网络工程师必考***************
什么是×××?
虚拟专用网络(Virtual Private Network ,简称×××)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网,主要是因为整个×××网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,如Internet、ATM(异步传输模式〉、Frame Relay (帧中继)等之上的逻辑网络,用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。
***
协议:
×××的隧道协议主要有三种,PPTP,L2TP和IPSec,其中PPTP和L2TP协议工作在OSI模型的第二层,又称为二层隧道协议;IPSec是第三层隧道协议,也是最常见的协议。L2TP和IPSec配合使用是目前性能最好,应用最广泛的一种。
***
按×××的应用分类:
1)Access ×××(远程接入×××):客户端到网关,使用公网作为骨干网在设备之间传输×××的数据流量;
2)Intranet ×××(内联网×××):网关到网关,通过公司的网络架构连接来自同公司的资源;
3)Extranet ×××(外联网×××):与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接;
***
按所用的设备类型进行分类:
网络设备提供商针对不同客户的需求,开发出不同的×××网络设备,主要为交换机,路由器,和防火墙
1)路由器式×××:路由器式×××部署较容易,只要在路由器上添加×××服务即可;
2)交换机式×××:主要应用于连接用户较少的×××网络;
3)防火墙式×××:防火墙式×××是最常见的一种×××的实现方式,许多厂商都提供这种配置类型
***
按照实现原理划分,×××可以分为两大类:
1)重叠×××:此×××需要用户自己建立端节点之间的×××链路,主要包括:GRE,L2TP,IPSec等众多技术。
2)对等×××:由网络运营商在主干网上完成×××通道的建立,主要包括MPLS,×××技术
***
隧道协议:
隧道是利用一种协议传输另一种协议的技术,即用隧道协议来实现×××功能。为创建隧道,隧道的客户机和服务器必须使用同样的隧道协议。
1)PPTP(点到点隧道协议)是一种用于让远程用户拨号连接到本地的ISP,通过因特网安全远程访问公司资源的新型技术。它能将PPP(点到点协议)帧封装成IP数据包,以便能够在基于IP的互联网上进行传输。PPTP使用TCP(传输控制协议)连接的创建,维护,与终止隧道,并使用GRE(通用路由封装)将PPP帧封装成隧道数据。被封装后的PPP帧的有效载荷可以被加密或者压缩或者同时被加密与压缩。
2)L2TP协议:L2TP是PPTP与L2F(第二层转发)的一种综合,它是由思科公司所推出的一种技术。
3)IPSec协议:是一个标准的第三层安全协议,它是在隧道外面再封装,保证了在传输过程中的安全。IPSec的主要特征在于它可以对所有IP级的通信进行加密。
***
常用×××的种类
最近几年,许多企业都部署的×××解决方案,通常可以分为三类:
首先是PPTP(Point to Point Tunneling Protocol)点对点隧道协议,是一种支持多协议虚拟专用网络的协议。这类方案采用了一项名为通用路由封装(Generic Routing Encapsulation,GRE)的技术。它是一种因特网协议,可以让发往某个网络的数据包经加密后,一个包接一个包地发送到可信服务器。然后,服务器拆开数据包,重新发送到专用网上。微软推出的PPTP/GRE方案就利用了GRE,并采用微软的算法对数据进行加密。通过该协议,远程用户能够跨越 Microsoft Windows NT工作站、 Windows2000 和 Windows XP 操作系统以及其它点对点激活系统安全访问共同网络,并通过拨号本地互联网服务提供商安全链接它们互联网上的共同网络。优点也是简单易配置,对于初阶应用安全性足以应用。
***适用:
PPTP作为简单的×××方案适合移动的用户(Mobile User)通过PPTP拨号连接到公司网络,比如经常出差的员工,通过×××连接到公司的服务器上收发邮件,存取文档资料等;不适合作为点对点或者点对多点的×××架构(当然一定用PPTP也是可以实现的)。
***
另一种是IPSec ×××(IP Security,IP协议安全),它也依靠GRE(IPSec/GRE)以及另一种名为封装安全载荷(Encapsulating Security Payload,ESP)的协议,IP数据包进行封装和加密处理。不过,与PPTP和L2TP相比, IPSec方案更安全、更可靠,这归功于IPSec选择及支持的加密算法。
***适用:
通常采用IPSec的×××方案来解决在多个分公司间构建稳定的×××的需求。
***
第三类是SSL ×××,SSL的英文全称是“Secure Sockets Layer”,中文名为“安全套接层协议层”,它是网景(Netscape)公司提出的基于WEB应用的安全协议。SSL协议指定了一种在应用程序协议(如Http、Telenet、NMTP和FTP等)和TCP/IP协议之间提供数据安全性分层的机制,它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户认证。它的特点是无需客户端软件,使用方便,适用于用户安装配置不易或是特定应用情况。(安全套接层协议层)方案,它只允许通过安全的Web浏览器,访问某几种具有Web功能的应用。
***适用:
它只能访问使用标准Web创作工具如HTML和JavaScript的应用。这项技术可以分析每个网页,确保从该网页引出的程序化的导航路径通过安全连接,转发到SSL ×××服务器。
***
**注意:
由于PPTP/L2TP和IPSec两种×××解决方案因彼此相似而常常被归为一类,因为它们都使用客户软件,并依赖GRE,原理极为类似。我们可以把它们都视为IPsec ×××方案。
***
***IPSec ×××与SSL ×××的区别和对比 :
×××建立了网上安全的加密隧道,还允许网络保密通信。它与任何在网上的监听者都可以读取的明文传送方式不同,×××传输的看起来就像是一批乱码。不同之处就在于如何建立这种隧道。 到现在为止,安全远程接入方案归结为两种选择: IPSec ×××(第一代)和SSL ×××(第二代),两者各有其优缺点。
基于IPSec方式的×××就是远程用户拨号接入的一套硬件设备。这与任何网络连接都被接受的一般方式不同。IPsec ×××设备只用来接受远程客户的连接。一个IPSec ×××的操作运行在协议栈的IP层。 IPsec ×××用户需要在客户端(无论是台式机或笔记本)上安装可以连接到×××服务器的软件。
SSL ×××也是一套进行远程连接的专用设备。但是,它更像一个Web服务器。它在协议栈的应用层(高于IP层),更像是应用程序的执行而非网络设备。
SSL ×××用户只需要一个网络浏览器来访问的×××连接。他们会进入到注册了的公司×××网页。SSL ×××主要让远程设备可以访问基于浏览器的应用。不过,通常说来,应用种类越多,SSL ×××的吸引力也就越小。这涉及到IPSec客户软件安全和SSL ×××定制间的取舍。
一个IPsec ×××把客户的机器连接到公司的网络。一个SSL ×××把一个单独的用户连接到特定的应用程序上。一个通过IPsec ×××进行连接的台式机或笔记本只不过是网络上的另外一台设备。一个SSL ×××是一个网络应用程序。用户通过浏览器访问的是网络上的特定应用程序而不是整个网络。
***
所以,IPSec ×××的强项恰恰是SSL ×××的弱项,而SSL ×××的强项恰恰是 IPSec ×××的弱项。
***
软件安全方面 :
对于IPsec×××和SSL×××来说,尽管公司和用户之间的连接是安全的,但双方都有弱点。 如果连接到IPsec ×××网络的用户被植入了木马程序,他将影响整个网络。比如,如果一个公司的雇员通过她或他家的的没有安装防火墙或者防病毒软件的台式机进行连接,那么×××网络就会变成从没有保护的家用计算机传播病毒、特洛伊程序、间谍软件和木马程序的安全渠道。
SSL ×××s在安全方面有些不同。作为一个Web应用系统,如果没有正确配置,一个SSL ×××是容易受到各种网络攻击的,如SQL注入,跨站点脚本,弱认证和参数操纵的情况。 IPsec与SSL谁更适合中小企业?
对SMB来讲,SSL方式更便宜,更容易维护,需要较少的员工培训。而IPsec方式需要在所有的远程客户端安装×××网关,连接软件并进行相应的配置。它比SSL ×××的成本要高。但是,还应该根据企业的需求来作决策。
如果远程用户需要访问整个网络,那么IPsec方式是不可避免的。如果用户只需要运行一个很小的应用程序,比如电子邮件、电子表格和演示,并且不需要访问整个网络,那么选择SSL ×××就可以很好的工作。
