下一代VPN面臨的挑戰 時間:2007-09-24 08:11:50作者:中國IT實驗室
本文關鍵詞:無
虛 擬 專 用 網(VPN) 是 由 在 公 用 網 上 提 供 安 全 路 徑 的 一 些 路 由 器 及 防 火 墻 組 成, 但 下 一 代VPN 的 概 念 有 所 不 同, 它 還 包 括 網 絡 設 計 策 略。 為 此, 下 一 代 的VPN 要 求 設 計 師 不 僅 要 仔 細 研 究VPN 的 每 一 個 技 術 細 節, 而 且 要 有 宏 觀 意 識。
----目 錄 服 務
----下 一 代VPN 的 最 為 主 要 的 部 件 是 目 錄 服 務 器, 主 要 用 於 存 放 端 用 戶 的 信 息 及 網 絡 配 置 數 據, 目 錄 服 務 器 決 定 瞭 未 來VPN 的 發 展 方 向, 它 既 可 以 運 行 於 由VPN 提 供 控 制 的 公 用 網 的 某 一 部 分, 也 可 以 作 為 運 行 於 公 司 網 絡 的 一 個 平 臺。VPN 的 設 備 與 內 容 都 可 在 專 用 網 與 公 用 網 上 進 行 復 制, 公 司 的 網 絡 可 以 橫 跨 網 絡 公 共 服 務 設 施, 因 此, 傳 統 公 用 網 與 專 用 網 的 界 線 已 經 變 得 模 糊。
----VPN 的 這 一 變 化 直 接 影 響 瞭 它 的 設 計, 為 此 網 絡 設 計 師 必 須 生 成 一 個 邏 輯 與 物 理 目 錄 服 務 器, 該 服 務 器 既 可 設 置 於 公 司 的 一 端, 也 可 設 置 於 電 話 公 司 的NOC 處, 且 有 防 火 墻 的 保 護。 但 是 該 設 計 的 最 大 缺 點 是 單 點 故 障, 另 外, 這 種 多 個 地 點 使 用 的 目 錄 服 務 器 在NOC 端 做 鏡 像, 雖 然 提 供 瞭 物 理 與 邏 輯 的 冗 餘 備 份, 但 卻 給 黑 客 提 供 瞭 攻 擊 的 機 會。
----這 種 使 用 網 絡 目 錄 的 方 式 也 改 變 瞭 傳 統 網 絡 的 訪 問 點, 與 路 由 器 不 同 的 是, 這 些 載 有 整 個 公 司 用 戶 相 關 資 料 及 網 絡 配 置 的 目 錄 應 置 於 用 戶 或 網 絡 運 行 中 心NOC 的 安 全 區 內。 該 安 全 區 是 進 一 步 開 發VPN 的 基 礎, 它 主 要 由 策 略 服 務 器 與 認 證 服 務 器 組 成。 策 略 服 務 器 根 據 公 司 的 規 則 制 定 訪 問 策 略, 認 證 服 務 器 則 負 責 公 共 密 鑰 的 認 證 及 其 他 有 關 安 全 任 務, 另 外,VoIP 網 關 也 置 於 上 述 安 全 區 內。 網 絡 如 果 具 有 瞭 上 述 安 全 機 制、 網 絡 目 錄 及QoS 的 保 證, 那 麼 端 用 戶 就 可 以 建 立 用 於 遠 程 教 育、 遠 程 醫 療 及 虛 擬 會 議 的VPN 連 接 瞭。
----實 現QoS
----實 現 上 述VPN 仍 有 許 多 工 作 要 做, 首 當 其 沖 的 是 要 解 決 服 務 質 量QoS 問 題。 基 於 策 略 的 網 絡 提 供 這 樣 一 種QoS 方 案, 策 略 服 務 器 裝 載 有 關 應 用 及 網 絡 資 源 的 信 息, 動 態 地 確 定 端 用 戶 如 何 訪 問 應 用 程 序。IPv6 是 人 們 多 年 來 努 力 的 結 果, 其QoS 的 實 現 是 通 過 將IPv6 的 信 息 包 定 義 為 不 同 級 別 的 信 息 流。 例 如, 可 將 實 時 多 媒 體 的 演 示 定 義 為 具 有 最 高 級 別 的 信 息 流。 須 註 意 的 是, 由 於QoS 要 求 提 供 跨 越LAN 與WAN 的 端 對 端 的 服 務, 因 此 增 加 瞭 問 題 的 復 雜 性: 網 絡 設 計 人 員 必 須 瞭 解 每 個 公 司 的 網 絡 在 何 處 結 束, 公 用 網 的VPN 又 從 何 處 開 始。 因 此, 要 求 網 絡 設 計 師 要 予 以 規 劃、 區 分 不 同 系 統 間 的 各 種 進 程 流 及 每 個 公 司 各 擁 有 哪 些VPN 部 件 等。
----高 速 主 幹 網 上 真 正 實 現QoS 還 有 很 多 工 作 有 待如何申請商標台中 完 成。 因 此, 某 些ISP 也 在 尋 找 使 用 傳 統 網 關 在 傳 統 公 用 網 與IP VPN 之 間 進 行 傳 輸 的 辦 法 來 將QoS 提 供 到 桌 面。 這 裡 的 問 題 是, 當 端 用 戶 退 出 某 一 特 定 電 話 公 司 的VPN 時,QoS 的 保 證 也 將 丟 失。 另 一 個 問 題 是, 如 何 對 那 些 跨 越 多 個VPN 的 信 息 包 進 行 跟 蹤 與 收 費, 因 為 人 們 開 發 這 種 軟 件 將 耗 費 大 量 的 人 力 與 財 力, 甚 至 得 不 償 失。 此 外,ISP 還 應 考 慮 計 費 的 可 行 性, 例 如 由 誰 結 算 賬 單 等, 所 有 這 些 問 題 都 有 待 於 下 一 代VPN 來 解 決。
----安 全 性
----安 全 是VPN 的 核 心 問 題。 目 前,VPN 的 安 全 保 證 主 要 是 通 過 使 用 防 火 墻 技 術、 路 由 器 並 配 之 以 網 絡 隧 道(Tunnels)、 加 密 協 議 及 安 全 密 鑰 實 現, 這 些 足 以 保 證 移 動 端 用 戶 及 遠 程 用 戶 安 全 地 訪 問 公 司 網 絡。
----由 於 這 一 方 法 需 要 所 有 的 設 備 都 必 須 使 用 相 同 的 安 全 協 議, 因 此 它 的 實 現 是 非 常 困 難 的。 另 外, 認 證 與 訪 問 工 作 也 都 須 由 公 司IT 部 門 的 一 個 中 心 設 備 所 管 理, 因 此 也 排 除 瞭 用 戶 動 態 請 求 加 入VPN 的 可 能, 而 該 項 功 能 又 是 外 部 網 所 必 需 的, 這 樣, 隨 著 用 戶 的 退 出、 加 入 等 變 動 的 增 加, 其 維 護 開 銷 也 將 增 大。
----上 述 方 法 將 被 一 種 靈 活 的、 可 伸 縮 性 的、 並 具 有 互 操 作 性 的 安 全 服 務, 如PKI( 公 共 密 鑰 結 構) 及IKE( 因 特 網 密 鑰 交 換) 所 取 代。PKI 允 許 端 用 戶 使 用 從 有 關 權 威 部 門 獲 得 的 公 用 及 專 用 密 鑰 在 因 特 網 上 加 密 與 交 換 信 息。 目 前,ITU T 的X.509 標 準 已 成 為 公 認 的 構 建 上 述 結 構 的 基 礎, 並 用 以 定 義 經 由 認 證 部 門 簽 署 的 有 關 公 共 密 鑰 的 過 程 及 數 據 格 式。 權 威 認 證 中 心(CA) 發 放 和 管 理 用 於 信 息 加 密、 解 密 的 安 全 證 與 公 用 密 鑰。 作 為PKI 的 一 部 分,CA 在 核 實 登 記(RA) 後 確 認 端 用 戶 提 交 的 信 息。 如 果RA 符 合 驗 證, 則CA 為 端 用 戶 頒 發 訪 問 應 用 程 序 及 建 立 安 全 會 話。
----目 前,IETF 正 在 研 究PKI 的 簡 化 版 本SPKI, SPKI 將 簡 ?a href="http://surpassip.8e.com.tw">台中商標註冊申請?目 前 所 使 用 的 層 次 驗 證 機 制。
如何申請註冊商標台中
上一篇:專題報道:2007中國互聯網大會拉開帷幕下一篇:"薄客"技壓群芳 A.O史密斯上網本夢幻登場
文章標籤
全站熱搜
留言列表
