VPN技术(IPsec/L2TP/SSLVPN/PPTP)学习笔记
yuyutoo 2024-10-11 23:58 1 浏览 0 评论
常见的VPN技术
- IPsec VPN: 多机房互联(即一般在GW与GW之间建立隧道)
- L2TP/IPsec VPN: 支持多隧道,配置IPsec使用
- PPTP VPN: 只能两端点间建立单一隧道,可选配合IPsec使用
- SSL VPN: 数据私密性、端点验证、信息完整性,自协议:握手协议、记录协议
SSL VPN
SSL VPN是无需安装客户端软件,通过远程建立的SSL隧道访问内部服务器的代理技术,并对服务器内容提供基于用户认证、远程站点检查的资源访问控制。
SSL VPN现已成为远程访问VPN的新宠。除了具备与IPsec VPN相当的安全性外,认证功能更强,还增加了基于内容的访问控制机制。客户端只需要拥有支持SSL的浏览器即可
SSL VPN由于处在TCP层,所以可以进行丰富的业务控制,如行为审计,可以记录每名用户的所有操作,为更好地管理VPN提供了有效统计数据。
当使用者退出SSL VPN登陆页面时,所有会话会全部释放。
SSLVPN的技术分为以下四种
- Web代理(proxying)
- 应用转换(application translation)
- 端口转发(port forwarding)
- 网络扩展(network extension)
每种技术支持的应用与控制粒度会有所不同。
Web代理(proxying)
来自客户端的发往SSL VPN Server得页面请求在VPN Server内部替换,发往VPN后面的真正Web服务器,然后再将Web服务器的响应回传给终端用户.
WEB代理是最为简单的应用,也是控制粒度最细的SSL VPN应用,可以精确地控制每个链接。
应用转换(application translation)
有些通过HTML、Java程序,有些通过HTTPS页面中的客户端下载实现
- 对于非Web页面的文件访问,要借助于应用转换。
- 在浏览器中用HTML或JAVA来实现模拟客户端程序。通过SSL VPN的协议连接器,访问指定资源。
- 应用:文件共享、telnet、ssh、远程桌面、ftp。
端口转发(port forwarding)
端口映射是粒度仅次于WEB代理的应用,它通过TCP端口映射的方式(原理上类似于NAT内部服务器应用),为使用者提供远程接入TCP的服务,它需要专门的、与服务器配套的SSL VPN客户端程序帮忙(在页面中一般提供下载方式)或是通过HTML代码实现。
- 端口转发用于端口定义明确的应用(如FTP,SSH等)。
- 终端系统上运行一个非常小的Java或ActiveX程序作为端口转发器,监听某个端口上的连接。当数据包进入 这个端口时,它们通过SSL连接中的隧道被传送到SSL VPN网关,SSL VPN网关解开封装的数据包,将它们转发给目的应用服务器。
- 使用端口转发器,需要终端用户指向他希望运行的本地应用程序(127.0.0.1),而不必指向真正的应用服务器。
网络扩展(network extension)
网络扩展是SSL VPN中粒度最粗的服务,但也是使用最广泛的,它实现了类似于L2TP的特性,所有客户端都可以从服务器获得一个VPN地址,然后直接访问内部服务器,它也需要专门的SSL VPN客户端程序帮忙.
- 远程端点可以具有完全的网络连接,并动态获取内部地址。
- 在用法上和IPsec等同。
- 需要插件和网络驱动的支持。
- 优点:适应性好,所有的IP应用都可以。
- 缺点:控制的粒度太粗,跟IPsec非常相似。
L2TP/IPsec VPN
实际上是,终端与接入服务器之间先建立IPsec隧道,然后再进行L2TP协商(UDP端口1701)。依靠Internet协议安全性(IPsec)技术提供加密服务,在建立的IPsec加密通道上承载L2TP的控制和数据协商并传输通过L2TP封装的用户报文。 L2TP与IPsec的结合产物称为L2TP/IPsec。VPN客户端与VPN服务器都必须支持L2TP和IPsec。L2TP将随同路由与远程访问服务一道自动进行安装。
在IPsec数据包基础上所进行的L2TP封装由两个层次组成:
- L2TP封装:PPP帧(IP或IPX数据包)将通过L2TP报头和UDP报头进行封装。
- IPsec封装:上述封装后所得到的L2TP报文将通过IPsec封装安全性有效载荷(ESP)报头、用以提供消息完整性与身份验证的IPsec身份验证报尾以及IP报头再次进行封装。IP报头中将提供与VPN客户端和VPN服务器相对应的源IP地址和目标IP地址。IPsec加密机制将通过由IPsec身份验证过程所生成的加密密钥对L2TP报文进行加密。
L2TP控制报文封装格式:(UDP 1701)
若经过IPsec NAT穿越,则在外层IP与ESP Header之间再增加一个UDP头(端口为4500)
L2TP数据报文封装(UDP 1701):
若经过IPsec NAT穿越,则在外层IP与ESP Header之间再增加一个UDP头(端口为4500)
L2TP/IPsec Tunnel的不足之处:
- 使用Windows终端(Win10/Win8等),进行L2TP/IPsec第一次拨号时,必须先添加如下注册表项,否则无法顺利接入
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent]
"AssumeUDPEncapsulationContextOnSendRule"=dword:00000002
2. L2TP/IPsec接入时,无法自动下发路由信息,终端用户必须手动添加路由才能访问Server提供的子网访问路劲
3. L2TP/IPsec配置复杂,且性能很低下,大多不会采用这个隧道方式
PPTP VPN
PPTP(Point to Point Tunneling Protocol),即点对点隧道协议。该协议是在PPP协议的基础上开发的一种新的增强型安全协议,支持多协议虚拟专用网,可以通过密码验证协议,可扩展认证协议等方法增强安全性。远程用户可以通过ISP、直接连接Internet或者其他网络安全地访问企业网;
PPTP实现需要完成2个动作:协商PPTP/GRE隧道和协商建立PPTP虚拟链路,PPTP和FTP类似,是一种多通道协议,具体而言,即PPTP存在控制通道和数据通道。控制通道建立在PPTP客户端和服务器之间,PPTP客户机使用动态分配的TCP端口号,而PPTP则使用保留TCP端口号1723。控制通道用于PPTP隧道的协商和维护。PPTP控制通道协商数据包包括一个IP包头,一个TCP报头和PPTP控制消息:
PPTP控制报文格式:
PPTP数据报文封装:
由MS-CHAP、MS-CHAP v2或EAP-TLS身份验证过程所生成的加密密钥对PPP帧进行加密
PPTP控制连接的建立流程分析
PPTP控制连接建立过程可以分为以下几步:
- 建立TCP连接
- PPTP控制连接和GRE隧道建立
3. PPP协议的LCP协商
4. PPP协议的身份验证
5. PPP协议的NCP协商
NCP协议是PPP协议的网络控制协议,主要用来协商双方网络层接口参数,配置虚拟端口,分配IP,DNS等信息。图中的IPCP是NCP基于TCP/IP的接口协商协议。Server和Client都要把自己的Miniport信息发送给对方
6. PPP协议的CCP协商
CCP协议协商PPP通讯中数据加密的协议
L2TP和PPTP区别:
- L2TP:公有协议、UDP1701、支持隧道验证,支持多个协议,多个隧道,压缩字节
- PPTP:私有协议、TCP1723、不支持隧道验证,只支持IP、只支持点到点
PPTP只能在两端间建立单一隧道,L2TP支持在两端点间使用多隧道,这样可以针对不同的用户创建不同的服务质量
L2TP可以提供隧道验证机制,而PPTP不能提供这样的机制,但当L2TP或PPTP与IPsec共同使用时,可以由IPsec提供隧道验证,不需要在第二层协议上提供隧道验证机制
PPTP要求互联网络为IP网络,而L2TP只要求隧道媒介提供面向数据包的点对点连接,L2TP可以在IP(使用UDP),FR,ATM,x.25网络上使用
L2TP可以提供包头压缩。当压缩包头时,系统开销(overhead)占用4个字节,而PPTP协议下要占用6个字节
IPsec VPN
IPsec协议的设计目标:是在IPV4和IPV6环境中为网络层流量提供灵活的安全服务。
IPsec VPN:是基于IPsec协议族构建的在IP层实现的安全虚拟专用网。通过在数据包中插入一个预定义头部的方式,来保障OSI上层协议数据的安全,主要用于保护TCP、UDP、ICMP和隧道的IP数据包。
相关推荐
- jQuery VS AngularJS 你更钟爱哪个?
-
在这一次的Web开发教程中,我会尽力解答有关于jQuery和AngularJS的两个非常常见的问题,即jQuery和AngularJS之间的区别是什么?也就是说jQueryVSAngularJS?...
- Jquery实时校验,指定长度的「负小数」,小数位未满末尾补0
-
在可以输入【负小数】的输入框获取到焦点时,移除千位分隔符,在输入数据时,实时校验输入内容是否正确,失去焦点后,添加千位分隔符格式化数字。同时小数位未满时末尾补0。HTML代码...
- 如何在pbootCMS前台调用自定义表单?pbootCMS自定义调用代码示例
-
要在pbootCMS前台调用自定义表单,您需要在后台创建表单并为其添加字段,然后在前台模板文件中添加相关代码,如提交按钮和表单验证代码。您还可以自定义表单数据的存储位置、添加文件上传字段、日期选择器、...
- 编程技巧:Jquery实时验证,指定长度的「负小数」
-
为了保障【负小数】的正确性,做成了通过Jquery,在用户端,实时验证指定长度的【负小数】的方法。HTML代码<inputtype="text"class="forc...
- 一篇文章带你用jquery mobile设计颜色拾取器
-
【一、项目背景】现实生活中,我们经常会遇到配色的问题,这个时候去百度一下RGB表。而RGB表只提供相对于的颜色的RGB值而没有可以验证的模块。我们可以通过jquerymobile去设计颜色的拾取器...
- 编程技巧:Jquery实时验证,指定长度的「正小数」
-
为了保障【正小数】的正确性,做成了通过Jquery,在用户端,实时验证指定长度的【正小数】的方法。HTML做成方法<inputtype="text"class="fo...
- jquery.validate检查数组全部验证
-
问题:html中有多个name[],每个参数都要进行验证是否为空,这个时候直接用required:true话,不能全部验证,只要这个数组中有一个有值就可以通过的。解决方法使用addmethod...
- Vue进阶(幺叁肆):npm查看包版本信息
-
第一种方式npmviewjqueryversions这种方式可以查看npm服务器上所有的...
- layui中使用lay-verify进行条件校验
-
一、layui的校验很简单,主要有以下步骤:1.在form表单内加上class="layui-form"2.在提交按钮上加上lay-submit3.在想要校验的标签,加上lay-...
- jQuery是什么?如何使用? jquery是什么功能组件
-
jQuery于2006年1月由JohnResig在BarCampNYC首次发布。它目前由TimmyWilson领导,并由一组开发人员维护。jQuery是一个JavaScript库,它简化了客户...
- django框架的表单form的理解和用法-9
-
表单呈现...
- jquery对上传文件的检测判断 jquery实现文件上传
-
总体思路:在前端使用jquery对上传文件做部分初步的判断,验证通过的文件利用ajaxFileUpload上传到服务器端,并将文件的存储路径保存到数据库。<asp:FileUploadI...
- Nodejs之MEAN栈开发(四)-- form验证及图片上传
-
这一节增加推荐图书的提交和删除功能,来学习node的form提交以及node的图片上传功能。开始之前需要源码同学可以先在git上fork:https://github.com/stoneniqiu/R...
- 大数据开发基础之JAVA jquery 大数据java实战
-
上一篇我们讲解了JAVAscript的基础知识、特点及基本语法以及组成及基本用途,本期就给大家带来了JAVAweb的第二个知识点jquery,大数据开发基础之JAVAjquery,这是本篇文章的主要...
- 推荐四个开源的jQuery可视化表单设计器
-
jquery开源在线表单拖拉设计器formBuilder(推荐)jQueryformBuilder是一个开源的WEB在线html表单设计器,开发人员可以通过拖拉实现一个可视化的表单。支持表单常用控件...
你 发表评论:
欢迎- 一周热门
- 最近发表
- 标签列表
-
- mybatis plus (70)
- scheduledtask (71)
- css滚动条 (60)
- java学生成绩管理系统 (59)
- 结构体数组 (69)
- databasemetadata (64)
- javastatic (68)
- jsp实用教程 (53)
- fontawesome (57)
- widget开发 (57)
- vb net教程 (62)
- hibernate 教程 (63)
- case语句 (57)
- svn连接 (74)
- directoryindex (69)
- session timeout (58)
- textbox换行 (67)
- extension_dir (64)
- linearlayout (58)
- vba高级教程 (75)
- iframe用法 (58)
- sqlparameter (59)
- trim函数 (59)
- flex布局 (63)
- contextloaderlistener (56)