VPN需求背景

image.png

• 企業(yè)、組織、商家等對(duì)專用網(wǎng)有強(qiáng)大的需求
• 高性能、高速度、高安全性是專用網(wǎng)明顯的優(yōu)勢
• 物理專用網(wǎng)價(jià)格高昂，物理架設(shè)實(shí)施有難度，傳統(tǒng)的通過租用專線或撥號(hào)網(wǎng)絡(luò)的方式越來越不適用（性價(jià)比低）

• TCP/IP協(xié)議本身的局限性，不能保證信息直接傳輸?shù)谋Ｃ苄浴CP/IP協(xié)議在設(shè)計(jì)之初是基于可信環(huán)境的，沒有考慮安全問題，所以在TCP/IP協(xié)議本身存在許多固有的安全缺陷

  
  
  image.png

VPN定義：是指依靠ISP或其他NSP在公用網(wǎng)絡(luò)基礎(chǔ)設(shè)施上構(gòu)建的專用的安全數(shù)據(jù)通信網(wǎng)絡(luò)，只不過這個(gè)專線網(wǎng)絡(luò)是指邏輯上而不是物理上的，所以稱之為虛擬專用網(wǎng)

虛擬：用戶不再需要擁有實(shí)際的長途數(shù)據(jù)線路，而是使用公共網(wǎng)絡(luò)資源建立自己的私有網(wǎng)絡(luò)

專用：用戶可以制定最符合自身需求的網(wǎng)絡(luò)

核心技術(shù)：隧道技術(shù)

VPN分類

按業(yè)務(wù)類型

1、Client-LAN VPN（Access VPN）

• 使用基于Internet遠(yuǎn)程訪問的VPN

• 出差在外的員工，有遠(yuǎn)程辦公需求的分支機(jī)構(gòu)，都可以利用這種類型的VPN，實(shí)現(xiàn)對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)資源進(jìn)行安全的遠(yuǎn)程訪問

  
  
  image.png
  
  

  2、LAN-LAN VPN

• 為了在不同局域網(wǎng)絡(luò)之間建立安全的數(shù)據(jù)傳輸通道，例如企業(yè)內(nèi)部各分支機(jī)構(gòu)之間或者企業(yè)與其合作者之間的網(wǎng)絡(luò)互聯(lián)，則可以采用LAN-LAN類型的VPN

  
  
  image.png

按網(wǎng)絡(luò)層次分類

• 應(yīng)用層：SSL VPN等
• 傳輸層：Sangfor VPN
• 網(wǎng)絡(luò)層：IPSec、GRE等
• 網(wǎng)絡(luò)接口層：L2F/L2TP、PPTP等

VPN常用技術(shù)

隧道技術(shù)

VPN常用技術(shù)：隧道技術(shù)、加解密技術(shù)、身份認(rèn)證技術(shù)、數(shù)據(jù)認(rèn)證技術(shù)、密鑰管理技術(shù)

隧道技術(shù)

• 隧道：是在公共通信網(wǎng)絡(luò)上構(gòu)建的一條數(shù)據(jù)路徑，可以提供與專用通信線路等同的連接特性
• 隧道技術(shù)：是指在隧道的倆端通過封裝以及解封裝技術(shù)在公網(wǎng)上建立一條數(shù)據(jù)隧道，使用這條通道對(duì)數(shù)據(jù)報(bào)文進(jìn)行傳輸，隧道是由隧道協(xié)議構(gòu)建形成的，隧道技術(shù)是VPN技術(shù)中最關(guān)鍵的技術(shù)

多種隧道技術(shù)比較

image.png

加解密技術(shù)

• 目的:即使信息被竊聽或者截取，攻擊者也無法知曉信息的真實(shí)內(nèi)容，可以對(duì)抗網(wǎng)絡(luò)攻擊中的被動(dòng)攻擊

• 通常使用加密機(jī)制來保護(hù)信息的保密性，防止信息泄漏，信息的加密機(jī)制通常是建立在密碼學(xué)的基礎(chǔ)上

  
  
  image.png

主流加密算法

對(duì)稱加密算法：加解密用的是用一種算法（同一種密鑰）

image.png

（1）對(duì)稱加解密雙方 都要使用相同的密鑰，因此在發(fā)送接收數(shù)據(jù)之前，必須完成密鑰的協(xié)商分發(fā)，在公開的網(wǎng)絡(luò)中，如何安全傳送密鑰成了一個(gè)嚴(yán)峻的問題

• 常見的對(duì)稱加密算法：IDEA、DES/3DES、RC系列算法、AES

對(duì)稱加密算法缺陷

• 密鑰多難管理

  
  
  image.png

• 密鑰傳輸有風(fēng)險(xiǎn)

  
  
  image.png

非對(duì)稱加密算法（公鑰加密算法）

• 加密和解密使用的是不同的密鑰（公鑰、私鑰），倆個(gè)密鑰之間存在著相互依存關(guān)系：用其中任何一個(gè)密鑰加密的信息只能用另一個(gè)密鑰進(jìn)行解密
• 即用公鑰加密，用私鑰解密就可以得到明文
• 這使得通信雙方無需事先交換密鑰就可以進(jìn)行保密

非對(duì)稱加密過程

image.png

常見的非對(duì)稱加密算法：ECC、RSA、Rabin、Elgamal、DH

對(duì)稱VS非對(duì)稱算法

image.png

Hash算法

• hash任何大小的數(shù)據(jù)得到的hash值（摘要）長度固定
• 不可逆推性
• 雪崩效應(yīng)：hash的報(bào)文不同，得到的hash值不一致（無規(guī)律）
• 任何時(shí)間、任何地點(diǎn)使用相同的hsah算法算相同的原始數(shù)據(jù)得到的hash值一定一致
• hash算法保證了數(shù)據(jù)的完整性

身份認(rèn)證技術(shù)