《Linux系统安全:纵深防御、安全扫描与入侵检测 》 —3 虚拟专用网络

华章计算机 发表于 2019/11/14 12:13:41 2019/11/14
【摘要】 本节书摘来自华章计算机《Linux系统安全:纵深防御、安全扫描与入侵检测》一书中第3章,第3.1.1节,作者是胥峰。

第3章

虚拟专用网络

虚拟专用网络(Virtual Private Network,VPN)架设在公共共享的互联网基础设施上,在非受信任的网络上建立私有的和安全的连接,把分布在不同地域的信息基础设施、办公场所、用户或者商业伙伴互联起来。

虚拟专用网络使用加密技术为通信提供安全保护,以对抗对通信内容的窃听和主动的攻击。虚拟专用网络在今天被广泛地使用到远程互联中。在虚拟专用网络技术出现之前,不同办公场所互联组建专用私有网络时,企业往往需要投入较大的成本用于租赁专用线路。虚拟专用网络的出发点是建立虚拟的专用链路,在互联网上进行传输并使用加密技术进行通信安全防护。

虚拟专用网络的使用场景如下。

安全互联:把多个分布在不同地域的服务器或者网络安全地连接起来。

指定网络流量路由:把多个点之间的网络流量通过虚拟专用网络的隧道进行连接后,可以使用动态路由等优化内部网络通信。

匿名访问:通过虚拟专用网络通道,可以隐藏客户端的来源IP地址,在某些场景下可以起到保护用户的作用。

本章将首先概要描述目前使用比较多的各种虚拟专用网络构建技术、方案和原理,然后重点讲解使用OpenVPN构建企业级虚拟专用网络的最佳方案,深入研究其中的核心配置参数,最后对OpenVPN的排错思路和方法进行指导。

3.1 常见虚拟专用网络构建技术

目前我们在实践中,经常遇到的虚拟专用网络构建技术,大致上分以下3类:

点到点的隧道协议(Point-to-Point Tunneling Protocol,PPTP)虚拟专用网络

互联网协议安全(Internet Protocol Security,IPSec)虚拟专用网络

安全接口层/安全传输层协议(Secure Sockets Layer/Transport Layer Security,SSL/TLS)虚拟专用网络

3.1.1 PPTP虚拟专用网络的原理

PPTP使用建立于TCP之上的通道来进行控制,使用通用路由封装协议(Generic Routing Encapsulation,GRE)隧道技术来封装点到点协议(Point to Point Protocol,PPP)包。PPTP规范里面没有描述加密和认证的特性,它依赖于底层的PPP协议来实现数据安全的功能。

PPTP的第1个隧道首先通过和对端服务器的TCP 1723端口进行通信来建立。在该TCP连接建立后,再创建第2个隧道GRE来进行数据传输。在RFC 2673中详细描述了PPTP协议的控制和数据通信过程。

在Linux环境中,我们可以使用pptpd进行PPTP虚拟专用网络的架设。


【版权声明】本文为华为云社区用户转载文章,如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件至:cloudbbs@huaweicloud.com进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容。
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。