【簡介】作為一個小白,看着别人建VPN時滑鼠點的飛快,卻不明是以然,那麼就要學習一下VPN是怎麼構成的,建VPN需要哪些參數。
VPN 種類
常用的VPN有IPsec VPN、SSL VPN、PPTP VPN和L2TP VPN等。
【VPN】英文全稱 “Virtual Private Network”,中文翻譯過來就是“虛拟專用網絡”。我們可以把它了解成是虛拟出來的企業内部專線。它可以通過特殊的加密通訊協定将連接配接在Internet上的位于不同地方的兩個或多個企業内部網之間建立一條專有的通訊線路,就好比是架設了一條專線一樣,但是它并不需要真正的去鋪設光纜之類的實體線路。
【IPS VPN】指采用IPSec(Internet Protocol Security)協定來實作遠端接入的一種VPN技術。IPSec協定是由Internet Engineering Task Force (IETF) 定義的安全标準架構,用以提供公用和專用網絡的端對端加密和驗證服務。
【SSL VPN】指采用SSL (Security Socket Layer)協定來實作遠端接入的一種VPN技術。SSL協定是網景公司提出的基于WEB應用的安全協定,它包括:伺服器認證、客戶認證(可選)、SSL鍊路上的資料完整性和SSL鍊路上的資料保密性。對于内、外部應用來說,使用SSL可保證資訊的真實性、完整性和保密性。
【PPTP VPN】PPTP(Point to Point Tunneling Protocol),即點對點隧道協定。該協定是在PPP協定的基礎上開發的一種新的增強型安全協定,支援多協定虛拟專用網(VPN),可以通過密碼驗證協定(PAP)、可擴充認證協定(EAP)等方法增強安全性。可以使遠端使用者通過撥入ISP、通過直接連接配接Internet或其他網絡安全地通路企業網。
【L2TP VPN】L2TP是一種工業标準的Internet隧道協定,功能大緻和PPTP協定類似,比如同樣可以對網絡資料流進行加密。不過也有不同之處,比如PPTP要求網絡為IP網絡,L2TP要求面向資料包的點對點連接配接;PPTP使用單一隧道,L2TP使用多隧道;L2TP提供標頭壓縮、隧道驗證,而PPTP不支援。
IPsec VPN 與 SSL VPN 的差別
IPsec VPN與SSL VPN技術各具特色,各有千秋。SSL VPN比較适合用于移動使用者的遠端接入(Client-Site),而IPSec VPN則在網對網(Site-Site)的VPN連接配接中具備先天優勢。這兩種産品将在VPN市場上長期共存,優勢互補。在産品的表現形式上,兩者有以下幾大差異:
1、IPsec VPN多用于“網—網”連接配接,SSL VPN用于“移動客戶—網”連接配接。SSL VPN的移動使用者使用标準的浏覽器,無需安裝用戶端程式,即可通過SSL VPN隧道接入内部網絡;而IPSec VPN的移動使用者需要安裝專門的IPSec用戶端軟體。
2、SSL VPN是基于應用層的VPN,而IPsec VPN是基于網絡層的VPN。IPsec VPN對所有的IP應用均透明;而SSL VPN保護基于Web的應用更有優勢,當然好的産品也支援TCP/UDP的C/S應用,例如檔案共享、網絡鄰居、Ftp、Telnet、Oracle等。
3、SSL VPN使用者不受上網方式限制,SSL VPN隧道可以穿透Firewall;而IPSec用戶端需要支援“NAT穿透”功能才能穿透Firewall,而且需要Firewall打開UDP500端口。
4、SSL VPN隻需要維護中心節點的網關裝置,用戶端免維護,降低了部署和支援費用。而IPSec VPN需要管理通訊的每個節點,網管專業性較強。
5、SSL VPN 更容易提供細粒度通路控制,可以對使用者的權限、資源、服務、檔案進行更加細緻的控制,與第三方認證系統(如:radius、AD等)結合更加便捷。而IPSec VPN主要基于IP組對使用者進行通路控制。
VPN 連接配接
VPN的連接配接有兩種,一種是裝置與裝置的連接配接,一種是用戶端與裝置的連接配接。
飛塔有專門的VPN用戶端軟體,名叫FortiClient,可以分别用SSL與IPsec兩種方式接入飛塔防火牆。
另外飛塔防火牆也允許PPTP與L2TP兩種VPN的接入,用戶端可以是Windows系統,也可以是其它可以用使這兩種VPN的用戶端,比如手機。
如果要在飛塔防火牆與飛塔防火牆之間建立VPN連接配接,隻能使用IPsec VPN。
IPsec VPN 模式
防火牆與防火牆之間隻能用IPsec VPN連接配接,連接配接方式分為接口模式和隧道模式。也有人叫路由模式和政策模式。
飛塔防火牆預設IPsec為接口模式,利用模闆向導生成的IPsec VPN,具有以下内容:
① 接口模式下,生成IPsec隧道。
② 接口模式下,生成一條靜态路由。
③ 接口模式下,生成兩條政策,一條進隧道,一條出隧道。
④ 接口模式下,生成一個虛拟通道接口。
⑤ 隧道模式就比較簡單了,生成IPsec隧道。
⑥ 隧道模下,隻有一條出去的政策,沒有進來的政策和路由,沒有虛拟通道接口。
【提示】接口模式可以控制出入IPsec隧道的資訊,比隧道模式可控細粒度更高,建議用接口模式。
IPsec 隧道
要建立IPsec VPN,首先需要建立IPsec隧道。建立IPsec隧道分為二個階段。階段1需要知道對方提供三個連接配接參數,階段2需要知道對方提供的二個連接配接參數。
當我們打某機關電話找人的時候,通常是這樣的:首先撥打對方機關電話(建立連接配接),聽到提示音後撥分機号碼(建立隧道),開始通話。IPsec VPN也象打電話一樣,分為二個階段,階段1建立連接配接,階段2建立隧道。
① 在階段1建立連接配接中,需要知道對方的網關位址或域名。
② 在階段1建立連接配接中,需要知道預共享密鑰,對方的防火牆也要設定同樣的預共享密鑰,這個密鑰是雙方約定的。
③ 在階段1建立連接配接中,需要知道加密與認證,兩邊的防火牆要相同,這也是雙方約定的。
④ 經過第1階段建立連接配接,進入第2階段建立隧道,需要知道允許通路對方的哪個内網位址段,如果位址段多的話,可以建立多條隧道。
⑤ 在階段2建立隧道中,需要知道加密與認證,兩邊的防火牆要相同,這也是雙方約定的。如果要建多條隧道,每條隧道的加密與認證都要相同。
飛塔技術 - 老梅子 QQ:57389522