虚拟专用网简介

本文重点讲解虚拟专用网的理论知识,后续文章对具体虚拟专用网进行讲解(包括原理和配置),欢迎持续关注和订阅专栏。

目录

概述:

虚拟专用网优势:

1. 安全:

2. 廉价:

3. 支持移动业务:

4. 服务质量保证:

VPN分类:

1. 根据组网方式不同:

2. 按网络层次:

3. 按应用分类:

虚拟专用网应用场景

五种技术 :

1. 隧道技术:

2. 加解密技术:

1. 对称加密算法:

非对称加密算法:

两种算法的对比:

3. 数据认证—散列算法(hash):

4. 身份认证:

5. 密钥管理技术:


概述:

虚拟专用网络,英文“Virtual Private Network”

虚拟专用网是虚拟出来的企业内部专线。通过特殊加密的通讯协议,为连接在Internet上,不同地理位置的两个或多个企业内部网,建立一条专有的通讯线路,就像架设了一条专线,但不需要真正去铺设光缆之类的物理线路。

虚拟专用网被定义为通过一个公用互联网络建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定隧道,使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的,广泛使用企业办公当中,虚拟专用网也可以是针对企业内部网的扩展,虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网,因此很多办公一族在自己电脑中也需要建立VPN连接,方便远程办公等等。

虚拟专用网:点对点的        逻辑直连        公网设备只是帮忙转发

专用网络:用户可以为自己制定一个最符合自己需求的网络。(贵)

VPN优势:

1. 安全:

在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的连接,保证数据传输的安全性。这对于实现电子商务或金融网络与通讯网络的融合特别重要。

2. 廉价:

利用公共网络进行信息通讯,企业可以用更低的成本连接远程办事机构、出差人员和业务伙伴。

3. 支持移动业务:

支持驻外VPN用户在任何时间、任何地点的移动接入,能够满足不断增长的移动业务需求。

4. 服务质量保证:

构建具有服务质量保证的VPN (如MPLS VPN) ,可为VPN用户提供不同等级的服务质量保证。

VPN分类:

涉及到的VPN在后续博客中都会具体讲解

1. 根据组网方式不同分类:

远程访问 虚拟专用网

局域网到局域网的 虚拟专用网

2. 按网络层次分类:

二层:数据链路层  L2TP  L2F  PPTP(忽略)

三层:网络层(主流)GRE  IPSec

应用层:(主流)SSL(远程访问虚拟专用网)

3. 按应用分类:

1.  Access(远程接入虚拟专用网):客户端到网关,使用公网作为骨干网在设备之间传输VPN数据流量;
2. Intranet(内联网虚拟专用网):网关到网关,通过公司的网络架构连接来自通公司的资源;
3. Extranet(外联网虚拟专用网):与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接;

虚拟专用网应用场景

1. 只能企业员工登录公司服务器

2. 要求在任何网络下都能够登录

3. 离职员工删除登录权限

4. 权限管理

五种技术 :

隧道技术  加解密技术  数据认证  身份认证  密钥管理技术

有隧道就是VPN         用到全部就是一个完善的VPN

1. 隧道技术:

隧道就是一层伪装,隧道是第一层保护措施。

公网就是由隧道来区分是不是数据

举例:

学校到公安厅走的,一出学校就进入公网,只有公安厅能够接受中间的路由器是不能通过隧道看到我的数据的

如果总部服务器对外开放web入口,很不安全,利用可以仅对企业用户开放

理解:

隧道技术有一层包装:

10.1.1.1(私网)--------公网--------10.1.1.2(私网)

       100.1                          200.1                (出口的公网IP)

一般情况下:私网地址进不了公网   NAT转换        所有设备都可看到数据

Vpn情况没有转换:而是加了隧道层   就不会NAT转换

100.1   200.1      10.1.1.1   10.1.1.2

隧道层

(公网IP)                 真实IP

(封装在真正的源和目的之上的)

2. 加解密技术:

伪装成公网IP   NAT也可以做到    为什么虚拟专用网可以保密呢

因为有加解密技术(可以把所有的数据加密传递  只有目的地址能够解密)

1. 对称加密算法:

加密速度特别快      不安全

       数据流加密:

       数据块加密(分组加密):(常用)

DES:数据加密标准,数据是64位,密钥是56位,加密块合成后还是64位

把一个完整的数据分成64位一块,每一块用56位的密钥加密,

数据块大小加密前后不变还是64

3EDS  做三次DES运算       密钥长度168位    (56*3)数据块大小64位

数据分成64位一块,第一次用56位密钥加密  第二次用错误的56位密钥解密(越解越错)       第三次  再用一个56位密钥加密

AES   密钥长度有128位的  有192位的 有256块的  数据块大小128

AES最安全,但是AES不是所有的设备都支持,所以用的不是很多,用的最多的是3DES

AES密钥更长  算法更复杂  对设备的cpu小号更大

非对称加密算法:

非常慢,不适合加密大块数据,用于传输对称加密密钥  安全

公钥/私钥     公钥加密       私钥解密

两种算法的对比:

        对称:速度快:密钥分发不安全

        非对称:速度慢:密钥分发安全

3. 数据认证—散列算法(hash):

认证数据的完整性,看数据有没有被篡改

信息传到你这里进行验证,如果被篡改,你就会知道数据被篡改

4. 身份认证:

VPN具有身份认证机制,能够判断谁是该VPN用户(可以使用),谁不是该VPN用户(不可使用)

举例:

登录爱奇艺会员,才能看会员电影。登录就是一个验证的过程。

5. 密钥管理技术:

VPN具有密钥管理技术,能够自动创建,分发,保存,更新密钥

你可能感兴趣的:(通讯安全,web安全,安全,tcp/ip)