《Linux系統安全：縱深防御、安全掃描與入侵檢測 》 —3 虛擬專用網絡

第3章

虛擬專用網絡

虛擬專用網絡（Virtual Private Network，VPN）架設在公共共享的互聯網基礎設施上，在非受信任的網絡上建立私有的和安全的連接，把分布在不同地域的信息基礎設施、辦公場所、用戶或者商業伙伴互聯起來。

虛擬專用網絡使用加密技術為通信提供安全保護，以對抗對通信內容的竊聽和主動的攻擊。虛擬專用網絡在今天被廣泛地使用到遠程互聯中。在虛擬專用網絡技術出現之前，不同辦公場所互聯組建專用私有網絡時，企業往往需要投入較大的成本用于租賃專用線路。虛擬專用網絡的出發點是建立虛擬的專用鏈路，在互聯網上進行傳輸并使用加密技術進行通信安全防護。

虛擬專用網絡的使用場景如下。

安全互聯：把多個分布在不同地域的服務器或者網絡安全地連接起來。

指定網絡流量路由：把多個點之間的網絡流量通過虛擬專用網絡的隧道進行連接后，可以使用動態路由等優化內部網絡通信。

匿名訪問：通過虛擬專用網絡通道，可以隱藏客戶端的來源IP地址，在某些場景下可以起到保護用戶的作用。

本章將首先概要描述目前使用比較多的各種虛擬專用網絡構建技術、方案和原理，然后重點講解使用OpenVPN構建企業級虛擬專用網絡的最佳方案，深入研究其中的核心配置參數，最后對OpenVPN的排錯思路和方法進行指導。

3.1　常見虛擬專用網絡構建技術

目前我們在實踐中，經常遇到的虛擬專用網絡構建技術，大致上分以下3類：

點到點的隧道協議（Point-to-Point Tunneling Protocol，PPTP）虛擬專用網絡

互聯網協議安全（Internet Protocol Security，IPSec）虛擬專用網絡

安全接口層/安全傳輸層協議（Secure Sockets Layer/Transport Layer Security，SSL/TLS）虛擬專用網絡

3.1.1　PPTP虛擬專用網絡的原理

PPTP使用建立于TCP之上的通道來進行控制，使用通用路由封裝協議（Generic Routing Encapsulation，GRE）隧道技術來封裝點到點協議（Point to Point Protocol，PPP）包。PPTP規范里面沒有描述加密和認證的特性，它依賴于底層的PPP協議來實現數據安全的功能。

PPTP的第1個隧道首先通過和對端服務器的TCP 1723端口進行通信來建立。在該TCP連接建立后，再創建第2個隧道GRE來進行數據傳輸。在RFC 2673中詳細描述了PPTP協議的控制和數據通信過程。

在linux環境中，我們可以使用pptpd進行PPTP虛擬專用網絡的架設。

虛擬專用網絡 VPN 虛擬化 網絡

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。