基于SSL VPN系統(tǒng)架構(gòu)網(wǎng)絡(luò)的應(yīng)用
摘要:本文對實(shí)現(xiàn)VPN(Virtual Private Network)的幾種技術(shù)做了介紹,比較詳細(xì)地對IPSec VPN和SSL VPN進(jìn)行比較,從應(yīng)用、安全角度等考慮如何選擇合適的VPN技術(shù),并且結(jié)合天津電力的應(yīng)用和安全需求,介紹了S
et的一個(gè)隧道, 并使用IP-IN-IP封裝通過隧道轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)。其基本原理如圖1所示,為了確保保密性?內(nèi)層數(shù)據(jù)經(jīng)過加密。如圖一所示,VPN授權(quán)主機(jī)A發(fā)給主機(jī)B的整個(gè)內(nèi)層數(shù)據(jù)報(bào),包括首部,在被封裝前進(jìn)行了加密。當(dāng)數(shù)據(jù)報(bào)通過隧道到達(dá)VPN服務(wù)器時(shí), VPN服務(wù)器將數(shù)據(jù)區(qū)解密, 還原出內(nèi)層數(shù)據(jù)報(bào), 然后轉(zhuǎn)發(fā)該數(shù)據(jù)報(bào)給B主機(jī)。它們之間的數(shù)據(jù)傳輸過程是透明的。A要發(fā)送的原始信息包的目的地址就是B, 用戶并無覺察數(shù)據(jù)經(jīng)過打包交由VPN服務(wù)器轉(zhuǎn)發(fā)給B, 反之亦然。感覺上A和B之間存在一條虛擬的加密直達(dá)鏈路??傊?VPN通過Internet傳輸數(shù)據(jù), 但對網(wǎng)點(diǎn)間傳輸進(jìn)行加密,以保證保密性。
圖一:VPN原理圖
包含了三個(gè)基本元素:(1)授權(quán):VPN服務(wù)器對遠(yuǎn)程接入終端進(jìn)行授權(quán)接入VPN,(2)加密:遠(yuǎn)程接入終端發(fā)送的數(shù)據(jù)加密后才通過非私有網(wǎng)傳輸;(3)隧道:遠(yuǎn)程接入終端發(fā)送的數(shù)據(jù)經(jīng)過封裝?由VPN服務(wù)器轉(zhuǎn)發(fā)。
三、VPN技術(shù)介紹
IPSec(IP Security) VPN的介紹
IPSec的工作原理(如圖2所示)類似于包過濾防火墻,可以看作是對包過濾防火墻的一種擴(kuò)展。當(dāng)接收到一個(gè)IP數(shù)據(jù)包時(shí),包過濾防火墻使用其頭部在一個(gè)規(guī)則表中進(jìn)行匹配。當(dāng)找到一個(gè)相匹配的規(guī)則時(shí),包過濾防火墻就按照該規(guī)則制定的方法對接收到的IP數(shù)據(jù)包進(jìn)行處理。 這里的處理工作只有兩種:丟棄或轉(zhuǎn)發(fā)。
圖2 IPSec工作原理示意圖
IPSec通過查詢SPD(Security P01icy Database安全策略數(shù)據(jù)庫)決定對接收到的IP數(shù)據(jù)包的處理。但是IPSec不同于包過濾防火墻的是,對IP數(shù)據(jù)包的處理方法除了丟棄,直接轉(zhuǎn)發(fā)(繞過IPSec)外,還有一種,即進(jìn)行IPSec處理。正是這新增添的處理方法提供了比包過濾防火墻更進(jìn)一步的網(wǎng)絡(luò)安全性?! ?/span>
進(jìn)行IPSec處理意味著對IP數(shù)據(jù)包進(jìn)行加密和認(rèn)證。包過濾防火墻只能控制來自或去往某個(gè)站點(diǎn)的IP數(shù)據(jù)包的通過,可以拒絕來自某個(gè)外部站點(diǎn)的IP數(shù)據(jù)包訪問內(nèi)部某些站點(diǎn),.也可以拒絕某個(gè)內(nèi)部站點(diǎn)方對某些外部網(wǎng)站的訪問。但是包過濾防火墻不能保證自內(nèi)部網(wǎng)絡(luò)出去的數(shù)據(jù)包不被截取,也不能保證進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包未經(jīng)過篡改。只有在對IP數(shù)據(jù)包實(shí)施了加密和認(rèn)證后,才能保證在外部網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包的機(jī)密性,真實(shí)性,完整性,通過Internet進(jìn)新安全的通信才成為可能。
IPSec既可以只對IP數(shù)據(jù)包進(jìn)行加密,或只進(jìn)行認(rèn)證,也可以同時(shí)實(shí)施二者。但無論是進(jìn)行加密還是進(jìn)行認(rèn)證,IPSec都有兩種工作模式,一種是與其前一節(jié)提到的協(xié)議工作方式類似的隧道模式,另一種是傳輸模式。
IPSec VPN可以為公司分支點(diǎn)之間的通訊提供一種簡單的,高性價(jià)比的方法,其高連接性和彈性可以滿足大多數(shù)的

責(zé)任編輯:和碩涵
免責(zé)聲明:本文僅代表作者個(gè)人觀點(diǎn),與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實(shí)相關(guān)內(nèi)容。
我要收藏
個(gè)贊
-
現(xiàn)貨模式下谷電用戶價(jià)值再評估
2020-10-10電力現(xiàn)貨市場,電力交易,電力用戶 -
PPT | 高校綜合能源服務(wù)有哪些解決方案?
2020-10-09綜合能源服務(wù),清潔供熱,多能互補(bǔ) -
深度文章 | “十三五”以來電力消費(fèi)增長原因分析及中長期展望
2020-09-27電力需求,用電量,全社會用電量
-
PPT | 高校綜合能源服務(wù)有哪些解決方案?
2020-10-09綜合能源服務(wù),清潔供熱,多能互補(bǔ) -
深度文章 | “十三五”以來電力消費(fèi)增長原因分析及中長期展望
2020-09-27電力需求,用電量,全社會用電量 -
我國電力改革涉及的電價(jià)問題
-
電化學(xué)儲能應(yīng)用現(xiàn)狀及對策研究
2019-08-14電化學(xué)儲能應(yīng)用 -
《能源監(jiān)測與評價(jià)》——能源系統(tǒng)工程之預(yù)測和規(guī)劃
-
《能源監(jiān)測與評價(jià)》——能源系統(tǒng)工程之基本方法
-
貴州職稱論文發(fā)表選擇泛亞,論文發(fā)表有保障
2019-02-20貴州職稱論文發(fā)表 -
《電力設(shè)備管理》雜志首屆全國電力工業(yè) 特約專家征文
2019-01-05電力設(shè)備管理雜志 -
國內(nèi)首座蜂窩型集束煤倉管理創(chuàng)新與實(shí)踐
-
人力資源和社會保障部:電線電纜制造工國家職業(yè)技能標(biāo)準(zhǔn)
-
人力資源和社會保障部:變壓器互感器制造工國家職業(yè)技能標(biāo)準(zhǔn)
-
《低壓微電網(wǎng)并網(wǎng)一體化裝置技術(shù)規(guī)范》T/CEC 150
2019-01-02低壓微電網(wǎng)技術(shù)規(guī)范
-
現(xiàn)貨模式下谷電用戶價(jià)值再評估
2020-10-10電力現(xiàn)貨市場,電力交易,電力用戶 -
建議收藏 | 中國電價(jià)全景圖
2020-09-16電價(jià),全景圖,電力 -
一張圖讀懂我國銷售電價(jià)附加
2020-03-05銷售電價(jià)附加