VPN 的入门介绍

news2024/12/23 11:10:46

VPN(虚拟专用网络)

简介

虚拟专用网络,简称虚拟专网(VPN),其主要功能是在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN 可通过服务器、硬件、软件等多种方式实现。

VPN 属于远程访问技术,简单地说就是利用公用网络架设专用网络。例如某公司员工出差到外地,他想访问企业内网的服务器资源,这种访问就属于远程访问。

在传统的企业网络配置中,要进行远程访问,传统的方法是租用 DDN(数字数据网)专线或帧中继,这样的通讯方案必然导致高昂的网络通讯和维护费用。对于移动用户(移动办公人员)与远端个人用户而言,一般会通过拨号线路(Internet)进入企业的局域网,但这样必然带来安全上的隐患。

让外地员工访问到内网资源,利用 VPN 的解决方法就是在内网中架设一台 VPN 服务器。外地员工在当地连上互联网后,通过互联网连接 VPN 服务器,然后通过 VPN 服务器进入企业内网。为了保证数据安全,VPN 服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密,就可以认为数据是在一条专用的数据链路上进行安全传输,就如同专门架设了一个专用网络一样,但实际上 VPN 使用的是互联网上的公用链路,因此 VPN 称为虚拟专用网络,其实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了 VPN 技术,用户无论是在外地出差还是在家中办公,只要能上互联网就能利用 VPN 访问内网资源,这就是 VPN 在企业中应用得如此广泛的原因。


工作原理

  • 通常情况下,VPN 网关采取双网卡结构,外网卡使用公网 IP 接入 Internet。
  • 网络一(假定为公网 internet)的终端 A 访问网络二(假定为公司内网)的终端 B,其发出的访问数据包的目标地址为终端 B 的内部 IP 地址。
  • 网络一的 VPN 网关在接收到终端 A 发出的访问数据包时对其目标地址进行检查,如果目标地址属于网络二的地址,则将该数据包进行封装,封装的方式根据所采用的 VPN 技术不同而不同,同时 VPN 网关会构造一个新 VPN 数据包,并将封装后的原数据包作为 VPN 数据包的负载,VPN 数据包的目标地址为网络二的 VPN 网关的外部地址。
  • 网络一的 VPN 网关将 VPN 数据包发送到 Internet,由于 VPN 数据包的目标地址是网络二的 VPN 网关的外部地址,所以该数据包将被 Internet 中的路由正确地发送到网络二的 VPN 网关。
  • 网络二的 VPN 网关对接收到的数据包进行检查,如果发现该数据包是从网络一的 VPN 网关发出的,即可判定该数据包为 VPN 数据包,并对该数据包进行解包处理。解包的过程主要是先将 VPN 数据包的包头剥离,再将数据包反向处理还原成原始的数据包。
  • 网络二的 VPN 网关将还原后的原始数据包发送至目标终端 B,由于原始数据包的目标地址是终端 B 的 IP,所以该数据包能够被正确地发送到终端 B。在终端 B 看来,它收到的数据包就和从终端 A 直接发过来的一样。
  • 从终端 B 返回终端 A 的数据包处理过程和上述过程一样,这样两个网络内的终端就可以相互通讯了。

通过上述说明可以发现,在 VPN 网关对数据包进行处理时,有两个参数对于 VPN 通讯十分重要:原始数据包的目标地址(VPN 目标地址)和远程 VPN 网关地址

  • 根据 VPN 目标地址,VPN 网关能够判断对哪些数据包进行 VPN 处理,对于不需要处理的数据包通常情况下可直接转发到上级路由;
  • 远程 VPN 网关地址则指定了处理后的 VPN 数据包发送的目标地址,即 VPN 隧道的另一端 VPN 网关地址。由于网络通讯是双向的,在进行 VPN 通讯时,隧道两端的 VPN 网关都必须知道 VPN 目标地址和与此对应的远端 VPN 网关地址。

工作过程

VPN 的基本处理过程如下:

  1. 要保护主机发送明文信息到其他 VPN 设备。
  2. VPN 设备根据网络管理员设置的规则,确定是对数据进行加密还是直接传输。
  3. 对需要加密的数据,VPN 设备将其整个数据包(包括要传输的数据、源 IP 地址和目的 lP 地址)进行加密并附上数据签名,加上新的数据报头(包括目的地 VPN 设备需要的安全信息和一些初始化参数)重新封装。
  4. 将封装后的数据包通过隧道在公共网络上传输。
  5. 数据包到达目的 VPN 设备后,将其解封,核对数字签名无误后,对数据包解密。

VPN 的分类

  • 按 VPN 的协议分类

    VPN 的隧道协议主要有三种,PPTP、L2TP 和 IPSec,其中 PPTP 和 L2TP 协议工作在 OSI 模型的第二层,又称为二层隧道协议; IPSec 是第三层隧道协议。

  • 按 VPN 的应用分类

    • Access VPN(远程接入 VPN):客户端到网关,使用公网作为骨干网在设备之间传输 VPN 数据流量;
    • Intranet VPN(内联网 VPN):网关到网关,通过公司的网络架构连接来自同公司的资源;
    • Extranet VPN(外联网 VPN):与合作伙伴企业网构成 Extranet,将一个公司与另一个公司的资源进行连接。
  • 按所用的设备类型进行分类

    网络设备提供商针对不同客户的需求,开发出不同的 VPN 网络设备,主要为交换机、路由器和防火墙:

    • 路由器式 VPN:路由器式 VPN 部署较容易,只要在路由器上添加 VPN 服务即可;
    • 交换机式 VPN:主要应用于连接用户较少的 VPN 网络;
  • 按照实现原理划分

    • 重叠 VPN:此 VPN 需要用户自己建立端节点之间的 VPN 链路,主要包括:GRE、L2TP、IPSec 等众多技术。
    • 对等 VPN:由网络运营商在主干网上完成 VPN 通道的建立,主要包括 MPLS、VPN 技术。

实现方式

VPN 的实现有很多种方法,常用的有以下四种:

  • VPN 服务器:在大型局域网中,通过网络中心搭建VPN服务器来实现VPN。
  • 软件 VPN:使用专用的软件来实现VPN。
  • 硬件 VPN:使用专用的硬件来实现VPN。
  • 集成 VPN:一些硬件设备(如路由器、防火墙等)含有 VPN 功能,通过集成这些功能来实现 VPN。

优缺点

优点:

  • 移动性和远程访问

    VPN 能够让移动员工、远程员工、商务合作伙伴和其他人利用本地可用的高速宽带网连接(如 DSL、有线电视或者 WiFi 网络)连接到企业网络。

  • 成本效率

    高速宽带网连接提供一种成本效率高的连接远程办公室的方法。

  • 模块化和可升级

    设计良好的宽带VPN是模块化的和可升级的。

  • 易用性

    VPN能够让应用者使用一种很容易设置的互联网基础设施,让新的用户迅速和轻松地添加到这个网络。

  • 大容量和应用支持

    这种能力意味着企业不用增加额外的基础设施就可以提供大量的容量和应用。

  • 高水平的安全

    VPN能提供高水平的安全,使用高级的加密和身份识别协议保护数据避免受到窥探,阻止数据窃贼和其他非授权用户接触这种数据。

  • 完全控制

  • 虚拟专用网使用户可以利用ISP的设施和服务,同时又完全掌握着自己网络的控制权。

缺点:

  • 可靠性 and 性能控制权

    企业不能直接控制基于互联网的 VPN 的可靠性和性能。机构必须依靠提供 VPN 的互联网服务提供商保证服务的运行。

  • 部署难度

    企业创建和部署 VPN 线路并不容易。这种技术需要高水平地理解网络和安全问题,需要认真的规划和配置。

  • 混合产品的不兼容性

    不同厂商的 VPN 产品和解决方案总是不兼容的,因为许多厂商不愿意或者不能遵守 VPN 技术标准。因此,混合使用不同厂商的产品可能会出现技术问题。

  • 成本可能增加

    使用一家供应商的设备可能会提高成本。

  • 无线设备的安全风险

    当使用无线设备时,VPN 有安全风险。在接入点之间漫游特别容易出问题。当用户在接入点之间漫游的时候,任何使用高级加密技术的解决方案都可能被攻破。


面临的问题

  • VPN 域名 / IP 地址公开透明,受众面太广;
  • 外网地址相对固定,缺少变化;
  • 域名几乎一成不变,长时间暴露在外,容易被攻击;
  • 任何人都可以根据域名 IP 打开登录页面;
  • VPN 容易导致账号共享;
  • VPN 默认登录时间到达后强制退出,用户体验不好;
  • 无白名单管控;
  • 无 VPN 退出失效机制。

网络翻墙

  • “墙”是什么?

    网络翻墙所指的“墙”是中国国家防火墙的俗称(英文名 Great Firewall of China,简写为 Great Firewall,缩写 GFW),是指中华人民共和国政府在其管辖因特网内部建立的多套网络审查系统的总称,包括相关行政审查系统。

  • “翻墙”干什么?

    “翻墙”是指通过虚拟专用网络(VPN)技术规避国家网络监管,突破 IP 封锁、内容过滤、域名劫持、流量限制等,非法访问被国家禁止的境外网站行为。

    简言之,“翻墙”就是绕过国家网络监管,访问那些被屏蔽的网站。“VPN”,换个词来说,就是网络上的“翻墙”,大家在网上或电视上经常能看到脸谱(Facebook )、YouTu be、推特(Twitter)、谷歌(Google)等各大网站,但是这些网站在国内却不能使用,于是很多人选择偷偷“翻墙”来欣赏墙外的风景,而翻墙最常使用的就是 VPN(Virtual Private Network)。通过 VPN 可以将上网的网络转化为国外的网络,就可以访问国外的网站和玩网络游戏等。

  • “翻墙”危害有哪些?

    • 泄露隐私

      使用“翻墙”软件时,发送与接收的数据都会通过提供商的机器,用户的账号密码,甚至一些银行账号信息等个人隐私极易被泄露。

    • 造成思想混乱

      境外网络和社交媒体上充斥着大量煽动性内容,部分人员政治鉴别力不够,热衷“政治野史”“惊天秘闻”,受反动思想渗透蛊惑、拉拢策反,易沦为错误观点的“二传手”、成为境外间谍情报机关的棋子。

    • 诱发问题案件

      长期“翻墙”上网浏览暴力、颓废和色情等有害信息,容易被违法犯罪分子所利用,引诱参与网络赌博、非法借贷、吸毒嫖娼,引发刑事案件和自杀问题。


VPN 和堡垒机、跳板机的区别

区别

  • 堡垒机:主要用于保护内部网络,限制用户访问权限。不提供远程访问功能。
  • 跳板机:主要用于提供远程访问功能,限制用户访问权限。但它并不保护内部网络。
  • VPN(Virtual Private Network):主要用于建立安全的远程访问连接,保护数据在公共网络上的传输安全。

堡垒机(Bastion Host)简介

定义:

在这里插入图片描述

堡垒机是一种网络安全控制节点,主要用于隔离安全较高的内部网络(企业内网)和安全程度较低的外部网络之间的访问。

堡垒机的主要功能:

  • 身份验证:堡垒机可以对进入内部网络的用户进行身份验证,确保只有授权的用户才能访问内部网络。
  • 网络流量过滤:堡垒机可以过滤和转发网络流量,从而防止恶意流量和未经授权的访问。
  • 应用程序控制:堡垒机可以控制和管理应用程序的使用,防止恶意软件和未经授权的访问。
  • 日志记录和审计:堡垒机可以记录和审计网络流量和应用程序使用情况,以便后续的追踪和审计。
  • 配置管理:堡垒机可以对网络和应用程序进行配置管理,以确保内部网络的安全性和可靠性。

作用:

堡垒机通常部署在内部网络和外部网络的边缘,通过控制用户对内部网络的访问,从而保障企业内部网络的安全。

堡垒机可以限制用户的访问权限、记录用户的操作日志,并可以提供多层身份验证等安全措施,以防止非法用户入侵。

在这里插入图片描述


跳板机(Jump Server)简介

定义

在这里插入图片描述

跳板机是一种安全中转节点,主要用于提供远程访问企业内部网络的通道(通俗来讲就是不能直接访问企业内部的服务器,必须通过跳板机这一层屏障才可以有机会访问企业内部的服务器)。

跳板机的主要功能:

  • 流量转发:跳板机可以将外部网络的流量转发到内部网络中,从而实现对内部网络的访问。
  • 身份验证:跳板机可以对进入内部网络的用户进行身份验证,确保只有授权的用户才能访问内部网络。
  • 安全管理:跳板机可以对内部网络的安全进行管理,例如限制某些应用程序的使用、限制访问某些网站等。
  • 配置管理:跳板机可以对内部网络进行配置管理,例如对网络设备、应用程序进行配置。
  • 记录和审计:跳板机可以记录内部网络的流量和使用情况,以便后续的追踪和审计。

作用

跳板机一般都是部署在企业内部网络中,主要用于提供远程访问内部网络的通道。用户(公司远程办公员工、IT 远程协助等)需要访问企业内部网络就必须通过跳板机,跳板机可以限制用户的访问内部网络的权限,并记录用户的操作行为,并提供多层身份验证等安全措施,防止非法用户的访问。

PC 客户端通过跳板机访问服务器

在这里插入图片描述


主要参考

  • 百度百科-虚拟专用网络
  • 网络安全:堡垒机、跳板机、Virtual Private Network知识介绍

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1906096.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

AI机器人在企业拓客上常见的功能有哪些

AI机器人具备多种功能,这些功能主要基于其被设计和训练的目的。整理了一些常见的AI机器人功能: 1. 语音识别与自然语言处理: - 语音识别:将用户的语音输入转换为文本,以便机器人可以理解和处理。 - 自然语言处理…

Xilinx FPGA:vivado关于fifo的一些零碎知识

一、FIFO概念 先进先出,是一种组织和操作数据结构的方法。在硬件应用中,FIFO一般由一些读写指针,存储和控制的逻辑组成。 二、xilinx中生成的FIFO的存储类型 (1)shift register FIFO : 移位寄存器FIFO,这…

Java锁升级:无锁 → 偏向锁 → 轻量级锁 → 重量级锁

说明 JDK1.6为了减少获得锁和释放锁所带来的性能消耗,引入了“偏向锁”和“轻量级锁”,所以在JDK1.6里锁一共有四种状态,无锁状态,偏向锁状态,轻量级锁状态和重量级锁状态,它会随着竞争情况逐渐升级。锁可以…

2 ECMAScript

JavaScript 概述 JavaScript 编程语言允许你在 Web 页面上实现复杂的功能;如果你看到一个网页不仅仅显示静态的信息,而是显示依时间更新的内容,或者交互式地图,或者 2D/3D 动画图像,或者滚动的视频播放器,等等——你基本可以确定,这需要 JavaScript 的参与 JavaScript 编程语言…

如何为你的PCB选择最佳的阻焊覆盖工艺?

随着电子产品向“轻、薄、短、小”的方向发展,PCB也向高密度、高难度的发展,因此有很多SMT、PCB,客户在安装元件时需要插孔;其工艺流程长,过程控制困难。那么,PCB电路板插接工艺为何这么重要? 通…

B端设计:任何不顾及用户体验的设计,都是在装样子,花架子

B端设计是指面向企业客户的设计,通常涉及产品、服务或系统的界面和功能设计。与C端设计不同,B端设计更注重实用性和专业性,因为它直接影响企业的效率和利益。 在B端设计中,用户体验同样至关重要。不顾及用户体验的设计只是空洞的表…

【Proteus仿真】基于Stm32的八路抢答器~

【Proteus仿真】基于Stm32的八路抢答器~ 文档资料在购买后即可获得(如有问题可通过微信公号或b站私信联系我) 资料包括: 1. Proteus仿真源文件2. keil源代码功能描述: 1. 抢答时间设置显示2. 选手得分用时显示3. 选手数据查询/清楚4.抢答…

排产排程问题【数学规划的应用(含代码)】阿里达摩院MindOpt

本文主要讲述使用MindOpt工具优化排产排程的数学规划问题。 视频讲解👈👈👈👈👈👈👈👈👈 一、排产排程问题 在实际生产过程中存在着各种各样的排产排程问题,…

【数据分析】Pandas_DataFrame读写详解:案例解析(第24天)

系列文章目录 一、 读写文件数据 二、df查询数据操作 三、df增加列操作 四、df删除行列操作 五、df数据去重操作 六、df数据修改操作 文章目录 系列文章目录前言一、 读写文件数据1.1 读写excel文件1.2 读写csv文件1.3 读写mysql数据库 二、df查询数据操作2.1 查询df子集基本方…

移动UI: 什么特征会被认为是简洁风格,用案例告诉你

什么是简洁风格,恐怕一百个人有一百个是理解,本文通过理论分析案例的方式进行探讨。 移动 UI 中的简洁风格通常具有以下几个特征: 1. 平面化设计: 简洁风格的移动 UI 善于运用平面化设计,即去除过多的阴影、渐变和立…

一家互联网 Web3 研发团队繁忙的一天

早晨:规划与准备 7:00 AM - 起床与新闻 Web3研发团队的成员们早起,通过区块链相关的新闻网站、论坛和社交媒体,了解最新的行业动态和技术发展。重点关注去中心化金融(DeFi)、NFT、DAO等领域的最新进展。 8:00 AM - …

Java | Leetcode Java题解之第219题存在重复元素II

题目&#xff1a; 题解&#xff1a; class Solution {public boolean containsNearbyDuplicate(int[] nums, int k) {Set<Integer> set new HashSet<Integer>();int length nums.length;for (int i 0; i < length; i) {if (i > k) {set.remove(nums[i - …

✅深入理解InnoDB中的页分裂与页合并

想要了解什么是页分裂&#xff0c;页合并&#xff0c;那么就要想知道 InnoDB 中的数据页是什么。 InnoDB 的数据页 InnoDB 的数据页是存储引擎中用于保存数据的基本单位。每个数据页是磁盘上的一个连续区域&#xff0c;通常大小为 16KB&#xff0c;当然&#xff0c;这个大小可…

map和set的原理、优劣势、应用场景和示例代码,统统告诉你。

map和set的原理都是基于哈希表实现的&#xff0c;通过哈希值来快速查找和插入元素&#xff0c;从而实现高效的数据存储和管理&#xff0c;那么他们之间有什么不同呢&#xff0c;该如何选择&#xff0c;本文带你了解。 一、map和set的原理 map和set都是数据结构&#xff0c;用…

新浪API系列:微博API探索社交数据价值(1)

微博API为创作者和开发者提供了一个探索社交数据价值的宝贵机会&#xff0c;助力他们在创新发展中取得成功。通过微博API&#xff0c;用户可以轻松访问和获取微博平台上丰富的社交数据。这些数据包括用户信息、关注列表、粉丝互动等&#xff0c;为创作者和开发者提供了深入了解…

基于CesiumJs的可视化大屏,效果不是一般的震撼。

CesiumJS是一个用于创建三维地理信息系统&#xff08;GIS&#xff09;应用程序的开源JavaScript库。它提供了强大的地理空间数据可视化和交互功能&#xff0c;可以用于构建虚拟地球、地图、飞行模拟等应用。 1. 三维地理空间可视化&#xff1a; CesiumJS支持将地理空间数据以三…

【紫外线发光器件小结】 UV-B LED 308nm

之前有介绍光的波长和频率计算。 波长小于390nm,频率高于770太赫兹的电磁波忙&#xff0c;或者光。基本有一段就叫做紫外线。 紫外线有分为UV-A/B/C;三小段&#xff1b; 如下图&#xff1a; 高压汞灯与UV LED的光谱&#xff1b;黑色线汞灯&#xff0c;蓝色LED

CentOS 安装 annie/lux,以及 annie/lux 的使用

annie 介绍 如果第一次听到 annie 想必都会觉得陌生&#xff0c;annie 被大家称为视频下载神器&#xff0c;annie 作者介绍说可以下载抖音、哔哩哔哩、优酷、爱奇艺、芒果TV、YouTube、Tumblr、Vimeo 等平台的视频。 githup&#xff1a;https://github.com/pingf/annie 支持…

HTML5实现我的音乐网站源码

文章目录 作者&#xff1a;[xcLeigh](https://blog.csdn.net/weixin_43151418) 1.设计来源1.1 界面效果1.2 轮播图界面1.3 音乐播放界面1.4 视频播放界面 2.效果和源码2.1 动态效果2.2 源代码 源码下载万套模板&#xff0c;程序开发&#xff0c;在线开发&#xff0c;在线沟通 作…

Spark 分布式弹性计算集(RDD)相关概念介绍

目录 一、概述 二、RDD的核心概念 2.1 Partition 2.2 Partitioner 2.3 RDD的依赖关系 2.4 Stage 2.5 PreferredLocation 2.6 CheckPoint 三、RDD的持久化 3.1 概述 3.2 概念 3.3 RDD持久化级别 3.3.1 MEMORY_ONLY 3.3.2 MEMORY_AND_DISK 3.3.3 MEMORY_ONLY_SER …