基于SSL VPN系统架构网络的应用

2013-12-05 15:10:53 电力信息化　点击量：评论 (0)

摘要：本文对实现VPN（Virtual Private Network）的几种技术做了介绍，比较详细地对IPSec VPN和SSL VPN进行比较，从应用、安全角度等考虑如何选择合适的VPN技术，并且结合天津电力的应用和安全需求，介绍了S

et的一个隧道, 并使用IP-IN-IP封装通过隧道转发数据报。其基本原理如图１所示，为了确保保密性?内层数据经过加密。如图一所示，VPN授权主机A发给主机B的整个内层数据报,包括首部,在被封装前进行了加密。当数据报通过隧道到达VPN服务器时, VPN服务器将数据区解密, 还原出内层数据报, 然后转发该数据报给B主机。它们之间的数据传输过程是透明的。Ａ要发送的原始信息包的目的地址就是Ｂ, 用户并无觉察数据经过打包交由VPN服务器转发给Ｂ, 反之亦然。感觉上Ａ和Ｂ之间存在一条虚拟的加密直达链路。总之,VPN通过Internet传输数据, 但对网点间传输进行加密,以保证保密性。

图一：VPN原理图

包含了三个基本元素：(1)授权：VPN服务器对远程接入终端进行授权接入VPN,(2)加密：远程接入终端发送的数据加密后才通过非私有网传输；(3)隧道：远程接入终端发送的数据经过封装?由VPN服务器转发。

三、VPN技术介绍

IPSec(IP Security) VPN的介绍

IPSec的工作原理(如图2所示)类似于包过滤防火墙，可以看作是对包过滤防火墙的一种扩展。当接收到一个IP数据包时，包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时，包过滤防火墙就按照该规则制定的方法对接收到的IP数据包进行处理。这里的处理工作只有两种：丢弃或转发。

　　　图2 IPSec工作原理示意图

IPSec通过查询SPD(Security P01icy Database安全策略数据库)决定对接收到的IP数据包的处理。但是IPSec不同于包过滤防火墙的是，对IP数据包的处理方法除了丢弃，直接转发(绕过IPSec)外，还有一种，即进行IPSec处理。正是这新增添的处理方法提供了比包过滤防火墙更进一步的网络安全性。　　

进行IPSec处理意味着对IP数据包进行加密和认证。包过滤防火墙只能控制来自或去往某个站点的IP数据包的通过，可以拒绝来自某个外部站点的IP数据包访问内部某些站点，．也可以拒绝某个内部站点方对某些外部网站的访问。但是包过滤防火墙不能保证自内部网络出去的数据包不被截取，也不能保证进入内部网络的数据包未经过篡改。只有在对IP数据包实施了加密和认证后，才能保证在外部网络传输的数据包的机密性，真实性，完整性，通过Internet进新安全的通信才成为可能。

IPSec既可以只对IP数据包进行加密，或只进行认证，也可以同时实施二者。但无论是进行加密还是进行认证，IPSec都有两种工作模式，一种是与其前一节提到的协议工作方式类似的隧道模式，另一种是传输模式。

IPSec VPN可以为公司分支点之间的通讯提供一种简单的，高性价比的方法，其高连接性和弹性可以满足大多数的