内容纲要

虚拟专用网 (VPN–Virtual Private Network) 被定义为通过一个公用网络 (通常是因特网) 建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道,它是对企业内部网的扩展。本文将介绍主流的应用协议。

PPTP
点对点隧道协议 (PPTP) 是由包括微软和 3Com 等公司组成的 PPTP 论坛开发的一种点对点隧道协,基于拨号使用的 PPP 协议使用 PAP 或 CHAP 之类的加密算法,或者使用 Microsoft 的点对点加密算法 MPPE。其通过跨越基于 TCP/IP 的数据网络创建 VPN 实现了从远程客户端到专用企业服务器之间数据的安全传输。PPTP 支持通过公共网络 (例如 Internet) 建立按需的、多协议的、虚拟专用网络。PPTP 允许加密 IP 通讯,然后在要跨越公司 IP 网络或公共 IP 网络 (如 Internet) 发送的 IP 头中对其进行封装。

L2TP
第 2 层隧道协议 (L2TP) 是 IETF 基于 L2F(Cisco 的第二层转发协议) 开发的 PPTP 的后续版本。是一种工业标准 Internet 隧道协议,其可以为跨越面向数据包的媒体发送点到点协议 (PPP) 框架提供封装。PPTP 和 L2TP 都使用 PPP 协议对数据进行封装,然后添加附加包头用于数据在互联网络上的传输。PPTP 只能在两端点间建立单一隧道。 L2TP 支持在两端点间使用多隧道。使用 L2TP,用户可以针对不同的服务质量创建不同的隧道。

IPSec 隧道模式
隧道是封装、路由与解封装的整个过程。隧道将原始数据包隐藏 (或封装) 在新的数据包内部。该新的数据包可能会有新的寻址与路由信息,从而使其能够通 过网络传输。隧道与数据保密性结合使用时,在网络上窃听通讯的人将无法获取原始数据包数据(以及原始的源和目标)。封装的数据包到达目的地后,会删除封 装,原始数据包头用于将数据包路由到最终目的地。

隧道本身是封装数据经过的逻辑数据路径。对原始的源和目的端,隧道是不可见的,而只能看到网络路径中的点对点连接。连接双方并不关心隧道起点和终点之间的任何路由器、交换机、代理服务器或其他安全网关。将隧道和数据保密性结合使用时,可用于提供 VPN。

封装的数据包在网络中的隧道内部传输。在此示例中,该网络是 Internet。网关可以是外部 Internet 与专用网络间的周界网关。周界网关可以是路由器、防火墙、代理服务器或其他安全网关。另外,在专用网络内部可使用两个网关来保护网络中不信任的通讯。

当以隧道模式使用 IPSec 时,其只为 IP 通讯提供封装。使用 IPSec 隧道模式主要是为了与其他不支持 IPSec 上的 L2TP 或 PPTP VPN 隧道技术的路由器、网关或终端系统相互操作。

SSL VPN
SSL VPN, SSL 协议提供了数据私密性、端点验证、信息完整性等特性。SSL 协议由 许多子协议组成,其中两个主要的子协议是握手协议和记录协议。握手协议允许服务器和客户端 “在应用协议传输第一个数据字节以前,彼此确认,协商一种加密算 法和密码钥匙”。在数据传输期间,记录协议利用握手协议生成的密钥加密和解密后来交换的数据。

SSL 独立于应用,因此任何一个应用程序都可以享受它的安全性而不必理会执行细节。SSL 置身于网络结构体系的 传输层和应用层之间。此外,SSL 本身就被几乎所有的 Web 浏览器支持。这意味着客户端不需要为了支持 SSL 连接安装额外的软件。这两个特征就是 SSL 能 应用于 VPN 的关键点。

下面是一张对比图:

发表评论

电子邮件地址不会被公开。 必填项已用*标注