來的有彈性,當有必要將網路擴充或是變更網路架構時,VPN可以輕易的達成;相對的,傳統的專線式架構便需大費周章了。

(3). 管理方便。較少的網路設備及實體線路,使網路的管理較為輕鬆;不論分公司或是遠端存取用戶再多,均只需透過Internet的路徑進入企業網路。


四、構成VPN的要件

VPN網路的形成,必定要有幾個重要的要素及條件,以確保資料能被安全、及時的傳輸於公眾網路之上。這些要件分別是:

(1). VPN平台的擴展性(Platform Scalability)

VPN的平台需要具備完整的擴展性,大至企業總部的設備,小至各分公司,甚至個人撥接用戶,均可被包含於整體的VPN架構中。同時,VPN的平台亦需保留有對未來廣域網路頻寬擴充及連結架構更新的彈性。

(2). 安全(Security)

過去企業的網路架構,多以封閉式的專線連結為主;其主要考量即是在於資料傳輸的”安全性”。若在安全性不能被保障的狀況下,一旦企業重要資料被駭客或有心人士所竊取,將對企業造成難以彌補的傷害及損失。這樣的危機考量,絕對是較網路建置成本、便利性等因素來的更為重要,且不可替代。所以在VPN架構中的各項安全機制,諸如通道(Tunneling)、加密(Encryption)、認證(Authentication)、防火牆(Firewall)及駭客偵防系統(Intrusion Detection)等技術,便成為VPN技術中最為重要的一環。

VPN的建置中,必需透過上述的各項網路安全技術,確保資料在公眾網路中傳輸時不致於被竊取,或是縱使被竊取了,對方亦無法讀取封包內所傳送的資料。如此才可讓VPN的架構,取代傳統的專線式網路連結,而仍然讓企業的資料傳輸擁有相同的”安全性”保障。

(3). VPN服務

頻寬的管理及服務品質(Quality of Service,QoS)服務的提供,來確保資料透過公眾網路傳輸時的及時性,避免網路的阻塞,並提供封包資料的等級分類及傳送。


五、VPN安全項目介紹

如上節所述,資料在公眾網路中傳輸的安全性乃是VPN架構中,相當重要的一個因素;這些相關的技術包括通道(Tunneling)、加密(Encryption)、封包認證(Packet Authentication)、防火牆(Firewall)、使用者認證(User Authentication)及入侵偵防系統(Intrusion Detection),分述如下:

(1). Tunneling & Encryption

藉由對資料加密的通道點對點傳輸技術,VPN可以確保非授權的用戶無法於公眾上讀取到他人的機密文件。通道技術讓企業能建立邏輯上的點對點網路連結,而加密技術則是將欲傳送的資料加以編碼、計算,使得唯有發送者及接收者能夠解讀其中的意義。

一般常見的通道技術協定為Layer 2 Tunneling Protocol (L2TP)、Layer 2 Forwarding (L2F)、Generic Routing Encapsulation (GRE)及IP Security (IPSec)。而加密的技術則依加密鑰匙的長度不同,有DES及3DES等,至於加密鑰匙的管理,則可配合相關的管理伺服器(Certificate Authentication Server,CA Server)來達成。

(2). Packet Authentication

當VPN的虛擬通道建立,資料要開始於通道上傳輸時,為了確保資料的完整性及確認其未被駭客修改過,便需利用一些封包認證的協定來達到此目的。常見的技術如AH、ESP、MD-5及SHA等協定。傳送者及接收者於加密通道建立時便需溝通好依何種封包認證技術來做資料的傳輸,故當接收者收到資料封包之後,便可利用事先約定好的封包認證方式來檢查封包是否在公眾網路傳輸時被修改過。

(3). Firewall & Intrusion Detection

提供網路安全,便不能不談到防火牆及偵防系統,尤其在VPN的網路架構下,這些功能的建立更是不可或缺的。透過防火牆及偵防系統,可以將可能的駭客入侵或是非授權用戶阻隔於企業網路之外,以保障企業網路的安全。

(4). User Authentication

VPN既然允許遠端的用戶透過網際網路來進入企業網路內部存取資料,對於使用者身份的確認及權限的管理便極為重要。使用完整的安全認證伺服器(Authentication, Authorization and Accounting Server),便可加強使用者的認證管理,以確保機密資料不會被非相關人員所讀取。


六、VPN的產品種類

市面上VPN產品相當多,不過可以區分成三大種類,分別是硬體式的VPN系統,軟體式的VPN產品以及與防火牆相結合的VPN系統;分述如下。

(1). 硬體式的VPN系統

最常見的硬體式的VPN設備便是VPN加密的路由器(VPN Router)。因為這些設備將加解密的鑰匙儲存於記憶體中,故較不易被損壞,同時加解密的速度亦較快;尤其是專線頻寬較高之企業,硬體式的設備應是較佳的選擇。此外,若再搭配個人用戶使用的VPN軟體(VPN Client Software),則其功能亦與軟體式的VPN產品相近。

(2). 軟體式的VPN產品

軟體式的VPN產品乃是架設於伺服器及作業平台之上,可以提供較為彈性的功能,例如依據目的地位址或通訊協定來建立VPN通道。相對的,硬體式的VPN系統則多數依據位址目的地來建立VPN通道,將傳輸的所有通訊協定均加密。

然而,軟體式的VPN產品通常較難以管理;需要對作業系統、VPN軟體及相關之網路安全機制均有相當程度的了解,才能真正管理好VPN系統。同時,有些VPN軟體亦需要對路由路徑表(Routing Table)及網路IP位址規劃(Network Address Scheme)加以修改。

(3). 與防火牆相結合的VPN系統

與防火牆相結合的VPN系統自然承襲了防火牆安全功能的優點,使進出的交通均能受到較佳的限制及保護,以及強化的認證功能。一般而言,相當多的VPN廠商並沒有提供對於其作業系統的安全保護。若是採用硬體式且具有VPN功能的防火牆設備,則本身便已對其運作的作業系統做了補強作用(Harden O.S),事先將所有不必要及有危險的服務(Service)均加以去除,以確保此VPN設備不會被駭客所入侵,而導致整體VPN系統功能無法運作。

同時擁有VPN及防火牆功能的設備,對於網路的安全建構有相當大的好處,只需一台機器便可擁有兩項不可或缺的功能,建置成本明顯降低,且管理的負擔亦較輕。


七、VPN的注意事項

(1). 企業對於VPN的建構及應用上,並不應該將原有的廣域網路架構完全替換掉,而是要在既有的廣域網路架構上加上VPN的功能,改變網路的邏輯架構,進而得到VPN節省成本、具彈性且易於管理的優點。若是完全引進新的VPN設備而不利用現有之廣域網路設備來做為VPN之節點,則勢必使建置之成本倍增,且增加網路架構之複雜性;反之,若能使用現有的路由器(Router)、防火牆(Firewall)等設備,使之成為VPN的節點,則可大幅降低VPN的建置成本,並且易於管理。

(2). VPN的資料均需在加密之後,才由公眾網路傳送至接收端,再由接收端設備加以解密。故每一個封包在整個傳輸過程中均需被加、解密一次,而加密、解密均是相當消耗VPN設備運算能力的工作。因此,VPN設備的加解密速度表現,快者可達100Mega,慢者則只有幾Mega的速度,亦是在架設VPN時必需要謹慎考量的因素。如上節所述,硬體式的VPN產品在運作效能上會比軟體VPN產品有較佳的表現。故在使用量較大、對加解密及傳輸速度在意的用戶,應以硬體式的VPN產品,如VPN路由器及擁有VPN功能之硬體防火牆為較佳之考量。

(3). 考量VPN產品的連結相容性,未來的VPN產品均會以IETE所公怖的IPSec協定為標準,來作為彼此資料加解密、傳輸的依據。然而到目前為止,在實際的應用上,不同廠牌的VPN產品仍常會有連結上無法完全相容的問題。故就現實面而言,仍應以同一廠牌之VPN產品做為企業體VPN 建置的設備,所需面臨的困難最少。也因為如此,選擇足夠規模、能夠提供完整的VPN解決方案的廠商,亦成立VPN建構中重要的課題。而所謂的VPN完整解決方案極是包括本文所提及之遠端撥接(Remote Access,Client-to-LAN VPN)、Intranet VPN & Extranet VPN (LAN-to-LAN VPN)等架構,以及擴充性佳、完整網路安全功能、以及VPN服務(QoS Service)等項目。

(4). 在VPN架構安全考量的使用者認證部份,若能以集中式的管理方式(Centralized Management)來運作,必能減少網路管理的負擔。網路上需要有認證機制的設備,除了VPN產品之外,亦有防火牆及遠端撥接伺服器(Remote Access Server)等設備。若所有這些設備均能透過單一的安全認證伺服器來做認證的工作,則無論未來網路如何擴充,永遠只需一套認證伺服器即可滿足需求。

本文取自:藏經閣





TOP

ARTERY.cn