《Linux系统安全:纵深防御、安全扫描与入侵检测 》 —3 虚拟专用网络

网友投稿 626 2022-05-30

第3章

虚拟专用网络

虚拟专用网络(Virtual Private Network,VPN)架设在公共共享的互联网基础设施上,在非受信任的网络上建立私有的和安全的连接,把分布在不同地域的信息基础设施、办公场所、用户或者商业伙伴互联起来。

虚拟专用网络使用加密技术为通信提供安全保护,以对抗对通信内容的窃听和主动的攻击。虚拟专用网络在今天被广泛地使用到远程互联中。在虚拟专用网络技术出现之前,不同办公场所互联组建专用私有网络时,企业往往需要投入较大的成本用于租赁专用线路。虚拟专用网络的出发点是建立虚拟的专用链路,在互联网上进行传输并使用加密技术进行通信安全防护。

虚拟专用网络的使用场景如下。

安全互联:把多个分布在不同地域的服务器或者网络安全地连接起来。

《Linux系统安全:纵深防御、安全扫描与入侵检测 》 —3 虚拟专用网络

指定网络流量路由:把多个点之间的网络流量通过虚拟专用网络的隧道进行连接后,可以使用动态路由等优化内部网络通信。

匿名访问:通过虚拟专用网络通道,可以隐藏客户端的来源IP地址,在某些场景下可以起到保护用户的作用。

本章将首先概要描述目前使用比较多的各种虚拟专用网络构建技术、方案和原理,然后重点讲解使用OpenVPN构建企业级虚拟专用网络的最佳方案,深入研究其中的核心配置参数,最后对OpenVPN的排错思路和方法进行指导。

3.1 常见虚拟专用网络构建技术

目前我们在实践中,经常遇到的虚拟专用网络构建技术,大致上分以下3类:

点到点的隧道协议(Point-to-Point Tunneling Protocol,PPTP)虚拟专用网络

互联网协议安全(Internet Protocol Security,IPSec)虚拟专用网络

安全接口层/安全传输层协议(Secure Sockets Layer/Transport Layer Security,SSL/TLS)虚拟专用网络

3.1.1 PPTP虚拟专用网络的原理

PPTP使用建立于TCP之上的通道来进行控制,使用通用路由封装协议(Generic Routing Encapsulation,GRE)隧道技术来封装点到点协议(Point to Point Protocol,PPP)包。PPTP规范里面没有描述加密和认证的特性,它依赖于底层的PPP协议来实现数据安全的功能。

PPTP的第1个隧道首先通过和对端服务器的TCP 1723端口进行通信来建立。在该TCP连接建立后,再创建第2个隧道GRE来进行数据传输。在RFC 2673中详细描述了PPTP协议的控制和数据通信过程。

linux环境中,我们可以使用pptpd进行PPTP虚拟专用网络的架设。

虚拟专用网络 VPN 虚拟化 网络

版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:我们常说的MVC是什么
下一篇:《Java并发编程的艺术》 —3.2.4 重排序对多线程的影响
相关文章