第6章VPN与IPSec6.1VPN定义图6-1虚拟专用网基础结构VPN同现有网络基础设施部件相比，除了安全特性外，主要有以下几个不同点。1．虚拟(Virtual)虚拟意味着网络的基础设施对于VPN连接来说是透明的。同样底层的物理网络并非是VPN用户拥有的，而是由很多用户共享的公共网络。而且为了对上层应用透明，VPN采用协议隧道技术。由于VPN用户本身并不拥有物理网络，因而网络供应商必须在应用服务级进行协商以满足VPN的各项需求。2．专用(Private)VPN环境下的专用实际上指的是VPN网络中的通信信息是保密的。正如上面提到的，VPN的通信流是建立在公共网络基础之上的，因此对于一条VPN连接来说，必须采用防范措施来实现特定的安全需求。这些安全需求包括：①数据加密②数据源认证③密钥的安全产生和及时更新④分组重放攻击和欺骗攻击保护3．网络(Network)虽然物理网络并不存在，但是我们还是应当把VPN看作是现有企业内部网的扩展，它对于其它网络或用户来说应当是可用的。这还得借助于常规的路由和寻址技术来实现。6.2VPN优势因此公司正在寻求一种高效安全而低廉的扩展其全球商务应用的解决方案。虽然基于Web的技术也可以做到这一点，但相比之下，VPN为我们提供了一种更加综合和安全的解决方案。VPN可以跨越互联网来安全地在扩展的企业网络(远程用户，各子公司，合作伙伴)之间传输信息，如图6-2所示。图6-2虚拟专用网(VPN)6.3VPN的安全考虑(3)内联网，其中可能有恶意主机。(4)外部网，这些网络当中传输着大量其它网络用户信息。在这种异种网络环境下，存在着各种各样的安全风险：窃听、内容被篡改、拒绝服务攻击等。为了更好的理解VPN端对端的安全问题，我们看一下一条端对端通路的各组成部分。如图6-3所示，一条端对端通路可能包含一条到ISP的拨号连接，以及ISP到企业内部网的公共网络段，最后是边界网关或防火墙和企业的内联网。图6-3一条典型端对端通路的构成1．拨号段在当今网络环境中，很有必要给用户提供远程接入功能，即对于公司职员，不管是在家里还是在旅途当中都能够用方便快捷，安全高效的方法接入公司内部网络，有时甚至需要同其它公司内的主机进行通信。在此我们称这些家里的和旅行出差用户为远程用户(RemoteUser)。拨号段的覆盖范围就是从远程用户到ISP提供的接入盒之间的网段。该链路使用的协议和过程由ISP具体提供。大多数ISP支持点对点(PPP)链路协议。2．外部网络段(Internet)互联网是由大量的实体来共同运行和维护的，它包含了不同的可区分的路由域，各自由不同的网络中心运行，通常都使用IETF定义的标准化IP协议。IP协议的主要功能就是数据分组的路由。由于IP是无连接协议，每个用户的数据包可能途径不同的路径。事实上，来自不同公司的通信流可能同时通过互联网当中的某个路由器。3.内部网络(Intranet)此网段位于通信路径的末端，通常由公司自身管理、运行和维护，网络通信流量也是由公司内部员工产生的。使用的协议也可能是专有的，不过如今大都使用流行的IP协议。但是随着电子商务的发展，有越来越多的应用需要访问其它公司(合作伙伴，供应商)内部服务器的数据，因此，有时候也很难确定内联网当中的哪些通信流是可信的。比如，公司认为自己的内联网是可信的，而它的合作伙伴可能认为他们的内联网是不可信的。在这种环境下，VPN应当在内部网段和互联网段都能够提供一种一致的网络安全服务。在一条端对端通路当中，有四类机器：①远程主机(拨号)②固定主机(源和目的主机，或客户机和服务器)③ISP接入盒④安全网关(防火墙和/或路由器)通过在这些机器中设置不同的IP安全能力，我们可以得到不同的安全解决方案。下面我们看一下各机器和网段存在的潜在安全问题。4．拨号客户的安全问题拨号客户是通信的起点，其保护主要涉及物理安全。5．拨号网段的安全问题拨号网段把用户的数据送往ISP。如果数据是明文的(没有加密)，那么数据很容易被攻击者窃听，同时ISP也能看到这些敏感数据。在远程用户和ISP之间的链路层加密可以有效对付被动窃听，但还是无法防止一个恶意ISP获得这些数据。6．互联网的安全问题在远程接入环境中，ISP需要构造一条隧道来扩展PPP连接，从而使通信连接可以到达远程ISP接入盒和安全网关。如果该隧道协议不具备强大的安全功能，一个恶意的ISP有可能创建一条伪造的假隧道，从而把用户数据发往一个伪造的网关，见图6-4。图6-4外部网段(Internet)的安全问题同样，当数据在隧道当中传输时，如图6-4所示，互联网中的路由器有可能查看或修改那些没有加密的用户数据包。在用户数据包经过的路径中还可能被别的主机窃听。通过在互联网中每跳(hop)实施链路加密可以有效抵御窃听，但是并不能让用户数据免遭