企业网络安全vpn解决方案
真正适合企业的VPN加速产品和解决方案
真正适合企业的VPN加速产品和解决方案关键词:上网日志审计VPN加速应用防火墙机房建设网络安全产品网页防篡改过去,由于专线费用太高,使得企业信息化的速度无法快速增长。
由于信息传递、运输不易等阻碍,成功的企业只能在有限的区域范围内把规模扩大,因此大大降低了企业的竞争力。
现在,为了满足整体经济规模持续扩张的需求,随着网络技术的大步迈进、企业VPN 级产品的成熟发展,成就了企业可以将总部外的分支外点、办事处等点,根据企业市场扩展需要,布局到各个省份、整个中国、甚至是世界各地。
然而,当企业规模转变成总部、分支外点、移动客户等多点架构的同时,新的问题又出现了。
如何增强企业各点间更快速、稳定、安全的信息流通,如:ERP数据存取、VoIP数字电话沟通、E-mail及时传输等应用,这就是VPN最大的优势与特色。
在面对市场上众多的VPN产品,网络专业知识略显不足的企业常常显得很茫然,不知如何选择适合自己企业的VPN产品。
若是是任由系统集成商推广不恰当的产品组合,那么,不但花费了高额的费用,还达不到最佳效果。
如今大多数中小企业主们,在企业信息化升级的需求下,都希望能够选购到真正适合其企业的VPN产品和解决方案。
网络安全产品:SSL VPN的解决方案关键词:上网日志审计VPN加速应用防火墙机房建设网络安全产品网页防篡改随着越来越多公司转为采用基于加密套接字协议层(SSL)的个虚拟专用网(VPN )满足远程接入需求,基于普通目的计算机平台的SSL VPN 解决方案已经不能满足大中型企业和服务供应商的需求的状况已经非常明显。
大中型企业和服务供应商这样的客户对安全性、用户体验、响应时间、吞吐量和扩展性都有很高的要求。
同时,他们还希望通过在一个单独的VPN 系统中整合多个访问控制列表(ACL)来使系统变得更有效率,这些访问控制列表如防火墙、LAN 交换机、无线LAN 设备以及应用安全代理设备等。
只有基于特定目的的SSL VPN 平台可以满足这些要求。
企业vpn解决方案
企业vpn解决方案随着互联网的迅速发展和全球化经济的兴起,企业面临着越来越多的网络安全风险。
为了保护企业的敏感数据和确保终端用户的网络安全,许多企业选择使用VPN(虚拟专用网络)解决方案。
本文将探讨企业VPN解决方案的重要性和不同的应用场景。
一、什么是VPN?VPN是一种通过公共网络(如互联网)建立私密连接的技术。
它通过在终端设备和目标服务器之间创建加密隧道,实现了数据的安全传输。
VPN使得网络上的通信数据能够经过加密处理,保护数据的安全性和完整性。
传统的VPN解决方案需要企业购买和维护专用线路,成本较高。
然而,近年来的技术进步使得基于云的VPN解决方案变得更加普及和可行。
二、企业VPN解决方案的重要性1. 数据安全保护企业VPN解决方案通过加密传输技术,保护了企业的敏感数据不被黑客和恶意软件窃取。
在互联网上传输的数据几乎不可能被破译,确保了企业的商业机密和客户信息的安全。
此外,VPN还能够检测和阻止潜在的网络攻击,提高企业的网络安全性。
2. 提高员工远程办公效率随着移动办公的兴起,越来越多的员工选择远程工作。
企业VPN 解决方案为员工提供了安全的远程接入,使得员工可以随时随地访问企业内部资源,无论他们身处何地。
这样一来,员工可以更加高效地完成工作任务,提高工作效率。
3. 支持跨地区办公对于跨地区或全球范围经营的企业而言,企业VPN解决方案尤为重要。
VPN允许企业内部的分支机构和办事处之间建立私密连接,实现数据共享和沟通。
这样,企业能够更加高效地协调和管理不同地区的工作流程,减少沟通成本。
三、企业VPN解决方案的应用场景1. 远程办公随着疫情的爆发,许多企业转向远程办公模式。
企业VPN解决方案通过为员工提供安全的远程接入,实现了远程工作的便利和高效。
员工可以使用VPN连接到公司网络,访问内部文件和资源,同时保持数据的安全传输。
2. 跨地区办公国际化企业通常在全球范围内设立多个分支机构和办事处。
企业VPN解决方案可以将不同地区的办公场所连接起来,实现数据的共享和协调。
VPN解决方案
VPN解决方案标题:VPN解决方案引言概述:虚拟专用网络(VPN)是一种通过公共网络建立私密连接的技术。
它在保护数据安全、维护隐私和实现远程访问等方面提供了有效的解决方案。
本文将介绍VPN的基本原理,并详细阐述VPN解决方案的五个部份。
一、VPN的基本原理1.1 加密通信VPN使用加密算法对数据进行加密,确保数据在传输过程中不被窃取或者篡改。
1.2 虚拟隧道VPN通过在公共网络上建立虚拟隧道,将用户的数据包封装在隧道中传输,使数据在传输过程中不易被截获。
1.3 身份验证VPN要求用户在连接时进行身份验证,以确保惟独授权用户才干访问网络资源。
二、VPN解决方案的安全性2.1 防止数据泄露VPN使用加密技术保护数据在传输过程中的安全性,防止数据被黑客窃取。
2.2 防止网络劫持VPN通过建立虚拟隧道,防止黑客对数据包进行篡改或者劫持,确保数据的完整性和可靠性。
2.3 匿名上网VPN隐藏用户的真实IP地址,保护用户的隐私,防止个人信息被追踪和监控。
三、VPN解决方案的远程访问功能3.1 远程办公VPN允许员工通过公共网络安全地远程访问公司内部网络,实现远程办公,提高工作效率。
3.2 远程教育VPN可以为学生和教师提供安全的远程教育环境,实现在线教学和学习。
3.3 远程支持VPN使技术支持人员能够通过远程访问解决用户的问题,提供更快速和高效的技术支持。
四、VPN解决方案的跨地域连接4.1 分支机构互联VPN可以将分布在不同地区的分支机构连接在一起,实现内部资源共享和信息交流。
4.2 跨国公司连接VPN允许跨国公司建立安全的网络连接,方便不同地区的员工进行协作和通信。
4.3 跨地域数据中心连接VPN可以将分布在不同地域的数据中心连接在一起,提供高速、安全的数据传输通道。
五、VPN解决方案的设备支持5.1 桌面设备支持VPN可以在各种桌面设备上运行,包括电脑、笔记本电脑和平板电脑等。
5.2 挪移设备支持VPN支持在挪移设备上使用,如智能手机和平板电脑,使用户能够随时随地安全地访问网络资源。
VPN在企业网络安全中的应用案例与技巧(一)
VPN在企业网络安全中的应用案例与技巧概述:随着信息技术的迅猛发展,网络安全成为企业不可忽视的重要问题。
VPN(虚拟专用网络)作为一种安全可靠的解决方案,在企业网络安全中发挥着重要作用。
本文将介绍VPN在企业网络安全中的应用案例与一些常用技巧,以帮助企业提升网络安全水平。
一、远程办公的安全性保障近年来,随着云计算技术的快速发展,越来越多的企业开始采用远程办公方式。
然而,远程办公也存在一定的安全风险,比如数据泄露、网络攻击等。
使用VPN可以为远程办公提供安全可靠的连接,通过加密技术保护数据的传输过程,防止被黑客窃取或窃听。
此外,VPN还可以针对特定的远程员工进行身份验证,使得只有授权人员才能访问企业内部网络,提高了企业的安全性保障。
二、分支机构间的安全互联许多企业拥有分布在不同地区的分支机构,如何确保这些分支机构间的通信安全成为一个关键问题。
VPN技术提供了一种解决方案,通过建立VPN隧道,可以将多个分支机构的网络安全地互联起来。
这样,分支机构间的数据传输将通过加密通道进行,保护了数据的隐私和安全。
同时,企业还可以基于VPN设置访问控制策略,对分支机构员工的网络访问进行细致控制,减少潜在的安全风险。
三、公共Wi-Fi网络的安全防护公共Wi-Fi网络的使用方便快捷,但也容易成为黑客进行网络攻击的目标。
使用VPN可以有效地保护企业员工在公共Wi-Fi网络上的通信安全。
VPN通过建立加密的通信通道,将用户的数据传输安全地从公共Wi-Fi网络传递到企业内部网络,防止黑客对通信内容的窃取和篡改。
此外,通过VPN还可以隐藏用户的真实IP地址,增加了匿名性和隐私保护。
四、多云环境下的数据传输保护随着企业逐渐采用多云架构,如何保护云上数据的安全成为一项重要任务。
VPN在多云环境中的应用可以提供安全可靠的数据传输保护。
企业可以通过使用基于VPN的加密通道,将云平台与企业内部网络连接起来,确保云上数据的安全传输。
不仅如此,VPN还能够解决云平台之间的通信问题,提高多云环境下企业内部网络的整体安全性。
企业vpn解决方案
企业VPN解决方案引言在信息时代,企业的网络安全和数据传输变得越来越重要。
随着全球化和远程办公的普及,企业需要一个安全可靠的方式来连接远程办公地点和分支机构。
VPN (Virtual Private Network,虚拟专用网络)成为一种流行的解决方案,提供了加密的连接,使公司的数据可以安全地传输。
本文将介绍企业VPN解决方案的概念、工作原理以及如何选择和部署一个适合企业需求的VPN。
什么是企业VPN?企业VPN是一种通过公共网络(例如互联网)建立私密网络连接的解决方案。
它利用了加密技术和隧道协议来保护数据的传输和安全性。
企业VPN可以帮助企业降低成本、提高网络安全性和改善远程办公体验。
企业VPN的工作原理企业VPN建立了一个加密隧道,将远程办公地点和分支机构与总部连接起来。
它使用了多种协议和技术,包括IPSec(Internet Protocol Security,互联网协议安全)、SSL/TLS(Secure Sockets Layer/Transport Layer Security,安全套接字层/传输层安全)和PPTP(Point-to-Point Tunneling Protocol,点对点隧道协议)等。
当一个用户从远程办公地点或分支机构连接到企业VPN时,VPN客户端会在用户的设备上运行。
用户提供正确的凭据(用户名和密码)后,VPN客户端与VPN服务器建立连接,并启动加密隧道。
一旦连接建立,用户就可以通过VPN安全地访问企业内部资源,如文件、应用程序和数据库。
提供商的选择在选择适合企业的VPN解决方案时,以下几个方面是需要考虑的:1.安全性:确保VPN提供了足够的加密和身份验证机制,以保护敏感数据的传输和存储。
2.可扩展性:企业需要一个能够满足其未来扩展需求的VPN解决方案,以便支持更多用户和分支机构的连接。
3.性能:VPN的性能对于企业网络的顺畅运行至关重要。
要选择一个具有高带宽和低延迟的VPN提供商。
XX公司VPN方案
XX公司VPN方案概述随着信息化的不断发展,企业对外部网络的需求不断增加,尤其是对于跨地域合作和远程办公的需求更为突出。
而VPN(Virtual Private Network)就成为了满足这一需求的最佳方案之一、它能够在公共网络基础上建立一个加密的、高安全性的私人网络,使得远程用户可以安全地访问公司内部网络资源,完成远程办公等工作。
XX公司的VPN方案旨在实现以下目标:1.提供远程用户安全、稳定、高效的接入公司网络的方式。
2.加强对远程办公的管理和控制。
3.降低传统专线接入的成本。
技术方案1.VPN网络架构XX公司的VPN网络采用基于云的虚拟专用网架构。
云服务提供商将负责搭建和管理VPN服务器,同时提供完备的网络安全服务,如防火墙、入侵检测和防御、DDoS防护等。
远程用户通过互联网访问云上的VPN服务器,从而实现对公司网络的安全接入。
2.VPN协议选择为保证通信的安全性和可靠性,XX公司使用OpenVPN协议作为VPN 的通信协议。
相比其他协议,OpenVPN具有更高级的加密和认证机制,支持跨平台运行,同时具备灵活性和可扩展性。
3.VPN认证方式为保证用户身份的合法性,远程用户需要进行VPN的身份认证。
XX公司采用两步认证的方式,即用户首先需要输入用户名和密码进行认证,随后还需要输入动态口令。
动态口令由手机上的OTP(One-Time Password)生成器生成,每次登录都会生成一个新的口令,有效时间非常短。
这种方式可以大大提升用户的身份认证安全性。
4.VPN加密技术XX公司的VPN方案采用RSA和AES加密技术保护通信的隐私和安全。
RSA用于建立密钥交换和身份认证,而AES用于实际的数据加密和解密过程。
RSA具有非对称加密的特点,能够提供更好的身份认证,AES则是一种对称加密算法,在实现高强度加密的同时,也保证了通信的高效性。
5.VPN访问控制为保证公司网络的安全,XX公司的VPN方案对用户进行严格的访问控制。
VPN安全解决方案
VPN安全解决方案一、现状与需求:随着社会的发展,企业日益扩张,客户分布日益广泛,合作伙伴日益增多,这种情况也使传统企业网络的功能缺陷越来越凸现,各公司均根据行业特点在在企业总部部署如OA系统、ERP系统、财务系统、GIS地理信息系统等应用软件,将企业分布在各地的分支机构和办事处与企业总部互联,达到安全地共享数据和软件资源的目的,于是用户对于自身的网络建设提出了更高的需求,主要表现在网络的灵活性、安全性、经济性、扩展性等方面。
VPN(虚拟专用网)技术的出现,为在公共网络上建立安全的Intranet分布应用提供了良好的技术手段。
随着VPN技术的不断完善,其管理简单、灵活性高、费用低廉的优点已成为构建内部广域网络的首要选择。
传统的企业网络解决方案需要VPN网关、防火墙、交换三块设备,对安全比较注重的企业还要考虑布署IDS/IPS(入侵检测/防御系统)等,用分体的设备无疑会增加成本,同时可能故障点会增多,管理较为复杂,SAMSUNG充分考虑信息化投资效果,推出了集路由交换、VPN、防火墙、VOIP于一体的模块化的UBigate系列产品,为企业网络提供了全面的、高效率、可扩展的、安全的VPN解决方案。
二、三星UBigate3026特点:整机模块化设计,所有模块支持热拔插功能,用户可量身定制自已的配置,升级、维护极灵活,具备很强的可扩展性。
1、路由交换:支持RIP,OSPF,BGP协议,QOS机制,二、三层企业级交换能力,21G的吞吐量,支持最多54个千兆端口,4个光纤端口2、防火墙(ISM模块)、VPN(VAC卡)防火墙的吞吐量:400Mbps,VPN吞吐量:200Mbps,最大VPN隧道:2000支持IPS/IDS、网关防病毒、防垃圾邮件、URL过滤、Web应用软件防火墙、终端安全性3、VoIP支持模拟和数字电话提供接口,配备了带有IP电话和PoE的以太模块,能够提供灵活多变的企业级语音服务。
并通过广泛的QoS使企业语音和数据业务真正整合,支持模拟、数字和IP电话。
VPN在企业网络安全中的应用案例与技巧(六)
VPN(Virtual Private Network,虚拟专用网络)是一种通过公共网络建立安全连接的技术,已经在企业网络安全中得到广泛应用。
本文将通过一些案例和技巧,探讨VPN在企业网络安全中的应用。
一、提升数据传输安全性众所周知,传统的互联网传输是开放的,数据经过多个节点传递,容易被黑客窃取或者篡改。
然而,对于一些企业来说,数据的安全性至关重要。
VPN利用加密技术,在公共网络上创建一条“隧道”,使数据在传输过程中得到保护。
这样一来,企业的敏感信息就能够得到有效的保护,不会落入不法分子之手。
举例来说,某金融机构的分支机构需要与总部进行数据传输,这些数据包含大量客户隐私信息。
为了确保这种数据的安全,金融机构可以建立一个VPN连接,将分支机构的网络与总部网络打通。
这样,数据在传输过程中会进行加密处理,即使被黑客截获,也无法解密其中的内容。
VPN有效提升了金融机构的数据传输安全性。
二、打破地域限制,提高远程办公效率如今,随着全球化的发展,很多企业已经在全球范围内设立了分支机构。
员工需要频繁地进行异地办公,但是跨地域的网络访问常常受到限制。
在这种情况下,VPN可以发挥作用。
以某跨国公司为例,该公司的员工经常需要从全球各地远程登录到公司网络进行办公。
由于不同国家和地区的网络限制和政策,员工们常常无法直接访问公司的内部系统。
通过建立VPN连接,员工们可以获得一个虚拟的本地网络环境,绕过了地域限制,实现了跨地域的远程办公。
三、保护移动办公设备安全随着移动办公的普及,很多企业员工都使用手机、平板等移动设备进行工作。
然而,移动设备的安全性常常被忽视。
一旦设备丢失或遭到黑客攻击,企业的机密信息可能遭到泄露。
在这种情况下,VPN的角色非常重要。
以某IT公司为例,该公司的员工经常使用移动设备进行办公,访问公司的内部系统和数据库。
为了保证这些设备的安全性,该公司要求所有员工安装VPN客户端,并通过VPN进行远程访问。
这样一来,即使设备遭到黑客攻击或者丢失,黑客也无法轻易窃取信息,因为所有数据都经过加密传输。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
企业网络安全-vpn解决方案信息技术中心-安全管理部2017年9月13日星期三目录第一章用户需求分析 (5)1.1业务背景 (5)1.2需求分析 (5)1.3方案目的 (6)第二章VPN技术核心 (6)1.VPN概念 (6)2.VPN技术核心 (7)2.1 VPN分类 (7)2.2 VPN技术标准 (7)2.3 IPSec协议 (8)2.4 VPN的优势 (11)3.VPN的发展前景 (12)第三章VPN解决方案 (12)1. 方案设计原则 (12)1.1 高安全性 (13)1.2 最优网络 (13)1.3 完善管理 (13)2. VPN实施方案 (13)2.1总部网络拓扑 (14)2.2 分部网络拓扑 (15)2.3访问控制 (16)2.4 VPN 场景应用 (16)3.方案实可现高价值 (18)前言随着计算机技术和通讯技术的飞速发展,网络正逐步改变着人们的工作方式和生活方式,成为当今社会发展的一个主题。
网络的开放性,互连性,共享性程度的扩大,特别是Internet的出现,使网络的重要性和对社会的影响也越来越大。
随着网络上电子商务,电子现金,数字货币,网络保险等新兴业务的兴起,网络安全问题变得越来越重要。
计算机网络犯罪所造成的经济损失实在令人吃惊。
仅在美国每年因计算机犯罪所造成的直接经济损失就达150亿美元。
在全球平均每二十秒就发生一次网上入侵事件。
有近80%的公司至少每周在网络上要被大规模的入侵一次,并且一旦黑客找到系统的薄弱环节,所有用户都会遭殃。
面对计算机网络的种种安全威胁,必须采取有力的措施来保证安全。
随着技术的发展,各种入侵和攻击从针对TCP/IP协议本身弱点的攻击转向针对特定系统和应用漏洞的攻击,如针对Windows系统和Oracle/SQL Server 等数据库的攻击,这些攻击和入侵手段封装在TCP/IP协议的净荷部分。
传统的防火墙设备如第一代的包过滤防火墙,第二代的应用代理防火墙到第三代的全状态检测防火墙对此类攻击无能为力,因为它们只查TCP/IP协议包头部分而不检查数据包的内容。
此外基于网络传播的病毒及间谍软件也给互联网用户造成巨大的损失。
同时层出不穷的即时消息和对等应用如MSN,QQ,BT等也带来很多安全威胁并降低员工的工作效率。
如今的安全威胁已经发展成一个混合型的安全威胁,传统的防火墙设备已经不能满足客户的安全需求。
美国Xx公司顺应客户需求及时推出了全新设计的高性能的UTM一体化网络安全设备。
一般来讲,UTM通常包括防火墙/VPN,网关防病毒和IPS,Xx公司的UTM在此基础上又增加了反间谍软件服务,进一步确保企业信息安全。
Xx采用独一无二的逐个包扫描深度包检测引擎,无需对数据包重组及对文件进行缓存就可以实现对病毒、入侵和间谍软件的扫描和防护,彻底消除了网关设备对同时下载的文件数目和文件的大小的限制,从UTM技术上是一个突破。
Xx UTM设备能够并行扫描超过50种协议上的近25000种病毒,检测并阻断近2000种入侵威胁。
Xx还支持近百种签名对及时消息(IM,如MSN、QQ)和对等应用(P2P,如BT下载、eMule下载)的通信进行控制,如封堵QQ2005,能够扫描NetBIOS 协议,防止病毒通过Windows文件共享进行扩散。
采用高性能的专用硬件实现IPSec VPN的加解密,使得Xx设备在3DES和AES算法具备同样出色的表现。
对于分布式的企业,通过Internet建立VPN连接是安全经济的信息传输方式,此外, Xx的网关防病毒和入侵防护功能不仅能防护从Internet过来的安全威胁,而且还能阻挡企业其它分支机构通过VPN 隧道带来的安全威胁。
第一章用户需求分析1.1 业务背景xxxx有限公司是国内首屈一指的食品加工销售企业,业务遍及全国各省。
物流和财务信息的传输需要确保安区,但是申请专线的费用很高。
Internet为企业的信息传输提供了一个经济有效的平台,然而安全问题值得担忧。
目前有20个分公司遍布全国各地,还有大量的出差在外的业务人员需要及时安全地访问企业总部的服务器。
1.2 需求分析信息及时沟通、资源共享是制约企业业务飞速发展的重要因素之一,集团内部的各类信息、营销策略如何及时送达至所有在外工作的业务人员,而在外工作的业务人又如何能通过一种高效、安全、可靠的方式将他们的业务开展情况反馈到集团总部,并通过企业内部的营销系统、ERP等业务系统迅速展现在企业决策者面前,一直是我集团期待解决的问题之一。
公司在国内的驻外人员分布在各省会城市,负责该省内的所有产品营销业务。
由于需要及时和企业总部进行财务及其它信息的传输,这些业务数据在Internet上直接传输时又存在较高的安全风险,一旦这些数据被盗取或泄漏出去,必然会造成公司业务的严重损失。
初步需求如下:4个分公司分别通过当地电信部门接入Internet。
这些分支机构的网络要受到安全设备的防护,必须有防火墙设备,此外,为防止遭受病毒,黑客入侵的威胁,应用层的安全必须受到保护,设防火墙设备应该具备防病毒和防入侵的功能。
企业总部网络有重要的数据库系统,防止病毒和黑客的入侵极为重要。
由于所有分公司要和企业总部建立点到点VPN连接实现安全的数据传输,高性能的VPN功能必须集成在设备内部,便于统一管理。
此外出差在外的员工也要能够及时地通过Internet安全地访问企业的数据库,移动用户必须通过VPN加密方式访问企业网络资源。
1.3 方案目的作为保护企业内部网免遭外部攻击,确保信息安全地通过Internet传输,最有效的措施就是在分别在企业系统内部网与外部广域网之间放置UTM设备(即:防火墙+ VPN +网关防病毒+ IPS),通过设置有效的安全策略,做到对企业内部网的访问控制。
为了方便远程/移动用户安全访问集团内部的机密资料,并为公司建立起安全经济的网络通信连接,故推荐配置使用基于深度包检测技术的UTM 设备——(防火墙 + VPN + 网关防病毒 + 防入侵)。
第二章 VPN技术核心1.VPN概念虚拟专用网(Virtual Private Network)技术是指在公共网络中建立专用网络,数据通过安全的"加密管道"在公共网络中传播。
利用VPN技术,单位只需要租用本地的数据专线,连接上本地的公众信息网,各地的机构就可以互相传递信息;同时,单位还可以利用公众信息网的拨号接入设备,让自己的用户拨号到公众信息网上,就可以连接进入内联网中。
使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处,是目前和今后内联网络发展的趋势。
简单的来说,VPN可以看作是内部网在公众信息网(宽带城域网)上的延伸,通过在宽带城域网中一个私用的通道来创建一个安全的私有连接,VPN通过这个安全通道将远程用户,分支机构,业务合作伙伴等机构的内联网连接起来,构成一个扩展的内联网络(如图2-1)。
单机用户图2-12.VPN技术核心2.1 VPN分类VPN可分为三种类型:•远程访问虚拟网(Access VPN)Access VPN是指单位员工或单位的小分支机构通过公网远程拨号的方式构筑的虚拟网。
•内部虚拟网(Intranet VPN)Intranet VPN是指单位的总部与分支机构间通过公网构筑的虚拟网•扩展虚拟网(Extranet VPN)Extranet VPN是指单位间发生收购、兼并或单位间建立战略联盟时,不同内联网通过公网来构筑的虚拟网。
这三种类型的VPN分别与传统的远程访问网络、内部Intranet以及内联网和相关合作伙伴的内联网所构成的Extranet相对应。
其中我们通常把Access VPN叫做拨号VPN,即VPDN;将Intranet VPN 和Extranet VPN统称为专线VPN。
2.2 VPN技术标准VPN的具体实现是采用隧道技术,将内联网的数据封装在隧道中进行传输。
隧道协议中最为典型的有GRE、IPSec、L2TP、PPTP、L2F等。
其中GRE、IPSec 属于第三层隧道协议,L2TP、PPTP、L2F属于第二层隧道协议。
第二层隧道和第三层隧道的本质区别在于用户的IP数据包是被封装在何种数据包中在隧道里传输的。
L2TP与IPSec是与VPN相关的两个最重要的协议。
IETF制定的与IPSec相关的RFC文档主要包括RFC2104、RFC2401~2409、RFC2451;而L2TP协议是由3Com、Cisco、Ascend、Microsoft及Bay等厂商共同制定的,其控制包和数据包都是在LAC和LNS间通过UDP/IP传输;此外MPLS、RADIUS、LDAP、VPMT等协议都有部分涉及到VPN。
2.3 IPSec协议IPSec是由IETF正式定制的开放性IP安全标准,是虚拟专网的基础,已经相当成熟可靠。
IPSec实际上是一套协议包而不是一个单个的协议,这一点对于我们认识IPSec是很重要的。
自从1995年开始IPSec的研究工作以来, IETF IPSec工作组在它的主页上发布了几十个宽带城域网草案文献和12个RFC文件。
其中,比较重要的有RFC2409 IKE互连网密钥交换、RFC2401 IPSec协议、RFC2402 AH验证包头、RFC2406 ESP 加密数据等文件。
IPSec安全结构包括3个基本协议:•AH协议(Authentication Header)IPSec认证包头(AH)是一个用于提供IP数据报完整性和认证的机制。
其完整性是保证数据报不被无意的或恶意的方式改变,而认证则验证数据的来源(识别主机、用户、网络等)。
AH本身其实并不支持任何形式的加密,它不能保证通过宽带城域网发送的数据的可信程度。
AH只是在加密的出口、进口或使用受到当地政府限制的情况下可以提高全球宽带城域网的安全性。
当全部功能实现后,它将通过认证IP包并且减少基于IP欺骗的攻击机率来提供更好的安全服务。
AH使用的包头放在标准的IPv4和IPv6包头和下一个高层协议帧(如TCP、UDP、ICMP等)之间。
AH协议通过在整个IP数据报中实施一个消息文摘计算来提供完整性和认证服务。
一个消息文摘就是一个特定的单向数据函数,它能够创建数据报的唯一的数字指纹。
消息文摘算法的输出结果放到AH包头的认证数据(Authentication_Data)区。
消息文摘5算法(MD5)是一个单向数学函数。
当应用到分组数据中时,它将整个数据分割成若干个128比特的信息分组。
每个128比特为一组的信息是大分组数据的压缩或摘要的表示。
当以这种方式使用时,MD5只提供数字的完整性服务。
一个消息文摘在被发送之前和数据被接收到以后都可以根据一组数据计算出来。
如果两次计算出来的文摘值是一样的,那么分组数据在传输过程中就没有被改变。