1虚拟专用网(VPN)是公共网络或其他不安全环境中的安全专用连接。因为采用加密和隧道协议来确保数据在传输中的机密性与完整性,所以它是专用的连接。必须记住的是,VPN技术需要隧道才能运作,同时还会进行加密。我们需要VPN是因为在系统与系统之间和网络与网络之间传递太多的机密信息。这些信息可能是凭证、银行账户数据、社会保障号、医疗信息或者其他我们不想让别人知道的数据。近年来,我们的网络变得越来越复杂,保护数据传输过程安全的需求在增加,对VPN解决方案的需求也在增加。2点对点隧道协议(Point-To-PointTunnelingProtocol,PPTP)成为事实上的标准VPN软件,自从Microsoft把它用于Windows产品中时,它就成为最受欢迎的软件。由于多数互联网通信开始都是通过电信链接进行的,因此业内需要一个方法来保证PPP连接的安全。PPTP的最初目的是提供一个用IP网络隧道连接PPP的方法,但是现在多数实现中也都包括了安全功能,因为提供保护成为网络传输中的一个重要要求。PPTP使用通用路由封装(GenericRoutingEncapsulation,GRE)和TCP来封装PPP数据包,并通过IP网络延伸PPP连接。如图4-70所示。在Microsoft的实现中,隧道传输的PPP流量可以用PAP、CHAP、MS-CHAP或者EAP-TLS进行身份验证,PPP有效载荷用Microsoft的点对点加密(MicrosoftPoint-to-PointEncryption,MPPE)进行加密。其他供货商也已经把PPTP功能集成入他们的产品中以达到互操作的目的。3后来开发的另外一个VPN解决方案把PPTP和Cisco的第二层转发(Layer2Forwarding,L2F)协议的功能结合在一起。第二层隧道协议(Layer2TunnelingProtocol,L2TP)用各种网络类型(IP、ATM、X.25等)来隧道传输PPP流量;这样一来,不像PPTP那样只限于IP网络。PPTP和L2TP的侧重点非常相似,那就是使PPP流量到达一个与不理解PPP的网络相连接的终点。和PPTP一样,L2TP实际在PPP流量的传输过程中并不提供太多保护,只是它和提供安全功能的协议集成在一起。L2TP继承了PPP的身份验证并整合IPSec以提供机密性、完整性,以及可能提供另外一层身份验证。4IPSec是为专门保护IP流量而开发的一套协议。IPv4没有集成任何安全,所以开发了IPSec来“拴住”IP和保护协议传输的数据的安全。PPTP和L2TP工作在OSI模型的数据链路层,IPSec工作在网络层。IPSec包含的主要协议及其基本功能如下:身份验证首部(AuthenticationHeader,AH)提供数据完整性、数据源验证和免受重放攻击的保护。封装安全有效载荷(Encapsulat...
