安全又廉價的VPN實現(xiàn)辦法

第第頁安全又廉價的VPN實現(xiàn)辦法安全又廉價的VPN實現(xiàn)辦法

發(fā)表于：2023-06-23來源：：點擊數(shù)：標簽：

采用傳統(tǒng)的廣域網(wǎng)建立跨地區(qū)的企業(yè)專網(wǎng)，往往需要租用昂貴的數(shù)字專線。能否找到一個既安全又廉價的實現(xiàn)辦法呢？虛擬專用網(wǎng)（VPN）VPN是通過因特網(wǎng)上將局域網(wǎng)擴展到遠程網(wǎng)絡和遠程計算機用戶的一種成本效益極佳的辦法。它最大的優(yōu)點在于異地子網(wǎng)間的通信就

采用傳統(tǒng)的廣域網(wǎng)建立跨地區(qū)的企業(yè)專網(wǎng)，往往需要租用昂貴的數(shù)字專線。能否找到一個既安全又廉價的實現(xiàn)辦法呢？

虛擬專用網(wǎng)（VPN）

VPN是通過因特網(wǎng)上將局域網(wǎng)擴展到遠程網(wǎng)絡和遠程計算機用戶的一種成本效益極佳的辦法。它最大的優(yōu)點在于異地子網(wǎng)間的通信就象在一個子網(wǎng)內一樣安全，虛擬專用網(wǎng)絡由此而得名。

VPN的三個基本要素

1.IP封裝

VPN系統(tǒng)的第一個基本要素是使用IP封裝。若一個IP包包含其他IP包時，就稱為IP封裝。IP封裝可以使兩個實際上分離的網(wǎng)絡計算機看上去像比鄰的——相互之間只是由一個路由器分開，但是它們是通過許多網(wǎng)絡路由器和網(wǎng)關分開的，這些路由器和網(wǎng)關也可能不用同一個地址空間。

例如，若有兩個使用PPTP（Point-to-PointTunnelingProtocol）的RAS（RemoteAclearcase/"target="_blank">ccessService）服務器連接的IP網(wǎng)絡，一個局域網(wǎng)的網(wǎng)絡地址是10.1.1，另一個是10.1.2。每個網(wǎng)絡上的RAS服務器都提供到I的連接。一個RAS服務器有一個局域網(wǎng)的IP地址和一個ISP分配的因特網(wǎng)地址2，而另一個RAS服務器的局域網(wǎng)地址是，ISP分配的因特網(wǎng)地址是4。這時若10.1.1網(wǎng)絡中的一個計算機，假設為3，需向10.1.2網(wǎng)絡中的一個計算機，假設為9，發(fā)送一個IP包。其通信過程為：

1)發(fā)送方的計算機首先注意到，目標地址9的網(wǎng)絡部分與它自己的網(wǎng)絡地址不匹配。

2)發(fā)送方不將包直接發(fā)送給目標地址，而是將包發(fā)送給自己子網(wǎng)缺省的網(wǎng)關地址。

3)這個10.1.1網(wǎng)絡上的RAS服務器讀這個包。

4)網(wǎng)絡10.1.1上的RAS服務器判斷出這個包應被放到10.1.2網(wǎng)絡的子網(wǎng)上。

5)RAS服務器加密這個包，并用另一個包將它封裝起來。

6)路由器從它的網(wǎng)絡接口上發(fā)送這個封裝的包（這個接口連接到因特網(wǎng)上，假設地址為2）到10.1.2網(wǎng)絡子網(wǎng)的RAS服務器的因特網(wǎng)地址4上。

7)10.1.2網(wǎng)絡子網(wǎng)的RAS服務器從它的因特網(wǎng)接口讀這個封裝和加密的包。

8)10.1.2網(wǎng)絡子網(wǎng)的RAS服務器解密這個封裝的IP包，驗證它是一個有效的IP包，也就是它沒有被改動過并且來自可靠的地方。

9)10.1.2網(wǎng)絡子網(wǎng)的RAS服務器從它的適配器上將這個包發(fā)送到網(wǎng)絡子網(wǎng)的目標地址9。

10)目標計算機讀這個包。

這就是一個簡單的VPN的IP封裝過程。

2.加密的身份認證

密碼身份認證用來安全有效地驗證遠程用戶的身份，這樣系統(tǒng)就可以判斷出適合這個用戶的安全級別。如VPN可使用密碼身份認證來決定用戶是否可以參與到加密通道中。

3.數(shù)據(jù)有效負載加密

數(shù)據(jù)有效負載加密用來加密被封裝的數(shù)據(jù)。

國內外的VPN產(chǎn)品

VPN是一項新興技術。它比專用廣域網(wǎng)便宜，但比局域網(wǎng)慢，也不如單獨的局域網(wǎng)或廣域網(wǎng)安全。目前國內外許多大的網(wǎng)絡安全產(chǎn)品公司都推出了自己的VPN產(chǎn)品，這些VPN產(chǎn)品大部分都和自己的防火墻產(chǎn)品結合到一起,但也有一些公司的VPN產(chǎn)品是單獨的。國內的產(chǎn)品有天融信公司SJW11網(wǎng)絡