【简介】作为一个小白,看着别人建VPN时鼠标点的飞快,却不明所以然,那么就要学习一下VPN是怎么构成的,建VPN需要哪些参数。
VPN 种类
常用的VPN有IPsec VPN、SSL VPN、PPTP VPN和L2TP VPN等。
【VPN】英文全称 “Virtual Private Network”,中文翻译过来就是“虚拟专用网络”。我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密通讯协议将连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。
【IPS VPN】指采用IPSec(Internet Protocol Security)协议来实现远程接入的一种VPN技术。IPSec协议是由Internet Engineering Task Force (IETF) 定义的安全标准框架,用以提供公用和专用网络的端对端加密和验证服务。
【SSL VPN】指采用SSL (Security Socket Layer)协议来实现远程接入的一种VPN技术。SSL协议是网景公司提出的基于WEB应用的安全协议,它包括:服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说,使用SSL可保证信息的真实性、完整性和保密性。
【PPTP VPN】PPTP(Point to Point Tunneling Protocol),即点对点隧道协议。该协议是在PPP协议的基础上开发的一种新的增强型安全协议,支持多协议虚拟专用网(VPN),可以通过密码验证协议(PAP)、可扩展认证协议(EAP)等方法增强安全性。可以使远程用户通过拨入ISP、通过直接连接Internet或其他网络安全地访问企业网。
【L2TP VPN】L2TP是一种工业标准的Internet隧道协议,功能大致和PPTP协议类似,比如同样可以对网络数据流进行加密。不过也有不同之处,比如PPTP要求网络为IP网络,L2TP要求面向数据包的点对点连接;PPTP使用单一隧道,L2TP使用多隧道;L2TP提供包头压缩、隧道验证,而PPTP不支持。
IPsec VPN 与 SSL VPN 的区别
IPsec VPN与SSL VPN技术各具特色,各有千秋。SSL VPN比较适合用于移动用户的远程接入(Client-Site),而IPSec VPN则在网对网(Site-Site)的VPN连接中具备先天优势。这两种产品将在VPN市场上长期共存,优势互补。在产品的表现形式上,两者有以下几大差异:
1、IPsec VPN多用于“网—网”连接,SSL VPN用于“移动客户—网”连接。SSL VPN的移动用户使用标准的浏览器,无需安装客户端程序,即可通过SSL VPN隧道接入内部网络;而IPSec VPN的移动用户需要安装专门的IPSec客户端软件。
2、SSL VPN是基于应用层的VPN,而IPsec VPN是基于网络层的VPN。IPsec VPN对所有的IP应用均透明;而SSL VPN保护基于Web的应用更有优势,当然好的产品也支持TCP/UDP的C/S应用,例如文件共享、网络邻居、Ftp、Telnet、Oracle等。
3、SSL VPN用户不受上网方式限制,SSL VPN隧道可以穿透Firewall;而IPSec客户端需要支持“NAT穿透”功能才能穿透Firewall,而且需要Firewall打开UDP500端口。
4、SSL VPN只需要维护中心节点的网关设备,客户端免维护,降低了部署和支持费用。而IPSec VPN需要管理通讯的每个节点,网管专业性较强。
5、SSL VPN 更容易提供细粒度访问控制,可以对用户的权限、资源、服务、文件进行更加细致的控制,与第三方认证系统(如:radius、AD等)结合更加便捷。而IPSec VPN主要基于IP组对用户进行访问控制。
VPN 连接
VPN的连接有两种,一种是设备与设备的连接,一种是客户端与设备的连接。
飞塔有专门的VPN客户端软件,名叫FortiClient,可以分别用SSL与IPsec两种方式接入飞塔防火墙。
另外飞塔防火墙也允许PPTP与L2TP两种VPN的接入,客户端可以是Windows系统,也可以是其它可以用使这两种VPN的客户端,比如手机。
如果要在飞塔防火墙与飞塔防火墙之间建立VPN连接,只能使用IPsec VPN。
IPsec VPN 模式
防火墙与防火墙之间只能用IPsec VPN连接,连接方式分为接口模式和隧道模式。也有人叫路由模式和策略模式。
飞塔防火墙默认IPsec为接口模式,利用模板向导生成的IPsec VPN,具有以下内容:
① 接口模式下,生成IPsec隧道。
② 接口模式下,生成一条静态路由。
③ 接口模式下,生成两条策略,一条进隧道,一条出隧道。
④ 接口模式下,生成一个虚拟通道接口。
⑤ 隧道模式就比较简单了,生成IPsec隧道。
⑥ 隧道模下,只有一条出去的策略,没有进来的策略和路由,没有虚拟通道接口。
【提示】接口模式可以控制出入IPsec隧道的信息,比隧道模式可控细粒度更高,建议用接口模式。
IPsec 隧道
要建立IPsec VPN,首先需要建立IPsec隧道。建立IPsec隧道分为二个阶段。阶段1需要知道对方提供三个连接参数,阶段2需要知道对方提供的二个连接参数。
当我们打某单位电话找人的时候,通常是这样的:首先拨打对方单位电话(建立连接),听到提示音后拨分机号码(建立隧道),开始通话。IPsec VPN也象打电话一样,分为二个阶段,阶段1建立连接,阶段2建立隧道。
① 在阶段1建立连接中,需要知道对方的网关地址或域名。
② 在阶段1建立连接中,需要知道预共享密钥,对方的防火墙也要设置同样的预共享密钥,这个密钥是双方约定的。
③ 在阶段1建立连接中,需要知道加密与认证,两边的防火墙要相同,这也是双方约定的。
④ 经过第1阶段建立连接,进入第2阶段建立隧道,需要知道允许访问对方的哪个内网地址段,如果地址段多的话,可以建立多条隧道。
⑤ 在阶段2建立隧道中,需要知道加密与认证,两边的防火墙要相同,这也是双方约定的。如果要建多条隧道,每条隧道的加密与认证都要相同。
飞塔技术 - 老梅子 QQ:57389522