目录
【VPN的概念】
VPN又称为virtual private network,虚拟专用网络。VPN的作用其实不是用来翻墙,而是用来在网络上再次开辟一条私有的隐私的连接,防止连接中的数据被第三方窃取。
VPN的工作原理
VPN其实就是对收发的信息进行加密以及解密,防止信息在发送到服务器或者从服务器接受数据的时候被拦截窃取
【PPTP】
PPTP(Point to Point Tunnel Protocol )又称为点对点隧道传输协议。是一种建立在PPP上的点对点隧道VPN技术。
PPTP的工作原理
PPTP其实就是用来创建以及维护PPP数据帧隧道发送的一种技术。通过PPTP客户端与PPTP服务器建立隧道连接,然后使用PPTP对该隧道进行维护。建立稳定的隧道连接后,把PPP数据帧经过加密或者压缩处理,然后通过通用路由封装GRE(Generic Routing Encapsulation)进行封装,再将PPP数据帧封装到IP报文中,通过网络发送给PPTP服务器进行解密,接受数据。
【IPSEC】
IPSEC(Internet Protocol Security)是一组制定的网络安全协议,它并不是一个单独的协议,而是一个协议族,是一系列为IP网络提供安全性的协议的组合。IPSEC通过加密验证等方式,为IP数据包提供安全服务
IPSEC的加密
IPSEC的加密分为两种,一种是对称加密另一种是非对称加密
对称加密算法
不管是加密还是解密使用的都是同一把密匙,加密解密的过程如下
明文数据->密匙加密->密文数据
密文数据->密匙解密->明文数据
对称加密速度快,但是密匙容易被劫持。
常见对称加密算法
DES,数据加密标准DES(Data Encryption Standard)它使用56位的密钥对一个64位的明文块进行加密。
3DES,3DES(Triple Data Encryption Standard),3DES是一种增强型的DES标准,它在需要保护的数据上使用3次DES,即使用三个不同的56位的DES密钥(共168位密钥)对明文进行加密。
AES, 先进加密标准AES(Advanced Encryption Standard)
AES被设计用来替代3DES,提供更快和更安全的加密功能。AES可以采用三种密钥:AES-128、AES-192和AES-256,其密钥长度分为128位、192位、256位。
非对称加密算法
非对称加密算法有两个密匙,一个公有密匙,一个私有密匙,前者用来加密,后者用来解密。而用私匙加密使用公匙解密又叫做数字签名
非对称加密算法的安全性很高,但是速度很慢
IPSEC的验证
验证算法也叫做HASH算法,其主要的目的是验证数据的完整性。其主要的实现思路就是对明文数据进行HASH算法得出散列值,然后当对方接受到后,同样使用HASH算法对数据进行验证,如果得到的散列值是相等的,那么数据就是没有出错。
常见的验证算法如下:
MD5
消息摘要MD5(Message Digest 5),输入任意长度的消息,MD5产生128位的签名。
MD5比SHA更快,但是安全性稍差。
SHA1
安全散列算法SHA(Secure Hash Algorithm)是由NIST开发的。在1994年对原始的HMAC功能进行了修订,被称为SHA1。输入长度小于264bit的消息,SHA1产生160位的消息摘要。
IPSEC的工作原理(基于非对称加密算法)
当发送方发送数据后,使用私匙进行加密,然后使用HASH或的HASH值,同时也对HASH算法进行加密,通过Internet进行发送,接收方首先通过公匙解密,获得HASH值以及明文,然后对明文进行HASH算法验证,判断是否和发送方的HASH值相同,相同这个数据才是正确的。
IPSEC的封装协议
IPSec使用认证头AH(Authentication Header)和封装安全载ESP(Encapsulating Security Payload)两种安全协议来传输和封装数据,提供认证或加密等安全服务。
AH协议
AH是一种基于IP层的传输协议,只能支持认证不支持加密,用来进行HASH算法,进行数据有效性的验算
AH的工作原理
AH协议的工作原理就是在每一个IP报文头后面添加一个AH报文头,里面包含有进行HASH算法后的到的数据。
AH对数据以及密匙进行HASH算法,接收方收到带有数据的数据包后,执行同样的HASH算法来进行验证,如果完全相同则表示数据是正确的,再传输过程中,修改的任何一个数据都会影响HASH算法得到的HASH值,算法对整个IP数据都包含在计算内
ESP协议
ESP是一种基于IP的传输层协议,其工作原理就是在每一个IP报文头后添加一个ESP报文头,以及在整个数据帧的尾部添加一个ESP报文尾(ESP Tail和ESP Auth data),相比于AH,ESP可以对数据首先进行加密,在封装到数据包中,但是并没有对IP头进行保护
IPSEC的封装模式
封装模式是指将AH或ESP相关的字段插入到原始IP报文中,以实现对报文的认证和加密,封装模式有传输模式和隧道模式两种。
传输模式
在传输模式下,AH头会被夹在IP头和传输层协议中间,认证范围为整个IP报文
在传输模式下,ESP头会被夹在IP头和传输层协议中间,然后生成一个ESP尾在报文尾部,ESP可以进行加密以及认证
隧道模式
在隧道模式下,和传输模式的区别就是,传输模式不管是AE协议还是ESP协议均是生成头部在IP头以及传输头中间,但是隧道模式是生成在IP头前面,并且在生成一个新的IP头在最前面,在隧道模式下,AE协议的认证范围依旧是整个IP报文,ESP协议的加密范围是ESP报文头到尾部,所以多了一个旧的IP头,而认证范围也多了一个旧的IP报文头
【L2TP】
L2TP概念
L2TP(Layer 2 Tunneling Protocol) VPN是一种用于承载PPP报文的隧道技术,该技术主要应用在远程办公场景中为出差员工远程访问企业内网资源提供接入服务。
L2TP VPN技术出现以后,使用L2TP VPN隧道“承载”PPP报文在Internet上传输成为了解决上述问题的一种途径。无论出差员工是通过传统拨号方式接入Internet,还是通过以太网方式接入Internet,L2TP VPN都可以向其提供远程接入服务。
L2TP其实和PPTP在本质上有点类似
LAC:表示的是L2TP访问集中器,是附属在交换网络上具有PPP端系统和L2TP协议处理能力的设备,把从用户那里收到的信息包按照L2TP协议封装发送给LNS,同时也可以将从LNS那里收到的信息包进行解封装发送给用户
LNS:是PPP端系统上用于处理L2TP协议服务器端部分的软件,L2TP网络服务器
【内网穿透】
内网:内部建立的局域网或者办公网络
外网:内网通过一个网关或者网桥与外部网络进行连接
内网穿透简单的来说就是可以将外网和内网之间打通一个隧道,让外网可以获得内网的数据
内网穿透的核心思想就是映射和转发,把内网的端口映射到公网的端口上,以此实现流量的转发
【GRE】
GRE(Generic Routing Encapsulation) 通用路由封装
是对某些网络层协议(如: IP , IPX , Apple Talk等)的数据报进行封装,使这些被封装的数据报能够在另一个网络层协议(如IP)中传输。最简单的情况下,系统受到的一个需要封装的路由的数据包成为负载报文,这个报文首先被GRE封装,成为GRE报文,然后这个报文再被封装到IP报文中,然后由IP报文进行转发。