- 浏览: 1200666 次
- 性别:
- 来自: 上海
文章分类
- 全部博客 (361)
- java综合 (33)
- 项目管理 (10)
- 工作流 (6)
- spring (11)
- hibenate (17)
- struts (0)
- javascript,html,css,ajax,jquery (11)
- IDE (9)
- 生活 (0)
- 工作 (0)
- 杂记 (1)
- 数据库 (96)
- 服务器 (5)
- 可视编辑 (0)
- freemarker (6)
- 操作系统 windows (13)
- web页面 (6)
- jms (15)
- 调优 (4)
- 测试和bug管理 (2)
- 原理 (1)
- 項目-atf (17)
- 安全 (3)
- xml (4)
- 操作系统 liunx (21)
- 网络 (22)
- office (11)
- 设计 (2)
- 软件 (1)
- 数据库 mysql (6)
- 胖客户端-flex (1)
- 正则 (9)
- oracle- liunx (3)
- sql2000 (2)
- 模式 (1)
- 虚拟机 (2)
- jstl (2)
- 版本控制 打包工具 (0)
- AOP (1)
- demo (1)
- 小软件 (2)
- 感恩 (1)
- iphone 4 (1)
- 反欺诈业务经验整理 (0)
最新评论
-
sea0108:
mark
java内存模型 -
XingShiYiShi:
方便把:testPNR();具体实现发出来吗?谢谢
用正则表达式解析 航信的电子客票和pnr报文 -
wh359126613:
如果js和webservice不在同一个服务器上,有跨域问题如 ...
使用javascript调用webservice示例 -
雨飛雁舞:
...
oracle 动态性能(V$)视图 -
ouyang1224:
好东西
oracle 动态性能(V$)视图
VPN技术比较
来源: 作者: 发布时间:2008-04-11
VPN技术非常复杂,它涉及到通信技术、密码技术和现代认证技术,是一项交叉科学。目前,CPE-based VPN主要包含两种技术:隧道技术与安全技术。
一、隧道技术
隧道技术的基本过程是在源局域网与公网的接口处将数据(可以是ISO 七层模型中的数据链路层或网络层数据)作为负载封装在一种可以在公网上传输的数据格式中,在目的局域网与公网的接口处将数据解封装,取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。
要使数据顺利地被封装、传送及解封装,通信协议是保证的核心。目前VPN隧道协议有4种:点到点隧道协议PPTP、第二层隧道协议L2TP、网络层隧道协议IPSec以及SOCKS v5,它们在OSI 七层模型中的位置如表所示。各协议工作在不同层次,无所谓谁更有优势。但我们应该注意,不同的网络环境适合不同的协议,在选择VPN产品时,应该注意选择。
1.点到点隧道协议—PPTP
PPTP协议将控制包与数据包分开,控制包采用TCP控制,用于严格的状态查询及信令信息;数据包部分先封装在PPP协议中,然后封装到GRE V2协议中。目前,PPTP协议基本已被淘汰,不再使用在VPN产品中。
2.第二层隧道协议—L2TP
L2TP是国际标准隧道协议,它结合了PPTP协议以及第二层转发L2F协议的优点,能以隧道方式使PPP包通过各种网络协议,包括ATM、SONET和帧中继。但是L2TP没有任何加密措施,更多是和IPSec协议结合使用,提供隧道验证。
3.IPSec协议
IPSec协议是一个范围广泛、开放的VPN安全协议,工作在OSI模型中的第三层——网络层。它提供所有在网络层上的数据保护和透明的安全通信。IPSec协议可以设置成在两种模式下运行:一种是隧道模式,一种是传输模式。在隧道模式下,IPSec把IPv4数据包封装在安全的IP帧中。传输模式是为了保护端到端的安全性,不会隐藏路由信息。1999年底,IETF安全工作组完成了IPSec的扩展,在IPSec协议中加上了ISAKMP协议,其中还包括密钥分配协议IKE和Oakley。
一种趋势是将L2TP和IPSec结合起来: 用L2TP作为隧道协议,用IPSec协议保护数据。目前,市场上大部分VPN采用这类技术。
表 4种隧道协议在OSI七层模型中的位置
优点:它定义了一套用于保护私有性和完整性的标准协议,可确保运行在TCP/IP协议上的VPN之间的互操作性。
缺点:除了包过滤外,它没有指定其他访问控制方法,对于采用NAT方式访问公共网络的情况难以处理。
适用场合:最适合可信LAN到LAN之间的VPN。
4.SOCKS v5协议
SOCKS v5工作在OSI模型中的第五层——会话层,可作为建立高度安全的VPN的基础。SOCKS v5协议的优势在访问控制,因此适用于安全性较高的VPN。 SOCKS v5现在被IETF建议作为建立VPN的标准。
优点:非常详细的访问控制。在网络层只能根据源目的的IP地址允许或拒绝被通过,在会话层控制手段更多一些;由于工作在会话层,能同低层协议如IPV4、IPSec、PPTP、L2TP一起使用;用SOCKS v5的代理服务器可隐藏网络地址结构;能为认证、加密和密钥管理提供“插件”模块,让用户自由地采用所需要的技术。SOCKS v5可根据规则过滤数据流,包括Java Applet和Actives控制。
缺点:其性能比低层次协议差,必须制定更复杂的安全管理策略。
适用场合:最适合用于客户机到服务器的连接模式,适用于外部网VPN和远程访问VPN。
二、安全技术
VPN 是在不安全的Internet 中通信,通信的内容可能涉及企业的机密数据,因此其安全性非常重要。VPN中的安全技术通常由加密、认证及密钥交换与管理组成。
1.认证技术
认证技术防止数据的伪造和被篡改,它采用一种称为“摘要”的技术。“摘要”技术主要采用HASH 函数将一段长的报文通过函数变换,映射为一段短的报文即摘要。由于HASH 函数的特性,两个不同的报文具有相同的摘要几乎不可能。该特性使得摘要技术在VPN 中有两个用途:验证数据的完整性、用户认证。
2.加密技术
IPSec通过ISAKMP/IKE/Oakley 协商确定几种可选的数据加密算法,如DES 、3DES等。DES密钥长度为56位,容易被破译,3DES使用三重加密增加了安全性。当然国外还有更好的加密算法,但国外禁止出口高位加密算法。基于同样理由,国内也禁止重要部门使用国外算法。国内算法不对外公开,被破解的可能性极小。
3.密钥交换和管理
VPN 中密钥的分发与管理非常重要。密钥的分发有两种方法:一种是通过手工配置的方式,另一种采用密钥交换协议动态分发。手工配置的方法由于密钥更新困难,只适合于简单网络的情况。密钥交换协议采用软件方式动态生成密钥,适合于复杂网络的情况且密钥可快速更新,可以显著提高VPN 的安全性。目前主要的密钥交换与管理标准有IKE (互联网密钥交换)、SKIP (互联网简单密钥管理)和Oakley。(胡英)
VPN组网方式
VPN在企业中的组网方式分以下3种。在各种组网方式下采用的隧道协议有所不同,要仔细选择。
1. Access VPN (远程访问VPN):客户端到网关
远程用户拨号接入到本地的ISP,它适用于流动人员远程办公,可大大降低电话费。SOCKS v5协议适合这类连接。
2. Intranet VPN (企业内部VPN):网关到网关
它适用于公司两个异地机构的局域网互连,在Internet 上组建世界范围内的企业网。利用Internet 的线路保证网络的互联性,而利用隧道、加密等VPN 特性可以保证信息在整个Intranet VPN 上安全传输。IPSec隧道协议可满足所有网关到网关的VPN连接,因此,在这类组网方式中用得最多。
3.Extranet VPN (扩展的企业内部VPN):与合作伙伴企业网构成Extranet
由于不同公司的网络相互通信,所以要更多考虑设备的互连、地址的协调、安全策略的协商等问题。它也属于网关到网关的连接,选择IPSec协议是明智之举。
一、隧道技术
隧道技术的基本过程是在源局域网与公网的接口处将数据(可以是ISO 七层模型中的数据链路层或网络层数据)作为负载封装在一种可以在公网上传输的数据格式中,在目的局域网与公网的接口处将数据解封装,取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。
要使数据顺利地被封装、传送及解封装,通信协议是保证的核心。目前VPN隧道协议有4种:点到点隧道协议PPTP、第二层隧道协议L2TP、网络层隧道协议IPSec以及SOCKS v5,它们在OSI 七层模型中的位置如表所示。各协议工作在不同层次,无所谓谁更有优势。但我们应该注意,不同的网络环境适合不同的协议,在选择VPN产品时,应该注意选择。
1.点到点隧道协议—PPTP
PPTP协议将控制包与数据包分开,控制包采用TCP控制,用于严格的状态查询及信令信息;数据包部分先封装在PPP协议中,然后封装到GRE V2协议中。目前,PPTP协议基本已被淘汰,不再使用在VPN产品中。
2.第二层隧道协议—L2TP
L2TP是国际标准隧道协议,它结合了PPTP协议以及第二层转发L2F协议的优点,能以隧道方式使PPP包通过各种网络协议,包括ATM、SONET和帧中继。但是L2TP没有任何加密措施,更多是和IPSec协议结合使用,提供隧道验证。
3.IPSec协议
IPSec协议是一个范围广泛、开放的VPN安全协议,工作在OSI模型中的第三层——网络层。它提供所有在网络层上的数据保护和透明的安全通信。IPSec协议可以设置成在两种模式下运行:一种是隧道模式,一种是传输模式。在隧道模式下,IPSec把IPv4数据包封装在安全的IP帧中。传输模式是为了保护端到端的安全性,不会隐藏路由信息。1999年底,IETF安全工作组完成了IPSec的扩展,在IPSec协议中加上了ISAKMP协议,其中还包括密钥分配协议IKE和Oakley。
一种趋势是将L2TP和IPSec结合起来: 用L2TP作为隧道协议,用IPSec协议保护数据。目前,市场上大部分VPN采用这类技术。
表 4种隧道协议在OSI七层模型中的位置
优点:它定义了一套用于保护私有性和完整性的标准协议,可确保运行在TCP/IP协议上的VPN之间的互操作性。
缺点:除了包过滤外,它没有指定其他访问控制方法,对于采用NAT方式访问公共网络的情况难以处理。
适用场合:最适合可信LAN到LAN之间的VPN。
4.SOCKS v5协议
SOCKS v5工作在OSI模型中的第五层——会话层,可作为建立高度安全的VPN的基础。SOCKS v5协议的优势在访问控制,因此适用于安全性较高的VPN。 SOCKS v5现在被IETF建议作为建立VPN的标准。
优点:非常详细的访问控制。在网络层只能根据源目的的IP地址允许或拒绝被通过,在会话层控制手段更多一些;由于工作在会话层,能同低层协议如IPV4、IPSec、PPTP、L2TP一起使用;用SOCKS v5的代理服务器可隐藏网络地址结构;能为认证、加密和密钥管理提供“插件”模块,让用户自由地采用所需要的技术。SOCKS v5可根据规则过滤数据流,包括Java Applet和Actives控制。
缺点:其性能比低层次协议差,必须制定更复杂的安全管理策略。
适用场合:最适合用于客户机到服务器的连接模式,适用于外部网VPN和远程访问VPN。
二、安全技术
VPN 是在不安全的Internet 中通信,通信的内容可能涉及企业的机密数据,因此其安全性非常重要。VPN中的安全技术通常由加密、认证及密钥交换与管理组成。
1.认证技术
认证技术防止数据的伪造和被篡改,它采用一种称为“摘要”的技术。“摘要”技术主要采用HASH 函数将一段长的报文通过函数变换,映射为一段短的报文即摘要。由于HASH 函数的特性,两个不同的报文具有相同的摘要几乎不可能。该特性使得摘要技术在VPN 中有两个用途:验证数据的完整性、用户认证。
2.加密技术
IPSec通过ISAKMP/IKE/Oakley 协商确定几种可选的数据加密算法,如DES 、3DES等。DES密钥长度为56位,容易被破译,3DES使用三重加密增加了安全性。当然国外还有更好的加密算法,但国外禁止出口高位加密算法。基于同样理由,国内也禁止重要部门使用国外算法。国内算法不对外公开,被破解的可能性极小。
3.密钥交换和管理
VPN 中密钥的分发与管理非常重要。密钥的分发有两种方法:一种是通过手工配置的方式,另一种采用密钥交换协议动态分发。手工配置的方法由于密钥更新困难,只适合于简单网络的情况。密钥交换协议采用软件方式动态生成密钥,适合于复杂网络的情况且密钥可快速更新,可以显著提高VPN 的安全性。目前主要的密钥交换与管理标准有IKE (互联网密钥交换)、SKIP (互联网简单密钥管理)和Oakley。(胡英)
VPN组网方式
VPN在企业中的组网方式分以下3种。在各种组网方式下采用的隧道协议有所不同,要仔细选择。
1. Access VPN (远程访问VPN):客户端到网关
远程用户拨号接入到本地的ISP,它适用于流动人员远程办公,可大大降低电话费。SOCKS v5协议适合这类连接。
2. Intranet VPN (企业内部VPN):网关到网关
它适用于公司两个异地机构的局域网互连,在Internet 上组建世界范围内的企业网。利用Internet 的线路保证网络的互联性,而利用隧道、加密等VPN 特性可以保证信息在整个Intranet VPN 上安全传输。IPSec隧道协议可满足所有网关到网关的VPN连接,因此,在这类组网方式中用得最多。
3.Extranet VPN (扩展的企业内部VPN):与合作伙伴企业网构成Extranet
由于不同公司的网络相互通信,所以要更多考虑设备的互连、地址的协调、安全策略的协商等问题。它也属于网关到网关的连接,选择IPSec协议是明智之举。
发表评论
-
关于SSL VPN技术原理及其应用全面解析
2009-03-30 19:01 2488随着电子商务、企业信息化、教育信息化等信息化进程的推进,整个社 ... -
HTTP Status Messages
2009-03-30 17:31 1285http://www.btinternet.com/~wild ... -
IP地址精解
2009-03-30 15:08 1101为什麽我们要学二进位 ... -
TCP协议握手协商通信详解
2009-03-30 15:06 23941、建立连接协议(三 ... -
IPv6远水不解近渴 IPv4仍需挑大梁
2009-03-30 14:52 1241“IP地址资源的危机并 ... -
TCP/IP详解学习笔记(13)-TCP坚持定时器,TCP保活定时器
2009-03-30 14:52 1963TCP一共有四个主要的定 ... -
TCP/IP详解学习笔记(12)-TCP的超时与重传
2009-03-30 14:51 1866超时重传是TCP协议保证 ... -
TCP/IP详解学习笔记(11)-TCP交互数据流,成块数据流
2009-03-30 14:50 1581目前建立在TCP协议上的 ... -
TCP/IP详解学习笔记(10)-TCP连接的建立与中止
2009-03-30 14:50 1570TCP是一个面向连接的 ... -
TCP/IP详解学习笔记(9)-TCP协议概述
2009-03-30 14:49 1667于看到了TCP协议,这是T ... -
TCP/IP详解学习笔记(8)-DNS域名系统
2009-03-30 14:49 1569前面已经提到了访问一台机器要靠IP地址和MAC地址,其中,M ... -
TCP/IP详解学习笔记(7)-广播和多播,IGMP协议
2009-03-30 14:48 20271.单播,多播,广 ... -
TCP/IP详解学习笔记(6)-UDP协议
2009-03-30 14:48 16141.UDP简要介绍UDP是传输层协议,和TCP协议处于一个分 ... -
TCP/IP详解学习笔记(5)-IP选路,动态选路,和一些细节
2009-03-30 14:47 11771.静态IP选路 1.1.一 ... -
TCP/IP详解学习笔记(4)-ICMP协议,ping和Traceroute
2009-03-30 14:46 18971.IMCP协议介绍前面讲到 ... -
TCP/IP详解学习笔记(3)-IP协议,ARP协议,RARP协议
2009-03-30 14:45 1546把这三个协议放到一起 ... -
TCP/IP详解学习笔记(2)-数据链路层
2009-03-30 14:43 1726数据链路层有三个目 ... -
TCP/IP详解学习笔记(1)-基本概念
2009-03-30 14:34 1341http://blog.chinaunix.net/u2/ ... -
使用 netstat 命令监视网络状态
2009-03-30 14:33 2814http://docs.sun.com/app/docs/do ... -
TCP/IP详解
2009-03-30 13:58 1750TCP和UDP处在同一层---运输层,但是TCP和UDP最不同 ...
相关推荐
文章还详细阐述了VPN的定义、分类、关键技术及配置,包括GRE VPN、IPSec VPN、L2TP VPN和SSL VPN的原理和应用场景。 重点内容: 1. 加密技术保证数据安全性和完整性。 2. VPN定义和分类。 3. GRE VPN的原理和应用...
深信服SSL VPN产品技术白皮书
同时,一些广域网加速的新技术也在不断向深信服 SSL VPN 移植,例如 Flash-Link 技术、TCP 协议代理技术、流缓存技术等,这些在其他领域获得突破的技术都在不断改变 SSL VPN 的用户体验。 深信服 SSL VPN 设备支持...
IPSec VPN网络技术培训
比较热门的一种MPLS二层VPN技术。业界有两个标准,一个标准以LDP作为信令协议,由Alcatel发起,得到业界大部分厂家的支持(包括Cisco);另一个标准由Juniper发起,以BGP作为信令协议,只有Juniper和华为支持。
使用场景及目标:主要用于SSL VPN的功能配置与验证,提高对网络安全技术的理解和实操能力。完成实验后,学习者应能熟练配置各类SSL VPN功能,保障企业内部资源的安全访问。 其他说明:文档中涉及的操作均应在实验...
联想网御VPN技术与产品特点.docx
GM-T 0024-2023 SSL VPN技术规范
理解VPN技术的工作原理,了解不同类型VPN技术的主要作用以及各自的主要应用环境。能够完成IPSec VPN技术的应用,并熟练掌握IPSec VPN技术相关的配置命令。公司之间建立VPN隧道,实现跨互联网私有网络。
此资源包含完整实验报告(加上你的学号姓名即可提交) 组网技术实验对于没有基础的同学真的太难了,没有答案寸步难行啊
24嵌套VPN技术白皮书,pdf 25VPLS技术白皮书pdf 26组播技术白皮书pdf 271Pv6组播技术白皮书.pdf 28组播VPN技术白皮书pdf 29以太网OAM技术白皮书pdtf 30DLDP技术白皮书pdt 31RRP技术白皮书pdf 325 mart Link& Monitor ...
SSLVPN的技术原理与应用.docx
计算机网络安全技术 共八章 计算机病毒 密码 防火墙 数据库 备份技术
07 VPN技术之SSL VPN介绍 08 SmartMC技术介绍 09 MDC技术介绍 10 Segment Routing之概述 11 L3VPN over SRv6-BE技术介绍 12 Segment Routing之MPLS SR 13 Portal双栈认证技术介绍 14 DHCP动态网段分配技术...
第02章 网络通信技术 共106页.pptx 第03章 数据链路控制 共90页.pptx 第04章 局域网 共116页.pptx 第05章 广域网 共140页.pptx 第06章 IPv4和IPv6 共165页.pptx 第07章 IP路由 共102页.pptx 第08章 宽带IP 共103页....
使用场景及目标:适用于需要了解和掌握基于TLS/SSL和TUN技术实现虚拟专用网络(VPN)的学生和工程师。目标是学习和实践轻量化VPN系统的构建与测试方法,提高对网络安全的理解和技术能力。 阅读建议:建议先阅读实验...
HC13031062 站点到站点VPN技术.ppt HC13031063 L2TP VPN.ppt HC13031064 Efficient VPN HC13031065 VPN高可用.ppt HC13031066 DSVPN HC13031067 NAT-T HC13031068 GRE Over IPsec HC13031071 SSL VPN技术原理 HC...
SIEMENS自动化控制系统于VPN网络技术的完美结合(共11张PPT).pptx
GBT 36968-2018 信息安全技术 IPSec VPN技术规范.pdf GBT 36968-2018 信息安全技术 IPSec VPN技术规范.xdf GBT 37092-2018 信息安全技术 密码模块安全要求.pdf GBT 38629-2020 信息安全技术 签名验签服务器技术规范....
2.1MPLSVPN技术在计算机网络安全中的应用 MPLSVPN技术说的就是MPLS技术的实际应用,实质上就是在运营商宽带IP网络中为企业搭建了一个专用IP网络,从而使企业的数据信息在跨地域传输过程中更加的安全,并且该项技术...