VPN概述

vpn概念

  • 本质:Virtual Private Network(虚拟专用网)的缩写,通过在不可信任的公共网络上建立加密通道实现安全通信
  • 核心机制:将需要传输的报文(packet)加密处理后通过公共网络传输,保证数据在公网上的保密性
  • vpn安全功能:保密性服务、完整性服务、认证服务

vpn实现功能

  • 加密传输:如IPSec VPN对站点间通信数据进行加密,防止公网传输中被窃取
  • 隧道技术:出差人员通过VPN隧道访问内网服务器,实现"虚拟内网接入"效果
  • 三大安全服务:
    • 保密性服务:防止数据被窃听(如AES加密)
    • 完整性服务:检测数据是否被篡改(通过哈希校验)
    • 认证服务:验证通信双方身份(如用户名/密码认证)

vpn分类

  • 链路层VPN:
    • 典型协议:PPTP、L2TP(基于PPP协议)
    • 其他技术:ATM、Frame Relay、MPLS
  • 网络层VPN:
    • 代表技术:IPSec、GRE
  • 传输层VPN:
    • 典型协议:SSL/TLS(如HTTPS使用的安全层)

vpn实现技术

密码算法

  • 国际算法:
    • 对称加密:DES、AES(主流)、IDEA
    • 非对称加密:RSA
  • 国密算法(重点考点):
    • SM1/SM4(对称加密)
    • SM2(非对称加密)
    • SM3(哈希算法)
    • SM9(标识密码算法)

密钥管理

  • 手工配置:
    • 优点:配置可靠
    • 缺点:更新慢
  • 动态分发:
    • 协议标准:SKIP(简单密钥管理)、ISAKMP/Oakley(安全联盟协议)
    • 优势:自动协商、更新快(适合大型网络)

认证访问优势

  • 用户身份认证:
    • 单向认证:仅验证客户端身份
    • 双向认证:客户端与服务器互相验证(更安全)
  • 数据认证:
    • 完整性验证:通过哈希算法(如SM3)检测数据篡改
    • 合法性验证:通过数字签名(如RSA签名)确认数据来源

IPSec与SSL

IPSec

  • 定义: IETF定义的协议集,用于增强IP网络安全性
  • 核心功能:
    • 数据完整性(Data Integrity): 通过哈希校验检测数据是否被篡改
    • 认证机制(Autentication): 验证通信双方身份真实性
    • 保密性(Confidentiality): 采用加密算法实现数据保密传输
    • 应用透明性(Application-transparent Security): 在网络层实现安全功能,对应用层透明

IPSec组成架构

IPSec功能分为三类

  • 认证头(AH)
    • 功能: 数据完整性校验+源认证
    • 算法: MD5/SHA等哈希算法
    • 局限: 不提供加密服务
  • 封装安全负荷(ESP)
    • 功能: 数据加密+防重放攻击
    • 算法: DES/3DES/AES等对称加密算法
  • Internet密钥交换协议(IKE)
    • 功能: 密钥生成与分发
    • 算法: DH算法(非对称加密)

IPSec两种封装模式

image-20250807154927865
  • 传输模式:
    • 特点: 保留原始IP头,在传输层与网络层间插入AH头
    • 应用场景: 终端到终端VPN(如PC到服务器)
  • 隧道模式:
    • 特点: 添加新IP头,实现完整数据包封装
    • 应用场景: 站点到站点VPN(如路由器间通信)
  • 区分
    • 记忆口诀: “隧道模式有盾构(新头),传输模式用原装”
    • 隧道模式安全性更高,实际应用更广泛