English

常見VPN技術以及對比

2019-01-03

一、常見VPN技術

1、MPLS VPN技術

MPLS VPN是一種基於MPLS技術的IP VPN,是在網絡路由和交換設備上應用MPLS(Multiprotocol Label Switching,多協議標記交換)技術,簡化核心路由器的路由選擇方式,利用結合傳統路由技術的標記交換實現的IP虛擬專用網絡(IP VPN)。MPLS優勢在於將二層交換和三層路由技術結合起來,在解決VPN、服務分類和流量工程這些IP網絡的重大問題時具有很優異的表現。實現跨地域、安全、高速、可靠的數據、語音、圖像多業務通信,並結合差別服務、流量工程等相關技術,將公衆網可靠的性能、良好的擴展性、豐富的功能與專用網的安全 、靈活、高效結合在一起,爲用戶提供高質量的服務。因此,MPLS VPN在解決企業互連、提供各種新業務方面也越來越被運營商看好,成爲在IP網絡運營商提供增值業務的重要手段。廣泛應用於跨國企業、銀行、證券、教育、互聯網服務等行業的互聯,並與國內外知名電信運營商合作,將高可用性、高擴展性的網絡服務延伸到世界各地。MPLS VPN又可分爲二層MPLS VPN(即MPLS L2 VPN)和三層MPLS VPN(即MPLS L3 VPN)。


2、SSL VPN技術

SSL VPN是以HTTPS(Secure HTTP,安全的HTTP,即支持SSL的HTTP協議)爲基礎的VPN技術,工作在傳輸層和應用層之間。SSL VPN充分利用了SSL協議提供的基於證書的身份認證、數據加密和消息完整性驗證機制,可以爲應用層之間的通信建立安全連接。SSL協議指定了一種在應用程序協議(如Http、Telenet、NMTP和FTP等)和TCP/IP協議之間提供數據安全性分層的機制,它爲TCP/IP連接提供數據加密、服務器認證、消息完整性以及可選的客戶認證。它的特點是無需客戶端軟件,使用方便,適用於用戶安裝配置不易或是特定應用情況。(安全套接層協議層)方案,它只允許通過安全的Web瀏覽器,訪問某幾種具有Web功能的應用。它只能訪問使用標準Web創作工具如HTML和JavaScript的應用。這項技術可以分析每個網頁,確保從該網頁引出的程序化的導航路徑通過安全連接,轉發到SSL VPN服務器。爲用戶遠程訪問公司內部網絡提供了安全保證。


3、IPSec VPN技術

IPSec VPN是基於IPSec協議的VPN技術,由IPSec協議提供隧道安全保障。IPSec是一種由IETF設計的端到端的確保基於IP通訊的數據安全性的機制。它依靠GRE(IPSec/GRE)以及另一種名爲封裝安全載荷(Encapsulating Security Payload,ESP)的協議,IP數據包進行封裝和加密處理。不過,與PPTP和L2TP相比, IPSec方案更安全、更可靠,這歸功於IPSec選擇及支持的加密算法。通常採用IPSec的VPN方案來解決在多個分公司間構建穩定的VPN的需求。它爲Internet上傳輸的數據提供了高質量的、可互操作的、基於密碼學的安全保證。


4、PPTP技術 

PPTP(Point to Point Tunneling Protocol)點對點隧道協議,是一種支持多協議虛擬專用網絡的協議。這類方案採用了一項名爲通用路由封裝(Generic Routing Encapsulation,GRE)的技術。它是一種因特網協議,可以讓發往某個網絡的數據包經加密後,一個包接一個包地發送到可信服務器。然後,服務器拆開數據包,重新發送到專用網上。微軟推出的PPTP/GRE方案就利用了GRE,並採用微軟的算法對數據進行加密。通過該協議,遠程用戶能夠跨越 Microsoft Windows NT工作站、 Windows2000 和 Windows XP 操作系統以及其它點對點激活系統安全訪問共同網絡,並通過撥號本地互聯網服務提供商安全鏈接它們互聯網上的共同網絡。優點也是簡單易配置,對於初階應用安全性足以應用。

 

二、常見VPN技術優劣對比

1.     MPSL相较于传统VPN

MPLS-VPN爲快速部署額外的增值IP服務提供了1個平臺, 這些增值IP服務包括Intranet,Extranet、聲音、多媒體和網上交易;


MPLS-VPN通過限定僅將1個虛擬專用網的路由分發到該虛擬專用網的成員路由器,以及使用MPLS技術進行轉發提供了和第2層虛擬專用網同樣的專用性和安全性;


MPLS-VPN爲用戶內部網(Intranet)提供了無縫的整合;


MPLS-VPN在擴展性上比現行的虛擬專用網機制有很大提高,允許每個虛擬專用網支持成千上萬個站點,而每個供應商支持成千上萬個虛擬專用網;


MPLS-VPN提供了IP服務類型(CoS),使得支持1個虛擬專用網內多類服務,以及選擇特定類服務的方式更爲靈活;


MPLS-VPN使虛擬專用網的成員關係易於管理,並且也使快速部署新的虛擬專用網變得簡單。

 

2.     IPSec-VPN比较SSL-VPN

PPTP作爲簡單的VPN方案適合移動的用戶(Mobile User)通過PPTP撥號連接到公司網絡,比如經常出差的員工,通過VPN連接到公司的服務器上收發郵件,存取文檔資料等;不適合作爲點對點或者點對多點的VPN架構(當然一定用PPTP也是可以實現的)。


由於PPTP/L2TP和IPSec兩種VPN解決方案因彼此相似而常常被歸爲一類,因爲它們都使用客戶軟件,並依賴GRE,原理極爲類似。我們可以把它們都視爲IPsec VPN方案。到現在爲止,安全遠程接入方案歸結爲兩種選擇: IPSec VPN(第一代)和SSL VPN(第二代),兩者各有其優缺點。


基於IPSec方式的VPN就是遠程用戶撥號接入的一套硬件設備。這與任何網絡連接都被接受的一般方式不同。IPsec VPN設備只用來接受遠程客戶的連接。一個IPSec VPN的操作運行在協議棧的IP層。 IPsec VPN用戶需要在客戶端(無論是臺式機或筆記本)上安裝可以連接到VPN服務器的軟件。SSL VPN用戶只需要一個網絡瀏覽器來訪問的VPN連接。他們會進入到註冊了的公司VPN網頁。SSL VPN主要讓遠程設備可以訪問基於瀏覽器的應用。不過,通常說來,應用種類越多,SSL VPN的吸引力也就越小。這涉及到IPSec客戶軟件安全和SSL VPN定製間的取捨。


SSL VPN加密性級別不如IPSec VPN,流量需要SSL傳輸。

SSL VPN只能通過網絡瀏覽器連接,都是HTTP反向代理,適合具有web功能的應用,只適合TCP,不適合UDP通道。

SSL VPNIPSec VPN方便,容易維護,更容易部署、管理成本低,更安全,更好的可擴展性,控制更精細。

SSL VPN對C/S結果的應用支持力度不夠,對移動用戶的安全訪問仍存在較大風險,對應用性能影響較大,在設計上,IPSec VPN是一種基礎設施性質的安全技術。


對於IPsec VPN和SSL VPN來說,儘管公司和用戶之間的連接是安全的,但雙方都有弱點。

如果連接到IPsec VPN網絡的用戶被植入了木馬程序,他將影響整個網絡。比如,如果一個公司的僱員通過她或他家的的沒有安裝防火牆或者防病毒軟件的臺式機進行連接,那麼VPN網絡就會變成從沒有保護的家用計算機傳播病毒、特洛伊程序、間諜軟件和木馬程序的安全渠道。


SSL VPN在安全方面有些不同。作爲一個Web應用系統,如果沒有正確配置,一個SSL VPN是容易受到各種網絡攻擊的,如SQL注入,跨站點腳本,弱認證和參數操縱的情況。

返回頂部
隱藏或顯示