suijinguang 发表于 2008-7-29 10:19
VPN的原理哪位大侠知道硬件VPN的原理啊,厂商说什么加加密的,又是隧道的,听得神乎其神了.给我的感觉怎么是VPN只是多了一个认证方式呢,用我们现在的防火墙也可以做呀.还有软件VPN的原理呢
我现在知道的就是VPN就是建一条虚拟隧道技术,来满足企业远程接入的应用.
yonx 发表于 2008-7-29 10:48
VPN即虚拟专用网,是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。
隧道技术 隧道技术对于构建 VPN 来说,是一个关键性技术。它的基本过程是在源局域网与公网的接口处,将数据作为负载封装在一种可以在公网上传输的数据格式中,在目的局域网与公网的接口处将数据解封装,取出负载。这样,被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。 目前VPN隧道协议有四种。
点对点隧道协议PPTP PPTP (Point to Point Tunneling Protocol)协议将控制包与数据包分开。控制包采用TCP控制,用于严格的状态查询及信令信息;数据包部分先封装在PPP协议中,然后封装到GRE(通用路由协议封装) V2协议中。目前,PPTP协议基本已被淘汰,不再使用在VPN产品中。
第二层隧道协议L2TP L2TP(Layer 2 Tunneling Protocol)协议是国际标准隧道协议。它结合了PPTP协议以及第二层转发L2F(Layer 2 Forwarding,二层转发协议)协议的优点,能以隧道方式使PPP包通过各种网络协议,包括ATM、SONET和帧中继。但是,L2TP没有任何加密措施,更多的是和IPSec协议结合使用,提供隧道验证。
IPSec协议 IPSec(网络协议安全)协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构。它包括网络安全协议AH (Authentication Header)协议和ESP (Encapsulating Security Payload)协议、密钥管理协议 IKE (Internet Key Exchange)协议和用于网络验证及加密的一些算法等。IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上提供了访问控制、数据源验证、数据加密等网络安全服务。
现在一种发展趋势,是将L2TP和IPSec结合起来,即用L2TP作为隧道协议,用IPSec协议保护数据。目前,市场上大部分VPN都采用这类技术。 它的优点是定义了一套用于保护私有性和完整性的标准协议,可确保运行在TCP/IP协议上VPN之间的互操作性;不足之处在于,除了包过滤外,它没有指定其他访问控制方法,对于采用NAT(网络地址翻译)方式访问公共网络的情况难以处理,为此最适合于可信LAN到LAN之间VPN的场合应用。
SOCKS v5协议 SOCKS v5工作在OSI(Open System Internet)模型中的第五层——会话层,可作为建立高度安全的VPN基础。 SOCKS v5协议的优势在于访问控制,因此适用于安全性较高的VPN。 SOCKS v5现在被IETF(互联网工程任务组),建议作为建立VPN的标准。 它的优点是能够非常详细地进行访问控制,即在网络层只能根据源目的的IP地址允许或拒绝被通过,在会话层控制手段更多一些;由于工作在会话层,能同低层协议如IPV4、IPSec、PPTP、L2TP一起使用;用SOCKS v5的代理服务器可隐藏网络地址结构;能为认证、加密和密钥管理提供“插件”模块,让用户自由地采用所需要的技术;SOCKS v5可根据规则过滤数据流,包括Java Applet和Actives控制。但是,它也有不少令人遗憾之处:性能比低层次协议差,必须制定更复杂的安全管理策略。这样,它最适合用于客户机到服务器的连接模式,适用于外部网VPN和远程访问VPN。
安全技术 VPN常常需要在不安全的Internet 中通信,通信的内容可能涉及企业的机密数据,因此其安全性非常重要。VPN中的安全技术通常由加密、认证和密钥交换与管理技术组成。
认证技术 认证技术防止数据的伪造和被篡改。它采用一种称为“摘要”的技术。“摘要”技术主要采用HASH函数将一段长的报文通过函数变换,映射为一段短的报文即摘要。由于HASH函数的特性,两个不同的报文具有相同的摘要几乎不可能。该特性使得摘要技术在VPN中有验证数据的完整性和用户认证两种用途。
加密技术 IPSec通过ISAKMP/IKE/Oakley 协商确定几种可选的数据加密算法,如DES(Data Encryption Stamdard)、3DES等。DES密钥长度为56位,容易被破译,3DES使用三重加密增加了安全性。
密钥交换与管理 VPN中密钥的分发与管理非常重要。密钥的分发有两种方法:一种是通过手工配置;另一种采用密钥交换协议动态分发。手工配置的方法由于密钥更新困难,只适合于简单网络的情况;密钥交换协议采用软件方式动态生成密钥,适合于复杂网络的情况且密钥可快速更新,可以显著提高VPN的安全性。目前主要的密钥交换与管理标准有IKE(互联网密钥交换)、SKIP(互联网简单密钥管理)和Oakley。
hongwish8es 发表于 2008-7-29 13:24
学习了
awei0912 发表于 2008-7-29 16:55
VPN 連台灣算安全吧
hd5292 发表于 2008-7-30 10:27
学习了,,,,,,,,
fire204 发表于 2008-8-1 14:30
看看啊 谢谢!!
muaijiejie 发表于 2008-8-1 14:40
那WEB和VPN有什麼區別??