前言
VPN想必大家都很熟悉吧,尤其是疫情期间大家居家办公的时候,在家里通过VPN账号或者其他工具就可以直接连接到公司内网,收到内网IM消息,今天一起学习一下VPN技术
VPN介绍
虚拟专用网络,是一种在互联网上建立专用网络的技术。可以提供完整性、保密性、认证等安全服务
按照应用划分,主要分为三种
- 远程接入VPN:通过互联网传输VPN数据,可以满足企业内部人员移动,远程办公
- 内部VPN:适合单位的远程办事处和分支机构与总部互联
- 外联网VPN:可以为合作伙伴连接到企业内部网络提供服务
VPN 隧道技术
IP隧道的建立可以在 链路层和网络层
主要协议有:
- 第一层:PPTP,点对点隧道协议
- 第二层:L2TP
- 第三层:IPSec协议
- 第四层:SSL VPN、TLS VPN
IPSec介绍
全称是:Internet 协议安全性,是通过IP协议的分组进行加密和认证来保护ip协议的网络传输协议族。
共分为:
- IKE 协议
- AH 认证,常用MD5和SHA-1来实现摘要和认证
- ESP,通常采用DES、3DES、AES等加密算法加密,使用MD5和SHA-1来实现摘要和认证
- IPSec 工作模式,分为传输模式和隧道模式
防火墙
防火墙分为:内网、外网、DMZ区(军事缓冲区)
常见的防火墙体系结构
- 双重宿主主机:一个双重宿主主机,分离内外网
- 被屏蔽主机:由一个路由器和内网堡垒主机,主要通过包过滤的方式来保护
- 被屏蔽子网:有DMZ网络,外部路由器,内部路由器,堡垒主机
名字解释:
堡垒主机:位于内网的边缘,可能直面外部用户攻击,具有代理服务器主机的功能
双重宿主主机:至少拥有两个网络接口,分别接内网和外网,能进行网络互连
常用的防火墙技术
- 包过滤防火墙:主要检查内容有:源地址、目的地址、协议。配置了ACL可以看做包过滤防火墙
- 代理服务器防火墙:对第四层和第七层进行检查
- 基于状态监测的防火墙:代表有思科PIX和ASA
- web防火墙:可以防止 SQL 注入,XSS 攻击,恶意文件上传等
- 数据库防火墙:主要包括数据库漏洞扫描,数据库加密,数据脱敏,数据库安全审计等
防火墙规则
-
匹配条件
- ip源地址
- ip目的地址
- 协议
- 源端口
- 目的端口
-
处理方式
- Accept:通过
- Reject:拒绝,并通知信息源
- Drop:丢弃,不通知信息源
常用的网络协议分析和流量监控工具
- Sniffer
- Wireshark
- MRTG
