虚拟专用网简介

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 本文重点讲解虚拟专用网的理论知识,后续文章对具体虚拟专用网进行讲解(包括原理和配置),欢迎持续关注和订阅专栏。

概述:



虚拟专用网络,英文“Virtual Private Network”


虚拟专用网是虚拟出来的企业内部专线。通过特殊加密的通讯协议,为连接在Internet上,不同地理位置的两个或多个企业内部网,建立一条专有的通讯线路,就像架设了一条专线,但不需要真正去铺设光缆之类的物理线路。


虚拟专用网被定义为通过一个公用互联网络建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定隧道,使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的,广泛使用企业办公当中,虚拟专用网也可以是针对企业内部网的扩展,虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网,因此很多办公一族在自己电脑中也需要建立VPN连接,方便远程办公等等。


虚拟专用网:点对点的        逻辑直连        公网设备只是帮忙转发


专用网络:用户可以为自己制定一个最符合自己需求的网络。(贵)


VPN优势:



1. 安全:


在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的连接,保证数据传输的安全性。这对于实现电子商务或金融网络与通讯网络的融合特别重要。


2. 廉价:


利用公共网络进行信息通讯,企业可以用更低的成本连接远程办事机构、出差人员和业务伙伴。


3. 支持移动业务:


支持驻外VPN用户在任何时间、任何地点的移动接入,能够满足不断增长的移动业务需求。


4. 服务质量保证:


构建具有服务质量保证的VPN (如MPLS VPN) ,可为VPN用户提供不同等级的服务质量保证。


VPN分类:



涉及到的VPN在后续博客中都会具体讲解


1. 根据组网方式不同分类:


远程访问 虚拟专用网


局域网到局域网的 虚拟专用网


2. 按网络层次分类:


二层:数据链路层  L2TP  L2F  PPTP(忽略)


三层:网络层(主流)GRE  IPSec


应用层:(主流)SSL(远程访问虚拟专用网)


3. 按应用分类:


1.  Access(远程接入虚拟专用网):客户端到网关,使用公网作为骨干网在设备之间传输VPN数据流量;


2. Intranet(内联网虚拟专用网):网关到网关,通过公司的网络架构连接来自通公司的资源;


3. Extranet(外联网虚拟专用网):与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接;


虚拟专用网应用场景



1. 只能企业员工登录公司服务器


2. 要求在任何网络下都能够登录


3. 离职员工删除登录权限


4. 权限管理


五种技术 :



隧道技术  加解密技术  数据认证  身份认证  密钥管理技术


有隧道就是VPN         用到全部就是一个完善的VPN


1. 隧道技术:


隧道就是一层伪装,隧道是第一层保护措施。


公网就是由隧道来区分是不是vpn数据


举例:

学校到公安厅走的vpn,一出学校就进入公网,只有公安厅能够接受中间的路由器是不能通过隧道看到我的数据的


如果总部服务器对外开放web入口,很不安全,利用vpn可以仅对企业用户开放


理解:

隧道技术有一层包装:


10.1.1.1(私网)--------公网--------10.1.1.2(私网)


      100.1                          200.1                (出口的公网IP)


一般情况下:私网地址进不了公网   NAT转换        所有设备都可看到数据


Vpn情况没有转换:而是加了隧道层   就不会NAT转换


100.1   200.1      10.1.1.1   10.1.1.2


隧道层


(公网IP)                 真实IP


(封装在真正的源和目的之上的)


2. 加解密技术:


伪装成公网IP   NAT也可以做到    为什么虚拟专用网可以保密呢


因为有加解密技术(可以把所有的数据加密传递  只有目的地址能够解密)


1. 对称加密算法:

加密速度特别快      不安全


     数据流加密:


      数据块加密(分组加密):(常用)


DES:数据加密标准,数据是64位,密钥是56位,加密块合成后还是64位


把一个完整的数据分成64位一块,每一块用56位的密钥加密,


数据块大小加密前后不变还是64


3EDS 做三次DES运算       密钥长度168位    (56*3)数据块大小64位


数据分成64位一块,第一次用56位密钥加密  第二次用错误的56位密钥解密(越解越错)       第三次  再用一个56位密钥加密


AES   密钥长度有128位的  有192位的 有256块的  数据块大小128位


AES最安全,但是AES不是所有的设备都支持,所以用的不是很多,用的最多的是3DES


AES密钥更长  算法更复杂  对设备的cpu小号更大


非对称加密算法:

非常慢,不适合加密大块数据,用于传输对称加密密钥  安全


公钥/私钥     公钥加密       私钥解密


两种算法的对比:

      对称:速度快:密钥分发不安全


      非对称:速度慢:密钥分发安全


3. 数据认证—散列算法(hash):


认证数据的完整性,看数据有没有被篡改


信息传到你这里进行验证,如果被篡改,你就会知道数据被篡改


4. 身份认证:


VPN具有身份认证机制,能够判断谁是该VPN用户(可以使用),谁不是该VPN用户(不可使用)


举例:

登录爱奇艺会员,才能看会员电影。登录就是一个验证的过程。


5. 密钥管理技术:


VPN具有密钥管理技术,能够自动创建,分发,保存,更新密钥

相关文章
|
7月前
|
Unix 编译器 C语言
c++简介
c++简介
62 0
|
7月前
|
算法 程序员 编译器
【C/C++】C/C++编程——C/C++简介
【C/C++】C/C++编程——C/C++简介
116 0
|
存储 编解码
H264简介
H.264 原始码流(又称为裸流),是有一个接一个的 NALU 组成的,而它的功能分为两层:视频编码层(VCL, Video Coding Layer)和网络提取层(NAL, Network Abstraction Layer),其中,前者负责有效表示视频数据的内容,而后者则负责格式化数据并提供头信息,以保证数据适合各种信道和存储介质上的传输。
H264简介
|
运维 Kubernetes Ubuntu
Kebernetes简介
Kebernetes简介
237 0
|
存储 数据安全/隐私保护
TrueLicense简介
原文 TrueLicense是一个开源的证书管理引擎,官网 使用场景:当项目交付给客户之后用签名来保证客户不能随意使用项目 默认校验了开始结束时间,可扩展增加mac地址校验等。 其中还有ftp的校验没有尝试,本文详细介绍的是本地校验 license授权机制的原理: 生成密钥对,方法有很多。
8775 0
|
Android开发 API 测试技术
[译] WorkManager 简介
这篇文章是 WorkManager 系列中的第一篇。我们将探讨 WorkManager 的基础知识,如何以及何时使用它,以及幕后发生了什么。然后我们将深入研究更复杂的用例。
744 0
|
数据安全/隐私保护
叶帆密码箱简介
叶帆密码箱一个纯绿色软件,小巧实用,可以保存各种网络账号,银号帐户,Email信息 等等,此外还可以直接打开链接网址,直接通过热键发送登录信息,方便简洁
741 0
|
JavaScript 前端开发 C++
cheerp 简介
这个文章主要介绍了为什么要用cheerp技术以及和其他对标的技术对比,他的闪光点在哪里。 WebAssembly 是一种中间码用于加速浏览器端应用,目前有多种语言可以编译或者交叉到这种格式。当然这个不是本文的内容,详细了解请移步 wasm官网 目前支持: cc++是官方推荐的方式,详细使用见文档;其他语言 AssemblyScript:语法和 TypeScript 一致,对前端来说学习成本低,为前端编写 WebAssembly 最佳选择; Rust:语法复杂、学习成本高,对前端来说可能会不适应。
2715 0
|
C#
C#中的NameValueCollection简介
NameValueCollection继承自NameObjectCollectionBase,并且和一般的键值对不同的是,它支持集合中出现相同的Key。 引用:using System.Collections.
1769 0
下一篇
DataWorks