VPN定义(Vitual Private Network,虚拟私有网):是指依靠ISP或其他NSP在公用网络基础设施之上构建的专用的安全数据通信网络,只不过这个专线网络是逻辑上的而不是物理的,所以称为虚拟专用网。
虚拟:用户不再需要拥有实际的长途数据线路,而是使用公共网络资源建立自己的私有网络。
专用:用户可以定制最符合自身需求的网络。
核心技术:隧道技术
NSP(Network Server Provider,网络服务提供商)
定义基本同ISP,同时范围不限于Internet,而是包括了全部的计算机网络
按业务分类
1.Client-LAN VPN(Acceess VPN)
使用基于Internet远程访问的 VPN
出差在外的员工、有远程办公需要的分支机构,都可以利用这种类型的 VPN ,实现对企业内部网络资源进行安全地远程访问。
2.LAN-LAN VPN
为了在不同局域网络之间建立安全的数据传输通道,例如在企业内部各分支机构之间或者企业与其合作者之间的网络进行互联,则可以采用 LAN-LAN 类型的 VPN 。
按网络层次分类
应用层 ssl vpn等
传输层 sangfor vpn
网络层 IPSec,GRE等
网络接口层 L2F/L2TP 、PPTP等
VPN按网络层次分类
应用层 SSL VPN等
传输层 Sangfor VPN
网络层 IPSec、GRE等
网络接口层 L2F/L2TP 、PPTP等
VPN常用技术
隧道技术 加解密技术 身份认证技术 数据认证技术 密钥管理技术
隧道技术
隧道:是在公共通信网络上构建的一条数据路径,可以提供与专用通信线路等同的连接特性。
隧道技术: 是指在隧道的两端通过封装以及解封装技术在公网上建立一条数据通道,使用这条通道对数据报文进行传输。隧道是由隧道协议构建形成的。隧道技术是VPN技术中最关键的技术。
加解密技术
目的:即使信息被窃听或者截取,攻击者也无法知晓信息的真实内容。可以对抗网络攻击中的被动攻击。
通常使用加密机制来保护信息的保密性,防止信息泄密。信息的加密机制通常是建立在密码学的基础上。
从明文到密文的过程一般是通过加密算法加密进行的。
从变密文到明文,称为脱密(解密)变换。
主流加密算法分为:
对称加密算法
非对称加密算法(公钥加密算法)
PKI体系
PKI是创建、颁发、管理、注销公钥证书所涉及到的所有软件、硬件的集合体。其核心元素是数字证书,核心执行者是CA认证机构。
CA中心,即证书授权中心(Certificate Authority ),或称证书授权机构,作为电子商务交易中受信任的第三方。
CA中心的作用:签发证书、规定证书的有效期和通过发布证书废除列表(CRL)确保必要时可以废除证书,以及对证书和密钥进行管理。
CA中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公钥。
CA中心的数字签名使得攻击者不能伪造和篡改证书。
数字证书是一般包含:
用户身份信息
用户公钥信息
身份验证机构数字签名的数据
从证书用途来看,数字证书可分为签名证书和加密证书
ipsec提供的安全服务
不可否认性
数据源鉴别
重放攻击保护
机密性
完整性
AH(51)ESP(50)
ESP(Encapsulating Security Payload,封装安全有效载荷)功能
1.无连接数据完整性
2.数据源认证
3.抗重放服务
4.数据保密
5.有限的数据流保护
esp在隧道模式下才可以传输nat
安全联盟SA,由三元组唯一标识,包括:安全参数索引,目的IP地址,安全协议号。
IKE为IPSec协商生成密钥,供AH/ESP加解密和验证使用。
在IPSec通信双方之间,动态地建立安全关联(SA:Security Association),对SA进行管理和维护。
主模式
默认使用IP地址作为身份标识,默认是传递自己的出口地址做身份标识, 校验对端的公网IP做对端身份标识。(自动生成双方身份ID)主模式可以放在出口,不可以放在nat环境里。
野蛮模式
可以使用用户名或IP等作为双方身份标识,即可以手动配置身份ID
ike阶段
主模式 野蛮模式
安全性较高 较低
速度较慢 较快
IKE 阶段2
双方协商IPSec安全参数,称为变换集transform set,包括:
加密算法
Hash算法
安全协议
封装模式
存活时间
nat环境下只能用ESP(安全协议)的隧道模式(工作模式)和野蛮模式(协商模式)。
NAT-T技术
因此出现了NAT-T用来解决标准IPSec VPN只能同时进行一个VPN连接的问题,NAT-T允许多个IPSec VPN同时连接,出现了NAT-T的技术。
(1)NAT-T协议运用在IPSec VPN中,在IKE协商和VPN连接时,允许源端口为非UDP 500端口,使用目的端口是UDP4500端口。
(2)NAT-T协议为ESP增加了UDP头部,从而解决了数据传输过程经过防火墙后无法进行端口复用的问题
DPD解决VPN隧道黑洞
DPD:死亡对等体检测(Dead Peer Detection),检查对端的ISAKMP SA是否存在。当VPN隧道异常的时候,能检测到并重新发起协商,来维持VPN隧道。
DPD主要是为了防止标准IPSEC出现“隧道黑洞”。
DPD只对第一阶段生效,如果第一阶段本身已经超时断开,则不会再发DPD包。
总部vpn在nat环境中必须要映射UDP500 NAT-T 4500
核心写路由指对方
WebAgent:用于SANGFOR DLAN互联时,分支与移动用户寻找总部的地址,从而建立 VPN连接。
WEBAGENT有如下几种的填写方式:
- IP:端口,如123.123.123.123:4009
适用于总部VPN设备有固定公网IP地址的环境
- IP1#IP2:端口,如123.123.123.123#221.221.221.221:4009
适用于总部VPN设备有多条固定IP的线路,且需要做VPN的线路备份的环境
- 网址的形式,如webagent.sangfor.com.cn/webagent/123.php
适用于总部VPN设备没有固定公网IP的环境,如ADSL线路
4.域名:端口形式,如www.sangfor.com:4009
适用于总部已存在动态域名指向他们出口的公网IP的环境
建立过程
1、寻址:与谁建立连接(找到目标) ——寻址(WebAgent原理、WebAgent设置)
2、认证:身份验证(提交正确、充分的信息)—账号密码、Dkey、硬件鉴权、第三方认证。
3、策略:(下发)选路策略、权限策略、VPN路由策略、安全策略(移动用户)、VPN专线(移动用户)、分配虚拟IP