亚洲视频二区_亚洲欧洲日本天天堂在线观看_日韩一区二区在线观看_中文字幕不卡一区

從原理上來說，VPN就是利用公用網(wǎng)絡(luò)把遠(yuǎn)程站點(diǎn)或用戶連接到一起的專用網(wǎng)絡(luò)。與實(shí)際的專用連接（例如租用線路）不同，VPN是通過互聯(lián)網(wǎng)路由的“虛擬”連接，把公司專用網(wǎng)絡(luò)同遠(yuǎn)程站點(diǎn)或員工連接到一起。一個(gè)典型的企業(yè)VPN包括公司總部主LAN、遠(yuǎn)程分公司或分支機(jī)構(gòu)LAN和從外部網(wǎng)絡(luò)連接進(jìn)來的個(gè)人用戶，如圖5-27所示。

VPN是一種能夠?qū)⑽锢砩戏植荚诓煌攸c(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng)（Internet）連接而成的邏輯虛擬子網(wǎng)，提供了通過公用網(wǎng)絡(luò)安全對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)（Intranet）進(jìn)行遠(yuǎn)程訪問的連接。

一個(gè)連接通常由客戶機(jī)、傳輸介質(zhì)和服務(wù)器三部分組成，VPN同樣也由這三部分組成；不同的是，VPN連接使用隧道（Tunnel）作為傳輸通道（就像裝信件的信封），這個(gè)隧道是建立在公共網(wǎng)絡(luò)或?qū)Ｓ镁W(wǎng)絡(luò)基礎(chǔ)上的，如Internet或Intranet，如圖5-28所示。

為了保障信息的安全，VPN技術(shù)采用鑒別、訪問控制、保密性、完整性等措施，以防止信息被泄漏、篡改和復(fù)制。

1.VPN的主要類型

（1）遠(yuǎn)程訪問虛擬網(wǎng)（Access VPN）

遠(yuǎn)程訪問虛擬網(wǎng)也稱為虛擬專用撥號(hào)網(wǎng)絡(luò)（VPDN），是一種用戶到LAN的連接，通常用于員工從遠(yuǎn)程位置連接的專用網(wǎng)絡(luò)。

企業(yè)服務(wù)提供商（ESP）為公司提供大型遠(yuǎn)程訪問VPN；ESP建立一個(gè)網(wǎng)絡(luò)訪問服務(wù)器（NAS），向遠(yuǎn)程用戶提供桌面客戶端軟件；遠(yuǎn)程用戶撥打免費(fèi)號(hào)碼連接NAS，使用VPN客戶端軟件訪問公司網(wǎng)絡(luò)。

Access VPN通過第三方服務(wù)商在公司專用網(wǎng)絡(luò)和遠(yuǎn)程用戶之間實(shí)現(xiàn)安全加密連接，如圖5-29所示。

（2）企業(yè)內(nèi)部虛擬網(wǎng)（Intranet VPN）

基于Intranet------如果公司有一個(gè)或多個(gè)遠(yuǎn)程位置需要加入一個(gè)專用網(wǎng)絡(luò)，可以建立一個(gè)Intranet VPN，將LAN連接到另一個(gè)LAN，稱為企業(yè)內(nèi)部虛擬網(wǎng)（Intranet VPN），如圖5-30所示。

（3）企業(yè)擴(kuò)展虛擬網(wǎng)（Extranet VPN）

基于Extranet------如果公司同其它公司（例如，供應(yīng)商、客戶）關(guān)系緊密，他們可以建立一個(gè)Extranet VPN，將LAN連接到另一個(gè)LAN，所有公司同時(shí)在一個(gè)共享環(huán)境中工作，稱為企業(yè)擴(kuò)展虛擬網(wǎng)（Extranet VPN），如圖5-31所示。

VPN是對(duì)Intranet的擴(kuò)展，一家企業(yè)可以同時(shí)提供3種VPN服務(wù)，如圖5-32所示。

2.VPN的基本原理

VPN的一般驗(yàn)證流程：

①客戶機(jī)（Client）向VPN服務(wù)器（Authenticating Device）發(fā)出請(qǐng)求（Challenge），VPN服務(wù)器響應(yīng)（Response）請(qǐng)求并向客戶機(jī)發(fā)出身份（User name，Password）質(zhì)詢；

②客戶機(jī)將加密的響應(yīng)信息發(fā)送到VPN服務(wù)器，VPN服務(wù)器根據(jù)用戶數(shù)據(jù)庫（Data Base）檢查是否該響應(yīng)；

③如果賬戶（ID）有效，VPN服務(wù)器將檢查該用戶是否具有遠(yuǎn)程訪問權(quán)限；

④如果該用戶擁有遠(yuǎn)程訪問的權(quán)限，VPN服務(wù)器接受此連接；

⑤在身份驗(yàn)證過程中產(chǎn)生的客戶機(jī)和服務(wù)器公有密鑰將用來對(duì)數(shù)據(jù)進(jìn)行加密。

VPN中常用的身份認(rèn)證技術(shù)主要有安全口令、PPP認(rèn)證協(xié)議和密鑰管理技術(shù)三種。

（1）隧道技術(shù)

隧道技術(shù)（Tunneling Protocal）是VPN的基本技術(shù)，類似于點(diǎn)對(duì)點(diǎn)連接技術(shù)（Point to Point Protocol，PPP），它在公網(wǎng)建立一條數(shù)據(jù)通道（隧道）（如圖5-33所示），讓數(shù)據(jù)包通過這條隧道傳輸。

隧道是由隧道協(xié)議形成的，主要有第2層隧道協(xié)議PPTP（Point-to-Point Tunneling Protocol）和L2TP（Level 2 Tunneling Protocol）、第三層隧道協(xié)議IPSec(IP Security)和安全套接層SSL（Secure Sockets Layer）協(xié)議等。

隧道技術(shù)是一種通過使用互聯(lián)網(wǎng)基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式。

使用隧道傳遞的數(shù)據(jù)可以是不同協(xié)議的數(shù)據(jù)幀或包，隧道協(xié)議將這些數(shù)據(jù)幀或包重新封裝在新的包頭中發(fā)送，新的包頭提供了路由信息，從而使封裝的數(shù)據(jù)能夠通過互聯(lián)網(wǎng)傳遞。

被封裝的數(shù)據(jù)包在隧道的兩個(gè)端點(diǎn)之間通過公共互聯(lián)網(wǎng)絡(luò)進(jìn)行路由，所經(jīng)過的邏輯路徑稱為隧道，一旦到達(dá)網(wǎng)絡(luò)終點(diǎn)數(shù)據(jù)將被解包并轉(zhuǎn)發(fā)到最終目的地。

隧道技術(shù)包括數(shù)據(jù)封裝，傳輸和解包在內(nèi)的全過程。

（2）加密技術(shù)

在VPN實(shí)現(xiàn)中，雙方大量通信流量的加密使用對(duì)稱加密算法，在管理、分發(fā)對(duì)稱加密的密鑰上采用非對(duì)稱加密技術(shù)。

加密基本思想，在協(xié)議棧的任意層對(duì)數(shù)據(jù)或報(bào)文頭進(jìn)行加密，從而有效保護(hù)傳輸?shù)男畔ⅰ?/p>

VPN是通過軟件實(shí)現(xiàn)的技術(shù)，因而VPN加密載體是多方面的，包括路由器、防火墻、專用VPN硬件。

VPN加密技術(shù)發(fā)展趨勢(shì)是實(shí)現(xiàn)端到端的安全，真正確保完全的加密。

3. VPN的功能特性

（1）安全保障

VPN保證通過公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的專用性和安全性。在面向非連接的公用IP網(wǎng)絡(luò)上建立一個(gè)邏輯的、點(diǎn)對(duì)點(diǎn)的連接稱為建立一個(gè)隧道，可以對(duì)經(jīng)過隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密，保證數(shù)據(jù)僅被指定的發(fā)送者和接收者了解。

由于VPN直接構(gòu)建在公用網(wǎng)上，企業(yè)必須確保VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，要防止非法用戶對(duì)網(wǎng)絡(luò)資源或私有信息的訪問。

（2）服務(wù)質(zhì)量保證

針對(duì)不同用戶和業(yè)務(wù)對(duì)QoS要求差異較大，VPN提供不同等級(jí)的QoS。

對(duì)于移動(dòng)用戶，VPN服務(wù)提供廣泛的連接和覆蓋性；對(duì)于擁有眾多分支機(jī)構(gòu)的專線VPN網(wǎng)絡(luò)，VPN服務(wù)為交互式內(nèi)部企業(yè)網(wǎng)應(yīng)用提供良好的網(wǎng)絡(luò)穩(wěn)定性；對(duì)于視頻等應(yīng)用，VPN服務(wù)提供網(wǎng)絡(luò)時(shí)延及糾錯(cuò)服務(wù)。

VPN服務(wù)充分利用廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠帶寬。廣域網(wǎng)流量不確定性致使帶寬利用率低，流量高峰時(shí)網(wǎng)絡(luò)阻塞、流量低谷時(shí)帶寬空閑。

QoS通過流量預(yù)測(cè)與流量控制策略，按照優(yōu)先級(jí)分配帶寬資源，實(shí)現(xiàn)帶寬管理，使各類數(shù)據(jù)被合理地先后發(fā)送，預(yù)防阻塞發(fā)生。

（3）可擴(kuò)充性和靈活性

VPN支持通過Intranet和Extranet的任何類型數(shù)據(jù)流，方便增加新的節(jié)點(diǎn)，支持多種類型的傳輸媒介，滿足同時(shí)傳輸語音、圖像和數(shù)據(jù)等新應(yīng)用對(duì)高質(zhì)量傳輸以及帶寬增加的需求。

（4）可管理性

從用戶角度和運(yùn)營(yíng)高角度看，VPN將其網(wǎng)絡(luò)管理功能從局域網(wǎng)延伸到公用網(wǎng)，甚至是客戶和合作伙伴；同時(shí)將一些次要的網(wǎng)絡(luò)管理任務(wù)交給服務(wù)提供商完成。

VPN管理目標(biāo)：減小網(wǎng)絡(luò)風(fēng)險(xiǎn)、使其具有高擴(kuò)展性、經(jīng)濟(jì)性、高可靠性等；VPN管理內(nèi)容：安全管理、設(shè)備管理、配置管理、ACL管理、QoS管理等。

（5）降低成本

VPN利用現(xiàn)有的Internet或其它公共網(wǎng)絡(luò)的基礎(chǔ)設(shè)施為用戶創(chuàng)建安全隧道，不需要專門的租用線路，節(jié)省了專線的租金。

如果采用遠(yuǎn)程撥號(hào)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部資源，需要長(zhǎng)途話費(fèi)；采用VPN技術(shù)，只需撥入當(dāng)?shù)豂SP就可以安全地接入內(nèi)部網(wǎng)絡(luò)，節(jié)省了線路話費(fèi)。

我是木子雨辰，一位信息安全領(lǐng)域從業(yè)者，@木子雨辰將一直帶給大家信息安全知識(shí)，每天兩篇安全知識(shí)、由淺至深、采用體系化結(jié)構(gòu)逐步分享，大家有什么建議和問題，可以及留言，多謝大家點(diǎn)擊關(guān)注、轉(zhuǎn)發(fā)、評(píng)論，謝謝大家。

大家如果有需要了解安全知識(shí)內(nèi)容需求的可以留言，溝通，愿與大家攜手前行。