VPN技术应用31.docVIP

VPN VPN的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。顾名思义，虚拟专用网络可以把它理解成是虚拟出来的企业内部专线。简介虚拟专用网（vpn）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。功能 VPN可以提供的功能： 防火墙功能、认证、加密、隧道化。　 VPN可以通过特殊加密的通讯协议连接到Internet上，在位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一，在交换机，防火墙设备或Wind??ows 2000等软件里也都支持VPN功能，一句话，VPN的核心就是在利用公共网络建立虚拟私有网。 安全保证技术 VPN主要采用的四项安全保证技术 VPN主要采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。 网络协议 常用的虚拟私人网络协议有： 　　IPSec : IPsec(缩写IP Security)是保护IP协议安全通信的标准，它主要对IP协议分组进行加密和认证。 　　IPsec作为一个协议族（即一系列相互关联的协议）由以下部分组成：(1)保护分组流的协议；(2)用来建立这些安全分组流的密钥交换协议。前者又分成两个部分： ?? 加密分组流的封装安全载荷（ESP）及较少使用的认证头（AH），认证头提供了对分组流的认证并保证其消息完整性，但不提供保密性。目前为止，IKE协议是唯一已经制定的密钥交换协议。 　　PPTP: Point to Point Tunneling Protocol -- 点到点隧道协议 　　在因特网上建立IP虚拟专用网（VPN）隧道的协议，主要内容是在因特网上建立多协议安全虚拟专用网的通信方式。 　　L2F: Layer 2 Forwarding -- 第二层转发协议 　　L2TP: Layer 2 Tunneling Protocol --第二层隧道协议 　　GRE：VPN的第三层隧道协议 　　OpenVPN:OpenVPN使用OpenSSL库加密数据与控制信息：它使用了OpenSSL的加密以及验证功能，意味着，它能够使用任何OpenSSL支持的算法。它提供了可选的数据包HMAC功能以提高连接的安全性。此外，OpenSSL的硬件加速也能提高它的性能。 使用方法 一.便携网帐号申请开通 　　企业向运营商申请租用一批便携网使用帐号（即license，译：许可证）,由企业自行管理分配帐号。企业管理员可以将需要使用便携网的各个部门，成立不同的VPN域，即不同的工作组，比如可分为财务、人事、市场、外联部等等。同一工作组内的成员可以互相通讯，既加强了成员之间的联络，又保证了数据的安全。而各个工作组之间不能互相通讯，保证了企业内部数据的安全。 二．便携网客户端安装 　　1．系统需求 　　表—列出了在装有Microsoft Windows操作系统的计算机上安装便携网络客户端软件（yPND：your Portable Network Desktop）的最小系统要求。计算机必须符合或好于最小系统要求才能成功的安装和使用便携网络客户端软件 　　2.预安装 　　为成功安装 便携网络客户端 软件必须确保满足下列情况： 　　? 计算机符合“系统需求”表所列的最小系统要求。 　　安装程序时会检查系统是否符合要求，如果不满足就不能继续安装，必须使系统符合要求才能安装。 　　· 必须有计算机的系统管理员权限才能安装。 特点 1.安全保障 　　虽然实现VPN的技术和方式很多，但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在安全性方面，由于VPN直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。 2.服务质量保证（QoS） 　　VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。在网络优化方面，构建VPN的另一重要需求