2,685 Views
虚拟专用网(Virtual Private Network,简称VPN)是利用Internet网络建立”私有”的网络通道进行数据传递,相对直接使用Internet传递数据具有较高的安全性。
1.6.1 VPN技术介绍
VPN技术相对于传统专线产生的低成本解决方案,在VPN技术出现之前,分支机构接入总部一般采取租用运营商SDH、MSTP等专线,这类专线费用成本高且扩展性较差,并且不太适合出差用户接入总部网络的需求。VPN技术出现后,企业可以使用低成本方案解决分支机构以及出差用户接入总部网络问题。
根据使用情况,VPN根据建设的方式以及组网的方式分为几大类:
- VPN建设方式
- 企业自建:自建是最常见的实施方式,企业自行申请Internet线路以及自购设备,通过配置即可完成VPN建设,其优势是企业能够对VPN网络进行完整控制,扩展非常方便;
- 租用运营商:国内中国电信、中国联通等运营商均提供VPN租用服务,比较常见的是多协议标签交换(Multiprotocol Label Switching,简称MPLS)VPN网络,这种VPN线路由运营商进行主要参数配置,企业直接使用即可,其优势是比企业自建VPN相对稳定,其缺点是费用较高,不能对VPN网络进行完整控制,扩展性较差;
- VPN组网方式
- 点对点访问:也称为site-To-Site VPN,一般用于分支机构与总部进行连接;
- 远程访问:也称为Access VPN 一般用于出差员工访问总部网络,出差员工电脑通过拨号方式连接到总部网络;
VPN主要通过在Internet上建立隧道技术来实现,Internet本身的安全性较差,为保证数据传递的安全性,VPN还需要附加使用其他技术来保证其安全性,主要技术包括加密、密钥管理、认证等技术。
- 隧道技术
- VPN技术最关键的技术就是隧道技术,隧道技术指在隧道两端使用”封装”和“解封装”方式在Internet网络上建立一条私有网络通道,使用这条通道对数据报文进行传输,”封装”和“解封装”过程可以为原始数据报文提供安全防护功能。
- 隧道技术由隧道协议组成,可以分为二三层隧道协议。第二层隧道协议主要有L2TP等;第三层隧道协议主要有IPSec等。
- 认证技术
- 数据认证技术是为了保证数据在网络传输过程中不被篡改,保证数据的原始性,数据认证主要采用哈希算法;
- 身份认证技术主要用于保证接入用户的合法性,主要采用“用户名密码”以及“USB KEY”等认证方式;
- 加密技术
- 加密技术就是把明文变成密文的过程,当数据被封装入隧道后立即进行加密,当数据到达后,由隧道端对数据进行解密;
- 加密技术中比较常用的是对称加密以及非对称加密,对称加密指的是加密和解密使用同一个密钥,比较常见的对称加密算法有RC4、DES、3DES、AES、IDEA、RC2\RC5\RC6等;非对称加密指的是加密和解密使用两个不同的密钥,私钥用来保护数据,公钥用来检验发送者的真实性,比较常见的非对称加密算法有MD5、SHA-1等;
- L2TP协议不支持加密技术,IPSec VPN、DSVPN、SSL VPN支持对数据报文和协议报文加密;
- 密钥管理
- 密钥技术其主要作用是保证在Internet网络上传递的密钥不被窃取,是数据加密技术中的重要环节。
- 密钥管理主要包括密钥的产生、分配保存、更换销毁等环节。