網路規劃與管理技術第 十章 VPN 網路規劃與管理     下一頁

第十章 VPN 網路規劃與管理

10-1 虛擬私有網路簡介

內容:

10-1-1 VPN 網路簡介

『虛擬私有網路』(Virtual Private Network, VPN是網路安全另一個重要的措施,概括而言,它是希望在不安全的『公眾網路』(Public Network上建立一個具安全性較高的『私有網路』。然為何稱之為『虛擬』?是因安全網路是利用軟體或硬體附加在原本不安全網路上,可隨時依其需要建立一個安全通道,使用完畢之後,該安全連線立即消失,並未改變原來的網路架構,故而稱之。

利用 VPN 技術,吾人可將散居世界各地的『私有網路』(或稱自治系統)結合成一個安全性較高的網路系統,此網路系統宛如透過防火牆保護的區域網路,此網路稱之為VPN 網路』。在 VPN 網路內各主機可在保護下自由通訊,並讓駭客無法入侵,能符合公司行號全球化的需求。如圖 10-1 所示,某家公司在台北、東京、紐約、曼谷等地方,分別設有據點或工廠,每一地區網路都有防火牆保護,讓外部駭客無法入侵。又透過 VPN 網路結合,讓各地區網路結合成一個安全性高的『區域網路』,但它們之間還需透過不安全的『公眾網路』連結。如何讓各私有網路之間,透過公眾網路通訊,並能包持它的安全性,則需仰賴IP 安全協定』(IP Security Protocol, IPSec來達成,亦是本章介紹的重點。

 

10-1 虛擬區域網路概念

10-1-2 VPN 網路型態

簡而言之,整合各地的區域網路成為一個安全性較高的網路系統,即為『虛擬私有網路』的基本概念。隨著時代的變遷,虛擬私有網路主要有兩種基本型態:WAN-VPN 架構與 Internet-VPN 架構。

(A) WAN-VPN 架構

欲連結各地區域網路成為一個安全性較高的私有網路,最簡單的方法就是向電信公司(如中華電信公司)承租『專線』連接(或稱專屬鏈路),此種網路型態稱之為『廣域網路的虛擬私有網路』(WAN-VPN),如圖 10-2 所示。基本上,電信公司只提供固定連線,沒有路徑選擇功能,並依照傳輸速率與連線距離計費,傳輸速率可介於 64 Kbits 至數百 Gbits 之間。計費方式與傳輸量無關,完全依照傳輸速率與距離計算月租費,如果傳輸距離較近(如圖 10-2,網路之間的地理位置),費率尚可接受,一旦距離過遠(如台北與高雄之間),則月租費已貴得嚇人,更何況跨越國際之間,那幾乎是不可行。再說,WAN-VPN 僅侷限於事先固定的地理位置之間傳輸訊息,無法隨時移動位置。換句話說,出差人員所到達的地方,除非是架設 VPN 的地區,否則無法與原公司的私有網路通訊。早期為了克服這個問題,大多利用電話撥接來達成,但電話網路傳輸速率慢,而且電話費也很貴,並不完美。由此可見,WAN-VPN 已無法滿足目前國際化的商業環境使用。

但話說回來,WAN-VPN 專屬網路的安全性最高,因為與外界網路完全隔離,閒雜人等不易入侵。因此,WAN-VPN 無需特殊的防護設施,其應用範圍也多侷限於安全防護要求較高的組織單位,如國防部軍事管理的網路系統。

 

10-2 WAN-VPN 網路型態

(B) Internet-VPN 架構

如前所述,承租沒有路由功能的專線不但價格昂貴,而且也受限於架設位置。俗擱大碗 乃是一般人們所欲追求的目標,目前盛行於全球的 Internet 可說是不二人選。利用 Internet 建構 VPN 網路,不但價格便宜,還可藉 Internet 網路的路由功能,將訊息傳送到世界上任何角落,如此一來,所連結的私有網路就不再受地理位置所限。圖 10-2 是利用 Internet 網路所架設的 VPN,可稱之為Internet-VPN 架構』,其中使用IP 安全協定』(IP Security, IPSec來達成。

 

10-3 Internet-VPN 網路型態

VPN 的原理是將圖 10-3 中私有網路對外連接的設備,改換成具有 IPSec 功能的連結設備,就可以達到虛擬私有網路的功能,此連結設備即稱為『安全閘門』(Secuirty Gateway, SG。如圖 10-3 VPN 網路成員(雙方的 SG 閘門),必須協議雙方可能採用的安全套件(包含『鑰匙』)。其中某一網路有訊息欲傳送到另ㄧ網路時,當 SG 閘門收到封包後,則將該封包加入安全措施並重新包裝,譬如訊息加密或認證的處理,之後再將新的封包發送到 Internet 網路上;另ㄧ方的 SG 閘門收到封包後,則依照雙方之前所協議的安全套件,將封包回復原來格式,再發送給內部的私有網路。私有網路內工作站發送訊息給另ㄧ個工作站時,則不需考慮該工作站是否在本區域網路或其他網路上。攻擊者不了解安全套件內容,或沒有雙方協議的『鑰匙』,也無法盜取或偽造訊息內容。如何協議雙方通訊原則,即是IP 安全協定』(IP Security, IPSec

(C) Firewall-VPN 架構

VPN 是藉由 Internet 網路所構成,意指內部網路可能會暴露於 Internet 網路上;攻擊者可能會透過公眾網路來入侵私有網路,因此一般 VPN 網路都必須配合防火牆裝置,圖 10-4 是一個典型的網路架構。VPN 設備大多安裝在外部路由器上,所以外部路由器除了具備原來封包過濾的功能外,還具備 VPN 的處理能力。譬如,區域網路 A 的使用者想要和區域網路 B 的工作站通訊,它的 IP 封包經由外部路由器(具有 VPN 功能)處理後,再傳送到 Internet 網路上;當區域網路 B 的外部路由器(具有 VPN 功能)收到該封包後,經過適當處理後再轉送給內部網路。另一方面,區域網路如想要和 Internet 上的其他網路通訊,雖不經由 VPN 處理,但也需要依照其安全政策由外部路由器過濾,或經由防禦主機來代理轉送,如此需結合防火牆和 VPN 的功能。也就是說,內部使用者可以選擇是否透過 VPN 處理和外部通訊,VPN 設備也需分辨出所進入的封包是否有經過 VPN 處理,如果有,則表示來自其他所屬機構網路的封包;否則可能是一般外部使用者的訊息。

 

10-4 防火牆型之 VPN 網路

VPN 的另一個重要功能是,許多出差人員或 SOHO 工作人員在外,可能需要連結到公司的私有網路來存取資源,但此類人員所使用的電腦大多屬於客戶端功能,我們只要在其電腦上安裝 VPN 軟體,就可以透過 Internet,並以VPN 方式連結到公司內部網路。由圖 10-4 可以發現,不管是區域網路 A B,還是移動式工作站的位置,並不限制其地理位置,只要 Internet 可以到達的地方,都可以建立 VPN 網路,完全合乎企業全球化的需求,至於圖 10-4 VPN 設備,目前大多是指具有 IPSec 功能的路由器或主機設備。

 

翻轉工作室:粘添壽

 

網路規劃與管理技術:

 

 

翻轉電子書系列: