VPN 定義為專(zhuān)用網(wǎng)絡(luò )之間通過(guò)公共網(wǎng)絡(luò )實(shí)現的加密連接。

在網(wǎng)絡(luò )基礎設施中部署VPN的益處：
1、 降低成本
2、 提高通信水平
3、 靈活性和可升級性
4、 安全可靠性
5、 無(wú)線(xiàn)聯(lián)網(wǎng)

VPN的實(shí)施方案：
1、 遠程接入
2、 站點(diǎn)到站點(diǎn)
3、 基于防火墻。

一、遠程接入VPN
遠程接入主要應用于移動(dòng)用戶(hù)和家庭遠程辦公用戶(hù)。
二、站點(diǎn)到站點(diǎn)的VPN
現在的公司基本都有外網(wǎng)接口，站點(diǎn)到站點(diǎn)VPN 取代了傳統租用線(xiàn)路和幀中繼，費用的節省誰(shuí)用誰(shuí)知道。
三、基于防火墻的VPN
基于防火墻的VPN 從本質(zhì)講其實(shí)就是站點(diǎn)到站點(diǎn)的解決方案，它不是一個(gè)技術(shù)問(wèn)題而是安全問(wèn)題。

IPSec

IPSec位于網(wǎng)絡(luò )層，負責IP包的保護和認證。IPSec不限于某類(lèi)特別的加密或認證算法、密鑰技術(shù)或安全算法、它是實(shí)現VPN技術(shù)的標準框架。

IPSec安全服務(wù)提供4種主要功能：

一、數據加密：對數據進(jìn)行加密，即使數據被截獲，內容也無(wú)法解讀。
二、數據完整性：用于鑒別數據在傳輸過(guò)程中是否被非法修改過(guò)。
三、數據源認證：確保數據發(fā)送方的可靠性。
四、防重放：校驗每個(gè)包是不是唯一的（非復制包）

下面將簡(jiǎn)單的說(shuō)明一下

數據加密：

1、 加密算法：DES、3DES、AES、RSA
2、 密鑰交換：DES、3DES、AES以及MD5和SHA-1需要堆成的共享密鑰來(lái)加密解密。問(wèn)題是加密解密設備如何獲得共享密鑰？
DH密鑰交換：通過(guò)DH，每個(gè)對等體都會(huì )生成一對公/私鑰。公鑰加密私鑰解密。
DH密鑰交換不存在安全問(wèn)題。盡管有人可能會(huì )知道用戶(hù)的公鑰，但由于私鑰根本不會(huì )公開(kāi)，他仍然無(wú)法生成共享的密鑰。

數據完整性：

VPN數據是通過(guò)不安全的網(wǎng)絡(luò )傳送的，例如因特網(wǎng)。這些數據可能被截獲、被修改。為防止這一情況，每個(gè)消息都附有一個(gè)散列。
散列可以保證原始信息的完整性。如果被傳送的散列與被接收的散列匹配，則證明消息沒(méi)有被篡改。
IPSec框架中保證數據完整性的算法有兩種：
MD5：128bit
SHA-1：160bit


數據源認證：

生活中，蓋章能夠保障法令的真實(shí)性。電子應用中，文件的簽字將使用發(fā)送方的私鑰---數字簽名。
數字簽名把消息與發(fā)送著(zhù)連在一起。用于VPN隧道的初始建立階段對隧道的兩端進(jìn)行認證。
VPN對等體的認證方法：
1、 預共享密鑰：手工輸入每個(gè)對等體用于認證的密鑰值；
2、 RSA簽名：用交換數字證書(shū)的方式認證對等體；
3、 RSA加密隨機數(nonce)：nonce(由各個(gè)對等體生成的隨機數)被加密，然后在對等體之間交換。

防重放：

IPSec使用防重放機制來(lái)保證IP包不會(huì )被第三方或中間人截獲，并在修改后再重新插入數據流。防重放機制將跟隨到達VPN斷電的每個(gè)數據包的序列號。當兩個(gè)VPN端點(diǎn)之間建立了安全關(guān)聯(lián)后，序號計數器歸零。如果接收到重復的序號，則丟棄該包。

該功能在IPSec中是通過(guò)AH和ESP 來(lái)實(shí)現的

AH：認證頭協(xié)議
用于系統對數據私密性沒(méi)要求的時(shí)候，它主要實(shí)現以下功能
1、 確保數據的完整性；
2、 提供數據源認證；
3、 防重放；
4、 數據以明文傳送。（不提供加密功能）
（注：AH不支持NAT和PAT）


ESP：封裝安全凈載
1、 數據完整性；
2、 數據源認證；
3、 數據加密；
4、 防重放。
注：
1、ESP可以強制要求接受訪(fǎng)的主機使用防重放保護功能。
2、如對數據私密性有要求，且做了NAT，還想啥？用 ESP準沒(méi)錯
3、數據包解密前，先認證后解密。以降低DoS 攻擊的危險。

VPN 隧道的操作模式：
1、 傳輸模式：
特征：點(diǎn)到點(diǎn) 即：主機到主機
特點(diǎn)：數據的原始IP地址是可被路由的，因為其未對原始IP進(jìn)行加密。

2、 隧道模式：
特征：安全網(wǎng)關(guān)之間 即：網(wǎng)絡(luò )設備之間，如：路由器、防火墻、VPN集中器
特點(diǎn)：安全網(wǎng)關(guān)對原始IP包加密并認證。然后，在加密的數據包之前加入一個(gè)新的IP包頭。用新的IP地址來(lái)將數據包路由到遠端的安全網(wǎng)關(guān)。

IPSec如何工作？

IPSec的目標是用必要的安全服務(wù)保護有用的數據。它的操作可分5個(gè)步驟：
一、定義感興趣的數據流
二、IKE階段1
三、IKE階段2
四、數據傳輸
五、IPSec隧道終止

以下簡(jiǎn)單的說(shuō)明這5個(gè)步驟

定義感興趣的數據流

應用加密ACL 來(lái)匹配感興趣的數據流，所壓匹配的數據包分三種類(lèi)型:
1、 應用IPSec
2、 繞過(guò)IPSec
3、 丟棄

1和2很容易理解，補充說(shuō)下3 ,何時(shí)丟棄
當 加密ACL 匹配數據時(shí)，如發(fā)現 在策略中定義為 加密數據，但實(shí)際它并未加密，那么ACL將執行Deny動(dòng)作，丟棄該包。


IKE階段1
該階段用于協(xié)商IKE策略集、認證對等體并在對等體之間建立安全的信道。
它包括兩種模式：主模式 和 積極模式

1、 主模式在發(fā)送端和接收端有3次雙向交換

第一次：用于商定IKE通信安全的算法和散列；
第二次：使用DH交換 來(lái)產(chǎn)生共享密鑰
第三次：驗證對端身份，認證遠端對等體。
主模式的主要結果是為對等體之間的后續交換建立一個(gè)安全通道。

2、 積極模式 較主模式而言，交換次數和信息較少。
在第一次交換中，就將主模式1.2.3次交換的信息壓縮在一起發(fā)給對端，接收方返回所需內容，等待確認。


IKE階段2

執行以下功能：
1、 協(xié)商IPSec安全性參數和IPSec轉換集；
2、 建立IPSec的SA；
3、 定期重協(xié)商IPSec的SA，以確保安全性；
4、 可執行額外的DH交換。

IKE階段2只有一種模式，快捷模式。
該階段的最終目的是在端點(diǎn)間建立一個(gè)安全的IPSec 會(huì )話(huà)。過(guò)程中，端點(diǎn)間要協(xié)商所需的安全性的級別（如：數據的機密和認證算法）。這些內容被統一到IPSec轉換集中。在快捷模式下（即：IKE2），IPSec轉換集在對等體之間交換。如集合匹配則IPSec會(huì )話(huà)的流程繼續進(jìn)行，沒(méi)發(fā)現匹配轉換集則終止協(xié)商。

數據傳輸

在完成IKE階段2之后，將通過(guò)安全的隧道在主機A和B間傳輸數據流。

IPSec隧道終止

不用了還閑置著(zhù)干嘛？通過(guò)刪除或超時(shí)的方式將其斷之就是。