网络安全笔记之VPN关键技术

Lesson 15 VPN中的关键技术

u 隧道技术（VPN基础，很重要）

隧道由隧道协议形成，常见有二层隧道和三层隧道协议

u 密码技术

加解密技术、身份认证技术、密匙管理技术。

u QoS技术

保证VPN的性能稳定。

隧道的2个基本过程：加密和封装。

将一种协议封装在另一个协议中，实现被封装协议对封装协议时透明的。

IP隧道协议：使用IP协议作为封装协议的隧道协议。

第二层隧道协议：先，把各种网络协议封装到数据链路层的PPP帧中，再，把整个PPP帧转入隧道协议中，是一个2两层封装。

如：PPTP(point-to-point Tunneling)主要用于端到端

L2F(Layer TwoForwarding) 主要基于路由器的专网

L2TP (Layer Two Tunneling Protocol) 主要基于路由器

第二层隧道协议优缺点：优，简单易行。缺，可扩展性不好，不能在企业之间或与合作者之间建立安全通信。

第三层隧道协议：把各种网络协议直接装入隧道协议，封装的是网络协议数据包。

如：GRE(Generic Routing Encapsulation)和IPsec(IP 网络安全协议)

注：IPsec协议应用很广泛，还可以用于IPV6

在VPN建立隧道的网段实行QoS。

不同的网络通信对QoS的需求（带宽、反应时间、抖动、丢包率）

带宽：网络提供给用户的传输率

QoS机制（2种）：通信处理机制、供应和配置机制

QoS策略：SNMP（Simple Network Mangement Protocol）常用的策略协议。

结合当前应用，VPN 主要的2种类型

1、远程访问/移动用户的VPN连接/Access VPN

实现企业内部人员的移动需要，商家提供B2C的安全访问

主要是客户端-网关之间的连接（区别于网关-网关的VPN连接），采用主要是

第二层隧道协议。

总是由Client发出第一个数据包，VPN连接请求；Client与Server可以双向认证。

2、网关-网关的VPN连接

主要用于建立安全的内联网和企业的外联网。主要用第三层隧道协议的IPsec协议。

内联网Intranet VPN：企业内部各分支部门的连接

外联网Extranet VPN：企业与合作伙伴的连接

注：Extranet通常结合PKI技术使用？

呼叫网关发出连接请求，网关间认证。

IPV4本身的缺陷：缺乏对通信双方身份验证鉴别，缺乏对传输数据的完整性和机密性保护。基于源IP鉴别机制，在ＩＰ层，可能业务流被监听捕获，ＩＰ地址欺骗，信息泄露等。故有必要建立VPN隧道，尽量保证数据在公网中的安全。