公司虚拟专用网络搭建理论一

EricStone
135 阅读7分钟

前言

写在前面,请一定分清公司XXN和某些科学XXN区别。他们在实现方式和使用协议是有一些区别的。这些会放在后面说。

一、公司XXN技术基本理论

  • XXN用途

    • 公司总公司和(分支机构)子公司网络安全互通
    • 员工远程连接公司服务器,进行远程办公
    • 搭建专用网络实现加速功能(类似游戏加速器)或者某些专用功能
    • 数据安全,客户端流量管理/过滤

  • apple MDM

    • 管理苹果设备(这里只做了解)具体可看文章

  • XXN关键技术隧道:

    隧道简介:为了实现数据的安全,和减少公网中间路由的转发达到直连的效果,隧道技术是实现XXN的核心技术之一。
    • 利用隧道(Tunnel)技术,对传输报文进行封装,利用VPN骨干网建立专用数据传输通道,实现报文的安全传输。位于隧道两端的VPN网关,通过对原始报文的“封装”和“解封装”,建立一个点到点的虚拟通信隧道。从而可以把XXN数据从一个节点透传到另一个节点上。
    隧道作用:隧道技术的本质就是利用一种网络层的协议来传输另一种网络层的协议,通过封装和加密来实现信息的隐蔽和抽象
    • 在不兼容的网络上传输数据
    • 在不安全网络上提供一个安全路径
    • 隐藏私有的网络地址

二、隧道协议

在这个实现隧道过程中用来封装数据包的一类网络协议。用它来保证数据的安全

  • IPSec (Internet Protocol Security,互联网安全协议)(重点学习

    IPSec(Internet Protocol Security,互联网安全协议)是一个协议包,透过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族。包括以下:
    • AH协议,为IP包提供信息源验证和完整性保证(使用较少):可以同时提供数据完整性确认、数据来源确认、防重放等安全特性;AH常用摘要算法(单向Hash函数)MD5和SHA1实现该特性。
    • ESP协议,提供加密机制(使用较广):可以同时提供数据完整性确认、数据加密、防重放等安全特性;ESP通常使用DES、3DES、AES等加密算法实现数据加密,使用MD5或SHA1来实现数据完整性
    • 密钥管理协议(ISAKMP),提供双方交流时的共享安全信息

为何AH使用较少呢?因为AH无法提供数据加密,所有数据在传输时以明文传输,而ESP提供数据加密;其次AH因为提供数据来源确认(源IP地址一旦改变,AH校验失败),所以无法穿越NAT。当然,IPSec在极端的情况下可以同时使用AH和ESP实现最完整的安全特性,但是此种方案极其少见

IPSpec VPN 应用的场景大致分为3种,并拥有不同的工作模式:传输模式和隧道模式,他们有不同的特点适用于不同工作场景。

  • Site-to-Site(站点到站点或者网关到网关):如公司的3个子公司分布在互联网的3个不同的地方,各使用一个网关相互建立XXN隧道,企业内网(若干PC)之间的数据通过这些网关建立的IPSec隧道实现安全互联。(这种只能使用隧道模式)
  • End-to-End(端到端或者PC到PC): 两个PC之间的通信由两个PC之间的IPSec会话保护,而不是网关。(这种可以使用传输模式也可以使用隧道模式)
  • End-to-Site(端到站点或者PC到网关):两个PC之间的通信,由网关和异地PC之间的IPSec进行保护。(这种只能使用隧道模式)

传输Transport模式的封装结构:

截屏2024-08-04 14.40.14.png

隧道Tunnel模式的封装结构:

截屏2024-08-04 14.40.24.png

通过以上封装机构的不同,也可以总结传输模式和隧道模式再使用上的区别,因为目前主要学习隧道模式这些请参看这个文档或网络其他资源。

  • PPTP(Point to Point Tunneling Protocol,点对点隧道协议)(了解)

    PPTP使用 TCP协议控制通道和一个GRE(通用路由封装) 封装 点对点协议包,通过跨越基于 TCP/IP 的数据网络创建 VPN 实现了从远程客户端到专用企业服务器之间数据的安全传输

    • PPTP规范中未描述加密或者验证功能,仅依靠点对点协议(PPP)进行隧道传输以实现所有安全功能
    • PPTP协议内置在微软Windows家族的各个产品中,在微软点对点协议(PPP)的协议堆栈中,提供了各种标准的身份验证与加密机制来支持PPTP
    • 通常可以搭配IPSec的加密机制来提高安全性
    • 是最快的VPN 协议之一
    • 不安全,加密密钥已被政府和犯罪分子破解

  • L2TP(Layer Two Tunneling Protocol,第二层隧道协议)(了解)

    是IETF基于L2F (Cisco的第二层转发协议)开发的PPTP的后续版本,是一种工业标准 Internet 隧道协议,可以为跨越面向数据包的媒体发送点到点协议 (PPP) 框架提供封装

    • 整个L2TP数据包,是用UDP来发送
    • L2TP自身没有加密与可靠性验证的功能
    • 可以结合IPsec来确保L2TP的安全及完整性,从而实现数据的加密传输

    PPTP与L2TP 异同点 相同点:

    • 都使用PPP协议对数据进行封装,然后添加附加包头用于数据在互联网络上的传输

    不同点:

    • PPTP只能在两端点间建立单一隧道/L2TP支持在两端点间使用多隧道
    • PPTP要求互联网络为IP网络/L2TP只要求隧道媒介提供面向数据包的点对点连接,L2TP可以在IP(使用UDP)和一些其他网络中使用。
    • PPTP 连接只要求通过基于 PPP 的身份验证协议进行用户级身份验证/IPsec 上的 L2TP 连接不仅需要相同的用户级身份验证,而且还需要使用计算机凭据进行计算机级身份验证

  • SSL VPN(Secure Sockets Layer Virtual Private Network)(如OpenVPN) (重点

    是一种通过以SSL协议为安全基础的VPN远程接入技术。它允许用户通过网络安全地访问内部网络和资源。与传统VPN相比,SSL VPN的使用更为广泛且易于部署。它可以通过Web浏览器或专用客户端实现。

    特点:

    • 采用B/S架构,远程用户无需安装额外软件,可直接使用浏览器访问内网资源。
    • SSL VPN可根据远程用户访问内网资源的不同,对其访问权限进行高细粒度控制。
    • 提供了本地认证、服务器认证、认证匿名和证书挑战多种身份认证方式,提高身份认证的灵活性。
    • 可以使用主机检查策略。
    • 缓存清理策略用于清理远程用户访问内网过程中在终端上留下的访问痕迹,加固用户的信息安全。

    应用场景:

    • 保证远程用户能够在企业外部安全、高效的访问企业内部的网络资源。通过多虚拟网关技术可以实现业务的隔离。

    SSL VPN与IPSec VPN对比:

截屏2024-08-04 16.40.46.png

  • SSL保护的是应用层的数据,可以针对某个应用做具体保护。而IPSec VPN针对的是整个网络层。无法做精细化控制。

结语

以上XXN技术理论基础学习。以下为参考资料

avatar
文章
阅读
粉丝