主流VPN技术对比

lxsxyn

一直以来，VPN技术在企业网的发展过程中异常活跃。特别是近些年，随着企业安全意识的不断提高，各种VPN技术层出不穷，在企业信息安全建设中扮演着不可或缺的角色。

技术篇——细数VPN脉络
　　VPN技术发展很快，其中各种协议与加密算法种类繁多，对于企业来讲，理清技术脉络，辨明自身需求则更显重要。
　　按照微软公司的定义，虚拟专用网络(VPN)作为专用网络的延伸，它包含了类似Internet 的共享性或公共网络的连接性。VPN通过模拟点对点专用链接的方式，利用共享或公共网络在两台计算机之间发送数据。
　　从企业的角度看，VPN是对企业内部网络的扩展。VPN可以帮助企业的远程用户、公司分支机构、商业伙伴及供应商，同公司的内网建立可信的安全连接，并保证数据的安全传输。特别是近几年随着移动商业环境的发展，VPN可用于不断增长的移动用户的安全网络接入。
　　VPN的发展已经不再单单是一个网络安全问题，更多的情况下，它还牵扯到企业的业务问题。随着企业业务的不断发展，VPN可以使企业将精力集中到自己的业务拓展上，而不是网络上。例如对于金融机构来说，VPN可用于不断增长的移动业务需求，同时也可以满足企业网站之间安全结算的开展。
　　业务类型划分
　　截止到2005年，一些国内外主流研究机构仍习惯于根据VPN作用于业务的不同，将其区分为三大类:即VPDN(虚拟拨号专网)、内网VPN和外网VPN。
　　一般远程用户和企业内网之间的VPN连接，称为VPDN;在企业远程分支机构的局域网和企业总部内网之间的VPN，称为内网VPN;在供应商、合作伙伴的局域网和企业内网之间的VPN连接，称为外网VPN。
用户无论选择哪种类型，一个标准的VPN技术都必须提供:数据加密功能，确保公网信息传送的安全性;信息认证和身份认证功能，保证信息的完整、合法，并能鉴别使用者身份;访问控制功能，确保实现不同用户的不同访问权限。
　　协议类型划分
　　另外要强调的是，VPN技术主要基于隧道原理，目前在各种隧道加密协议上，出现了大量的分支。众多新型协议的“分庭抗礼”，恰恰成为了近几年VPN发展的亮点，这对于用户是件大好事。
目前主流的隧道协议包括了在数据链路层的PPTP、L2TP协议;在网络层的IPSec协议;在TCP层的SOCKs v5协议;在会话层的SSL协议。
　　PPTP/L2TP协议是微软公司(后者有Cisco的参与)提出来的，PPTP/L2TP已被嵌入到微软的操作系统中，用于微软的路由和远程访问服务。
PPTP/L2TP目前已经不是主流。因为它们没有提供内在的安全机制，端点用户需要在连接前手工建立加密信道，没有加密和认证支持，稳定性也很差，而且也无法穿越NAT，因此仅仅少部分微软用户还在使用。
　　IPSec是IETF支持的标准之一，它在网络层对数据进行加密。IPSec协议可以设置成在两种模式下运行:一种是隧道模式，一种是传输模式。IPSec可以对终端站点间所有的传输数据进行保护，而不管是哪类网络应用。同时，IPSec能够在不同局域网之间，以及远程客户端与中心节点之间，建立安全的传输通道，因此应用较广。

　  由于VPN环境中用户数据在被加密后仍然在公网上传输，因此加密技术非常重要，它直接影响到用户数据的安全。而IPSec在这方面是做的比较好的一种技术。IPSec VPN的主要缺点在于配置复杂，客户端需要安装复杂的软件，而且当用户数量增加时，IPSec VPN的管理难度将呈几何级数增长。因此，IPSec最适合可信的LAN到LAN之间的内部VPN使用。
SOCKs v5是建立在TCP层上的安全协议，其本身工作在OSI模型的会话层上，本身较为安全，但其要制定比低层协议更为复杂的安全管理策略。而随着SSL技术的兴起，目前SOCKs v5基本上趋于淘汰。
　　SSL VPN是目前较新的技术，而且随着B/S结构的流行，其发展大有赶超前者的意味。SSL对应OSI模型的会话层协议，这也注定了其与电子商务的关系最为密切。相对而言，SSL更加关注应用，其优势主要集中在VPN客户端的部署和管理上。因为它无须安装客户端，浏览器内嵌了SSL协议，在处理基于B/S结构的业务时，可以直接使用浏览器完成SSL VPN的建立。但对于非Web页面的文件访问，往往要借助于应用转换。
　　目前，有些SSL VPN产品所能支持的应用转换器和代理的数量非常少。但令人高兴的是，以江苏天益网络、深信服科技为代表的本土厂商已经可以很好地支持FTP、网络文件系统和微软文件服务器的应用转换。但SSL VPN并不能真正形成LAN对LAN的应用，其重心在于帮助企业进行应用层面的安全防护。
结构篇——IPSec对比SSL
　　作为目前最主流的两种VPN协议，IPSec与SSL的争论久矣，各自优劣与企业的需求相关联，用户不得不注意。
　　IPSec VPN占据主流
　　从目前的发展情况来看，IPSec VPN和SSL VPN势头较好。事实上，企业在采购和使用过程中，基于上述两种隧道协议的产品也是应用较多的。
　　从体系结构上分析，IPSec VPN通过选择特定的安全协议，在IP层提供安全服务，同时协议会确定服务所用的算法，为提供所需的业务增加加密密钥。IPSec能够在一对主机、一对安全网关或主机和安全网关之间保护一条或多条隧道。
本质上IPSec是为提供两个设备间的安全IP 通路而指定的一系列协议。因此王景辉的看法是，IPSec VPN是基于设备的，而不是基于网络的，企业用户无须对路由器进行额外的配置。IPSec VPN可以在主机或站点之间通过安全网关实现。
　　IPSec提供了两种不同的模式来传输加密数据:传输模式和隧道模式。一般传输模式只用于两台主机之间的安全通信。
　　相对而言，隧道模式更适合企业使用。因为隧道模式用在网关到网关的会话或主机到网关的会话之中。它为会话提供唯一的加密通道，为整个IP包提供保护。IPSec整个协议在IP层上实现，上层应用可不必进行任何修改，并且由于IPSec在实现安全策略上的灵活性，使得对安全网络系统的管理变得简便灵活。然而，如果要一个大的点对点的企业网远程接入VPN，则其中的主机都必须被单独配置，这对企业应用VPN带来了巨大的压力，并且VPN的配置是相当复杂的，牵一发而动全身，小的失误也可能带来严重的后果。
企业用户需要注意的是，IPSec的安全性更多体现在原理本身。换句话说，相对于加密技术，攻击者可能更热衷于在用户和用户之间的VPN两端建立站点。另外，如何杜绝病毒在IPSec VPN内部跨网传播始终是一个挥之不去的问题。若要杜绝此类问题，只能有赖于防毒机制的设计了。

　　SSL VPN正值壮年

　　相对而言，SSL是对计算机之间整个会话进行加密的协议。SSL VPN采用当前广泛使用的工业级安全套接层协议SSL，无须安装客户端软件，授权用户能够从任何标准的Web浏览器和互联网连接安全地接入网络资源，包括PC、笔记本电脑和移动设备，从而安全可靠地获取信息。王景辉表示，由于安全与历史的原因，SSL在Internet上广泛用于处理ERP等较为敏感的信息。
　在SSL中，采用了公开密钥和专有密钥两种加密模式。在建立连接过程中采用公开密钥，在会话过程中使用专有密钥。加密的类型和强度则在两端之间建立连接的过程中判断决定。通常服务器来完成对客户机的身份验证。
　　在每个SSL会话中，会要求服务器完成一次使用服务器专用密钥的操作和一次使用客户机公开密钥的操作。由于大部分系统都使用RSA加密法，每次操作都需要完成模数算法下的指数运算。通常选择的公开指数为小数，以减少要做的工作。因此，一次SSL会话只要一次加密运算即可。
　　对企业来说，将SSL技术与标准的VPN结合起来，可以让企业员工或者外部合作伙伴使用浏览器访问支持Web的数据。企业将SSL VPN作为一种服务对外提供，既不需要在服务器上安装SSL安全装置，也不用买SSL软件。 因此，企业可以利用SSL VPN降低成本，特别是其大规模部署很便宜。
　　一般来说，SSL VPN的使用者基本上不需要IT部门过多地支持，只要从其PC机上的浏览器向公司内网注册即可。而SSL连接本身也较IPSec更加稳定，不容易中断。
　　另外， SL VPN可依不同软件应用，帮助企业用户进行权限控管，因此只要配置适宜，企业内网的资源是可以得到更高程度的保护的。特别是目前的SSL VPN大多支持多重身份认证技术。对于用户而言，一种方式是只要单一身份签入，即可访问内部不同资源，VPN服务器可以负责解决权限的问题;另一种方式是不同资源必须要有不同身份认证，企业网管有很大的空间可以调适。这两种情况都会发生，以适应不同的用户需要。对于企业而言，SSL VPN先天具有的弹性，的确安全方便。
另类与前瞻
　　也许有人会问，目前主流VPN协议是否还少了一个，不错，说到VPN中的另类，MPLS VPN确实有必要分析一下。
　　MPLS VPN的特点是其提供了服务等级协议SLA。但要注意的是，MPLS VPN不提供加密、认证等安全服务。因为MPLS VPN主要是用于建设全网状结构的数据专线，提供局域网互联的QoS保证。
　　一般来说，企业采用IPSec技术建立VPN，当企业对网络带宽、QoS有更高要求时，可以进一步布署MPLS VPN。但是MPLS VPN需要企业能够配置OSPF或BGP，以便在VPN中传递路由信息，这对企业的技术力量要求较高。
　　另外Cisco的专家预测，下一代VPN可能会配置目录服务器，主要用于存放用户的信息和网络配置数据，在提供更好的控制能力基础上，也会进一步模糊内网与虚拟专网之间的界限。
　　同时，在IPv6的条件下，VPN需要对其信息包与信息流进行更好地服务控制。此外，利用CA认证的方式进一步确保VPN的安全性也在研究之中。
　　除了技术上的发展，VPN的整合也在逐渐浮出水面。特别是随着UTM的出现，将VPN更好地与UTM融合，甚至实现多功能和全功能的VPN网关都有可能。有人认为这种趋势体现了后网关时代的来临，即要求硬件网关多功能一体化。
　　不过张桢岩表示，利用UTM整合VPN技术难度较高，若要每个功能都做好，是有相当难度的。另外，他也觉得随着VPN越来越普及，产品要能支持的用户也在增加，这对于核心处理器的负担也越来越大，所以这类产品的核心处理器面临很大的挑战，尤其是要以UTM的方式发展产品。而对于SSL VPN，必须针对不同的平台及应用开发，对于厂商而言是很沉重的负担，除非能得到资金有效回收，否则一般的产品支持应用有限，这是开发SSL VPN厂商的困境。最后是加解密技术的效能，随着加解密技术的进度，需要更大的运算能力，这部分单靠软件是解决不了的。

jklm605

詹姆斯揭秘为何离开骑士 老板诋毁让他心安理得
2010-08-18 01:05:11　来源: 网易体育　跟贴 268 条 手机看赛事
在九月号的《GQ》杂志上，詹姆斯接受了专访，他说不排除未来重返克里夫兰打球的机会，他承认他从小就不喜欢克里夫兰，而老板在他离开之后的诋毁，会成为他的动力……

网易体育8月18日报道：

詹姆斯日前接受了时尚杂志《GQ》的专访，在访谈中他表示不排除未来有朝一日重返克里夫兰效力的机会，但他承认他从小就不喜欢克里夫兰，这也揭开了皇帝为何不愿留在骑士的原因。同时骑士队老板吉尔伯特发表的那封致球迷们的公开信只会让他更加心安理得，会成为激励他和热队新队友们在新赛季面对老东家时的动力。
这一次的专访将会刊登在九月号的杂志上，在接受莫赫林格的采访时，詹姆斯表示“如果我能有机会回到克里夫兰，球迷们也能欢迎我回去，那么这将是一个美好的故事。”

当詹姆斯在7月9日宣布作为自由球员的他将离开骑士队加盟热队后，骑士队的老板吉尔伯特随即发表一封公开信，对于这封信，詹姆斯说：“我不觉得他曾经在意过勒布朗，我母亲常对我说，‘当人处于困境时，你将会看到他的闪光点。’我和我的家人终于看到了这个人的真正面目。”

“他所做的一切只会让我感觉更舒坦，我觉得自己做出了一个正确的决定。”詹姆斯补充说。

莫赫林格在19天里三次采访了詹姆斯，两次是在他宣布决定前，还有一次是在他宣布去向之后。这期间詹姆斯的动向惹人注意，但在7月9日公布后，他遭到了不少质疑，詹姆斯透露他不会因为外界的态度而改变如何做出决定，或者是改变他所说的话。

面对《GQ》杂志的采访，詹姆斯说：“我清楚因为自己的决定，克里夫兰会有许多人感到很受伤，但同时这也是成长中需要经历的事情。我和我来自阿克伦的朋友们并不是一直喜欢克里夫兰，阿克伦要在克里夫兰南边40英里。”

“这并不远，但实际上也很远，”詹姆斯继续说道，“克里夫兰人，因为他们是来自更大城市的孩子，在我们小时候，他们会瞧不起我们。事实上，我们并不喜欢克里夫兰，在长大的过程中我们讨厌克里夫兰，时至今日，我们仍讨厌一些克里夫兰人。”

詹姆斯在采访中重申了他对阿克伦的感情。“夏天的大部分时间我还会留在这里，”他对记者说道，“这里是我的家，俄亥俄的阿克伦是我的家，我一直属于这里，我仍会在我的高中进行练习。”

同时，詹姆斯提到克里夫兰的球迷们非常好，但他不会收回上赛季末段所说的自己宠坏了一批人的言论。

“我喜爱我们的球迷们，克里夫兰的球迷们棒极了，”詹姆斯继续说，“不过我的意思是，由于我在赛场内外所做的事，即便我的家人也被宠坏了。”