李　群　王來鎖

1.2內(nèi)蒙古廣播電視網(wǎng)絡(luò)集團有限公司　內(nèi)蒙古　呼和浩特市　010010

關(guān)于IPsec-VPN和SSL-VPN技術(shù)在廣電渠道代理商系統(tǒng)應用中的分析對比

李群1王來鎖2

1.2內(nèi)蒙古廣播電視網(wǎng)絡(luò)集團有限公司內(nèi)蒙古呼和浩特市010010

本文對內(nèi)蒙廣電網(wǎng)絡(luò)渠道合作伙伴管理系統(tǒng)利用IPsec-VPN和SSL-VPN兩種技術(shù)，在使用體驗和技術(shù)架構(gòu)上進行分析對比。

廣電渠道代理商系統(tǒng)IPsec-VPNSSL-VPN

內(nèi)蒙古廣播電視網(wǎng)絡(luò)集團有限公司于2011年根據(jù)渠道代理商發(fā)展需要，搭建了IPsec-VPN系統(tǒng)，用于代理商通過互聯(lián)網(wǎng)安全訪問渠道代理系統(tǒng)（B/S架構(gòu)），避免在當?shù)劁佋O(shè)專線，降低運營成本。但近年來隨著代理商規(guī)模的不斷擴大，在IPsec-VPN使用過程中也存在一些比較棘手的問題，主要體現(xiàn)：在個別地區(qū)受到網(wǎng)絡(luò)環(huán)境的差異影響，代理商無法正常使用IPsec-VPN、無法鏈接渠道代理商系統(tǒng)主頁面、頁面加載緩慢等，這些問題降低了代理商的收費效率，限制了廣電代理商的發(fā)展速度，一定程度上影響了公司的美譽度。

針對代理商通過IE訪問收費系統(tǒng)的業(yè)務(wù)特點，深入了解不同VPN接入方式，引進了SSLVPN方式連接渠道代理商系統(tǒng)，基本實現(xiàn)了安全、穩(wěn)定、可移動的代理商模式，該套系統(tǒng)于2015年10月正式投入使用，彌補了IPsec-VPN的不足。本文通過對VPN的接入原理和連接方式的對比，分析在具體實施運用上的區(qū)別。

1　VPN的概念和分類

VPN是指虛擬專用網(wǎng)絡(luò)，其主要功能是在INTERNET上建立專用通道，加密傳輸數(shù)據(jù)，以實現(xiàn)在公網(wǎng)上安全傳輸私有數(shù)據(jù)的目的。VPN可以通過服務(wù)器、硬件、軟件等多種方式實現(xiàn)，按協(xié)議可分為IPsec-VPN和SSL-VPN兩種。

2　IPsec-VPN協(xié)議運行機制

IPsec-VPN多用于“網(wǎng)—網(wǎng)”互聯(lián)，屬于網(wǎng)絡(luò)層協(xié)議族，是將IP包封裝在附件的IP包頭中通過IP網(wǎng)絡(luò)傳輸，通過網(wǎng)絡(luò)層實現(xiàn)訪問控制、數(shù)據(jù)來源驗證和數(shù)據(jù)流分類加密等服務(wù)。其協(xié)議包括報文安全封裝（ESP）和認證頭（AH）兩個安全協(xié)議。其中，安全封裝協(xié)議（ESP）屬封裝安全負載協(xié)議，主要對IP報文提供加密。報文認證頭協(xié)議（AH），主要提供數(shù)據(jù)來源驗證，數(shù)據(jù)完整性認證等功能，具體IPsec幀格式見下表-1：

表1　IPsec幀格式

IPsec可以設(shè)置成兩種運行模式：隧道模式和傳輸模式。在隧道模式下，它把IP數(shù)據(jù)包封裝在安全的IP幀中；而傳輸模式是為了保護端到端的安全性，但不會隱藏路由信息。

一個IPsec隧道由一個隧道客戶和隧道服務(wù)器組成，兩端都配置使用IPsec隧道技術(shù)，采用協(xié)商加密機制。為實現(xiàn)在專用或公共IP網(wǎng)絡(luò)上的安全傳輸，IPsec隧道模式使用安全方式封裝和加密整個IP包，然后對加密的負載再次封裝在IP包頭內(nèi)通過網(wǎng)絡(luò)發(fā)送到隧道服務(wù)器端，隧道服務(wù)器對收到的數(shù)據(jù)包進行處理，去除IP包頭，對內(nèi)容進行解密之后，獲得最初的負載IP包，負載IP包在經(jīng)過正常處理之后被路由到目標網(wǎng)絡(luò)的主機上。

IPsec隧道模式具有以下功能和局限：

1.只能支持IP數(shù)據(jù)流；

2.工作在IP棧的底層，應用程序和高層協(xié)議可以繼承IPsec的行為；

3.需要在用戶端配置硬件設(shè)備，并需要在用戶端網(wǎng)絡(luò)設(shè)置網(wǎng)絡(luò)防火墻配置；

4.使用該模式需要較大的系統(tǒng)開銷。

3　SSL-VPN協(xié)議運行機制

SSLVPN采用標準的安全套接層（SSL）對傳輸中的數(shù)據(jù)包進行加密，從應用層保護數(shù)據(jù)的安全性。利用TCP傳輸作用以及SSL對TCP會話保護，實現(xiàn)VPN業(yè)務(wù)，被保護的VPN業(yè)務(wù)可以通過TCP，UDP或純IP方式加密傳輸。SSL-VPN有多個子協(xié)議組成，其中有兩個主要的子協(xié)議是握手協(xié)議和記錄協(xié)議，握手協(xié)議允許服務(wù)器和客戶端在應用協(xié)議傳輸?shù)谝粋€數(shù)字字節(jié)前，彼此確認，協(xié)商加密算法和密碼鑰匙，記錄協(xié)議則在數(shù)據(jù)傳輸期間利用握手協(xié)議生成的秘要加密和解密后來的交換數(shù)據(jù)。

SSL-VPN按使用場景實現(xiàn)情況，可以分為WEB代理，端口映射和IP連接三種：

1.SSL-VP-WEB代理，使用SSL-VP-WEB服務(wù)器把用戶和服務(wù)器的連接HTTP轉(zhuǎn)換成HTTPS，并對網(wǎng)站的URL地址進行轉(zhuǎn)換。用戶登錄SSLVPN的web頁面后，web代理一欄會有多個鏈接，用戶在點擊其中一個鏈接后，會新建一個瀏覽器窗口，鏈接形式也是以https://形式。SSLVPN服務(wù)器會完成代理工作，以內(nèi)部地址向相應的服務(wù)器發(fā)起請求。在整個過程中，訪問內(nèi)部站點的IP始終是代理服務(wù)器，而非最終用戶。申請一個公網(wǎng)地址，應用在SSL-VPNWEB代理服務(wù)器上，對內(nèi)網(wǎng)站點統(tǒng)一接入，節(jié)省費用，保護內(nèi)部服務(wù)器。

2.SSL-VPN端口映射，針對一些內(nèi)部服務(wù)器并不是WEB站點的情況，例如FTP。需要通過SSL-VPN加載程序，在用戶端產(chǎn)生多條host映射表，映射表一般采用回環(huán)地址，通過不同的回環(huán)地址對應不同F(xiàn)TP服務(wù)器實現(xiàn)訪問。同樣具有WEB代理統(tǒng)一接入，節(jié)省費用，保護內(nèi)部服務(wù)器的優(yōu)點，但由于SSL基于TCP協(xié)議，端口映射僅限于在TCP協(xié)議族。

3.SSL-VPNIP針對使用者訪問內(nèi)部服務(wù)器的任意協(xié)議、任意端口。用戶登錄SSL-VPN后，SSL-VPN服務(wù)器會自動加載客戶端程序，給用戶創(chuàng)建一個虛擬網(wǎng)卡，與服務(wù)器重新建立一個私有地址的新SSL鏈接，SSL-VPN服務(wù)器起到路由器、DNS作用，同時解密用戶端發(fā)來的加密IP數(shù)據(jù)包。

4　兩種VPN分析對比

由于兩種VPN基于不同的網(wǎng)絡(luò)層實現(xiàn)IP數(shù)據(jù)包的加密傳輸，所以在具體實施應用上也有所不同，具體有以下幾方面：

1.IPsec以網(wǎng)絡(luò)層為中心，用戶端需要專門的硬件或軟件客戶端，而SSL-VPN以應用層為中心，不需要專門的硬件或軟件客戶端，可以通過IE或其他瀏覽器安裝客戶端，更加靈活機動；

2.IPsec-VPN適合兩個固定的局域網(wǎng)之間搭建安全隧道，SSL-VPN更適合移動型單機訪問總部固定主機服務(wù)，同時隨著技術(shù)發(fā)展，目前SSLVPN支持的服務(wù)不僅局限在TCP協(xié)議還包括UDP等協(xié)議；

3.IPsec-VPN因基于網(wǎng)絡(luò)層工作，不能限制相應IP或IP組的具體應用，不易于控制遠端客戶的權(quán)限和訪問粒度大小。而SSL-VPN基于應用層工作，可以對用戶的文件權(quán)限、訪問資源、服務(wù)類型進行控制。

5　兩種技術(shù)在廣電渠道運營環(huán)境的比較

通過對兩種VPN技術(shù)的分析，可以看出，SSL-VPN對代理商通過不同類型的互聯(lián)網(wǎng)接入方式，訪問廣電業(yè)務(wù)系統(tǒng)具有優(yōu)勢。而對于IPsec-VPN在使用中，對代理商使用的網(wǎng)絡(luò)環(huán)境要求更高，需要當?shù)貙拵н\營商開放NAT穿越才能實現(xiàn)互聯(lián)，在發(fā)展上存在限制。所以兩套系統(tǒng)在具體實施過程中需要根據(jù)當?shù)鼐W(wǎng)絡(luò)環(huán)境，和代理商的使用方式，選擇使用。但隨著移動互聯(lián)網(wǎng)的發(fā)展，SSL-VPN的靈活機動性，能更好的適應社區(qū)體驗式營銷模式，對包括廣電自營在內(nèi)的銷售團隊，實現(xiàn)零距離營銷創(chuàng)造了安全便利的條件，更適合我公司今后多元化業(yè)務(wù)的發(fā)展。

審稿人：周速飛內(nèi)蒙古廣播電視網(wǎng)絡(luò)集團有限公司正高級工程師

責任編輯：王學敏

G206.2

A

2096-0751（2016）06-0021-02

李群內(nèi)蒙古廣播電視網(wǎng)絡(luò)集團有限公司工程師王來順內(nèi)蒙古廣播電視網(wǎng)絡(luò)集團有限公司助理工程師