与其他VPN协议的对比

与其他VPN协议的对比L2TP、PPTP：主要用于客户端接入专用网络。本身的安全性比较弱，需要依靠IPSec来提供进一步的安全性。MPLS：能够提供与传统的ATM，FR同等的安全性，但本身没有加密，认证机制，对数据的机密性等保证需要依靠IPSec来进一步保证。IPSec是弥补其他VPN技术的安全性的有效保证。1100111001010001010010101001000100100100000100000011001110010100010100101010010001001001000001000000明文加密解密明文密文·#￥^&(%#%$%^&*(!#$%*((_%$@#$%%^*&**)%$#@保证数据在传输中的机密性发起方接受方密文·#￥^&(%#%$%^&*(!#$%*((_%$@#$%%^*&**)%$#@1.支持IKE密钥协商2.密钥自动刷新3.128位对称加密4.1024位非对称加密5.设备之间采用证书认证6.支持CA认证VPN的主要作用之一发起方接受方1001000101010010100001000000110110001010100010101001000101010010100001000000110110001010HashHash100010101001000101010010100001000000110110001010是否一样？验证数据来源的完整性和真实性1.支持透明模式2.支持路由模式VPN的主要作用之二实时入侵检测系统总部办事处分公司分公司在网络中部署网络入侵检测系统，实时对网络中的数据流进行检测，对于可疑的数据，将及时报警，入侵检测系统同时与防火墙交互信息，共同防范来自于网外的攻击。具体策略如下：基于网络的入侵检测策略基于主机的入侵检测策略报警攻击VPN即虚拟专用网，是指一些节点通过一个公用网络（通常是因特网）建立的一个临时的、安全的连接，它们之间的通信的机密性和完整性可以通过某些安全机制的实施得到保证特征–虚拟(V)：并不实际存在，而是利用现有网络，通过资源配置以及虚电路的建立而构成的虚拟网络–专用(P)：只有企业自己的用户才可以联入企业自己的网络–网络(N)：既可以让客户连接到公网所能够到达的任何地方，也可以方便地解决保密性、安全性、可管理性等问题，降低网络的使用成本VPN技术VPN的用途VPN（虚拟专用网络）是通过公共介质如Internet扩展公司的网络VPN可以加密传输的数据，保障数据的机密性、完整性、真实性防火墙是用来保证内部网络不被侵犯，相当于银行的门卫；而VPN则是保证在网络上传输的数据不被窃取，相当于运钞车。VPN的隧道协议VPN的关键技术在于通信隧道的建立，数据包通过通信隧道进行封装后的传送以确保其机密性和完整性通常使用的方法有：–使用点到点隧道协议PPTP、第二层隧道协议L2TP、第二层转发协议L2F等在数据链路层对数据实行封装–使用IP安全协议IPSec在网络层实现数据封装–使用介于第二层和第三层之间的隧道协议，如MPLS隧道协议PPTP/L2TP1996年，Microsoft和Ascend等在PPP协议的基础上开发了PPTP，并将它集成于WindowsNTServer4.0中，同时也提供了相应的客户端软件PPTP可把数据包封装在PPP包中，再将整个报文封装在PPTP隧道协议包中，最后，再嵌入IP报文或帧中继或ATM中进行传输PPTP提供流量控制,采用MPPE加密算法1996年，Cisco提出L2F（Layer2Forwarding）隧道协议1997年底，Micorosoft和Cisco公司把PPTP协议和L2F协议的优点结合在一起，形成了L2TP协议L2TP协议综合了PPTP协议和L2F（Layer2Forwarding）协议的优点,并且支持多路隧道，这样可以使用户同时访问Internet和企业网。L2TP可以实现和企业原有非IP网的兼容，支持MP（MultilinkProtocol），可以把多个物理通道捆绑为单一逻辑信道PPTP/L2TP优点：–支持其他网络协议（如Novell的IPX，NetBEUI和AppleTalk协议）–支持流量控制缺点：–通道打开后，源和目的用户身份就不再进行认证，存在安全隐患–限制同时最多只能连接255个用户–端点用户需要在连接前手工建立加密信道，另外认证和加密受到限制，没有强加密和认证支持。PPTP和L2TP最适合用于远程访问虚拟专用网。PPTP/L2TPIPSecVPNIPSec是一种由IETF设计的端到端的确保基于IP通讯的数据安全性的机制。IPSEC支持对数据加密，同时确保数据的完整性。–IPSEC使用验证包头（AH，在RFC2402中定义）提供来源验证（sourceauthentication），确保数据的可靠性；–IPSec使用封装安全负载（ESP，在RFC1827中定义）进行加密，从而确保数据机密性。在IPSec协议下，只有发送方和接受方知道秘密密钥。如果验证数据有效，接受方就可以知道数据来自真实的发送方，并且在传输过程中没有受到破坏。IPSec有两种应用模式：传送模式和隧道模式传输模式：–使用原始明文IP头，并且只加密数据，包括它的TCP和UDP头。–这种模式适用于小型网络和移动客户端。隧道模式：–隧道模式处理整个IP数据包：包括全部TCP/IP或UDP/IP头和数据，它用自己的地址做为源地址加入到新的IP头。–隧道模式被用在两端或是一端是安全网关的架构中，例如装有IPSec的防火墙。使用了隧道模式，防火墙内很多主机不需要安装IPSec也能安全地与外界通信，并且还可以提供更多的便利来隐藏内部服务器主机和客户机的地址。IPSecVPN优点：–可提供高强度的安全性（数据加密和身份验证）–对上层应用完全透明–支持网络与网络、用户与用户、网络与用户多种应用模式缺点：–只支持IP协议目前防火墙产品中集成的VPN多为使用IPSec协议，在中国其发展处于蓬勃状态。IPSecVPNMPLSVPN是在网络路由和交换设备上应用MPLS(MultiprotocolLabelSwitching)技术，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP虚拟专用网络（IPVPN）MPLSVPN主要应用领域是用于建设全网状结构的数据专线，保证局域网互联的带宽与服务质量。总部与下面分支机构互联时，如果使用公网，则带宽、时延等很大程度上受公网的网络状况制约。而布署MPLSVPN后，可以保证网络服务质量，从而保证一些对时延敏感的应用稳定运行，如分布异地的实时交易系统、视频会议、IP电话等等。