软件 VPN 的平安性本文主要论述基于业界公认的 IPSec 加密平安通讯协议之上开发的软件VPN 的平安性,其它基于非加密通讯协议〔如:L2TP、PPTP 等〕或一些企业自定义通讯协议〔如:VNN、金万维天联 VPN〕的软件 VPN 等不在本文的讨论范围内。IPSec 平安机制Internet 网络无处不在,是一个非常理想的数据传输广域网络,但是传统的Internet 网上的应用数据传输都是采纳明文直接传输的,易于被恶意地监听和窃取,因此一直以来大家在使用 Internet 传输敏感信息时,都在留神其信息数据的平安性。在使用 TCP/IP 协议的 Internet 体系结构中,IP 层是一个附加平安措施的很好场所,因为 IP 层处于整个协议体系的中间点,它既能捕获所有从高层来的报文,也能捕获所有从低层来的报文。从 IP 层的定义来看,在这一层附加平安措施是与低层协议无关的,可对高层协议和应用进程透明。许多 Internet 网络应用可以从 IP 层提供的平安效劳中得益。正是基于这一考虑,Internet 标准协议制定组织 IETF 已制定了一系列平安协议标准 IPSec 和 IKMP 密钥管理协议,用来提供 IP 层平安效劳。目前已有多种产品支持 IPSece 平安协议。IPSec 和一些密钥管理协议为组建平安的 VPN 提供了一条很好的途径。IPSec 是一个能在 Internet 上保证通道平安的开放标准,IPSec 生成一个标准平台,来开发平安网络和机器之间的平安数据隧道。通过 IPsec 的平安隧道,在数据包可以传送的网络中生成像电路那样的专用连接。利用 IPsec 来确保数据网络的平安,通过使用数字证书和自动认证设备,来相互验证发送信息双方的用户身份。对需要在很多设备之间平安连接的大型网络中确保数据平安,IPsec 是一个理想的平安 VPN 解决方案。部署了 IPsec 的用户能确保其网络根底设施的平安,而不会影响各台计算机上的应用程序。此套协议是用作对网络根底设施的纯软件升级,这既允许实现平安性,又没有花什么钱对每台计算机进行改造。最重要的是,IPsec 允许不同的网络设备、PC 机和其他计算机系统之间实现互通。IPsec 有两种模式 —— 传输模式和隧道模式。传输模式只对 IP 分组应用IPsec 协议,对 IP 报头不进行任何修改,它只能应用于主机对主机的 IPsec 虚拟专用网 VPN 中。隧道模式中 IPsec 将原有的 IP 分组封装成带有新的 IP 报头的IPsec 分组,这样原有的 IP 分组就被有效地隐藏起来了。IPsec 协 议 中 有 两 ...
