VPN 中包含著哪些安全技術

VPN中包含著以下安全技術：

• 證書：使用對稱加密時，發送方和接收方都使用共享的加密密鑰。必須在進行加密通信之前，完成密鑰的分布。使用非對稱加密時，發送方使用一個專用密鑰加密信息或數字簽名，接收方使用公用密鑰解密信息。公用密鑰可以自由分發給任何需要接收加密信息或數字簽名信息的一方，發送方只要保證專用密鑰的安全性即可。為保證公用密鑰的完整性，公用密鑰隨證書一同發布。證書（或公用密鑰證書）是一種經過證書簽發機構（CA）數字簽名的數據結構。CA使用自己的專用密鑰對證書進行數字簽名。如果接收方知道CA的公用密鑰，就可以證明證書是由CA簽發的，因此包含可靠的信息和有效的公用密鑰。總之，公用密鑰證書為驗證發送方的身份提供了一種方便、可靠的方法。IPSec可以選擇使用該方式進行端到端的驗證，RAS可以使用公用密鑰證書驗證用戶身份。

• 擴展驗證協議（EAP）：PPP只能提供有限的驗證方式。EAP是IETF提出的PPP協議的擴展，允許連接使用任意方式對一條PPP連接的有效性進行驗證。EAP支持在一條連接的客戶端和服務器端動態加入驗證插件模塊。

• 交易層安全協議（EAP-TLS）：EAP-TLS已經作為提議草案提交給IETF，用于建立基于公用密鑰證書的強大的驗證方式。使用EAP-TLS，客戶向撥入服務器發送一份用戶方證書，同時，服務器把服務器證書發送給客戶。用戶證書向服務器提供了強大的用戶識別信息；服務器證書保證用戶已經連接到預期的服務器。用戶方證書可以被存放在撥號客戶PC中，或存放在外部智能卡中。無論那種方式，如果用戶不能提供沒有一定形式的用戶識別信息（PIN號或用戶名和口令），就無法訪問證書。

• IPSEC：IPSEC是一種由IETF設計的端到端的確保基于IP通信的數據安全性的機制。IPSEC支持對數據加密，同時確保數據的完整性。按照IETF的規定，不采用數據加密時，IPSEC使用驗證包頭（AH）提供驗證來源驗證（Source Authentication），確保數據的完整性；也可以使用封裝安全負載（ESP）與加密一道提供來源驗證，確保數據完整性。IPSEC協議下，只有發送方和接收方知道私有密鑰。如果驗證數據有效，接收方就可以知道數據來自發送方，并且在傳輸過程中沒有受到破壞。

• 協商安全關聯（Negotiated Security Association）：IPSEC中第一個滿足過濾機制的數據包將會引發發送方和接收方對安全關聯進行協商。ISAKMP/OAKLEY是這種協商采用的標準協議。在一個ISAKMP/OAKLEY交換過程中，兩臺計算機就驗證和數據安全方式達成一致，進行相互驗證，然后生成一個用于隨后的數據加密的共享密鑰。

• 驗證包頭：通過一個位于IP包頭和傳輸包頭之間的驗證包頭可以提供IP負載數據的完整性和數據驗證。驗證包頭包括驗證數據和一個序列號，共同用來驗證發送方身份，確保數據在傳輸過程中沒有被改動，防止其受到第三方的攻擊。IPSEC驗證包頭不提供數據加密，信息將以明文方式發送。

• 封裝安全包頭：為了保證數據的保密性并防止數據被第三方竊取，封裝安全負載（ESP）提供了一種對IP負載進行加密的機制。另外，ESP還可以提供數據驗證和數據完整性服務，因此在IPSEC包中可以用ESP包頭替代AH包頭。

• 用戶管理：在選擇VPN技術時，一定要考慮到管理上的要求。一些大型網絡都需要把每個用戶的目錄信息存放在一臺中央數據存儲設備中（目錄服務），便于管理人員和應用程序對信息進行添加、修改和查詢。每一臺接入或隧道服務器都應當能夠維護自己的內部數據庫，存儲每一個用戶的信息，包括用戶名、口令、以及撥號接入的屬性等。但是，這種由多臺服務器維護多個用戶賬號的做法難以實現及時的更新，給管理帶來很大的困難。因此，大多數的管理人員采用在目錄服務器、主域控制器或RADIUS服務器上建立一個主賬號數據庫的方法，進行有效管理。

• RAS支持：Microsoft的遠程接入服務器（RAS）使用域控制器或RADIUS服務器存儲每名用戶的信息。因為管理員可以在單獨的數據庫中管理用戶信息中的撥號許可信息，所以使用一臺域控制器能夠簡化系統管理。Microsoft的RAS最初被用做撥號用戶的接入服務器。現在，RAS可以作為PPTP和L2TP協議的隧道服務器（NT5將支持L2TP）。這些第二層的VPN方案繼承了已有的撥號網絡全部的管理基礎。

• 擴展性：通過使用循環DNS在同屬一個安全地帶（Security Perimeter）的VPN隧道服務器之間進行請求分配，可以實現冗余和負荷平衡。一個安全地帶只具有一個對外域名，但擁有多個IP地址，負荷可以在所有的IP地址之間進行任意的分配。所有的服務器可以使用一個共享數據庫，如NT域控制器驗證訪問請求。

• RADIUS：遠程驗證用戶撥入服務（RADIUS）協議是管理遠程用戶驗證和授權的常用方法。RADIUS是一種基于UDP協議的超輕便協議。RADIUS服務器可以被放置在Internet網絡的任何地方為客戶NAS提供驗證（包括PPP、CHAP、MSCHAP和EAP）。另外，RADIUS服務器可以提供代理服務將驗證請求轉發到遠端的RADIUS服務器。例如ISP之間相互合作，通過使用RADIUS代理服務可以實現漫游用戶在世界各地使用本地ISP提供的撥號服務連接Internet和VPN。如果ISP發現用戶名不是本地注冊用戶，就會使用RADIUS代理將接入請求轉發給用戶的注冊網絡。這樣企業在掌握授權權利的前提下，有效地使用ISP的網絡基礎設施，使企業的網絡費用開支實現最小化。

• 計費、審計和報警：為了有效的管理VPN系統，網絡管理人員應當能夠隨時跟蹤和掌握以下情況：系統的使用者、連接數目、異常活動、出錯情況以及其他可能預示出現設備故障或網絡受到攻擊的現象。日志記錄和實時信息對計費、審計和報警或其他錯誤提示具有很大幫助。例如，網絡管理人員為了編制賬單數據需要知道何人在使用系統，以及使用了多長時間。異常活動可能預示著存在對系統的不正確使用或系統資源出現不足，對設備進行實時的監測可以在系統出現問題時及時向管理員發出警告。一臺隧道服務器應當能夠提供以上所有信息，以及對數據進行正確處理所需要的事件日志、報告和數據存儲設備。

回答所涉及的環境：聯想天逸510S、Windows 10。