1. VPN 概述
- 定义:在公用网络(如 Internet、帧中继、ATM 等)中,通过技术手段虚拟出的一条企业内部专线,能像私有网络一样提供安全性、可靠性和可管理性。
- 核心特征:利用公共网络构建,具备 “虚拟性”(非物理专线)和 “私有性”(仅限授权用户访问)。
2. VPN 分类
| 分类维度 | 类型 | 具体内容 |
|---|---|---|
| 按应用场景 | Site-Site VPN | 适用场景:企业总部与分支机构互联、企业与合作伙伴通信。 |
| 按应用场景 | Access VPN | 适用场景:出差员工、移动用户远程访问企业内部资源。 |
| 按网络层次 | 应用层 | 典型技术:SSL VPN 等。 |
| 按网络层次 | 网络层 | 典型技术:IPSec、GRE 等。 |
| 按网络层次 | 网络接口层 | 典型技术:L2F/L2TP、PPTP 等。 |
3. VPN 技术
- Site-Site VPN 技术:包括 GRE、IPSec、厂商私有协议(如深信服),用于实现固定站点间的专线连接。
- Access VPN 技术:包括 IPSec、PPTP、L2TP+IPSec、SSL VPN 及厂商私有协议,支持远程用户通过客户端接入企业网络。
4. 应用场景
- Site-Site VPN:企业总部与分支机构通过公共网络建立虚拟专线,实现内部资源共享;企业与合作伙伴之间安全通信。
- Access VPN:远程员工(如出差人员)、移动用户通过 VPN 客户端连接企业内网,访问内部文档、系统等资源。
5. 优缺点
- 优点:
- 费用更低:无需搭建物理专线,降低硬件和运维成本。
- 业务灵活:支持动态扩展,适应企业规模变化。
- 管理简单:简化网络部署和维护流程。
- 扩展性高:轻松接入新分支机构或用户。
- 其他:带宽较高、支持移动性访问。
- 缺点:
- 安全性问题:依赖公共网络,易遭受身份欺骗(伪装通信方)、窃听(窃取数据)、篡改(修改传输内容)等攻击。
6. 安全保障
- 私网 IP 穿越公网:通过特殊封装技术实现,无需依赖 NAT,确保私网数据在公网中传输。
- 核心安全功能:
- 身份认证:验证通信双方身份,防止身份欺骗。
- 机密性:加密数据,即使被窃听也无法解析内容。
- 完整性:检测数据是否被篡改,避免无效数据占用资源。
- 防重放攻击:防止黑客重复发送截取的数据包。
关键问题
VPN 的核心定义和依赖的基础网络是什么?
答:VPN 是在公用网络中虚拟出的企业内部专线,依赖的公共网络包括 Internet、帧中继、ATM 等,需提供安全性、可靠性和可管理性。按应用场景划分,VPN 可分为哪两类?各自适用什么场景?
答:分为 Site-Site VPN 和 Access VPN。Site-Site VPN 适用于企业总部与分支机构、企业与合作伙伴之间的通信;Access VPN 适用于出差员工、移动用户远程访问企业内部资源。VPN 需解决哪些安全问题?通过哪些手段保障?
答:需解决身份欺骗、数据窃听、数据篡改等问题。保障手段包括:身份认证(验证通信方身份)、机密性(数据加密)、完整性(检测篡改)、防重放攻击(阻止重复数据包),并通过特殊封装实现私网 IP 穿越公网。
中的应用探索)
)
)
