VPN需求背景
image.png
- 企業、組織、商家等對專用網有強大的需求
- 高性能、高速度、高安全性是專用網明顯的優勢
- 物理專用網價格高昂,物理架設實施有難度,傳統的通過租用專線或撥號網絡的方式越來越不適用(性價比低)
-
TCP/IP協議本身的局限性,不能保證信息直接傳輸的保密性。TCP/IP協議在設計之初是基于可信環境的,沒有考慮安全問題,所以在TCP/IP協議本身存在許多固有的安全缺陷
image.png
VPN定義:是指依靠ISP或其他NSP在公用網絡基礎設施上構建的專用的安全數據通信網絡,只不過這個專線網絡是指邏輯上而不是物理上的,所以稱之為虛擬專用網
虛擬:用戶不再需要擁有實際的長途數據線路,而是使用公共網絡資源建立自己的私有網絡
專用:用戶可以制定最符合自身需求的網絡
核心技術:隧道技術
VPN分類
按業務類型
1、Client-LAN VPN(Access VPN)
- 使用基于Internet遠程訪問的VPN
-
出差在外的員工,有遠程辦公需求的分支機構,都可以利用這種類型的VPN,實現對企業內部網絡資源進行安全的遠程訪問
image.png
2、LAN-LAN VPN
-
為了在不同局域網絡之間建立安全的數據傳輸通道,例如企業內部各分支機構之間或者企業與其合作者之間的網絡互聯,則可以采用LAN-LAN類型的VPN
image.png
按網絡層次分類
- 應用層:SSL VPN等
- 傳輸層:Sangfor VPN
- 網絡層:IPSec、GRE等
- 網絡接口層:L2F/L2TP、PPTP等
VPN常用技術
隧道技術
VPN常用技術:隧道技術、加解密技術、身份認證技術、數據認證技術、密鑰管理技術
隧道技術
- 隧道:是在公共通信網絡上構建的一條數據路徑,可以提供與專用通信線路等同的連接特性
- 隧道技術:是指在隧道的倆端通過封裝以及解封裝技術在公網上建立一條數據隧道,使用這條通道對數據報文進行傳輸,隧道是由隧道協議構建形成的,隧道技術是VPN技術中最關鍵的技術
多種隧道技術比較
image.png
加解密技術
- 目的:即使信息被竊聽或者截取,攻擊者也無法知曉信息的真實內容,可以對抗網絡攻擊中的被動攻擊
-
通常使用加密機制來保護信息的保密性,防止信息泄漏,信息的加密機制通常是建立在密碼學的基礎上
image.png
主流加密算法
對稱加密算法:加解密用的是用一種算法(同一種密鑰)
image.png
(1)對稱加解密雙方 都要使用相同的密鑰,因此在發送接收數據之前,必須完成密鑰的協商分發,在公開的網絡中,如何安全傳送密鑰成了一個嚴峻的問題
- 常見的對稱加密算法:IDEA、DES/3DES、RC系列算法、AES
對稱加密算法缺陷
-
密鑰多難管理
image.png -
密鑰傳輸有風險
image.png
非對稱加密算法(公鑰加密算法)
- 加密和解密使用的是不同的密鑰(公鑰、私鑰),倆個密鑰之間存在著相互依存關系:用其中任何一個密鑰加密的信息只能用另一個密鑰進行解密
- 即用公鑰加密,用私鑰解密就可以得到明文
- 這使得通信雙方無需事先交換密鑰就可以進行保密
非對稱加密過程
image.png
常見的非對稱加密算法:ECC、RSA、Rabin、Elgamal、DH
對稱VS非對稱算法
image.png
Hash算法
- hash任何大小的數據得到的hash值(摘要)長度固定
- 不可逆推性
- 雪崩效應:hash的報文不同,得到的hash值不一致(無規律)
- 任何時間、任何地點使用相同的hsah算法算相同的原始數據得到的hash值一定一致
- hash算法保證了數據的完整性