随着中国网络环境的日益复杂,企业、行业规模日益扩大,分支机构日益扩展、客户分布日益广泛,合作伙伴日益增多,
基于本地的专线接入方式的传统企业和行业网络,
已经难以适应当今大中规模企业和行业用户的需求,
广大用户对于其自身网络接入的接入灵活性、通信安全性、网络扩展性以及经济成本等方面的要求越来越高。
表1 IPSec VPN Vs SSL VPN
虚拟专用网(VPN,Virtual Private Network)的出现,在降低成本的同时为对于网络带宽、接入和服务要求不断提高的用户提供了很好的解决方案,它通过Internet(一个公共网络)建立一条临时的穿越复杂公用网络的安全的隧道,可以帮助企业进行内部网络的扩展,使企业用户、公司分支机构、商业伙伴等能够远程与公司内部网建立可信的安全连接,并保证数据的安全传输。
VPN综合了传统数据网络的性能优点(QoS和安全)和共享数据网络结构的优点(简单、低成本),相比专线或者帧中继网络(Frame Relay)成本要低得多,基于其独具特色的网络方面的优势,VPN赢得了越来越多的企业用户和行业用户的青睐,成为了当今网络发展的一项趋势。
本次测试的VPN产品分成IPsec VPN和SSL VPN两大类,IPsec是一组开放的网络安全协议的总称,IPSec VPN产品基于网络层,End Station之间通信需在远程用户安装软件客户端,其在Site-to-Site的部署方式上的应用支持具有一定的优势,成为目前国内所应用的比较主流的VPN技术。SSL VPN产品采用标准的安全套接层(SSL)对传输中的数据包进行加密,从而在应用层保护了数据的安全性。它克服了IPsec的不足,无需在远程用户安装软件客户端,用户可通过任何Web浏览器访问企业网Web应用,灵活方便,降低了用户的总成本并增加了远程用户的工作效率。
两种不同VPN技术各具特色,IPSec VPN应用在站点到站点的安全通信,安全性非常高,而SSL VPN应用在站点到客户端的安全通信,应用非常方便灵活。
测试方法
本次测试由第三方评测机构“赛迪评测”与中国计算机报合作完成,赛迪评测利用国际先进的负载以及仿真测试设备,如Smartbits、Avalanche2500C、Reflector2500C等,可以对于网络与安全产品(包括路由器、交换机、防火墙、IDS、VPN、安全网关、反垃圾邮件等)的网络性能和应用性能进行综合而详细的评估,也对于各类IT产品进行全面或具有一定针对性的技术测试,另外,赛迪评测也拥有如Abacus的语音测试仪器对于VoIP的通话质量进行综合的评估。除产品技术测试业务之外,基于先进的网络系统测试设备以及模拟仿真平台优势,赛迪评测还完成一些政府机关系统验收和信息安全评估以及对于大型行业(金融、保险)产品选型进行测试业务。
本次测试方法主要依照《赛迪评测VPN产品测试规范》(第一版),所涉及的产品包括IPSec VPN和SSL VPN 两类VPN产品。每类产品测试分为三部分:管理功能、基本功能和安全性。具体测试方法及内容如下:
1.IPSec VPN
1.1 功能测试
功能测试包含两大部分内容:管理测试和基本功能测试。产品中如果有基本功能中未涉及到的特色功能,可根据用户的要求增加测试项目。管理测试主要包括管理方式、管理分级、管理认证、系统升级、日志管理等9项。基本功能测试主要是考察IPSec VPN产品的密钥管理中心、加密算法、认证算法、密钥交换方式、NAT穿越、隧道监控、双机热备等15项常用功能。安全性测试主要测试其具有的安全措施、日志审计和灾难恢复3个方面。
1.2 性能测试
IPSec VPN的性能测试主要进行了隧道容量、隧道新建速率及单条隧道传输能力的测试。
IPSec VPN的隧道容量和新建速率是采用Smartbits 6000B及IPSecVPN专用测试软件Tear VPN 4.0,主要目的是考察VPN产品在采用DH-2/3DE/MD5/算法时的性能,模拟出来的一个网关与被测设备之间建立的隧道,认为是一条隧道。
在对IPSec VPN产品进行单条隧道下传输能力测试,是由参测厂商提供2台同等型号的被测设备,依然采用DH-2/3DE/MD5/算法,建立一条隧道,采用Smartbits 6000B及Smart Flow模拟100个客户通过该隧道访问隧道另一端的一台固定服务器的过程,测试时间为120秒。在选用包长度时,采用了64、128、256、512、1024、1280、11518(字节)七种包长度,考虑到数据包经过重新封装时,1518字节的数据包产生分片,因此加入1400字节。所测试的结果为重新封装前的数据,因此产品的实际传输能力略大于测试值。
2 SSL VPN
2.1 功能测试
功能测试包含管理测试和基本功能测试。产品中如果有基本功能中未涉及到的特色功能,可根据用户的要求增加测试项目。管理测试主要是验证SSL VPN产品在管理方式、管理分级、管理认证、系统升级、日志管理等8项。基本功能测试主要是考察SSL VPN产品在接入方式、认证方式、双机热备、灾难恢复、安全性等一些常用功能。安全性测试主要测试其具有的安全措施、日志审计和灾难恢复3个方面。
2.2 性能测试
对于SSL VPN 产品,我们基于具体应用的背景流量进行了仿真测试,选择了一些SSL VPN产品比较重要的性能指标,包括SSL VPN能够维持的最大并发用户数、最大新建用户数以及网络流量带宽测试。
SSL VPN测试,主要根据用户实际使用,使用HTTP协议,以用户通过SSL VPN访问受保护的服务器,以测试其网络性能的优劣(全部采用串路网关式接入)。采用先进的可模拟完全用户/浏览器行为的测试仪器Avalanche 2500、Reflector2500及其最新版本Avalanche Commander 7.02软件作为测试平台, 测试中,并发用户数和新建用户数时为防止带宽成为瓶颈,均采用1024字节的小文件。测试网络流量带宽时全部采用1024K字节的大文件。
测试设备介绍
Smartbits是数据网络测试平台,可以测试、仿真、分析、开发和验证网络基础设施并查找故障。从网络最初的设计到对最终网络的测试。
TeraVPN 可以利用IP-VPN 协议真实地测试控制层并用面向连接(HTTP 与无连接(UDP)传输流真实地测试数据流。
TeraVPN是测试IP-VPN网络性能的测试解决方案。利用SmartBits TeraMetrics 架构和来自SSH 的IPSec 协议栈,TeraVPN 也是确定VPN 对传输数据真正影响的集成解决方案。
TeraVPN主要测试IPSec VPN网关,测试具有IPSec功能的路由器,可以测试并发IPSec VPN隧道的数目(Tunnel Capacity)、隧道建立的速率(Setup Rate)、数据传送速率、对单个隧道进行建立分析。
Avalanche&Reflector2500是专用的网络应用层仿真及性能测试仪器,可以产生真实的网络和用户数据流,可以利用各种变量(如用户的会话数、每秒新用户的会话数、事务处理数、每秒事务处理数、连接数或每秒连接数)进行负载设定,模拟真实的用户流量对服务器进行访问,测试服务器的网络性能。它可以产生与实际网络web服务器访问请求相同的请求模型,模拟多个Web服务器、应用服务器和数据库服务器,支持FTP、POP3、SMTP、RSTP/RTP、SSL,Capture_Replay多种协议。
VPN技术介绍
用户在选购和使用VPN以前,要先掌握一定的VPN只知识,只有在了解了VPN的基本原理、实现方式,才能为自己的网络选择最适合的产品,并使其发挥出最大的效能。最后,我们针对IPSec VPN和SSL VPN在应用时的不同做了简要的对比。
IPSec VPN
IPSec VPN是基于IPSec 协议建立的虚拟专用网络。IPsec中有两个独立的用于安全传输数据的协议:“Authentication Header”(AH) 和 “Encapsulating Security Payload” (ESP) 。AH为数据流提供数据完整性认证的服务。ESP为所传输数据提供加密和数据完整性认证的服务。
IPSec协议通过AH和ESP协议对传输的数据提供完整性认证和加密的安全服务。在密钥的获取方面,IPSec提供了IKE协议,使通讯的双方能够通过安全的自动协商获得相同的密钥。
Transport Mode 将原IP包中的数据部分进行封装,从而提供了端对端的安全连接。Tunnel Mode 封装整个IP 包 ,从而建立网关到网关间的安全的虚拟的一跳(hop)。我们经常利用tunnel mode建立跨越Internet区域的连接两个网关的隧道,从而组成传统方式的VPN。
传统形式的VPN采用ESP协议并工作在Tunnel模式的IP Sec VPN, 这种形式的VPN被广泛地使用在企业中,用于安全连接位于异地的企业计算机资源,同时,也是我们测试的IP Sec VPN 所基于的形式。
传统形式VPN工作原理
·Host1将包发给Gateway1。Host1到Gateway1之间的通讯可以是没有安全保护的。
·Gateway1(路由或防火墙)收到Host1发来的包,VPN进程为收到的包加入新的header,其中源地址:Gateway1; 目的地址:Gateway2,加密发出。
·两地之间通过Gateway1-Gateway2的虚拟的专有通道(Tunnel)进行通讯。
·Gateway2收到 Gateway1发来的包,认证,解密,去掉最外层的Header,转发给Host2。
从企业用户的角度看,数据报从Gateway1到Gateway2只经历了一跳,这是因为原数据报的包头被封装在新的包头之内,TTL 由Gateway1到Gateway2只减了1,就好像没有穿越Internet,而是一直在私有网络里传输一样。
从黑客角度来看,因为加密的缘故,黑客无法知道通讯两端的内容,甚至通讯所使用的上层协议,如TCP还是UDP,都无法知道。并且真实地址被封装并加密,黑客也无法知道实际是哪两台机器在通信。另外,因为无法通过完整性认证的包将被网关丢弃,篡改包的内容也是没有任何意义的。
在IPSec传送加密数据之前,IPSec通讯的双方需要配置相匹配的用于安全通讯的参数,如加密算法及密钥等。这可以通过手工配置,或使用IKE协议进行协商获得。IKE协议是用于IPSec通讯的双方相互认证及协商安全通讯参数的一系列消息的交换。协商的内容包括:通信将使用的加密算法和认证算法,密钥长度和密钥的有效期等,并且最终双方通过Deffie-Hellman算法得到共知密钥等。
IPSec协议支持的数据加密算法包括DES, 3DES和AES等,支持的完整性认证算法包括:MD5,SHA-1,H-MAC等。
SSL VPN
SSL VPN是一个基于SSL 协议的远程访问企业资源的安全方案。SSL VPN提供对所传送的数据的加密,认证,和发送源的身份认证。由于SSL是运行在TCP/IP协议栈中TCP协议之上的, SSL VPN提供对基于TCP协议的应用程序的通讯的安全保护,并且实现了不同用户对于不同应用程序的访问控制。由于SSL协议已被集成入大部分的浏览器中,如:IE, Netscape, Firefox等,因此在几乎任何有Internet接入的计算机上都可以通过SSL VPN对公司资源进行安全访问,包括在网吧,家里,机场或咖啡馆里的无线hotspot等地。
SSL 协议简介
SSL (Secure Socket Layer)又称套接字,是一个运行在原TCP/IP协议栈Transport(传输层,第4层)和其上应用层(5-7层)之间的安全协议 ,所以有时又说它是一个4.5层协议。SSL提供的安全服务包括:数据加密,数据认证,以及数据发送源的身份认证等。基于SSL和http技术, HTTPS 服务器工作在443端口,提供安全的web服务。类似的,FTPS工作在990端口,提供安全的文件传输,TELNETS工作在992端口,提供安全的远程登录。
SSL VPN工作原理
1.用户首先请求同SSL VPN连接并输入用户名、密码。
2.企业的后台身份认证服务器将检验用户提供的证书。
3.此后含有用户可访问资源列表的页面将返回给用户,通过该页面用户可访问这些资源。
4.用户点击页面上的链接以请求这些资源。
5.SSL VPN 代理用户发来的请求,将这些请求进行URL翻译和协议翻译 (如https到http的翻译),并发给后台相应的资源服务器。
图5 传统VPN工作原理图
