第 6章 . 虚拟专用网

带有卫星办公室的机构为了高效率和保护所传输机密数据的安全性而经常使用专用线路来彼此连接。例如,许多公司使用帧中继或不对称传输模式(Asynchronous Transfer Mode,ATM)线路作为连接办公室的端点到端点的解决方案。这种方法比较昂贵,特别对于想要扩展而又想避免企业级别的专用数字线路带来的昂贵支出的中小型企业而言。

为满足这种需要,虚拟专用网(Virtual Private NetworksVPN)由此而被开发而出。VPN 使用和专用线路相同的原理,它允许在两个节点(或网络)间进行安全的数字通信,从现存的本地网(Local Area NetworksLAN)中创建一个广域网(WAN)。它和帧中继或 ATM 的不同之处在于所用的传输介质。VPN 使用数据报(UDP)作为传输层,但通过 IP 来传输,把它变成一个到目标点的安全通道。多数免费的软件 VPN 实现包括了开放标准、开源加密来进一步掩护传输中的数据。

某些组织使用硬件 VPN 来进行保安,而有些组织使用软件或基于协议的实现方法。Cisco、Nortel、IBM 和 Checkpoint 等几家厂商提供了硬件 VPN 解决方案。有一种叫做 FreeS/Wan 的用在 Linux 上的基于软件的免费 VPN 解决方案,它利用了标准化的 IPsec(或互联网协议安全)实现措施。这些 VPN 解决方案充当位于办公室和办公室之间的 IP 连接的特殊路由器。

当分组从客户中被传输,它通过路由器或网关被发送,然后在其中添加叫做验证头(Authentication HeaderAH)的关于选路和验证的头信息。该数据是被加密的,并且被包含在叫做封装安全载荷(Encapsulating Security PayloadESP)的解密和处理说明中。接收 VPN 路由器会剥离头信息,把它选路发送到所要去的目的地(工作站或网络上的节点)。网络到网络间 VPN 连接的加密和解密进程对本地节点是透明的。

使用了这种被提高了的安全级别,怪客不但必须劫获分组,还需要能够解密分组。利用客户和服务器间的中间人攻击方法的入侵者还必须获取用于验证会话的钥匙。因为 VPN 使用多层次的验证和加密,因此它是把多个远程节点连接成一个统一的内联网的安全而有效的方法。

6.1. VPN 和红帽企业 Linux

红帽企业 Linux 用户在实施软件解决方案来安全地连接 WAN 方面有很多选择。“互联网协议安全”(Internet Protocol Security),又称 IPsec,是被红帽企业 Linux 支持的实现方式。它充分满足了带有分支办公室或远程用户的机构的使用需要。