首页 理论教育 IPSecVPN的不足及解决方案

IPSecVPN的不足及解决方案

时间:2023-10-27 理论教育 版权反馈
【摘要】:最早出现的具有加密功能的VPN是IPSec VPN。这就导致IPSec VPN的使用会受到网络出口处防火墙配置的影响。这给IPSec VPN的网络互联性带来了很大的不确定性。在这种场合,IPSec VPN需要在用户的计算机上预先安装一个VPN客户端,并进行相应的配置。IPSec VPN处理的是IP层报文,应用层的数据对IPSec VPN是不可见的,所以IPSec VPN无法实施对应用层协议的细粒度控制。

IPSecVPN的不足及解决方案

最早出现的具有加密功能的VPN是IPSec VPN。虽然IPSec VPN简单高效,但在实现远程接入时存在以下一些弱点:网络的互联性不好、客户端使用和维护困难、访问权限管理粒度较粗。

这种VPN采用IPSec协议在Internet上建立加密隧道,由于实现起来简单高效,所以应用得比较广泛。但是随着应用的不断深入,IPSec VPN也暴露出了一些问题:

1.网络互联性不好

IPSec协议对所传输的IP报文首先进行加密,然后再增加一个新的IP头,其目的地址和源地址分别是目的网关和本地网关的IP地址。新增IP头的后面就是加密的数据。如果传输的是TCP报文,则报文的目的端口号和源端口号都被封装在加密数据中,无法被途中的网络设备所识别。

在实际组网应用中,这个特点容易导致如下问题:

(1)IPSec报文无法通过NAT(地址转换)进行正常的传输 网络设备一般采用PAT(PortAddress translation)模式实现地址转换功能。进行PAT操作时,需要修改报文的源IP地址和源端口号。在对IPSec报文进行这一操作时,就会把IPSec报文IP头后面的加密数据破坏,从而造成接收方解密失败,中断IPSec报文的传输。虽然后来产生了NAT穿越的解决方案,可以实现对IPSec报文进行正常的地址转换而加密报文却不受到影响,但是目前网络上仍有很多IPSec VPN网关并不支持此项功能,从而导致IPSec报文在通过NAT时仍经常出现问题。

(2)IPSec报文经常被防火墙过滤掉 因为防火墙一般主要监控TCP/UDP报文的传输,出于安全性考虑,对其他种类报文的传输通常都会限制。所以防火墙一般不会为IPSec报文的通行进行特殊的配置。这就导致IPSec VPN的使用会受到网络出口处防火墙配置的影响。如果一个用户想在酒店里使用IPSec VPN连接远程网络,则需要酒店网络出口处的防火墙允许IPSec报文通过。这给IPSec VPN的网络互联性带来了很大的不确定性。(www.xing528.com)

2.客户端维护和使用困难

目前越来越多的用户通过VPN进行移动办公或家庭办公。在这种场合,IPSec VPN需要在用户的计算机上预先安装一个VPN客户端,并进行相应的配置。以后升级客户端的版本时,需要给每台计算机重新安装配置一遍。所以安装和维护VPN客户端对于VPN网络的管理者来说是一件比较麻烦的事。另一方面,目前计算机中使用的操作系统种类很多,有Windows,Linux,Mac等;而同一种操作系统也有不同种类的版本,不同版本的操作系统提供相应客户端软件,这不但会导致VPN客户端的稳定性不高,也增加了VPN客户端的维护工作。

3.访问权限管理粒度较粗

在通过远程接入访问网络内部的时候,由于用户身在异地,其身份的真实性不能得到保证。

另外,远程计算机也不受内网管理系统的控制,其安全性也不能得到保证。这使得远程接入的使用给内部网络的安全性带来了一定的威胁。所以VPN网关应该对远程用户的访问权限进行细粒度的控制,以防网络入侵发生时整个内网受到大范围的破坏。IPSec VPN可以实现本地主机与远程网络之间IP层的互联,VPN连接建立后,用户就可以访问远程内部网络中的任何联网设备了。IPSec VPN处理的是IP层报文,应用层的数据对IPSec VPN是不可见的,所以IPSec VPN无法实施对应用层协议的细粒度控制。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈