虚拟专用网络,简称虚拟专网(VPN),其主要功能是在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN 可通过服务器、硬件、软件等多种方式实现。
VPN 属于远程访问技术,简单地说就是利用公用网络架设专用网络。例如某公司员工出差到外地,他想访问企业内网的服务器资源,这种访问就属于远程访问。
在传统的企业网络配置中,要进行远程访问,传统的方法是租用 DDN(数字数据网)专线或帧中继,这样的通讯方案必然导致高昂的网络通讯和维护费用。对于移动用户(移动办公人员)与远端个人用户而言,一般会通过拨号线路(Internet)进入企业的局域网,但这样必然带来安全上的隐患。
让外地员工访问到内网资源,利用 VPN 的解决方法就是在内网中架设一台 VPN 服务器。外地员工在当地连上互联网后,通过互联网连接 VPN 服务器,然后通过 VPN 服务器进入企业内网。为了保证数据安全,VPN 服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密,就可以认为数据是在一条专用的数据链路上进行安全传输,就如同专门架设了一个专用网络一样,但实际上 VPN 使用的是互联网上的公用链路,因此 VPN 称为虚拟专用网络,其实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了 VPN 技术,用户无论是在外地出差还是在家中办公,只要能上互联网就能利用 VPN 访问内网资源,这就是 VPN 在企业中应用得如此广泛的原因。
通过上述说明可以发现,在 VPN 网关对数据包进行处理时,有两个参数对于 VPN 通讯十分重要:原始数据包的目标地址(VPN 目标地址)和远程 VPN 网关地址。
VPN 的基本处理过程如下:
按 VPN 的协议分类
VPN 的隧道协议主要有三种,PPTP、L2TP 和 IPSec,其中 PPTP 和 L2TP 协议工作在 OSI 模型的第二层,又称为二层隧道协议; IPSec 是第三层隧道协议。
按 VPN 的应用分类
按所用的设备类型进行分类
网络设备提供商针对不同客户的需求,开发出不同的 VPN 网络设备,主要为交换机、路由器和防火墙:
按照实现原理划分
VPN 的实现有很多种方法,常用的有以下四种:
优点:
移动性和远程访问
VPN 能够让移动员工、远程员工、商务合作伙伴和其他人利用本地可用的高速宽带网连接(如 DSL、有线电视或者 WiFi 网络)连接到企业网络。
成本效率
高速宽带网连接提供一种成本效率高的连接远程办公室的方法。
模块化和可升级
设计良好的宽带VPN是模块化的和可升级的。
易用性
VPN能够让应用者使用一种很容易设置的互联网基础设施,让新的用户迅速和轻松地添加到这个网络。
大容量和应用支持
这种能力意味着企业不用增加额外的基础设施就可以提供大量的容量和应用。
高水平的安全
VPN能提供高水平的安全,使用高级的加密和身份识别协议保护数据避免受到窥探,阻止数据窃贼和其他非授权用户接触这种数据。
完全控制
虚拟专用网使用户可以利用ISP的设施和服务,同时又完全掌握着自己网络的控制权。
缺点:
可靠性 and 性能控制权
企业不能直接控制基于互联网的 VPN 的可靠性和性能。机构必须依靠提供 VPN 的互联网服务提供商保证服务的运行。
部署难度
企业创建和部署 VPN 线路并不容易。这种技术需要高水平地理解网络和安全问题,需要认真的规划和配置。
混合产品的不兼容性
不同厂商的 VPN 产品和解决方案总是不兼容的,因为许多厂商不愿意或者不能遵守 VPN 技术标准。因此,混合使用不同厂商的产品可能会出现技术问题。
成本可能增加
使用一家供应商的设备可能会提高成本。
无线设备的安全风险
当使用无线设备时,VPN 有安全风险。在接入点之间漫游特别容易出问题。当用户在接入点之间漫游的时候,任何使用高级加密技术的解决方案都可能被攻破。
“墙”是什么?
网络翻墙所指的“墙”是中国国家防火墙的俗称(英文名 Great Firewall of China,简写为 Great Firewall,缩写 GFW),是指中华人民共和国政府在其管辖因特网内部建立的多套网络审查系统的总称,包括相关行政审查系统。
“翻墙”干什么?
“翻墙”是指通过虚拟专用网络(VPN)技术规避国家网络监管,突破 IP 封锁、内容过滤、域名劫持、流量限制等,非法访问被国家禁止的境外网站行为。
简言之,“翻墙”就是绕过国家网络监管,访问那些被屏蔽的网站。“VPN”,换个词来说,就是网络上的“翻墙”,大家在网上或电视上经常能看到脸谱(Facebook )、YouTu be、推特(Twitter)、谷歌(Google)等各大网站,但是这些网站在国内却不能使用,于是很多人选择偷偷“翻墙”来欣赏墙外的风景,而翻墙最常使用的就是 VPN(Virtual Private Network)。通过 VPN 可以将上网的网络转化为国外的网络,就可以访问国外的网站和玩网络游戏等。
“翻墙”危害有哪些?
泄露隐私
使用“翻墙”软件时,发送与接收的数据都会通过提供商的机器,用户的账号密码,甚至一些银行账号信息等个人隐私极易被泄露。
造成思想混乱
境外网络和社交媒体上充斥着大量煽动性内容,部分人员政治鉴别力不够,热衷“政治野史”“惊天秘闻”,受反动思想渗透蛊惑、拉拢策反,易沦为错误观点的“二传手”、成为境外间谍情报机关的棋子。
诱发问题案件
长期“翻墙”上网浏览暴力、颓废和色情等有害信息,容易被违法犯罪分子所利用,引诱参与网络赌博、非法借贷、吸毒嫖娼,引发刑事案件和自杀问题。
定义:
堡垒机是一种网络安全控制节点,主要用于隔离安全较高的内部网络(企业内网)和安全程度较低的外部网络之间的访问。
堡垒机的主要功能:
作用:
堡垒机通常部署在内部网络和外部网络的边缘,通过控制用户对内部网络的访问,从而保障企业内部网络的安全。
堡垒机可以限制用户的访问权限、记录用户的操作日志,并可以提供多层身份验证等安全措施,以防止非法用户入侵。
定义
跳板机是一种安全中转节点,主要用于提供远程访问企业内部网络的通道(通俗来讲就是不能直接访问企业内部的服务器,必须通过跳板机这一层屏障才可以有机会访问企业内部的服务器)。
跳板机的主要功能:
作用
跳板机一般都是部署在企业内部网络中,主要用于提供远程访问内部网络的通道。用户(公司远程办公员工、IT 远程协助等)需要访问企业内部网络就必须通过跳板机,跳板机可以限制用户的访问内部网络的权限,并记录用户的操作行为,并提供多层身份验证等安全措施,防止非法用户的访问。
PC 客户端通过跳板机访问服务器