VPN:virtual private network(虛擬專用網絡)
背景介紹:
- 很多的公司具有全球化業務,它們在世界各個區域都有設備。但是隨之面臨的問題是:怎麼建立一種有效的安全的可信賴的連接在各個區域之間。
- 最近纔出現的概念:可靠通信意味着使用租用線路維護−區域網絡(WAN:Wide-Area Network)租用的線路,範圍從綜合服務數字網絡(ISDN,運行速度爲144kbps)到光載波−3 (OC3運行在155 Mbps)纖維,爲公司提供一種擴大他們的私人網絡超出了他們直接的地理區域。
- 廣域網在可靠性、性能和安全性方面明顯優於Internet等公共網絡;但是維護廣域網,特別是使用租用線路時,可能會變得相當昂貴
- (it often rises in cost as the distance between offices increase)通常成本會隨着距離的增加而增加。
- 此外,對於部分員工流動性很強(比如營銷人員)、可能經常需要遠程連接公司網絡並訪問敏感數據的組織來說,租用線路不是可行的解決方案。
- 隨着互聯網的普及,企業已經將其作爲擴展自己網絡的一種手段。首先是內部網,這是專爲公司員工設計的網站。現在,許多公司創建自己的虛擬專用網(vpn)來滿足遠程員工和辦公室的需求。
概念介紹:
一個典型的VPN可能由一個主要的(LAN)在公司的總部,其他的LANs在遠端的辦公區域或設備,外部連接的個人用戶三部分組成。
VPN是一種專用網絡,它使用公共網絡(通常是Internet)將遠程站點或用戶連接在一起。而不是使用一個專用的,真正的−世界連接,如專線。
VPN類型
兩種:
- Remote-Access:也稱爲虛擬專用撥號−網絡(VPDN),這是一個用戶−−局域網連接使用的公司的員工需要從不同的遠程連接到私有網絡。
- Site-to-site:通過使用專用設備和大型−規模加密,一個公司可以連接多個固定站點在互聯網等公共網絡。每個站點只需要一個本地連接相同的公共網絡,從而節省私人出租−線長。
類比的故事:每一個局域網都是一個島
-
想象一下我們生活在一個巨大海洋的小島上。有成千上萬的島嶼在你的島嶼周圍,一些離得近,一些離得遠。通常的旅行方式是從你的島乘渡船到你想去的任何一個島。乘渡船旅行意味着你幾乎沒有隱私。你做的任何事都可能被別人看到。
-
假設每個島嶼代表一個私有局域網,海洋就是互聯網。當你乘坐輪渡旅行時,它類似於你通過互聯網連接到一個web服務器或另一個設備。你無法控制構成互聯網的線路和路由器,就像你無法控制渡輪上的其他人一樣。如果您試圖使用公共資源在兩個私有網絡之間連接,這將使您容易受到安全問題的影響。
-
你的島決定建造一座通往另一個島的橋樑,這樣人們在這兩個島之間旅行就會更容易、更安全、更直接。即使你所連接的島離你很近,建造和維護這座橋的費用還是很高的。但是對一個可靠、安全的路徑的需求是如此之大,以至於您無論如何都要這樣做。你的島想要連接到另一個島,這個要遠得多,但你認爲它太貴了。
-
這種情況很像租用線路。這些橋(租用的線路)與海洋分開(互聯網),但他們能夠連接島嶼(局域網)。許多公司選擇這條路線,是因爲在連接遠程辦公室時需要安全性和可靠性。相距很遠,但是,如果辦公室的費用可以支付高額−就像試圖建立一座橋樑橫跨一個偉大的距離。
-
那麼VPN如何適應這個類比呢?我們可以給我們島嶼上的每個居民一個小型潛水艇作爲他們的私有財產。
這樣有如下的優點:- 快速。
- 想去哪就很方便。
- 從任何的船隻和潛水艇隱藏你。
- 獨立的。
- 一旦購買了潛水艇,之後的花費就很少了。
-
雖然他們和其他交通工具一起在海洋中旅行,但我們兩個島嶼的居民可以在他們想要的任何時候在隱私和安全的情況下來回旅行。這就是VPN的工作原理。您的網絡中的每個遠程成員都可以使用internet作爲連接到專用LAN的媒介,以安全可靠的方式進行通信。VPN可以比租用線路更容易適應更多的用戶和不同的位置。事實上,可伸縮性是vpn相對於典型的租用線路的一個主要優勢。與租用線路的成本隨着距離的增加而增加不同,在VPN的創建過程中,每個辦公室的地理位置無關緊要。
VPN技術
一個好的VPN技術通常使用幾種不同的方法來保證數據的安全。
-
數據機密性
這可能是VPN實現提供的最重要的服務。由於您的私有數據通過公共網絡傳輸,因此數據機密性非常重要,可以通過加密數據來實現。這是將一臺計算機發送給另一臺計算機的所有數據編碼成只有另一臺計算機能夠解碼的形式的過程。
幾種加密技術:- IPsec
- PPTP/MPPE
- L2TP/IPsec
-
數據完整性(數據有沒有被更改)
雖然在公共網絡上對數據進行加密很重要,但同樣重要的是驗證數據在傳輸過程中沒有被更改。例如,IPsec有一種機制來確保數據包的加密部分,或者數據包的整個報頭和數據部分沒有被篡改。如果檢測到篡改,則丟棄數據包。數據完整性還包括對遠程對等點進行身份驗證。 -
數據來源認證
驗證發送的數據源的身份非常重要。這對於防範一些依賴於欺騙發送方身份的攻擊是必要的。 -
抗重播
這是一種檢測和拒絕重放數據包的能力,有助於防止欺騙。 -
數據隧道/交通流機密性
隧道是將整個包封裝在另一個包中並通過網絡發送它的過程。在需要隱藏發起通信流的設備的標識的情況下,數據隧道非常有用。例如,一個使用IPsec的設備封裝了它背後屬於多個主機的流量,並在現有數據包上添加了自己的報頭。通過加密原始數據包和報頭(並基於在其上添加的額外第3層報頭路由數據包),隧道設備有效地隱藏了實際的報頭數據包的來源。
這裏列出的所有加密協議也都使用隧道作爲在公共網絡上傳輸加密數據的一種方法。重要的是要認識到,隧道本身並不提供數據安全性。原包僅僅是封裝在另一個協議和可能仍然可見與包−捕獲設備如果沒有加密。然而,這裏提到了它,因爲它是VPNs功能不可分割的一部分。
隧道需要三種不同的協議- Passenger protocol
- Encapsulating protocol
- Carrier protocol
site-to-site:對於網站−−網站vpn,通常是IPsec或通用路由封裝協議封裝(GRE)。GRE包括關於您正在封裝的包的類型的信息以及關於客戶機和服務器之間的連接的信息。
remote-to-acess:爲遠程−訪問vpn隧道通常使用點−−點協議(PPP)。作爲TCP/IP協 議棧的一部分,當主機和遠程系統通過網絡進行通信時,PPP是其他IP協議的載體。PPP隧道將使用PPTP, L2TP或
Cisco的Layer 2 Forwarding (L2F) -
AAA
身份驗證、授權和會計是用來更安全的訪問遠程−訪問VPN環境中。沒有用戶身份驗證,誰坐在筆記本電腦/ PC pre−配置VPN客戶端軟件可以建立一個安全連接到遠程網絡。但是,對於用戶身份驗證,在連接完成之前還必須輸入有效的用戶名和密碼。用戶名和密碼可以存儲在VPN終端設備本身上,也可以存儲在外部AAA服務器上,它可以爲Windows NT、Novell、LDAP等許多其他數據庫提供身份驗證- Who you are(Authentication)
- What you are allowed to do(authorization)
- What you actually do(Accounting)
-
不可抵賴性
在某些數據傳輸中,尤其是與金融交易相關的數據傳輸中,不可抵賴性是非常可取的特性。這有助於防止一方否認參與交易的情況。就像銀行在兌現支票之前需要您的簽名一樣,不可抵賴性的工作原理是在發送的消息上附加一個數字簽名,從而排除了這種可能性發送方拒絕參與交易的可能性。
VPN產品
針對兩種不同的類型,你需要某些組件來構建你的VPN
- 遠程用戶的客戶端
- 專用硬件,如Cisco VPN集中器或Cisco安全PIX防火牆
- 用VPN服務器爲錶盤−服務
- 服務提供商用於遠程用戶VPN訪問的網絡訪問服務器(NAS)
- 專用網絡和策略管理中心
這方面的知識可以網上詳細查詢思科公司提出的幾種解決方案。
什麼是SS(shadowsocks)
Shadowsocks的運行原理與其他代理工具基本相同,使用特定的中轉服務器完成數據傳輸。
在服務器端部署完成後,用戶需要按照指定的密碼、加密方式和端口,使用客戶端軟件與其連接。在成功連接到服務器後,客戶端會在本機上構建一個本地Socks5代理(或VPN、透明代理)。瀏覽網絡時,網絡流量會被分到本地Socks5代理,客戶端將其加密之後發送到服務器,服務器以同樣的加密方式將流量回傳給客戶端,以此實現代理上網。
附錄
翻譯自google的某篇大神的PDF,PDF信息如下:
title:How Virtual Private Networks Work
Document ID: 14106