VPN 定義為專用網(wǎng)絡(luò)之間通過公共網(wǎng)絡(luò)實現(xiàn)的加密連接。

在網(wǎng)絡(luò)基礎(chǔ)設(shè)施中部署VPN的益處：
1、 降低成本
2、 提高通信水平
3、 靈活性和可升級性
4、 安全可靠性
5、 無線聯(lián)網(wǎng)

VPN的實施方案：
1、 遠程接入
2、 站點到站點
3、 基于防火墻。

一、遠程接入VPN
遠程接入主要應(yīng)用于移動用戶和家庭遠程辦公用戶。
二、站點到站點的VPN
現(xiàn)在的公司基本都有外網(wǎng)接口，站點到站點VPN 取代了傳統(tǒng)租用線路和幀中繼，費用的節(jié)省誰用誰知道。
三、基于防火墻的VPN
基于防火墻的VPN 從本質(zhì)講其實就是站點到站點的解決方案，它不是一個技術(shù)問題而是安全問題。

IPSec

IPSec位于網(wǎng)絡(luò)層，負責IP包的保護和認證。IPSec不限于某類特別的加密或認證算法、密鑰技術(shù)或安全算法、它是實現(xiàn)VPN技術(shù)的標準框架。

IPSec安全服務(wù)提供4種主要功能：

一、數(shù)據(jù)加密：對數(shù)據(jù)進行加密，即使數(shù)據(jù)被截獲，內(nèi)容也無法解讀。
二、數(shù)據(jù)完整性：用于鑒別數(shù)據(jù)在傳輸過程中是否被非法修改過。
三、數(shù)據(jù)源認證：確保數(shù)據(jù)發(fā)送方的可靠性。
四、防重放：校驗每個包是不是唯一的（非復制包）

下面將簡單的說明一下

數(shù)據(jù)加密：

1、 加密算法：DES、3DES、AES、RSA
2、 密鑰交換：DES、3DES、AES以及MD5和SHA-1需要堆成的共享密鑰來加密解密。問題是加密解密設(shè)備如何獲得共享密鑰？
DH密鑰交換：通過DH，每個對等體都會生成一對公/私鑰。公鑰加密私鑰解密。
DH密鑰交換不存在安全問題。盡管有人可能會知道用戶的公鑰，但由于私鑰根本不會公開，他仍然無法生成共享的密鑰。

數(shù)據(jù)完整性：

VPN數(shù)據(jù)是通過不安全的網(wǎng)絡(luò)傳送的，例如因特網(wǎng)。這些數(shù)據(jù)可能被截獲、被修改。為防止這一情況，每個消息都附有一個散列。
散列可以保證原始信息的完整性。如果被傳送的散列與被接收的散列匹配，則證明消息沒有被篡改。
IPSec框架中保證數(shù)據(jù)完整性的算法有兩種：
MD5：128bit
SHA-1：160bit


數(shù)據(jù)源認證：

生活中，蓋章能夠保障法令的真實性。電子應(yīng)用中，文件的簽字將使用發(fā)送方的私鑰---數(shù)字簽名。
數(shù)字簽名把消息與發(fā)送著連在一起。用于VPN隧道的初始建立階段對隧道的兩端進行認證。
VPN對等體的認證方法：
1、 預(yù)共享密鑰：手工輸入每個對等體用于認證的密鑰值；
2、 RSA簽名：用交換數(shù)字證書的方式認證對等體；
3、 RSA加密隨機數(shù)(nonce)：nonce(由各個對等體生成的隨機數(shù))被加密，然后在對等體之間交換。

防重放：

IPSec使用防重放機制來保證IP包不會被第三方或中間人截獲，并在修改后再重新插入數(shù)據(jù)流。防重放機制將跟隨到達VPN斷電的每個數(shù)據(jù)包的序列號。當兩個VPN端點之間建立了安全關(guān)聯(lián)后，序號計數(shù)器歸零。如果接收到重復的序號，則丟棄該包。

該功能在IPSec中是通過AH和ESP 來實現(xiàn)的

AH：認證頭協(xié)議
用于系統(tǒng)對數(shù)據(jù)私密性沒要求的時候，它主要實現(xiàn)以下功能
1、 確保數(shù)據(jù)的完整性；
2、 提供數(shù)據(jù)源認證；
3、 防重放；
4、 數(shù)據(jù)以明文傳送。（不提供加密功能）
（注：AH不支持NAT和PAT）


ESP：封裝安全凈載
1、 數(shù)據(jù)完整性；
2、 數(shù)據(jù)源認證；
3、 數(shù)據(jù)加密；
4、 防重放。
注：
1、ESP可以強制要求接受訪的主機使用防重放保護功能。
2、如對數(shù)據(jù)私密性有要求，且做了NAT，還想啥？用 ESP準沒錯
3、數(shù)據(jù)包解密前，先認證后解密。以降低DoS 攻擊的危險。

VPN 隧道的操作模式：
1、 傳輸模式：
特征：點到點 即：主機到主機
特點：數(shù)據(jù)的原始IP地址是可被路由的，因為其未對原始IP進行加密。

2、 隧道模式：
特征：安全網(wǎng)關(guān)之間 即：網(wǎng)絡(luò)設(shè)備之間，如：路由器、防火墻、VPN集中器
特點：安全網(wǎng)關(guān)對原始IP包加密并認證。然后，在加密的數(shù)據(jù)包之前加入一個新的IP包頭。用新的IP地址來將數(shù)據(jù)包路由到遠端的安全網(wǎng)關(guān)。

IPSec如何工作？

IPSec的目標是用必要的安全服務(wù)保護有用的數(shù)據(jù)。它的操作可分5個步驟：
一、定義感興趣的數(shù)據(jù)流
二、IKE階段1
三、IKE階段2
四、數(shù)據(jù)傳輸
五、IPSec隧道終止

以下簡單的說明這5個步驟

定義感興趣的數(shù)據(jù)流

應(yīng)用加密ACL 來匹配感興趣的數(shù)據(jù)流，所壓匹配的數(shù)據(jù)包分三種類型:
1、 應(yīng)用IPSec
2、 繞過IPSec
3、 丟棄

1和2很容易理解，補充說下3 ,何時丟棄
當 加密ACL 匹配數(shù)據(jù)時，如發(fā)現(xiàn) 在策略中定義為 加密數(shù)據(jù)，但實際它并未加密，那么ACL將執(zhí)行Deny動作，丟棄該包。


IKE階段1
該階段用于協(xié)商IKE策略集、認證對等體并在對等體之間建立安全的信道。
它包括兩種模式：主模式 和 積極模式

1、 主模式在發(fā)送端和接收端有3次雙向交換

第一次：用于商定IKE通信安全的算法和散列；
第二次：使用DH交換 來產(chǎn)生共享密鑰
第三次：驗證對端身份，認證遠端對等體。
主模式的主要結(jié)果是為對等體之間的后續(xù)交換建立一個安全通道。

2、 積極模式 較主模式而言，交換次數(shù)和信息較少。
在第一次交換中，就將主模式1.2.3次交換的信息壓縮在一起發(fā)給對端，接收方返回所需內(nèi)容，等待確認。


IKE階段2

執(zhí)行以下功能：
1、 協(xié)商IPSec安全性參數(shù)和IPSec轉(zhuǎn)換集；
2、 建立IPSec的SA；
3、 定期重協(xié)商IPSec的SA，以確保安全性；
4、 可執(zhí)行額外的DH交換。

IKE階段2只有一種模式，快捷模式。
該階段的最終目的是在端點間建立一個安全的IPSec 會話。過程中，端點間要協(xié)商所需的安全性的級別（如：數(shù)據(jù)的機密和認證算法）。這些內(nèi)容被統(tǒng)一到IPSec轉(zhuǎn)換集中。在快捷模式下（即：IKE2），IPSec轉(zhuǎn)換集在對等體之間交換。如集合匹配則IPSec會話的流程繼續(xù)進行，沒發(fā)現(xiàn)匹配轉(zhuǎn)換集則終止協(xié)商。

數(shù)據(jù)傳輸

在完成IKE階段2之后，將通過安全的隧道在主機A和B間傳輸數(shù)據(jù)流。

IPSec隧道終止

不用了還閑置著干嘛？通過刪除或超時的方式將其斷之就是。