資源描述:
《IPSec VPN�、SSL VPN和MPLS VPN的介紹與比較.doc》由會員上傳分享�����,免費在線閱讀���,更多相關內容在行業(yè)資料-天天文庫���。
1、IPSecVPN����、SSLVPN和MPLSVPN的介紹與比較隨著信息化向縱深發(fā)展,解決信息孤島����、促進信息交流、進行信息資源的共建共享以及最終提高信息系統(tǒng)的應用實效已經成為各部門����、各系統(tǒng)信息化發(fā)展的一個努力方向���。因此,許多單位都有將移動用戶��、分支機構以及商業(yè)伙伴等連入到內部網絡并促進信息應用的現實需求�,在許多情況下,構建虛擬專網是一種即有較高的安全性又不需要高昂的建設成本的最佳方案���。目前�,常見的VPN主要包括IPSecVPN��、SSLVPN和MPLSVPN這三類VPN��。浙江省黨校系統(tǒng)虛擬專網就是屬于MPLSVPN�����。這三類VPN即有很多的相同點�����,又有不少的差異性,本文將從較直觀
2��、的角度對這三類VPN進行初步的介紹與比較����。一、IPSecVPN�����、SSLVPN和MPLSVPN的介紹IPSecVPN通過在兩站點間創(chuàng)建隧道提供直接(非代理方式)接入����,實現對整個網絡的透明訪問�����。它是在網絡層實現數據加密和驗證�,可以提供訪問控制、數據源的驗證�、無連接數據的完整性驗證、數據內容的機密性����、抗重放保護以及有限的數據流機密性保證等服務。IPsec加密后的數據包仍然是一般的IP數據包,它是工作在第三層即網絡層中��。作為網絡層的安全標準�,IPSec為IP協(xié)議提供了一整套的安全機制,IPSec在網絡層提供的安全服務對任何IP上層協(xié)議及應用進程透明�����,IPSecVPN是Intem
3��、et上提供安全保障最通用的方法���。SSL(安全套接層)協(xié)議是一種在Internet上保證發(fā)送信息安全的通用協(xié)議����。它處于應用層�。SSL用公鑰加密通過SSL連接傳輸的數據來工作。SSL協(xié)議指定了在應用程序協(xié)議(如HTTP�����、Telnet和FTP等)和TCP/IP協(xié)議之間進行數據交換的安全機制���,為TCP/IP連接提供數據加密���、服務器認證以及可選的客戶機認證�����。SSL協(xié)議包括握手協(xié)議��、記錄協(xié)議以及警告協(xié)議三部分�����。握手協(xié)議負責確定用于客戶機和服務器之間的會話加密參數�����。記錄協(xié)議用于交換應用數據。警告協(xié)議用于在發(fā)生錯誤時終止兩個主機之間的會話��。將SSL與VPN有機結合產生了SSLVPN應用
4����、,SSLVPN指的是使用者利用瀏覽器內建的SSL封包處理功能��,用瀏覽器連接公司內部SSLVPN服務器��,然后透過網絡封包轉向的方式,讓使用者可以在遠程計算機執(zhí)行應用程序����,讀取公司內部服務器數據。它采用標準的安全套接層對傳輸中的數據包進行加密�,從而在應用層保護了數據的安全性。MPLSVPN結合了第二層的交換和第三層路由的特點��,第三層的路由在網絡的邊緣實施�����,而在MPLS的網絡核心則工作在第二層�。MPLS是一種特殊的轉發(fā)機制,它為進入網絡中的IP數據包分配標記����,并通過對標記的交換來實現IP數據包的轉發(fā)。標記作為IP包頭在網絡中的替代品而存在�,在網絡內部MPLS在數據包所經過的路
5、徑沿途不是通過IP包頭而是通過交換標記來實現轉發(fā)��,當數據包要退出MPLS網絡時����,數據包被解開封裝�����,繼續(xù)按照IP包的路由方式到達目的地�����。二��、IPSecVPN�、SSLVPN和MPLSVPN的比較盡管IPSec����、SSL和MPLS這三類VPN技術都能夠在共享的基礎網絡設施上,向用戶提供安全的網絡連接�����,即實現虛擬專用網絡的目的�����。但這三類VPN技術在許多方面還是有差異的���。1����、安全性方面IPSecVPN是在IP層上實現了加密���、認證�、訪問控制等多種安全技術�����,極大地提高了TCP/IP的安全性��,在互聯(lián)網中建立的安全通道很難被人篡改���,是一種公認的安全的IP協(xié)議����。但它在用戶主機和內部網絡部分存
6�����、在較多的不安全因素��,容易遭受黑客和病毒的入侵并進而影響整個網絡�。SSLVPN建立的是一條會話層的通道����,是基于應用的�����。通過SSLVPN,用戶的遠程資源訪問被嚴格的控制���。對所有的用戶,不論他們在什么地方上網,都提供了細?����;脑L問權限控制�����。借助于SSLVPN技術,對應用程序和網絡的訪問控制可以根據需要由一般到特殊進行設置�。MPLSVPN在安全性能方面是它劣勢����,MPLSVPN必須依賴路由協(xié)議來準確地傳播可達性信息,完成與標記分發(fā)相關的工作��。因此MPLS對路由協(xié)議的依賴性要高于IP網絡�,但是到目前為止,路由系統(tǒng)的故障還是一個很難解決和分析的問題���。MPLSVPN采用路由隔離���,地址隔
7、離等手段提供抗攻擊和欺騙的方法�,但傳輸的數據是明文的,存在較大的安全漏洞�����。2�����、網絡服務質量(QoS)方面MPLSVPN是建立在骨干網之上���,在網絡服務質量方面具有最好的效果�,MPLS可以指定數據包傳送的先后順序�����,使用標記交換�,網絡路由器只需要判別標記后即可進行轉送處理��,在根本程度上改變了傳統(tǒng)IP網絡逐跳路由����、IGP路由匯聚�、路由表過長、盡力傳送等問題�����。MPLSVPN具有優(yōu)先權和QoS保證���,MPLS標簽使服務提供商可以區(qū)分出流量(甚至業(yè)務)�,準許它們具有不同的優(yōu)先權����。IPSecVPN保證的是端點到端點的網絡傳輸通道的安全,端點處的加密和解密需
