防御保护---VPN

已于 2024-02-24 20:58:49 修改
阅读量2.1k 收藏 6
点赞数 12
分类专栏: 防火墙专栏 文章标签: 网络
于 2024-02-23 17:58:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhoutong2323/article/details/136260946
版权

一.VPN概述

        VPN的基本原理是在原有的公共网络之上,建立一个使用加密技术保护数据传输的私有网络。通过VPN,用户可以在不同的地点之间建立起安全的连接,实现远程访问企业内部网络资源、远程办公、跨地区办公等功能。

        虚拟专用网通过加密技术保护数据传输的安全性,防止第三方非法获取用户的数据。同时,VPN还可以隐藏用户的真实IP地址,保护用户的隐私。VPN还可以绕过地理限制,使用户可以访问被封锁的网站或服务。

LAN to LAN --VPN

  •  Intranet --- 内联网 --- 企业内部虚拟专网
  • Extranet --- 外联网 --- 拓展的企业内部虚拟专网

相较而言,外联网一般连接合作单位,而内联网一般连接分公司,所以,外联网的权限赋予会比较低,并且安全把控方面会比较严格。

VPN 技术实现层次

 

 VPN常用其它技术

身份认证技术 --- 身份认证是VPN技术的前提。

  • GRE VPN --- 本身不支持身份认证的。(GRE里面有个“关键字”机制。类似于 ospf的认证,商量一个口令,在GRE中该措施仅是用来区分通道的)
  • L2TP VPN--- 因为他后面的乘客协议是PPP协议,所以,L2TP可以依赖PPP提供的认证,比如PAP,CHAP。 IPSEC VPN和SSL VPN --- 都支持身份认证 

加解密技术 --- 以此来抵抗网络中的一些被动攻击

  • 注意:加解密技术使用的实质是一个双向函数,即一个可逆的过程。和HASH算法 有本质的区别 加密技术也是安全通道的保障。
  • GRE VPN和L2TP VPN不支持加解密技术。通常可以结合IPSEC技术来实现加解密。 IPSEC VPN和SSL VPN都是支持加解密技术的。

数据认证技术 --- 验货 --- 保证数据的完整性

  • HASH --- 计算摘要值,之后,通过比对摘要值来保障完整性。
  • GRE VPN --- 可以加入校验和。但是,GRE的这种功能是可选的,两边开启之后, 才会激活数据认证功能。
  • L2TP VPN --- 不支持数据认证 IPSEC VPN,SSL VPN都是支持数据认证的

 二.加解密技术(保密性)

对称加密算法

对称加密算法是一种使用相同的密钥进行加解密的算法,其加密和解密过程相互对称。在对称加密算法中,消息的发送方使用密钥将明文转化为密文,而消息的接收方则使用相同的密钥将密文转化回明文。

对称加密算法的主要特点包括:

  1. 加密和解密使用相同的密钥,因此速度较快。
  2. 密钥的管理较为困难,需要确保密钥的安全性。
  3. 对称加密算法通常具有较高的加密强度,可以提供较高的安全性。

对称加密算法缺点:

  1. 密钥管理困难:对称加密算法需要发送和接收双方共享密钥,而密钥的分发和管理是一个复杂的过程。如果密钥泄漏或被破解,那么加密的数据就会变得不安全。

  2. 不适用于大规模通信:对称加密算法适合用于两个通信方之间的加密,但当通信方数量增加时,密钥的数量也会呈指数级增长,导致密钥管理非常困难。

流加密算法

        流密码算法将明文流和伪随机数发生器产生来生成伪随机密钥流进行异或运算,从而实现加密,对端收到后使用相同的密钥流进行解密从而获得明文流。

例如:明文流:1010101;初始向量:1100110 -->异或运算-->0110011(密文流)

 分组加密算法

分组加密算法是一种将待加密的数据按照固定的块大小进行切割,然后对每个块进行独立的加密操作的加密算法。

分组加密算法的工作模式通常包括以下几个步骤:

  1. 分组加密算法使用固定大小的块进行加密,这样可以保证每个块都有相同的长度,方便进行加密和解密操作。

  2. 在第一组头部添加一个初始向量并按照每组加密完成后提取部分该组加密内容插入到下一组明文组中。

加密过程中,每个数据块只与密钥和前一个数据块相关联,与其他数据块无关。因此,即使攻击者获得了一组无效数据的密文,也无法直接从中获得任何有用的信息。

 非对称加密算法

        非对称加密算法是一种使用不同的密钥进行加密和解密的加密算法。它使用一对密钥,包括公钥和私钥,其中公钥用于加密数据,私钥用于解密数据。

 总结:- 我们一般采用的做法是,在数据传输的时候,我们会选择使用对称加密算法进 行加密,为了保证效率。但是,对称加密算法最主要的问题是密钥传递可能存在安全风 分区 20240121防御保护寒假班 的第 4 页 险,所以,我们在传递密钥的时候,可以通过非对称加密算法进行加密,保证密钥传递 的安全性。实现二者的互补,达到安全传输的目的

三.身份认证及数据认证技术

哈希算法(完整性)

哈希运算是一种将任意长度的数据通过哈希函数转换成固定长度的输出的算法。它具有以下几个特点:

  1. 唯一性:对于任意给定的输入,哈希函数都能产生唯一的哈希值。不同的输入会产生不同的哈希值,相同的输入会产生相同的哈希值。

  2. 固定长度:无论输入数据的长度有多长,哈希函数总是会输出固定长度的哈希值。这样可以方便地将哈希值存储、传输和比较。

  3. 不可逆性:从哈希值推导出原始输入数据是困难的,几乎是不可能的。即使输入数据只有微小的改变,哈希值也会有较大的变化。因此,哈希运算可以用于验证数据的完整性,例如数字签名。

 数字签名

 数字签名工作流程概述如下:

  1. 创建文件:首先,文件的创建者会创建一个需要签名的文件。

  2. 加密文件:接下来,创建者会使用私钥对文件进行加密。私钥是一个只有创建者拥有的密钥,用于对文件进行加密。

  3. 创建摘要:创建者会使用散列函数对加密文件进行计算,生成一个唯一的数字摘要。数字摘要是一个固定长度的字符串,用于对文件进行唯一标识。

  4. 加密摘要:创建者会使用私钥对数字摘要进行加密,生成数字签名。数字签名是一个唯一的字符串,用于验证文件的完整性和身份信息。

  5. 分发文件和签名:创建者将加密的文件和数字签名一起发送给接收者。

  6. 解密文件:接收者使用公钥对数字签名进行解密,得到数字摘要。

  7. 解密摘要:接收者再使用公钥对加密文件进行解密,得到原始文件。

  8. 计算摘要:接收者使用相同的散列函数对解密后的文件进行计算,生成一个新的数字摘要。

  9. 验证签名:接收者将新的数字摘要与解密后的数字摘要进行比较,如果两者一致,则说明文件未被篡改。同时,接收者可以使用公钥验证数字签名的合法性和创建者的身份信息。

缺点:这整个过程只能表示Bob收到的数据,的确是他拥有公钥的这个人发送的数据, 但是,你拥有公钥有没有被别人恶意篡改或者替换,这种方法是无法识别出来的,所 以,这仅能实现一种数据源的检测,不能进行身份认证。 同时,可以完成完整性校验。

数字证书

 通信双方需要完全信任这个第三方机构,之后,让CA为公钥作证。 因为双方都信任该CA机构,所以A,B都拥有这个CA机构的公钥信息。 CA机构会使用自己的私钥对A的公钥和一些其他信息一起进行加密,生成数字证 书。

  • 1,原始信息HASH算法得到摘要值 ---- 为了做完整性校验。为了保证我们的摘要 值在传递的过程中,不会被篡改,所以,需要使用私钥进行加密。形成数字签名。
  • 2,针对原始信息,数字签名,数字证书(是用户提前向CA机构申请,获取到的通 过CA机构私钥加密后的证书。里面主要包含了Alice的公钥。主要是做身份认证使 用)进行加密。使用的是对称加密算法。对称机密算法需要使用对应的密钥来进行 加密。
  • 3,将对称加密算法的密钥通过Bob的公钥进行加密,形成密钥信封。(这里是通 过非对称加密算法的方式,来传输对称密钥的。也可以使用DH算法,使双方获得 对称密钥。)
  • 4,将加密信息和密钥信封通过公网传递到对端Bob处。
  • 5,Bob首先对密钥信封进行解密。因为这个密钥信封是通过Bob的公钥进行加密 的,所以,使用Bob自己的私钥就可以进行解密。解密后,将得到对称密钥。
  • 6,使用对称密钥去解密加密信息。 ---- 原始数据,数字签名,数字证书
  • 7,使用CA机构的公钥来解开数字证书。因为数字证书是由CA机构的私钥进行加 密的,并且,Bob本身也信任CA机构,所以,自身设备上是拥有CA机构的公钥 的。
  • 8,解开数字证书后将得到Alice的公钥,根据Alice的公钥可以解开数字签名。因 为数字签名是由Alice自己的私钥来进行加密的,所以,如果可以顺利的使用ALICE 的公钥进行解密,则完成了身份认证和数据源鉴别工作。
  • 9,Bob自身需要对原始信息进行HASH运算,并且,数字签名解开后,里面也包 含ALice发送时对原始信息进行HASH运算的摘要值,比对两次摘要值,则可完成 完整性校验。 

总结

七、VPN技术之密码学基础(密码体制、对称加密算法、非对称加密算法)
锦慈的技术博客
07-09 468
而密钥通常来说是通过双方协商,以物理的方式传递给对方,或者利用第三方平台传递给对方,一旦这过程出现了密钥泄露,不怀好意的人就能结合相应的算法拦截解密出其加密传输的内容。密钥长64位,密钥事实上是56位参与DES运算(第8、16、24、32、40、48、56、64位是校验位,使得每个密钥都有奇数个1),分组后的明文组和56位的密钥按位替代或交换的方法形成密文组。公钥和私钥是成对存在,公钥是从私钥中提取产生公开给所有人的,如果使用公钥对数据进行加密,那么只有对应的私钥才能解密,反之亦然。
防御保护-----第三章:防火墙组网
m0_75008371的博客
02-18 568
防火墙组网
VSAN加密大揭秘
weixin_34077371的博客
08-02 280
VMware vSAN 6.6是第一款在hypervisor内包含超融合加密的软件定义的存储产品。vSAN 6.6在vSAN内核中创建了静态数据加密,并在集群范围内启用,在vSAN数据存储中对所有对象进行了加密。这一全新的特性被称为vSAN加密。 对大多数企业来说网络安全是头等大事,因此vSAN加密功能很受欢迎。IT管理员一直不乐意在操作系统层部...
VPN是什么、类型、使用场景、工作原理
最新发布
2401_84215240的博客
03-05 1570
VPN是Virtual Private Network(虚拟专用网络)的缩写,它是一种通过公共网络(例如互联网)创建私密连接的技术。根据使用的协议和实现方式,VPN可以分为多种类型,包括以下几种常见的:1. 远程访问VPN:用于连接远程用户与企业内部网络之间的安全通信。远程用户可以通过公共网络访问私有网络资源,同时数据传输通过加密和隧道技术保证安全性。2. 网站对网站VPN:也被称为站点对站点VPN,用于连接不同地点的局域网(LAN)或企业网络
VPN是什么,以及类型,使用场景,工作原理
m0_69234258的博客
07-24 4165
当用户连接到VPN时,VPN客户端会在用户计算机和VPN服务器之间建立一个加密的连接,这个连接被称为VPN隧道。在VPN隧道中,用户的数据包会被封装在新的数据包中,并在发送到目标服务器之前进行加密。这样,用户和目标服务器之间的通信就能够在公共网络上被保护起来,第三方无法窃听或截取用户的数据。个人VPN通常通过加密技术保护用户的网上活动,并隐藏用户的真实IP地址,提供更高的隐私保护。2. 保护隐私:通过加密数据传输和隐藏真实IP地址,保护用户在互联网上的隐私安全,防止个人信息被窃取或监视。
七、防御保护---VPN
M372109150的博客
02-27 1567
VPN — 虚拟专用网 — 一般指依靠ISP或者其他NSP,也可以是企业自身,提供的一条虚拟网络专线。这个虚拟的专线是逻辑上的,而不是物理上的,所以称为虚拟专用网总结:VPN诞生的原因 — 1,物理网络不适用,成本太高,并且如果位置不固定,则无法构建物理专线2,公网安全无法保证由于VPN的诞生,导致网络部署的灵活性大大提升。
VPN有什么用
2301_78491269的博客
07-19 3191
这样的话,实际与公司内部ERP交换信息的您的VPN服务器,而不是您的电脑,同时因为VPN传输是加密的,因为VPN用户访问任何网站都是通过VPN服务器间接访问的,所以被访问的网站看到的访问者是VPN服务器,而不是VPN用。而如果你通过VPN访问这个网站,我们前面提到,VPN用户访问任何网站都是通过VPN服务器代为访问的,用户。因为使用VPN时所用的网络访问都是加密进行的,所以使用VPN上网,安全性就更高,黑客很难截取用户的重要信息。户本人的电脑,这样VPN用户就能对要访问的网站隐藏自己的真正身份。
谈谈VPN是什么、类型、使用场景、工作原理
热门推荐
m0_73995538的博客
07-13 16万+
本文将讲解VPN是什么、以及它的类型、使用场景、工作原理。
安全防御------IPSec VPN
m0_63292411的博客
08-08 2248
本篇文章详细的讲解了IPSEC VPN的主要知识,概括了IPsec VPN的安全服务,技术架构,两种工作模式;还包含了ESP,AH,IKE的详细内容,还提到了DBD,IPSEC VPN的NAT和多VPN等问题。
网络安全防御--加密技术及身份、数据认证
weixin_65476290的博客
07-22 853
VPN --- 虚拟专用网 --- 是指依靠ISP或者其他NSP或者企业自身,构建的专用的安全的数据通信网络,只不过,这个专线网络是逻辑上的,而不是物理上的,所以叫做虚拟专用网。HASH算法 --- 摘要值 --- 单纯的使用摘要值进行认证依然无法保证数据的完整性,所以需要结合加密算法来一同保证,所以,我们会使用私钥对摘要值进行加密 --- 数字签名。对称加密算法 --- 加密和解密使用的是同一把密钥 --- 使用的是一种双向函数,可逆的算法。1,VPN的核心技术 --- 隧道技术 --- 封装技术。
防御保护----防火墙基本知识
Tmg3202915143的博客
01-29 3690
判断信息:数据包的源IP地址、目的IP地址、协议类型、源端口、目的端口(五元组)工作范围:网络层、传输层(3-4层)和路由器的区别:普通的路由器只检查数据包的目标地址,并选择一个达到目的地址的最佳路径;防火墙除了要解决目的路径以外还需要根据已经设定的规则进行判断“是与否”。技术应用:包过滤技术。优势:对于小型站点容易实现,处理速度快,价格便宜劣势:规则表会很快变得庞大复杂难运维,只能基于五元组;现在很多安全风险集中在应用层中,所以,仅关注三、四层的数据无法做到完全隔离安全风险;逐包进行包过滤检测,将导致防火
防御保护--防火墙综合实验
hffvggv的博客
03-03 1711
签名 --- 预定义签名 --- 设备上自带的特征库,这个需要我们激活对应的License(许可证) 后才能获取。)应用内容的过滤 --- 比如微博或者抖音提交帖子的时候,包括我们搜索某些内容的时候,其事只都是通过HTTP之类的协议中规定的动作来实现的,包括邮件附件名称,FTP传递的文件名称,这些都属于应用内容的过滤。类似于ospf的认证,商量一个口令,在GRE中该措施仅是用来区分通道的)L2TP VPN---因为他后面的乘客协议是PPP协议,所以,L2TP可以依赖PPP提供的认证,比如PAP,CHAP.
VPN的作用、场景、原理一文明了
m0_70208894的博客
12-07 6984
VPN,即虚拟私人网络(Virtual Private Network),是一种通过公共网络(如互联网)创建安全连接的技术。它允许用户在不安全的网络环境中安全地传输数据,从而保护用户的隐私和数据安全。(就是说你直接使用互联网可能会被黑客监听数据,甚至修改数据,但是有了vpn就不用担心这些。
vpn原理
weixin_43899561的博客
03-11 3191
1.VPN原理 VPN是虚拟专用网络的简称,简单的说就是利用公用网络架设专用网络.当我们打开VPN的时候,VPN就会在电脑上虚拟一个IP地址,当电脑要传输数据包时,VPN会对这个数据包进行加密,发出数据包的地址是VPN虚拟出来的地址,而接受数据包的地址是VPN服务器的地址。当数据包到了VPN的服务器后,会对数据包进行解密,在把数据包传给网站的服务器,网站的服务器把传回的数据包加密之后又传回给电脑。...
VPN的原理
GenggengSvan的博客
04-17 7755
在公共 WiFi 网络上更应该使用 VPN,因为黑客可以轻易窥视的流量,窃取的密码、信用卡号等。VPN 可以隐藏真实位置,没有 VPN,其他人就可以看到真实 IP 地址,恶意第三方可以利用这个地址来确定真实位置。VPN 会用另一个 IP 地址来替换真实地址,从而隐藏真实 IP,保护网络隐私。一些网络还会屏蔽某些网站,VPN可以防止隐私泄漏,帮助访问被封锁的网站;它还会加密网络连接,让 Google、Facebook 或 ISP(互联网服务提供商)无法跟踪的网络活动。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

北 染 星 辰

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值