VPN 基础篇 本章重点 什么是VPN 认识数据加/解密 数据加/解密的类型 散列算法 IPSec Base VPN Linux下的IPSec 架构 本章我们要讨论这方面的议题,只不过这里所要讨论的方向是如何让企业网络的通信变得更安全。 其实,加强通信安全的方法有很多,例如,使用Modem 来拨号连接或是Frame Relay 的应用等,都可以提高网络上数据传递的安全,但就方便、经济及安全性来考虑,笔者认为VPN(Virtual Private Network)是其中最好的选择,但是好一点的商用版 VPN 系统设备少则几十万,如果使用VPN 的人数很多,这些 VPN 的授权费用更是一般中小企业所无法负担的,然而,近年来在 Linux 系统上VPN 技术的发展,已足够与商用版 VPN 系统平起平坐,而且 Linux VPN 系统所能提供的安全性、稳定性及高性能等优点,都是大多数商用VPN 系统所望尘莫及的,当然,另一个更为诱人的原因是它完全免费。 VPN 技术发展至今已有数个年头,且衍生出多种不同的VPN 技术,比方说,PPTP、SSL VPN、CIPE、IPSec 等。而本章所要介绍的是以IPSec 技术为基础的VPN 系统,除了完整介绍 IPSec 的相关技术之外,还包含各种不同网络架构下VPN 系统的配置方式,如果你对 VPN 技术有兴趣或有需求,那么本章的内容你绝对不能错过。 1.1 什么是VPN VPN(Virtual Private Network)的中文意思为“虚拟专用网络”,而 VPN 的功能是将因特网虚拟成企业网络来使用,这样的叙述似乎不是很容易理解,笔者以图 1-1 为例来说明VPN 的功能及使用VPN 的必要性。 (点击查看大图)图1-1 VPN 介绍 (1) 图1-1 中,笔者假设某企业有两个分点,分别为台北总公司及上海分公司,而这两个分部的企业网络都设置有防火墙,且内部网络都是使用Priv ateIP,另外,公司的老板经常会到世界各地出差,所以在这个网络架构下,请你思考一个问题,上海分公司及经常出差的老板是否能够正常访问台北总公司内的File Serv er ?答案当然是“不可能”,因为台北总公司内的File Serv er 是放在NAT 后方的Priv ate IP 区段上,因此上海分公司及出差的老板不可能访问到总公司内的File Serv er,但这样的需求在现实网络应用中却是需要的,难道没有完整的解决方案吗? VPN 正是为了解决此问题而设计出来的技术。在以往,我们为了连接两个远程 Priv ate IP 网段,必须向电信业者申请Frame Relay 的服务,而FrameRelay 感觉就像电信业者帮我们拉...
