快捷搜索:  汽车  科技

网络安全设备通常有哪八个方面(网络安全安全设备篇)

网络安全设备通常有哪八个方面(网络安全安全设备篇)2.网络一(假定为公网internet)的终端A访问网络二(假定为公司内网)的终端B,其发出的访问数据包的目标地址为终端B的内部IP地址。1.通常情况下,VPN网关采取双网卡结构,外网卡使用公网IP接入Internet。VPN由VPN服务器、VPN连接(Internet公共网络)、协议隧道、VPN客户机组成。工作原理...

什么是VPN?

VPN是英文“Virtual Private Network”的缩写,中文意思是“虚拟专用网络”。

VPN是虚拟出来的企业内部专线。通过特殊加密的通讯协议,为连接在Internet上,不同地理位置的两个或多个企业内部网,建立一条专有的通讯线路,就像架设了一条专线,但不需要真正去铺设光缆之类的物理线路。

VPN构成

网络安全设备通常有哪八个方面(网络安全安全设备篇)(1)

VPN由VPN服务器、VPN连接(Internet公共网络)、协议隧道、VPN客户机组成。

工作原理...

1.通常情况下,VPN网关采取双网卡结构,外网卡使用公网IP接入Internet。

2.网络一(假定为公网internet)的终端A访问网络二(假定为公司内网)的终端B,其发出的访问数据包的目标地址为终端B的内部IP地址。

3.网络一的VPN网关在接收到终端A发出的访问数据包时对其目标地址进行检查,如果目标地址属于网络二的地址,则将该数据包进行封装,封装的方式根据所采用的VPN技术不同而不同,同时VPN网关会构造一个新VPN数据包,并将封装后的原数据包作为VPN数据包的负载,VPN数据包的目标地址为网络二的VPN网关的外部地址。

4.网络一的VPN网关将VPN数据包发送到Internet,由于VPN数据包的目标地址是网络二的VPN网关的外部地址,所以该数据包将被Internet中的路由正确地发送到网络二的VPN网关。

5.网络二的VPN网关对接收到的数据包进行检查,如果发现该数据包是从网络一的VPN网关发出的,即可判定该数据包为VPN数据包,并对该数据包进行解包处理。解包的过程主要是先将VPN数据包的包头剥离,再将数据包反向处理还原成原始的数据包。

6.网络二的VPN网关将还原后的原始数据包发送至目标终端B,由于原始数据包的目标地址是终端B的IP,所以该数据包能够被正确地发送到终端B。在终端B看来,它收到的数据包就和从终端A直接发过来的一样。

7.从终端B返回终端A的数据包处理过程和上述过程一样,这样两个网络内的终端就可以相互通讯了。

在VPN网关对数据包进行处理时,有两个参数对于VPN通讯十分重要:原始数据包的目标地址(VPN目标地址)和远程VPN网关地址。根据VPN目标地址,VPN网关能够判断对哪些数据包进行VPN处理,对于不需要处理的数据包通常情况下可直接转发到上级路由;远程VPN网关地址则指定了处理后的VPN数据包发送的目标地址,即VPN隧道的另一端VPN网关地址。

由于网络通讯是双向的,在进行VPN通讯时,隧道两端的VPN网关都必须知道VPN目标地址和与此对应的远端VPN网关地址。

实现方式

VPN的实现有很多种方法,常用的有以下四种:

1.VPN服务器:在大型局域网中,可以通过在网络中心搭建VPN服务器的方法实现VPN。

2.软件VPN:可以通过专用的软件实现VPN。

3.硬件VPN:可以通过专用的硬件实现VPN。

4.集成VPN:某些硬件设备,如路由器、防火墙等,都含有VPN功能,但是一般拥有VPN功能的硬件设备通常都比没有这一功能的要贵。

VPN分类

网络安全设备通常有哪八个方面(网络安全安全设备篇)(2)

根据不同的划分标准,VPN可以按几个标准进行分类划分:

  • 按VPN的协议分类:

VPN的隧道协议主要有三种,PPTP、L2TP和IPSEC,其中PPTP和L2TP协议工作在OSI模型的第二层,又称为二层隧道协议;IPSec是第三层隧道协议。

  • 按VPN的应用分类:

(1)Access VPN(远程接入VPN):客户端到网关,使用公网作为骨干网在设备之间传输VPN数据流量;

(2)Intranet VPN(内联网VPN):网关到网关,通过公司的网络架构连接来自同公司的资源;

(3)Extranet VPN(外联网VPN):与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接。

网络安全设备通常有哪八个方面(网络安全安全设备篇)(3)

  • 按所用的设备类型进行分类:

网络设备提供商针对不同客户的需求,开发出不同的VPN网络设备,主要为交换机、路由器和防火墙:

(1)路由器式VPN:路由器式VPN部署较容易,只要在路由器上添加VPN服务即可;

(2)交换机式VPN:主要应用于连接用户较少的VPN网络;

(3)防火墙式VPN:防火墙式VPN是最常见的一种VPN的实现方式,许多厂商都提供这种配置类型。

网络安全设备通常有哪八个方面(网络安全安全设备篇)(4)

  • 按照实现原理划分:

(1)重叠VPN:此VPN需要用户自己建立端节点之间的VPN链路,主要包括:GRE、L2TP、IPSec等众多技术。

(2)对等VPN:由网络运营商在主干网上完成VPN通道的建立,主要包括MPLS、VPN技术。

常见VPN介绍

  • 二层VPN L2TP

该协议是一种工业标准的Internet隧道协议,功能大致和PPTP协议类似,比如同样可以对网络数据流进行加密。不过也有不同之处,比如PPTP要求网络为IP网络,L2TP要求面向数据包的点对点连接;PPTP使用单一隧道,L2TP使用多隧道;L2TP提供包头压缩、隧道验证,而PPTP不支持。

网络安全设备通常有哪八个方面(网络安全安全设备篇)(5)

L2TP协议是由IETF起草,微软、Ascend、Cisco,3com等公司参予制定的二层隧道协议,它结合了PPTP和L2F两种二层隧道协议的优点,为众多公司所接受,已经成为IETF有关2层通道协议的工业标准,基于微软的点对点隧道协议 (PPTP)和思科2层转发协议(L2F)之上的,被一个因特网服务提供商和公司使用使这个虚拟私有网络的操作能够通过因特网。

网络安全设备通常有哪八个方面(网络安全安全设备篇)(6)

  • 三层VPN

三层VPN包含了很多种VPN,标准的IPsecVPN,SSLVPN,GRE隧道VPN,混合VPN等。企业一般按照自己的需求选择合适的VPN,每种VPN都有自己的优点和缺点。

1.SSLVPN:SSLVPN指的是基于安全套接层协议(Security Socket Layer-SSL)建立远程安全访问通道的VPN技术。它是近年来兴起的VPN技术,其应用随着Web的普及和电子商务、远程办公的兴起而发展迅速。

网络安全设备通常有哪八个方面(网络安全安全设备篇)(7)

2.GRE隧道VPN:通用路由封装(GRE:Generic Routing Encapsulation)在RFC1701/RFC1702中定义,它规定了怎样用一种网络层协议去封装另一种网络层协议的方法。GRE的隧道由两端的源IP地址和目的IP地址来定义,它允许用户使用IP封装IP、IPX、AppleTalk,并支持全部的路由协议,如RIP、OSPF、IGRP、EIGRP。通过GRE,用户可以利用公用IP网络连接IPX网络和AppleTalk网络,还可以使用保留地址进行网络互联,或对公网隐藏企业网的IP地址。

网络安全设备通常有哪八个方面(网络安全安全设备篇)(8)

3.IPsecVPN:IPsecVPN是网络层的VPN技术,它独立于应用程序,以自己的封包封装原始IP信息,因此可隐藏所有应用协议的信息。一旦IPSEC建立加密隧道后,就可以实现各种类型的连接,如Web、电子邮件、文件传输、VoIP等,每个传输直接对应到VPN网关之后的相关服务器上。IPSEC是与应用无关的技术,因此IPSec VPN的客户端支持所有IP层协议,对应用层协议完全透明,这是IPSEC VPN的最大优点之所在。

网络安全设备通常有哪八个方面(网络安全安全设备篇)(9)

  • MPLSVPN

MPLS-VPN是指采用MPLS技术在宽带IP网络上构建企业IP专网,实现跨地域、安全、高速、可靠的数据、语音、图像多业务通信,并结合差别服务、流量工程等相关技术,将公众网可靠的性能、良好的扩展性、丰富的功能与专用网的安全、灵活、高效结合在一起,为用户提供高质量的服务。

VPN作用

网络安全设备通常有哪八个方面(网络安全安全设备篇)(10)

VPN是建立在实际网络(或物理网络)基础上的一种功能性网络。它利用低成本的公共网络做为企业骨干网,同时又克服了公共网络缺乏保密性的弱点,在VPN网络中,位于公共网络两端的网络在公共网络上传输信息时,其信息都是经过安全处理的,可以保证数据的完整性、真实性和私有性。

网络安全设备通常有哪八个方面(网络安全安全设备篇)(11)

VPN有效解决了地理距离过长,无法假设物理网络以及随时访问企业内网的安全问题。公司内部网络是封闭的、有边界的,这一问题限制了企业内部各种应用的延伸。通过VPN,将两个物理上分离的网络通过Internet这个公共网络进行逻辑上的直接连接,通过这种方式我们可以无限延伸企业的内部网络,继而使所有用户可以访问相同的资源,使用相同的应用。

网络安全设备通常有哪八个方面(网络安全安全设备篇)(12)

VPN的可以很好的利用当前既有的Internet线路资源,不再受地域的限制,而对于用户来讲,VPN的工作方式是完全透明的。VPN可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。

(图/文来源:网络)

猜您喜欢: