VPN技术的学习总结

VPN技术的学习总结VPN技术是目前安全通信中VPN技术做深入一些的学习和整理。网络安全的根本概念资源的安全性。而其安全性包括计算机系统的硬件、软件、数据受到统能连续正常运行，网络效劳不中断。规律炸弹，后门和隐蔽通道等。在网络信息传输的过程中，信息的安全特性包括：机密性，完整性，可用性，不行否认性，可控性，可审查性，可恢复性。只有在满足特性，网络安全效劳需要做到的有：认证效劳，访问掌握效劳，数据机密性效劳，数据完整性效劳，不行否认效劳。在认证效劳中，需要供给某个实体〔人或系统〕的身份保证，确假冒攻击的有效方法；〔如计算资源、通信资源或信息资源能访问授权的资源。访问掌握直接支持机密性、完整性、可用性以及,可供给机密性和户赐予其工作范围之外的任何权力。这一信息的实体〔人或组织，确保授权实体才能理解受保护的信息，防止传输的数据遭到窃听、流量分析等被动攻击。机密性效劳是通过加密机制来实现的，目前已有多种加密算法来保护数据的安全，统之间的通信进展保护，可在网络层加密。有时也可依据多个需求，在多个层次上供给加密。AH协议，ESP协议，MAC算法等来保证。书和时间戳可以保证信息发送方对发出的消息不能抵赖。虚拟专用网VPN技术VPN〔VirtualPrivateNetwork〕技术是在公共传输网不少本钱。VPN可实现数据公网传输的机密性、完整性，对通信双VPN可工作在很多IPIPSECVPN，GRESSLVPN等。VPN系统的组成VPN系统由以下七个局部组成，VPNVPN客户机的连接恳求。VPN客户机：终端计算机或者路由器。隧道：数据传输通道，其中传输的数据必需经过封装。隧道协议：封装数据、治理VPNVPN传输数据：经过封装、加密后在隧道上传输的数据。公共网络：如InternetVPN系统的组成。图一VPN系统的组成VPN系统通信流程与功能VPNVPN设备依据治理员设置的规章,确定是对数据加密还是直接传送。假设是需要加密的数据,VPN设备将其整个数据包进展加密和签名,加上的数据报头(包括目的地VPN设备需要的安全信息和初始化参数)重封装;封装后的数据包通过隧道在公网上传输;然后数据包到达目的VPN设备,VPN设备将数据包解封,核对签名后,将数据包解密。有不同的访问权限；地址治理：为每个客户安排一个地址，并保证地VPN的客户和VPN必需能够处理公共网IP、IPX等等；VPN系统的分类IntranetVPN：用于集团的总部和多个分支机构之间；分支机构网络是集团总部网络的牢靠延长；ExtranetVPN：为集团的供货商、重要客户和消费者等商业伙伴ExtranetVPN的一种特别形式；AccessVPN：为移动用户远程访问集团总部网络供给效劳；关键技术隧道技术：VPN的核心技术，它在公用网建立一条数据通道(隧23层隧道协议。密码技术〔由下面三项技术组成〕加解密技术：将认证信息、通信数据等转换为密文的相关技术，其牢靠性主要取决于加解密的算法及强度。密钥治理技术：如何在公用网上安全地传递密钥而不被窃取。以便系统进一步实施资源访问掌握或用户授权。身份认证方法〔dnl：是一种简洁的明文用户名/口令认证方式。〔eenl询问握手身份验证协议PPP(MODEMADSL拨号)中普遍使用的认证协议。户密码和数据。RADIUS〔RemoteAuthenticationDialInUserService，远程用户拨号认证系统：最初是由n公司提出的，原先的目的是为拨计费协议。具体通信协议与方法〔PPTP〕年Microsoft和Ascend等在PPP协议上开发的支持Client-to-LAN类型的VPN连接。PPTP 使用PPP拨号连接通过对PPP分组的封装传输将PPP链接规律地延长到远程用户与企业总部的PPTP效劳器之间，从而借用PPP协议成熟的机制对用户进展身份鉴别、访问授权以及网络配置，同时，通过PPTP封装传输，也使得使用企业内部地址的分组，能成功地穿越IP异构网络，到达企业总部，以此到达资源共享。PPTP只能在两端点间建立单一隧道。PPTP工作模式分为被动和主动两种模式。被动模式中，PPTP会ISPPPTP软件，ISPInternetPPTPISP的参与，不需位ISP处的前端处理器，ISP只供给透亮的传输通道。这种方式的优PPTP有确定的掌握。PPTP隧道机制的特点有，PPTP不供给数据安全性保证，它必需借助P的加密机制，如Ew自带，或者与其它安全IPsec〕结合使用，才能为隧道通信供给安全保护；由于PPPIDPPTP通过GREPPTP协议的系统开销PPTPQoS保障。PPP/SLIP〔ATMIP网络〕中传输。其标准于1998IETFRFC2341。L2FL2F封装头,L2FL2F分组可在任何能供给点到点链接的底层媒体上发送。当L2FIP网络上发送时，L2F分UDPUDP报文，经过IP协议发送。L2F协议的实现：图二L2F协议的典型实现ISDN/PSTNNASPPP连接。VPN客户VPNNASHGW的VPN连接。NAS依据用户名称等信息向HGW发送隧道建立连接恳求，HGWIPL2F隧道，总部局域网通过HGWNAS之间建立一条PPPNASHGWL2FHGW。2层隧道协议〔L2TP〕因特网工程任务组〔IETF〕期望统一虚拟拨号的标准，由此产生了〔r2g、3COMPPTPL2F两种协议的优点，成为IETFRFC2661。L2TP是典型的被动式隧道协议，可让用户从客VPN连接。L2TPL2TP封装头，L2FL2TP分组可在任何能供给点到IP网、ATML2TPIP网上进展发送时，L2TPUDPIP协议进展发送。L2TPPSTNISDN网，向P发起PP的呈现点PC承受此连接，建立远程用户到LAC的PPPLAC互换LCP配置信息，CHAP身份鉴别信息的局部交换；ISPLACCHAP应答中的名字信息，确定是否对此远程用LNS；LACLNSQoS效劳LAC向LNSTunnelIDIDCallID。LACLNSLAC对远程用LNSLNSL2TP隧道的终LACL2TP虚拟接口；LNSIP地址。LNSIP地址由LACLNSIP地址。从远程用户发送的P帧到达CC上的P虚拟接口将L2TP分组之中，在特定的传输媒体上发送。当L2TP分组到LNS端后，L2TPPPPSLIP分组将与正常进入的分组一样被送入相应的接口进展处理。LNS发送到远程用户的数据的处理过程与此完全相像。IP安全协议〔IPSec〕SSLVPNVPNIETFIPSecIPSec协议是目前工业界IPVPN标准，安全性明显优于其它隧道协议,以IPSec协议构建虚拟专用网已成为主流。基于IPSec构建IPVPN是指利用实现IPsec协议的安全网关网上内部网络的“虚拟”专线互联等。对VPN网关，VPNVPN网关，RemoteUserVPN网关。SSLVPNWeb效劳、文件效劳〔FTP效劳、Windows网上邻居效劳、可转化为Web〔Webmail)C/SSSL应用LANLAN模式。在bLN效劳器使用s和s〔实。SSLVPNSSLVPN效劳器间使sSSLVPN协议。C/SSSLVPN效劳器下载控件。该控件是一个效劳监听程序，用于将客户端的C/S数据SSLVPN效劳器它所承受的通信协议〔TCP/UDP〕及访问的目的效劳地址和端口。客户端控SSLVPN效劳器建立安全通道后，在本机接收客户端数据包后，SSLSSLVPN效劳器。SSLVPN效劳器解密数据后转发给内部网络的目的效劳器。SSLVPN效劳器接收到内部网络的效劳SSL后转发给客户端应用程序