基于SSL VPN系統架構網絡的應用

2013-12-05 15:10:53 電力信息化　點擊量：評論 (0)

摘要：本文對實現VPN（Virtual Private Network）的幾種技術做了介紹，比較詳細地對IPSec VPN和SSL VPN進行比較，從應用、安全角度等考慮如何選擇合適的VPN技術，并且結合天津電力的應用和安全需求，介紹了S

摘要：本文對實現VPN（Virtual Private Network）的幾種技術做了介紹，比較詳細地對IPSec VPN和SSL VPN進行比較，從應用、安全角度等考慮如何選擇合適的VPN技術，并且結合天津電力的應用和安全需求，介紹了SSL VPN接入方案、保證安全的措施，以及SSL VPN認證過程。

關鍵詞：遠程接入、安全性、隧道協議、VPN 、IPSec、SSL、數據加密、用戶認證、數據壓縮

一、引言

隨著Internet網絡規模與使用的擴大和廣泛化，通過Internet傳輸保密數據的安全性需求日益提上議程。分布式企業想在處于不同地域的部門之間安全傳遞數據，傳統的方法是使用租用線路將各部門的私有網絡相連，并使用租用線路進行內部通訊。該方案的主要缺點在于租用線路價格昂貴。一種新的降低成本的途徑是允許單位配置VPN技術，不用任何租用線路? 通過Internet傳輸加密數據，這樣可以把線路費用降到最低。該技術通過隧道和加密技術達到類似私有網絡的安全數據傳輸功能,有著非常廣闊的應用前景。VPN具有下面的優點：

(1) 降低成本：企業不必租用長途專線建設專網，不必大量的網絡維護人員和設備投資。利用現有的公用網組建的Intranet，要比租用專線或鋪設專線要節省開支，而且當距離越遠時節省的越多。如：某企業的北京與紐約分部之間的連接，不太可能自鋪專線：當一個遠程用戶在紐約想要連到北京的Intranet，用拔號訪問時，花的是國際長途話費；而用VPN技術時，只需在紐約和北京分別連接到當地的Internet就實現了互聯，雙方花的都是市話費。

（2）容易擴展：網絡路由設備配置簡單，無需增加太多的設備，省時省錢。對于發展很快的企業來說，VPN就更是不可不用了。如果企業組建自己的專用網，在擴展網絡分支時，考慮到網絡的容量，架設新鏈路，增加互聯設備，升級設備等；而實現了VPN就方便多了，只需連接到公用網上，對新加入的網絡終端在邏輯上進行設置，也不需要考慮公用網的容量問題、設備問題等。

（3）完全控制主動權：VPN上的設施和服務完全掌握在企業手可。例如，企業可以把撥號訪問交給NSP去做，由自己負責用戶的查驗、訪問權、網絡地址、安全性和網絡變化管理等重要工作。

VPN通過采用“隧道”技術，并在Internet或國際互聯網工程工作組（IETF）制定的Ipsec標準統一下，在公眾網可形成企業的安全、機密、順暢的專用鏈路。

二、VPN的基本工作原理

VPN主要使用了隧道傳輸(tunneling)技術和加密(encrypting)技術。為了實現保密性, VPN把外發的數據報加密傳輸。對于私有性，VPN使用隧道技術, 定義了兩個網點的路由器之間通過Intern