《Linux系统安全:纵深防御、安全扫描与入侵检测 》 —3.1.3 SSL/TLS虚拟专用网络的原理

华章计算机 发表于 2019/11/14 12:15:48 2019/11/14
【摘要】 本节书摘来自华章计算机《Linux系统安全:纵深防御、安全扫描与入侵检测》一书中第3章,第3.1.3节,作者是胥峰。

3.1.3 SSL/TLS虚拟专用网络的原理

SSL/TLS虚拟专用网络的工作过程如下。

认证过程:在SSL/TLS的握手过程中,客户端和服务器端分别使用对方的证书来进行认证。

加密过程:在SSL/TLS的握手过程中,客户端和服务器端使用非对称算法计算出对称密钥进行数据加密。

SSL/TLS虚拟专用网络主要使用了以下的虚拟设备。

tun/tap设备:Linux中提供了两种虚拟网络设备tun/tap设备。通过对这两种设备的读写操作,实现内核与用户态程序的交互。

在Linux环境中,SSL/TLS虚拟专用网络的典型代表是OpenVPN(OpenVPN项目的官方网站是https://openvpn.net)。

对于3.1.1节、3.1.2节和本节中讲到的3种虚拟专用网络技术来说,其各有特点。总的来说:

PPTP需要建立两个隧道进行通信,控制和数据传输分离,其中传输数据使用GRE。在同一个局域网里面的多个内网主机需要建立多条GRE通道连接到同一台虚拟专用网络服务器时,需要在防火墙或者网络地址转换设备上进行特殊设置,以增加对Call ID的支持,否则会导致隧道建立失败。

IPSec虚拟专用网络是一个成熟的方案,但其配置较复杂,学习成本较高。IPSec虚拟专用网络在商业硬件设备上实现得较多。

SSL/TLS虚拟专用网络工作在用户态,不需要对内核做特殊的修改,可移植性较高;且配置简单,学习成本低。接下来的章节将重点介绍该开源虚拟专用网络软件的最佳配置。


【版权声明】本文为华为云社区用户转载文章,如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件至:cloudbbs@huaweicloud.com进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容。
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。