七、防御保护---VPN篇

最新推荐文章于 2024-06-19 15:29:05 发布
最新推荐文章于 2024-06-19 15:29:05 发布
阅读量1.3k 收藏 30
点赞数 21
分类专栏: 安全防御 文章标签: 安全 web安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/M372109150/article/details/136329901
版权

七、防御保护---VPN篇

一、VPN介绍

VPN — 虚拟专用网 — 一般指依靠ISP或者其他NSP,也可以是企业自身,提供的一条虚拟网络专线。这个虚拟的专线是逻辑上的,而不是物理上的,所以称为虚拟专用网
在这里插入图片描述
总结:
VPN诞生的原因 — 1,物理网络不适用,成本太高,并且如果位置不固定,则无法构建物理专线
2,公网安全无法保证
由于VPN的诞生,导致网络部署的灵活性大大提升。

二、VPN的分类

2.1 根据建设的单位不同分类

1,企业自建的VPN专线:GRE,IPSEC,SSL VPN,L2TP — 这种VPN构建成本较低,因为不需要支付专线的费用,仅需要承担购买VPN设备的费用。并且,在网络控制方面,也拥有更多的主动性。
在这里插入图片描述

2,直接租用运营商的VPN专线:MPLS VPN。这种方式需要企业支付专线的租用费用,但是,控制,安全以及网速方面的问题都将由运营商来承
担。MPLS VPN的优势在于,专线的租用成本低。
在这里插入图片描述

2.2 根据组网方式不同分类

1,远程访问VPN(ACCESS VPN):适合出差员工VPN拨号接入的场景。员工可以在任何能够接入公网的地方,通过远程拨号接入企业内网,从而访问内网资源。
在这里插入图片描述
2,局域网到局域网的VPN(也称为网关到网关的VPN)
在这里插入图片描述

2.3 根据应用场景不同分类

远程访问VPN:Access VPN面向出差员工。允许出差员工跨越公用网络远程接入公司内部网络。
Intranet VPN(企业内部虚拟专网):Intranet VPN通过公用网络进行企业内部各个网络的互连。
Extranet VPN(扩展的企业内部虚拟专网):Extranet VPN是指利用VPN将企业网延伸至合作伙伴处,使不同企业间通过公网来构筑VPN。Intranet VPN 和Extranet VPN的不同点主要在于访问公司总部网络资源的权限有区别。
在这里插入图片描述

2.4 按照VPN技术实现的网络层次进行分类:

基于数据链路层的VPN:L2TP、L2F、PPTP。其中L2F和PPTP已经基本上被L2TP替代了,强叔不再关注这两种技术了。
基于网络层的VPN:GRE、IPSec。
基于应用层的VPN:SSL。
在这里插入图片描述

三、VPN的核心技术

3.1 隧道技术

隧道技术是VPN的基本技术,类似于点到点连接技术。它的基本过程就是在数据进入源VPN网关后,将数据“封装”后通过公网传输到目的VPN网关后再对数据“解封装”。“封装/解封装”过程本身就可以为原始报文提供安全防护功能,所以被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。不同的VPN技术封装/解封装的过程完全不同,具体封装过程
在这里插入图片描述
VPN通过封装本身就是对数据的一种保护,而工作在不同层次的VPN,其实质就是保护其所在层次即以上的数据。当然,这种保护在没有加密的情况下,并不代表安全。
我们一般网络封装协议都是由三部分组成的 — 乘客协议,封装协议,运输协议。
VPN其他常用技术
在这里插入图片描述

3.2 身份认证技术

主要用于移动办公的用户远程接入的情况。通过对用户的身份进行认证,确保接入内部网络的用户是合法用户,而非恶意用户。
不同的VPN技术能提供的用户身份认证方法不同:

  • GRE不支持身份认证技术。
  • L2TP:依赖PPP提供的认证(比如CHAP、PAP、EAP)。接入用户的用户名和密码本地认证也可以通过RADIUS服务器认证。认证通过以后再给用户分配内部的IP地址,通过此IP地址对用户进行授权和管理。
  • IPSec:通过IKEv2拨号时,支持进行EAP认证。接入用户的用户名和密码可以本地认证可以通过RADIUS服务器认证。认证通过以后再给用户分配内部的IP地址,通过此IP地址对用户进行授权和管理。另外IPSec还支持数据源认证,在下面的数据验证技术里进行说明。
  • SSL VPN:支持本地认证、证书认证和服务器认证。主要是对服务器进行身份认证,确认Web网页的合法性
    身份认证技术 — 身份认证是VPN技术的前提。

3.3 加密技术

加密技术就是把能读懂的报文变成无法读懂的报文,也就是把明文变成密文,这样即便是有黑客获取了报文也无法知道其真实含义。加密对象有数据报文和协议报文之分,能够实现协议报文和数据报文都加密的协议安全系数更高。

  • GRE和L2TP协议本身不提供加密技术,所以通常结合IPSec协议一起使用,使用IPSec的加密技术。
  • IPSec:支持数据报文和协议报文加密。IPSec一般采用对称密钥算法加密数据。对称加密算法采用相同的密钥加密和解密数据。
    在这里插入图片描述
  • SSL VPN:支持数据报文和协议报文加密。SSL VPN采用公钥体制进行加密。公钥体制加密跟对称密钥加密的差别在于加密和解密的所用的密钥是不同的密钥。采用公钥进行加密,私钥进行解密。公钥和私钥一一对应。

3.4 数据验证技术

数据认证技术 — 验货 — 保证数据的完整性
HASH — 计算摘要值,之后,通过比对摘要值来保障完整性。
GRE VPN — 可以加入校验和。但是,GRE的这种功能是可选的,两边开启之后,才会激活数据认证功能。
L2TP VPN — 不支持数据认证
IPSEC VPN,SSL VPN都是支持数据认证的
在这里插入图片描述

Fly`
关注
  • 21
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
VPN技术之隧道技术原理与VPN技术原理(PPTP协议、L2TP协议、MPLS VPNWeb VPN
锦慈的技术博客
07-10 2442
PPP更像是一种应用,类似一个拨号上网的应用软件,拨号成功后,本地主机就可以正常上网,可以使用TCP/IP协议,而完全感觉不到PPP的存在。Internet上,在位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,好比通过安全隧道,到达目的地,而不用为隧道的建设付费,但是它并不需要真正的去铺设光缆之类的物理线路。将原始IP数据包封装进GRE协议,GRE协议成为封装协议(Encapsulation Protocol),封装的包头IP地址为虚拟直连链路两端的IP地址。
安全防御 IPsec VPN
upmans的博客
04-21 1629
在计算机和网络安全领域中,数据认证是指验证数据在传输和存储过程中的完整性、真实性和合法性的过程。数据在传输和存储过程中容易受到数据篡改、损坏或未经授权的访问和修改的风险,数据认证可以帮助防止这些风险并提高数据的安全性和可靠性。数据认证的主要作用包括:1.防止数据被篡改和损坏:通过数据认证可以验证数据的完整性,确保数据没有被篡改或损坏。2.防止未经授权的访问和修改:数据认证可以验证数据的真实性和合法性,确保只有经过授权的用户才能访问和修改数据。
运营商各种专线技术,裸纤,SDH,PTN,MSTP,MPLS VPN
qq_23710315的博客
12-28 2797
在SDH大红大紫的时候,以太网和ATM(不是取款机)之间的另一场战争中,以太网取得了全面的胜利,使得以太网大行其道,其中IP最强,导致今天很多业务侧IP化,服务器,PC、摄像机必须配置IP地址!3,MSTP,由于之前MSTP成立时,股权分配不均,存在着许多遗留问题,以太网仅占20%,导致目前以太网严重不满,毕竟现在网络上IP流量占90%以上,SDH集团研究后推出MSTP+(又称HybridMSTP),50/50股权分配,进一步提升以太网在公司的地位,也不是一个好的补偿措施。我们纯粹为我们的以太网服务。
vpn概述总结
qq_61759561的博客
11-08 833
vpn概述总结
VPN是什么、类型、使用场景、工作原理
2401_84215240的博客
06-19 1364
VPN是Virtual Private Network(虚拟专用网络)的缩写,它是一种通过公共网络(例如互联网)创建私密连接的技术。根据使用的协议和实现方式,VPN可以分为多种类型,包括以下几种常见的:1. 远程访问VPN:用于连接远程用户与企业内部网络之间的安全通信。远程用户可以通过公共网络访问私有网络资源,同时数据传输通过加密和隧道技术保证安全性。2. 网站对网站VPN:也被称为站点对站点VPN,用于连接不同地点的局域网(LAN)或企业网络
安全防御之IPsec VPN
weixin_67259816的博客
04-14 5112
文章主要是对IPSEC的总结和实践。包括架构的理解,流程的分析,在路由器和防火墙上的配置。
HCIE-DATACOM数通分解实验
05-20
HCIE-DATACOM数通分解实验: HCIE-MPLS-Inter-AS VPN(初始环境) HCIE-安全-双机热备 HCIE-安全-虚拟系统(场景1) HCIE-安全-虚拟系统(场景2)IPv6-ISATAP...HCIE-MPLS-Inter-AS VPN-RR(初始环境) HCIE-Qos-HQoS综合案例
Tap-Windows Adapter 虚拟网卡
05-23
Tap-Windows Adapter 虚拟网卡 vpn 多联 神器
HCIE-datacom讲解视频.zip
10-16
网盘文件永久链接 HCIE-datacom讲解视频 数通IE-datacom实验集训.mp3(1-11)
BGP-mpls-ip-vpn
最新发布
07-10
实验拓扑,对于BGP的操作配置,以及结合MPLS使用的vpn 手段 主要是针对于BGP、MPLS的学习,实验中还包含了部分的OSPF和静态路由等相关操作点 完整的理解实验,会对你的理论知识有一个更好的理解,加深印象
tap-windows-9.21.1.exe
09-23
win10连接vpn报错There are no TAP-Windows adapters on this system. You should be able to create a TAP
VPN及常见VPN种类介绍
weixin_42334426的博客
03-07 1470
VPN的应用: site-to-site VPN,用于两个局域网之间的连接,可采用:IPSec、L2TP、L2TP over IPSec、GRE over IPSec、IPSec over GRE。 client-to-site VPN,用于客户端与企业内网之间建立连接,可采用:SSL、IPSec、L2TP、L2TP over IPSec。
VPN理论入门及GRE、L2TP、IPsec(HCIP)
qq_45022073的博客
12-22 3190
IPsec(Internet Protocol Security,因特网协议安全协议)是ETF制定的一组开放的网络安全协议(标准,厂商共同支持)。它并不是一个单独的协议,而是一系列为IP网络提供安全性的协议和服务的集合。数据来源验证:接收方验证发送方身份是否合法(带ID)。数据加密:发送方对数据进行加密,以密文的形式在开放网络上传送,接收方对接收的加密数据进行解密后处理或直接转发(第一阶段5、6包秘钥加密)。数据完整性:接收方对接收的数据进行验证,以判定报文是否被算改(带秘钥的哈希)。
网络安全技术】——VPN技术及应用(学习笔记)
HinsCoder的博客
04-08 4565
近年来,随着全球信息化建设的快速发展,对网络基础设施的功能和可延伸性提出了新的要求。例如,一些跨地区组织的各分支机构之间需要进行远距离的互联;一些单位的员工需要远程接入内部网络进行移动办公。为了解决各分支机构局域网之间的互联问题,早期只能通过直接铺设网络线路或租用运营商的专线,不但成本高,而且实现困难。对于移动办公用户来说,早期一般采用拨号方式接入到内部网络,在需要支付较高的通信费用的同时,还要考虑到通信的安全问题。VPN技术可以在公共网络(如Internet)中为用户建立专用的通道,为局域网之间的远程互联
防御—IPsecVPN
tang_jun_yi的博客
10-05 386
身份认证是指确认一个实体是其所声称的实体的过程。在计算机和网络安全领域中,身份认证通常指通过验证用户提供的凭证(如用户名和密码、数字证书、生物特征等)来确认用户的身份。身份认证的作用是保护计算机和网络系统中的敏感信息和资源,防止未经授权的用户访问和操作。身份认证可以用于许多场景,例如:在网上购物或银行业务中,用户需要进行身份认证才能保护其账户和支付信息的安全;在企业网络中,身份认证可以确保只有经过授权的用户才能访问敏感信息和资源;在政府或军事系统中,身份认证可以保护国家机密和重要信息的安全
安全防御------SSL VPN
m0_63292411的博客
08-09 5893
文章详细地介绍了SSL协议的工作过程以及SSL VPN的相关知识,其中概括了SSL VPN的实现方式,功能,应用场景等。
跨域MPLS VPN OptionA
03-29
跨域MPLS VPN Option A是一种基于MPLS(Multiprotocol Label Switching)技术的VPN(Virtual Private Network)解决方案,用于连接不同地理位置的企业分支机构。在这种解决方案中,所有分支机构的数据流量都通过MPLS VPN服务提供商的网络进行传输,从而实现了分支机构之间的互联。 在跨域MPLS VPN Option A中,每个分支机构都有一个MPLS VPN连接,该连接连接到服务提供商的MPLS云,所有流量都通过该云进行传输。每个分支机构都有一个唯一的VPN标识符(VPN ID),以使服务提供商能够将流量路由到正确的VPN连接。 跨域MPLS VPN Option A具有以下优点: 1. 安全性高:所有数据都通过加密的MPLS VPN通道进行传输,可以保护数据免受网络攻击和监听。 2. 稳定性高:MPLS VPN网络具有高度可靠的性能,可以提供低延迟、低抖动和高可靠性的传输。 3. 灵活性强:企业可以根据需要增加或减少分支机构数量,而无需更改整个网络拓扑。 4. 管理和维护简单:企业不需要投入大量的资金和人力资源来管理和维护VPN网络,因为服务提供商会提供这些服务。 5. 成本效益高:与传统的专线连接相比,MPLS VPN网络的成本更低,可以为企业节省大量的资金。 总之,跨域MPLS VPN Option A是一种可靠、安全、灵活且成本效益高的VPN解决方案,适用于需要连接多个分支机构的企业。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Fly`

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值