各種協(xié)議的區(qū)別
2021年06月16日 返回>>
PPTP、L2TP�����、IPSec�、Open代理和SSTP的區(qū)別
代理(虛擬專用網(wǎng))發(fā)展至今已經(jīng)不在是一個單純的經(jīng)過加密的訪問隧道,它已經(jīng)融合了訪問控制�、傳輸管理、加密��、路由選擇���、可用性管理等多種功能����,并在全球的信息安全體系中發(fā)揮著重要的作用。
在網(wǎng)絡(luò)上�,有關(guān)各種代理協(xié)議優(yōu)缺點(diǎn)的比較是仁者見仁,智者見智��,很多技術(shù)人員由于出于使用目的考慮�����,包括訪問控制����、安全和用戶簡單易用,靈活擴(kuò)展等各方面�,權(quán)衡利弊,難以取舍��;尤其在VOIP語音環(huán)境中�����,網(wǎng)絡(luò)安全顯得尤為重要�����,因此現(xiàn)在越來越多的網(wǎng)絡(luò)電話和語音網(wǎng)關(guān)支持代理協(xié)議。
主流的代理協(xié)議有PPTP���、L2TP����、IPSec��、Open代理和SSTP
一����、PPTP
點(diǎn)對點(diǎn)隧道協(xié)議 (PPTP) 是由包括微軟和3Com等公司組成的PPTP論壇開發(fā)的一種點(diǎn)對點(diǎn)隧道協(xié)��,基于撥號使用的PPP協(xié)議使用PAP或CHAP之類的加密算法����,或者使用 Microsoft的點(diǎn)對點(diǎn)加密算法MPPE。其通過跨越基于 TCP/IP 的數(shù)據(jù)網(wǎng)絡(luò)創(chuàng)建 代理實(shí)現(xiàn)了從遠(yuǎn)程客戶端到專用企業(yè)服務(wù)器之間數(shù)據(jù)的安全傳輸�。PPTP 支持通過公共網(wǎng)絡(luò)(例如 Internet)建立按需的、多協(xié)議的��、虛擬專用網(wǎng)絡(luò)�。PPTP 允許加密 IP 通訊�,然后在要跨越公司 IP 網(wǎng)絡(luò)或公共 IP 網(wǎng)絡(luò)(如 Internet)發(fā)送的 IP 頭中對其進(jìn)行封裝��。
二�����、L2TP
第 2 層隧道協(xié)議 (L2TP) 是IETF基于L2F (Cisco的第二層轉(zhuǎn)發(fā)協(xié)議)開發(fā)的PPTP的后續(xù)版本����。是一種工業(yè)標(biāo)準(zhǔn) Internet 隧道協(xié)議,其可以為跨越面向數(shù)據(jù)包的媒體發(fā)送點(diǎn)到點(diǎn)協(xié)議 (PPP) 框架提供封裝����。PPTP和L2TP都使用PPP協(xié)議對數(shù)據(jù)進(jìn)行封裝,然后添加附加包頭用于數(shù)據(jù)在互聯(lián)網(wǎng)絡(luò)上的傳輸��。PPTP只能在兩端點(diǎn)間建立單一隧道���。 L2TP支持在兩端點(diǎn)間使用多隧道�,用戶可以針對不同的服務(wù)質(zhì)量創(chuàng)建不同的隧道�。L2TP可以提供隧道驗(yàn)證,而PPTP則不支持隧道驗(yàn)證�����。但是當(dāng)L2TP 或PPTP與IPSEC共同使用時,可以由IPSEC提供隧道驗(yàn)證����,不需要在第2層協(xié)議上驗(yàn)證隧道使用L2TP。 PPTP要求互聯(lián)網(wǎng)絡(luò)為IP網(wǎng)絡(luò)��。L2TP只要求隧道媒介提供面向數(shù)據(jù)包的點(diǎn)對點(diǎn)的連接�����,L2TP可以在IP(使用UDP)��,楨中繼永久虛擬電路(PVCs),X.25虛擬電路(VCs)或ATM VCs網(wǎng)絡(luò)上使用�����。
三���、IPSec
IPSec 隧道模式隧道是封裝、路由與解封裝的整個過程�����。隧道將原始數(shù)據(jù)包隱藏(或封裝)在新的數(shù)據(jù)包內(nèi)部����。
該新的數(shù)據(jù)包可能會有新的尋址與路由信息�����,從而使其能夠通 過網(wǎng)絡(luò)傳輸�。
隧道與數(shù)據(jù)保密性結(jié)合使用時�����,在網(wǎng)絡(luò)上竊聽通訊的人將無法獲取原始數(shù)據(jù)包數(shù)據(jù)(以及原始的源和目標(biāo))�����。
封裝的數(shù)據(jù)包到達(dá)目的地后�,會刪除封裝,原始數(shù)據(jù)包頭用于將數(shù)據(jù)包路由到最終目的地��。
隧道本身是封裝數(shù)據(jù)經(jīng)過的邏輯數(shù)據(jù)路徑���,對原始的源和目的端���,隧道是不可見的,而只能看到網(wǎng)絡(luò)路徑中的點(diǎn)對點(diǎn)連接。
連接雙方并不關(guān)心隧道起點(diǎn)和終點(diǎn)之間的任何路由器�、交換機(jī)、代理服務(wù)器或其他安全網(wǎng)關(guān)���。將隧道和數(shù)據(jù)保密性結(jié)合使用時���,可用于提供代理。
封裝的數(shù)據(jù)包在網(wǎng)絡(luò)中的隧道內(nèi)部傳輸���。在此示例中�����,該網(wǎng)絡(luò)是 Internet�。網(wǎng)關(guān)可以是外部 Internet 與專用網(wǎng)絡(luò)間的周界網(wǎng)關(guān)�。
周界網(wǎng)關(guān)可以是路由器、防火墻���、代理服務(wù)器或其他安全網(wǎng)關(guān)。另外����,在專用網(wǎng)絡(luò)內(nèi)部可使用兩個網(wǎng)關(guān)來保護(hù)網(wǎng)絡(luò)中不信任的通訊。
當(dāng)以隧道模式使用 IPSec 時,其只為 IP 通訊提供封裝�。使用 IPSec 隧道模式主要是為了與其他不支持 IPSec 上的 L2TP 或 PPTP ××× 隧道技術(shù)的路由器、網(wǎng)關(guān)或終端系統(tǒng)之間的相互操作�����。
四��、Open代理
SSL協(xié)議提供了數(shù)據(jù)私密性��、端點(diǎn)驗(yàn)證���、信息完整性等特性�。SSL協(xié)議由許多子協(xié)議組成�����,其中兩個主要的子協(xié)議是握手協(xié)議和記錄協(xié)議�。
握手協(xié)議允許服務(wù)器和客戶端在應(yīng)用協(xié)議傳輸?shù)谝粋€數(shù)據(jù)字節(jié)以前,彼此確認(rèn)�����,協(xié)商一種加密算法和密碼鑰匙���。
在數(shù)據(jù)傳輸期間�����,記錄協(xié)議利用握手協(xié)議生成的密鑰加密和解密后來交換的數(shù)據(jù)����。
SSL獨(dú)立于應(yīng)用,因此任何一個應(yīng)用程序都可以享受它的安全性而不必理會執(zhí)行細(xì)節(jié)����。
SSL置身于網(wǎng)絡(luò)結(jié)構(gòu)體系的 傳輸層和應(yīng)用層之間。此外����,SSL本身就被幾乎所有的Web瀏覽器支持。
這意味著客戶端不需要為了支持SSL連接安裝額外的軟件�。這兩個特征就是SSL能應(yīng)用于×××的關(guān)鍵點(diǎn)。
典型的SSL代理應(yīng)用如Open代理,是一個比較好的開源軟件����。PPTP主要為那些經(jīng)常外出移動或家庭辦公的用戶考慮;
而Open代理主要是針對企業(yè)異地兩地總分公司之間的代理不間斷按需連接��,例如ERP在企業(yè)中的應(yīng)用�����。
Open代理允許參與建立代理的單點(diǎn)使用預(yù)設(shè)的私鑰��,第三方證書��,或者用戶名/密碼來進(jìn)行身份驗(yàn)證��。
它大量使用了OpenSSL加密庫�����,以及SSLv3/TLSv1 協(xié)議�。Open×××能在Linux、xBSD���、Mac OS X與Windows 2000/XP上運(yùn)行����。
它并不是一個基于Web的代理軟件����,也不與IPsec及其他代理軟件包兼容。
隧道加密
Open代理使用OpenSSL庫加密數(shù)據(jù)與控制信息:它使用了OpesSSL的加密以及驗(yàn)證功能�����,意味著,它能夠使用任何OpenSSL支持的算法�����。
它提供了可選的數(shù)據(jù)包HMAC功能以提高連接的安全性�����。此外��,OpenSSL的硬件加速也能提高它的性能��。
驗(yàn)證
Open代理提供了多種身份驗(yàn)證方式���,用以確認(rèn)參與連接雙方的身份�,包括:預(yù)享私鑰����,第三方證書以及用戶名/密碼組合。預(yù)享密鑰最為簡單����,但同時它只能用于建立點(diǎn)對點(diǎn)的代理�����;基于PKI的第三方證書提供了最完善的功能,但是需要額外的精力去維護(hù)一個PKI證書體系����。Open代理2.0后引入了用戶名/口令組合的身份驗(yàn)證方式,它可以省略客戶端證書���,但是仍有一份服務(wù)器證書需要被用作加密����。
網(wǎng)絡(luò)
Open代理所有的通信都基于一個單一的IP端口�����,默認(rèn)且推薦使用UDP協(xié)議通訊��,同時TCP也被支持���。Open代理連接能通過大多數(shù)的代理服務(wù)器����,并且能夠在NAT的環(huán)境中很好地工作。服務(wù)端具有向客戶端“推送”某些網(wǎng)絡(luò)配置信息的功能�,這些信息包括:IP地址、路由設(shè)置等�。Open代理提供了兩種虛擬網(wǎng)絡(luò)接口:通用Tun/Tap驅(qū)動,通過它們����,可以建立三層IP隧道,或者虛擬二層以太網(wǎng)�,后者可以傳送任何類型的二層以太網(wǎng)絡(luò)數(shù)據(jù)。傳送的數(shù)據(jù)可通過LZO算法壓縮���。IANA(Internet Assigned Numbers Authority)指定給Open代理的官方端口為1194����。Open代理2.0以后版本每個進(jìn)程可以同時管理數(shù)個并發(fā)的隧道�����。
Open代理使用通用網(wǎng)絡(luò)協(xié)議(TCP與UDP)的特點(diǎn)使它成為IPsec等協(xié)議的理想替代���,尤其是在ISP(Internet service provider)過濾某些特定代理協(xié)議的情況下���。在選擇協(xié)議時候���,需要注意2個加密隧道之間的網(wǎng)絡(luò)狀況,如有高延遲或者丟包較多的情況下�����,請選擇 TCP協(xié)議作為底層協(xié)議�����,UDP協(xié)議由于存在無連接和重傳機(jī)制���,導(dǎo)致要隧道上層的協(xié)議進(jìn)行重傳,效率非常低下����。
安全
Open代理與生俱來便具備了許多安全特性:它在用戶空間運(yùn)行,無須對內(nèi)核及網(wǎng)絡(luò)協(xié)議棧作修改���;
初始完畢后以chroot方式運(yùn)行��,放棄root權(quán)限���;使用mlockall以防止敏感數(shù)據(jù)交換到磁盤�。Open代理通過PKCS#11支持硬件加密標(biāo)識�����,如智能卡���。
五�����、SSTP
安全套接字隧道協(xié)議(Secure Socket Tunneling Protocol�,SSTP)是一種×××隧道的形式�����,提供了一種通過SSL3.0通道傳輸PPP或L2TP流量的機(jī)制��。
SSL利用密鑰協(xié)商提供傳輸級別的安全性��。通過TCP端口443使用SSL�,允許SSTP通過幾乎所有的防火墻和代理服務(wù)器,除了需要身份驗(yàn)證的Web代理����。
SSTP可用于Linux��、BSD和Windows��。MikroTik的RouterOS還包括一個SSTP客戶端和服務(wù)器端��。對于Windows���,SSTP僅可用于自Windows Vista SP1之后的系統(tǒng)。
這種SSTP只適用于遠(yuǎn)程訪問���,通常不支持站點(diǎn)與站點(diǎn)之間的×××隧道。RouterOS的版本有沒有這樣的限制��。
蝸牛軟件
旗訊軟件
迅游軟件
