VPN原理VPN,VirtualPrivateNetwork(虚拟专用网络),被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展,它可以帮助异地用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。IETF组织对基于IP的VPN解释为:通过专门的隧道加密技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。早期的专用网一般指的是电信运营商提供的FrameRelay或ATM等虚拟固定线路(PVC)服务的网络,或通过运营商的DDN专线网络构建用户自己的专用网。现在的VPN是在Internet上临时建立的安全专用虚拟网络,用户节省了租用专线的费用,同时除了购买VPN设备或VPN软件产品外,企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用,对于不同地区的客户联系也节省了长途电话费。这就是VPN价格低廉的原因。以OSI模型参照标准,不同的VPN技术可以在不同的OSI协议层实现。如下表:VPN在OSI中的层次VPN实现技术应用层SSLVPN会话层Socks5VPN网络层IPSecVPN数据链路层PPTP及L2TP应用层VPNSSL协议:安全套接字层(SecureSocketLayer,SSL)属于高层安全机制,广泛应用于Web浏览程序和Web服务器程序,提供对等的身份认证和应用数据的加密。在SSL中,身份认证是基于证书的。服务器方向客户方的认证是必须的,而SSL版本3中客户方向服务方的认证只是可选项,但是并没有得到广泛的应用。SSL会话中包含一个握手阶段,在这个阶段通信双方交换证书,生成会话密钥,协商以后通信使用的加密算法。完成了握手以后,对于B/S的应用,应用程序就可以安全地传输数据而无需做很大修改,除了在传输数据时要调用SSLAPI而不是传统的套接字API,但是对于C/S结构的应用软件,其解决方案与会话层的VPN异曲同工。SSL是一个端到端协议,因而是在处于通信通路端点的机器上实现(通常是在客户机和服务器上),而不需要在通信通路的中间节点(如路由器或防火墙)上实现。虽然理论上SSL可以用于保护TCP/IP通信,但事实上SSL的应用几乎只限于HTTP。在SSL通信中,服务器方使用443端口,而客户方的端口是任选的。会话层VPNSocks4协议:Socks处于OSI模型的会话层,在Socks协议中,客户程序通过Socks客户端的1080端口透过防火墙发起连接,建立到Socks服务器的VPN隧道,然后代理应用程序的客户端与应用程序服务器进行通讯。在该框架中,协议能安全透明地穿过防火墙,并客户程序对目的主机是不可见的,从而很好地隐藏了目标主机。SOCKS的关键技术是对客户端应用程序进行Socks化,加入对Socks协议的支持,然后服务器端再解析Socks化的结果。Socks4协议,它为TELNET、FTP、HTTP、WAIS和GOPHER等基于TCP协议(不包括UDP)的客户/服务器程序提供了一个无需认证的防火墙,建立了一个没有加密认证的VPN隧道。Socks5协议:Socks5协议扩展了Socks4,以使其支持UDP、TCP框架规定的安全认证方案、地址解析方案中所规定的IPv4、域名解析和IPv6。为了实现这个Socks协议,通常需要重新编译或者重新链接基于TCP的客户端应用程序以使用Socks库中相应的加密函数,并且增加了对数据传输的完整性、数据包的压缩支持。网络层VPN技术IPSec协议:IPSec也是IETF支持的标准之一,它和前两种不同之处在于它是第三层即IP层的加密IPSec不是某种特殊的加密算法或认证算法,也没有在它的数据结构中指定某种特殊的加密算法或认证算法,它只是一个开放的结构,定义在IP数据包格式中,不同的加密算法都可以利用IPSec定义的体系结构在网络数据传输过程中实施。IPSec协议可以设置成在两种模式下运行:一种是隧道(tunnel)模式,一种是传输(transport)模式。在隧道模式下,IPSec把IPv4数据包封装在安全的IP帧中。传输模式是为了保护端到端的安全性即在这种模式下不会隐藏路由信息。隧道模式是最安全的但会带来较大的系统开销。链路层VPN技术PTP协议:PPTP(点到点隧道协议)是由PPTP论坛开发的...
