一、VPN概念
1、概述
(1)虚拟专用网络(VPN)的功能是:在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN可通过服务器、硬件、软件等多种方式实现。
(2)虚拟:不需要拥有实际的长途线路,使用公共的网络资源建立自己的私有网络
(3)专用:可以定制最符合自身需求的网络
(4)核心技术:隧道技术
2、VPN分类
(1)客户端到局域网(client-->LAN)access VPN (PPTP、L2TP、SSL)
(2)局域网到局域网(LAN-->LAN)(IPSec)
(3)PPTP和L2TP是属于网络接口层的协议
(4)IPSec VPN是属于网络层
(5)SSL VPN是属于应用层
3、VPN常用技术
(1)隧道技术
通过隧道两端进行封装和解封装来建立一条数据通道(新的报文头)
GRE 不支持身份验证,只支持简单的关键字验证和校验(IPv4 到 IPv6的过度)
L2TP 支持基于PPP的身份认证,不支持加密和验证
IPSec 预共享密钥或证书认证、支持IKEv2的认证,支持加密和验证
SSL VPN 支持多种身份认证,支持加密和验证
(2)加解密技术
对称加密(DES、3DES、AES)
非对称加密(RSA、DH)
完整性校验算法(MD5、SHA)
(3)身份认证技术
二、IPSec VPN
1、概述
(1)是一组基于网络层的应用密码学的安全通信协议族,是一个开放的协议族,也考虑长远性的要求(支持IPv4 和 IPv6)
(2)保护的是网络层及上层流量,主要保护TCP、UDP、ICMP等隧道的IP数据包
(3)可以提供的安全服务(机密性、完整性、数据源鉴别、不可否认性、访问控制(感兴趣流)、重放攻击保护)
2、IPSec架构
(1)两个工作模式:传输模式、隧道模式
(2)两个通信保护协议
AH:只支持鉴别算法(完整性校验)
ESP:支持加密和鉴别算法
(3)密钥交换管理协议(IKE) (SA安全联盟)
阶段一:主模式、野蛮模式(快速模式)
阶段二:配置感兴趣流
3、传输模式
应用场景:用于主机和主机之间端到端通信的数据保护
封装方式:不会改变原始IP头部,其后是IPSec头部,然后才是原始数据包
4、隧道模式
应用场景:用于私网和私网之间通过公网进行通信,建立VPN连接
封装方式:增加新的IP头部,其后是IPSec头部,然后是原始数据包
5、AH协议
完整性校验(通过哈希函数(MD5、SHA1)产生的校验来保证)
不管是传输模式还是隧道模式,都会验证整个数据报
6、ESP协议
加解密(使用对称加密算法DES、3DES、AES)
完整性校验(通过哈希函数(MD5、SHA1)产生的校验来保证)
ESP在传输模式下,只对数据进行加密和完整性校验
ESP在隧道模式下,是对整个原始报文进行加密和校验
7、AH和ESP对比
| 安全特性 | AH | ESP |
| 协议号 | 51 | 50 |
| 数据完整性校验 | √ | 支持但不验证IP头 |
| 数据源验证 | √ | √ |
| 数据加解密 | × | √ |
| 抗重放 | √ | √ |
| NAT-T(NAT穿透) | × | √ |