虛擬專用網(wǎng)絡(luò)VPN(Virtual Private Network)是Internet技術(shù)迅速發(fā)展的產(chǎn)物，他可以實現(xiàn)不同網(wǎng)絡(luò)的組件和資源之間的相互連接。虛擬專用網(wǎng)絡(luò)能夠利用Internet或其他公共互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施為用戶創(chuàng)建隧道，并提供與專用網(wǎng)絡(luò)一樣的安全和功能保障。為了保障信息在公共網(wǎng)上傳輸?shù)陌踩琕PN技術(shù)采用了、存取控制、加密、數(shù)據(jù)完整性等措施以保證信息在傳輸中不被偷看、篡改、復(fù)制。

1 支持實現(xiàn)VPN的主要技術(shù)

VPN技術(shù)的發(fā)展是基于隧道技術(shù)的基礎(chǔ)上的，隧道技術(shù)是一種通過使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式。使用隧道傳遞的數(shù)據(jù)(或負載)可以是不同協(xié)議的數(shù)據(jù)幀或包。隧道協(xié)議將這些其他協(xié)議的數(shù)據(jù)幀或包重新封裝在新的包頭中發(fā)送。新的包頭提供了路由信息，從而使封裝的負載數(shù)據(jù)能夠通過互聯(lián)網(wǎng)絡(luò)傳遞。

被封裝的數(shù)據(jù)包在隧道的2個端點之間通過公共互聯(lián)網(wǎng)絡(luò)進行路由。被封裝的數(shù)據(jù)包在公共互聯(lián)網(wǎng)絡(luò)上傳遞時所經(jīng)過的邏輯路徑稱為隧道。一旦到達網(wǎng)絡(luò)終點，數(shù)據(jù)將被解包并轉(zhuǎn)發(fā)到終目的地。注意隧道技術(shù)是指包括數(shù)據(jù)封裝，傳輸和解包在內(nèi)的全過程。

下面考察一些主要的隧道技術(shù)。具體包括：

1．1 對點隧道協(xié)議(PPTP)

PPTP協(xié)議是點到點協(xié)議(PPP)的擴充，PPTP是一個第2層的協(xié)議，將PPP數(shù)據(jù)幀封裝在IP數(shù)據(jù)報內(nèi)通過IP網(wǎng)絡(luò)，如Internet傳送。PPTP還可用于專用局域網(wǎng)絡(luò)之間的連接。RFC草案"點對點隧道協(xié)議"對PPTP協(xié)議進行了說明和介紹。該草案由PPTP論壇的成員公司，包括微軟，Ascend，3Com，和ECI等公司在1996年6月提交至IETF?？稍谡军chttp：／／WWW．ietf．org參看草案的在線拷貝。PPTP使用一個TCP連接對隧道進行維護，使用通用路由封裝(GRE)技術(shù)把數(shù)據(jù)封裝成PPP數(shù)據(jù)幀通過隧道傳送?？梢詫Ψ庋bPPP幀中的負載數(shù)據(jù)進行加密或壓縮。

1．2 L2F

L2F是Cisco公司提出隧道技術(shù)，作為一種傳輸協(xié)議L2F支持撥號接人服務(wù)器將撥號數(shù)據(jù)流封裝在PPP幀內(nèi)通過廣域網(wǎng)鏈路傳送到L2F服務(wù)器(路由器)。L2F服務(wù)器把數(shù)據(jù)包解包之重新注入(inject)網(wǎng)絡(luò)。與PPTP和L2TP不同，L2F沒有確定的客戶方。應(yīng)當注意L2F只在強制隧道中有效。

1．3 第2層隧道協(xié)議(L2TP)

L2TP結(jié)合了PPTP和L2F協(xié)議。他是一種網(wǎng)絡(luò)層協(xié)議，支持封裝的PPP幀在IP、X．25、幀中繼或ATM等的網(wǎng)絡(luò)上進行傳送。當使用IP作為L2TP的數(shù)據(jù)報傳輸協(xié)議時，可以使用L2TP作為Internet網(wǎng)絡(luò)上的隧道協(xié)議。L2TP還可以直接在各種WAN媒介上使用而不需要使用IP傳輸層。

IP網(wǎng)上的L2TP使用UDP和一系列的L2TP消息對隧道進行維護。L2TP同樣使用UDP將L2TP協(xié)議封裝的PPP幀通過隧道發(fā)送?？梢詫Ψ庋bPPP幀中的負載數(shù)據(jù)進行加密或壓縮。L2TP協(xié)議允許對IP，IPX或NetBEUI數(shù)據(jù)流進行加密，然后通過支持點對點數(shù)據(jù)報傳遞的任意網(wǎng)絡(luò)發(fā)送，如IP、X．25、幀中繼或ATM。

PPTP和L2TP都使用PPP協(xié)議對數(shù)據(jù)進行封裝，然后添加附加包頭用于數(shù)據(jù)在互聯(lián)網(wǎng)絡(luò)上的傳輸。盡管2個協(xié)議非常相似，但是仍存在以下幾方面的不同：

(1)PPTP要求互聯(lián)網(wǎng)絡(luò)為IP網(wǎng)絡(luò) L2TP只要求隧道媒介提供面向數(shù)據(jù)包的點對點的連接。L2TP可以在IP(使用UDP)、幀中繼虛擬電路(PVCs)、X．25虛擬電路(VCs)或ATM VCs網(wǎng)絡(luò)上使用。

(2)PPTP只能在2個端點間建立單一隧道 L2TP支持在2個端點間使用多隧道。使用L2TP，用戶可以針對不同的服務(wù)質(zhì)量創(chuàng)建不同的隧道。

(3)L2TP可以提供包頭壓縮 當壓縮包頭時，系統(tǒng)開銷(overhead)占用4個字節(jié)，而PPTP協(xié)議下要占用6個字節(jié)。

(4)L2TP可以提供隧道驗證，而PPTP則不支持隧道驗證 但是當L2TP或PPTP與IPSEC共同使用時，可以由IPSEC提供隧道驗證，不需要在第2層協(xié)議上驗證隧道。

1．4 安全IP(IPSec)隧道模式

IPSec是第3層的協(xié)議標準，支持IP網(wǎng)絡(luò)上數(shù)據(jù)的安全傳輸。IPSEC是一種由IETF設(shè)計的端到端的確?；贗P通訊的數(shù)據(jù)安全性的機制。IPSEC支持對數(shù)據(jù)加密，同時確保數(shù)據(jù)的完整性。按照IETF的規(guī)定，不采用數(shù)據(jù)加密時，IPSEC使用驗證包頭(AH)提供驗證來源驗證(source authentication)，確保數(shù)據(jù)的完整性；IPSEC使用封裝安全負載(ESP)與加密一道提供來源驗證，確保數(shù)據(jù)完整性。IPSEC協(xié)議下，只有發(fā)送方和接受方知道秘密密鑰。如果驗證數(shù)據(jù)有效，接受方就可以知道數(shù)據(jù)來自發(fā)送方，并且在傳輸過程中沒有受到破壞。

ESP有2種工作模式：傳送模式和隧道模式。在傳送模式時只對IP的數(shù)據(jù)部分加密。一個IPSEC隧道由一個隧道客戶和隧道服務(wù)器組成，兩端都配置使用IPSEC隧道技術(shù)，采用協(xié)商加密機制。而在隧道模式時將通過設(shè)備對整個IP包加密(包括包頭)，使IP包的源地址與目的地址隱藏。此時的IP包的包頭為VPN設(shè)備(網(wǎng)關(guān)，路由器等)的IP地址。一個IPSEC隧道由一個隧道客戶和隧道服務(wù)器組成，兩端都配置使用IPSEC隧道技術(shù)，采用協(xié)商加密機制。

IPSec隧道模式具有以下功能和局限：

(1)只能支持IP數(shù)據(jù)流。

(2)工作在IP棧(IPstack)的底層，因此，應(yīng)用程序和高層協(xié)議可以繼承IPSEC的行為。

(3)由一個安全策略(一整套過濾機制)進行控制。安全策略按照優(yōu)先級的先后順序創(chuàng)建可供使用的加密和隧道機制以及驗證方式。當需要建立通訊時，雙方機器執(zhí)行相互驗證，然后協(xié)商使用何種加密方式。此后的所有數(shù)據(jù)流都將使用雙方協(xié)商的加密機制進行加密，然后封裝在隧道包頭內(nèi)。 2 VPN在Windows 2000服務(wù)器中的實現(xiàn)

2．1 Windows 2000的虛擬專用網(wǎng)絡(luò)

Windows 2000支持2種類型的VPN技術(shù)：

(1)PPTP 他使用了用戶級點對點協(xié)議的方法和微軟的點對點數(shù)據(jù)加密方法；

(2)IPSec的L2TP協(xié)議 使用用戶級PPP方法和IPSec級的證書進行數(shù)據(jù)加密。

基于IPSec的L2TP數(shù)據(jù)包的封裝由2層組成：

(1)L2TP封裝 將PPP框架(1P數(shù)據(jù)包、IPX數(shù)據(jù)包或NetBEUI框架)包裝成L2TP頭和UDP頭

(2)IPSec封裝 使用IPSec封裝安全措施負載量(ESP)頭文件和尾文件、提供消息完整性和身份驗證的IPSec身份驗證尾文件及的IP頭數(shù)據(jù)包裝L2TP結(jié)果消息。在IP頭文件中有與VPN客戶機和VPN服務(wù)器對應(yīng)的源和目標IP地址。

圖1顯示了PPP數(shù)據(jù)包的L2TP和IPSec封裝。

2．2 在Windows NT服務(wù)器中建立VPN

在Windows NT服務(wù)器中建立VPN的過程是：首先在Windows NT上安裝PPTP并輸入該服務(wù)器支持的VPN數(shù)量，然后增加VPN設(shè)備作為RAS的端口，配置加密和驗證辦法，然后對VPN隧道配置TCP／IP協(xié)議。配置RAS路由選擇使PPTP包經(jīng)過該服務(wù)器到網(wǎng)絡(luò)。

在Windows 2000中可以通過"網(wǎng)絡(luò)連接向?qū)?快速配置VPN，Windows 2000可以自動識別VPN設(shè)備并添加VPN網(wǎng)絡(luò)連接。

客戶端可采用Windows 98操作系統(tǒng)，首先通過Windows 98光盤安裝VPN網(wǎng)絡(luò)例程，然后安裝Microsoft Virtual Private Network適配器，建立和配置Dial-UP Networking圖標連接到PPTP服務(wù)器即可。

Windows 2000L2TP是PPTP用采管道化，地址分配和的更安全的版本。

Windows 2000通過策略來配置IPsec并提供管理控制臺、IP安全策略，同時，在Windows 2000中PKI提供了數(shù)字論證證書授權(quán)功能。通過PKI來實現(xiàn)密鑰的分配和管理，這也是Windows 2000實現(xiàn)VPN不可缺少的重要組成部分。

3 VPN的安全性

3．1 授 權(quán)

只有得到授權(quán)的用戶和路由器才能創(chuàng)建VPN連接。對于Windows 2000，VPN連接的授權(quán)由用戶帳戶的撥人屬性及遠端訪問策略決定。不需要單為VPN連接創(chuàng)建用戶帳戶。根據(jù)Windows 2000安全性，VPN服務(wù)器使用在可用用戶帳戶數(shù)據(jù)庫中指定的用戶帳戶。從基于PPTP的VPN客戶端連接到基于PPTP的運行Windows 2000的VPN服務(wù)器時發(fā)生的情況：

(1)VPN客戶端使用VPN服務(wù)器創(chuàng)建PPTP隧道。

(2)服務(wù)器向客戶端發(fā)送質(zhì)詢。

(3)客戶將加密的響應(yīng)發(fā)送給服務(wù)器。(假定VPN客戶端和VPN服務(wù)器使用MS-CHAP v1或CHAP身份驗證協(xié)議。)

(4)服務(wù)器檢查對應(yīng)于用戶帳戶數(shù)據(jù)庫的響應(yīng)。

(5)如果帳戶有效并擁有遠程訪問權(quán)限，服務(wù)器將接受符合VPN客戶遠程訪問策略和用戶帳戶屬性的連接。

基于IPSec的VPN客戶端上的L2TP連接到運行Windows 2000的基于IPSec的VPN服務(wù)器上的L2TP時發(fā)生的情況：

(1)通過使用機器驗證、Internet安全協(xié)會與密鑰管理協(xié)議(1SAKMP)以及Oakley密鑰生成協(xié)議來創(chuàng)建IPSec安全協(xié)會。

(2)VPN客戶端使用VPN服務(wù)器創(chuàng)建L2TP隧道．

(3)服務(wù)器向客戶端發(fā)送質(zhì)詢。(假定VPN客戶端和VPN服務(wù)器使用MS-CHAP v1或CHAP身份驗證協(xié)議)

(4)客戶將加密的響應(yīng)發(fā)送給服務(wù)器。

(5)服務(wù)器檢查對應(yīng)于用戶帳戶數(shù)據(jù)庫的響應(yīng)。

(6)如果帳戶有效并擁有遠程訪問權(quán)限，服務(wù)器將接受符合VPN客戶遠程訪問策略和用戶帳戶屬性的連接。

通過授權(quán)和身份驗證并連接到LAN后，遠程訪問VPN連接的VPN客戶只能訪問那些具有權(quán)限的網(wǎng)絡(luò)資源。遠程訪問VPN客戶服從Windows 2000安全設(shè)置，如同他們在辦公室中一樣。換句話說，遠程訪問VPN客戶不能進行任何無權(quán)進行的操作，也不能訪問無權(quán)訪問的資源。 遠程訪問服務(wù)器必須先鑒別遠程訪問VPN客戶的身份，然后才允許其進行網(wǎng)絡(luò)訪問和數(shù)據(jù)傳輸。該身份驗證是登錄到Windows 2000中的獨立步驟。

可以將遠程訪問VPN客戶限制為只許訪問VPN服務(wù)器的共享資源，而不許訪問VPN服務(wù)器連接的網(wǎng)絡(luò)。因此，管理員可以嚴格控制遠程訪問VPN客戶端的可用信息并限制客戶端在破壞安全事件中曝光。

另外，可以在遠程訪問策略配置文件基礎(chǔ)上，使用數(shù)據(jù)包篩選器限制對Intranet的IP通信的訪問。通過參數(shù)文件包過濾器，可以配置基于例外的允許輸出連接(輸出過濾器)和進入連接(輸入過濾器)的IP傳輸：除了過濾器指定的通信以外的所有通信，或除了過濾器指定的通信以外沒有通信。遠程訪問策略配置文件對所有與遠程訪問策略相匹配的連接申請進行篩選。

3．2 身份驗證

通過VPN服務(wù)器驗證VPN客戶身份至關(guān)重要地關(guān)系到安全性問題。身份驗證以2個級別進行：

(1)機器級身份驗證 如果將IPSec用于通過IPSecVPN連接的L2TP，機器級別的身份驗證將通過IPSec安全關(guān)聯(lián)建立過程中的機器證書交換完成。

(2)用戶級別身份驗證 在通過PPTP或L2TP隧道發(fā)送數(shù)據(jù)之前，必須對請求VPN連接的用戶或請求撥號路由器進行身份驗證。用戶級別的身份驗證是通過PPP身份驗證方式進行的。

3．3 數(shù)據(jù)加密

必須使用數(shù)據(jù)加密來保護在VPN客戶和VPN服務(wù)器或者共享或公共網(wǎng)絡(luò)之間發(fā)送的數(shù)據(jù)，因為這些網(wǎng)絡(luò)通常有未授權(quán)攔截的危險。可以將VPN服務(wù)器配置為強制執(zhí)行加密的通訊。連接到該服務(wù)器的用戶必須對數(shù)據(jù)進行加密，否則不允許建立連接。對VPN連接，Windows 2000使用有PPTP的Microsoft點到點加密(MPPE)及使用L2TP的IPSec加密。

3．4 數(shù)據(jù)包篩選

要保證VPN服務(wù)器在Internet接口上發(fā)送或接收除VPN通信之外任何通信的安全，需要在響應(yīng)與Internet連接的接口上的IPSec輸入和輸出篩選器上配置PPTP或L2TP。對于路由器到路由器VPN連接，還必須使用IPSec數(shù)據(jù)包篩選器上的PPTP或L2TP配置呼叫路由器(VPN客戶)。

因為默認情況下，在Intranet接口和Internet連接相對應(yīng)的接口上啟用IP路由，運行Windows 2000的計算機在Internet和Intranet之間轉(zhuǎn)發(fā)IP數(shù)據(jù)包。這在Intranet和Internet上可能的非法用戶之間提供一個直接、路由的連接。為了保護Intranet，以使Intranet的惟一通信是通過安全VNP連接發(fā)送或接收的，必須通過Internet接口上的IPSec過濾器配置PPTP或L2TP。

4 結(jié) 語

VPN作為一種正在發(fā)展和完善的技術(shù)，其設(shè)計應(yīng)該包含以下原則：安全性、網(wǎng)絡(luò)優(yōu)化、VPN管理等。

在安全性上，由于VPN直接構(gòu)建在公用網(wǎng)上，其安全問題極其重要，必須確定其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法用戶對網(wǎng)絡(luò)資源和信息的訪問。同時還要充分有效地利用有限的廣域網(wǎng)資源，按優(yōu)先級分配帶寬資源，為重要數(shù)據(jù)提供可靠的帶寬，預(yù)防阻塞的發(fā)生。

在VPN的管理上，VPN要求將網(wǎng)絡(luò)功能從局域網(wǎng)無縫地延伸到公用網(wǎng)、個人和別的局域網(wǎng)。所以，一個完善的VPN管理系統(tǒng)是必不可少的。VPN管理的目標為：減少網(wǎng)絡(luò)風險、具有高擴展性和高可靠性、經(jīng)濟性。