-
虚拟专用网络(VPN)的功能是:在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛运用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN可通对服务器、硬件、软件等多种方式实现
-
虚拟:不需要拥有实际的长途线路,使用公共网络资源建立自己的私有网络
-
专用:可以定制最符合自身需求的网络
-
核心技术:隧道技术
- 客户端到局域网(Client -》LAN)access VPN
- PPTP或L2TP或SSL
- 局域网到局域网(LAN -》LAN)
- IPSec
- PPTP和L2TP:网络接口层的协议
- IPSec VPN属于网络层的协议
- SSL VPN属于应用层协议
- 隧道技术
- 通过在隧道两端封装和解封装来建立一条数据通道(新的报文头部 )
- GRE:不支持身份验证,只支持简单关键字的验证和校验(IPv4往IPv6过度)
- L2TP:支持基于PPP的身份验证,加密和验证不支持
- IPSec:预共享密钥或证书认证、支持IKEv2的认证,支持加密和验证
- SSL VPN:支持多种身份认证,支持加密和验证
-
- 加解密技术
- 对称加密(DES 3DES AES)
- 非对称加密(RSA DH)
- 完整性检验算法(MD5 SHA)
- 身份认证技术
- 是一组基于网络层的应用密码学的安全通信协议族,是一个开放的协议族,也考虑长远性的要求(支持IPv4和IPv6)
- 保护的是网络层及上层流量,主要保护TCP、UDP、ICMP等的隧道IP数据包
- 可以提供的安全服务
- 机密性,完整性,数据源鉴别,不可否认,访问控制,重放攻击保护
-
两个工作模式:传输模式,隧道模式
-
两个通信保护协议:
- AH:只支持鉴别算法
- ESP:支持加密和鉴别
-
密钥交换管理协议(IKE):SA(安全联盟)
- 阶段一:主模式,野蛮模式(快速模式)
- 阶段二:配置感兴趣流
- 应用场景:主机和主机之间,端到端通信的数据保护
- 封装方式:不会改变原始包头,在原始包头后插入IPSec包头
- 应用场景:用于私网与私网之间通过公网进行通信,建立VPN通道
- 封装方式:增加新的IP头部,其后是IPSec头部,接着才是原始数据报
如果IPSec包头在原包头前面,然后IPSec中加有加密算法,那么此时就可以同时对原包头中的内容进行加密,反之,IPSec包头在原包头后面就起不到这样的作用
-
完整性校验(通过哈希函数(SHA1,MD5)产生的校验来保证)
-
不管是传输模式还是隧道模式会验证整个数据报
- 先验证整个原始数据包,然后再验证IPSec数据包
-
加解密(对称加密算法DES、3DES、AES)
-
完整性校验(通过哈希函数(SHA1,MD5)产生的校验来保证)
-
ESP在传输模式下,只对数据进行加密和完整性校验
-
ESP在隧道模式下,是对整个原始报文进行加密和校验
| 安全特性 | AH | ESP |
|---|---|---|
| 协议号 | 51 | 50 |
| 数据完整性校验 | √ | 支持但不验证IP头 |
| 数据源验证 | √ | √ |
| 数据加解密 | × | √ |
| 抗重放 | √ | √ |
| NAT - T(NAT穿透) | × | √ |