VPN技术是指在公共的网络平台上传输用户私有的数据 , 实现方式是在公网如Internet上搭建隧道 , 从而使得在不安全的互联网上传输私有数据得到保证 。这种技术的效果类似于传统的租用专线联网方式 , 但其费用远比采用专线方式联网要便宜 。
目前与企业相关的VPN隧道协议分三种:点到点隧道协议PPTP , 第二层隧道协议L2TP , 网络层隧道协议IPSec 。而VPN在企业中的组网方式分四种:远程访问(客户端到网关) , 分支机构互连(网关到网关) , Extranet VPN(网关到网关 , 用于合作伙伴/客户等) , Intranet VPN 。在各种组网方式下要仔细选用不同的隧道协议 。
支持VPN的产品种类很多 , 包括路由器 , 主机网关 , 拨号接入设备 , 隧道加密机 , 隧道交换机等等 。但利用防火墙支持VPN越来越流行 , 因为它既能提供VPN实现网络互连 , 又能保护企业内部的资源免受外部网络的攻击 。因此 , 带VPN功能的防火墙可以提供更全面的安全解决方案 。
3Com公司防火墙VPN产品
目前 , 3Com公司的防火墙产品包括两种型号:
SuperStack 3防火墙
OfficeConnect DMZ防火墙
SuperStack 3防火墙主要用于企业中心以及大型分支办公室 , OfficeConnect DMZ防火墙只要用于小型分支办公室 。
这两种VPN防火墙都采用实时操作系统 , 并经过修剪 , 专门用于网络安全功能 , 彻底避免了传统软件防火墙由于依靠UNIX和Windows NT操作系统而带来的潜在漏洞 。同时 , 采用高性能安全防火墙引擎 , 提供状态包检测保护 , 属于专用硬件防火墙 , 能够为大中小企业提供高性能价格比的解决方案 。
为了提供高性能 , 高安全性的VPN , 3Com公司防火墙采用专用硬件加速引擎 , 并采用标准的网络层IPsec 协议 。下面介绍IPsec VPN与其它两种VPN协议的比较 。
点到点隧道协议-PPTP
PPTP协议在一个已存在的IP连接上封装PPP会话 , 只要网络层是连通的 , 就可以运行PPTP协议 。PPTP协议将控制包与数据包分开 , 控制包采用TCP控制 , 用于严格的状态查询以及信令信息;数据包部分先封装在PPP协议中 , 然后封装到GRE V2协议中.GRE是通用路由封装协议 , 用于在标准IP包中封装任何形式的数据包 , 因此PPTP可以支持所有的协议 , 包括IP , IPX , NetBEUI等等 。除了搭建隧道 , PPTP本身没有定义加密机制 , 但它继续了PPP的认证和加密机制 , 包括认证机制PAP/CHAP/MS-CHAP以及加密机制MPPE 。
第二层隧道协议-L2TP
L2TP是一个国际标准隧道协议 , 它结合了PPTP协议以及第二层转发L2F协议的优点 。L2TP与PPTP的最大不同在于L2TP将控制包和数据包合二为一 , 并运行在UDP上 , 而不是TCP上 。UDP省去了TCP中同步、检错、重传等机制 , 因此L2TP速度很快 。与PPTP类似 , L2TP也可支持多种协议 。L2TP协议本身并没有提供任何加密功能 。
IPsec协议
IPsec是标准的第三层安全协议 , 用于保护IP数据包或上层数据 , 它可以定义哪些数据流需要保护 , 怎样保护以及应该将这些受保护的数据流转发给谁 。由于它工作在网络层 , 因此可以用于两台主机之间 , 网络安全网关之间(如防火墙 , 路由器) , 或主机与网关之间 。
IPsec协议分两种:ESP和AH , 这两种协议都可以提供网络安全 , 如数据源认证(确保接收到的数据是来自发送方) , 数据完整性(确保数据没有被更改)以及防中继保护(确保数据到达次序的完整性) 。除此之外 , ESP协议还支持数据的保密性 , 能够确保其它人无法读取传送的数据 , 这实际上是采用加密算法来实现的 。
IPsec的安全服务要求支持共享钥匙完成认证和/或保密 。在IPsec协议中引入了一个钥匙治理协议 , 称Internet钥匙交换协议-IKE , 该协议可以动态认证IPsec对等体 , 协商安全服务 , 并自动生成共享钥匙 。
推荐阅读
- 通过Web浏览器修改交换机参数
- 牧草喂猪限定“饭量”
- 使用Z610有感
- 常见网络交换机故障及应用问答
- oppo手机体感拨号/接听/免提切换开启使用教程
- 空调衫是什么有什么作用
- win10系统中禁用defender具体方法介绍
- 如何正确使用腰凳
- 苡字用于人名的寓意
- qq安装权限设置在哪里