2011年11月27日 星期日

初步了解 VPN ( 虛擬私人網路 )

認識虛擬私人網路:
VPN是私人網路在公共網路的延伸,透過公共網路的連線使用VPN,可以用類似點對點通道協定連結的方式來傳送資料。對於使用者來說,就好像使用私人連線來傳送資料。
優點:
可以在全世界快樂、經濟且安全地建立通訊連結,不需專用的私人網路,就能夠設定高層級安全性。
不適用於:
1.當任何價格的效能是主要的考慮因素時。
2.當大多數通訊是同步進行時,如聲音影像。
3.當使用到與TCP/IP不相容的非一般性協定的應用程式時。
運作方式:
VPN中,連線的兩端都連結到Internet。此連線可以採用幾種常用方式,如普通電話線或某種專線等。VPN使用通道協定將資訊封包封裝到一個額外的標頭中發送,取代原始節點所產生的資訊封包,這個標頭將提供路由資訊,使得被封裝的資料能跨越中間的Internet線路。基於隱私權,該資料經過加密,如果資訊封包被攔截,則需要金鑰來解密。
穿隧技術(Tunneling)
穿隧技術是為了將私有數據網路的資料在公眾數據網路上傳輸,所發展出來的一種資料包裝方式(Encapsulation),亦即在公眾網路上建立一條秘密通道。現在穿隧技術所使用的協定主要有:IPSecPPTP L2TP 等三種。
PPTP(Point to Point Tunneling Protocol)
PPTP 協定定義了一個主從式的架構,主要是由PNS (PPTP Network Server)PAC (PPTP Access Concentrator)組成的機制, 乃是透過這個機制來支援VPN的功能。將IPIPXNetBEUI通訊協定封裝在IP封包中,並使用TCP方式來交換加密通道的維護訊息。
L2TP (Layer 2 Tunneling Protocol)
結合Layer-2 Forwarding(L2F)PPTP的協定由IETF所提出的一個資料連結層的加密通訊協定。
PPTP L2TP均為第二層的穿隧技術,適合具有IP/IPX/AppleTalk等多種協定的環境。 IPSecPPTPL2TP三者,最大的不同在於,運用IPSec的技術,使用者可以同時使用 InternetVPN的多點傳輸功能(包括Internet/Intranet/Extranet/Remote Access ),而PPTPL2TP只能執行點對點VPN的功能,無法同時執行Internet的應用,使用時較不方便,而在安全上,IPSec會對整個傳輸資料 做加密,PPTPL2TP則是對封包的再包(Encapsulation),並未對資料做加密處理,安全性較低。
什麼是 IPSec
為第三層的穿隧技術,專門為IP 所設計,不但符合現有IPv4的環境,同時也是IPv6的標準,它也是IEIF所制定的業界標準。
IPSec 是一個密碼編譯型的保護服務及安全性通訊協定套裝。因為不需要變更應用程式或通訊協定,所以可以輕鬆的為現存的網路部署 IPSec
IPSec 可以為使用 L2TP 通訊協定的 VPN 連線提供電腦等級的驗證及資料加密。建立 L2TP 連線前,IPSec 在您的電腦和 L2TP VPN 伺服器間進行信號交換。此信號交換有安全保護的密碼和資料。
加密是由 IPSec「安全性關聯」( SA) 決定。安全性關聯是目的地位址、安全性通訊協定及唯一識別值的組合。可用的加密包括:
使用 56 位元機碼的資料加密標準 (DES)
使用三個 56 位元機碼的三重 DES (3DES),其是設計給高安全性環境使用的。

什麼是NAT
基本上它是在 router 中進行一個偷換 IP header 的動作,以便讓多台電腦能共用一個 IP 連上 Internet 的技術。

NAT的優點:
1.由於對外只使用一個 IP address,因此內部使用的 IP 可重覆地在不同單位使用。
2.只要少數 public address 就能讓單位內所有電腦都連上 Internet
3.只有使用 public address 的電腦會被單位外部網路所存取, 使用 private address 的電腦不會直接被存取, 有安全上的好處。
NAT的缺點:
1.通訊協定資料中如含有其 IP address者將無法使用。
(一般的NAT實作會修改出現在 FTP ICMP 通訊協定資料中的 IP address, 但其它協定就不管了)
2. IP address 作為安全檢查的方式將不可行。
什麼是RADIUS
RADIUSRemote Authentication Dial In User Service的縮寫。RADIUS是一個AAA協定,意思就是同時兼顧驗證(authentication)authorizationaccounting三種服務的協定(protocol)EXNAS收到用戶連接請求,它會將它們傳遞到指定的RADIUS伺服器,後者對用戶進行驗證,並將用戶的配置資訊返回給NAS。然後,NAS接受或拒絕連接請求。
什麼是NAS
NAS 又稱為網路磁碟機。

沒有留言:

張貼留言