《Linux系统安全：纵深防御、安全扫描与入侵检测 》 —3.1.3　SSL/TLS虚拟专用网络的原理

3.1.3　SSL/TLS虚拟专用网络的原理

SSL/TLS虚拟专用网络的工作过程如下。

认证过程：在SSL/TLS的握手过程中，客户端和服务器端分别使用对方的证书来进行认证。

加密过程：在SSL/TLS的握手过程中，客户端和服务器端使用非对称算法计算出对称密钥进行数据加密。

SSL/TLS虚拟专用网络主要使用了以下的虚拟设备。

tun/tap设备：Linux中提供了两种虚拟网络设备tun/tap设备。通过对这两种设备的读写操作，实现内核与用户态程序的交互。

在Linux环境中，SSL/TLS虚拟专用网络的典型代表是OpenVPN（OpenVPN项目的官方网站是https://openvpn.net）。

对于3.1.1节、3.1.2节和本节中讲到的3种虚拟专用网络技术来说，其各有特点。总的来说：

PPTP需要建立两个隧道进行通信，控制和数据传输分离，其中传输数据使用GRE。在同一个局域网里面的多个内网主机需要建立多条GRE通道连接到同一台虚拟专用网络服务器时，需要在防火墙或者网络地址转换设备上进行特殊设置，以增加对Call ID的支持，否则会导致隧道建立失败。

IPSec虚拟专用网络是一个成熟的方案，但其配置较复杂，学习成本较高。IPSec虚拟专用网络在商业硬件设备上实现得较多。

SSL/TLS虚拟专用网络工作在用户态，不需要对内核做特殊的修改，可移植性较高；且配置简单，学习成本低。接下来的章节将重点介绍该开源虚拟专用网络软件的最佳配置。