本文首先介紹加密傳輸的VPN的各種類型,然後再按照復雜性的順序提出需要考慮的加密類型。加密傳輸中的信息的兩種最常用的技術是SSL(安全套接層)和IPsec(IP網絡安全協議)。
作為一個分析師,我收到了越來越多的詢問有關網絡加密、加密的傳輸或者虛擬專用網安全的問題。也許那是因為擔心遭到TJ Maxx的母公司TJX、Marshalls和HomeGoods商店等公司曾經歷過的安全突破。當一個黑客利用明尼蘇達州聖保羅附近的 Marshalls服裝商店的Wi-Fi網絡的漏洞的時候(點擊查看此事件),數百萬信用卡受到了損害。
遭遇安全突破的並不僅僅是TJX公司。還有一些引人注目的個人數據被突破的事件,包括美國政府內部80%的現役軍人的名字的個人數據被突破。這些事件促使美國政府下達一個行政命令,要求對傳送和保存的個人身份識別數據采取加密措施。
我經常同網絡工程師談論有關加密傳輸中的數據的問題。在這裡,我首先介紹加密傳輸的VPN的各種類型,然後再按照復雜性的順序提出需要考慮的加密類型。加密傳輸中的信息的兩種最常用的技術是SSL(安全套接層)和IPsec(IP網絡安全協議)。
網絡加密的四種類型
1、無客戶端SSL:SSL的原始應用。在這種應用中,一台主機計算機在加密的鏈路上直接連接到一個來源(如Web服務器、郵件服務器、目錄等)。
2、配置VPN設備的無客戶端SSL:這種使用SSL的方法對於主機來說與第一種類似。但是,加密通訊的工作是由VPN設備完成的,而不是由在線資源完成的(如Web或者郵件服務器)。
3、主機至網絡:在上述兩個方案中,主機在一個加密的頻道直接連接到一個資源。在這種方式中,主機運行客戶端軟件(SSL或者IPsec客戶端軟件)連接到一台VPN設備並且成為包含這個主機目標資源的那個網絡的一部分。
SSL:由於設置簡單,SSL已經成為這種類型的VPN的事實上的選擇。客戶端軟件通常是很小的基於Java的程序。用戶甚至可能都注意不到。
IPsec:在SSL成為創建主機至網絡的流行方式之前,要使用IPsec客戶端軟件。IPsec仍在使用,但是,它向用戶提供了許多設置選擇,容易造成混淆。
4、網絡至網絡:有許多方法能夠創建這種類型加密的隧道VPN.但是,要使用的技術幾乎總是IPsec.
在網絡至網絡的VPN的情況下,我們在討論從一個網絡設備到另一個網絡設備的加密問題。由於我們期待目前的網絡設備要做的事情,在這個討論中會出現一些其它難題:
與其它技術的相互作用:廣域網經常使用服務質量、深度包檢測或者廣域網加速。如果在部署的時候沒有考慮這些服務,加密就會使這些服務失效。網絡地址解析是另一個需要克服的障礙,因為它首先會干擾建立一個加密的連接的能力。
疊加網絡:加密隧道VPN是通過在現有的網絡上創建一個疊加的加密連接發揮作用的。加密的連接存在於這個網絡上的兩個具體接口之間。從源頭上看,如果要加密的網絡通訊被重新路由或者傳送到不同的接口,它就不會被加密。如果這個通訊在加密之後被重新路由並且被發送到指定接口以外的其它接口,它就不能被解碼或者被拋棄。
在一個加密的VPN中,DNS、IP地址和路由都需要特別注意。一些安全VPN技術與專用地址領域工作得非常好。有些安全 VPN技術甚至在網絡端點采用動態地址的情況下也能很好工作。在某些情況下,企業喜歡把所有的互聯網通訊路由到一個中心的位置。在其它情況下,采用拆分隧道方法,分支地點有單獨的互聯網網關。
帶寬:網絡工程師不停地解決帶寬問題一邊為其用戶提供盡可能最好的體驗。但是,在一個加密的VPN的情況下,他們必須要考慮加密帶寬或者加密和解密大型數據流的能力。
無論是什麼動機,探索這個技術正是時候。加密技術是比以前更便宜和產品更多的技術(這種技術嵌入在防火牆、路由器和廣域網加速器)。但是,對於大多數網絡工程師和設計師來說,這個技術需要不同的思路:按照復雜程度的順序進行思考以便在這種技術中進行選擇; 努力地最大限度地減少網絡和網絡用戶的負擔; 等等。通過遵守一些基本的原則,你可以確保加密技術成為保證你的網絡安全的一種非常有用的、甚至是至關重要的工具。