设计、部署、监控和维护IPsec VPN是一项非常复杂的工作。每个阶段都需要高技能的专业人员来正确完成工作。因此,IPsec VPN作为一种托管服务的部署在过去几年中经历了巨大的增长。随着越来越多的企业选择从他们的首选服务提供商购买IPsec VPN服务,这种增长还在继续。
与技术IT部门的大型企业中型的一个重要观察是,在使用系统集成伙伴的帮助下构建IPSec VPN解决方案后,可以外包监控和维护IPSec解决方案。这样,IT部门可以重新恢复专注于优化业务运营和已部署的IPSec VPN所需的应用程序。
IPsec VPN的缺点
以下是IPsec VPN解决方案的缺点列表:
参与IPsec VPN的远程客户端需要安装客户端软件。
对于远程硬件客户机,从每个端站到远程硬件客户机的通信仍然以明文方式遍历LAN。
由于有趣的流量被封装到IPsec隧道中,由于IPsec协议开销,IP数据包中有效载荷的效率会降低。
IPSec VPN设计,部署和排除故障排除是一个复杂的任务。您需要具有良好运营经验的高技能专业人士。
由于MultiVendor解决方案很少部署,因此在市场上没有证明不同供应商之间的互操作性,增加了IPSec VPN解决方案的原始复杂性。
最被推荐和最安全的密钥交换方法是基于IPsec客户端证书。然而,证书分发当局本身是一项复杂的工作。
保留QoS在IPSec VPN解决方案中采取一些设计努力,因为当今市场上的硬件设备中的大多数加密引擎无法在加密或解密流量时优先考虑高优先级流量。
使用IPSec VPN的ESP调味,网络地址转换(NAT)和端口地址转换(PAT)呈现出巨大的问题,因为由于IP标题地址的变化,身份验证校验和失败。
表明SSL是一个很好的选择
基于ssl的VPN是本章比较的三种VPN技术中最新的一种。它使用web浏览器和本机SSL加密,从几乎所有支持internet的位置提供远程访问连接。尽管应用程序可访问性相对于IPsec vpn受到限制,但基于ssl的vpn允许访问一组不断增长的通用软件应用程序。基于ssl的vpn需要对用户工作流程进行轻微的更改,因为一些应用程序是通过web浏览器界面呈现的,而不是通过它们的本地GUI。客户端/服务器应用程序支持通常需要将特定的、有时依赖于浏览器的applet动态下载到远程系统。使用网络技术进行连接允许访问几乎所有的互联网连接系统,而不需要安装额外的桌面软件。由于基于ssl的VPN可以为来自几乎任何联网系统的用户提供网络访问,因此它是将远程访问扩展到需要访问特定应用程序的用户的一种新兴选择。
SSL的主要作用是为web流量提供安全。SSL通过使用密码学提供机密性;它通过使用数字签名提供完整性,并通过证书进行身份验证。
以下考虑可以帮助确定SSL何时是最佳选择:
连接源自Web浏览器。
IT部门对远程系统或客户软件的控制是有限的,或者根本没有控制,比如合作伙伴或客户。
企业需要提供从非托管或家庭电脑,机场或图书馆亭或网络咖啡馆提供的偶尔的,短期访问权限。
远程访问要求包括访问有限公司网络资源,而不是完全网络访问。
注意:SSL VPN的前述考虑因素由http://cisco.com/en/us/partner/netsol/ns465/networking_solutions_white_paple0900aecd801b1b0f.shtml.
SSL的用户体验
习惯通过web浏览器访问应用程序的用户在将SSL添加到网络时不会注意到有什么不同。用户必须依赖Active X或Java applet在没有浏览器的情况下访问应用程序。
SSL的优势
SSL对于安全远程访问的优势包括:
具有较低的训练开销,ssl在商业web浏览器中享有广泛的支持。
支持现有和计划的身份验证方法 - 服务器插件软件和SSL设备支持现有的身份验证方法,以及使用数字证书的相互认证。
提供Accorvers-Access-SSL可通过任何位置的任何PC通过Web浏览器调用:贸易展示售货亭,互联网咖啡馆,Wi-Fi热点,另一家公司网络以及带互联网接入的任何其他电脑。但是,非常重要的是要注意,必须注意确保公共端点使用不会因恶意软件而受到损害,例如恶意软件,间谍软件,键记录器等,呈现公共端点使用不安全。
减少网络互操作性问题 - 因为底层协议是相同的用于安全Web事务的同一个,因为来自带有Web浏览器的任何位置的SSL VPN函数,包括业务到伙伴环境以及通过代理服务器,而无需更改底层安全基础架构。
客户端ubiquity-client软件内置于几乎所有最终用户设备上安装的Web浏览器,无需安装新的VPN客户端软件。
提供透明的无线漫游- ssl会话不锁定到一个IP地址。
何时实现SSL
在为远程用户提供安全连接的领域,SSL的优势如下:
基于ssl的VPN不需要单独的客户端软件。这减少了与安装和维护桌面软件相关的安装、支持和系统兼容性负担。
基于ssl的VPN减少了网络互操作性问题,因为其底层协议与安全web交易相同。SSL/VPN将在任何有兼容浏览器的地方发挥作用,包括外联网环境和通过代理服务器,而不需要改变底层的安全基础设施。
对于Partner Extranet访问,SSL / VPN更易于部署,以允许合作伙伴访问网络上的特定功能。不需要合作伙伴安装VPN客户端,该客户端可能与伙伴PC上已经有另一个VPN客户端冲突,并且可以轻松地限制访问网络上的特定资源。某些客户端/服务器应用程序可能与SSL / VPN不兼容。
通常情况下,多个供应商之间用于远程访问vpn的IPsec互操作性并没有取得很大的成功。与此同时,当IPsec客户端软件必须与标准桌面操作系统以及在客户端PC上运行的其他应用程序套件互操作时,会遇到一系列困难。SSL VPN可以让您克服这些困难。
最后,对于企业远程访问,一些客户在考虑SSL VPN是否能解决他们所有的应用需求,但大多数客户将SSL VPN视为远程访问IPsec VPN的增强技术,而不是替代技术。
构建和购买SSL VPN的考虑因素
SSL VPN的主要优点是它不需要远程客户端安装,并且使SSL VPN部署不如IPSec VPN部署的繁重任务。但是,在头端的缩放是挑战的,因为SSL是端到端协议,并且具有终止数千个同时SSL连接的服务器不提供可扩展的解决方案。因此,需要在头端完成负载共享。
此外,远程用户在使用SSL VPN连接后,还应接受远程用户如何处理远程终端的培训。
如果您正在构建SSL VPN,请考虑前端的负载分担以及对传入SSL流量的深度包检查。
如果您正在购买SSL VPN解决方案,最好是托管具有HTTP访问的应用程序的Web托管公司,也允许SSL访问,作为完整服务包的一部分。
SSL VPN的缺点
SSL的某些部署选项需要某些注意事项,以帮助保护远程用户的安全凭据。例如,在公共Internet连接上,当终端用户在Internet上执行银行业务活动时,必须在SSL会话结束后正确清理所有残留的用户数据。否则,在用户完成银行工作后获取用户数据的恶意尝试就会成功。
SSL VPN的优点是不需要安装VPN客户端,但同时只有web浏览器可访问的应用程序可以利用SSL作为安全协议。这一领域已经有了新的发展,通过SSL让用户获得“在办公室内部”的体验,而不仅仅是安全的web浏览应用程序。
互联网上被破坏的端点可以接收来自互联网的ssl加密信号,从而发起诸如DDoS攻击等不道德的活动。
分类虚拟专用网络
图3 - 1定义了MPLS、IPsec和SSL VPN解决方案在虚拟网络层次结构下的位置。由于建立物理网络来满足业务需求是不切实际的、昂贵的,而且比业务需求的实际增长要慢,这一点已经变得越来越明显,因此虚拟网络应运而生。这个层次结构有助于显示每种技术相对于其他技术的位置。
图3 - 1定义虚拟专用网络的层次结构
VPN实际上是物理网络基础设施上的覆盖网络。例如,考虑一下给某人打电话的行为如何实现在主叫方之间创建VPN的原则。从电信服务提供商到许多家庭和企业的物理网络基础设施,但通过拨打另一方的号码,您创建了一个虚拟连接,或隧道。这种覆盖网络,即VPN,仅在呼叫期间建立,与此同时,许多其他VPN可以在相同的物理基础设施上建立,而不会干扰其他VPN。
虚拟私有拨号网络(VPDN)允许远程用户使用共享基础架构连接到专用网络。VPDN是一种成本效益的方法,可以在远程拨号用户和专用网络之间建立长距离,点对点连接。
虚拟局域网(VLAN)描述了连接到同一根虚拟电线的计算机或终端的网络,即使这些计算机在物理上可能位于不同的地理位置。vlan是通过软件而不是硬件配置的,这带来了所需的灵活性。
覆盖网络对于连接网络通常遵循中心辐射拓扑。集线器表示到集中资源(如服务器)的连接,而辐条表示具有终端站点或客户机的远程站点连接。
点对点网络与覆盖网络不同,因为每个工作站具有相同的能力和职责。
第2层、第3层和第4层是OSI协议栈。
二层网络的一些例子是
二层转发(L2F)
二层隧道协议(L2TP)
点到点隧道协议(PPTP)
L2F是由思科系统公司开发的,它使企业能够建立二层vpn,使用Internet骨干来移动数据包。由微软公司、美国机器人和其他公司开发的一个非常相似的概念是PPTP。然而,微软和思科同意将他们各自的协议合并成一个单一的标准协议,称为第二层隧道协议(L2TP)。
L2TP允许isp使用两种协议中最好的L2F和PPTP来操作二层的vpn。
第三层和第四层网络的一些例子是
IPsec
通用路由封装(GRE)
安全套接字层(SSL)
拆分路由
IPSec协议基于CIAN租户,如第1章所述,并为IP数据包提供加密,完整性,身份验证和非专定功能,以缺乏保护数据包所需的标准。
GRE是思科系统公司开发的一种隧道协议,它允许网络层数据包包含来自不同协议的数据包。由于IPsec地址仅为单播IP包,因此它广泛用于在IP包内部隧道协议,以及封装组播流量。GRE最常见的用途是封装,例如,非ip、多播流量,然后允许IPsec对其进行加密。因此,在某种意义上,IPsec隧道中的GRE隧道提供了隧道中的隧道。这是一种低效的协议传输方式,但它有助于克服IPsec本身不支持的流量封装问题。