【简介】作为一个小白,看着别人建VPN时鼠标点的飞快,却不明所以然,那么就要学习一下VPN是怎么构成的,建VPN需要哪些参数。

  VPN 种类

常用的VPN有IPsec VPN、SSL VPN、PPTP VPN和L2TP VPN等。

【VPN】英文全称 “Virtual Private Network”,中文翻译过来就是“虚拟专用网络”。我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密通讯协议将连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。

【IPS VPN】指采用IPSec(Internet Protocol Security)协议来实现远程接入的一种VPN技术。IPSec协议是由Internet Engineering Task Force (IETF) 定义的安全标准框架,用以提供公用和专用网络的端对端加密和验证服务。

【SSL VPN】指采用SSL (Security Socket Layer)协议来实现远程接入的一种VPN技术。SSL协议是网景公司提出的基于WEB应用的安全协议,它包括:服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说,使用SSL可保证信息的真实性、完整性和保密性。

【PPTP VPN】PPTP(Point to Point Tunneling Protocol),即点对点隧道协议。该协议是在PPP协议的基础上开发的一种新的增强型安全协议,支持多协议虚拟专用网(VPN),可以通过密码验证协议(PAP)、可扩展认证协议(EAP)等方法增强安全性。可以使远程用户通过拨入ISP、通过直接连接Internet或其他网络安全地访问企业网。

【L2TP VPN】L2TP是一种工业标准的Internet隧道协议,功能大致和PPTP协议类似,比如同样可以对网络数据流进行加密。不过也有不同之处,比如PPTP要求网络为IP网络,L2TP要求面向数据包的点对点连接;PPTP使用单一隧道,L2TP使用多隧道;L2TP提供包头压缩、隧道验证,而PPTP不支持。

IPsec VPN 与 SSL VPN 的区别

IPsec VPN与SSL VPN技术各具特色,各有千秋。SSL VPN比较适合用于移动用户的远程接入(Client-Site),而IPSec VPN则在网对网(Site-Site)的VPN连接中具备先天优势。这两种产品将在VPN市场上长期共存,优势互补。在产品的表现形式上,两者有以下几大差异:

1、IPsec VPN多用于“网—网”连接,SSL VPN用于“移动客户—网”连接。SSL VPN的移动用户使用标准的浏览器,无需安装客户端程序,即可通过SSL VPN隧道接入内部网络;而IPSec VPN的移动用户需要安装专门的IPSec客户端软件。

2、SSL VPN是基于应用层的VPN,而IPsec VPN是基于网络层的VPN。IPsec VPN对所有的IP应用均透明;而SSL VPN保护基于Web的应用更有优势,当然好的产品也支持TCP/UDP的C/S应用,例如文件共享、网络邻居、Ftp、Telnet、Oracle等。

3、SSL VPN用户不受上网方式限制,SSL VPN隧道可以穿透Firewall;而IPSec客户端需要支持“NAT穿透”功能才能穿透Firewall,而且需要Firewall打开UDP500端口。

4、SSL VPN只需要维护中心节点的网关设备,客户端免维护,降低了部署和支持费用。而IPSec VPN需要管理通讯的每个节点,网管专业性较强。

5、SSL VPN 更容易提供细粒度访问控制,可以对用户的权限、资源、服务、文件进行更加细致的控制,与第三方认证系统(如:radius、AD等)结合更加便捷。而IPSec VPN主要基于IP组对用户进行访问控制。

  VPN 连接

VPN的连接有两种,一种是设备与设备的连接,一种是客户端与设备的连接。

飞塔有专门的VPN客户端软件,名叫FortiClient,可以分别用SSL与IPsec两种方式接入飞塔防火墙。

另外飞塔防火墙也允许PPTP与L2TP两种VPN的接入,客户端可以是Windows系统,也可以是其它可以用使这两种VPN的客户端,比如手机。

如果要在飞塔防火墙与飞塔防火墙之间建立VPN连接,只能使用IPsec VPN。

  IPsec VPN 模式

防火墙与防火墙之间只能用IPsec VPN连接,连接方式分为接口模式和隧道模式。也有人叫路由模式和策略模式。

飞塔防火墙默认IPsec为接口模式,利用模板向导生成的IPsec VPN,具有以下内容:

① 接口模式下,生成IPsec隧道。

② 接口模式下,生成一条静态路由。

③ 接口模式下,生成两条策略,一条进隧道,一条出隧道。

④ 接口模式下,生成一个虚拟通道接口。

⑤ 隧道模式就比较简单了,生成IPsec隧道。

⑥ 隧道模下,只有一条出去的策略,没有进来的策略和路由,没有虚拟通道接口。

  【提示】接口模式可以控制出入IPsec隧道的信息,比隧道模式可控细粒度更高,建议用接口模式。

  IPsec 隧道

要建立IPsec VPN,首先需要建立IPsec隧道。建立IPsec隧道分为二个阶段。阶段1需要知道对方提供三个连接参数,阶段2需要知道对方提供的二个连接参数。

当我们打某单位电话找人的时候,通常是这样的:首先拨打对方单位电话(建立连接),听到提示音后拨分机号码(建立隧道),开始通话。IPsec VPN也象打电话一样,分为二个阶段,阶段1建立连接,阶段2建立隧道。

① 在阶段1建立连接中,需要知道对方的网关地址或域名。

② 在阶段1建立连接中,需要知道预共享密钥,对方的防火墙也要设置同样的预共享密钥,这个密钥是双方约定的。

③ 在阶段1建立连接中,需要知道加密与认证,两边的防火墙要相同,这也是双方约定的。

④ 经过第1阶段建立连接,进入第2阶段建立隧道,需要知道允许访问对方的哪个内网地址段,如果地址段多的话,可以建立多条隧道。

⑤ 在阶段2建立隧道中,需要知道加密与认证,两边的防火墙要相同,这也是双方约定的。如果要建多条隧道,每条隧道的加密与认证都要相同。

飞塔技术 - 老梅子   QQ:57389522

【隧道篇 / IPsec】(5.6) ❀ 01. IPsec 结构与需求 ❀ FortiGate 防火墙相关推荐

  1. 【接口篇 / Wan】(7.0) ❀ 04. 配置 4G 上网 ❀ FortiGate 防火墙

    肯定有人会奇怪,怎么防火墙还需要用4G上网吗?不是有ADSL拨号宽带.固定IP宽带.专线等这么多选择吗?而且4G速度也不够快呀. 在某些特定的场合,例如临时使用.无法安装宽带.道路施工宽带被挖断了,而 ...

  2. 【隧道篇 / IPsec】(5.2) ❀ 04. IPsec - 拨号宽带 to 拨号宽带 (策略模式) ❀ FortiGate 防火墙

    [简介]现在很多单位都有分公司或者分部,距离离的还比较远,但又经常需要两点之间进行安全的通迅,防火墙与防火墙之间建立IPsec可以很好满足要求.ADSL拨号宽带物美价廉,只可惜每次拨号生成的外网IP都 ...

  3. 【隧道篇 / SSL】(6.4) ❀ 01. 下载 FortiClient 客户端软件 ❀ FortiGate 防火墙

    [简介]FortiClient是客户端软件,通常用来和FortiGate防火墙进行VPN连接,还具备保护客户端安全的作用.很多人都不知道到哪里下载.   FortiClient官网 其实FortiCl ...

  4. 【接口篇 / Wan】(5.2) ❀ 01. ADSL 拨号宽带上网 ❀ FortiGate 防火墙

    [简介]除了单位使用的固定IP宽带之外,使用最多的就是ADSL拨号宽带了,不光家庭普遍使用,大部分单位也会使用.ADSL拨号宽带价廉物美,唯一的缺陷是每次拨号成功会生成不同的外网IP.   配置接口 ...

  5. 【安全篇 / Web过滤】(6.2) ❀ 01. 静态URL过滤器示例 ❀ FortiGate 防火墙

    [简介]在很多实际情况下,需要禁止访问某些网站,或者只能访问指定的网站,通常这一类的限制都是由上网行为管理设备去控制,实际上飞塔防火墙也可以实现,并且不用购买UTM的Web过滤功能,我们可以使用免费的 ...

  6. 【高级篇 / System】(7.0) ❀ 04. 高可用性 HA 配置 ❀ FortiGate 防火墙

    我们在机柜的最上方安装了一台思科的交换机和思科路由器,用来集中管理所有的设备,在我们配置HA的时候,就会发现它们的功能和作用了.  前面我已经将思科路由器的接口配置了IP地址10.10.10.10,可 ...

  7. 【接口篇 / Wan】(7.0) ❀ 02. 配置路由器上网 ❀ FortiGate 防火墙

    我们知道FortiGate防火墙可以直接使用ADSL拨号宽带,而且拨号生成的公网地址可以用来远程访问.VPN连接.映射服务器等等.但是如果拨号生成的地址是100.64开头,那么是不可以远程访问的. 如 ...

  8. 【接口篇 / Lan】(5.2) ❀ 04. 配置透明模式 ❀ FortiGate 防火墙

    [简介]防火墙作为一实际存在的物理设备,其本身也起到路由的作用,所以在为用户安装防火墙时,就需要考虑如何改动其原有的网络拓扑结构或修改连接防火墙的路由表,以适应用户的实际需要,这样就增加了工作的复杂程 ...

  9. 【隧道篇 / IPsec】(7.0) ❀ 03. 建立IPsec安全隧道后手动添加访问IP网段 ❀ FortiGate 防火墙

    [简介]我们已经学会利用向导的便捷,快速建立起IPsec安全隧道,并且学会了ADSL拨号宽带如何才能在变更了IP后仍然可以保持IPsec隧道连接.下面我们将学习如何根据需求增加访问地址.   向导生成 ...

  10. IPsec ***基础:认识IPsec ***

    1.IPSEC 提供了下列服务: 数据的机密性----------这是通过加密来防止数据遭受窃听***. 数据的完整性和验证--------通过HMAC功能来验证数据包没有被损坏,并通过一个有效地对等 ...

最新文章

  1. 2000DC和DNS迁移到2003 R2
  2. Linux 上扩展swap分区
  3. 论文原文解读汇总(持续更新中)
  4. 关于pycharm+opencv没有代码提示的问题解决方法记录
  5. 使用混合多云每个人都应避免的3个陷阱(第4部分)
  6. from 下拉框多个值提交_Git提交规范
  7. 【Postgresql】pg掉电后无法重启
  8. C#中将字符串中某字符不区分大小写并按全字匹配替换为空
  9. 将String字符串转换为GB2312编码
  10. Springboot 整合 druid
  11. Greek Gods,Roman Gods and Chinese Gods
  12. 阿泰,水晶报表--推拉之间
  13. 汽车技术管理系统c语言,[源码和文档分享]基于C语言实现的汽车牌照的快速查询...
  14. java excel 批注_Java 添加、修改、读取、复制、删除Excel批注
  15. 拜托,使用 Three.js 让二维图片具有 3D 效果超酷的
  16. Android X86更改屏幕分辨率
  17. 群晖服务器216j增加硬盘,群晖(Synology)NAS 升级硬盘扩展空间小记
  18. 用一条sql语句判断两个日期是否处于同一月份!
  19. 第9周测验-鸣人和佐助
  20. 砺鹰职业测评|更了解自己的职业兴趣

热门文章

  1. 【转载】SAP物料基本计量单位的更改
  2. 手写Vue个人组件库——fl-Badge
  3. 万兆铜缆--七类双绞线--光纤等内容
  4. 大数据常见专有名词解释
  5. 无网络环境安装docker
  6. 戒指你戴对了吗?Meet Surprise教你正确的戴法
  7. 九秒倒计时c语言编程,可变信息倒九秒半程倒计时器的制作方法
  8. 无法上网的N种解决方法
  9. 计算机专业中职生自我鉴定报告,【中职生计算机自我鉴定】应届计算机毕业生自我鉴定...
  10. 基于Python实现的远程控制主机设计