设计、部署、监控和维护IPsec VPN确实是一项复杂的任务。每个阶段都需要高技能的专业人员来把工作做好。因此,IPsec VPN部署作为一种托管服务在过去几年中经历了巨大的增长。随着越来越多的企业选择从他们首选的服务提供商购买IPsec VPN服务,这种增长势头还在继续。
适用于中型企业的一个重要观察大型企业拥有技术娴熟的IT部门是从系统集成合作伙伴建设有帮助的IPsec VPN解决方案,监测和IPSec解决方案的维护后可以外包。这样,IT部门可以重新恢复专注于优化业务运营和已部署的IPSec VPN所需的应用程序。
IPsec VPN的缺点
以下是IPsec VPN解决方案的一些缺点:
参与IPsec VPN的远程客户端需要安装客户端软件。
对于远程硬件客户端,从每个端站到远程硬件客户端的流量仍然以明文形式通过LAN。
由于将感兴趣的流量封装到IPsec隧道中,由于IPsec协议开销的原因,IP数据包的有效负载效率会降低。
设计,部署和故障排除的IPsec VPN是一项复杂的任务。您需要具有良好运营经验的高技能专业人士。
由于多厂商解决方案很少部署,不同厂商之间的互操作性还没有被证明在市场上,增加了IPsec的VPN解决方案的原始复杂。
最推荐和最安全的密钥交换方法是基于IPsec客户端证书。然而,证书分发机构本身是一项复杂的工作。
保留QoS在IPSec VPN解决方案中采取一些设计努力,因为当今市场上的硬件设备中的大多数加密引擎无法在加密或解密流量时优先考虑高优先级流量。
使用IPSec VPN的ESP调味,网络地址转换(NAT)和端口地址转换(PAT)呈现出巨大的问题,因为由于IP标题地址的变化,身份验证校验和失败。
说明SSL是一个好的选择
基于ssl的VPN是本章比较的三种VPN技术中最新的。它提供了远程访问连接,几乎从任何启用互联网的位置使用浏览器和本机SSL加密。尽管与IPsec vpn相比,应用程序的可访问性受到限制,但基于ssl的vpn允许访问越来越多的通用软件应用程序。基于ssl的vpn需要对用户工作流做一些细微的改变,因为一些应用程序是通过web浏览器界面而不是通过它们的本地GUI来呈现的。客户机/服务器应用程序支持通常需要将特定的(有时是依赖于浏览器的)applet动态下载到远程系统。使用网络连接技术,几乎可以访问任何连接互联网的系统,而不需要安装额外的桌面软件。由于基于ssl的VPN可以为几乎任何internet连接系统的用户提供网络访问,因此它是将远程访问扩展到需要访问特定应用程序的用户的一个新兴选项。
SSL的主要作用是为web流量提供安全。SSL通过使用加密提供机密性;它通过使用数字签名提供完整性,并通过证书进行身份验证。
以下考虑可以帮助确定SSL何时是最佳选择:
连接源自Web浏览器。
IT部门对远程系统或客户端软件的控制有限或没有控制,就像对合作伙伴或客户一样。
企业需要提供从非托管或家用电脑,机场或图书馆亭或网吧偶然的,短期的访问。
远程访问要求包括访问有限公司网络资源,而不是完全网络访问。
注意:以上对SSL VPN的注意事项引用自http://cisco.com/en/us/partner/netsol/ns465/networking_solutions_white_paple0900aecd801b1b0f.shtml.
SSL用户体验
习惯于通过web浏览器访问应用程序的用户不会注意到SSL添加到网络中的不同。用户必须依赖activex或Java applet来访问应用程序,而无需浏览器。
SSL的优势
SSL在安全远程访问方面的优势包括:
培训开销低——ssl在商业web浏览器中享有广泛的支持。
支持现有和计划的身份验证方法 - 服务器插件软件和SSL设备支持现有的身份验证方法,以及使用数字证书的相互认证。
提供Accorvers-Access-SSL可通过任何位置的任何PC通过Web浏览器调用:贸易展示售货亭,互联网咖啡馆,Wi-Fi热点,另一家公司网络以及带互联网接入的任何其他电脑。但是,非常重要的是要注意,必须注意确保公共端点使用不会因恶意软件而受到损害,例如恶意软件,间谍软件,键记录器等,呈现公共端点使用不安全。
减少网络互操作性问题 - 因为底层协议是相同的用于安全Web事务的同一个,因为来自带有Web浏览器的任何位置的SSL VPN函数,包括业务到伙伴环境以及通过代理服务器,而无需更改底层安全基础架构。
客户端ubiquity-client软件内置于几乎所有最终用户设备上安装的Web浏览器,无需安装新的VPN客户端软件。
提供透明的无线漫游- ssl会话不锁定IP地址。
何时实现SSL
在为远程用户提供安全连接的领域,SSL正以下列优势获得发展势头:
基于ssl的VPN不需要单独的客户端软件。这减少了与安装和维护桌面软件相关的安装、支持和系统兼容性负担。
基于ssl的VPN减少了网络互操作性问题,因为其底层协议与安全web交易相同。SSL/VPN将在任何有兼容的网络浏览器的地方发挥作用,包括外联网环境和通过代理服务器,而无需改变底层的安全基础设施。
对于合作伙伴的外联网访问,更容易部署SSL/ vpn,以允许合作伙伴访问网络上的特定功能。合作伙伴将不需要安装VPN客户端,这可能与合作伙伴PC上的另一个VPN客户端发生冲突,并且访问可以很容易地限制到网络上的特定资源。一些客户端/服务器应用程序可能与SSL/VPN不兼容。
通常,用于远程访问vpn的多个供应商之间的IPsec互操作性并没有取得很大的成功。与此同时,IPsec客户端软件必须与标准桌面操作系统和客户端PC上运行的其他应用程序套件进行互操作时遇到的一系列困难。SSL VPN允许您克服这些困难。
最后,对于公司的远程访问,一些客户衡量SSL VPN是否能解决他们所有的应用程序需求,但大多数客户将SSL VPN视为远程访问IPsec VPN的增强技术,而不是替代技术。
构建与购买SSL VPN的考虑因素
SSL VPN的主要优点是它不需要远程客户端安装,并且使SSL VPN部署不如IPSec VPN部署的繁重任务。但是,在头端的缩放是挑战的,因为SSL是端到端协议,并且具有终止数千个同时SSL连接的服务器不提供可扩展的解决方案。因此,需要在头端完成负载共享。
另外,还应培训远程用户使用SSL VPN连接后如何处理远端。
如果您正在构建SSL VPN,请考虑在头端进行负载共享以及对传入SSL流量进行深度包检查。
如果您正在购买SSL VPN解决方案,最好是托管具有HTTP访问的应用程序的Web托管公司,也允许SSL访问,作为完整服务包的一部分。
SSL VPN的缺点
SSL的某些部署选项要求采取某些预防措施,以帮助保护远程用户的安全凭证。例如,在公共Internet连接上,当终端用户在Internet上执行银行活动时,必须在SSL会话结束后正确地清除所有剩余的用户数据。否则,在用户完成银行职责后,恶意获取用户数据的尝试可能会成功。
SSL VPN的一个优点是不需要安装VPN客户端,但与此同时,只有web浏览器可访问的应用程序才能使用SSL作为安全协议。在这一领域已经有了发展,允许用户通过SSL获得“在主办公室内部”的体验,使其不仅仅是web浏览应用程序安全。
互联网上被攻击的端点可以接收来自互联网的ssl加密信号,从而发起DDoS攻击等不道德的活动。
分类虚拟专用网络
图3 - 1在虚拟网络的层次结构下定义MPLS,IPSec和SSL VPN解决方案的位置。因为它已成为越来越清楚,建设物理网络,以满足业务需求是不切实际的,昂贵的,并放置慢于业务需求的实际增长,虚拟网络被设想。这种层次结构有助于显示每个技术的位置相对于其他。
图3 - 1定义虚拟专用网络的层次结构
VPN实际上是一个覆盖在物理网络基础设施上的网络。例如,考虑给某人打电话的行为如何实现在主叫双方之间创建VPN的原则。电信服务提供商提供的物理网络基础设施连接到许多家庭和企业,但通过拨打另一方的号码,您就创建了一个虚拟连接或隧道。这个覆盖网络称为VPN,仅在通话期间建立,同时,许多其他VPN可以在相同的物理基础设施上建立,而不会干扰其他VPN。
虚拟私有拨号网络(VPDN)允许远程用户使用共享基础架构连接到专用网络。VPDN是一种成本效益的方法,可以在远程拨号用户和专用网络之间建立长距离,点对点连接。
虚拟局域网(VLAN)描述了连接到同一条虚拟线路的计算机或端点的网络,即使这些计算机在物理上可能位于不同的地理位置。通过软件而不是硬件配置vlan带来了所需的灵活性。
覆盖网络通常遵循连接网络的hub-and-spoke拓扑。集线器表示到集中资源(如服务器)的连接,而辐表示具有端站或客户机的远程站点连接。
点对点网络与覆盖网络不同,因为每个工作站具有相同的能力和职责。
第2层、第3层和第4层是指OSI堆栈。
第二层网络的一些例子是
二层转发(L2F)
第二层隧道协议(L2TP)
点对点隧道协议(PPTP)
L2F由思科系统公司(Cisco Systems, Inc.)开发,使企业能够建立第二层vpn,利用互联网骨干网来移动包。由微软公司、美国机器人公司和其他公司开发的一个非常类似的概念是PPTP。然而,微软和思科同意将各自的协议合并成一个单一的标准协议,称为第二层隧道协议(L2TP)。
L2TP通过使用L2F和PPTP两种协议的优点,允许isp在第二层运行vpn。
下面是一些第三层和第四层网络的例子
IPsec
通用路由封装(GRE)
安全套接字层(SSL)
拆分路由
正如第1章所讨论的,IPsec协议基于CIAN租户,并为缺乏保护数据包所需标准的IP数据包提供加密、完整性、认证和不可抵赖能力。
GRE是思科系统公司开发的一种隧道协议,它允许网络层包包含来自不同协议的包。由于IPsec只用于IP报文的单播,因此广泛用于vpn的IP报文内部的隧道协议,以及组播流量的封装。GRE最常见的用途是封装非ip、组播流量,然后允许IPsec对其进行加密。因此,在某种意义上,IPsec隧道中的GRE隧道提供了隧道中的隧道。这是一种低效的传输协议的方法,但它有助于克服IPsec本身不支持的流量封装问题。