網絡安全學院 社區 Wiki
網絡安全設備:VPN
VPN一般指虛擬專用網絡,主要是在公用網絡上建立專用網絡,進行加密通訊。在企業網絡中有廣泛應用。VPN網關通過對數據包的加密和數據包目標地址的轉換實現遠程訪問。VPN有多種分類方式,主要是按協議進行分類。VPN可通過服務器、硬件、軟件等多種方式實現。
工作原理
通常情況下,[VPN網關采取雙網卡結構,外網卡使用公網IP接入Internet。
網絡一(假定為公網internet)的終端A訪問網絡二(假定為公司內網)的終端B,其發出的訪問數據包的目標地址為終端B的內部IP地址,
網絡一的VPN網關在接收到終端A發出的訪問數據包時對其目標地址進行檢查,如果目標地址屬于網絡二的地址,則將該數據包進行封裝,封裝的方式根據所采用的VPN技術不同而不同,同時VPN網關會構造一個新VPN數據包,并將封裝后的原數據包作為VPN數據包的負載,VPN數據包的目標地址為網絡二的VPN網關的外部地址。
網絡一的VPN網關將VPN數據包發送到[Internet ,由于VPN數據包的目標地址是網絡二的VPN網關的外部地址,所以該數據包將被Internet中的路由正確地發送到網絡二的VPN網關。
網絡二的VPN網關對接收到的數據包進行檢查,如果發現該數據包是從網絡一的VPN網關發出的,即可判定該數據包為VPN數據包,并對該數據包進行解包處理。解包的過程主要是先將VPN數據包的包頭剝離,再將數據包反向處理還原成原始的數據包。
網絡二的VPN網關將還原后的原始數據包發送至目標終端B,由于原始數據包的目標地址是終端B的IP,所以該數據包能夠被正確地發送到終端B。在終端B看來,它收到的數據包就和從終端A直接發過來的一樣。
從終端B返回終端A的數據包處理過程和上述過程一樣,這樣兩個網絡內的終端就可以相互通訊了。
工作過程
VPN的基本處理過程如下:
①要保護主機發送明文信息到其他VPN設備。
②VPN設備根據網絡管理員設置的規則,確定是對數據進行加密還是直接傳輸。
③對需要加密的數據,VPN設備將其整個數據包(包括要傳輸的數據、源IP地址和目的lP地址)進行加密并附上數據簽名,加上新的數據報頭(包括目的地VPN設備需要的安全信息和一些初始化參數)重新封裝。
④將封裝后的數據包通過隧道在公共網絡上傳輸。
⑤數據包到達目的VPN設備后,將其解封,核對數字簽名無誤后,對數據包解密。
推薦文章: