16、网络安全技术与架构详解

网络安全技术与架构详解

一、VPN 相关技术

1.1 IPSec 技术

IPSec 有两种模式，分别用于不同的网络安全场景。
- 传输模式（Transport Mode） ：主要用于防止有人使用数据包嗅探器从金融服务器或网络中的任何会话窃取数据。它只对有效负载进行加密，通常用于内部网络中客户端与服务器之间的通信。
- 隧道模式（Tunnel Mode） ：可作为 VPN 协议的一部分，是 L2TP/IPSec 隧道协议的组成部分，被思科、微软等主要 VPN 解决方案供应商使用。此模式会对头部和有效负载都进行加密，适用于跨互联网的 IPSec 会话。

IPSec 会话的建立分为两个阶段：
- 第一阶段 ：创建安全隧道，即安全关联（Security Association），在 Security+ 考试中称为 Internet Key Exchange（IKE）。使用 Diffie Hellman 算法通过 UDP 端口 500 建立快速模式，创建安全会话以便数据传输。
- 第二阶段 ：使用 DES、3DES 或 AES 对数据进行加密。其中，AES 提供最安全的 VPN 会话，因为它使用 128、192 或 256 位密钥。

1.2 VPN 集中器与站点到站点 VPN

• VPN 集中器 ：其目的是在 IKE 阶段建立安全隧道，需要创建完整的 IPSec 隧道，常用于站点到站点 VPN。