帳號:
密碼:
最新動態
產業快訊
CTIMES / 文章 /
VPN軟硬體技術建構要點
Home Gateway家用閘道器

【作者: IDT】   2003年05月05日 星期一

瀏覽人次:【4865】

現在有越來越多用戶利用虛擬私有網路(VPNs)來傳輸一些重要、敏感的資料,因為VPN可以安全地連結一處以上的遠端位置,而且成本低廉。VPN目前有二大主要用途。第一,用VPN來替代昂貴的E1、T1專線,以連接二地辦公室。第二,透過電腦終端與辦公室連線的電子通勤者也利用VPN來連線工作,就好像是連接到區域網路(LAN)一樣。


虛擬私有網路介紹

設置VPN即是設置VPN閘道和VPN用戶端二處間的「通道」。二處共用一組加密和解密的代碼或「密鑰」。透過VPN傳輸的資料受到加密保護,只有握有正確密鑰的人才能讀取。而網路另一端的授權使用者則有權解密,可以存取該資料。


(圖一)是基本的VPN架構圖,VPN機盒位於企業網路的邊緣,或是家用網路中(電子通勤者),一邊連接WAN,另一邊則是連接LAN。二邊都是透過乙太網路連接,最高連線速度為全線速。介面和安全引擎之間的基本軟體和路由器資料封包都是經由中央處理器(CPU)來運作。安全引擎負責VPN機盒中大部分的處理作業。


《圖一 VPN架構圖》
《圖一 VPN架構圖》

低階VPN裝置

低階VPN市場的用戶包括電子通勤者、遠距辦公室和SOHO族(個人工作室)。這類裝置所需要的總吞吐量為1到10Mbps,可供應1到10位使用者使用。一般而言,這類系統包括二組乙太網路埠,一組通過介面連到WAN,一組連到LAN。低階VPN裝置的選購考量通常在於價格、使用是否容易,以及其可配置性。


中型VPN 裝置

中型VPN辦公室多為中小型企業的分支處所使用。這類裝置需要10Mbps到數百Mbps的頻寬,使用人數少至10位,多達數百位。企業CPN屬於這類裝置的高階用戶。中型VPN裝置的選購考量主要是在特定成本限制下所能達到的效能。


整合機盒

雖然今日的VPN功能是設計在獨立機盒中,相信再過不久,VPN的功能將可以和乙太交換機、家用和企業閘道器、無線存取器等其他機盒整合在一起。


另外,VPN/防火牆的硬體選擇是以效能和連接性為主。


VPN效能需求

由於網路安全軟體的發展日新月異,VPN設計人員每天都要面對日益提高的效能需求。防火牆和其他安全協定要不斷進步才能跟得上駭客的腳步,因此VPN應用也得要把因應這些需求所必要的硬體包含在內。


舉例而言,企業VPN需要效能更好的安全加速器,如此一來,該裝置才能支援更多VPN通道,處理更高的資料存取量。此外,系統為了進行封包分類任務、防火牆和網路入侵檢測,因而必須大幅提高CPU核心的效能。由於軟體不斷改變,設計人員也無法確切得知未來的需求走向,因此在選擇硬體時,必須選擇彈性空間大,以便處理目標用戶可能面臨的潛在功能。大部分科技產業的公司都在想辦法降低硬體的成本,因此選購時必須同時考量到效能與成本二大因素。


另一個會影響到效能需求的要素是同時使用的用戶人數。用戶人數一增加,處理器的需求也跟著提高,才足以處理增加的VPN安裝、拆卸連線,並維持較高的用戶累積存取量。


設計人員可以採用雙晶片解決方案,來支援因使用者人數增加或是應用程式需求而提高的效能等級,所謂「雙晶片」,是包括一組一般用途的CPU和一組外部安全加速器。另一方面,有些應用程式的效能需求很低,使得系統可以執行軟體中的任何程式,甚至加密運算也沒問題。在這種情況下,整合處理器是比較實用的選擇。稍後會進一步談到雙晶片方案和整合單晶片方案。


VPN連接需求

除了效能之外,設計人員在選擇硬體時也要考慮到機盒的連接類型。連接方式包括廣域網路(WAN)埠、LAN埠、隔離區(DMZ)埠、無線埠和周邊埠,例如PCI匯流排和USB。設計人員必須決定要提供哪些連接選擇,以及每種連接類型有幾個埠位。到目前為止,VPN機盒的連接安裝尚未有標準。然而,高速乙太網路(GbE)應該是VPN應用中的必備要件,因為GbE是標準的乙太網路連接,因此也可能會成為VPN連接的基本標準。


整合式vs.雙晶片解決方案

雙晶片解決方案

雙晶片解決方案運用到二種主要裝置,整合處理器和分開的安全協同處理器。一般而言,安全處理器會使用PCI介面來作為二種裝置間的連線通道。雙晶片解決方案的最大優點就是彈性空間很大。顧客可以設計一個平台來提供某種系統功能,例如使用者人數、乙太網路或是修改其中一項元件,來支援系統需求。


整合式單晶片解決方案

整合式單晶片解決方案是集安全協同處理器、I/O連接和管理CPU於一體的單一晶片。這種裝置的成本較低,但是省錢的代價就是要犧牲系統的彈性。設計人員如果要選擇單晶片,又想兼顧到系統彈性的話,可以選擇效能較高的CPU核心和支援目前與未來安全演算規則的安全引擎。


至於要選擇整合式單晶片解決方案或是雙晶片解決方案的問題,則可以根據連結所需要的頻寬以及同時要提供多少使用者使用來決定。如果頻寬超過50Mbps的話,則建議使用具備一般用途處理器和外接安全協同處理器的雙晶片解決方案;如果頻寬低於50Mbps,而同時使用人數超過100人,還是建議使用雙晶片解決方案。如果頻寬低於50Mbps,且同時使用人數不到100人,則單晶片解決方式是較為實際且符合成本效益的選擇。


VPN應用的軟體選擇

選擇VPN應用的軟體比選擇硬體要複雜得多,因為市面上的軟體種類多不勝數。以下是設計人員在為VPN應用選擇軟體時,一定要考量到的關鍵要素。


嵌入式即時作業系統

設計人員要作的第一個決定,就是決定採用哪種作業系統。您可以採用標準OS,例如VxWorks、Linux或是廠商獨自開發的作業系統(proprietary OS)。耐用、可靠、符合成本效益也應該是考量的重點所在。


虛擬私人網路軟體

IP安全協定(IPsec)是目前最受歡迎的安全應用協定,它是一種公開標準的架構,用來加密與認證資料。IPsec採用全球通用的規格來建立公共網路上的VPN通道,以下認證、加密、雜湊標準皆符合IPsec。


IPsec利用IKE(網路密鑰交換)來產生認證鑰匙,這些認證鑰匙讓系統得以在VPN的任一端確認發送者的身分。


另外,加密是VPN安全的關鍵所在,是一種改變資料的方法,讓未經授權的人無法讀取資料。VPN接受端的使用者有權解密,解密後便可讀取資料內容。以往最受歡迎的加密協定是DES和3DES,這二種加密協定受到廣泛採用達數十年之久,但到了最近十年,它們變得很容易破解。由於漏洞百出,因此新的設計已經不建議使用DES加密演算法。在2000年10月,美國國家標準測試研究所(NIST)選用Rijndael加密演算法來取代DES加密演算法。「先進加密標準」(AES)是現在最新的選擇,未來也將成為企業網路的加密標準。


雜湊訊息身份驗證代碼(HMAC)透過加密或「雜湊」使用者的密鑰和訊息資料來提供多一層的防護作用。HMAC功能是用來認證與核對遭到變更的訊息。就像加密標準一樣,密鑰雜湊標準也在不斷演進中。傳統的雜湊演算和Message Digest version 5(MD5)已經被更安全的Secure Hashing Algorithm version 1(SHA1)演算法取代。MD5可產生128-bit的「訊息摘要」,而運算更密集的SHA1則可產生更大、更安全的160-bit訊息摘要。


防火牆軟體種類

防火牆的功能可以保護LAN、應用程式和服務,免受擅自或惡意之流量與使用者的侵擾。防火牆的功能可以設置為允許網頁通過公司網路伺服器,但拒絕從網路檔案伺服器來存取檔案的請求。正常來說,只要開啟或關閉對應協定的TCP埠,例如網路流量(HTTP)的埠80和檔案流量(FTP)的埠21,即可做到這一點。


現在最主要的三種防火牆技術包括封包過濾、應用程式代理和動態檢測。


封包過濾

封包過濾指的是,每一個資料封包的標頭在網路層就要接受檢驗。系統先建立一套存取控制規則,符合這些規則的資料封包才能進入網路,不符合規則的則不能進入。封包過濾式防火牆的缺點式非常容易遭受駭客入侵,安裝、維護都很困難,而且會造成系統性能降低。


應用程式代理與應用層閘道

應用程式代理或應用層閘道這類型的防火牆是內部網路與網際網路間的一道介面。防火牆管理員設定一套存取規則,然後應用程式代理則負責比對每一個封包和規則間的不同。核對過後,應用程式代理會產生一組新的要求封包與回應封包。雖然應用層閘道比封包過濾安全,但它在寬頻網路連線使用時,會嚴重影響到系統效能。就像封包過濾式防火牆一樣,應用程式代理也不容易安裝、維護。


動態封包檢測

動態封包檢測防火牆是目前最安全的防火牆技術,很快就取代了封包過濾和應用層閘道式防火牆。動態封包檢測防火牆先在網路層攔截封包,然後在應用程式層分析資料,藉此以確保網路的安全。在封包的安全過濾與資料放行進入網路方面,動態封包檢測防火牆也較其他二種防火牆嚴謹得多。相對於逐一分析各個封包資料的封包過濾防火牆來說,動態封包檢測防火牆也會檢驗連接的封包資料。藉由儲存與更新連接企圖(connection attempt)的資料,動態封包檢測防火牆更可準確評估接下來的連接企圖。


網路位址轉換(NAT)是第四種方法,雖然有些NAT應用程式也稱為防火牆,但它無法提供足夠的網路安全。NAT讓多位使用者可以利用同一個IP位址連接到網際網路上,但卻未提供防火牆所必需的監督功能。


防火牆軟體功能

VPN應用中的多數軟體都具有防火牆的功能。由於駭客越來越高明,防火牆的技術也必須跟上他們的腳步,才能確保使用者的安全。以下是設計人員在選擇防火牆應用程式時,必須要注意到的重要功能。


病毒防護功能可以保護網路,以免受到電腦病毒和其他惡意程式的侵襲。病毒是網路安全的頭號敵人,它可以透過電子郵件附檔、網路內容或受到感染的檔案,來傳染給上線的個人電腦。病毒會導致資料受損、電腦當機或是對系統造成其他不好的影響。


入侵偵測的主要功能是保護網路免受來自系統內部的攻擊,而非防止外來的駭客。通常這類惡意侵犯活動是由附在電子郵件上的病毒,或是擅自進入網路的不肖員工所造成。


內容過濾是一種新功能,需要效能卓越的VPN,它使用者自行控制哪些內容可以進入網路電腦,並將不受歡迎的內容封鎖在外。


第三方軟體廠商

第三方軟體廠商係供應VPN和防火牆應用程式套裝軟體的廠商,透過定期軟體更新,來保障顧客的網路安全。安裝VPN/防火牆應用程式的設計人員,可以考慮將這類第三方軟體整合到他們的系統中。


結論

VPN技術是未來Home Gateway的主要功能之一,在軟、硬體技術的整合之後將為使用者提供更方便的使用經驗與網路安全,硬體的整合難度並不高,軟體架構如何在兼顧完整的功能與使用便利性的考量下,得到最好的平衡點,是廠商最大的挑戰。


(作者任職於IDT艾迪特科技)


相關文章
BACnet/SC--讓建築技術如同網路金融一樣安全
工業通訊資安議題延燒
多路輸出可編程時脈簡化嵌入式多處理器設計
工業物聯網下的資安思維
GLOBALPRESS矽谷參訪報導(上)
comments powered by Disqus
相關討論
  相關新聞
» 豪威集團推出用於存在檢測、人臉辨識和常開功能的超小尺寸感測器
» ST推廣智慧感測器與碳化矽發展 強化於AI與能源應用價值
» ST:AI兩大挑戰在於耗能及部署便利性 兩者直接影響AI普及速度
» 慧榮獲ISO 26262 ASIL B Ready與ASPICE CL2認證 提供車用級安全儲存方案
» 默克完成收購Unity-SC 強化光電產品組合以滿足半導體產業需求


刊登廣告 新聞信箱 讀者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 遠播資訊股份有限公司版權所有 Powered by O3  v3.20.2048.18.191.162.73
地址:台北數位產業園區(digiBlock Taipei) 103台北市大同區承德路三段287-2號A棟204室
電話 (02)2585-5526 #0 轉接至總機 /  E-Mail: webmaster@ctimes.com.tw