网络安全 频道

3Com防火墙实现VPN功能(2)

点到点隧道协议-PPTPPPTP协议在一个已存在的IP连接上封装PPP会话,只要网络层是连通的,就可以运行PPTP协议。PPTP协议将控制包与数据包分开,控制包采用TCP控制,用于严格的状态查询以及信令信息;数据包部分先封装在PPP协议中,然后封装到GRE V2协议中GRE是通用路由封装协议,用于在标准IP包中封装任何形式的数据包,因此PPTP可以支持所有的协议,包括IP,IPX,NetBEUI等等。除了搭建隧道,PPTP本身没有定义加密机制,但它继承了PPP的认证和加密机制,包括认证机制PAP/CHAP/MS-CHAP以及加密机制MPPE。

  第二层隧道协议-L2TP

        L2TP是一个国际标准隧道协议,它结合了PPTP协议以及第二层转发L2F协议的优点。L2TP与PPTP的最大不同在于L2TP将控制包和数据包合二为一,并运行在UDP上,而不是TCP上。UDP省去了TCP中同步、检错、重传等机制,因此L2TP速度很快。与PPTP类似,L2TP也可支持多种协议。L2TP协议本身并没有提供任何加密功能。

  IPsec协议

  IPsec是标准的第三层安全协议,用于保护IP数据包或上层数据,它可以定义哪些数据流需要保护,怎样保护以及应该将这些受保护的数据流转发给谁。由于它工作在网络层,因此可以用于两台主机之间,网络安全网关之间(如防火墙,路由器),或主机与网关之间。

  IPsec协议分两种:ESP和AH,这两种协议都可以提供网络安全,如数据源认证(确保接收到的数据是来自发送方),数据完整性(确保数据没有被更改)以及防中继保护(确保数据到达次序的完整性)。除此之外,ESP协议还支持数据的保密性,能够确保其它人无法读取传送的数据,这实际上是采用加密算法来实现的。

  IPsec的安全服务要求支持共享钥匙完成认证和/或保密。在IPsec协议中引入了一个钥匙管理协议,称Internet钥匙交换协议-IKE,该协议可以动态认证IPsec对等体,协商安全服务,并自动生成共享钥匙。

0
相关文章