VPN基础技术
为了实现其目的,VPN 必须模拟直接网络连接。这意味着它必须提供与直接连接相同级别的访问和相同级别的安全性。为了模拟专用的点对点链路,数据被封装或包装,并带有提供路由信息的标头,允许数据通过互联网传输以到达目的地。这将在两点之间创建虚拟网络连接。发送的数据也被加密,从而使该虚拟网络变得私有。
卡巴斯基对VPN的定义如下:
“VPN 代表‘虚拟专用网络’,描述了在使用公共网络时建立受保护网络连接的机会。VPN 会加密您的互联网流量并隐藏您的在线身份。这使得第三方更难跟踪您的在线活动并窃取数据。加密是实时进行的。”
思科提供了类似的定义:
“虚拟专用网络(VPN)是通过互联网从设备到网络的加密连接。加密连接有助于确保敏感数据的安全传输。它可以防止未经授权的人员窃听流量,并允许用户远程进行工作。VPN 技术广泛应用于企业环境中。”
VPN 不需要单独的技术、租用线路或直接布线。它是一个虚拟专用网络,这意味着它可以使用现有连接来提供安全连接。在大多数情况下,它是通过正常的互联网连接使用的。基本上,VPN 是一种通过互联网“搭载”来创建安全连接的方式。VPN如图7-1所示。
图 7-1 VPN 技术
有多种方法可用于将一台计算机连接到另一台计算机。曾经,通过电话调制解调器拨号到 ISP 很常见。现在,电缆调制解调器、蜂窝设备和其他机制更加常见。所有这些方法都有一个共同点:它们本质上并不安全。所有来回发送的数据都未加密,任何人都可以使用数据包嗅探器来拦截和查看数据。此外,两端都没有经过身份验证。这意味着您无法完全确定您真正向谁发送数据或从谁接收数据。VPN 为这些问题提供了答案。
这种安排对于 ISP 通常是可以接受的。连接的客户只需要一个连接互联网的管道,不需要直接或安全地连接到特定网络。但是,此设置对于尝试连接到组织网络的远程用户来说是不够的。在这种情况下,VPN 提供的私密且安全的连接至关重要。
个人远程用户并不是 VPN 技术的唯一用户。许多较大的组织在不同地点设有办事处。对于此类组织来说,实现可靠且安全的站点到站点连接是一个重要问题。各个分支机构必须通过通过 Internet 传输流量的隧道连接到中央企业网络。
使用 VPN 技术进行站点到站点连接,使具有多个链路的分支机构能够摆脱昂贵的专用数据线,而只需利用现有的 Internet 连接。VPN 通常分为以下类型:
·远程访问:这是访问组织网络的远程用户。该员工可以是出差员工,也可以是在家工作的员工。
·站点到站点:当一个组织中的两个办事处需要共享数据时,一种经济高效的方法是建立站点到站点VPN,通过安全通信连接两个办事处。
·基于外联网:这类似于站点到站点;但是,被授予访问权限的是外部团体或组织。这也可以与值得信赖的业务合作伙伴合作。
·内部:这种 VPN 类型并不常见;更常见的是在内部使用 TLS。但是,您可以在网络内建立点对点 VPN。一个典型的例子是管理员访问服务器。
对 VPN 进行分类的另一种方法是按其工作的 OSI 模型层。一个常见的问题是“这是第 2 层还是第 3 层 VPN?” 进行加密的 OSI 模型级别对安全性有影响。
原文始发于微信公众号(河南等级保护测评):网络安全等级保护:VPN基础技术
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论