ToB企服应用市场:ToB评测及商务社交产业平台

标题: VPN 的入门介绍 [打印本页]

作者: 九天猎人 时间: 2024-7-11 13:14
标题: VPN 的入门介绍
VPN（虚拟专用网络）

简介

虚拟专用网络，简称虚拟专网（VPN），其主要功能是在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现长途访问。VPN 可通过服务器、硬件、软件等多种方式实现。
VPN 属于长途访问技能，简单地说就是使用公用网络架设专用网络。例如某公司员工出差到外地，他想访问企业内网的服务器资源，这种访问就属于长途访问。
在传统的企业网络配置中，要进行长途访问，传统的方法是租用 DDN（数字数据网）专线或帧中继，这样的通讯方案一定导致高昂的网络通讯和维护费用。对于移动用户（移动办公职员）与远端个人用户而言，一般会通过拨号线路（Internet）进入企业的局域网，但这样一定带来安全上的隐患。
让外地员工访问到内网资源，使用 VPN 的解决方法就是在内网中架设一台 VPN 服务器。外地员工在当地连上互联网后，通过互联网毗连 VPN 服务器，然后通过 VPN 服务器进入企业内网。为了包管数据安全，VPN 服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密，就可以认为数据是在一条专用的数据链路上进行安全传输，就如同专门架设了一个专用网络一样，但实际上 VPN 使用的是互联网上的公用链路，因此 VPN 称为虚拟专用网络，着实质上就是使用加密技能在公网上封装出一个数据通讯隧道。有了 VPN 技能，用户无论是在外地出差还是在家中办公，只要能上互联网就能使用 VPN 访问内网资源，这就是 VPN 在企业中应用得云云广泛的原因。

工作原理

通常情况下，VPN 网关采取双网卡结构，外网卡使用公网 IP 接入 Internet。
网络一（假定为公网 internet）的终端 A 访问网络二（假定为公司内网）的终端 B，其发出的访问数据包的目标地址为终端 B 的内部 IP 地址。
网络一的 VPN 网关在接收到终端 A 发出的访问数据包时对其目标地址进行查抄，如果目标地址属于网络二的地址，则将该数据包进行封装，封装的方式根据所接纳的 VPN 技能不同而不同，同时 VPN 网关会构造一个新 VPN 数据包，并将封装后的原数据包作为 VPN 数据包的负载，VPN 数据包的目标地址为网络二的 VPN 网关的外部地址。
网络一的 VPN 网关将 VPN 数据包发送到 Internet，由于 VPN 数据包的目标地址是网络二的 VPN 网关的外部地址，所以该数据包将被 Internet 中的路由正确地发送到网络二的 VPN 网关。
网络二的 VPN 网关对接收到的数据包进行查抄，如果发现该数据包是从网络一的 VPN 网关发出的，即可判定该数据包为 VPN 数据包，并对该数据包进行解包处理。解包的过程主要是先将 VPN 数据包的包头剥离，再将数据包反向处理还原成原始的数据包。
网络二的 VPN 网关将还原后的原始数据包发送至目标终端 B，由于原始数据包的目标地址是终端 B 的 IP，所以该数据包能够被正确地发送到终端 B。在终端 B 看来，它收到的数据包就和从终端 A 直接发过来的一样。
从终端 B 返回终端 A 的数据包处理过程和上述过程一样，这样两个网络内的终端就可以相互通讯了。

通过上述阐明可以发现，在 VPN 网关对数据包进行处理时，有两个参数对于 VPN 通讯非常重要：原始数据包的目标地址（VPN 目标地址）和长途 VPN 网关地址。

根据 VPN 目标地址，VPN 网关能够判定对哪些数据包进行 VPN 处理，对于不需要处理的数据包通常情况下可直接转发到上级路由；
长途 VPN 网关地址则指定了处理后的 VPN 数据包发送的目标地址，即 VPN 隧道的另一端 VPN 网关地址。由于网络通讯是双向的，在进行 VPN 通讯时，隧道两端的 VPN 网关都必须知道 VPN 目标地址和与此对应的远端 VPN 网关地址。

工作过程

VPN 的基本处理过程如下：

要保护主机发送明文信息到其他 VPN 设备。
VPN 设备根据网络管理员设置的规则，确定是对数据进行加密还是直接传输。
对需要加密的数据，VPN 设备将其整个数据包（包罗要传输的数据、源 IP 地址和目的 lP 地址）进行加密并附上数据签名，加上新的数据报头（包罗目的地 VPN 设备需要的安全信息和一些初始化参数）重新封装。
将封装后的数据包通过隧道在公共网络上传输。
数据包到达目的 VPN 设备后，将其解封，核对数字签名无误后，对数据包解密。

VPN 的分类

按 VPN 的协议分类
VPN 的隧道协议主要有三种，PPTP、L2TP 和 IPSec，其中 PPTP 和 L2TP 协议工作在 OSI 模子的第二层，又称为二层隧道协议； IPSec 是第三层隧道协议。
按 VPN 的应用分类
- Access VPN（长途接入 VPN）：客户端到网关，使用公网作为骨干网在设备之间传输 VPN 数据流量；
- Intranet VPN（内联网 VPN）：网关到网关，通过公司的网络架构毗连来自同公司的资源；
- Extranet VPN（外联网 VPN）：与互助伙伴企业网构成 Extranet，将一个公司与另一个公司的资源进行毗连。
按所用的设备范例进行分类
网络设备提供商针对不同客户的需求，开辟出不同的 VPN 网络设备，主要为交换机、路由器和防火墙：
- 路由器式 VPN：路由器式 VPN 摆设较容易，只要在路由器上添加 VPN 服务即可；
- 交换机式 VPN：主要应用于毗连用户较少的 VPN 网络；
按照实现原理分别
- 重叠 VPN：此 VPN 需要用户本身建立端节点之间的 VPN 链路，主要包罗：GRE、L2TP、IPSec 等众多技能。
- 对等 VPN：由网络运营商在主干网上完成 VPN 通道的建立，主要包罗 MPLS、VPN 技能。

实现方式

VPN 的实现有许多种方法，常用的有以下四种：

VPN 服务器：在大型局域网中，通过网络中心搭建VPN服务器来实现VPN。
软件 VPN：使用专用的软件来实现VPN。
硬件 VPN：使用专用的硬件来实现VPN。
集成 VPN：一些硬件设备（如路由器、防火墙等）含有 VPN 功能，通过集成这些功能来实现 VPN。

优缺点

优点：

移动性和长途访问
VPN 能够让移动员工、长途员工、商务互助伙伴和其他人使用本地可用的高速宽带网毗连（如 DSL、有线电视大概 WiFi 网络）毗连到企业网络。
本钱服从
高速宽带网毗连提供一种本钱服从高的毗连长途办公室的方法。
模块化和可升级
设计精良的宽带VPN是模块化的和可升级的。
易用性
VPN能够让应用者使用一种很容易设置的互联网基础办法，让新的用户敏捷和轻松地添加到这个网络。
大容量和应用支持
这种本领意味着企业不用增加额外的基础办法就可以提供大量的容量和应用。
高水平的安全
VPN能提供高水平的安全，使用高级的加密和身份辨认协议保护数据避免受到窥探，制止数据窃贼和其他非授权用户接触这种数据。
完全控制
虚拟专用网使用户可以使用ISP的办法和服务，同时又完全把握着本身网络的控制权。

缺点：

可靠性 and 性能控制权
企业不能直接控制基于互联网的 VPN 的可靠性和性能。机构必须依赖提供 VPN 的互联网服务提供商包管服务的运行。
摆设难度
企业创建和摆设 VPN 线路并不容易。这种技能需要高水平地理解网络和安全问题，需要认真的规划和配置。
混淆产品的不兼容性
不同厂商的 VPN 产品和解决方案总是不兼容的，由于许多厂商不肯意大概不能遵守 VPN 技能标准。因此，混淆使用不同厂商的产品可能会出现技能问题。
本钱可能增加
使用一家供应商的设备可能会提高本钱。
无线设备的安全风险
当使用无线设备时，VPN 有安全风险。在接入点之间漫游特殊容易出问题。当用户在接入点之间漫游的时候，任何使用高级加密技能的解决方案都可能被攻破。

面对的问题

VPN 域名 / IP 地址公开透明，受众面太广;
外网地址相对固定，缺少变化;
域名几乎一成不变，长时间暴露在外，容易被攻击;
任何人都可以根据域名 IP 打开登录页面;
VPN 容易导致账号共享;
VPN 默认登录时间到达后强制退出，用户体验不好;
无白名单管控;
无 VPN 退出失效机制。

网络翻墙

“墙”是什么？
网络翻墙所指的“墙”是中国国家防火墙的俗称（英文名 Great Firewall of China，简写为 Great Firewall，缩写 GFW），是指中华人民共和国政府在其管辖因特网内部建立的多套网络检察系统的总称，包罗相关行政检察系统。
“翻墙”干什么？
“翻墙”是指通过虚拟专用网络（VPN）技能规避国家网络监管，突破 IP 封锁、内容过滤、域名劫持、流量限定等，非法访问被国家克制的境外网站行为。
简言之，“翻墙”就是绕过国家网络监管，访问那些被屏蔽的网站。“VPN”，换个词来说，就是网络上的“翻墙”，大家在网上或电视上经常能看到脸谱（Facebook ）、YouTu be、推特（Twitter）、谷歌（Google）等各大网站，但是这些网站在国内却不能使用，于是许多人选择偷偷“翻墙”来欣赏墙外的风景，而翻墙最常使用的就是 VPN（Virtual Private Network）。通过 VPN 可以将上网的网络转化为国外的网络，就可以访问国外的网站和玩网络游戏等。
“翻墙”危害有哪些？
- 泄露隐私
  使用“翻墙”软件时，发送与接收的数据都会通过提供商的机器，用户的账号密码，甚至一些银行账号信息等个人隐私极易被泄露。
- 造成头脑混乱
  境外网络和交际媒体上充斥着大量煽惑性内容，部分职员政治鉴别力不够，热衷“政治野史”“惊天秘闻”，受反动头脑渗透蛊惑、拉拢策反，易沦为错误观点的“二传手”、成为境外间谍情报机关的棋子。
- 诱发问题案件
  长期“翻墙”上网浏览暴力、灰心和色情等有害信息，容易被违法犯罪分子所使用，引诱到场网络赌博、非法借贷、吸毒嫖娼，引发刑事案件和自杀问题。

VPN 和堡垒机、跳板机的区别

区别

堡垒机：主要用于保护内部网络，限定用户访问权限。不提供长途访问功能。
跳板机：主要用于提供长途访问功能，限定用户访问权限。但它并不保护内部网络。
VPN（Virtual Private Network）：主要用于建立安全的长途访问毗连，保护数据在公共网络上的传输安全。

堡垒机（Bastion Host）简介

定义：

堡垒机是一种网络安全控制节点，主要用于隔离安全较高的内部网络（企业内网）和安全程度较低的外部网络之间的访问。
堡垒机的主要功能：

身份验证：堡垒机可以对进入内部网络的用户进行身份验证，确保只有授权的用户才能访问内部网络。
网络流量过滤：堡垒机可以过滤和转发网络流量，从而防止恶意流量和未经授权的访问。
应用程序控制：堡垒机可以控制和管理应用程序的使用，防止恶意软件和未经授权的访问。
日志记录和审计：堡垒机可以记录和审计网络流量和应用程序使用情况，以便后续的追踪和审计。
配置管理：堡垒机可以对网络和应用程序进行配置管理，以确保内部网络的安全性和可靠性。

作用：
堡垒机通常摆设在内部网络和外部网络的边缘，通过控制用户对内部网络的访问，从而保障企业内部网络的安全。
堡垒机可以限定用户的访问权限、记任命户的操作日志，并可以提供多层身份验证等安全措施，以防止非法用户入侵。

跳板机（Jump Server）简介

定义

跳板机是一种安全中转节点，主要用于提供长途访问企业内部网络的通道（普通来讲就是不能直接访问企业内部的服务器，必须通过跳板机这一层屏障才可以有机会访问企业内部的服务器）。
跳板机的主要功能：

流量转发：跳板机可以将外部网络的流量转发到内部网络中，从而实现对内部网络的访问。
身份验证：跳板机可以对进入内部网络的用户进行身份验证，确保只有授权的用户才能访问内部网络。
安全管理：跳板机可以对内部网络的安全进行管理，例如限定某些应用程序的使用、限定访问某些网站等。
配置管理：跳板机可以对内部网络进行配置管理，例如对网络设备、应用程序进行配置。
记录和审计：跳板机可以记录内部网络的流量和使用情况，以便后续的追踪和审计。

作用
跳板机一般都是摆设在企业内部网络中，主要用于提供长途访问内部网络的通道。用户（公司长途办公员工、IT 长途协助等）需要访问企业内部网络就必须通过跳板机，跳板机可以限定用户的访问内部网络的权限，并记任命户的操作行为，并提供多层身份验证等安全措施，防止非法用户的访问。
PC 客户端通过跳板机访问服务器

主要参考

百度百科-虚拟专用网络
网络安全：堡垒机、跳板机、Virtual Private Network知识介绍

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)