vpn学习小结_vpn技术的学习总结

vpn学习小结由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“vpn技术的学习总结”。

VPN学习小结

1.VPN概述

随着通信基础设施建设和互联网络技术的飞速发展，各行各业纷纷借助互联网络技术来加快信息的流动速度，提升企业的综合竞争力。VPN 技术，就是一种目前业界主流的解决异地网络安全互连的加密通信协议。

VPN是Virtual Private Network（虚拟专用网络）的简称，指综合利用封装技术、加密技术，密钥交换技术、PKI技术，可以在公用的互联网络上，建立安全虚拟专用网络。

VPN 是一个被加密或封装的通信过程，该过程把数据安全地从一端传送到另一端，这里数据的安全性由可靠的加密技术来保障，而数据是在一个开放的、有安全保障的互联网上传输的。VPN 技术能够有效保证信息安全传输中的性”、“完整性”和“不可抵赖性”。

实际上，VPN是一种依靠ISP（Internet服务提供商）和其它NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在VPN服务中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。用户不再需要拥有成本极高的长途数据线路，用Internet公众数据网络的长途数据线路，为自己制定一个最符合自己需求的网络，从而实现企业内部多个分支机构之间的数据通信、Voip电话、视频会议等多种业务。

包没“机密而是使

2.VPN主要技术

目前市场上多种 VPN技术并存，主要有以下几种：

PPTP/L2TP：属于上世纪末的技术，实现比较便捷，集成在 Windows 操作系统之中，使用方便。但技术过于简单，加密算法和协议的安全性以及性能吞吐率都很低，并发接入数目较低，属于非主流的VPN 技术，基本已被淘汰。

MPLS VPN：在IP路由和控制协议的基础上提供面向连接（基于标记）的交换。MPLS VPN需要公共IP网内部的所有相关路由器都能够支持 MPLS，所以这种技术对网络有较为特殊的要求。特别需要强调的是MPLS VPN的实施必须由运营商进行。MPLS VPN适用于对于网络资源的利用率、网络的可靠性有较高要求的VPN业务。MPLS VPN的用户，需要通过光纤或者以太网接口FR（EDSL）专线接入电信骨干网络，MPLS VPN服务给企业提供高带宽的二层透明通路，企业可以自定义规划其网络结构和地址。

IPSec VPN：目前市场主流 VPN技术，由于 IPSec是在 IP 层进行加密和封装，所以在性能表现强劲的同时，又能支持各种基于 IP 协议的网络应用，是国际上公认的 IP 层 VPN技术标准。IPSec VPN 安全性好，对 IP 应用透明，性能高，灵活稳定，易于扩展，互通性强；适合网间互连（Site To Site）和客户端接入互连（Client To Site）。但是，局限性主要在于在Client To Site的通讯模式下，移动用户需要安装专门的VPN客户端软件，增添了使用和维护的复杂程度。

SSL VPN：专用于解决客户端接入互连（Client To Site）的传输层VPN技术。移动用户不需要安装VPN客户端软件，而使用WEB浏览器作为登陆方式。SSL VPN安全性好，使用灵活，不受网络接入环境的限制，对应用的控制粒度更细。但其局限性是：对许多 C/S应用的支持能力较差，性能相对较低；并且不能满足网间互连（Site To Site）的VPN连接需求，设备价格高昂，且SSL VPN 网关自身抗攻击能力差，需要额外的防火墙或安全网关等防护设备的保护。

3.VPN产品分类

根据产品应用对象，VPN产品分为：

 中小型企业VPN：百兆接口、嵌入式处理器  大中型企业VPN：百兆接口、嵌入式处理器

 大型企业VPN：千兆接口、X86架构处理器、集成加密卡

 面向骨干网络和超大型企业VPN：千兆+光纤接口、至强处理器、集成加密卡

根据产品采用的技术，VPN产品分为：  MPLS VPN  IPSec VPN  SSL VPN  IPSec/SSL VPN

4.VPN产品主要功能

4.1.VPN产品通用功能

SSL VPN的关键技术包括：Web代理、端口转发、应用转换、网络连接(Network Connection, NC)，目前大部分的SSL VPN产品，都是以这几项技术的一项或几项为基础研发实现的。那么，对国产SSL VPN产品而言，哪些技术尤其重要呢? 首先是Web代理技术。由于用户需要访问内网的Web应用，而且希望访问方式尽量简便，而只有具备Web代理技术，SSL VPN产品才能做到100%零客户端，才能为用户提供最简便的接入方式，因此，Web代理技术对国产SSL VPN产品而言是一项必须技术，也是SSL VPN产品是否专业的重要标准之一。

除了Web代理技术，端口转发技术的重要性也不容小觑。除了要访问除Web应用外，用户还需要经常访问组织内部的C/S架构应用，例如邮件、FTP、文件共享、数据库、ERP等，这时，SSL VPN产品采用端口转发技术实现对C/S应用的处理，是再合适不过的了。

至于应用转换技术，目前国内用户需求并不迫切。由于SSL VPN产品需要把FTP、Email，SSH等应用以Web的形式重新实现，实现起来比较复杂，还可能存在提供的功能不够完整，界面不够友好，不太符合用户的操作习惯以及控件引用是不合法等一系列问题。从另一个角度来看，用户在没有使用SSL VPN之前，都已经习惯通过相应的客户端软件对C/S应用进行访问，在使用SSL VPN后，仍然希望通过使用原来的客户端软件访问内部的各种C/S应用。由此看来，应用转换技术并不十分适应于国内的用户，也并非是国产SSL VPN产品的必须功能。

最后再看NC技术，由于NC技术可以实现SSL VPN与应用无关的特性，因此客户端通过SSL VPN访问内部整个子网的需求仍然存在。然而，在使用该功能时，需要给客户端配置虚拟IP地址，这样一来，就会遇到地址规划上的一些问题，在配置和使用上也比较复杂。目前，国内已经有SSL VPN厂商注意到这个问题，为了更好地满足用户对易用性的要求，采用了一种“网络层代理”技术，客户端通过SSL VPN产品访问内部整个子网时，不需要借助虚拟IP地址，也不需要改变内网服务器网关指向，有效地解决了NC功能配置和使用复杂的难题。但目前，“网络层代理”技术还存在一个问题，即无法处理TCP连接由内向外发起的应用，无法做到“与应用无关”。如果有SSL VPN产品能够同时具备NC和网络代理功能，将会受到更多国内用户的青睐。

以上列举的只是SSL VPN产品的几项主要技术，为了更好地满足国内用户的需求，SSL VPN产品还必须在功能上进一步贴近需求，不断丰富，主要包括：

丰富的认证方式：国内用户类型众多，对认证方式和安全性要求也不尽相同。除了基本的本地口令外，动态口令、短信口令、口令+动态附加密、证书+USBKEY、口令+证书+USBKEY等多因素认证方式也越来越常见，成为对SSL VPN产品的基本要求。此外，随着CA体系在中国不断健全，越来越多的用户从专业的CA企业购买服务，因此国产SSL VPN产品能否很好地与标准第三方CA系统兼容，能否提供标准OSCP、CRL等证书校验接口，在一定程度上决定了该产品能否应用到用户现有环境中。

线路优化：国内用户常常向不同的ISP申请了多个公网IP提供服务。如果SSL VPN产品能够利用多个网口通过多个公网IP对外提供接入访问，并可以根据接入客户端的ISP来源选择最佳路径，那么将可以大大提高访问效率，更好地适应国内的网络环境。

单点登录：在用户的内网中，OA系统通常都带认证功能，使用者需要提交用户名及口令才可登录。加上SSL VPN后，用户就首先要登录SSL VPN，然后再次提交认证信息登录OA，导致重复认证过程。为了简化登陆程序，SSL VPN产品应该能记录用户登录SSL VPN时的认证信息，在用户访问OA时，代替用户提交认证，用户不需要再次输入用户名和口令就可打开登录成功后的页面。

端点安全：安装SSL VPN产品后，端点安全也是不得不考虑的重要方面。是否允许所有PC都接入SSL VPN，在连接SSL VPN隧道后是否允许访问互联网，在SSL VPN客户端注销后，访问痕迹是否应该清理，都是SSL VPN需要重点考虑的几个安全问题。目前，国内很多SSL VPN产品也都有应对措施。在客户端主机接入之前，先检测终端主机上是否具备管理员要求的某些特征，如操作系统版本、IE浏览器版本、是否运行了杀毒软件等等，如果不满足安全策略，则拒绝连接。在建立隧道后，SSL VPN产品还可以禁止客户端主机访问隧道以外的网络以确保隧道安全;在终端用户注销后，还会自动清除此次的访问痕迹，确保信息不被泄漏。此外，如果产品能实现帐号和客户端主机特征绑定以及防伪造功能等，将可以进一步提高客户端的端点安全性。

应用层防御：SSL VPN产品是以应用为核心的安全接入产品，因此应用层的安全防御必不可少。目前，防SQL注入，防跨站脚本和防非法URL访问等功能已经出现在一些国内品牌发上限控制功能，保障了应用服务系统。安全审计：而言，SSL VPN哪个用户、在什么时间，在什么地理位置通过哪个什么服务，访问了哪些条件(如时间范围、浏览和下载。4.2.安达通4.2.1.特色功能 IPSec over HTTPS/HTTP  隧道接力技术 虚地址互联技术 自动路由技术 多播隧道技术 准入控制技术 动态口令短信认证技术4.2.2.负载均衡功能 智能均衡上网技术SSL VPN产品上。甚至有厂商还提供了基于账号的最大并有效防止了一个账号恶意产生大量连接的DoS攻击行为，有效

SSL VPN产品相对传统VPN的优势之一就是审计更加详细。相比IP地址。在日志中应该可以记录ISP登录了SSL VPN，访问了Web页面等等。另外，SSL VPN产品还应该提供基于各种关键字等)的查询功能，甚至可以根据时间范围生成报表提供VPN产品主要功能

技术

产品更关注账号而不仅仅只是  VPN多点接入和均衡技术  VPN链路备份技术

4.2.3.VPN 移动接入加速系统功能 4.2.4.防火墙功能

 网络地址转换（NAT）技术  状态检测防火墙技术  HTTP 检测技术  IP-MAC地址绑定技术  内网用户认证技术  IDS联动技术

4.2.5.其他功能

 双机热备  流量控制  路由支持  配置和升级管理  日志管理

5.VPN典型应用

5.1.单臂连接模式

“单臂连接”模式是用户已有防火墙等设备时安达通首推的部署方式。“单臂连接”模式指的是安全网关只接一个口到内网交换机中，另外一个口不接线，即把安全网关设备当作一台服务器或主机，专门处理 VPN 报文的加解密。从实现技术上而言，单臂连接结合了串行连接和并行连接两者的优势，实现了部署和性能的最优化。在实施时，需要在防火墙（路由器）上为安全网关做静态端口映射（静态 NAPT），同时也需要在防火墙（路由器）上添加静态路由来解决要通过VPN的数据包正确流向的问题。

结合”自动路由”技术，单臂连接方式能在对用户环境最小改动的前提下部署 VPN，大大增加了VPN设备对网络环境的适应能力。

单臂连接实际案例配置示意图如下所示：

上图示例中总部局域网利用一台防火墙通过光纤接入互联网，防火墙外口 IP 地址为218.1.1.1，内口IP 地址为192.168.1.1，现仅将安全网关的LAN 口接到内网交换机。安全网关工作在路由模式下，LAN口IP 地址 192.168.1.254，WAN口任意设置一个 IP 地址，比如为 1.1.1.1，总部内网只有一个子网 192.168.1.0/24。该单位有一异地分部，采用 ADSL 接入互联网，并使用 SJW74A 安全网关作为接入设备，内网也只有一个子网为 192.168.2.0/24。通过这样的部署，可实现该分部与总部子网的 VPN 互连。同时还可实现移动客户端的远程接入（如上图），客户端的私有 IP 地址为172.16.1.1-10。

5.2.路由模式

“路由模式”是指VPN网关内外网接口路由不同，网关本身要作为路由器或NAT 转换设备，实现路由转发以及对内提供上网和对外提供服务等工作。一般用于新建的网络中或者用户准备用VPN网关替代原有路由器/防火墙的地方。通过使用安达通自带的初始化向导工具可以非常简便的部署“路由模式”网关，典型部署示意如下图：

上图示例中，VPN 安全网关作为总部局域网的出口，对内提供上网服务，对外提供 VPN接入服务。内部 192.168.1.X 的 PC 用户默认网关指向 VPN 内网口 192.168.1.1，通过 NAT 映射访问公网和其他VPN子网。

5.3.透明模式

“透明模式”又称为“网桥模式”，是指安全网关接入在防火墙（路由器）与内网之间，透明转发除VPN报文之外所有数据的一种连接方式。

安达通 VPN 安全网关的“透明模式”主要分成链路层协议的学习功能，报文的接收和转发功能。对于透明模式下收到的报文，根据其目的 MAC地址可以分为,发往网关自身的报文、广播报文和发往其他的报文，由于透明模式仅仅对 VPN 报文进行加密，其他报文在出入端口上进行完整复制，所以保证了链路的透明性和 VPN的安全性。

以某商业银行网络的 VPN安全网关部署为例。所有的安达通安全网关均部署在防火墙/路由器之后，工作在“透明”模式下。安装这些安全网关设备的前后，原有网络系统：路由器、PC、Server 等没有调整过任何配置，就实现了各分行和总行之间数据传输加密。“透明模式”部署的安达通 VPN 安全网关的 WAN 和 LAN 口 IP 是和本地内网同一网段的未被使用的IP 地址。如下图示意： 6.VPN与TPN是，可信专用网防护、VPN接入、全网行为管理、主机安全管理等组成。可信专用网威胁”、“边界威胁”、“主机威胁”和“接入威胁”的统一管理。企业对VPN分布在异地的局域网络进行互联。随着网络互联的进行，的基础设施。

这些基础设施，安全可信是最重要的。可信平台建设包括了边界、内网、主机、接入等部分。目前来看，企业可以用各种技术来确保这四部分成为有机整体。网技术TPN.TPN互联以后全网的可信任安全平台。目前来看，能：包括虚拟专网、防火墙、入侵检测、漏洞扫描、病毒防护、网络审计、身份认证、桌面安全等。网络边界防护力度不够、分支机构的统一、垃圾邮件和病毒、越权访问密、非法接入TPN（Trusted 系统通过对“用户—角色—资源”的集中描述，因为信息的共享有网络互联的需求，整个网络平台已经越来越成为企业以及政府单位运行VPN的主要区别，TPN模型需要实现所有传统安全设备所提供的安全功而TPN应对的问题则包括了：实现“内网

客观上需要将从而产生/盗取机

TPN

Private Network）系统的简称，由边界

TPN都不会陌生，而安达通在其中提供的就是可信专用与就在于融合了可信任的内网技术，一套完整的远程接入用户带进木马和病毒、/非法外联、补丁和病毒库的统一升级、以及聊天、游戏、下载等网络滥用。