如有問題討論,留言時請留下聯絡方式;恕不回覆暱名之留言。

Blog之文章,皆為本人之寫作,非商業用轉載「不需經本人同意,但需註明出處」。

與我聯絡 (Contact Me)

msn:peter.lai.0223@gmail.com


2010年_好書交換(請點我)

2008年10月31日 星期五

2008.10_VPN及其應用

何謂VPN:
VPN, "虛擬私有網路",
簡易的說法,即是指在公眾網路架構上所建立的企業網路,且此企業網路擁有與私有網路相同的安全、管理及效能等條件。VPN乃是原有專線式企業私有廣域網路的替代方案,VPN並不是改變原有廣域網路的一些特性,諸如多重協定的支援、高可靠性及高擴充度,而是使用更為符合成本效益的方式來達成這些特性。

VPN
可以分成三大項目:
遠端存取(Remote Access):
遠端存取VPN乃是連結移動用戶(Mobile
User)及小型的分公司,透過電話撥接上網來存取企業網路資源。

Intranets:
Intranet
VPN是利用Internet來將固定地點的總公司及分公司加以連結,成為一個企業總體網路。

Extranets:
Extranet VPN則是將Intranet
VPN的連結再擴展到企業的經營夥伴,如供應商及客戶,以達到協力廠商彼此資訊共享的目的。


為何要用VPN
相較於傳統的專線式網路連結,VPN的架構至少提供了下列的幾項優點:
(1)成本較低
VPN的架設在設備的使用量及廣域網路的頻寬使用上均較專線式的架構節省,故能使企業網路的總成本(Total Cost of
Ownership) 降低。根據分析,在LAN-to-LAN的連結上,VPN將較專線式的架構成本節省20% ~
40%
左右;而就遠端存取(Remote Access)而言,VPN更能比直接撥接至企業內部網路節省60% ~ 80%的成本。

(2)網路架構彈性較大。VPN較專線式的架構來的有彈性,當有必要將網路擴充或是變更網路架構時,VPN可以輕易的達成;相對的,傳統的專線式架構便需大費周章了。

(3)管理方便。較少的網路設備及實體線路,使網路的管理較為輕鬆;不論分公司或是遠端存取用戶再多,均只需透過Internet的路徑進入企業網路

構成VPN的要件

VPN網路的形成,必定要有幾個重要的要素及條件,以確保資料能被安全、及時的傳輸於公眾網路之上。這些要件分別是:

(1)VPN平台的擴展性(Platform Scalability)
VPN的平台需要具備完整的擴展性,大至企業總部的設備,小至各分公司,甚至個人撥接用戶,均可被包含於整體的VPN架構中。同時,VPN的平台亦需保留有對未來廣域網路頻寬擴充及連結架構更新的彈性。

(2)安全(Security)
過去企業的網路架構,多以封閉式的專線連結為主;其主要考量即是在於資料傳輸的"安全性"。若在安全性不能被保障的狀況下,一旦企業重要資料被駭客或有心人
士所竊取,將對企業造成難以彌補的傷害及損失。這樣的危機考量,絕對是較網路建置成本、便利性等因素來的更為重要,且不可替代。所以在VPN架構中的各項
安全機制,諸如通道(Tunneling)、加密(Encryption)、認證(Authentication)、防火牆(Firewall)及駭客偵
防系統(Intrusion Detection)等技術,便成為VPN技術中最為重要的一環。

VPN的建置中,必需透過上述的各項網路安全技術,確保資料在公眾網路中傳輸時不致於被竊取,或是縱使被竊取了,對方亦無法讀取封包內所傳送的資料。如此才可讓VPN的架構,取代傳統的專線式網路連結,而仍然讓企業的資料傳輸擁有相同的"安全性"保障。

(3)VPN服務
頻寬的管理及服務品質(Quality of Service, QoS)服務的提供,來確保資料透過公眾網路傳輸時的及時性,避免網路的阻塞,並提供封包資料的等級分類及傳送。


VPN的產品種類
市面上VPN產品相當多,不過可以區分成三大種類
1.硬體式的VPN系統:
最常見的硬體式的VPN設備便是VPN加密的路由器(VPN
Router)。因為這些設備將加解密的鑰匙儲存於記憶體中,故較不易被損壞,同時加解密的速度亦較快;尤其是專線頻寬較高之企業,硬體式的設備應是較佳
的選擇。此外,若再搭配個人用戶使用的VPN軟體(VPN Client Software),則其功能亦與軟體式的VPN產品相近。


2.軟體式的VPN產品:
軟體式的VPN產品乃是架設於伺服器及作業平台之上,可以提供較為彈性的功能,例如依據目的地位址或通訊協定來建立VPN通道。相對的,硬體式的VPN系統則多數依據位址目的地來建立VPN通道,將傳輸的所有通訊協定均加密。



然而,軟體式的VPN產品通常較難以管理;需要對作業系統、VPN軟體及相關之網路安全機制均有相當程度的了解,才能真正管理好VPN系統。同時,有些
VPN軟體亦需要對路由路徑表(Routing Table)及網路IP位址規劃(Network Address Scheme)加以修改。


3.與防火牆相結合的VPN系統:
與防火牆相結合的VPN系統自然承襲了防火牆安全功能的優點,使進出的交通均能受到較佳的限制及保護,以及強化的認證功能。一般而言,相當多的VPN廠商並沒有提供對於其作業系統的安全保護。若是採用硬體式且具有VPN功能的防火牆設備,則本身便已對其運作的作業系統做了補強作用(Harden
O.S),事先將所有不必要及有危險的服務(Service)均加以去除,以確保此VPN設備不會被駭客所入侵,而導致整體VPN系統功能無法運作

同時擁有VPN及防火牆功能的設備,對於網路的安全建構有相當大的好處,只需一台機器便可擁有兩項不可或缺的功能,建置成本明顯降低,且管理的負擔亦較輕。

VPN的注意事項
(1)
企業對於VPN的建構及應用上,並不應該將原有的廣域網路架構完全替換掉,而是要在既有的廣域網路架構上加上VPN的功能,改變網路的邏輯架構,進而得到
VPN節省成本、具彈性且易於管理的優點。若是完全引進新的VPN設備而不利用現有之廣域網路設備來做為VPN之節點,則勢必使建置之成本倍增,且增加網
路架構之複雜性;反之,若能使用現有的路由器(Router)、防火牆(Firewall)等設備,使之成為VPN的節點,則可大幅降低VPN的建置成本,並且易於管理。

(2)VPN的資料均需在加密之後,才由公眾網路傳送至接收端,再由接收端設備加以解密。故每一
個封包在整個傳輸過程中均需被加、解密一次,而加密、解密均是相當消耗VPN設備運算能力的工作。因此,VPN設備的加解密速度表現,快者可達
100Mega慢者則只有幾Mega的速度,亦是在架設VPN時必需要謹慎考量的因素。如上節所述,硬體式的VPN產品在運作效能上會比軟體VPN產品有較佳的表現。故在使用量較大、對加解密及傳輸速度在意的用戶,應以硬體式的VPN產品,如VPN路由器及擁有VPN功能之硬體防火牆為較佳之考量。


(3)
考量VPN產品的連結相容性,未來的VPN產品均會以IETE所公怖的IPSec協定為標準,來作為彼此資料加解密、傳輸的依據。然而到目前為止,在實際的應用上,不同廠牌的VPN產品仍常會有連結上無法完全相容的問題。故就現實面而言,仍應以同一廠牌之VPN產品做為企業體VPN
建置的設備,所需面臨的困難最少。也因為如此,選擇足夠規模、能夠提供完整的VPN解決方案的廠商,亦成立VPN建構中重要的課題。而所謂的VPN完整解決方案極是包括本文所提及之遠端撥接(Remote Access,Client-to-LAN VPN)、Intranet VPN &
Extranet VPN (LAN-to-LAN VPN)等架構,以及擴充性佳、完整網路安全功能、以及VPN服務(QoS
Service)等項目。

(4)在VPN架構安全考量的使用者認證部份,若能以集中式的管理方式
(Centralized
Management)來運作,必能減少網路管理的負擔。網路上需要有認證機制的設備,除了VPN產品之外,亦有防火牆及遠端撥接伺服器(Remote
Access
Server)等設備。若所有這些設備均能透過單一的安全認證伺服器來做認證的工作,則無論未來網路如何擴充,永遠只需一套認證伺服器即可滿足需求。

資料來源:
Yahoo 知識+

隨機文章

我的相簿