IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 网络协议 -> 什么是虚拟专用网络? -> 正文阅读

[网络协议]什么是虚拟专用网络?

0 什么是VPN?

虚拟专用网络(Virtual Private Network,VPN,也称虚拟私人网路),其通过像互联网这样的公共网络扩展单个专用网络,将用户看作专用网络链路,将专用网络延伸到公共网络上,使用户能够在共享或公共网络上发送和接收数据,就像他们的计算设备直接连接到专用网络上一样

其最关键的地方是在公网上建立虚信道,由隧道技术完成,隧道的建立可以在链路层和网络层完成

1 VPN,SSL和IPSec

1.1 什么是IPSec

提到VPN,不得不说到IPSec

互联网安全协议(Internet Protocol Security, IPSec)是一个协议包,通过对IP协议的分组进行加密和认证,保护IP协议的网络传输协议族

1.2 IPSec的组成

其主要由以下协议组成:

  • 认证头(AH),为IP数据报提供无连接数据完整性、消息认证以及防重放攻击保护
  • 封装安全载荷(ESP),提供机密性、数据源认证、无连接完整性、防重放和有限的传输流机密性
  • 因特网密钥交换(Internet Key Exchange,IKE或IKEv2),为AH、ESP操作所需的安全关联(SA)提供算法、数据包和密钥参数

1.3 IPSec的缺陷

首先,IPsec协议工作在OSI模型的第三层,使其在单独使用时适于保护基于TCP或UDP的协议(如安全套接子层(SSL)就不能保护UDP层的通信流)。这就意味着,与传输层或更高层的协议相比,IPsec协议必须处理可靠性和分片的问题,这同时也增加了它的复杂性和处理开销。相对而言,SSL/TLS依靠更高层的TCP(OSI的第四层)来管理可靠性和分片

由于IPSec是基于网络层的协议,很难穿越NAT和防火墙,特别是在接入一些防护措施较为严格的个人网络和公共计算机时,往往会导致访问受阻。移动用户使用IPSec VPN需要安装专用的客户端软件,为日益增长的用户群发放、安装、配置、维护客户端软件已经使管理员不堪重负。因此,IPSec VPN在Point- to-Site远程移动通信方面并不适用

1.4 SSL和IPSec的安全防护对比

在这里插入图片描述
SSL协议只对通信双方传输的应用数据进行加密,而不是对从一个主机到另一个主机的所有数据进行加密

2 VPN的分类

VPN大致可分为远程访问网络、站点-站点网络、基于外联网的站点-站点网络

2.1 远程访问网络

主机到网络的配置类似于将一台计算机连接到一个局域网。此类型提供对企业网络(例如 Intranet)的访问。这可用于需要访问私人资源的远程办公人员,或移动工作者能够访问重要的工具而不暴露在公共互联网上

2.2 站点-站点网络

站点对站点的配置连接两个网络。这种配置将一个网络扩展到地理位置上不同的办公室,或将一组办公室扩展到一个数据中心。互连链路可能运行在不同的中间网络上,例如通过 IPv4 网络连接的两个 IPv6 网络

2.3 基于外联网的站点-站点网络

首先需要介绍两个术语:intranet和extranet,这两种站点被用来描述两种不同的使用情况

  • intranet:由VPN连接的站点属于同一个组织
  • extranet:VPN连接了属于多个组织的站点

2.4 其他分类

VPN系统还可以根据以下方式继续细分:

  • 用于传输流量的隧道协议
  • 隧道的终止点位置,例如在客户边缘或网络供应商边缘
  • 连接的拓扑结构类型,如站点到站点或网络到网络 提供的安全级别
  • 它们呈现给连接网络的OSI层,如第2层电路或第3层网络连接
  • 同时连接的数量

3 Web代理

3.1 实现过程

VPN将远端浏览器的页面请求(采用https协议)转发给web服务器,然后将服务器的响应回传给终端用户,提供细致到URL的权限控制,即可控制到用户对某一张具体页面的访问
在这里插入图片描述

3.2 Web代理的实现方式

Web代理有两种实现方式:Web-link和Web改写,后者为默认采取方式

  • Web-link采取ActiveX控件方式对页面进行转发
  • Web改写方式采用脚本改写方式,将请求所的页面上的链接进行改写,其他网页内容不做修改

3.3 基本原理

Web代理功能的基本实现原理是将远程用户访问Web Server的过程被分成了两个阶段:

  1. 远程用户与NGFW虛拟网关之间建立HTTPS会话
  2. NGFW虚拟网关再与Web Server建立HTTP会话。虚拟网关在远程用户访问企业内网Web Server中起到了改写、转发Web请求的作用
    在这里插入图片描述

4 终端安全

终端安全是在请求接入内网的主机上部署一个软件,通过该软件检查终端主机的安全状况,其主要包括:主机检查、缓存清理

4.1 主机检查

主机检查是检查用户用来访问内网资源的主机是否符合安全要求

其主要包括以下检查项:

  • 杀毒软件检查
  • 防火墙检查
  • 注册表检查
  • 文件检查
  • 端口检查
  • 进程检查
  • 操作系统检查

4.2 缓存清理

USG可以在用户访问虚拟网关结束时,采用必要的手段清除终端.上的访问痕迹(例如生成的临时文件、Cookie等),以防止泄密,杜绝安全隐患

其清理范围为:

  • Internet临时文件

  • 浏览器自动保存的密码

  • Cookie记录

  • 浏览器的访问历史记录

  • 回收站和最近打开的文档列表

  • 指定文件或文件夹

5 VPN的作用

VPN的作用是帮助公司的远程用户(出差,在家)、公司的分支机构、商业合作伙伴及供应商等公司和自己的公司内部网络之间建立可信的安全连接或者是局域网连接,确保数据的加密安全传输和业务访问

  网络协议 最新文章
使用Easyswoole 搭建简单的Websoket服务
常见的数据通信方式有哪些?
Openssl 1024bit RSA算法---公私钥获取和处
HTTPS协议的密钥交换流程
《小白WEB安全入门》03. 漏洞篇
HttpRunner4.x 安装与使用
2021-07-04
手写RPC学习笔记
K8S高可用版本部署
mySQL计算IP地址范围
上一篇文章      下一篇文章      查看所有文章
加:2022-05-21 19:17:01  更:2022-05-21 19:17:19 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/29 12:04:57-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计