資源描述:
《IPSec VPN�����、SSL VPN和MPLS VPN的介紹與比較》由會員上傳分享�,免費在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫�����。
1�����、IPSecVPN�����、SSLVPN和MPLSVPN的介紹與比較隨著信息化向縱深發(fā)展,解決信息孤島�����、促進(jìn)信息交流�����、進(jìn)行信息資源的共建共享以及最終提高信息系統(tǒng)的應(yīng)用實效已經(jīng)成為各部門��、各系統(tǒng)信息化發(fā)展的一個努力方向�����。因此�,許多單位都有將移動用戶��、分支機構(gòu)以及商業(yè)伙伴等連入到內(nèi)部網(wǎng)絡(luò)并促進(jìn)信息應(yīng)用的現(xiàn)實需求�,在許多情況下,構(gòu)建虛擬專網(wǎng)是一種即有較高的安全性又不需要高昂的建設(shè)成本的最佳方案��。目前���,常見的VPN主要包括IPSecVPN��、SSLVPN和MPLSVPN這三類VPN����。浙江省黨校系統(tǒng)虛擬專網(wǎng)就是屬于MPLSVPN。這三類
2��、VPN即有很多的相同點���,又有不少的差異性����,本文將從較直觀的角度對這三類VPN進(jìn)行初步的介紹與比較�����。一��、IPSecVPN�、SSLVPN和MPLSVPN的介紹IPSecVPN通過在兩站點間創(chuàng)建隧道提供直接(非代理方式)接入,實現(xiàn)對整個網(wǎng)絡(luò)的透明訪問���。它是在網(wǎng)絡(luò)層實現(xiàn)數(shù)據(jù)加密和驗證��,可以提供訪問控制����、數(shù)據(jù)源的驗證、無連接數(shù)據(jù)的完整性驗證�、數(shù)據(jù)內(nèi)容的機密性、抗重放保護(hù)以及有限的數(shù)據(jù)流機密性保證等服務(wù)���。IPsec加密后的數(shù)據(jù)包仍然是一般的IP數(shù)據(jù)包�,它是工作在第三層即網(wǎng)絡(luò)層中����。作為網(wǎng)絡(luò)層的安全標(biāo)準(zhǔn),IPSec為IP協(xié)議提供了
3����、一整套的安全機制�����,IPSec在網(wǎng)絡(luò)層提供的安全服務(wù)對任何IP上層協(xié)議及應(yīng)用進(jìn)程透明��,IPSecVPN是Intemet上提供安全保障最通用的方法����。SSL(安全套接層)協(xié)議是一種在Internet上保證發(fā)送信息安全的通用協(xié)議����。它處于應(yīng)用層����。SSL用公鑰加密通過SSL連接傳輸?shù)臄?shù)據(jù)來工作。SSL協(xié)議指定了在應(yīng)用程序協(xié)議(如HTTP�、Telnet和FTP等)和TCP/IP協(xié)議之間進(jìn)行數(shù)據(jù)交換的安全機制,為TCP/IP連接提供數(shù)據(jù)加密��、服務(wù)器認(rèn)證以及可選的客戶機認(rèn)證���。SSL協(xié)議包括握手協(xié)議���、記錄協(xié)議以及警告協(xié)議三部分。握手協(xié)
4�����、議負(fù)責(zé)確定用于客戶機和服務(wù)器之間的會話加密參數(shù)�����。記錄協(xié)議用于交換應(yīng)用數(shù)據(jù)���。警告協(xié)議用于在發(fā)生錯誤時終止兩個主機之間的會話��。將SSL與VPN有機結(jié)合產(chǎn)生了SSLVPN應(yīng)用��,SSLVPN指的是使用者利用瀏覽器內(nèi)建的SSL封包處理功能��,用瀏覽器連接公司內(nèi)部SSLVPN服務(wù)器����,然后透過網(wǎng)絡(luò)封包轉(zhuǎn)向的方式,讓使用者可以在遠(yuǎn)程計算機執(zhí)行應(yīng)用程序���,讀取公司內(nèi)部服務(wù)器數(shù)據(jù)��。它采用標(biāo)準(zhǔn)的安全套接層對傳輸中的數(shù)據(jù)包進(jìn)行加密���,從而在應(yīng)用層保護(hù)了數(shù)據(jù)的安全性。MPLSVPN結(jié)合了第二層的交換和第三層路由的特點���,第三層的路由在網(wǎng)絡(luò)的邊緣實施
5、���,而在MPLS的網(wǎng)絡(luò)核心則工作在第二層��。MPLS是一種特殊的轉(zhuǎn)發(fā)機制�����,它為進(jìn)入網(wǎng)絡(luò)中的IP數(shù)據(jù)包分配標(biāo)記��,并通過對標(biāo)記的交換來實現(xiàn)IP數(shù)據(jù)包的轉(zhuǎn)發(fā)���。標(biāo)記作為IP包頭在網(wǎng)絡(luò)中的替代品而存在�,在網(wǎng)絡(luò)內(nèi)部MPLS在數(shù)據(jù)包所經(jīng)過的路徑沿途不是通過IP包頭而是通過交換標(biāo)記來實現(xiàn)轉(zhuǎn)發(fā)�����,當(dāng)數(shù)據(jù)包要退出MPLS網(wǎng)絡(luò)時�����,數(shù)據(jù)包被解開封裝����,繼續(xù)按照IP包的路由方式到達(dá)目的地。二�、IPSecVPN、SSLVPN和MPLSVPN的比較盡管IPSec�����、SSL和MPLS這三類VPN技術(shù)都能夠在共享的基礎(chǔ)網(wǎng)絡(luò)設(shè)施上,向用戶提供安全的網(wǎng)絡(luò)連接����,即
6、實現(xiàn)虛擬專用網(wǎng)絡(luò)的目的��。但這三類VPN技術(shù)在許多方面還是有差異的�����。1�����、安全性方面IPSecVPN是在IP層上實現(xiàn)了加密�����、認(rèn)證����、訪問控制等多種安全技術(shù)�,極大地提高了TCP/IP的安全性�����,在互聯(lián)網(wǎng)中建立的安全通道很難被人篡改�����,是一種公認(rèn)的安全的IP協(xié)議���。但它在用戶主機和內(nèi)部網(wǎng)絡(luò)部分存在較多的不安全因素,容易遭受黑客和病毒的入侵并進(jìn)而影響整個網(wǎng)絡(luò)�。SSLVPN建立的是一條會話層的通道,是基于應(yīng)用的�����。通過SSLVPN,用戶的遠(yuǎn)程資源訪問被嚴(yán)格的控制����。對所有的用戶,不論他們在什么地方上網(wǎng),都提供了細(xì)粒化的訪問權(quán)限控制���。借助于
7����、SSLVPN技術(shù),對應(yīng)用程序和網(wǎng)絡(luò)的訪問控制可以根據(jù)需要由一般到特殊進(jìn)行設(shè)置。MPLSVPN在安全性能方面是它劣勢��,MPLSVPN必須依賴路由協(xié)議來準(zhǔn)確地傳播可達(dá)性信息���,完成與標(biāo)記分發(fā)相關(guān)的工作�����。因此MPLS對路由協(xié)議的依賴性要高于IP網(wǎng)絡(luò)�,但是到目前為止�����,路由系統(tǒng)的故障還是一個很難解決和分析的問題�。MPLSVPN采用路由隔離,地址隔離等手段提供抗攻擊和欺騙的方法���,但傳輸?shù)臄?shù)據(jù)是明文的���,存在較大的安全漏洞。2��、網(wǎng)絡(luò)服務(wù)質(zhì)量(QoS)方面MPLSVPN是建立在骨干網(wǎng)之上,在網(wǎng)絡(luò)服務(wù)質(zhì)量方面具有最好的效果�����,MPLS可以
8��、指定數(shù)據(jù)包傳送的先后順序����,使用標(biāo)記交換��,網(wǎng)絡(luò)路由器只需要判別標(biāo)記后即可進(jìn)行轉(zhuǎn)送處理��,在根本程度上改變了傳統(tǒng)IP網(wǎng)絡(luò)逐跳路由���、IGP路由匯聚��、路由表過長�、盡力傳送等問題�����。MPLSVPN具有優(yōu)先權(quán)和QoS保證���,MPLS標(biāo)簽使服務(wù)提供商可以區(qū)分出流量(甚至業(yè)務(wù))����,準(zhǔn)許它們具有不同的優(yōu)先權(quán)。IPSecVPN保證的是端點到端點的網(wǎng)絡(luò)傳輸通道的安全�,端點處的加密和解密需
