快捷搜索:  as  2018  FtCWSyGV  С˵  test  xxx  Ψһ  w3viyKQx

澳门新葡亰集团:VPN技术比较



VPN技巧异常繁杂,它涉及到通信技巧、密码技巧和今世认证技巧,是一项交叉科学。今朝,CPE-based VPN主要包孕两种技巧:地道技巧与安然技巧。

一、地道技巧

地道技巧的基础历程是在源局域网与公网的接口处将数据(可所以ISO 七层模型中的数据链路层或收集层数据)作为负载封装在一种可以在公网上传输的数据款式中,在目的局域网与公网的接口处将数据解封装,掏出负载。被封装的数据包在互联网上通报时所颠末的逻辑路径被称为“地道”。

要使数据顺利地被封装、传送及解封装,通信协澳门新葡亰集团议是包管的核心。今朝VPN地道协议有4种:点到点地道协议PP澳门新葡亰集团TP、第二层地道协议L2TP、收集层地道协议IPSec以及SOCKS v5,它们在OSI 七层模型中的位置如表所示。各协议事情在不合层次,无所谓谁更有上风。但我们应该留意,不合的收集情况得当不合的协议,在选择VPN产品时,应该留意选择。

1.点到点地道协议—PPTP

PPTP协议将节制包与数据包分开,节制包采纳TCP节制,用于严格的状态查询及信令信息;数据包部分先封装在PPP协议中,然后封装到GRE V2协议中。今朝,PPTP协议基础已被淘汰,不再应用在VPN产品中。

2.第二层地道协议—L2TP

L2TP是国际标准地道协议,它结合了PPTP协议以及第二层转发L2F协议的优点,能以地道要领使PPP包经由过程各类收集协议,包括ATM、SONET和帧中继。然则L2TP没有任何加密步伐,更多是和IPSec协议结合应用,供给地道验证。

3.IPSec协议

IPSec协议是一个范围广泛、开放的VPN安然协议,事情在OSI模型中的第三层——收集层。它供给所有在收集层上的数据保护和透明的安然通信。IPSec协议可以澳门新葡亰集团设置成在两种模式下运行:一种是地道模式,一种是传输模式。在地道模式下,IPSec把IPv4澳门新葡亰集团数据包封装在安然的IP帧中。传输模式是为了保护端到真个安然性,不会暗藏路由信息。1999岁尾,IETF安然事情组完成了IPSec的扩展,在IPSec协议中加上了ISAKMP协议,此中还包括密钥分配协议IKE和Oakley。

一种趋势是将L2TP和IPSec结合起来: 用L2TP作为地道协议,用IPSec协议保护数据。今朝,市场上大年夜部分VPN采纳这类技巧。

表 4种地道协议在OSI七层模型中的位置

优点:它定义了一套用于保护私有性和完备性的标准协议,可确保运行在TCP/IP协议上的VPN之间的互操作性。

毛病:除了包过滤外,它没有指定其他造访节制措施,对付采纳NAT要领造访公共收集的环境难以处置惩罚。

适用处合澳门新葡亰集团:最得当可托LAN到LAN之间的VPN。

4.SOCKS v5协议

SOCKS v5事情在OSI模型中的第五层——会话层,可作为建立高度安然的VPN的根基。SOCKS v5协议的上风在造访节制,是以适用于安然性较高的VPN。 SOCKS v5现在被IETF建议作为建立VPN的标准。

优点:异常具体的造访节制。在收集层只能根据源目的的IP地址容许或回绝被经由过程,在会话层节制手段更多一些;因为事情在会话层,能同低层协议如IPV4、IPSec、PPTP、L2TP一路应用;用SOCKS v5的代理办事器可暗藏收集地址布局;能为认证、加密和密钥治理供给“插件”模块,让用户自由地采纳所必要的技巧。SOCKS v5可根据规则过滤数据流,包括Java Applet和Actives节制。

毛病:其机能比低层次协议差,必须拟订更繁杂的安然治理策略。

适用处合:最得当用于客户机到办事器的连接模式,适用于外部网VPN和远程造访VPN。

二、安然技巧

VPN 是在不安然的Internet 中通信,通信的内容可能涉及企业的机密数据,是以其安然性异常紧张。VPN中的安然技巧平日由加密、认证及密钥互换与治理组成。

1.认证技巧

认证技巧防止数据的捏造和被窜改,它采纳一种称为“择要”的技巧。“择要”技巧主要采纳HASH 函数将一段长的报文经由过程函数变换,映射为一段短的报文即择要。因为HASH 函数的特点,两个不合的报文具有相同的择要险些弗成能。该特点使得择要技巧在VPN 中有两个用途:验证数据的完备性、用户认证。

2.加密技巧

IPSec经由过程ISAKMP/IKE/Oakley 协商确定几种可选的数据加密算法,如DES 、3DES等。DES密钥长度为56位,轻易被破译,3DES应用三重加密增添了安然性。当然国外还有更好的加密算法,但国外禁止出口高位加密算法。基于同样来由,海内也禁止紧张部门应用国外算法。海内算法纰谬外公开,被破解的可能性极小。

3.密钥互换和治理

VPN 中密钥的分发与治理异常紧张。密钥的分发有两种措施:一种是经由过程手工设置设置设备摆设摆设的要领,另一种采纳密钥互换协议动态分发。手工设置设置设备摆设摆设的措施因为密钥更新艰苦,只得当于简单收集的环境。密钥互换协议采纳软件要领动态天生密钥,得当于繁杂收集的情况且密钥可快速更新,可以显明前进VPN 的安然性。今朝主要的密钥互换与治理标准有IKE (互联网密钥互换)、SKIP (互联网简单密钥治理)和Oakley。(胡英)

VPN组网要领

VPN在企业中的组网要领分以下3种。在各类组网要领下采纳的地道协议有所不合,要仔细选择。

1. Access VPN (远程造访VPN):客户端到网关

远程用户拨号接入到本地的ISP,它适用于流感职员远程办公,可大年夜大年夜低落电话费。SOCKS v5协议得当这类连接。

2. Intranet VPN (企业内部VPN):网关到网关

它适用于公司两个异地机构的局域网互连,在Internet 上组建天下范围内的企业网。使用Internet 的线路包管收集的互联性,而使用地道、加密等VPN 特点可以包管信息在全部Intranet VPN 上安然传输。IPSec地道协议可满意所有网关到网关的VPN连接,是以,在这类组网要领顶用得最多。

3.Extranet VPN (扩展的企业内部VPN):与相助伙伴企业网构成Extranet

因为不合公司的收集互相通信,以是要更多斟酌设备的互连、地址的和谐、安然策略的协商等问题。它也属于网关到网关的连接,选择IPSec协议是明智之举。

您可能还会对下面的文章感兴趣: