VPN 的入门介绍

VPN(虚拟专用网络)

简介

虚拟专用网络,简称虚拟专网(VPN),其主要功能是在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN 可通过服务器、硬件、软件等多种方式实现。

VPN 属于远程访问技术,简单地说就是利用公用网络架设专用网络。例如某公司员工出差到外地,他想访问企业内网的服务器资源,这种访问就属于远程访问。

在传统的企业网络配置中,要进行远程访问,传统的方法是租用 DDN(数字数据网)专线或帧中继,这样的通讯方案必然导致高昂的网络通讯和维护费用。对于移动用户(移动办公人员)与远端个人用户而言,一般会通过拨号线路(Internet)进入企业的局域网,但这样必然带来安全上的隐患。

让外地员工访问到内网资源,利用 VPN 的解决方法就是在内网中架设一台 VPN 服务器。外地员工在当地连上互联网后,通过互联网连接 VPN 服务器,然后通过 VPN 服务器进入企业内网。为了保证数据安全,VPN 服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密,就可以认为数据是在一条专用的数据链路上进行安全传输,就如同专门架设了一个专用网络一样,但实际上 VPN 使用的是互联网上的公用链路,因此 VPN 称为虚拟专用网络,其实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了 VPN 技术,用户无论是在外地出差还是在家中办公,只要能上互联网就能利用 VPN 访问内网资源,这就是 VPN 在企业中应用得如此广泛的原因。


工作原理

  • 通常情况下,VPN 网关采取双网卡结构,外网卡使用公网 IP 接入 Internet。
  • 网络一(假定为公网 internet)的终端 A 访问网络二(假定为公司内网)的终端 B,其发出的访问数据包的目标地址为终端 B 的内部 IP 地址。
  • 网络一的 VPN 网关在接收到终端 A 发出的访问数据包时对其目标地址进行检查,如果目标地址属于网络二的地址,则将该数据包进行封装,封装的方式根据所采用的 VPN 技术不同而不同,同时 VPN 网关会构造一个新 VPN 数据包,并将封装后的原数据包作为 VPN 数据包的负载,VPN 数据包的目标地址为网络二的 VPN 网关的外部地址。
  • 网络一的 VPN 网关将 VPN 数据包发送到 Internet,由于 VPN 数据包的目标地址是网络二的 VPN 网关的外部地址,所以该数据包将被 Internet 中的路由正确地发送到网络二的 VPN 网关。
  • 网络二的 VPN 网关对接收到的数据包进行检查,如果发现该数据包是从网络一的 VPN 网关发出的,即可判定该数据包为 VPN 数据包,并对该数据包进行解包处理。解包的过程主要是先将 VPN 数据包的包头剥离,再将数据包反向处理还原成原始的数据包。
  • 网络二的 VPN 网关将还原后的原始数据包发送至目标终端 B,由于原始数据包的目标地址是终端 B 的 IP,所以该数据包能够被正确地发送到终端 B。在终端 B 看来,它收到的数据包就和从终端 A 直接发过来的一样。
  • 从终端 B 返回终端 A 的数据包处理过程和上述过程一样,这样两个网络内的终端就可以相互通讯了。

通过上述说明可以发现,在 VPN 网关对数据包进行处理时,有两个参数对于 VPN 通讯十分重要:原始数据包的目标地址(VPN 目标地址)和远程 VPN 网关地址

  • 根据 VPN 目标地址,VPN 网关能够判断对哪些数据包进行 VPN 处理,对于不需要处理的数据包通常情况下可直接转发到上级路由;
  • 远程 VPN 网关地址则指定了处理后的 VPN 数据包发送的目标地址,即 VPN 隧道的另一端 VPN 网关地址。由于网络通讯是双向的,在进行 VPN 通讯时,隧道两端的 VPN 网关都必须知道 VPN 目标地址和与此对应的远端 VPN 网关地址。

工作过程

VPN 的基本处理过程如下:

  1. 要保护主机发送明文信息到其他 VPN 设备。
  2. VPN 设备根据网络管理员设置的规则,确定是对数据进行加密还是直接传输。
  3. 对需要加密的数据,VPN 设备将其整个数据包(包括要传输的数据、源 IP 地址和目的 lP 地址)进行加密并附上数据签名,加上新的数据报头(包括目的地 VPN 设备需要的安全信息和一些初始化参数)重新封装。
  4. 将封装后的数据包通过隧道在公共网络上传输。
  5. 数据包到达目的 VPN 设备后,将其解封,核对数字签名无误后,对数据包解密。

VPN 的分类

  • 按 VPN 的协议分类

    VPN 的隧道协议主要有三种,PPTP、L2TP 和 IPSec,其中 PPTP 和 L2TP 协议工作在 OSI 模型的第二层,又称为二层隧道协议; IPSec 是第三层隧道协议。

  • 按 VPN 的应用分类

    • Access VPN(远程接入 VPN):客户端到网关,使用公网作为骨干网在设备之间传输 VPN 数据流量;
    • Intranet VPN(内联网 VPN):网关到网关,通过公司的网络架构连接来自同公司的资源;
    • Extranet VPN(外联网 VPN):与合作伙伴企业网构成 Extranet,将一个公司与另一个公司的资源进行连接。
  • 按所用的设备类型进行分类

    网络设备提供商针对不同客户的需求,开发出不同的 VPN 网络设备,主要为交换机、路由器和防火墙:

    • 路由器式 VPN:路由器式 VPN 部署较容易,只要在路由器上添加 VPN 服务即可;
    • 交换机式 VPN:主要应用于连接用户较少的 VPN 网络;
  • 按照实现原理划分

    • 重叠 VPN:此 VPN 需要用户自己建立端节点之间的 VPN 链路,主要包括:GRE、L2TP、IPSec 等众多技术。
    • 对等 VPN:由网络运营商在主干网上完成 VPN 通道的建立,主要包括 MPLS、VPN 技术。

实现方式

VPN 的实现有很多种方法,常用的有以下四种:

  • VPN 服务器:在大型局域网中,通过网络中心搭建VPN服务器来实现VPN。
  • 软件 VPN:使用专用的软件来实现VPN。
  • 硬件 VPN:使用专用的硬件来实现VPN。
  • 集成 VPN:一些硬件设备(如路由器、防火墙等)含有 VPN 功能,通过集成这些功能来实现 VPN。

优缺点

优点:

  • 移动性和远程访问

    VPN 能够让移动员工、远程员工、商务合作伙伴和其他人利用本地可用的高速宽带网连接(如 DSL、有线电视或者 WiFi 网络)连接到企业网络。

  • 成本效率

    高速宽带网连接提供一种成本效率高的连接远程办公室的方法。

  • 模块化和可升级

    设计良好的宽带VPN是模块化的和可升级的。

  • 易用性

    VPN能够让应用者使用一种很容易设置的互联网基础设施,让新的用户迅速和轻松地添加到这个网络。

  • 大容量和应用支持

    这种能力意味着企业不用增加额外的基础设施就可以提供大量的容量和应用。

  • 高水平的安全

    VPN能提供高水平的安全,使用高级的加密和身份识别协议保护数据避免受到窥探,阻止数据窃贼和其他非授权用户接触这种数据。

  • 完全控制

  • 虚拟专用网使用户可以利用ISP的设施和服务,同时又完全掌握着自己网络的控制权。

缺点:

  • 可靠性 and 性能控制权

    企业不能直接控制基于互联网的 VPN 的可靠性和性能。机构必须依靠提供 VPN 的互联网服务提供商保证服务的运行。

  • 部署难度

    企业创建和部署 VPN 线路并不容易。这种技术需要高水平地理解网络和安全问题,需要认真的规划和配置。

  • 混合产品的不兼容性

    不同厂商的 VPN 产品和解决方案总是不兼容的,因为许多厂商不愿意或者不能遵守 VPN 技术标准。因此,混合使用不同厂商的产品可能会出现技术问题。

  • 成本可能增加

    使用一家供应商的设备可能会提高成本。

  • 无线设备的安全风险

    当使用无线设备时,VPN 有安全风险。在接入点之间漫游特别容易出问题。当用户在接入点之间漫游的时候,任何使用高级加密技术的解决方案都可能被攻破。


面临的问题

  • VPN 域名 / IP 地址公开透明,受众面太广;
  • 外网地址相对固定,缺少变化;
  • 域名几乎一成不变,长时间暴露在外,容易被攻击;
  • 任何人都可以根据域名 IP 打开登录页面;
  • VPN 容易导致账号共享;
  • VPN 默认登录时间到达后强制退出,用户体验不好;
  • 无白名单管控;
  • 无 VPN 退出失效机制。

网络翻墙

  • “墙”是什么?

    网络翻墙所指的“墙”是中国国家防火墙的俗称(英文名 Great Firewall of China,简写为 Great Firewall,缩写 GFW),是指中华人民共和国政府在其管辖因特网内部建立的多套网络审查系统的总称,包括相关行政审查系统。

  • “翻墙”干什么?

    “翻墙”是指通过虚拟专用网络(VPN)技术规避国家网络监管,突破 IP 封锁、内容过滤、域名劫持、流量限制等,非法访问被国家禁止的境外网站行为。

    简言之,“翻墙”就是绕过国家网络监管,访问那些被屏蔽的网站。“VPN”,换个词来说,就是网络上的“翻墙”,大家在网上或电视上经常能看到脸谱(Facebook )、YouTu be、推特(Twitter)、谷歌(Google)等各大网站,但是这些网站在国内却不能使用,于是很多人选择偷偷“翻墙”来欣赏墙外的风景,而翻墙最常使用的就是 VPN(Virtual Private Network)。通过 VPN 可以将上网的网络转化为国外的网络,就可以访问国外的网站和玩网络游戏等。

  • “翻墙”危害有哪些?

    • 泄露隐私

      使用“翻墙”软件时,发送与接收的数据都会通过提供商的机器,用户的账号密码,甚至一些银行账号信息等个人隐私极易被泄露。

    • 造成思想混乱

      境外网络和社交媒体上充斥着大量煽动性内容,部分人员政治鉴别力不够,热衷“政治野史”“惊天秘闻”,受反动思想渗透蛊惑、拉拢策反,易沦为错误观点的“二传手”、成为境外间谍情报机关的棋子。

    • 诱发问题案件

      长期“翻墙”上网浏览暴力、颓废和色情等有害信息,容易被违法犯罪分子所利用,引诱参与网络赌博、非法借贷、吸毒嫖娼,引发刑事案件和自杀问题。


VPN 和堡垒机、跳板机的区别

区别

  • 堡垒机:主要用于保护内部网络,限制用户访问权限。不提供远程访问功能。
  • 跳板机:主要用于提供远程访问功能,限制用户访问权限。但它并不保护内部网络。
  • VPN(Virtual Private Network):主要用于建立安全的远程访问连接,保护数据在公共网络上的传输安全。

堡垒机(Bastion Host)简介

定义:

在这里插入图片描述

堡垒机是一种网络安全控制节点,主要用于隔离安全较高的内部网络(企业内网)和安全程度较低的外部网络之间的访问。

堡垒机的主要功能:

  • 身份验证:堡垒机可以对进入内部网络的用户进行身份验证,确保只有授权的用户才能访问内部网络。
  • 网络流量过滤:堡垒机可以过滤和转发网络流量,从而防止恶意流量和未经授权的访问。
  • 应用程序控制:堡垒机可以控制和管理应用程序的使用,防止恶意软件和未经授权的访问。
  • 日志记录和审计:堡垒机可以记录和审计网络流量和应用程序使用情况,以便后续的追踪和审计。
  • 配置管理:堡垒机可以对网络和应用程序进行配置管理,以确保内部网络的安全性和可靠性。

作用:

堡垒机通常部署在内部网络和外部网络的边缘,通过控制用户对内部网络的访问,从而保障企业内部网络的安全。

堡垒机可以限制用户的访问权限、记录用户的操作日志,并可以提供多层身份验证等安全措施,以防止非法用户入侵。

在这里插入图片描述


跳板机(Jump Server)简介

定义

在这里插入图片描述

跳板机是一种安全中转节点,主要用于提供远程访问企业内部网络的通道(通俗来讲就是不能直接访问企业内部的服务器,必须通过跳板机这一层屏障才可以有机会访问企业内部的服务器)。

跳板机的主要功能:

  • 流量转发:跳板机可以将外部网络的流量转发到内部网络中,从而实现对内部网络的访问。
  • 身份验证:跳板机可以对进入内部网络的用户进行身份验证,确保只有授权的用户才能访问内部网络。
  • 安全管理:跳板机可以对内部网络的安全进行管理,例如限制某些应用程序的使用、限制访问某些网站等。
  • 配置管理:跳板机可以对内部网络进行配置管理,例如对网络设备、应用程序进行配置。
  • 记录和审计:跳板机可以记录内部网络的流量和使用情况,以便后续的追踪和审计。

作用

跳板机一般都是部署在企业内部网络中,主要用于提供远程访问内部网络的通道。用户(公司远程办公员工、IT 远程协助等)需要访问企业内部网络就必须通过跳板机,跳板机可以限制用户的访问内部网络的权限,并记录用户的操作行为,并提供多层身份验证等安全措施,防止非法用户的访问。

PC 客户端通过跳板机访问服务器

在这里插入图片描述


主要参考

  • 百度百科-虚拟专用网络
  • 网络安全:堡垒机、跳板机、Virtual Private Network知识介绍

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/782670.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

SpringBoot日常:封装rabbitmq starter组件

文章目录 逻辑实现RabbitExchangeEnumRabbitConfigRabbitModuleInfoRabbitModuleInitializerRabbitPropertiesRabbitProducerManagerPOM.xmlspring.factories 功能测试application.yml配置生产者:消费者:测试结果:总结 本章内容主要介绍编写一…

【电机控制】EG2134无刷电机驱动、控制一体板——开环、无感SMO验证

【电机控制】EG2134无刷电机驱动、控制一体板——开环、无感SMO验证 文章目录 前言一、硬件二、软件三、开环SVPWM四、SMO无感观测器闭环控制五、参考文献总结 前言 【电机控制】直流有刷电机、无刷电机汇总——持续更新 【电机控制】EG2134无感FOC驱控一体板-滑模观测器 使用…

C++11中新特性介绍-之(二)

11.自动类型推导 (1) auto类型自动推导 auto自动推导变量的类型 auto并不代表某个实际的类型,只是一个类型声明的占位符 auto并不是万能的在任意场景下都能推导,使用auto声明的变量必须进行初始化,以让编译器推导出它的实际类型,…

苏东坡传-读书笔记十

不管怎么说,能使读者快乐的确是苏东坡作品的一个特点。苏东坡最快乐就是写作之时。一天,苏东坡对朋友说:“我一生之至乐在执笔为文之时,心中错综复杂之情思,我笔皆可畅达之。我自谓人生之乐,未有过于此者也…

红黑树模拟实现

概念 红黑树,是一种二叉搜索树,但在每个结点上增加一个存储位表示结点的颜色,可以是Red或Black。通过对任何一条从根到叶子的路径上各个结点着色方式的限制,红黑树确保没有一条路径会比其他路径长出俩倍,因而是接近平衡…

昇思25天学习打卡营第20天|RNN实现情感分类

数据准备 使用IMDB影评数据集,包含Positive和Negative两类。 数据下载 import os import shutil import requests import tempfile from tqdm import tqdm from typing import IO from pathlib import Path# 指定保存路径为 home_path/.mindspore_examples cache…

蚓链实践告诉你“企业确保达成数字化营销效果的方法”

在如今这个数字化盛行的时代,企业想在激烈的市场竞争里崭露头角,确保数字营销效果那可是至关重要!今天就来给大家聊聊实现这一目标的基本条件,来自蚓链数字化营销系统的广大用户体验总结。 一、精准的目标定位 企业一定要清楚地知…

第一作者讲述《生态系统架构:人工智能时代从业者的新思维》背后的故事:Episode One

当前,人工智能技术正不断渗透到各行各业,对企业和组织的系统和流程带来深刻的影响。生态系统架构可以帮助企业进行更好的规划和管理人工智能系统,使人工智能技术能够更好地为企业所用,从而实现企业的数字化转型和更好的商业表现。…

信号量——Linux并发之魂

欢迎来到 破晓的历程的 博客 引言 今天,我们继续学习Linux线程本分,在Linux条件变量中,我们对条件变量的做了详细的说明,今天我们要利用条件变量来引出我们的另一个话题——信号量内容的学习。 1.复习条件变量 在上一期博客中&…

HTML5实现我的音乐网站源码

文章目录 作者:[xcLeigh](https://blog.csdn.net/weixin_43151418) 1.设计来源1.1 界面效果1.2 轮播图界面1.3 音乐播放界面1.4 视频播放界面 2.效果和源码2.1 动态效果2.2 源代码 源码下载万套模板,程序开发,在线开发,在线沟通 作…

DAY22-力扣刷题

1.被围绕的区域 方法一&#xff1a;深度优先搜索 class Solution {int n, m;public void solve(char[][] board) {n board.length;if (n 0) {return;}m board[0].length;for (int i 0; i < n; i) {dfs(board, i, 0);dfs(board, i, m - 1);}for (int i 1; i < m - 1…

项目方案:社会视频资源整合接入汇聚系统解决方案(九)-视频监控汇聚应用案例

目录 一、概述 1.1 应用背景 1.2 总体目标 1.3 设计原则 1.4 设计依据 1.5 术语解释 二、需求分析 2.1 政策分析 2.2 业务分析 2.3 系统需求 三、系统总体设计 3.1设计思路 3.2总体架构 3.3联网技术要求 四、视频整合及汇聚接入 4.1设计概述 4.2社会视频资源分…

5.opencv深浅拷贝

图像处理的复制操作 深浅拷贝 图像复制分成两种&#xff0c;第一种假复制&#xff0c;从原图片选择一部分图片拿出来观察&#xff0c;此时新生成的图片和原图实际上是同一张图片&#xff0c;即浅拷贝 将图片的一部分复制下来&#xff0c;放到新的内存中&#xff0c;即两张完全…

AI视频教程下载-使用ChatGPT成为全栈JavaScript开发者

学习使用Express JS和React JS进行全栈JavaScript开发 ChatGPT Express JS MongoDB React JS Tailwind 解锁全栈网页开发的世界&#xff0c;我们为初学者和中级学习者设计了全面的课程。在这段沉浸式的旅程中&#xff0c;你将深入前端和后端开发的基本概念&#xff0c;为自…

【DataSophon】DataSophon1.2.1 ranger usersync整合

目录 一、简介 二、实现步骤 2.1 ranger-usersync包下载编译 2.2 构建压缩包 2.3 编辑元数据文件 2.4 修改源码 三、重新安装 一、简介 如下是DDP1.2.1默认有的rangerAdmin&#xff0c; 我们需要将rangerusersync整合进来 ,实现将Linux机器上的用户和组信息同步到Ranger…

【Linux】线程(轻量级进程)

目录 一、线程概念 二、线程特性 2.1 进程更加轻量化 2.2 线程的优点 2.3 线程的缺点 2.4 线程的异常 2.5 线程用途 三、进程和线程 四、线程控制 4.1 包含线程的编译链接 4.2 创建线程 4.3 获得线程自身的ID 4.4 线程终止 4.5 线程等待 4.6 线程分离 4.6 线程…

Java数据结构9-排序

1. 排序的概念及引用 1.1 排序的概念 排序&#xff1a;所谓排序&#xff0c;就是使一串记录&#xff0c;按照其中的某个或某些关键字的大小&#xff0c;递增或递减的排列起来的操作。 稳定性&#xff1a;假定在待排序的记录序列中&#xff0c;存在多个具有相同的关键字的记录…

【Java】垃圾回收学习笔记(一):Root Search 根可达算法+垃圾回收的起点

文章目录 1. 引用计数法优点缺点 2. 可达性分析 Root Search2.1 那些对象是GC Roots2.2 引用的分类2.3 回收方法区 3. 实现细节3.1 GC的起点&#xff1a;节点枚举OopMap&#xff1a;帮助高效的根节点枚举 3.2 何时开始GC&#xff1a;安全点与安全区域如何选取安全点如何让程序进…

在mac下 Vue2和Vue3并存 全局Vue2环境创建Vue3新项目(Vue cli2和Vue cli4)

全局安装vue2 npm install vue-cli -g自行在任意位置创建一个文件夹vue3&#xff0c;局部安装vue3,注意不要带-g npm install vue/cli安装完成后&#xff0c;进入目录&#xff0c;修改vue为vue3 找到vue3/node-moudles/.bin/vue&#xff0c;把vue改成vue3。 对环境变量进行配置…

web安全基础名词概念

本节内容根据小迪安全讲解制作 第一天 域名&#xff1a; 1.1什么是域名&#xff1f; 网域名称(英语&#xff1a;Domain Name&#xff0c;简称&#xff1a;Domain)&#xff0c;简称域名、网域&#xff0c;是由一串用点分隔的字符组成的互联网上某一台计算机或计算机组的名称&a…