虚拟私有网基础

背景

        企业、组织、商家等对专用网有强大的需求。

        高性能、高速度和高安全性是专用网明显的优势。

        物理专用网价格高昂，物理架设实施有难度。传统的通过租用专线或拨号网络的方式越来越

不适用。(性价比较低)

        TCP/IP协议簇本身的局限性，不能保证信息直接传输的保密性。TCP/IP协议在设计之 初是基

于信环境的，没有考虑安全问题，所以在TCP/IP协议簇本身存在许多固有的安全缺陷。

定义

        虚拟私有网：是指依靠ISP或其他NSP在公用网络基础设施之上构建的专用的安全数据通信网

络，只不过这个专线网络是逻辑上的而不是物理的，所以称为虚拟专用网。

虚拟: 用户不再需要拥有实际的长途数据线路，而是使用公共网络资源建立自己的私有网络。

专用: 用户可以定制最符合自身需求的网络。

核心技术: 隧道技术

分类

        应用层：        SSL虚拟私有网等

        传输层：        Sangfor 虚拟私有网等

        网络层：        IPSec,GRE等

        网络接口层： L2F/L2TP,PPTP等

常用技术

隧道技术

隧道：是在公共通信网络上构建的一条数据路径， 可以提供与专用通信线路等同的连接特性。

隧道技术：是指在隧道的两端通过封装以及解封装技术在公网上建立一 条数据通道，使用这条通

道对数据报文进行传输。隧道是由隧道协议构建形成的。隧道技术是VPN技术中最关键的技术。

加解密技术

        目的：即使信息被窃听或者截取，攻击者也无法知晓信息的真实内容。可以对抗网络攻击中

的被动攻击。

        通常使用加密机制来保护信息的保密性，防止信息泄密。信息的加密机制通常是建立在密码

学的基础上。

主流算法：对称加密，非对称加密

对称机密 :

加解密双方都要使用相同的密钥，因此在发送、接收数据之前，必须完成密钥的协商分发

非对称加密：

加密和解密使用的是不同的密钥(公钥、私钥)，两个密钥之间存在着 相互依存关系用其中任一 个

密钥加密的信息只能用另一个密钥进行解密:即用公钥加密，用私钥解密就可以得到明文;

这使得通信双方无需事先交换密钥就可进行保密通信。

身份认证技术

身份认证：通过标识和鉴别用户的身份，防止攻击者假冒合法用户来获取访问权限。

身份认证技术：是在网络中确认操作者身份的过程而产生的有效解决方法。