計算機網路安全C
- 1 緒論
- 網路安全的定義
- 模型:
- 攻擊手段:
- 攻擊方式:
- 安全服務
- 安全機制
- 特定安全機制
- 普遍的安全機制
- 認識Internet上的嚴峻的安全形勢并深入分析其根源
- 造成Internet安全問題的主要原因
- 1系統脆弱性
- 2自然災害
- 3網路建造的歷史原因
- 2,網路協議基礎
- 了解網路體系結構各層的功能
- ARP、TCP、HTTP安全問題
- ARP
- TCP
- HTTP
- 對ICMP協議的利用
- ping
- tracert
- 3 密碼學在網路安全中的應用
- 對稱密碼體制/非對稱密碼體制
- 一、對稱加密 (Symmetric Key Encryption)
- 二、非對稱加密(Asymmetric Key Encryption)
- 混合加密體制
- 數字簽名
- 密鑰管理
- 4.訊息鑒別與身份認證
- 認證分為哪兩大類
- 訊息鑒別協議的核心——鑒別函式
- 如何利用鑒別函式構造鑒別協議
- 身份認證的概念、有哪些常用的身份認證方式,分析其優缺點
- Kerberos系統
- PKI技術
- 定義
- PKI提供的服務
- 5 Internet安全
- 各層協議的安全
- 網路層安全性
- 傳輸層安全性
- 應用層
- IPSec的思想、實作的目的、作業程序(AH和ESP)、作業模式、功能、密鑰管理
- SSL/SET的思想
- PGP技術
- 提供的服務:
- 如何實作上述服務
- 常用的欺騙技術
- ARP欺騙
- IP欺騙
- 6 防火墻技術
- 防火墻的過濾機制和安全策略
- 防火墻的分類,各自的特點
- 包過濾路由器
- 應用層網關
- 電路層網關
- 防火墻能否抵抗來自內網的攻擊?
- 7 VPN技術
- VPN是什么,其實作的目的
- 有哪些型別
- 主要應用的技術
1 緒論
網路安全的定義
網路系統中的軟體硬體和系統儲存和傳輸的資料不因偶然或者惡意的原因遭到破壞篡改泄露,網路系統連續可靠正常地運行,網路服務不中斷,
屬性:機密性,完整性,可用性,可控性,真實性(機密性,完整性,可用性為CIA三要素)
模型:
攻擊手段:
降級、瓦解、拒絕、摧毀計算機或計算機網路中的資訊資源,或者降級、瓦解、拒絕、摧毀計算機或計算機網路本身的行為,
攻擊方式:
主動攻擊(偽裝、重放、訊息篡改和拒絕服務)被動攻擊(資訊收集,流量分析)
安全服務
通信開放系統協議層提供的服務,從而保證系統或資料傳輸有足夠的安全性
安全機制
特定安全機制
可以并人適當的協議層以提供一些OSI安全服務
加密
數字簽名
訪問控制
資料完整性
認證交換
流量填充
路由控制
公證
普遍的安全機制
不局限于任何OSI安全服務或協議層的機制
可信功能,安全標簽,事件檢側,安全審計跟蹤,安全恢復
認識Internet上的嚴峻的安全形勢并深入分析其根源
造成Internet安全問題的主要原因
1系統脆弱性
計算機軟體的不安全因素
作業系統和應用軟體的預設安裝
沒有口令或使用弱口令的賬號
大量打開的埠
沒有過濾偽地址包
2自然災害
由于自然災害等不可抗力造成資源損失
3網路建造的歷史原因
互聯網前身為ARPANET,為預防核戰爭對軍事指揮系統的毀滅性打擊提出的研究課題
后從軍事用途中分離出去,單純在科研教育的校園環境中解決互聯互通的技術課題
互聯網從校園環境走上了市場商用
2,網路協議基礎
了解網路體系結構各層的功能
物理層:接受識別位元流
資料鏈路層:處理和傳輸電纜的物理介面細節(
)
網路層(負責處理分組在網路中的活動,例如分組的選路)
傳輸層:在兩個主機間的通信中提供傳輸服務
應用層:定義應用行程間通信和互動的規則,負責通過應用行程間的互動來完成特定網路應用
傳輸層主要是提供端到端的通信,注意和網路層任務的區別,在TCP/IP協議族中,網路層提供的是一種不可靠的服務,盡可能快的把分組從源節點送到目的節點,并不提供可靠性保證,而傳輸層需要提供一種可靠的服務
ARP、TCP、HTTP安全問題
ARP
根據ip地址獲取物理地址的tcp/ip協議
主機發送資訊時將包含目標ip地址的arp請求廣播到網路上所有主機,并接識訓傳的arp應答(廣播請求 單播回應),以此確定目標的物理地址
arp竊聽:由于arp請求將通過交換機或集線器以廣播形式發送,因此網路行主機均可受到該請求,從而受到竊聽,再進一步發動網路攻擊(網路拓撲繪制 拒絕服務)
arp欺騙:發送錯誤ip-mac映射對,以使得主機找不到正確的ip-mac地址映射
TCP
1.syn泛洪:反復發送syn請求,并忽略主機b確認
2. land攻擊:將源目的地址都設定位服務器地址,服務器自我連接,達到小號服務器資源以達到拒絕服務攻擊
3. 序列號預測攻擊:攻擊者猜中接收方序列號,發送rst訊息達到拒絕服務攻擊的目的
4. ack泛洪攻擊:在建立連接后反復發送請求連接訊息或偽造被攻擊者ip地址進行訪問,讓對方忙于查表,從而達到拒絕式服務攻擊
HTTP
釣魚攻擊:偽造某個網站使得某種方式讓訪問者信任該假網站,以獲取用戶資訊
跨站(會話)腳本攻擊:攻擊者向服務器發送攻擊腳本(小程式,可以被瀏覽器解釋執行),從而獲取用戶資料或破壞系統,
常發生在:論壇允許提交資訊時,產品評論、售后評價等允許提交資訊時、社交網路應用等允許用戶發訊息、討論、評價時,攻擊者將腳本發送的服務器中,
攻擊條件:允許用戶輸入資訊的web應用,用戶輸入資料可用于動態生成的頁面,用戶輸入未作合法性驗證,
分類:
持久性跨站:攻擊資料存放于服務器,當用戶正常訪問網頁時,服務端會將惡意指令夾雜在正常網頁中傳回給用戶
非持久性跨站:惡意腳本程式在受害者請求http后得到一個即可回應時執行
檔案物件攻擊:客戶端腳本(js)動態生成html時,若沒有嚴格檢查和過濾引數,則可以導致攻擊者利用dom進行跨站攻擊,
對ICMP協議的利用
ping
ICMP的一個典型應用是Ping, Ping是檢測網路連通性的常用工具,同時也能夠收集其他相關資訊,用戶可以在Ping命令中指定丌同引數,如ICMP報文長度、 發送的ICMP報文個數、 等待回復回應的超時時間等,設備根據配置的引數來構造并發送ICMP報文,迚行Ping測驗,
tracert
ICMP的另一個典型應用是Tracert,Tracert基于報文頭中的TTL值來逐跳跟蹤報文的轉發路徑, 為了跟蹤到達某特定目的地址的路徑,源端首先將報文的TTL值設定為1, 該報文到達***個節點后,TTL超時,于是該節點向源端發送TTL超時訊息,訊息中攜帶時間戳, 然后源端將報文的TTL值設定為2,報文到達第二個節點后超時,該節點同樣回傳TTL超時訊息,以此類推,直到報文到達目的地, 這樣,源端根據回傳的報文中的資訊可以跟蹤到報文經過的每一個節點,并根據時間戳資訊計算往返時間, Tracert是檢測網路丟包及時延的有效手段,同時可以幫助管理員發現網路中的路由環路,
3 密碼學在網路安全中的應用
對稱密碼體制/非對稱密碼體制
一、對稱加密 (Symmetric Key Encryption)
對稱加密是最快速、最簡單的一種加密方式,加密(encryption)與解密(decryption)用的是同樣的密鑰(secret key),對稱加密有很多種演算法,由于它效率很高,所以被廣泛使用在很多加密協議的核心當中,自1977年美國頒布DES(Data Encryption Standard)密碼演算法作為美國資料加密標準以來,對稱密碼體制迅速發展,得到了世界各國的關注和普遍應用,對稱密碼體制從作業方式上可以分為分組加密和序列密碼兩大類,
對稱加密演算法的優點:演算法公開、計算量小、加密速度快、加密效率高,
對稱加密演算法的缺點:交易雙方都使用同樣鑰匙,安全性得不到保證,此外,每對用戶每次使用對稱加密演算法時,都需要使用其他人不知道的惟一鑰匙,這會使得發收信雙方所擁有的鑰匙數量呈幾何級數增長,密鑰管理成為用戶的負擔,對稱加密演算法在分布式網路系統上使用較為困難,主要是因為密鑰管理困難,使用成本較高,而與公開密鑰加密演算法比起來,對稱加密演算法能夠提供加密和認證卻缺乏了簽名功能,使得使用范圍有所縮小,
對稱加密通常使用的是相對較小的密鑰,一般小于256 bit,因為密鑰越大,加密越強,但加密與解密的程序越慢,如果你只用1 bit來做這個密鑰,那黑客們可以先試著用0來解密,不行的話就再用1解;但如果你的密鑰有1 MB大,黑客們可能永遠也無法破解,但加密和解密的程序要花費很長的時間,密鑰的大小既要照顧到安全性,也要照顧到效率,是一個trade-off,
分組密碼:也叫塊加密(block cyphers),一次加密明文中的一個塊,是將明文按一定的位長分組,明文組經過加密運算得到密文組,密文組經過解密運算(加密運算的逆運算),還原成明文組,有 ECB、CBC、CFB、OFB 四種作業模式,
序列密碼:也叫流加密(stream cyphers),一次加密明文中的一個位,是指利用少量的密鑰(制亂元素)通過某種復雜的運算(密碼演算法)產生大量的偽隨機位流,用于對明文位流的加密,解密是指用同樣的密鑰和密碼演算法及與加密相同的偽隨機位流,用以還原明文位流,
常用對稱加密演算法包括 DES、3DES、AES
- DES(Data Encryption Standard):資料加密標準,速度較快,適用于加密大量資料的場合,
- 3DES(Triple DES):是基于DES,對一塊資料用三個不同的密鑰進行三次加密,強度更高,
- AES(Advanced Encryption Standard):高級加密標準,是下一代的加密演算法標準,速度快,安全級別高,支持128、192、256、512位密鑰的加密,
演算法特征
- 加密方和解密方使用同一個密鑰,
- 加密解密的速度比較快,適合資料比較長時的使用,
- 密鑰傳輸的程序不安全,且容易被破解,密鑰管理也比較麻煩
二、非對稱加密(Asymmetric Key Encryption)
非對稱加密為資料的加密與解密提供了一個非常安全的方法,它使用了一對密鑰,公鑰(public key)和私鑰(private key),私鑰只能由一方安全保管,不能外泄,而公鑰則可以發給任何請求它的人,非對稱加密使用這對密鑰中的一個進行加密,而解密則需要另一個密鑰,比如,你向銀行請求公鑰,銀行將公鑰發給你,你使用公鑰對訊息加密,那么只有私鑰的持有人–銀行才能對你的訊息解密,與對稱加密不同的是,銀行不需要將私鑰通過網路發送出去,因此安全性大大提高,
非對稱加密演算法的優點:安全性更高,公鑰是公開的,秘鑰是自己保存的,不需要將私鑰給別人,
非對稱加密演算法的缺點:加密和解密花費時間長、速度慢,只適合對少量資料進行加密,
對稱加密演算法相比非對稱加密演算法來說,加解密的效率要高得多,但是缺陷在于對于秘鑰的管理上,以及在非安全信道中通訊時,密鑰交換的安全性不能保障,所以在實際的網路環境中,會將兩者混合使用,
非對稱加密演算法包括 RSA、Elgamal、背包演算法、Rabin、D-H、ECC(橢圓曲線加密演算法),常見的有RSA、ECC,
混合加密體制
混合密碼體bai制指用公鑰密碼加du密一個用于zhi對稱加密的短期密碼,再dao由這個短期密碼在對稱加zhuan密體制下shu加密實際需要安全傳輸的資料,最扯訓合密碼體制的使用僅限于從執行效率方面進行考慮,直到2000年Cramer和Shoup提出了KEM-DEM結構的混合加密體制,使得混合密碼體制成為一種解決IND-CCA安全而且實際的公鑰密碼體制
數字簽名
數字簽名的作用:防止通信雙方之間的欺騙和抵賴行為
數字簽名(Digital Signature, DS),是指附加在某一電子檔案中的一組特定的符號或代碼
對電子檔案進行關鍵資訊提取,并通過某種密碼運算生成一系列符號及代碼組成電子密碼進行簽名,來代替書寫簽名或印章
數字簽名的功能
防抵賴:發送者事后不能否認
防篡改:接收者不能對發送者的訊息進行部分篡改
防偽造:接收方不能偽造訊息并聲稱來自對方
防冒充(身份認證):驗證網路物體的身份
密鑰管理
密鑰管理流程 ·
(1)密鑰生成
(2)密鑰分發
(3)驗證密鑰
(4)更新密鑰
(5)密鑰存盤
(6)備份密鑰
(7)密鑰有效期
(8)銷毀密鑰
(9)公開密鑰的密鑰管理
4.訊息鑒別與身份認證
認證分為哪兩大類
用戶與主機之間的認證
主機與主機之間的認證
訊息鑒別協議的核心——鑒別函式
鑒別演算法:底層實作的一項基本功能
鑒別功能要求底層必須實作某種能生成鑒別標識的演算法
鑒別標識(鑒別符)是一個用于訊息鑒別的特征值
鑒別標識的生成演算法用一個生成函式f來實作,稱為鑒別函式
鑒別協議
接收方用該協議來完成訊息合法性鑒別的操作
認證協議呼叫底層的認證演算法(鑒別函式),來驗證訊息的真實性
鑒別函式f是決定認證(鑒別)系統特性的主要因素
如何利用鑒別函式構造鑒別協議
一個簡單的訊息認證實體:一個短的字串V追加到訊息M之后,用以認證該訊息
發送方: M || V
接收方: M || V,判斷Yes/No
這個V可以是:
訊息加密函式:用完整資訊的密文作為對資訊的認證
訊息認證碼:是密鑰和訊息的公開函式,產生一個固定長度的值作為認證標識
散列函式:是一個公開的函式,將任意長度的訊息映射成一個固定長度的串,作為認證值
身份認證的概念、有哪些常用的身份認證方式,分析其優缺點
概念:身份認證是計算機及網路系統識別操作者身份的程序
常用的身份認證方式
1 用戶名/口令方式 優點:簡單易行 缺點:易泄露,極其不安全
2 IC卡認證 優點:簡單易行 缺點:IC卡中讀取的資料還是靜態的,通過記憶體掃描或網路監聽等技識訓是很容易截取到用戶的身份驗證資訊
3 USB key認證 優點:安全可靠,成本低廉 缺點:依賴硬體安全性
4 生物特征認證 優點:安全性最高 缺點:技術不成熟,準確性和穩定性有待提高
5 動態口令 優點:一次一密,較高安全性 缺點:使用繁瑣可能造成新的安全漏洞
基于挑戰應答/KDC方式的認證的作用
設計一個滿足安全要求的認證協議*
Kerberos系統
Kerberos:一種基于對稱密鑰、在網路上實施身份認證的服務
身份認證作為網路上一種標準的安全服務來提供
能夠實作用戶和服務器之間的雙向認證
集中式的認證服務
通過運行在網路中某個安全節點的密鑰分發中心(KDC,又稱為認證服務器)提供認證服務
用戶能夠用用戶名和口令登錄作業站,作業站使用用戶名和口令與KDC聯系,代替用戶獲得使用遠程資源所需要的資訊
特征:
提供一種基于可信第三方的認證服務
KDC作為第三方,若用戶與服務器都信任KDC,則Kerberos就可以實作用戶與服務器之間的雙向鑒別,如果KDC是安全的,并且協議沒有漏洞,則認證是安全的
安全性
能夠有效防止攻擊者假冒合法用戶
可靠性
Kerberos服務自身可采用分布式結構,KDC之間互相備份
透明性
用戶只需要提供用戶名和口令,作業站代替用戶實施認證的程序
可伸縮性
能夠支持大量用戶和服務器
PKI技術
定義
PKI(Public Key Infrastructure,公鑰基礎設施),是一個基于公鑰概念和技術實作的、具有通用性的安全基礎設施,
PKI公鑰基礎設施的主要任務是在開放環境中為開放性業務提供公鑰加密和數字簽名服務,
PKI是生成、管理、存盤、分發和吊銷基于公鑰密碼學的公鑰證書所需要的硬體、軟體、人員、策略和規程的總和,
PKI提供的服務
資料傳輸的機密性(避免被截獲)
資料交換的完整性(避免被篡改)
發送資訊的不可否認性(避免事后不承認)
交易者身份的確定性(避免被假冒)
5 Internet安全
各層協議的安全
網路層安全性
IPSE
傳輸層安全性
SSL
應用層
PGP
IPSec的思想、實作的目的、作業程序(AH和ESP)、作業模式、功能、密鑰管理
IPSec使用兩個不同的協議:AH協議和ESP協議來保證通信的認證、完整性和機密性
IP頭部認證(AH)提供無連接的完整性驗證、資料源認證、選擇性抗重放服務
封裝安全負載(ESP)提供加密保障,完整性驗證、資料源認證、抗重放服務
IPSec的兩種作業模式
傳輸模式:用于主機到主機之間的直接通信
隧道模式:用于主機到網關或網關到網關之間
傳輸模式和隧道模式主要在資料包封裝時有所不同
傳輸模式下的AH
AH頭插入到IP頭部之后、傳輸層協議之前
驗證范圍整個IP包,可變欄位除外
與NAT沖突,不能同時使用
隧道模式下的AH
AH插入到原始IP頭部之前,然后在AH外面再封裝一個新的IP頭部
驗證范圍整個IP包,也和NAT沖突
傳輸模式ESP
保護內容是IP包的載荷(如TCP、UDP、ICMP等)
ESP插入到IP頭部之后,傳輸層協議之前
驗證和加密范圍不是整個IP包
隧道模式下ESP
保護的內容是整個IP包,對整個IP包加密
ESP插入到原始IP頭部前,在ESP外再封裝新的IP頭部
SSL/SET的思想
SSL 的英文全稱是 “Secure Sockets Layer” ,中文名為 “ 安全套接層協議層 ” ,它是網景( Netscape )公司提出的基于 WEB 應用的安全協議, SSL 協議指定了一種在應用程式協議(如 HTTP 、 Telenet 、 NMTP 和 FTP 等)和 TCP/IP 協議之間提供資料安全性分層的機制,它為 TCP/IP 連接提供資料加密、服務器認證、訊息完整性以及可選的客戶機認證,
VPN SSL 200 設備網關適合應用于中小企業規模,滿足其企業移動用戶、分支機構、供應商、合作伙伴等企頁澩(如基于 Web 的應用、企業郵件系統、檔案服務器、 C/S 應用系統等)安全接入服務,企業利用自身的網路平臺,創建一個增強安全性的企業私有網路, SSL VPN 客戶端的應用是基于標準 Web 瀏覽器內置的加密套件與服務器協議出相應的加密方法,即經過授權用戶只要能上網就能夠通過瀏覽器接入服務器建立 SSL 安全隧道
SSL 的英文全稱是 “Secure Sockets Layer” ,中文名為 “ 安全套接層協議層 ” ,它是網景( Netscape )公司提出的基于 WEB 應用的安全協議, SSL 協議指定了一種在應用程式協議(如 HTTP 、 Telenet 、 NMTP 和 FTP 等)和 TCP/IP 協議之間提供資料安全性分層的機制,它為 TCP/IP 連接提供資料加密、服務器認證、訊息完整性以及可選的客戶機認證,
VPN SSL 200 設備網關適合應用于中小企業規模,滿足其企業移動用戶、分支機構、供應商、合作伙伴等企頁澩(如基于 Web 的應用、企業郵件系統、檔案服務器、 C/S 應用系統等)安全接入服務,企業利用自身的網路平臺,創建一個增強安全性的企業私有網路, SSL VPN 客戶端的應用是基于標準 Web 瀏覽器內置的加密套件與服務器協議出相應的加密方法,即經過授權用戶只要能上網就能夠通過瀏覽器接入服務器建立 SSL 安全隧道
PGP技術
提供的服務:
如何實作上述服務
發送方:
產生訊息M
用SHA-1對M生成一個160位的散列碼H
用發送者的私鑰對H簽名,該簽名值與M連接
接收方:
用發送者的公鑰對簽名值進行驗證操作,恢復H
對訊息M生成一個新的散列碼H’,與H比較,如果一致,則訊息M被認證
常用的欺騙技術
ARP欺騙
1.ARP協議:ARP(Address Resolution Protocol,地址解析協議)是一個位于TCP/IP協議堆疊中的網路層,負責將某個IP地址決議成對應的MAC地址,
2.ARP協議的基本功能:通過目標設備的IP地址,查詢目標設備的MAC地址,以保證通信的進行,
-
ARP攻擊的局限性:ARP攻擊僅能在局域網進行,無法對外網進行攻擊,
-
ARP攻擊的攻擊原理:ARP攻擊就是通過偽造IP地址和MAC地址實作ARP欺騙,能夠在網路中產生大量的ARP通信量使網路阻塞,攻擊者只要持續不斷的發出偽造的ARP回應包就能更改目標主機ARP快取中的IP-MAC條目,造成網路中斷或中間人攻擊,
5.常見的ARP欺騙手法:同時對局域網內的一臺主機和網關進行ARP欺騙,更改這臺主機和網關的ARP快取表
IP欺騙
最基本的IP欺騙技術有三種,這三種IP欺騙技術都是早期使用,原理比較簡單,效果也十分有限
基本地址變化
使用源站選路截取資料包
利用Unix機器上的信任關系
基本地址變化
IP欺騙包括把一臺計算機偽裝成別人機器的IP地址的這種情況,所以IP欺騙最基本的方法是搞清楚一個網路的配置,然后改變自己的IP地址
這樣做就可以使所有發送的資料包都帶有假冒的源地址
源站選路(源路由攻擊)
基本地址變化方法沒法接識訓傳的資訊流,為了得到從目的主機回傳源地址主機的資料流,有兩個方法
攻擊者插入到正常情況下資料流經過的通路上
保證資料包會經過一條給定的路徑,保證它經過攻擊者的機器
利用信任關系
在UNIX世界中,利用信任關系可以使機器之間的切換變得更加容易,特別是在進行系統管理的時候
單位里經常指定一個管理員管理幾十個區域或者甚至上百臺機器,管理員一般會使用信任關系和UNIX的r命令從一個系統方便的切換到另一個系統, r命令允許一個人登錄遠程機器而不必提供口令
取代詢問用戶名和口令,遠程機器基本上使用IP地址來進行驗證,也就是說將會認可來自可信IP地址的任何人
6 防火墻技術
防火墻的過濾機制和安全策略
防火墻是位于兩個(或多個)網路間,實施網間訪問控制的組件集合,通過建立一整套規則和策略來監測、限制、更改跨越防火墻的資料流,達到保護內部網路的目的
防火墻的設計目標
內部和外部之間的所有網路資料流必須經過防火墻;
只有符合安全政策的資料流才能通過防火墻;
防火墻自身能抗攻擊;
防火墻 = 硬體 + 軟體 + 控制策略
防火墻的分類,各自的特點
包過濾路由器
在網路層上進行監測
并沒有考慮連接狀態資訊
通常在路由器上實作
實際上是一種網路的訪問控制機制
優點:
實作簡單
對用戶透明
一個包過濾路由器即可保護整個網路
缺點:
正確制定規則并不容易
不可能引入認證機制
包過濾防火墻只通過簡單的規則控制資料流的進出,沒考慮高層的背景關系資訊
應用層網關
優點
允許用戶“直接”訪問Internet;
易于記錄日志;
缺點
新的服務不能及時地被代理
每個被代理的服務都要求專門的代理軟體
客戶軟體需要修改,重新編譯或者配置
有些服務要求建立直接連接,無法使用代理
比如聊天服務、或者即時訊息服務
代理服務不能避免協議本身的缺陷或者限制
電路層網關
拓撲結構同應用程式網關相同
接收客戶端連接請求代理客戶端完成網路連接
在客戶和服務器間中轉資料
通用性強
防火墻能否抵抗來自內網的攻擊?
防火墻是防外網的,對外部發的包進行檢測和過濾,但是到了bai網以后防火墻就不管了,所以裝防火墻解決du網攻擊那是沒用的,
7 VPN技術
VPN是什么,其實作的目的
利用Internet或其它公共互聯網路的基礎設施為用戶創建隧道,來仿真專有的廣域網,并提供與專用網路一樣的安全和功能保障
虛擬出來的企業內部專線:通過特殊的加密的通訊協議在連接到Internet上的、位于不同地方的、兩個或多個企業內部網之間建立一個臨時的、安全的連接,是一條穿過公用網路的安全、穩定的隧道
綜合了專用和公用網路的優點,允許有多個站點的公司擁有一個假想的完全專有的網路,而使用公用網路作為其站點之間交流的線路
有哪些型別
按應用/服務型別分類
遠程訪問型VPN
通過Internet接納遠程用戶
LAN間互連型VPN
通過Internet聯結兩個或多個LAN
按實作的層次分類
二層隧道 VPN
三層隧道 VPN
主要應用的技術
轉載請註明出處,本文鏈接:https://www.uj5u.com/ruanti/226906.html
標籤:其他