虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。
在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的,即通过私有的隧道技术在公共数据网络上仿真一条点到点的专线。目前,IPSEC隧道是组建虚拟专用网最常用的技术,即通常所说的IPSEC VPN技术。 IPSEC VPN技术是网络层的VPN技术,它独立于应用程序,以自己的封包封装原始IP信息,因此可隐藏所有应用协议的信息。一旦IPSEC建立加密隧道后,就可以实现各种类型的连接,如Web、电子邮件、文件传输、VoIP等,每个传输直接对应到VPN网关之后的相关服务器上。IPSEC是与应用无关的技术,因此IPSec VPN的客户端支持所有IP层协议,对应用层协议完全透明,这是IPSEC VPN的最大优点之所在。但是随着VPN应用的越来越广泛,IPSEC VPN的缺点也逐渐的显现出来:
其一,IPSEC VPN配置部署复杂,需要专门的客户端软件,而且不同提供商之间的设备很难完全兼容。
其二,网络适应性不佳,由于是IP层的协议,对于防火墙等访问控制设备不透明,对网络地址转换(NAT)和应用代理(Proxy)等穿透性差。
SSL VPN技术SSL VPN指的是基于安全套接层协议(Security Socket Layer-SSL)建立远程安全访问通道的VPN技术。它是近年来兴起的VPN技术,其应用随着Web的普及和电子商务、远程办公的兴起而发展迅速。
SSL协议主要是由SSL记录协议和握手协议组成,它们共同为应用访问连接提供认证、加密和防篡改功能。SSL握手协议相对于IPSEC协议体系中的IKE(互联网密钥交换协议)协议,主要是用于服务器和客户之间的相互认证,协商加密算法和MAC(Message Authentication Code-消息认证码)算法,用于生成在SSL记录协议中使用的加密和认证密钥。SSL记录协议是为各种应用协议提供基本的安全服务,类似于IPSEC的传输模式,应用程序消息参照MTU(最大传输单元)被分割成可管理的数据块(可进行数据压缩处理),并产生一个MAC信息,加密后插入新的报头,最后在TCP中加以传输;接收端将收到的数据解密,做身份验证(MAC认证)、解压缩、重组数据报然后交给应用协议进行处理。实际上就是在应用层和传输层之间加入了一个数据处理层,和传统的网络套接字模型在同一层次,这也就是安全套接层的由来。
专题:http://www.qqread.com/net-saft/d361750.html
更多内容请看VPN技术、路由安全配置专题、VPN解决方案专题,或进入讨论组讨论。
相关专题
- 基础知识 黑客域名劫持攻击详细步骤 (0次浏览)
- CISSP的成长之路(十八):详述网络威胁类型 (0次浏览)
- 个人用户的网络安全防范 (0次浏览)
- 驱逐威胁 六把安全利剑清除僵尸网络 (0次浏览)
- CISSP的成长之路(十九):详述安全威胁控制手 (0次浏览)
- 07年电脑安全大盘点:蠕虫网络威胁Web 2.0 (0次浏览)
- Web应用安全的全新探索 (0次浏览)
- 到底谁需要网络访问控制 (NAC)? (0次浏览)
- 针对性的防御手段 十招应对邮件欺诈 (0次浏览)
- 跨站打印攻击 网络打印机成攻击新途径 (0次浏览)
