虚拟专用网络(VPN)是一条通信隧道,可以用在不可信的中间网络上提供身份认证和数据通信的点对点传输。可以是加密或不加密的。并不提供可用性和保证可用性。(在CIA中可实现CI,不可实现A)
隧道技术
-
通过将协议包封装到其他协议包中来保护协议包的内容。封装是在不可信的中间网络上建立通信隧道的逻辑错觉。
-
这条虚拟路径存在于通信两端的封装和拆装实体之间。
-
隧道技术生成了更大的或者数量更多的信息包,这也会消耗额外的网络带宽。
-
隧道技术是一种点对点的通信机制,并且设计时没有考虑对广播通信的处理。隧道技术也使得在某些情况下监控流量的内容变得很难。
VPN的工作原理
-
接两个单独的系统或两个完整的网络。
-
穿越互联网进行远距离网络连接的VPN连接常常是替代直接连接或租用线路的便宜选择。
常用VPN协议:端到端隧道协议PPTP
-
点对点隧道协议(PPTP)工作在OSI模型的数据链路层(第2层)上,并且被用在IP网络中。PPTP在两个系统之间创建了一条点对点隧道,并且封装了PPP包。通过与PPP支持相同的身份认证协议,PTP为身份认证通信提供了保护。PPTP使用的最初隧道协商过程并没有加密。
-
PPTP被用在VPN上,但是它常常被第二层隧道协议(L2TP)代替。L2TP可以使用IPSec为VPN提供通信加密。
常用VPN协议-二层隧道协议(L2TP)
二层隧道协议(L2TP)会在通信的端点之间建立一条点对点的隧道。L2TP缺乏内置的加密方案,而是通常依赖IPsec作为安全机制。L2TP还支持TACACS+和RADIUS。
IPsec通常为L2TP用作一种安全机制。
常用VPN协议-IPSec
-
目前最常用的VPN协议是IPsec。
-
IPsec既是一个独立的VPN协议,也是用于L2TP的安全机制,并且只能用于IP通信。
-
IPsec提供了安全的身份认证以及加密的数据传输
IPSec具有下列两个主要的组件或者功能:
-
身份认证头(AH):AH提供身份认证、完整性以及不可否认性。
-
封装安全有效载荷(ESP):ESP提供了加密,从而能够保护传输数据的机密性。ESP在网络层(第3层)上工作,并且可以用在传输模式或隧道模式中。在传输模式中,对IP数据包数据进行了加密,但是对数据包的头部并没有进行加密。在隧道模式中对整个IP数据包都进行了加密,并且新的数据包头被添加至IP数据包,从而能够控制通过隧道进行的传输。
VPN协议的主要特征:
| 协议 |
自带身份保护认证? |
自带数据加密? |
支持的协议 |
支持拨号连接? |
同时存在的连接数 |
|
PPTP |
是 | 否 |
IP only | 是 |
单个点对点连接 |
| L2F |
是 | 否 | IP only |
是 | 单个点对点连接 |
| L2TP | 是 | 否(可以使用IPsec) |
任何协议 |
是 | 单个点对点连接 |
| IPSec |
是 | 是 |
IP only |
否 |
单个点对点连接 |
本文始发于微信公众号(网络安全等保测评):虚拟专用网络
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论