中文网页设计模板免费下载,超级优化小说,it培训机构包就业,宁波公司VPN#xff08;虚拟专用网络#xff09;
简介
虚拟专用网络#xff0c;简称虚拟专网#xff08;VPN#xff09;#xff0c;其主要功能是在公用网络上建立专用网络#xff0c;进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实…VPN虚拟专用网络
简介
虚拟专用网络简称虚拟专网VPN其主要功能是在公用网络上建立专用网络进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN 可通过服务器、硬件、软件等多种方式实现。
VPN 属于远程访问技术简单地说就是利用公用网络架设专用网络。例如某公司员工出差到外地他想访问企业内网的服务器资源这种访问就属于远程访问。
在传统的企业网络配置中要进行远程访问传统的方法是租用 DDN数字数据网专线或帧中继这样的通讯方案必然导致高昂的网络通讯和维护费用。对于移动用户移动办公人员与远端个人用户而言一般会通过拨号线路Internet进入企业的局域网但这样必然带来安全上的隐患。
让外地员工访问到内网资源利用 VPN 的解决方法就是在内网中架设一台 VPN 服务器。外地员工在当地连上互联网后通过互联网连接 VPN 服务器然后通过 VPN 服务器进入企业内网。为了保证数据安全VPN 服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密就可以认为数据是在一条专用的数据链路上进行安全传输就如同专门架设了一个专用网络一样但实际上 VPN 使用的是互联网上的公用链路因此 VPN 称为虚拟专用网络其实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了 VPN 技术用户无论是在外地出差还是在家中办公只要能上互联网就能利用 VPN 访问内网资源这就是 VPN 在企业中应用得如此广泛的原因。 工作原理
通常情况下VPN 网关采取双网卡结构外网卡使用公网 IP 接入 Internet。网络一假定为公网 internet的终端 A 访问网络二假定为公司内网的终端 B其发出的访问数据包的目标地址为终端 B 的内部 IP 地址。网络一的 VPN 网关在接收到终端 A 发出的访问数据包时对其目标地址进行检查如果目标地址属于网络二的地址则将该数据包进行封装封装的方式根据所采用的 VPN 技术不同而不同同时 VPN 网关会构造一个新 VPN 数据包并将封装后的原数据包作为 VPN 数据包的负载VPN 数据包的目标地址为网络二的 VPN 网关的外部地址。网络一的 VPN 网关将 VPN 数据包发送到 Internet由于 VPN 数据包的目标地址是网络二的 VPN 网关的外部地址所以该数据包将被 Internet 中的路由正确地发送到网络二的 VPN 网关。网络二的 VPN 网关对接收到的数据包进行检查如果发现该数据包是从网络一的 VPN 网关发出的即可判定该数据包为 VPN 数据包并对该数据包进行解包处理。解包的过程主要是先将 VPN 数据包的包头剥离再将数据包反向处理还原成原始的数据包。网络二的 VPN 网关将还原后的原始数据包发送至目标终端 B由于原始数据包的目标地址是终端 B 的 IP所以该数据包能够被正确地发送到终端 B。在终端 B 看来它收到的数据包就和从终端 A 直接发过来的一样。从终端 B 返回终端 A 的数据包处理过程和上述过程一样这样两个网络内的终端就可以相互通讯了。
通过上述说明可以发现在 VPN 网关对数据包进行处理时有两个参数对于 VPN 通讯十分重要原始数据包的目标地址VPN 目标地址和远程 VPN 网关地址。
根据 VPN 目标地址VPN 网关能够判断对哪些数据包进行 VPN 处理对于不需要处理的数据包通常情况下可直接转发到上级路由远程 VPN 网关地址则指定了处理后的 VPN 数据包发送的目标地址即 VPN 隧道的另一端 VPN 网关地址。由于网络通讯是双向的在进行 VPN 通讯时隧道两端的 VPN 网关都必须知道 VPN 目标地址和与此对应的远端 VPN 网关地址。 工作过程
VPN 的基本处理过程如下
要保护主机发送明文信息到其他 VPN 设备。VPN 设备根据网络管理员设置的规则确定是对数据进行加密还是直接传输。对需要加密的数据VPN 设备将其整个数据包包括要传输的数据、源 IP 地址和目的 lP 地址进行加密并附上数据签名加上新的数据报头包括目的地 VPN 设备需要的安全信息和一些初始化参数重新封装。将封装后的数据包通过隧道在公共网络上传输。数据包到达目的 VPN 设备后将其解封核对数字签名无误后对数据包解密。 VPN 的分类 按 VPN 的协议分类 VPN 的隧道协议主要有三种PPTP、L2TP 和 IPSec其中 PPTP 和 L2TP 协议工作在 OSI 模型的第二层又称为二层隧道协议 IPSec 是第三层隧道协议。 按 VPN 的应用分类 Access VPN远程接入 VPN客户端到网关使用公网作为骨干网在设备之间传输 VPN 数据流量Intranet VPN内联网 VPN网关到网关通过公司的网络架构连接来自同公司的资源Extranet VPN外联网 VPN与合作伙伴企业网构成 Extranet将一个公司与另一个公司的资源进行连接。 按所用的设备类型进行分类 网络设备提供商针对不同客户的需求开发出不同的 VPN 网络设备主要为交换机、路由器和防火墙 路由器式 VPN路由器式 VPN 部署较容易只要在路由器上添加 VPN 服务即可交换机式 VPN主要应用于连接用户较少的 VPN 网络 按照实现原理划分 重叠 VPN此 VPN 需要用户自己建立端节点之间的 VPN 链路主要包括GRE、L2TP、IPSec 等众多技术。对等 VPN由网络运营商在主干网上完成 VPN 通道的建立主要包括 MPLS、VPN 技术。 实现方式
VPN 的实现有很多种方法常用的有以下四种
VPN 服务器在大型局域网中通过网络中心搭建VPN服务器来实现VPN。软件 VPN使用专用的软件来实现VPN。硬件 VPN使用专用的硬件来实现VPN。集成 VPN一些硬件设备如路由器、防火墙等含有 VPN 功能通过集成这些功能来实现 VPN。 优缺点
优点 移动性和远程访问 VPN 能够让移动员工、远程员工、商务合作伙伴和其他人利用本地可用的高速宽带网连接如 DSL、有线电视或者 WiFi 网络连接到企业网络。 成本效率 高速宽带网连接提供一种成本效率高的连接远程办公室的方法。 模块化和可升级 设计良好的宽带VPN是模块化的和可升级的。 易用性 VPN能够让应用者使用一种很容易设置的互联网基础设施让新的用户迅速和轻松地添加到这个网络。 大容量和应用支持 这种能力意味着企业不用增加额外的基础设施就可以提供大量的容量和应用。 高水平的安全 VPN能提供高水平的安全使用高级的加密和身份识别协议保护数据避免受到窥探阻止数据窃贼和其他非授权用户接触这种数据。 完全控制 虚拟专用网使用户可以利用ISP的设施和服务同时又完全掌握着自己网络的控制权。
缺点 可靠性 and 性能控制权 企业不能直接控制基于互联网的 VPN 的可靠性和性能。机构必须依靠提供 VPN 的互联网服务提供商保证服务的运行。 部署难度 企业创建和部署 VPN 线路并不容易。这种技术需要高水平地理解网络和安全问题需要认真的规划和配置。 混合产品的不兼容性 不同厂商的 VPN 产品和解决方案总是不兼容的因为许多厂商不愿意或者不能遵守 VPN 技术标准。因此混合使用不同厂商的产品可能会出现技术问题。 成本可能增加 使用一家供应商的设备可能会提高成本。 无线设备的安全风险 当使用无线设备时VPN 有安全风险。在接入点之间漫游特别容易出问题。当用户在接入点之间漫游的时候任何使用高级加密技术的解决方案都可能被攻破。 面临的问题
VPN 域名 / IP 地址公开透明受众面太广;外网地址相对固定缺少变化;域名几乎一成不变长时间暴露在外容易被攻击;任何人都可以根据域名 IP 打开登录页面;VPN 容易导致账号共享;VPN 默认登录时间到达后强制退出用户体验不好;无白名单管控;无 VPN 退出失效机制。 网络翻墙 “墙”是什么 网络翻墙所指的“墙”是中国国家防火墙的俗称英文名 Great Firewall of China简写为 Great Firewall缩写 GFW是指中华人民共和国政府在其管辖因特网内部建立的多套网络审查系统的总称包括相关行政审查系统。 “翻墙”干什么 “翻墙”是指通过虚拟专用网络VPN技术规避国家网络监管突破 IP 封锁、内容过滤、域名劫持、流量限制等非法访问被国家禁止的境外网站行为。 简言之“翻墙”就是绕过国家网络监管访问那些被屏蔽的网站。“VPN”换个词来说就是网络上的“翻墙”大家在网上或电视上经常能看到脸谱Facebook 、YouTu be、推特Twitter、谷歌Google等各大网站但是这些网站在国内却不能使用于是很多人选择偷偷“翻墙”来欣赏墙外的风景而翻墙最常使用的就是 VPNVirtual Private Network。通过 VPN 可以将上网的网络转化为国外的网络就可以访问国外的网站和玩网络游戏等。 “翻墙”危害有哪些 泄露隐私 使用“翻墙”软件时发送与接收的数据都会通过提供商的机器用户的账号密码甚至一些银行账号信息等个人隐私极易被泄露。 造成思想混乱 境外网络和社交媒体上充斥着大量煽动性内容部分人员政治鉴别力不够热衷“政治野史”“惊天秘闻”受反动思想渗透蛊惑、拉拢策反易沦为错误观点的“二传手”、成为境外间谍情报机关的棋子。 诱发问题案件 长期“翻墙”上网浏览暴力、颓废和色情等有害信息容易被违法犯罪分子所利用引诱参与网络赌博、非法借贷、吸毒嫖娼引发刑事案件和自杀问题。 VPN 和堡垒机、跳板机的区别
区别
堡垒机主要用于保护内部网络限制用户访问权限。不提供远程访问功能。跳板机主要用于提供远程访问功能限制用户访问权限。但它并不保护内部网络。VPNVirtual Private Network主要用于建立安全的远程访问连接保护数据在公共网络上的传输安全。 堡垒机Bastion Host简介
定义 堡垒机是一种网络安全控制节点主要用于隔离安全较高的内部网络企业内网和安全程度较低的外部网络之间的访问。
堡垒机的主要功能
身份验证堡垒机可以对进入内部网络的用户进行身份验证确保只有授权的用户才能访问内部网络。网络流量过滤堡垒机可以过滤和转发网络流量从而防止恶意流量和未经授权的访问。应用程序控制堡垒机可以控制和管理应用程序的使用防止恶意软件和未经授权的访问。日志记录和审计堡垒机可以记录和审计网络流量和应用程序使用情况以便后续的追踪和审计。配置管理堡垒机可以对网络和应用程序进行配置管理以确保内部网络的安全性和可靠性。 作用
堡垒机通常部署在内部网络和外部网络的边缘通过控制用户对内部网络的访问从而保障企业内部网络的安全。
堡垒机可以限制用户的访问权限、记录用户的操作日志并可以提供多层身份验证等安全措施以防止非法用户入侵。 跳板机Jump Server简介
定义 跳板机是一种安全中转节点主要用于提供远程访问企业内部网络的通道通俗来讲就是不能直接访问企业内部的服务器必须通过跳板机这一层屏障才可以有机会访问企业内部的服务器。
跳板机的主要功能
流量转发跳板机可以将外部网络的流量转发到内部网络中从而实现对内部网络的访问。身份验证跳板机可以对进入内部网络的用户进行身份验证确保只有授权的用户才能访问内部网络。安全管理跳板机可以对内部网络的安全进行管理例如限制某些应用程序的使用、限制访问某些网站等。配置管理跳板机可以对内部网络进行配置管理例如对网络设备、应用程序进行配置。记录和审计跳板机可以记录内部网络的流量和使用情况以便后续的追踪和审计。 作用
跳板机一般都是部署在企业内部网络中主要用于提供远程访问内部网络的通道。用户公司远程办公员工、IT 远程协助等需要访问企业内部网络就必须通过跳板机跳板机可以限制用户的访问内部网络的权限并记录用户的操作行为并提供多层身份验证等安全措施防止非法用户的访问。
PC 客户端通过跳板机访问服务器 主要参考
百度百科-虚拟专用网络网络安全堡垒机、跳板机、Virtual Private Network知识介绍
