VPN是一種常用於連線中、大型企業或團體與團體間的私人網路的通信方式。它利用隧道協定(Tunneling Protocol)來達到保密、傳送端認證、訊息準確性等私人訊息安全效果,這種技術可以用不安全的網路(例如:網際網路)來傳送可靠、安全的訊息。需要注意的是,加密訊息與否是可以控制的,如果是沒有加密的虛擬專用網訊息依然有被竊取的危險。
VPN專線,這個“專”主要體現在ip的專用,連上VPN之後,獲得的出口ip是唯一的,沒有第二個人會與你的ip相同。
基本介紹
- 中文名:VPN專線
- 外文名:Virtual Private Network
- 特點:出口ip是唯一的
- 適用場所:公用網路服務商所提供的網路平台
- 協定:隧道協定
- 是否加密:可控制
介紹,安全性,協定,技術特徵,工作原理,工作過程,適用範圍,相關法規,
介紹
VPN即虛擬專用網路(Virtual Private Network ,簡稱VPN)指的是在公用網路上建立專用網路的技術。其之所以稱為虛擬網,主要是因為整個VPN網路的任意兩個節點之間的連線並沒有傳統專網所需的端到端的物理鏈路,而是架構在公用網路服務商所提供的網路平台,如Internet、ATM(異步傳輸模式〉、Frame Relay (幀中繼)等之上的邏輯網路,用戶數據在邏輯鏈路中傳輸。它涵蓋了跨共享網路或公共網路的封裝、加密和身份驗證連結的專用網路的擴展。VPN主要採用了隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。
20世紀90年代,計算機網路上的計算機通過非常昂貴的專線和/或撥號連線互連。視站點間的距離,花費可達數千美元(56kbps連線)或上萬美元(T1)。
安全性
某些虛擬私人網路不使用加密保護數據。雖然虛擬私人網路通常都會提供安全性,但未加密的虛擬私人網路嚴格來說是不“安全”或“可信”的。例如,一條通過GRE協定在兩台主機間創建的隧道屬於虛擬私人網路,但既不安全也不可信。
協定
常用的虛擬專用網協定有:
- IPsec(如Cisco IPSec VPN)
- AnyConnect(Cisco SSL VPN)
技術特徵
VPN三類之一的VPDN是指有遠程辦公(包括群體遠程辦公和個人遠程辦公)需求的用戶採用專門的賬號和企業自定義的IP位址,通過ADSLPPPOE撥號聯入企業內部網路的一種技術,它實際上也是一種隧道技術,在用戶ADSL接入伺服器端與企業內部網接口間建立一個L2TP隧道。VPDN的實施必須運營商進行。既適用於地點固定的公司內部各支點連入總部,也適用於個人遠程訪問公司內部信息。
VPN三類之一的IPsec是一組開放的網路安全協定的總稱,提供訪問控制、無連線的完整性保護、數據來源驗證、防重放保護、加密以及數據流分類加密等服務。IPsec在IP層提供這些安全服務,它包括兩個安全協定:認證頭(AH)和封裝安全載荷(ESP)。AH主要提供的功能有數據來源驗證、數據完整性驗證和防報文重放功能。ESP在AH協定的功能之外再提供對IP報文的加密功能。IPsec支持的組網方式包括:主機之間、主機與網關之間、網關之間的組網,支持對遠程用戶訪問。IPsec可以和L2TP、GRE等隧道協定一起使用,給用戶提供更大的靈活性和可靠性。另外,IPsec通常使用網際網路密鑰交換(IKE)協定進行安全參數的自動協商。
工作原理
- 網路一(假定為公網internet)的終端A訪問網路二(假定為公司區域網路)的終端B,其發出的訪問數據包的目標地址為終端B的內部IP位址。
- 網路一的VPN網關在接收到終端A發出的訪問數據包時對其目標地址進行檢查,如果目標地址屬於網路二的地址,則將該數據包進行封裝,封裝的方式根據所採用的VPN技術不同而不同,同時VPN網關會構造一個新VPN數據包,並將封裝後的原數據包作為VPN數據包的負載,VPN數據包的目標地址為網路二的VPN網關的外部地址。
- 網路二的VPN網關對接收到的數據包進行檢查,如果發現該數據包是從網路一的VPN網關發出的,即可判定該數據包為VPN數據包,並對該數據包進行解包處理。解包的過程主要是先將VPN數據包的包頭剝離,再將數據包反向處理還原成原始的數據包。
- 網路二的VPN網關將還原後的原始數據包傳送至目標終端B,由於原始數據包的目標地址是終端B的IP,所以該數據包能夠被正確地傳送到終端B。在終端B看來,它收到的數據包就和從終端A直接發過來的一樣。
- 從終端B返回終端A的數據包處理過程和上述過程一樣,這樣兩個網路內的終端就可以相互通訊了。
通過上述說明可以發現,在VPN網關對數據包進行處理時,有兩個參數對於VPN通訊十分重要:原始數據包的目標地址(VPN目標地址)和遠程VPN網關地址。根據VPN目標地址,VPN網關能夠判斷對哪些數據包進行VPN處理,對於不需要處理的數據包通常情況下可直接轉發到上級路由;遠程VPN網關地址則指定了處理後的VPN數據包傳送的目標地址,即VPN隧道的另一端VPN網關地址。由於網路通訊是雙向的,在進行VPN通訊時,隧道兩端的VPN網關都必須知道VPN目標地址和與此對應的遠端VPN網關地址。
工作過程
VPN的基本處理過程如下:
①要保護主機傳送明文信息到其他VPN設備。
②VPN設備根據網路管理員設定的規則,確定是對數據進行加密還是直接傳輸。
③對需要加密的數據,VPN設備將其整個數據包(包括要傳輸的數據、源IP位址和目的lP地址)進行加密並附上數據簽名,加上新的數據報頭(包括目的地VPN設備需要的安全信息和一些初始化參數)重新封裝。
④將封裝後的數據包通過隧道在公共網路上傳輸。
⑤數據包到達目的VPN設備後,將其解封,核對數字簽名無誤後,對數據包解密。
適用範圍
MPLS VPN更適用於以下用戶:
- 各VPN端點均能連線到當地電信運營商的MPLS VPN網路;
- 各端點位置固定不變;
- 對於網路的QoS、實時性和可管理性有較高要求的用戶。
VPDN有兩類業務,對應兩類業務賬號:
- A類業務帳號:用戶端賬號與ADSL PVC綁定。適用於固定地點的公司內部分支點(超市、連鎖類遠程辦公點) ,以包月資費形式綁定在各業務分支點上。
- B類業務帳號:VPDN賬號與ADSL PVC不綁定,適用於個人遠程訪問公司內部信息(SOHO),採用有限包月、逾時計費的資費方式。
IPsec VPN業務主要適用於三類用戶:
- 位置眾多,例如各駐地辦事處、連鎖店等;
- 用戶/站點分布範圍廣,且有一定數量的移動用戶;
- 對線路保密和可用性有一定要求,但對實時性要求不高的用戶。
相關法規
2003年4月,信息產業部頒發了《電信業務分類目錄》,取消了國際電信業務的分類,同時將虛擬專用網業務自基礎電信業務中分離出來,成為獨立的增值電信業務分類。但是此處的“虛擬專用網”概念與行業內的VPN業務是不一樣的。新的《電信業務分類目錄》中對該分類的解釋是:國內網際網路虛擬專用網業務(IP-VPN)是指經營者利用自有的或租用公用網際網路網路資源,採用TCP/IP協定,為國內用戶定製網際網路閉合用戶群網路的服務。這種分類的解釋強調了兩個特點,一個是利用網際網路網路資源,一個是採用TCP/IP協定。這種解釋是與當時的市場狀況所對應的,當時關注的是基於互連網的IPSecVPN,雖然該解釋可以基本涵蓋後出現的SSLVPN模式,但並沒有關注MPLSVPN。
2006年1月,信息產業部發布《關於兩項增值電信業務及國內多方通信服務的通告》,正式開放“國內網際網路虛擬專用網業務”和“線上數據處理與交易處理業務”兩項增值電信業務,上述兩項增值電信業務由商用試驗轉為正式商用。
2013年,工業與信息化部公布的《電信業務分類目錄(徵求意見稿)》中仍然沒有對此作出任何改變。
2015年1月27日,工信部回應VPN被封事件,表示一些不良信息應該按照中國法律進行管理。工信部此前發布規定,在中國提供VPN服務的公司必須登記註冊,否則將“不會受到中國法律的保護”。
2017年1月,工信部出台了《關於清理規範網際網路網路結構服務市場的通知》,《通知》主要是為了更好地規範市場的行為,規範的對象主要是未經電信主管部門批准,無國際通信業務經營資質的企業和個人,租用國際專線或者VPN,違規開展跨境電信業務經營活動。這些規定主要是對那些無證經營的、不符合規範的進行清理,對於依法依規的企業和個人不會帶來什麼影響。
關於VPN的問題,工信部信息通信發展司司長聞庫補充稱,在中國經營相關業務應該按照中國的法律法規來進行申請許可,這實際上在全世界很多國家都是這樣做的。在美國、在歐洲、在亞洲都是這樣做的,各個國家的管理方式也不盡相同。在中國三大運營商給老百姓提供服務方面做了大量工作,網速不斷提升,取得了很好的成效。
聞庫表示,特別是數字經濟方面,大街小巷特別是捷運口邊上的共享腳踏車等等,說明網路覆蓋是非常完善的,套用是日益廣泛的。同時我們也會關注老百姓的一些需求。但是通過網路來傳播有害甚至是暴恐信息,是中國法律所不允許的。
