VPN技術(shù)基礎(chǔ)知識_第1頁
VPN技術(shù)基礎(chǔ)知識_第2頁
VPN技術(shù)基礎(chǔ)知識_第3頁
VPN技術(shù)基礎(chǔ)知識_第4頁
VPN技術(shù)基礎(chǔ)知識_第5頁
已閱讀5頁,還剩24頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

VPN技術(shù)基礎(chǔ)目錄基本概念PKI基礎(chǔ)VPN技術(shù)介紹常見互連方案比較VPN的定義

VPN,VirtualPrivateNetwork(虛擬專用網(wǎng)絡(luò)),被定義為通過一個公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個臨時的、安全的連接,是一條穿過公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴展,它可以幫助異地用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。

VPN可以省去專線租用費用或者長距離電話費用,大大降低成本VPN可以充分利用internet公網(wǎng)資源,快速地建立起公司的廣域連接VPN的用途

1、使用VPN連接遠程局域網(wǎng)絡(luò)。

2、連接企業(yè)內(nèi)部網(wǎng)絡(luò)計算機

3、

采用VPN方案,既能夠?qū)崿F(xiàn)與整個企業(yè)網(wǎng)絡(luò)的連接,又可以保證保密數(shù)據(jù)的安全性。企業(yè)網(wǎng)絡(luò)管理人員通過使用VPN服務(wù)器,指定只有符合特定身份要求的用戶才能連接VPN服務(wù)器獲得訪問敏感信息的權(quán)利。此外,可以對所有VPN數(shù)據(jù)進行加密,從而確保數(shù)據(jù)的安全性。沒有訪問權(quán)利的用戶無法看到部門的局域網(wǎng)絡(luò)。VPN的基本要求

一般來說,企業(yè)在選用一種遠程網(wǎng)絡(luò)互聯(lián)方案時都希望能夠?qū)υL問企業(yè)資源和信息的要求加以控制,所選用的方案應(yīng)當既能夠?qū)崿F(xiàn)授權(quán)用戶與企業(yè)局域網(wǎng)資源的自由連接,不同分支機構(gòu)之間的資源共享;又能夠確保企業(yè)數(shù)據(jù)在公共互聯(lián)網(wǎng)絡(luò)或企業(yè)內(nèi)部網(wǎng)絡(luò)上傳輸時安全性不受破壞.因此,最低限度,一個成功的VPN方案應(yīng)當能夠滿足以下所有方面的要求:

·加密數(shù)據(jù),以保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會泄露。

·信息認證和身份認證,保證信息的完整性、合法性,并能鑒別用戶的身份。

·提供訪問控制,不同的用戶有不同的訪問權(quán)限。

PKI介紹PKI(Public

Key

Infrastructure)公鑰基礎(chǔ)設(shè)施是提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng)或平臺,目的是為了管理密鑰和證書。PKI是一種新的安全技術(shù),它由公開密鑰密碼技術(shù)、數(shù)字證書、證書發(fā)放機構(gòu)(CA)和關(guān)于公開密鑰的安全策略等基本成分共同組成的。PKI是利用公鑰技術(shù)實現(xiàn)電子商務(wù)安全的一種體系,是一種基礎(chǔ)設(shè)施,網(wǎng)絡(luò)通訊、網(wǎng)上交易是利用它來保證安全的。從某種意義上講,PKI包含了安全認證系統(tǒng),即安全認證系統(tǒng)-CA/RA系統(tǒng)是PKI不可缺的組成部分。對稱密碼算法非對稱密碼算法非對稱算法的應(yīng)用—數(shù)字簽名公鑰密碼體制在實際應(yīng)用中包含數(shù)字簽名和數(shù)字信封兩種方式。

數(shù)字簽名是指用戶用自己的私鑰對原始數(shù)據(jù)的哈希摘要進行加密所得的數(shù)據(jù)。信息接收者使用信息發(fā)送者的公鑰對附在原始信息后的數(shù)字簽名進行解密后獲得哈希摘要,并通過與自己用收到的原始數(shù)據(jù)產(chǎn)生的哈希哈希摘要對照,便可確信原始信息是否被篡改。這樣就保證了數(shù)據(jù)傳輸?shù)牟豢煞裾J性。哈希算法是一類符合特殊要求的散列函數(shù)(Hash)函數(shù),這些特殊要求是:

接受的輸入報文數(shù)據(jù)沒有長度限制;

對任何輸入報文數(shù)據(jù)生成固定長度的摘要(“數(shù)字指紋”)輸出;

由報文能方便地算出摘要;

難以對指定的摘要生成一個報文,由該報文可以得出指定的摘要;

難以生成兩個不同的報文具有相同的摘要。

非對稱算法的應(yīng)用—數(shù)字信封數(shù)字證書數(shù)字證書是各類實體(持卡人/個人、商戶/企業(yè)、網(wǎng)關(guān)/銀行等)在網(wǎng)上進行信息交流及商務(wù)活動的身份證明,在電子交易的各個環(huán)節(jié),交易的各方都需驗證對方證書的有效性,從而解決相互間的信任問題。證書是一個經(jīng)證書認證中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。

從證書的用途來看,數(shù)字證書可分為簽名證書和加密證書。簽名證書主要用于對用戶信息進行簽名,以保證信息的不可否認性;加密證書主要用于對用戶傳送信息進行加密,以保證信息的真實性和完整性。

簡單的說,數(shù)字證書是一段包含用戶身份信息、用戶公鑰信息以及身份驗證機構(gòu)數(shù)字簽名的數(shù)據(jù)。身份驗證機構(gòu)的數(shù)字簽名可以確保證書信息的真實性。證書格式及證書內(nèi)容遵循X.509標準。

PKI的核心—認證中心CA為保證網(wǎng)上數(shù)字信息的傳輸安全,除了在通信傳輸中采用更強的加密算法等措施之外,必須建立一種信任及信任驗證機制,即參加電子商務(wù)的各方必須有一個可以被驗證的標識,這就是數(shù)字證書。數(shù)字證書是各實體(持卡人/個人、商戶/企業(yè)、網(wǎng)關(guān)/銀行等)在網(wǎng)上信息交流及商務(wù)交易活動中的身份證明。該數(shù)字證書具有唯一性。數(shù)字證書認證中心(Certficate

Authority,CA)是整個網(wǎng)上電子交易安全的關(guān)鍵環(huán)節(jié)。它主要負責產(chǎn)生、分配并管理所有參與網(wǎng)上交易的實體所需的身份認證數(shù)字證書。每一份數(shù)字證書都與上一級的數(shù)字簽名證書相關(guān)聯(lián),最終通過安全鏈追溯到一個已知的并被廣泛認為是安全、權(quán)威、足以信賴的機構(gòu)-根認證中心(根CA)。

常見的VPN協(xié)議

1、點對點隧道協(xié)議(PPTP)

2、第2層隧道協(xié)議(L2TP)

3、安全IP(IPSec)隧道模式

4、SOCKSv5協(xié)議5、SSL協(xié)議各種VPN在OSI協(xié)議棧中的位置

SSLVPN

Socks5VPN

IPSecVPN

PPTP及L2TP應(yīng)用層物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層傳輸層會話層表示層PPTP和L2TP的特點

PPTP和L2TP都使用PPP協(xié)議對數(shù)據(jù)進行封裝,然后添加附加包頭用于數(shù)據(jù)在互聯(lián)網(wǎng)絡(luò)上的傳輸。盡管兩個協(xié)議非常相似,但是仍存在以下幾方面的不同:

1.PPTP要求互聯(lián)網(wǎng)絡(luò)為IP網(wǎng)絡(luò)。L2TP只要求隧道媒介提供面向數(shù)據(jù)包的點對點的連接。L2TP可以在IP(使用UDP),楨中繼永久虛擬電路(PVCs),X.25虛擬電路(VCs)或ATMVCs網(wǎng)絡(luò)上使用。

2.PPTP只能在兩端點間建立單一隧道。L2TP支持在兩端點間使用多隧道。使用L2TP,用戶可以針對不同的服務(wù)質(zhì)量創(chuàng)建不同的隧道。

3.L2TP可以提供包頭壓縮。當壓縮包頭時,系統(tǒng)開銷(overhead)占用4個字節(jié),而PPTP協(xié)議下要占用6個字節(jié)。

4.L2TP可以提供隧道驗證,而PPTP則不支持隧道驗證。但是當L2TP或PPTP與IPSEC共同使用時,可以由IPSEC提供隧道驗證,不需要在第2層協(xié)議上驗證隧道。

IPSec(InternetProtocolSecurity)的特點為實現(xiàn)在專用或公共IP網(wǎng)絡(luò)上的安全傳輸,IPSEC隧道模式使用的安全方式封裝和加密整個IP包。然后對加密的負載再次封裝在明文IP包頭內(nèi)通過網(wǎng)絡(luò)發(fā)送到隧道服務(wù)器端。隧道服務(wù)器對收到的數(shù)據(jù)報進行處理,在去除明文IP包頭,對內(nèi)容進行解密之后,獲的最初的負載IP包。負載IP包在經(jīng)過正常處理之后被路由到位于目標網(wǎng)絡(luò)的目的地。

IPSEC隧道模式具有以下功能和局限:

1.只能支持IP數(shù)據(jù)流

2.工作在IP棧(IPstack)的底層,因此,應(yīng)用程序和高層協(xié)議可以繼承IPSEC的行為。

3.由一個安全策略(一整套過濾機制)進行控制。安全策略按照優(yōu)先級的先后順序創(chuàng)建可供使用的加密和隧道機制以及驗證方式。當需要建立通訊時,雙方機器執(zhí)行相互驗證,然后協(xié)商使用何種加密方式。此后的所有數(shù)據(jù)流都將使用雙方協(xié)商的加密機制進行加密,然后封裝在隧道包頭內(nèi)。

Socks5協(xié)議的特點

Socks5的優(yōu)點:Socks5在OSI模型的會話層控制數(shù)據(jù)流,它定義了非常詳細的訪問控制。在網(wǎng)絡(luò)層只能根據(jù)源和目的IP地址允許或拒絕數(shù)據(jù)包通過,在會話層控制手段要更多一些。Socks5在客戶機和主機之間建立了一條虛電路,可根據(jù)對用戶的認證進行監(jiān)視和訪問控制。Socks5和SSL工作在會話層,因此能向低層協(xié)議如IPv4,IPSec,PPTP,L2TP一起使用。它能提供非常復雜的方法來保證信息安全傳輸。用Socks5的代理服務(wù)器可隱藏網(wǎng)絡(luò)地址結(jié)構(gòu)。如果SOCKS5同防火墻結(jié)合起來使用,數(shù)據(jù)包經(jīng)一個唯一的防火墻端口(缺省的是1080)到代理服務(wù)器,再經(jīng)代理服務(wù)器過濾發(fā)往目的計算機的數(shù)據(jù),這樣可以防止防火墻上存在的漏洞。SOCKS5能為認證、加密和密鑰管理提供“插件”模塊,可讓用戶很自由地采用他們所需要的技術(shù)。Socks5可根據(jù)規(guī)則過濾數(shù)據(jù)流,包括JavaApplet和ActiveX控件。

Socks5的缺點:因為Socks5通過代理服務(wù)器來增加一層安全性,因此其性能往往比低層協(xié)議差。盡管比網(wǎng)絡(luò)層和傳輸層的方案要更安全,但要制定比低層協(xié)議更為復雜的安全管理策略。SSL協(xié)議安全套接層協(xié)議(SSL,SecuritySocketLayer)是網(wǎng)景(Netscape)公司提出的基于WEB應(yīng)用的安全協(xié)議,它包括:服務(wù)器認證、客戶認證(可選)、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。對于電子商務(wù)應(yīng)用來說,使用SSL可保證信息的真實性、完整性和保密性。

主要適用于點對點之間的信息傳輸,常用WebServe。SSL(SecureSocketLayer)安全協(xié)議是目前網(wǎng)銀、電子商務(wù)中針對應(yīng)用交易信息安全采取的最基本的保護措施。主要是用于保護網(wǎng)上信息傳遞通道的安全,可以把它理解為一種"管道式安全",具有保密性、可靠性和服務(wù)器端可認證性。SSL協(xié)議的優(yōu)勢SSL

VPN不需要安裝客戶端軟件。遠程用戶只需借助標準的瀏覽器連接Internet,即可訪問企業(yè)的網(wǎng)絡(luò)資源。此外,SSL

VPN連接要比IPSec

VPN更穩(wěn)定,這是因為IPSec

VPN是網(wǎng)絡(luò)層連接,故容易中斷。除此之外,SSL

VPN還具有以下優(yōu)勢。

適用大多數(shù)設(shè)備:基于Web訪問的開放體系可以被任何運行標準瀏覽器的系統(tǒng)所訪問,包括非傳統(tǒng)設(shè)備,如可以上網(wǎng)的手機和PDA通信產(chǎn)品。

適用于大多數(shù)操作系統(tǒng):不管是Windows、Macintosh、UNIX還是

Linux,只要運行標準的瀏覽器,都可以支持SSL

VPN對企業(yè)內(nèi)部網(wǎng)站和Web站點進行訪問。

良好的安全性:SSL

VPN訪問的并不是網(wǎng)絡(luò)的真實節(jié)點,而是被代理的內(nèi)部資源,這種方法較為安全。

較強的資源控制能力:SSL

VPN為遠程訪問用戶提供較細粒度的資源訪問控制。

繞過防火墻和代理服務(wù)器:基于SSL

VPN的遠程訪問方案可以繞過防火墻和代理服務(wù)器訪問企業(yè)網(wǎng)資源,這是基于IPSec

VPN的遠程訪問很難做到的。SSL協(xié)議的缺點

依靠Internet進行訪問:遠程用戶的Web瀏覽器依靠企業(yè)的服務(wù)器訪問所有進程。如果Internet沒有連通,遠程用戶就不能與總部網(wǎng)絡(luò)進行連接,只能單獨工作。

有限支持Windows應(yīng)用及其他非Web系統(tǒng):大多數(shù)SSL

VPN都是基于Web瀏覽器工作的。雖然有些SSL提供商已經(jīng)開始合并終端服務(wù)來支持非Web應(yīng)用,但是目前大多數(shù)SSL

VPN方案還未正式提出全面支持。

此外,SSL

VPN是應(yīng)用層加密,性能比較差,需要使用加速裝置。

VPN替代方案DDNModem池撥號服務(wù)器托管DDNSe地通VPN與DDN專線的比較DDN專線

e地通VPN?需要投入專線初裝費及每個點路由器的費用?需要專業(yè)人員配置,安裝使用較復雜?長期的專線使用費?新增分支機構(gòu),需要增加租用專線?遠程移動用戶接入困難?不需任何硬件設(shè)備?客戶端免安裝,適合大規(guī)模實施?無需固定IP地址,任意方式接入Internet?新增用戶只序添加用戶授權(quán)?維護簡單e地通VPN與遠程撥號的比較遠程撥號接入

e地通VPN?每次使用需要支付長途話費?只能使用Modem撥號接入,速度較慢

?需要設(shè)置專用的遠程撥號接入服務(wù)器

?一條電話線同時只能支持一個用戶接入?穩(wěn)定性差

?使用時只需接入Internet,不增加其它費用

?任意方式接入Internet,速度等同于接入速度

?無需增加任何硬件設(shè)備

?支持多個用戶同時接入

?穩(wěn)定性好e地通VPN與服務(wù)器托管的比較服務(wù)器托管

e地通VPN?長期繳納服務(wù)器托管費用?所有用戶、包括總部用戶都必須通過Internet訪問服務(wù)器,整體速度較慢

?用戶名和密碼容易泄漏,安全性不高

?難以完整解決遠程互聯(lián)問題

?服務(wù)器不在總部,維護不便

?一次性軟件費用,支持動態(tài)IP地址

?服務(wù)器仍然放在公司總部,只有駐外用戶通過Internet訪問,整體效率高

?獨有的加密方案,安全性高

?擴展性好,解決所有遠程互聯(lián)問題

?服務(wù)器在總部局域網(wǎng)內(nèi),維護方便

e地通VPN與動態(tài)域名的比較動態(tài)域名解析e地通VPN?需要長期交納服務(wù)費用?網(wǎng)絡(luò)尋址安全性不高?第三方服務(wù),會產(chǎn)生依賴性?穩(wěn)定性差?一次性投資,只需要一次購買一套軟件即可?實現(xiàn)安全的網(wǎng)絡(luò)尋址?可以建立完全屬于客戶自己的互聯(lián)系統(tǒng)?穩(wěn)定性高e地通VPN與MPLSVPN的比較MPLSVPNe地通VPN?需要投入每個點的硬件設(shè)備費用

?需要專業(yè)人員配置,安裝使用較復雜

?需要長期的服務(wù)費用?擴展性差,依賴于服務(wù)供應(yīng)商?不支持移動用戶?一次性投資,只需要一次購買一套軟件即可?安裝使用簡單,維護方便?擴展方便,適應(yīng)于各種網(wǎng)絡(luò)結(jié)構(gòu)?支持遠程移動用戶方便接入e地通VPN與PPTP/L2TPVPN的比較PPTP/L2TPVPNe地通VPN?安全性差

?網(wǎng)絡(luò)適應(yīng)性差?擴展性差?需要固定IP或動態(tài)域名解析支持?維護麻煩?高可靠性,高安全性?支持動態(tài)IP及私有IP?網(wǎng)絡(luò)適應(yīng)性強,方便擴展到在型網(wǎng)絡(luò)?維護方便e地通軟件VPN與其他硬件VPN的比較e地通硬件VPN外部安全性采用用戶名密碼、硬件綁定、隨機

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論