下载掌阅APP,畅读海量书库
立即打开
通常一个技术的出现是由于某种开发需求,在VPN(虚拟专用网络)技术出现之前,不同办公场所互联往往需要投入较大成本用于租赁专用线路。VPN被定义为通过一个公共网络(通常是指Internet)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。
难度:★
VPN通过在现有的Internet中构建专用的虚拟网络,可以实现总部和分部的通信,解决了安全通信的问题。
VPN技术为用户带来了诸多好处,降低了设备、通信等成本。目前,国内与网络相关的市场增长速度很快,随着国内网络带宽的逐渐改善,具备很多优点的VPN在国内也会展开如火如荼的落地应用。
在VPN没有出现之前,企业总部和分部之间通常采用Internet进行通信,但是这样缺乏安全性,通信内容有可能会被窃取。VPN通过在现有的Internet中构建专用的虚拟网络,可以实现总部和分部的通信,解决了安全通信的问题,如图2-1所示。
图2-1 VPN安全通信示意图
这样一来,无论是分部还是在外出差的员工,都可以在这个虚拟专用网络中传输数据,实现在Internet中进行安全、可靠的连接。
与传统的广域网相比,VPN可以减少企业的运营成本和连接成本,在公用网络上建立专用网络进行加密通信,其特点如图2-2所示。
VPN技术在企业网络中有着广泛的应用,结合多种技术保证了传输内容的完整性和机密性。
在用户相互通信的过程中,VPN会保护主机发送明文信息到其他VPN设备。然后根据网络管理员设置的规则,确定是对数据进行加密还是直接传输。之后会对需要加密的数据加上新的数据报头重新封装。封装后的数据包会通过隧道在公共网络上传输。数据包到达目的VPN设备后将其解封,核对数字签名无误后,对数据包解密。
图2-2 VPN的特点
对于VPN的工作流程,可以进行以下简单的总结,具体如图2-3所示。
图2-3 VPN的工作流程
一个优质的VPN可以提供便捷的用户体验。为了更好地为用户服务,VPN主要采用了隧道技术、加密解密技术、密钥管理技术和身份认证技术。其中隧道技术(Tunnelling)是VPN的核心技术。
使用隧道技术可以传递不同协议的数据包,被封装的数据包在网络上传递时所经过的逻辑路径就是隧道。在VPN的连接过程中可以根据需要创建不同类型的VPN隧道。
密钥管理技术指的是自密钥产生到密钥销毁的过程,其中包括密钥的生成、存储、分配等。限制密钥的长度和其使用时间是保证密钥安全的基础。
身份认证技术是为确认用户身份而产生的一种技术,是信息安全技术的重要组成部分。用户在访问之前,首先要通过身份认证系统进行身份信息校验,通过后方可访问。常用的身份认证方式有用户名密码认证、智能卡认证、动态口令认证、生物特征认证和数字证书认证等。
在网络中,身份认证可以确认操作者的身份,是一种有效地保证信息安全传输的技术。
为了重要的数据可以安全地在公共网络中传输,VPN采用了加解密技术,通过这种技术可以对密钥进行管理。加解密技术主要采用了对称加密算法、非对称加密算法和完整性算法三种算法。
下面通过示例说明对称加密算法。某次战争时期红方3军团与红方5军团要使用电报进行情报交流,但不能被其他人知道,电报需要以密文形式发送,双方会进行如图2-4所示的几个步骤。
图2-4 对称加密算法示例
这里的对称加密算法中加密和解密使用同一个密钥(对称密钥),而非对称加密算法双方加密和解密用的不是同一把钥匙,需要两把密钥,即公钥和私钥。
完整性算法用于保障数据在传输过程中的完整性,防止非授权方对数据进行更改,比如篡改、插入和删除等操作。
VPN能够让移动用户、远程用户、商务合作伙伴和其他人利用本地可用的高速宽带网连接到企业网络,从而不再受地域的限制。
VPN最常用的一种情况就是远程访问互联网。让在不同地方的各个下级子公司或合作单位通过公共网络与公司总部的网络连接,这些分布在不同地方离散的子网连接到一起,就好似一张覆盖范围更广的专用网络,如图2-5所示。
图2-5 远程互联
这种方式对在外出差的员工也比较友好,员工只要在有Internet的地方都可以通过接入VPN访问内网资源。
除了进行远程访问,也可以将两个局域网联系在一起。在这种工作模式下,整个远程网络可以加入到一个不同的公司网络,以形成一个扩展的企业内部网,如图2-6所示。
图2-6 局域网互联
这种方式既能满足企业和部门所需的局域网,为日常事务处理带来了便利,还可以解决有些企业不同部门之间,局域网的相互独立导致未实现真正意义上信息共享的问题,通过局域网互联,可以实现真正的信息共享,使沟通更加便捷。