VPN需求背景
image.png
- 企业、组织、商家等对专用网有强大的需求
- 高性能、高速度、高安全性是专用网明显的优势
- 物理专用网价格高昂,物理架设实施有难度,传统的通过租用专线或拨号网络的方式越来越不适用(性价比低)
-
TCP/IP协议本身的局限性,不能保证信息直接传输的保密性。TCP/IP协议在设计之初是基于可信环境的,没有考虑安全问题,所以在TCP/IP协议本身存在许多固有的安全缺陷
image.png
VPN定义:是指依靠ISP或其他NSP在公用网络基础设施上构建的专用的安全数据通信网络,只不过这个专线网络是指逻辑上而不是物理上的,所以称之为虚拟专用网
虚拟:用户不再需要拥有实际的长途数据线路,而是使用公共网络资源建立自己的私有网络
专用:用户可以制定最符合自身需求的网络
核心技术:隧道技术
VPN分类
按业务类型
1、Client-LAN VPN(Access VPN)
- 使用基于Internet远程访问的VPN
-
出差在外的员工,有远程办公需求的分支机构,都可以利用这种类型的VPN,实现对企业内部网络资源进行安全的远程访问
image.png
2、LAN-LAN VPN
-
为了在不同局域网络之间建立安全的数据传输通道,例如企业内部各分支机构之间或者企业与其合作者之间的网络互联,则可以采用LAN-LAN类型的VPN
image.png
按网络层次分类
- 应用层:SSL VPN等
- 传输层:Sangfor VPN
- 网络层:IPSec、GRE等
- 网络接口层:L2F/L2TP、PPTP等
VPN常用技术
隧道技术
VPN常用技术:隧道技术、加解密技术、身份认证技术、数据认证技术、密钥管理技术
隧道技术
- 隧道:是在公共通信网络上构建的一条数据路径,可以提供与专用通信线路等同的连接特性
- 隧道技术:是指在隧道的俩端通过封装以及解封装技术在公网上建立一条数据隧道,使用这条通道对数据报文进行传输,隧道是由隧道协议构建形成的,隧道技术是VPN技术中最关键的技术
多种隧道技术比较
image.png
加解密技术
- 目的:即使信息被窃听或者截取,攻击者也无法知晓信息的真实内容,可以对抗网络攻击中的被动攻击
-
通常使用加密机制来保护信息的保密性,防止信息泄漏,信息的加密机制通常是建立在密码学的基础上
image.png
主流加密算法
对称加密算法:加解密用的是用一种算法(同一种密钥)
image.png
(1)对称加解密双方 都要使用相同的密钥,因此在发送接收数据之前,必须完成密钥的协商分发,在公开的网络中,如何安全传送密钥成了一个严峻的问题
- 常见的对称加密算法:IDEA、DES/3DES、RC系列算法、AES
对称加密算法缺陷
-
密钥多难管理
image.png
-
密钥传输有风险
image.png
非对称加密算法(公钥加密算法)
- 加密和解密使用的是不同的密钥(公钥、私钥),俩个密钥之间存在着相互依存关系:用其中任何一个密钥加密的信息只能用另一个密钥进行解密
- 即用公钥加密,用私钥解密就可以得到明文
- 这使得通信双方无需事先交换密钥就可以进行保密
非对称加密过程
image.png
常见的非对称加密算法:ECC、RSA、Rabin、Elgamal、DH
对称VS非对称算法
image.png
Hash算法
- hash任何大小的数据得到的hash值(摘要)长度固定
- 不可逆推性
- 雪崩效应:hash的报文不同,得到的hash值不一致(无规律)
- 任何时间、任何地点使用相同的hsah算法算相同的原始数据得到的hash值一定一致
- hash算法保证了数据的完整性
网友评论