• 0x0 WHY-为什么要用VPN
• 0x1 WHAT-VPN是什么
  • 0x1.1 VPN的部署方式
• 0x2 HOW-VPN的工作方式
  • 0x2.1 IPSEC VPN的工作方式
  • 0x2.2 SSL VPN的工作方式
• 0x3 两者区别

0x0 WHY-为什么要用VPN

    因为局域网传播数据的范围有限，在公网上进行数据传输一般有两种途径：拉专线，拉专线的成本过于昂贵，而且适用场景有限，无法为出差员工提供给安全通信环境；另一种途径是将资源以静态NAT的方式发布到公网上，但是将自己的资源暴露在公网上就会增加自己的安全风险，可能会遇到恶意用户入侵
    因此为了解决两个局域网网直接的安全加密通信，VPN设备产生了

0x1 WHAT-VPN是什么

    VPN是虚拟专用网，可以为互联网建立安全加密通信，核心功能是隧道技术：在原有的IP数据包中加入一个新的VPN包头用来穿越NAT
    VPN分为LAN LAN vpn，用于为总公司与分公司建立连接；client vpn用来为出差员工提供服务
    VPN从应用层次可以分为：网络层的IPSEC VPN/GRE VPN、传输的SANGFOR

0x1.1 VPN的部署方式

    一般来说，VPN设备需要购买两台，可以都部署在内部，但是需要给一台设备映射一个公网IP，一般为总部，另一台设备放在分公司内部

0x2 HOW-VPN的工作方式

0x2.1 IPSEC VPN的工作方式

• 阶段一：生成IKE SA为阶段二传输的算法和密钥进行保护
  • 主模式
    • 1、2个报文交换：协商建立IKE安全通道所使用的参数：加密机制、散列机制、DH组、认证机制
    • 3、4个报文交换：交换密钥信息并生成信息：开始交换DH信息、辅助随机数、生成密钥
    • 5、6个报文：验证彼此身份
  • 野蛮模式
    • 第一个包：发起方建议SA，发起DH交换
    • 第二个包：接收方接受SA
    • 第三个包：发起方认证接收方

• 阶段二：建立IPSEC SA，产生真正可以真正用来加密数据流的数据流的密钥
  • 快速模式：
    • 协商安全参数来保护数据连接
    • 周期性的对数据连接更新密钥信息
  • 加密算法、Hash算法、安全协议、封装模式、存活时间、DH算法

0x2.2 SSL VPN的工作方式

• SSL握手协议、SSL修改密文协议、SSL报警协议

• 资源发布方式
  1. web型：只支持http或者https资源
  2. TCP型：支持web型+TCP型资源
  3. L3VPN型：支持UDP型资源

0x3 两者区别

1. IPsec vpn主要提供网络层连通性，如果某个IP可以访问，就可以访问所有服务；SSL vpn控制力度更精细，可以控制哪些服务可以访问，哪些服务不可以访问
2. IPsec vpn一般需要安装客户端、SSL vpn可以安装客户端，也可以不安装客户端
3. SSL vpn跨平台性更强
4. IPsec vpn在穿越公网NAT时需要开启NAT-T功能（在ESP头部上加入一个UDP4500端口），SSL vpn是基于TCP 443端口的协议，本算支持NAT穿越