6、虚拟专用网络与广域网、远程访问的对比及安全考量

虚拟专用网络与广域网、远程访问的对比及安全考量

1. VPN安全防护技术

VPN采用了先进的技术来抵御中间人攻击，有时依靠逐包或定时认证，甚至快速更换密钥。而重放攻击是攻击者记录从A到B的传输内容，即使无法读取信息，也能在稍后重新发送。部分VPN通过对数据包进行序列化、封装IP报头和数据报，或使用同步时间戳来应对这一威胁，也可结合多种技术。

计算机入侵事件难以察觉和起诉。据相关数据，35%的高级别入侵未被系统管理员发现，85%的事件未被上报。管理员可能偶然注意到入侵迹象，如临时目录中的异常文件、异常运行的进程、非操作系统自带的应用程序，以及用户登录困难或忘记密码等。若攻击者清理痕迹，被发现的几率会大幅降低；若粗心大意，检测和清理则相对容易。一旦发现入侵线索，应迅速清理。可直接访问 CERT官网 获取安全相关文件和最新建议。

面对威胁或入侵迹象，要迅速响应，处理得越快，整体影响越小。尽管安全预算有限、资源不足，仍应采取措施追踪攻击者，否则他们可能会卷土重来。同时，要关注攻击者的意图和行为，有望揪出他们。此外，要做好备份，定期更改用户账户和密码，建立全组织范围的访问和认证级别注册表。

2. 加密技术的专利与法律影响

加密程序是复杂的数学系统，开发者投入大量资源创建和保护这些系统。知识产权与不动产一样具有价值，使用某些技术可能与软件开发者达成具有法律约束力的协议，因此处理此类系统时需谨慎。

美国政府将所有加密程序归类为弹药，认为保护数据的数学公式是危险技术，加密在他们眼中等同于叛国、非法军火交易、走私、敲诈勒索和毒品销售。回顾历史，二战时德国的“恩尼格玛”密码盒和日本的“紫色”密码系统，凸显了战争期间密码破解和加密的重要性。

部分产品和服务可能禁止出口美国，或通过降低加密密钥大小以获得海外销售许可。国际组织正在研发全球通用的强加密技术。加密技术的开发者常通过专利保护成果，如DES虽有专利但免费分发，所有公钥系统也均有专利，相关机构会收取许可费并监控软件使用情况。以下是一些加密程序的专利信息：
| 加密程序 | 专利信息 |
| — | — |
| Hellman - Merkle | 专利号 #4,218,582，1997年8月19日过期，据称涵盖所有公钥系统 |
| Rivest - Shamir - Adleman | 专利号 #4,405,829，2000年9月2日过期，涵盖RSA算法 |
| Hellman - Pohlig | 专利号 #4,424,414，2001年1月3日过期，与Diffie - Hellman（1997年过期）相关 |
| Schnorr | 专利号 #4,995,082，2008年2月19日过期，DSS算法基于此 |
| Kravitz | 专利号 #5,231,668，2008年7月27日过期，实际的DSS算法 |

3. 广域网、远程访问和VPN的概念

广域网（WAN）、远程访问服务（RAS）和虚拟专用网络（VPN）都能实现远程用户连接到私有网络资源的目的。它们都需维护安全、可扩展性和稳定性这三个重要的网络概念，且成本可分解为电信线路、网络硬件/软件和系统管理。

广域网由两个或多个通过专用私有电信线路连接的网络组成，从两台计算机通过专用帧中继线路连接，到多个区域办公室网络通过私有ATM线路连接到中央办公室都属于此范畴。

远程访问服务由按需接入的电信线路组成，用于连接远程用户或网络，范围从带多个调制解调器的终端服务器到带PRI线路的RAS服务器。

虚拟专用网络则相对复杂，允许用户或网络通过互联网安全访问中央私有网络资源，有三种基本解决方案：点到网络、网络到网络和集成解决方案。点到网络方案用于替代RAS作为普通终端用户的主要连接方式；网络到网络方案中，远程网络连接到ISP并将私有通信发送到配备安全协议的中央防火墙或VPN服务器；集成解决方案通常是VPN服务器、防火墙软件或专用硬件的组合，允许网络和终端用户访问私有网络。

在当今网络环境中，从广域网或远程访问解决方案转换为VPN可降低成本，只需购买和实施VPN解决方案并增加互联网带宽。

4. 小型到中型网络中VPN与WAN的对比

在小型到中型网络（节点数少于100）中，两者在多个方面存在差异：
-电信线路：
- WAN连接若远程网络在主办公室本地通话区域内，可使用ISDN线路；若不在，租用56Kbps帧中继线路更佳。ISDN本地通话通常无每分钟费用，但长途费用高，部分地区本地ISDN通话也有费用。帧中继线路按月固定收费，通常比ISDN线路贵。ISDN带宽最高可达128Kbps，两条56Kbps租用线路才能接近此带宽。选择线路需考虑预计使用情况、相关费用和远程站点所需带宽，且连接两端都需ISDN或帧中继线路。
- VPN可使用帧中继或ISDN线路连接本地ISP。若两个办公室在同一通话区域，应使用相同ISP；若不在，双方所选ISP最好连接到同一上游互联网提供商，以减少路由问题，提高速度和可靠性。连接两端同样需本地安装线路，128Kbps对百节点以下网络通常足够。
-硬件/软件：
- VPN和WAN在此层面需要相似设备，如ISDN或帧中继路由器，可从思科系统、法拉力昂、摩托罗拉和Ascend通信等制造商处获取，连接两端都需路由器连接本地ISP。
- WAN无需额外软件，两端使用相同网络协议即可运行。
- VPN需要软件实现对中央网络的安全访问，如SSH、L2F、L2TP和PPTP适用于中小型网络到网络连接，可能需要特定硬件支持。SSH适用于Unix服务器，L2F和L2TP在运行IOS的思科路由器上受支持，PPTP可用于Windows NT 4.0服务器和部分ISDN路由器，且连接两端都需相应软件/硬件组合。
-系统管理：
- 传统WAN设置所需技能在普通网络管理员能力范围内，两端设置时间不超过10 - 20小时，包括设备选型、线路订购和配置。此类连接配置好后通常无需大量维护，每月维护时间最多10小时。主要故障点是电信提供商，他们在线路维护或故障时沟通不足。此外，还需培训终端用户使用和维护连接。
- 实施VPN时，网络工程师首先要进行研究和培训，了解VPN工作原理和组织网络需求。初始设置可能需20 - 40小时，包括研究、培训、向上级汇报和实际实施。与WAN相比，VPN的维护除ISP和安全问题外，差异不大，网络管理员每月需额外投入5 - 10小时处理这些问题，每月最多30小时。
-安全、可扩展性和稳定性：
- WAN连接被认为是任何规模网络中最安全和稳定的解决方案，连接完全私有，使用成熟的行业标准技术。其稳定性问题与所有网络类似，主要故障点是电信提供商，选择能及时沟通问题和计划停机时间的提供商很重要。
- VPN一般稳定性不足，它是基于不可靠的互联网的新技术，在处理互联网路由、不同平台通信和加密过程时，系统可能不够健壮。但随着互联社会发展和标准的出现，VPN将有更稳定的运行基础。在可扩展性方面，从中小型网络扩展到大型网络时，WAN需在设备、人力和电信线路上大量投资，而VPN最初只需升级中央网络的带宽和设备，提升VPN服务器容量的成本远低于WAN。

下面是小型到中型网络中VPN与WAN对比的mermaid流程图：

graph LR classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px; A[小型到中型网络] --> B{电信线路} A --> C{硬件/软件} A --> D{系统管理} A --> E{安全、可扩展性和稳定性} B --> B1(WAN:ISDN或帧中继) B --> B2(VPN:连接ISP的ISDN或帧中继) C --> C1(WAN:路由器,无需额外软件) C --> C2(VPN:路由器,需特定软件) D --> D1(WAN:设置10 - 20小时,维护10小时/月) D --> D2(VPN:设置20 - 40小时,维护最多30小时/月) E --> E1(WAN:安全稳定,扩展性差) E --> E2(VPN:稳定性不足,扩展性好)

虚拟专用网络与广域网、远程访问的对比及安全考量

5. 大型网络中VPN与WAN的对比

大型网络场景下，广域网（WAN）和虚拟专用网络（VPN）在多个方面也存在显著差异：
-电信线路：
- 大型WAN需要大量带宽。要将多个中大型网络连接到大型企业网络，每个站点至少需要一个分帧T1线路。在中央网络，根据传入带宽需求，建议使用多个传入T1线路、单个T3线路或ATM连接。电信成本包括初始设置费、本地环路费（从本地电信中心办公室到各个站点的线路费用）和线路的定期转接费。选择帧中继连接可显著降低成本，但如果需要保证带宽，帧中继不是最佳选择，因为帧中继网络在“帧云”中竞争带宽，大多数连接不能保证端到端的全速运行。为了获得更可靠的带宽，更昂贵的选择是租用点对点连接。
- VPN也有类似的带宽需求。中央网络和各个卫星网络都需要高速连接到互联网以支持其传出流量。不过，这些连接通常是连接到本地互联网服务提供商（ISP），从而降低了本地环路费用，甚至可能降低线路的定期费用。应尽量保留易于升级的选项，根据网络的大小和活动情况，可扩展的分帧T1、T3或ATM连接是最佳选择。VPN的真正优势在于卫星办公室的连接选项多样，例如三个远程网络可以分别通过ISDN、分帧T1和全T1连接到互联网，这是WAN所没有的优势，因为WAN根据整个网络选择的解决方案，只有特定类型的连接可用。
-硬件/软件：
- 高速网络连接需要高端访问设备，这意味着初始投资和持续支持成本都很高。虽然路由器、集线器等设备不太容易出现故障，但从技术角度来看，它们的生命周期较短。例如，IP路由器在市场上大约两年就会因新版本的出现而过时。通过租用高速数据线进行多个远程网络连接需要高端IP路由器，如思科的2500系列路由器和Bay Networks的Access Router系列可以支持通过帧中继或点对点的多个分帧或全T1连接。对于更高带宽的连接，如分帧或全T3或ATM，思科的7500系列路由器或Cascade、Ascend或思科的各种运营商级交换机很常见。中央网络的设备成本可能高达数万到数十万美元，而卫星办公室的成本最多几千美元。当然，各种网络的带宽需求、硬件供应商和其他问题会影响这些估计。
- 对于VPN，连接设备同样由连接方法和速度决定。根据各个站点和中央网络的互联网连接情况，其模式可能与之前的WAN解决方案非常相似。但VPN在两个方面有所不同：服务器和ISP连接设备。根据所选软件，组织仅限于三种平台：
- 如果在连接的ISP端实施PPTP，组织的软件客户端仅限于Windows NT、Windows 95/98、Linux和Macintosh。如果在组织端实施PPTP，则必须同时获取客户端和服务器软件。服务器软件仅由Windows NT 4.0（服务器版或工作站版）或Linux版PPTP支持，但Linux版远不稳定。客户端与上述相同，限于Windows NT、Windows 95/98、Linux和Macintosh。
- 如果使用AltaVista Tunnel，服务器软件可用于Digital Unix或Windows NT，客户端仅适用于Windows NT、Windows 95/98或Macintosh。如果组织目前使用的平台不是这些，切换可能会带来比VPN好处更多的成本和麻烦。
- 最终选择是集成解决方案，如思科PIX防火墙或许多IPSec产品中的一种，著名的例子是CheckPoint Firewall - 1。集成解决方案完全避免了客户端平台的限制。
-系统管理：
- 大型网络中，主要问题与操作规模有关。每个卫星网络都需要一到两名全职网络管理员来支持初始WAN实施、持续运营和用户。订购和协调线路及设备、配置网络、排除故障、稳定网络和记录更改每月每个站点（包括中央网络）可能需要40小时或更多时间。在正常运营期间，持续的管理、支持、报告和其他职责每月需要160 - 200小时。如果出现问题，如连接失败或设备故障，这个小时估计会高得多。
- 大型VPN的管理在某些方面与WAN类似，但由于其依赖于互联网和多种软件平台，可能需要更多关注安全和ISP相关问题。初始设置时，同样需要进行大量的研究和培训，以确保VPN与组织的网络需求相匹配。在维护方面，虽然整体时间可能与WAN相近，但需要更专业的知识来处理加密、路由和不同平台之间的兼容性问题。

以下是大型网络中VPN与WAN对比的表格：
|对比项目|广域网（WAN）|虚拟专用网络（VPN）|
| ---- | ---- | ---- |
|电信线路|需要大量带宽，成本高，连接类型有限|带宽需求类似，但连接到本地ISP可降低成本，连接选项多样|
|硬件/软件|高端设备成本高，对设备更新换代要求高|连接设备取决于连接方式，软件平台选择受限或可通过集成解决方案避免|
|系统管理|每个站点管理时间长，问题处理复杂|初始研究培训多，维护需关注安全和ISP问题，需专业知识|

下面是大型网络中VPN与WAN对比的mermaid流程图：

graph LR classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px; A[大型网络] --> B{电信线路} A --> C{硬件/软件} A --> D{系统管理} B --> B1(WAN:高带宽,成本高,连接类型有限) B --> B2(VPN:连接ISP,成本低,连接选项多样) C --> C1(WAN:高端设备,成本高) C --> C2(VPN:设备取决于连接方式,软件平台有选择问题) D --> D1(WAN:管理时间长,问题处理复杂) D --> D2(VPN:初始研究多,维护关注安全和ISP)

综上所述，在选择广域网、远程访问服务还是虚拟专用网络时，需要综合考虑网络规模、电信线路成本、硬件/软件需求、系统管理难度以及安全、可扩展性和稳定性等因素。对于小型到中型网络，VPN在可扩展性方面具有优势；而对于大型网络，VPN在电信线路成本和连接选项上更具灵活性，但在硬件/软件选择和系统管理方面需要更谨慎的规划。在当今网络环境不断发展的背景下，了解这些网络解决方案的特点和差异，有助于做出更适合组织需求的决策。