VPN 主要的安全服务有以下 3 种:
保密性服务:防止传输的信息被监听;
完整性服务:防止传输的信息被修改;
认证服务:提供用户和设备的访问认证,防止非法接入;
VPN 介绍
专用网络:专用网就是
在两个网络(两个地区)之间架设一条专用线路,但是它并不需要真正地去铺设光缆之类的物理线路。虽然没有亲自去铺设,但是需要向电信运营商申请租用专线,在这条专用的线路上只传输自己的信息,所以安全稳定,同时也费用高昂。
VPN:Virtual Private
Network,虚拟私有网络,或称为虚拟专用网络,常用于在在公用网络上建立专用网络,进行加密]讯。在企业网络中有广泛应用。VPN
网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN 可通过服务器、硬件、软件等多种方式实现。
分公司连接到总部 有多种方式,其中两种主要方式是 通过专线连接 和 使用 VPN 连接。
专线连接
是通过物理线路(如光纤、以太网等)直接连接分公司和总部的网络。这种连接通常是由专业的网络提供商提供和管理的,提供更高的带宽和稳定性。专线连接通常有固定的费用,并且在网络安全和性能方面提供较好的保障。
VPN(虚拟专用网络)连接是通过公共网络(如互联网)进行加密通信,允许分公司的网络安全地连接到总部的网络。VPN
通过加密数据流,使其在公共网络中传输时变得安全,可以通过互联网以较低的成本建立连接。
VPN 工作逻辑
在外网的用户可以使用 vpn client 连接组织搭建的 vpn server 以建立通信隧道,随后便建立了虚拟的私人网络,处于外网的 worker
和内网中的 server 可以相互通信。
VPN 常见应用模式
点对站点 peer to site
允许单个用户或设备通过 VPN 客户端连接到一个已建立的 VPN 网络,实现远程安全访问。( 建议使用 OpenVPN )
站点对站点 site to site
是两个网络之间的连接,用于连接不同地理位置的局域网,提供安全的远程通信。( 建议使用硬件 VPN )
那么为什么需要VPN呢?
VPN的产生
随着社会的发展,IT技术越来越多地影响现代企业的业务流程,如企业资源规划、基于IP网络的语音、基于IP网络的会议和教学活动等IT技术,为企业的自动化办公和信息的获取提供了构架。随着网络经济的发展,越来越多的企业的分布范围日益扩大,合作伙伴日益增多,公司员工的移动性也不断增加。这使得企业迫切需要借助电信运营商网络连接企业总部和分支机构,组成自己的企业网,同时使移动办公人员能在企业以外的地方方便地接入企业内部网络。
最初,电信运营商是以租赁专线(Leased Line)的方式为企业提供二层链路,这种方式的主要缺点是:
-
建设时间长
-
价格昂贵
-
难于管理
此后,随着ATM(Asynchronous Transfer Mode)和帧中继(Frame
Relay)技术的兴起,电信运营商转而使用虚电路方式为客户提供点到点的二层连接,客户再在其上建立自己的三层网络以承载IP等数据流。虚电路方式与租赁专线相比,运营商网络建设时间短、价格低,能在不同专网之间共享运营商的网络结构。
这种传统专网的不足在于:
-
依赖于专用的介质(如ATM或FR):为提供基于ATM的VPN服务,运营商需要建立覆盖全部服务范围的ATM网络;为提供基于FR的VPN服务,又需要建立覆盖全部服务范围的FR网络。网络建设成本高。
-
速率较慢:不能满足当前Internet应用对于速率的要求。
-
部署复杂:向已有的私有网络加入新的站点时,需要同时修改所有接入此站点的边缘节点的配置。
传统专网的应用,促使了企业效益的日益增长,但传统专网难以满足企业对网络的灵活性、安全性、经济性、扩展性等方面的要求。这促使了一种新的替代方案的产生——在现有IP网络上模拟传统专网;这种新的解决方案就是虚拟专用网VPN(Virtual
Private Network)。
VPN是依靠Internet服务提供商ISP(Internet Service Provider)和网络服务提供商NSP(Network Service
Provider)在公共网络中建立的虚拟专用通信网络。
VPN的特征
VPN具有以下两个基本特征:
-
专用(Private):对于VPN用户,使用VPN与使用传统专网没有区别。VPN与底层承载网络之间保持资源独立,即VPN资源不被网络中非该VPN的用户所使用;且VPN能够提供足够的安全保证,确保VPN内部信息不受外部侵扰。
-
虚拟(Virtual):VPN用户内部的通信是通过公共网络进行的,而这个公共网络同时也可以被其他非VPN用户使用,VPN用户获得的只是一个逻辑意义上的专网。这个公共网络称为VPN骨干网(VPN Backbone)。
利用VPN的专用和虚拟的特征,可以把现有的IP网络分解成逻辑上隔离的网络。这种逻辑隔离的网络应用丰富:可以用在解决企业内部的互连、相同或不同办事部门的互连;也可以用来提供新的业务,如为IP电话业务专门开辟一个VPN,以此解决IP网络地址不足、[QoS](https://info.support.huawei.com/info-
finder/encyclopedia/zh/QoS.html “QoS”)保证、以及开展新的增值服务等问题。
VPN的优势
从客户角度看,VPN和传统的数据专网相比具有如下优势:
-
安全:在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的连接,保证数据传输的安全性。这对于实现电子商务或金融网络与通讯网络的融合特别重要。
-
廉价:利用公共网络进行信息通讯,企业可以用更低的成本连接远程办事机构、出差人员和业务伙伴。
-
支持移动业务:支持驻外VPN用户在任何时间、任何地点的移动接入,能够满足不断增长的移动业务需求。
-
服务质量保证:构建具有服务质量保证的VPN(如MPLS VPN),可为VPN用户提供不同等级的服务质量保证。
从运营商角度看,VPN具有如下优势:
-
可运营:提高网络资源利用率,有助于增加ISP的收益。
-
灵活:通过软件配置就可以增加、删除VPN用户,无需改动硬件设施。在应用上具有很大灵活性。
-
多业务:SP在提供VPN互连的基础上,可以承揽网络外包、业务外包、客户化专业服务的多业务经营。
VPN以其独具特色的优势赢得了越来越多的企业的青睐,使企业可以较少地关注网络的运行与维护,从而更多地致力于企业的商业目标的实现。另外,运营商可以只管理、运行一个网络,并在一个网络上同时提供多种服务,如Best-
effort
IP服务、VPN、流量工程、差分服务([Diffserv](https://info.support.huawei.com/info-
finder/encyclopedia/zh/QoS.html “Diffserv”)),从而减少运营商的建设、维护和运行费用。
VPN在保证网络的安全性、可靠性、可管理性的同时提供更强的扩展性和灵活性。在全球任何一个角落,只要能够接入到Internet,即可使用VPN。
VPN有哪些分类?
随着网络技术的发展,VPN技术得到了广泛的应用,同时也得到了很大的发展,涌现了许多VPN新技术。按照不同的角度,VPN可以分为多种类型。
按业务用途分类
根据业务用途不同,VPN可以分为:
- 企业内部虚拟专网Intranet VPN
Intranet VPN通过公用网络进行企业内部的互联,是传统专网或其它企业网的扩展或替代形式。
使用Intranet
VPN,企事业机构的总部、分支机构、办事处或移动办公人员可以通过公有网络组成企业内部网络。VPN也用来构建银行、政府等机构的Intranet。
典型的Intranet例子就是连锁超市、仓储物流公司、加油站等具有连锁性质的机构。
- 扩展的企业内部虚拟专网Extranet VPN
Extranet利用VPN将企业网延伸至供应商、合作伙伴与客户处,在具有共同利益的不同企业间通过公网构筑VPN,使部分资源能够在不同VPN用户间共享。
在传统的专线构建方式下,Extranet需要维护网络管理与访问控制,甚至还需要在用户侧安装兼容的网络设备。虽然可以通过拨号方式构建Extranet,但此时需要为不同的Extranet用户进行设置,同样降低不了复杂度。因合作伙伴与客户的分布广泛,拨号方式的Extranet需要昂贵的建设与维护费用。因此,企业常常放弃构建Extranet,使得企业间的商业交易程序复杂化,商业效率被迫降低。
Extranet VPN以其易于构建和管理为以上问题提供了有效的解决方案,其实现技术与Intranet
VPN相同。目前,企业间通常使用VPN来构建Extranet。为了保证[QoS](https://info.support.huawei.com/info-
finder/encyclopedia/zh/QoS.html
“QoS”),企业外部通讯一般不直接使用Intranet。并且,企业间的通讯数据通常是敏感的,而Extranet的安全性比Intranet强。各Extranet
用户访问Extranet VPN的权限可以通过防火墙等手段来设置与管理。
- 远程访问虚拟专网Access VPN
Access
VPN使出差流动员工、家庭办公人员和远程小办公室可以通过廉价的拨号介质接入企业内部服务器,与企业的Intranet和Extranet建立私有网络连接。Access
VPN有两种类型:一种是用户发起(Client-initiated)的VPN连接,另一种是接入服务器发起(NAS-initiated)的VPN连接。
按组网模型分类
根据组网模型的不同,VPN可以分为:
- VPDN(Virtual Private Dial Network)
VPDN为企业、小型ISP和移动办公人员提供接入服务。
VPDN接入范围可遍及PSTN(Public Switched Telephone Network)、ISDN(Integrated Services
Digital Network)的覆盖区域,网络建设投资少、周期短,网络运行费用低。主要采用点到点的连接方式,通过L2TP(Layer 2
Tunneling Protocol)、PPTP(Point-to Point Tunneling Protocol)等协议实现。
VPDN具有比其他类型的VPN更加灵活的身份验证机制和网络计费方式,以及高度的安全性,并支持动态地址分配。
- VPRN(Virtual Private Routing Network)
VPRN是总部、分支机构和远端办公室之间通过网络管理虚拟设备互连。VPRN与其他类型的VPN相比,其主要区别在于VPRN数据包的转发是在网络层实现的。公网的每个VPN节点需要为每个VPN建立专用路由转发表,包含网络层可达性信息。数据流在公网的VPN节点之间的转发以及VPN节点和用户站点之间的转发都是基于这些专用路由转发表。
VPRN的实现方式包括两种:一是使用传统VPN协议,如GRE(Generic Routing
Encapsulation)等,另一种是使用[MPLS](https://info.support.huawei.com/info-
finder/encyclopedia/zh/MPLS.html “MPLS”)(Multi-Protocol Label Switching)。
- VPWS(Virtual Private Wire Service)
VPWS也称为VLL(Virtual Leased
Line),是对传统租用线业务的仿真,使用IP网络模拟租用线,提供非对称、低成本的“DDN(Digital Data
Network)”业务。从虚拟租用线两端的用户来看,该虚拟租用线近似于传统的租用线。
VPWS也兼容传统专网(如ATM、FR),运营商可以从ATM、FR等传统专网向VPWS平滑升级。
VPWS作为一种虚拟租用线路的实现方法,主要是在接入层和汇聚层使用。VPWS又分为CCC(Circuit Cross-Connect)、SVC(Static
Virtual Circuit)、LDP等方式。PWE3也是一种端到端的二层业务承载技术,是对LDP方式VPWS的一种扩展。
- VPLS(Virtual Private LAN Service)
虚拟专用局域网业务VPLS是局域网之间通过虚拟专用网段互连,是局域网在IP公共网络上的延伸。
VPLS也称为透明局域网服务TLS(Transparent LAN
Service)。不同于普通L2VPN的点到点业务,利用VPLS技术,服务提供商可以通过MPLS骨干网向用户提供基于以太网的多点业务。
以太网技术由于其灵活的[VLAN](https://info.support.huawei.com/info-
finder/encyclopedia/zh/VLAN.html “VLAN”)逻辑接口定义,高带宽低成本等优势,越来越广泛地被使用。
VPRN和VPWS也能提供局域网服务,但传统以太网技术的局限性依然存在:
* 无法限制未知MAC的广播泛滥。
* [生成树](https://info.support.huawei.com/info-finder/encyclopedia/zh/STP.html "生成树")协议[STP](https://info.support.huawei.com/info-finder/encyclopedia/zh/STP.html "STP")([Spanning Tree Protocol](https://info.support.huawei.com/info-finder/encyclopedia/zh/STP.html "Spanning Tree Protocol"))扩展受限。
* VLAN地址空间有限。
突破传统以太网技术的限制,VPLS骨干网不需要运行STP,而是使用全连接和水平分割来消除骨干网的环路。对于单播或[多播](https://info.support.huawei.com/info-
finder/encyclopedia/zh/%E7%BB%84%E6%92%AD.html
“多播”)不可知帧,可采取丢弃、本地处理和广播的处理方式。因此,VPLS将实现VLAN的范围扩展至全国各地,甚至世界各地。
按网络结构分类
典型的VPN组网分为三级结构:
- 接入层
接入层的设备为用户提供接入功能,功能要求较低,但要求接入接口较多。对于大城市中的城域网,接入层要求的功能比较高。接入层的设备一般要求在接入节点处进行CE双(多)归属,分为物理双归属和逻辑双归属。物理双归属是指有两条物理链路连接,逻辑双归属是指通过环路来进行双归属。
- 汇聚层
汇聚层根据需要组成网状网,或者环状网。
- 骨干层
骨干层要求全连接,多级备份。骨干层各设备一般使用高速接口互连。
题外话
初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:
2023届全国高校毕业生预计达到1158万人,就业形势严峻;
国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。
一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。
6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。
2022届大学毕业生月收入较高的前10个专业
本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。
具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。
网络安全行业特点
1、就业薪资非常高,涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!
2、人才缺口大,就业机会多
2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!