VPN(虚拟专用网络)
简介
虚拟专用网络,简称虚拟专网(VPN),其主要功能是在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN 可通过服务器、硬件、软件等多种方式实现。
VPN 属于远程访问技术,简单地说就是利用公用网络架设专用网络。例如某公司员工出差到外地,他想访问企业内网的服务器资源,这种访问就属于远程访问。
在传统的企业网络配置中,要进行远程访问,传统的方法是租用 DDN(数字数据网)专线或帧中继,这样的通讯方案必然导致高昂的网络通讯和维护费用。对于移动用户(移动办公人员)与远端个人用户而言,一般会通过拨号线路(Internet)进入企业的局域网,但这样必然带来安全上的隐患。
让外地员工访问到内网资源,利用 VPN 的解决方法就是在内网中架设一台 VPN 服务器。外地员工在当地连上互联网后,通过互联网连接 VPN 服务器,然后通过 VPN 服务器进入企业内网。为了保证数据安全,VPN 服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密,就可以认为数据是在一条专用的数据链路上进行安全传输,就如同专门架设了一个专用网络一样,但实际上 VPN 使用的是互联网上的公用链路,因此 VPN 称为虚拟专用网络,其实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了 VPN 技术,用户无论是在外地出差还是在家中办公,只要能上互联网就能利用 VPN 访问内网资源,这就是 VPN 在企业中应用得如此广泛的原因。
工作原理
- 通常情况下,VPN 网关采取双网卡结构,外网卡使用公网 IP 接入 Internet。
- 网络一(假定为公网 internet)的终端 A 访问网络二(假定为公司内网)的终端 B,其发出的访问数据包的目标地址为终端 B 的内部 IP 地址。
- 网络一的 VPN 网关在接收到终端 A 发出的访问数据包时对其目标地址进行检查,如果目标地址属于网络二的地址,则将该数据包进行封装,封装的方式根据所采用的 VPN 技术不同而不同,同时 VPN 网关会构造一个新 VPN 数据包,并将封装后的原数据包作为 VPN 数据包的负载,VPN 数据包的目标地址为网络二的 VPN 网关的外部地址。
- 网络一的 VPN 网关将 VPN 数据包发送到 Internet,由于 VPN 数据包的目标地址是网络二的 VPN 网关的外部地址,所以该数据包将被 Internet 中的路由正确地发送到网络二的 VPN 网关。
- 网络二的 VPN 网关对接收到的数据包进行检查,如果发现该数据包是从网络一的 VPN 网关发出的,即可判定该数据包为 VPN 数据包,并对该数据包进行解包处理。解包的过程主要是先将 VPN 数据包的包头剥离,再将数据包反向处理还原成原始的数据包。
- 网络二的 VPN 网关将还原后的原始数据包发送至目标终端 B,由于原始数据包的目标地址是终端 B 的 IP,所以该数据包能够被正确地发送到终端 B。在终端 B 看来,它收到的数据包就和从终端 A 直接发过来的一样。
- 从终端 B 返回终端 A 的数据包处理过程和上述过程一样,这样两个网络内的终端就可以相互通讯了。
通过上述说明可以发现,在 VPN 网关对数据包进行处理时,有两个参数对于 VPN 通讯十分重要:原始数据包的目标地址(VPN 目标地址)和远程 VPN 网关地址。
- 根据 VPN 目标地址,VPN 网关能够判断对哪些数据包进行 VPN 处理,对于不需要处理的数据包通常情况下可直接转发到上级路由;
- 远程 VPN 网关地址则指定了处理后的 VPN 数据包发送的目标地址,即 VPN 隧道的另一端 VPN 网关地址。由于网络通讯是双向的,在进行 VPN 通讯时,隧道两端的 VPN 网关都必须知道 VPN 目标地址和与此对应的远端 VPN 网关地址。
工作过程
VPN 的基本处理过程如下:
- 要保护主机发送明文信息到其他 VPN 设备。
- VPN 设备根据网络管理员设置的规则,确定是对数据进行加密还是直接传输。
- 对需要加密的数据,VPN 设备将其整个数据包(包括要传输的数据、源 IP 地址和目的 lP 地址)进行加密并附上数据签名,加上新的数据报头(包括目的地 VPN 设备需要的安全信息和一些初始化参数)重新封装。
- 将封装后的数据包通过隧道在公共网络上传输。
- 数据包到达目的 VPN 设备后,将其解封,核对数字签名无误后,对数据包解密。
VPN 的分类
-
按 VPN 的协议分类
VPN 的隧道协议主要有三种,PPTP、L2TP 和 IPSec,其中 PPTP 和 L2TP 协议工作在 OSI 模型的第二层,又称为二层隧道协议; IPSec 是第三层隧道协议。
-
按 VPN 的应用分类
- Access VPN(远程接入 VPN):客户端到网关,使用公网作为骨干网在设备之间传输 VPN 数据流量;
- Intranet VPN(内联网 VPN):网关到网关,通过公司的网络架构连接来自同公司的资源;
- Extranet VPN(外联网 VPN):与合作伙伴企业网构成 Extranet,将一个公司与另一个公司的资源进行连接。
-
按所用的设备类型进行分类
网络设备提供商针对不同客户的需求,开发出不同的 VPN 网络设备,主要为交换机、路由器和防火墙:
- 路由器式 VPN:路由器式 VPN 部署较容易,只要在路由器上添加 VPN 服务即可;
- 交换机式 VPN:主要应用于连接用户较少的 VPN 网络;
-
按照实现原理划分
- 重叠 VPN:此 VPN 需要用户自己建立端节点之间的 VPN 链路,主要包括:GRE、L2TP、IPSec 等众多技术。
- 对等 VPN:由网络运营商在主干网上完成 VPN 通道的建立,主要包括 MPLS、VPN 技术。
实现方式
VPN 的实现有很多种方法,常用的有以下四种:
- VPN 服务器:在大型局域网中,通过网络中心搭建VPN服务器来实现VPN。
- 软件 VPN:使用专用的软件来实现VPN。
- 硬件 VPN:使用专用的硬件来实现VPN。
- 集成 VPN:一些硬件设备(如路由器、防火墙等)含有 VPN 功能,通过集成这些功能来实现 VPN。
优缺点
优点:
-
移动性和远程访问
VPN 能够让移动员工、远程员工、商务合作伙伴和其他人利用本地可用的高速宽带网连接(如 DSL、有线电视或者 WiFi 网络)连接到企业网络。
-
成本效率
高速宽带网连接提供一种成本效率高的连接远程办公室的方法。
-
模块化和可升级
设计良好的宽带VPN是模块化的和可升级的。
-
易用性
VPN能够让应用者使用一种很容易设置的互联网基础设施,让新的用户迅速和轻松地添加到这个网络。
-
大容量和应用支持
这种能力意味着企业不用增加额外的基础设施就可以提供大量的容量和应用。
-
高水平的安全
VPN能提供高水平的安全,使用高级的加密和身份识别协议保护数据避免受到窥探,阻止数据窃贼和其他非授权用户接触这种数据。
-
完全控制
-
虚拟专用网使用户可以利用ISP的设施和服务,同时又完全掌握着自己网络的控制权。
缺点:
-
可靠性 and 性能控制权
企业不能直接控制基于互联网的 VPN 的可靠性和性能。机构必须依靠提供 VPN 的互联网服务提供商保证服务的运行。
-
部署难度
企业创建和部署 VPN 线路并不容易。这种技术需要高水平地理解网络和安全问题,需要认真的规划和配置。
-
混合产品的不兼容性
不同厂商的 VPN 产品和解决方案总是不兼容的,因为许多厂商不愿意或者不能遵守 VPN 技术标准。因此,混合使用不同厂商的产品可能会出现技术问题。
-
成本可能增加
使用一家供应商的设备可能会提高成本。
-
无线设备的安全风险
当使用无线设备时,VPN 有安全风险。在接入点之间漫游特别容易出问题。当用户在接入点之间漫游的时候,任何使用高级加密技术的解决方案都可能被攻破。
面临的问题
- VPN 域名 / IP 地址公开透明,受众面太广;
- 外网地址相对固定,缺少变化;
- 域名几乎一成不变,长时间暴露在外,容易被攻击;
- 任何人都可以根据域名 IP 打开登录页面;
- VPN 容易导致账号共享;
- VPN 默认登录时间到达后强制退出,用户体验不好;
- 无白名单管控;
- 无 VPN 退出失效机制。
网络翻墙
-
“墙”是什么?
网络翻墙所指的“墙”是中国国家防火墙的俗称(英文名 Great Firewall of China,简写为 Great Firewall,缩写 GFW),是指中华人民共和国政府在其管辖因特网内部建立的多套网络审查系统的总称,包括相关行政审查系统。
-
“翻墙”干什么?
“翻墙”是指通过虚拟专用网络(VPN)技术规避国家网络监管,突破 IP 封锁、内容过滤、域名劫持、流量限制等,非法访问被国家禁止的境外网站行为。
简言之,“翻墙”就是绕过国家网络监管,访问那些被屏蔽的网站。“VPN”,换个词来说,就是网络上的“翻墙”,大家在网上或电视上经常能看到脸谱(Facebook )、YouTu be、推特(Twitter)、谷歌(Google)等各大网站,但是这些网站在国内却不能使用,于是很多人选择偷偷“翻墙”来欣赏墙外的风景,而翻墙最常使用的就是 VPN(Virtual Private Network)。通过 VPN 可以将上网的网络转化为国外的网络,就可以访问国外的网站和玩网络游戏等。
-
“翻墙”危害有哪些?
-
泄露隐私
使用“翻墙”软件时,发送与接收的数据都会通过提供商的机器,用户的账号密码,甚至一些银行账号信息等个人隐私极易被泄露。
-
造成思想混乱
境外网络和社交媒体上充斥着大量煽动性内容,部分人员政治鉴别力不够,热衷“政治野史”“惊天秘闻”,受反动思想渗透蛊惑、拉拢策反,易沦为错误观点的“二传手”、成为境外间谍情报机关的棋子。
-
诱发问题案件
长期“翻墙”上网浏览暴力、颓废和色情等有害信息,容易被违法犯罪分子所利用,引诱参与网络赌博、非法借贷、吸毒嫖娼,引发刑事案件和自杀问题。
-
VPN 和堡垒机、跳板机的区别
区别
- 堡垒机:主要用于保护内部网络,限制用户访问权限。不提供远程访问功能。
- 跳板机:主要用于提供远程访问功能,限制用户访问权限。但它并不保护内部网络。
- VPN(Virtual Private Network):主要用于建立安全的远程访问连接,保护数据在公共网络上的传输安全。
堡垒机(Bastion Host)简介
定义:
堡垒机是一种网络安全控制节点,主要用于隔离安全较高的内部网络(企业内网)和安全程度较低的外部网络之间的访问。
堡垒机的主要功能:
- 身份验证:堡垒机可以对进入内部网络的用户进行身份验证,确保只有授权的用户才能访问内部网络。
- 网络流量过滤:堡垒机可以过滤和转发网络流量,从而防止恶意流量和未经授权的访问。
- 应用程序控制:堡垒机可以控制和管理应用程序的使用,防止恶意软件和未经授权的访问。
- 日志记录和审计:堡垒机可以记录和审计网络流量和应用程序使用情况,以便后续的追踪和审计。
- 配置管理:堡垒机可以对网络和应用程序进行配置管理,以确保内部网络的安全性和可靠性。
作用:
堡垒机通常部署在内部网络和外部网络的边缘,通过控制用户对内部网络的访问,从而保障企业内部网络的安全。
堡垒机可以限制用户的访问权限、记录用户的操作日志,并可以提供多层身份验证等安全措施,以防止非法用户入侵。
跳板机(Jump Server)简介
定义
跳板机是一种安全中转节点,主要用于提供远程访问企业内部网络的通道(通俗来讲就是不能直接访问企业内部的服务器,必须通过跳板机这一层屏障才可以有机会访问企业内部的服务器)。
跳板机的主要功能:
- 流量转发:跳板机可以将外部网络的流量转发到内部网络中,从而实现对内部网络的访问。
- 身份验证:跳板机可以对进入内部网络的用户进行身份验证,确保只有授权的用户才能访问内部网络。
- 安全管理:跳板机可以对内部网络的安全进行管理,例如限制某些应用程序的使用、限制访问某些网站等。
- 配置管理:跳板机可以对内部网络进行配置管理,例如对网络设备、应用程序进行配置。
- 记录和审计:跳板机可以记录内部网络的流量和使用情况,以便后续的追踪和审计。
作用
跳板机一般都是部署在企业内部网络中,主要用于提供远程访问内部网络的通道。用户(公司远程办公员工、IT 远程协助等)需要访问企业内部网络就必须通过跳板机,跳板机可以限制用户的访问内部网络的权限,并记录用户的操作行为,并提供多层身份验证等安全措施,防止非法用户的访问。
PC 客户端通过跳板机访问服务器
主要参考
- 百度百科-虚拟专用网络
- 网络安全:堡垒机、跳板机、Virtual Private Network知识介绍
