智慧財產權與網際網路/虛擬專用網路
虛擬專用網路 (VPN) 是一種網路,主要使用公共電信基礎設施(如網際網路)來為遠端辦公室或出差使用者提供訪問中央組織網路的途徑。
VPN 通常要求網路的遠端使用者進行身份驗證,並且經常使用加密技術來保護資料,以防止未經授權的方訪問私人資訊。
VPN 可以提供任何網路上找到的任何網路功能,例如資料共享和訪問網路資源、印表機、資料庫、網站等。VPN 使用者通常以與直接連線到中央網路相同的方式體驗中央網路。透過公共網際網路的 VPN 技術取代了曾經在廣域網安裝中常見的昂貴的專用租用線路電信線路的需要。
虛擬專用網路技術降低了成本,因為它不需要物理的租用線路 來連線遠端使用者到內聯網。 [1]
VPN 系統可以按以下方式分類
以下部分討論了一些分類方案。
安全的 VPN 使用加密的隧道協議來提供機密性,透過阻止攔截和資料包嗅探,允許傳送方身份驗證來阻止身份欺騙,並提供訊息完整性,透過防止訊息被篡改。
安全的 VPN 協議包括以下內容
- IPsec(網際網路協議安全)由網際網路工程任務組 (IETF) 開發,最初是為IPv6開發的,後者需要它。這個基於標準的安全協議也廣泛用於IPv4。 第二層隧道協議 通常在 IPsec 之上執行。它的設計滿足了大多數安全目標:身份驗證、完整性和機密性。IPsec 透過將 IP 資料包與周圍的資料包一起進行摘要,並對結果進行加密來實現。
- 傳輸層安全(SSL/TLS)可以隧道整個網路的流量,就像它在OpenVPN 專案中所做的那樣,或者保護單個連線。許多供應商透過 SSL 提供遠端訪問 VPN 功能。SSL VPN 可以從 IPsec 遇到網路地址轉換和防火牆規則問題的場所連線。
- 資料報傳輸層安全(DTLS)用於思科的下一代 VPN 產品思科 AnyConnect VPN,以解決SSL/TLS 在透過 UDP 進行隧道傳輸時遇到的問題。
- Microsoft 點對點加密(MPPE)與他們的點對點隧道協議一起使用,並在其他平臺上的幾個相容實現中使用。
- Microsoft 在Windows Server 2008 和Windows Vista Service Pack 1 中引入了安全套接字隧道協議(SSTP)。SSTP 透過SSL 3.0 通道隧道點對點協議 (PPP) 或第二層隧道協議 流量。
- MPVPN(多路徑虛擬專用網路)。Ragula Systems Development Company 擁有註冊的商標 “MPVPN”。[2]
- 安全外殼 (SSH) VPN -- OpenSSH 提供 VPN 隧道,以保護與網路或網路間連結的遠端連線。這與埠轉發不應混淆。OpenSSH 伺服器提供有限數量的併發隧道,VPN 功能本身不支援個人身份驗證。 [3][4][5]
在建立安全的 VPN 隧道之前,隧道端點必須進行身份驗證。
使用者建立的遠端訪問 VPN 可能會使用密碼、生物識別、雙因素身份驗證或其他加密方法。
網路到網路隧道通常使用密碼或數字證書,因為它們永久儲存金鑰,以允許隧道自動建立,無需使用者干預。
隧道協議 可用於 點對點 拓撲,理論上不應被視為 VPN,因為 VPN 的定義需要支援任意和不斷變化的網路節點集。但由於大多數 路由器 實現支援軟體定義的隧道介面,客戶提供的 VPN 通常只是執行傳統路由協議的定義隧道。
根據 PPVPN(提供商提供的 VPN)是在第 2 層還是第 3 層執行,下面描述的構建塊可能是僅限 L2,僅限 L3,或者將兩者結合起來。多協議標籤交換 (MPLS) 功能模糊了 L2-L3 的身份。
RFC 4026 將以下術語概括為涵蓋 L2 和 L3 VPN,但它們是在 RFC 2547 中引入的。[6]
- 客戶邊緣裝置。(CE)
客戶場所的裝置,提供對 PPVPN 的訪問。有時它只是提供商和客戶責任之間的分界點。其他提供商允許客戶對其進行配置。
- 提供商邊緣裝置 (PE)
PE 是提供商網路邊緣的裝置或裝置集,它呈現提供商對客戶站點的檢視。PE 瞭解透過它們的 VPN,並維護 VPN 狀態。
- 提供商裝置 (P)
P 裝置在提供商的核心網路中執行,並且不直接與任何客戶端點互動。例如,它可能會為屬於不同客戶 PPVPN 的許多提供商運營的隧道提供路由。雖然 P 裝置是實現 PPVPN 的關鍵部分,但它本身不是 VPN 意識的,並且不維護 VPN 狀態。它的主要作用是允許服務提供商擴充套件其 PPVPN 產品,例如,透過充當多個 PE 的聚合點。在這種情況下,P 到 P 連線通常是提供商主要位置之間的高容量光鏈路。
使用者可見的 PPVPN 服務 本節討論 IETF 中考慮的 VPN 型別;一些歷史名稱被這些術語取代。
在這兩種服務中,服務提供商不提供完整的路由或橋接網路,而是提供構建客戶管理的網路的元件。VPWS 是點對點的,而 VPLS 可以是點對多點的。它們可以是沒有任何資料鏈路的第 1 層類比電路。
客戶確定整體的客戶 VPN 服務,其中也可能涉及路由、橋接或主機網路元素。
虛擬專用線路服務和虛擬專用區域網服務之間可能會出現不幸的首字母縮略詞混淆;上下文應明確“VPLS”是指第 1 層虛擬專用線路還是第 2 層虛擬專用區域網。
- 虛擬區域網
一種第 2 層技術,允許使用 IEEE 802.1Q 中繼協議透過中繼互連多個 LAN 廣播域。其他中繼協議已被使用,但已過時,包括交換機間鏈路 (ISL)、IEEE 802.10(最初是一種安全協議,但引入了一個子集用於中繼)和 ATM 區域網模擬 (LANE)。
- 虛擬專用區域網服務 (VPLS)
由 IEEE 開發,VLAN 允許多個標記的 LAN 共享公共中繼。VLAN 通常只包含客戶擁有的設施。而上面一節(OSI 第 1 層服務)中描述的 VPLS 支援點對點和點對多點拓撲的模擬,這裡討論的方法將第 2 層技術(例如 802.1d 和 802.1q LAN 中繼)擴充套件到在諸如 城域乙太網 之類的傳輸上執行。
在這種情況下,VPLS 是一種第 2 層 PPVPN,而不是專用線路,它模擬了傳統 區域網 (LAN) 的全部功能。從使用者的角度來看,VPLS 使得能夠透過分組交換或光提供商核心互連多個 LAN 段;一個對使用者透明的核心,使遠端 LAN 段表現為一個單一的 LAN。[7]
在 VPLS 中,提供商網路模擬一個學習橋,它可以選擇性地包含 VLAN 服務。
- 偽線 (PW)
PW 與 VPWS 類似,但它可以在兩端提供不同的 L2 協議。通常,它的介面是 WAN 協議,例如 非同步傳輸模式 或 幀中繼。相反,當旨在提供兩個或多個位置之間 LAN 連續的外觀時,虛擬專用區域網服務或 IPLS 將是合適的。
- 僅限 IP 的 LAN 類服務 (IPLS)
VPLS 的一個子集,CE 裝置必須具有 L3 功能;IPLS 呈現資料包而不是幀。它可以支援 IPv4 或 IPv6。
本節討論了 PPVPN 的主要架構,一種是 PE 在單個路由例項中對重複地址進行區分,另一種是虛擬路由器,其中 PE 為每個 VPN 包含一個虛擬路由器例項。前一種方法及其變體獲得了最多的關注。
PPVPN 的挑戰之一涉及不同的客戶使用相同的地址空間,尤其是 IPv4 私有地址空間。[8] 提供商必須能夠在多個客戶的 PPVPN 中區分重疊地址。
- BGP/MPLS PPVPN
在 RFC 2547 定義的方法中,BGP 擴充套件在 IPv4 VPN 地址族中通告路由,這些路由的形式為 12 位元組字串,以 8 位元組 路由區分器 (RD) 開頭,以 4 位元組 IPv4 地址結尾。RD 在同一個 PE 中對否則重複的地址進行區分。
PE 瞭解每個 VPN 的拓撲結構,這些拓撲結構透過 MPLS 隧道互連,無論是直接連線還是透過 P 路由器連線。在 MPLS 術語中,P 路由器是 標籤交換路由器,但不知道 VPN。
- 虛擬路由器 PPVPN
與 BGP/MPLS 技術相比,虛擬路由器架構[9][10] 不需要對現有的路由協議(如 BGP)進行修改。透過提供邏輯上獨立的路由域,執行 VPN 的客戶完全負責地址空間。在各種 MPLS 隧道中,不同的 PPVPN 透過其標籤進行區分,但不需要路由區分器。
虛擬路由器架構不需要區分地址,因為 PE 路由器不是瞭解所有 PPVPN,而是 PE 包含多個虛擬路由器例項,這些例項只屬於一個 VPN。
一些虛擬網路可能不使用加密來保護資料內容。雖然 VPN 通常提供安全性,但未加密的 覆蓋網路 不符合安全或可信的分類。例如,在使用 通用路由封裝 (GRE) 的兩個主機之間建立的隧道實際上是一個虛擬專用網路,但既不安全也不可信。
除了上面的 GRE 示例之外,本機 明文 隧道協議包括 第 2 層隧道協議 (L2TP)(在沒有 IPsec 的情況下設定)和 點對點隧道協議 (PPTP) 或 Microsoft 點對點加密 (MPPE)。
可信 VPN 不使用加密的 隧道協議,而是依靠單個提供商網路的安全性來保護流量。
- 多協議標籤交換 (MPLS) 通常用於覆蓋 VPN,通常在可信交付網路上進行服務質量控制。
- 二層隧道協議 (L2TP)[11] 是基於標準的替代方案,它結合了兩種專有 VPN 協議的優點:思科的 二層轉發 (L2F)[12](自 2009 年起已過時[更新])和微軟的點對點隧道協議 (PPTP).[13]
從安全形度來看,VPN 要麼信任底層交付網路,要麼必須在 VPN 本身使用機制來強制執行安全性。除非可信交付網路僅在物理安全站點之間執行,否則可信和安全模型都需要使用者身份驗證機制才能訪問 VPN。
移動 VPN 用於 VPN 端點不固定到單個 IP 地址 的環境中,而是漫遊在各種網路中,例如來自蜂窩運營商的資料網路或多個 Wi-Fi 接入點之間。[14] 移動 VPN 已廣泛應用於 公共安全,它們為執法人員提供訪問關鍵任務應用程式的許可權,例如 計算機輔助排程 和犯罪資料庫,同時他們在行動網路的不同子網之間移動。[15] 它們還應用於 現場服務管理 和醫療保健組織,[16] 以及其他行業。
越來越多的移動專業人士和 白領工人 正在採用移動 VPN,他們需要可靠的連線。[16] 它們用於在網路之間以及無線覆蓋區域內外無縫漫遊,而不會丟失應用程式會話或中斷安全的 VPN 會話。傳統的 VPN 無法承受此類事件,因為 網路隧道 會中斷,導致應用程式斷開連線、超時,[14] 或失敗,甚至導致計算裝置本身 崩潰。[16]
與其將網路隧道的端點邏輯地繫結到物理 IP 地址,不如將每個隧道繫結到裝置上永久關聯的 IP 地址。移動 VPN 軟體以對應用程式和使用者透明的方式處理必要的網路身份驗證並維護網路會話。[14] 主機身份協議 (HIP),正在由 網際網路工程任務組 研究,旨在透過將 IP 地址 的作用從主機標識中分離出來,在 IP 網路中分離其定位功能。透過 HIP,移動主機在其漫遊在訪問網路之間時,會保持透過主機身份識別符號建立的邏輯連線,同時關聯不同的 IP 地址。
- ↑ Feilner, Markus. "第 1 章 - VPN — 虛擬專用網路". OpenVPN: 構建和整合虛擬專用網路: 學習如何使用這種強大的開源應用程式構建安全的 VPN。Packt 出版社。
- ↑ 商標申請和註冊檢索 (TARR)
- ↑ OpenBSD ssh 手冊頁,VPN 部分
- ↑ Unix 工具箱中關於 SSH VPN 的部分
- ↑ Ubuntu SSH VPN 操作指南
- ↑ E. Rosen & Y. Rekhter (1999 年 3 月). "RFC 2547 BGP/MPLS VPN". 網際網路工程任務組 (IETF). http://www.ietf.org/rfc/rfc2547.txt.
- ↑ 乙太網橋接 (OpenVPN)
- ↑ 私有網際網路的地址分配,RFC 1918,Y. Rekhter *等*,1996 年 2 月
- ↑ RFC 2917,*核心 MPLS IP VPN 架構*
- ↑ RFC 2918,E. Chen (2000 年 9 月)
- ↑ 二層隧道協議 "L2TP",RFC 2661,W. Townsley *等*,1999 年 8 月
- ↑ 基於 IP 的虛擬專用網路,RFC 2341,A. Valencia *等*,1998 年 5 月
- ↑ 點對點隧道協議 (PPTP),RFC 2637,K. Hamzeh 等人,1999 年 7 月
- ↑ a b c Phifer,Lisa。 "移動 VPN:彌合差距",SearchMobileComputing.com,2006 年 7 月 16 日。
- ↑ Willett,Andy。 "解決移動警官的計算挑戰",www.officer.com,2006 年 5 月。
- ↑ a b c Cheng,Roger。 "失去連線",華爾街日報,2007 年 12 月 11 日。
- Kelly,Sean(2001 年 8 月)。 "必要性是 VPN 發明的母親"。 通訊新聞:26–28。 ISSN 0010-3632.
- "VPN 購買指南"。 通訊新聞:34–38。2001 年 8 月。 ISSN 0010-3632.
- JANET UK "不同型別的 VPN:技術和應用"
- 虛擬專用網路聯盟 - VPN 供應商的行業協會
- CShip VPN-Wiki/列表
- 虛擬專用網路 on Microsoft TechNet
- 使用 IPsec 和 SSL/TLS 建立 VPN Linux Journal 文章,作者 Rami Rosen
- 如何在 iOS、Android、Windows、MacOS 中設定 VPN 分步使用者指南
- curvetun 一種基於 curve25519 的輕量級多使用者 IP 隧道/VPN
- 使用 VPN 繞過網際網路審查 在 如何繞過網際網路審查,FLOSS 手冊,2011 年 3 月 10 日,240 頁