Microsoft专用安全网络访问(虚拟专用网络和内联网安全性)
WindowsServer2022R2网络安全巧设置网络安全法
WindowsServer2022R2网络安全巧设置网络安全法网络位置第一次连接到网络时,必须选择网络位置。
这将为所连接网络的类型自动设置适当的防火墙和安全设置。
如果用户在不同的位置(例如,家庭、本地咖啡店或办公室)连接到网络,则选择一个网络位置可帮助确保始终将用户的计算机设置为适当的安全级别。
在WindowServer2022中,有四种网络位置:家庭网络:对于家庭网络或在用户认识并信任网络上的个人和设备时,请选择“家庭网络”。
家庭网络中的计算机可以属于某个家庭组。
对于家庭网络,“网络发现”处于启用状态,它允许用户查看网络上的其他计算机和设备并允许其他网络用户查看用户的计算机。
工作网络:对于小型办公网络或其他工作区网络,请选择“工作网络”。
默认情况下,“网络发现”处于启用状态,它允许用户查看网络上的其他计算机和设备并允许其他网络用户查看用户的计算机,但是,用户无法创建或加入家庭组。
公用网络:为公共场所(例如,咖啡店或机场)中的网络选择“公用网络”。
此位置旨在使用户的计算机对周围的计算机不可见,并且帮助保护计算机免受来自Internet的任何恶意软件的攻击。
家庭组在公用网络中不可用,并且网络发现也是禁用的。
如果用户没有使用路由器直接连接到Internet,或者具有移动宽带连接,也应该选择此选项。
域网络:“域”网络位置用于域网络(如在企业工作区的网络)。
这种类型的网络位置由网络管理员控制,因此无法选择或更改。
Window防火墙如何影响网络位置在公共场所连接网络时,“公用网络”位置会阻止某些程序和服务运行,这样有助于保护计算机免受未经授权的访问。
如果连接到“公用网络”并且Window防火墙处于打开状态,则某些程序或服务可能会要求用户允许它们通过防火墙进行通信,以便让这些程序或服务可以正常工作。
在用户允许某个程序通过防火墙进行通信后,对于具有的位置与当前所连接到的位置相同的每个网络,也会允许该程序进行通信。
网络基础的知识点总结
网络基础的知识点总结网络基础是指构成计算机网络的各种基本要素、基本原理及其组成部分。
网络基础知识包括网络的定义、网络的分类、网络的拓扑结构、网络的协议、网络的协议分层、网络的传输介质、网络的拓扑结构、网络的设备和网络的安全等。
本文将从以下几个方面对网络基础知识点进行总结。
一、网络的定义网络是指由互相连接的计算机和其他设备组成的系统。
这些设备之间通过通信线路进行数据交换,以实现信息共享、资源共享和协同工作等功能。
网络的定义还可以从不同角度进行,比如从技术角度定义,从社会经济角度定义等。
二、网络的分类网络按照其规模、拓扑结构、使用的技术和应用等不同情况,可以分为以下几类:1.按规模分类:局域网(LAN)、城域网(MAN)、广域网(WAN)等。
2.按拓扑结构分类:总线型、星型、环型、网状型等。
3.按使用的技术分类:有线网络和无线网络等。
4.按应用分类:互联网(Internet)、企业内联网(Intranet)、虚拟专用网络(VPN)等。
三、网络的拓扑结构网络的拓扑结构是指网络中各个节点之间的连接方式。
常见的网络拓扑结构有总线型、星型、环型、网状型等。
1.总线型拓扑结构:所有节点都连接在一条公共的传输线上,节点之间共享传输介质。
2.星型拓扑结构:所有节点都连接到一个中心节点,中心节点负责转发数据。
3.环型拓扑结构:所有节点通过传输介质组成一个环形结构,数据通过环形传输。
4.网状型拓扑结构:各节点之间都可以直接连接,形成一个网状结构。
不同的拓扑结构适用于不同的网络场景,可以根据实际需求选择合适的拓扑结构。
四、网络的协议网络的协议是指网络中各个设备之间进行通信时,需要遵循的一套规则和约定。
常见的网络协议有TCP/IP协议、UDP协议、ICMP协议等。
1.TCP/IP协议是互联网上最常用的一种协议,它将数据分割成数据包进行传输,保证数据的可靠性和完整性。
2.UDP协议是无连接协议,它不保证数据的可靠性和完整性,适用于实时性要求较高的应用场景。
电脑网络安全防护VPN和防火墙的作用和设置方法
电脑网络安全防护VPN和防火墙的作用和设置方法随着互联网的快速发展,网络安全问题日益成为人们关注的焦点。
在网络使用过程中,VPN和防火墙作为两种重要的安全防护工具,发挥着至关重要的作用。
本文将分析VPN和防火墙在电脑网络安全中的作用,以及它们的设置方法。
VPN(Virtual Private Network)是一种通过公共网络建立私人网络的技术。
它通过加密、隧道传输等技术手段,实现用户在公共网络上进行安全数据传输和通信的目的。
VPN的作用主要体现在以下几个方面:首先,VPN可以加密网络数据传输,保护用户的隐私信息不被窃取。
在传输过程中,VPN将数据进行加密处理,防止黑客截取或篡改用户的信息,确保用户数据的安全性。
其次,VPN可以访问受限内容和网站。
在某些地区或网络环境下,用户可能无法访问一些特定网站或内容。
通过连接VPN,用户可以更改IP地址,实现访问受限内容的目的。
另外,VPN可以保护用户的网络链接免受窥视。
在使用公共无线网络或不安全网络环境时,黑客可能通过监听网络数据包的方式窥探用户的网络行为。
而连接VPN可以有效避免用户信息泄露的风险。
除了VPN外,防火墙(Firewall)也是一种常见的网络安全工具。
防火墙通过检测网络数据包的来源、目的和内容,对数据包进行过滤和识别,从而保护网络免受恶意攻击。
防火墙的作用主要体现在以下几个方面:首先,防火墙可以监控网络流量,阻止恶意攻击。
当网络设备收到数据包时,防火墙会检测数据包的来源和内容,并根据预设的规则对数据包进行处理,过滤掉潜在的网络威胁。
其次,防火墙可以限制网络访问权限,阻止未经授权的访问。
管理员可以通过配置防火墙规则,对网络流量进行控制和管理,防止未经授权的用户访问受限资源。
另外,防火墙还可以保护网络免受恶意软件和病毒的侵害。
通过实时监测网络流量和数据包,防火墙可以及时发现并拦截携带恶意代码的数据包,避免网络安全事件的发生。
针对VPN和防火墙的设置方法,具体步骤如下:首先,配置VPN时,用户需要选择合适的VPN协议和服务提供商。
图解VPN
1.关于VPN(1)虚拟专用网络(Virtual Private Network,VPN)是专用网络的延伸,它包含了类似Internet 的共享或公共网络链接。
通过VPN可以以模拟点对点专用链接的方式通过共享或公共网络在两台计算机之间发送数据。
(2)如果说得再通俗一点,VPN实际上是"线路中的线路",类型于城市大道上的"公交专用线",所不同的是,由VPN组成的"线路"并不是物理存在的,而是通过技术手段模拟出来,即是"虚拟"的。
不过,这种虚拟的专用网络技术却可以在一条公用线路中为两台计算机建立一个逻辑上的专用"通道",它具有良好的保密和不受干扰性,使双方能进行自由而安全的点对点连接,因此被网络管理员们非常广泛地关注着。
(3)本节的VPN服务器端使用Win2K;客户机端使用Win98。
2.配置VPN服务器(1)尚未配置:Win2K中的VPN包含在"路由和远程访问服务"中。
当你的Win2K服务器安装好之后,它也就随之自动存在了!不过此时当你打开"管理工具"中的"路由和远程访问"项进入其主窗口后,在左边的"树"栏中选中"服务器准状态",即可从右边看到其"状态"正处于"已停止(未配置)"的情况下。
(2)开始配置:要想让Win2K计算机能接受客户机的VPN拨入,必须对VPN服务器进行配置。
在左边窗口中选中"SERVER"(服务器名),在其上单击右键,选"配置并启用路由和远程访问"。
(3)如果以前已经配置过这台服务器,现在需要重新开始,则在"SERVER"(服务器名)上单击右键,选"禁用路由和远程访问",即可停止此服务,以便重新配置!(4)当进入配置向导之后,在"公共设置"中,点选中"虚拟专用网络(VPN)服务器",以便让用户能通过公共网络(比如Internet)来访问此服务器。
了解电脑网络安全VPN防火墙和加密技术
了解电脑网络安全VPN防火墙和加密技术电脑网络安全一直以来都备受关注,针对网络攻击和数据泄露的威胁,VPN (Virtual Private Network,虚拟专用网络)、防火墙和加密技术被广泛使用。
本文将就这些关键技术进行详细介绍。
一、VPN(Virtual Private Network,虚拟专用网络)VPN是一种通过公共网络在私有网络之间建立安全连接的技术。
简单来说,就是把我们的在线活动通过加密通道传输,实现隐私和数据安全保护。
VPN的工作原理是在公共网络上建立加密的数据通道,确保数据在传输过程中不被拦截或篡改。
它通过使用隧道协议(例如PPTP、L2TP/IPSec、SSTP、OpenVPN等),将用户的数据封装在隧道内部,以保证用户数据的机密性、完整性和可靠性。
使用VPN的好处不仅仅是保护个人隐私和数据安全,还能够访问受限制的网站或服务,突破地理限制,实现匿名上网等。
二、防火墙(Firewall)防火墙是一个网络安全设备,用于监视和控制进出网络的网络流量。
它通过查看数据包的源地址、目的地址、端口号等信息,来判断是否允许通过。
防火墙有两种类型:软件防火墙和硬件防火墙。
软件防火墙是安装在计算机上的一种软件程序,用于监控和过滤网络流量。
而硬件防火墙是一种专用的物理设备,位于网络和互联网之间,可以阻止未经授权的访问和攻击。
防火墙通过过滤、封锁或允许特定的网络流量来保护网络免受攻击,防范恶意软件和未经授权的访问。
它还可以监控网络流量、检测和阻止潜在的入侵,并记录安全事件以供审查。
三、加密技术加密技术是一种将原始数据转换为密文的过程,以保护数据的安全性和保密性。
它使用一种密钥来对数据进行编码,只有拥有正确密钥的人才能解密并还原数据。
常见的加密技术包括对称加密和非对称加密。
对称加密使用相同的密钥对数据进行加密和解密,加密和解密速度快,但需要确保密钥的安全性。
非对称加密使用公钥和私钥两个不同的密钥进行加密和解密,安全性更高,但加密和解密速度相对较慢。
如何使用虚拟专用网络(VPN)提高个人电脑安全性
如何使用虚拟专用网络(VPN)提高个人电脑安全性在当今数字化时代,随着互联网的普及,个人电脑的安全性越来越受到威胁。
黑客、广告商和其他潜在的隐私侵犯者可能会监视和窃取您的个人信息。
为了保护个人电脑安全,许多人开始使用虚拟专用网络(VPN)服务。
本文将介绍如何正确使用VPN来提高个人电脑的安全性。
一、VPN的定义VPN是一种加密通信工具,通过在连接您的设备和互联网之间建立的安全隧道中传输数据来保护您的隐私和安全。
它创建了一个虚拟的隧道,使得外部人员无法拦截或访问您的数据。
使用VPN,您的所有网络流量都会通过该隧道传输,从而确保您的数据安全。
二、选择可信赖的VPN提供商要确保个人电脑的安全性,选择一个可信赖的VPN提供商至关重要。
以下是选择VPN提供商时应注意的几个重要因素:1. 隐私政策:仔细阅读和了解提供商的隐私政策。
确保他们不会记录您的在线活动,并且不会共享或出售您的个人数据。
2. 加密技术:确保提供商使用高强度的加密技术来保护数据传输。
常见的加密技术包括OpenVPN、IPsec和L2TP。
3. 服务器位置:选择拥有多个服务器位置的提供商。
这样一来,您可以从全球范围内的服务器选择连接,从而获得更好的连接速度和更大的隐私保护。
4. 日志记录政策:查找提供商的日志记录政策。
最好选择那些不会记录您的连接日志和网络活动日志的提供商。
三、安装和配置VPN一旦选择了合适的VPN提供商,接下来是安装和配置VPN。
下面是一些安装和配置VPN的基本步骤:1. 下载和安装:根据您的操作系统,从VPN提供商的官方网站下载并安装适用于您设备的VPN客户端。
2. 设置账户:打开VPN客户端并设置您的账户。
这通常涉及输入您从提供商那里获得的用户名和密码。
3. 选择服务器位置:选择您想要连接的服务器位置。
如果您只是为了提高电脑的安全性,选择一个与您所在地区较远的服务器可以增加匿名性和保护。
4. 连接VPN:通过点击“连接”按钮连接到VPN网络。
MLPS-VPN的关键技术分析
MLPS VPN的关键技术分析摘要随着Internet的普及和发展,基于MPLS的虚拟专用网技术引起了人们的广泛关注,它利用MPLS骨干网络去建立VPN,只需要在网络服务提供商所提供的网络上建立一条虚拟的线路进行网络交流。
MPLS VPN不是依靠封装和加密技术,而是依靠转发表和数据包的标记来创建一个安全的VPN。
它势必成为未来网络安全研究和Internet应用的一个重要方向。
MPLS VPN能够利用公用骨干网络的广泛而强大的传输能力,降低企业内部网络/Internet的建设成本,极大地提高用户网络运营和管理的灵活性,同时能够满足用户对信息传输安全性、实时性、宽频带、方便性的需要,所以,很受一些大型跨地域集团用户的欢迎。
据研究,MPLS VPN代替租用专线能使远程站点的连接费用降低20%到47%,在远程投入的情况下,能降低60%至80%的成本。
VPN在为用户产生效益的同时,也为自己开拓了广阔的发展前景。
关键词:MPLS VPN技术1.MPLS VPN技术的概念、工作原理MPLS VPN是一种基于VPN技术的IP-VPN, 是在网络路由和交换设备上应用MPLS 技术,简化核心路由器的路由选择方式, 利用结合传统路由技术的标记交换实现的护虚拟专用网络(IP-VPN), 它是由Cisco 标记交换演变而来的IETF 的标准协议.标记表示路径和服务的属性, 在入口的边缘、流入的数据包被处理做上标记, 位于核心的设备仅仅读这些标记,斌于适当的服务,然后根据标记转发这些数据包, 对这些数据包的分析、分类和过滤只发生一次, 在进入边缘设备时,经过出口的边缘设备时, 标记被移去,数据包转发到最终目的地。
2. 实现VPN的关键技术2.1 隧道技术VPN区别于一般网络互联的关键是隧道的建立,然后数据经过加密,按隧道协议进行封装、传输以保证安全性。
现有两种类型的隧道协议,一种是二层隧道协议,用于传输第二层网络协议,它主要应用于构建远程访问VPN;另一种是三层隧道协议,用于传输第三层网络协议,它主要应用于构建Internet VPN和Extranet VPN.2.2 加密技术数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非授权者不能了解被保护信息的内容。
虚拟专用网络VPN
1虚拟专用网络(VPN)虚拟专用网络(Virtual Private Network ,简称VPN)指的是在公用网络上建立专用网络的技术。
其之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,如Internet、ATM(异步传输模式〉、Frame Relay (帧中继)等之上的逻辑网络,用户数据在逻辑链路中传输。
它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。
VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。
意义VPN属于远程访问技术,简单地说就是利用公网链路架设私有网络。
例如公司员工出差到外地,他想访问企业内网的服务器资源,这种访问就属于远程访问。
怎么才能让外地员工访问到内网资源呢?VPN的解决方法是在内网中架设一台VPN服务器,VPN服务器有两块网卡,一块连接内网,一块连接公网。
外地员工在当地连上互联网后,通过互联网找到VPN服务器,然后利用VPN服务器作为跳板进入企业内网。
为了保证数据安全,VPN服务器和客户机之间的通讯数据都进行了加密处理。
有了数据加密,就可以认为数据是在一条专用的数据链路上进行安全传输,就如同专门架设了一个专用网络一样。
但实际上VPN使用的是互联网上的公用链路,因此只能称为虚拟专用网。
即:VPN实质上就是利用加密技术在公网上封装出一个数据通讯隧道。
有了VPN技术,用户无论是在外地出差还是在家中办公,只要能上互联网就能利用VPN非常方便地访问内网资源,这就是为什么VPN在企业中应用得如此广泛。
在传统的企业网络配置中,要进行异地局域网之间的互连,传统的方法是租用dsn(数字数据网)专线或帧中继。
这样的通讯方案必然导致高昂的网络通讯/维护费用。
对于移动用户(移动办公人员)与远端个人用户而言,一般通过拨号线路(Internet)进入企业的局域网,而这样必然带来安全上的隐患。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
操作系统Microsoft 专用安全网络访问:虚拟专用网络和内联网安全性白皮书摘要Microsoft® Windows®操作系统包括了保护专用和公共网络间通讯的技术。
Microsoft目前的产品提供了许多工具,这些工具在链路层和传输层提供安全性的服务,它们同样为电子邮件提供应用层的安全性。
链路层安全性对远程访问通讯的传输和对分支网络连接的传输都进行数据加密。
传输层安全性则允许保护基于TCP的协议,包括World Wide Web通讯。
另外,Windows 2000将通过Internet Protocol (网间协议,简称IP) 安全,或者叫IPSec,提供端到端的网络层安全性服务。
IPSec允许受保护的服务在内部网络中使用。
此白皮书主要集中于链路层和端到端连接方案的安全性。
它解释了微软公司为何致力于支持Point-to-Point Tunneling Protocol (点到点隧道协议,简称PPTP),Layer 2 Tunneling Protocol (第二层隧道协议,简称L2TP),和IPSec协议以便满足不同消费者的需求。
此白皮书还详细介绍了微软公司在Windows操作系统上实现这些协议的计划。
© 1999 Microsoft Corporation. 保留所有权利这份文档中的内容反应了目前微软公司关于所讨论问题的观点。
由于Microsoft将会根据市场的变化做出反应,此份文档不能够被认为是Microsoft做出的承诺,并且对以下提到的信息在发布以后的准确性不负任何责任。
白皮书仅用于交换信息。
Microsoft在此份文档中没有作出任何直接表述的或暗示的保证。
Microsoft, Active Directory, MSN, Windows, 和Windows NT都是Microsft公司在美国和/或者其他国家的注册商标或者商标。
文中提到其他产品或公司名称都属于各自的公司所有的商标。
Microsoft Corporation • One Microsoft Way •Redmond, WA 98052-6399 • USA0599简介 (1)目录用于保护网络通讯的协议 (3)IPSec 的设计目标和总览 3L2TP设计目标和总览 3PPTP设计目标和总览 4微软公司对IPSEC、L2TP/IPSEC和PPTP协议的立场 (6)IPSec 6L2TP/IPSec 6PPTP 6微软公司对IPSEC、L2TP和PPTP的支持 (8)IPSec 8L2TP 9PPTP 9远程访问策略管理9客户机管理9对于安全网络通讯的平台支持 (11)进一步的信息 (12)简介对于规模各异的各种企业来说, 网络安全的重要性在日益增加。
不论是否需要保护在远程访问进程、分支网络、或者因特网中传输的信息,解决这种形式的安全问题都是必需的。
一般来说,安全性并不是一个单一的产品或者技术,它是多种技术和管理策略的一个集成,管理策略提供了一个保护措施,这种措施在可应用的范围和可接受的风险之间进行了均衡。
微软公司非常严肃认真地对待安全性的问题,并积极主动开展多项工作,以便为消费者提供轻松制定并管理安全策略的技术和工具。
安全服务包括机密性、完整性保护、认证、授权和回放保护。
在这些工具中,是网络加密服务帮助减小了在公共或者专用网络中传输敏感信息的风险。
微软公司同样非常关心用户的总成本,并致力于提供标准的解决方案以便在Windows平台上能提供最大的通讯互操作性和灵活性。
保护网络安全有三种主要的模型,微软公司支持其中的每一种:∙今天,许多应用程序驻留在计算机上,以便用于通过公共或者专门网络进行的访问,它们通过HTTPS、SOCKS、或者SSL等传输层安全性技术提供保护。
由SSL/TLS提供的传输层安全性是指为了使用这些安全服务而专门改写的基于TCP的应用程序,微软公司通过它的产品广泛地支持SSL/TLS。
然而SSL/TLS的应用并不很适合集中管理的模式,因为这些服务常常以逐页使用的方式工作。
SOCKS是一个已认证了的防火墙穿越协议,它提供可扩展的认证,以及对连入和连出的会话的颗粒化认证。
尽管微软公司不支持SOCKS V,但是SOCKS V仍然可以在支持TCP和UDP的协议中使用,而且可以应用于集中的管理。
由此,SSL/TLS和SOCKS技术相互补充,可以一起来使用,在虚拟专用网络内和外部网上提供传输层安全性。
∙许多公司使用专用或可靠的网络基本设施,包括内部和外部有线设备和广域网,这样通过虚拟或物理的安全性提供一定的专用性。
然而,这些网络并不能防备疏忽大意产生的危险,也不能在信息通过网络时防止外面的人浏览。
由于绝大多数入侵突破都发生在一个公司的网络内部,因此我们需要特别的技术来防止信息被盗窃或者攻击。
∙端到端网络安全性由安全技术和协议组成,这些技术和协议对通讯进行透明的保护。
要获得此安全性,细致的网络规划和配置是必需的。
这些工具一般通过管理策略来管理,以便在不涉及应用程序和终端用户的情况下,在通过网络进行传输时能够对通讯进行很好的保护。
根据虚拟专用网络(VPN)主要的分类,所有三种模型都在工业标准中被讨论了。
尽管每个模型都在一定程度上提供了专用网络的功能,这个泛泛的定义还是很让人迷惑。
因此,微软公司采用了对于该名称的一个更严格的定义,并使用“VPN”指通过公共或不可靠的网络基础结构来提供安全性。
它包括:∙保护从客户机到网关的远程访问,这些访问或者通过因特网,或者在专用网络内部,或者通过外联的(Outsourced)网络。
∙保护网关到网关的连接,这些连接或者通过因特网,或者通过专用或外联的网络。
另外,依靠第一个实现在专用网络中保护端到端通讯的操作系统集成的解决方案,微软公司成为了该行业的领先者。
Windows 2000利用Active Directory™(活动目录)目录服务和IPSec(网间协议安全性)的集成来传递基于安全管理的中央控制策略。
此文讨论了微软公司对于VPN和端到端模型网络安全性的看法和方向。
它描述了主要网络协议之间的重要的不同之处,讨论了微软公司和这些协议间的关系,并解释微软公司在其操作系统中如何支持这些协议。
用于保护网络通讯的协议在过去的几年中,出现了许多协议,它们可以被分类到VPN协议和通讯加密协议两种。
这些协议包括:∙Internet Protocol Security (IPSec) ——一个体系结构、协议和相关的网间密钥交换(IKE)协议,由IETF RFCs 2401-2409描述。
∙Layer 2 Forwarding (第二层转接,简称L2F) ——由Cisco系统提出。
∙Layer 2 Tunneling Protocol (第二层隧道协议,简称L2TP) —— PPTP和L2F的一个结合,它由IETF的标准过程进化而来。
∙Point-to-Point Tunneling Protocol (点到点隧道协议,简称PPTP) ——由PPTP 行业论坛创建(包括US Robotics(现在是3Com)、3Com/PrimaryAccess、Ascend、 Microsoft、和ECI Telematics)。
尽管许多人认为IPSec、L2TP、和PPTP是极具竞争力的技术,但是这些协议只能提供适用于不同用途的不同功能。
要很好地理解这个问题,考虑一下这些协议的设计目标和技术差别是很有用的。
IPSec 的设计目标和总览IPSec为网间协议通讯提供完整性保护、认证和(可选的)专用性和回放保护服务:IPSec数据包有两种类型:∙IP协议50叫做Encapsulating Security Payload (负载的安全性封装,简称ESP)格式,它提供专用性、认证和完整性。
∙IP协议51叫做Authentication Header (认证头,简称AH)格式,它只描述数据包的完整性和认证,但是没有专用性。
IPSec可以在两种模式中使用:传输模式,它确保一个现有的IP数据包从数据源到目的地正确地传输;隧道模式,它将一个现有的IP数据包放入一个新的IP数据包中,这个新的IP数据包以IPSec格式被送到一个隧道的端点。
传输模式和隧道模式都可以被封装在ESP或者AH头中。
IPSec传输模式被设计用来为两个通讯系统间端到端的IP通讯提供安全性保障,例如保护一个TCP连接或者一个UDP数据报文。
IPSec隧道协议主要为网络中继点、路由器或者网关而设计,它主要保护在一个IPSec隧道内的其他IP通讯,这个隧道通过一个公共的,或者不可靠的IP网络(例如互联网)将一个专用网络和另一个专用网络相连接。
在两种情况下,通过Internet Key Exchange(网络密钥交换,简称IEK)就在两台计算机之间形成了一个复杂的安全协定,一般使用PKI来认证双方的真实可靠性。
IETF RFC IPSec隧道协议的技术规范不包括适用于远程访问VPN客户机的机制,省却的功能包括用户认证选项或者客户机IP地址配置。
要将IPSec隧道模式应用于远程访问,一些供应商选择用专用的方法来扩展协议以解决这些问题。
尽管这些扩展中的一部分写成了互联网草案的文档,它们仍然缺乏标准的形式,并且通常不能相互操作。
由此导致消费者必须仔细考虑这些技术的实现是否支持多供应商的互操作性。
L2TP设计目标和总览L2TP是一项成熟的被广泛使用的IETF标准协议。
L2TP封装了Point-to-PointProtocol (PPP)帧,以便通过IP、X.25帧中继,或者异步传输模式(ATM)网络传输。
当配置为使用IP进行传输时,L2TP可以作为一个在互联网上的VPN隧道协议使用。
IP上传输的L2TP使用UDP的1701端口,并且包括了一系列维护隧道的L2TP控制消息。
L2TP同样使用UDP来发送L2TP封装的PPP帧作为隧道数据。
被封装的PPP帧可以被加密或者被压缩。
当L2TP隧道作为IP数据包出现时,它们使用IPSec传输模式完成高度集成、回放、认证和专用保护等功能,从而充分利用了标准IPSec的安全性。
L2TP是专门为客户机连接到网络访问服务器而设计的,它也同样适用于网关到网关的连接。
通过使用PPP,L2TP协议获得了IPX和Appletalk等多种协议的支持。
PPP还提供了一个可扩展的用户认证选择,包括CHAP、MS-CHAP、MS-CHAPv2和Extensible Authentication Protocol(可扩展认证协议,简称EAP),EAP支持令牌卡和智能卡认证机制。
利用IPSec良好的而且满足互操作的安全性,L2TP/IPSec提供了精确定义并且可以互操作的隧道操作。
这是保护远程访问和网关到网关访问的一个非常好的解决方案。