5 IPSec VPN特点IPSec在IP层上实现了加密、认证、访问控制等多种安全技术,极大地提高了TCP/IP的安全性。由于整个协议在IP层上实现,上层应用可不必进行任何修改,并且由于IPSec在实现安全策略上的灵活性,使得对安全网络系统的管理变得简便灵活。
在IPSec VPN中通过加密来保证数据的机密性,SA定期协商更新来提供更强的保护,因DES容易被解密,推荐使用3DES,IKE协议进一步减少了暴露的机会。
然而,IPSec并非没有缺点,如果要一个大的点对点的VPN或企业远程接入VPN,则其中的主机都必须被单独配置,这对企业应用VPN带来了巨大的压力,并且VPN的配置是相当复杂的,一发而动全身,小的失误也可能带来严重的后果。
更重要的是IPSec在理论上提供了充足的安全性,但应用上并非完全这样。相对于加密本身,攻击者可能更热衷于在用户和用户之间的VPN之间建立站点,但这不应作为VPN本身的缺陷。另一个不利因素是有的用户试图为安全设备扩展原本不属于它的功能,如为安全网关增加发送邮件的功能来融合VPN和邮件服务器,这都会带来安全隐患。
6 MPLS VPN和IPSec VPN比较
两者VPN技术上可以互相补充,相互融合。一般采用IPSec技术建设基于因特网的安全内联网或外联网,当用户对网络带宽、QoS有更高要求时,可以进一步布署MPLS VPN,以提升应用的稳定性。
IPSec VPN和MPLS VPN之间的一个关键差异是MPLS在性能、可用性以及服务等级上提供了SLA(Service Level Agreement)。而它对于建立在IPSec设备上的VPN来说则是不可用的,因为IPSec设备利用Internet接入服务直接挂接在Internet上。
同时,IPSec VPN与MPLS VPN两者所面向的应用领域是不同的,安全性是VPN网络设计时考虑的首要因素时,应当采用IPSec VPN。因为MPLS VPN不提供加密、认证等安全服务。IPSec VPN可以使分布在不同地方的专用网络,在不可信任的公共网络上安全的通信,采用复杂的算法来加密传输的信息,使得敏感的数据不会被窃听。
MPLS VPN主要是用于建设全网状结构的数据专线,保证局域网互联的带宽与服务质量。总部与下面分支机构互联时,如果使用公网,则带宽、时延等很大程度上受公网的网络状况制约。而布署MPLS VPN后,可以保证网络服务质量,从而保证一些对时延敏感的应用稳定运行,如分布异地的实时交易系统、视频会议、IP电话等等。
VPN的服务目的就是在基础公共网络上向用户提供网络连接,不仅如此,VPN连接应使得用户获得等同于专有网络的通信体验。合理和实用的VPN解决方案应能够抗拒非法入侵、防范网络阻塞,而且应能安全、及时地交付用户的重要数据,在实现这些功能的同时VPN还应该具有良好的可管理性。在站点与站点之间实施VPN时,网络管理者应该综合比较MPLS和IPSec VPN两种方案,下面的参数用来比较这两种解决方案。
数据机密性:
IPSec VPN通过强大的加密算法来保障数据的机密性,MPLS通过在提供商物理站点间定义一条唯一的数据通道来加强数据的机密性,这可以禁止攻击者非法获得数据拷贝,除非他们在提供商的网络上放置镜像器。尽管MPLS使数据被窃取的机会最小化,但IPSec通过加密可以提供更好的数据机密性。第三种方案是采用IPSec over MPLS VPN,这样显然可以保证更高水平的数据机密性。
数据完整性:
IPSec使用散列算法来保证数据的完整性,对于MPLS VPN来说,没有什么根本的方法来保障数据的完整性,然而,通过地址空间隔离和路由信息,防止不熟练的攻击者对数据的添加、删改还是有一定的效果的。
数据有效性:
IPSec基于Internet进行数据传输,尽管攻击者不能读取数据,但攻击者可以通过在Internet路由表中加入错误路由来旁路数据。MPLS VPN基于LSP来传输数据,因LSP仅有本地意义,欺骗攻击很难实现。BGP用于在VPN中传递路由信息,然而,BGP扩展共同体属性使错误路由的引入相当困难,因此,从这点上说,MPLS能够提供更好的数据有效性。
Internet接入:
大多数IPSec VPN基于Internet传输数据,因此,大多数IPSec VPN体系结构允许VPN接入到所连的站点。在MPLS体系结构中却很难实现这一点,在MPLS VPN接入Internet方案中,通常选择分离的Internet连接来保障整个VPN的安全性。
远程接入:
尽管很多提供商支持远程接入,但对MPLS VPN来说并不是本来这样,并且,他们要么要求远程接入的用户在相同的提供商网络中,要么提供商必须实施相同级别的MPLS VPN。从这一点来看,IPSec在提供远程接入方面有优越性。
可扩展性:IPSec VPN难以扩展。因配置方面的要求,IPSec通常是点到点的连接,MPLS由提供商配置,能够轻易地实现全网状的网络结构,并且,MPLS VPN还允许网络管理者利用MPLS的特性如QoS,因此在企业环境中MPLS VPN比IPSec VPN更具扩展性。 MPLS和IPSec VPN具有各自的优点,MPLS VPN扩展性好,能够提供更好的数据有效性,而IPSec VPN能够保障更好的数据机密性和完整性。两种VPN都难以配置,每一种方案都应考虑应用简便,然而,对于点到点连接,两种方案都成立,用户在实施时应仔细分析两种方案的优缺点,选择最适合自己的。
