VPN概念：VPN即虚拟专用网，其基本技术原理是把需要经过公共网传递的报文（packet）加密处理后，再由公共网络发送到目的地。利用VPN技术能够在不可信任的公共网络上构建一条专用的安全通道，经过VPN传输的数据在公共网上具有保密性。

虚拟指网络连接特性是逻辑的而不是物理的。VPN是通过密码算法、标识鉴别、安全协议等相关的技术，在公共的物理网络上通过逻辑方式构造出来的安全网络。

VPN安全功能：保密性服务、完整性服务、认证服务。

VPN客户端尽量简化，将出现“零客户端”安装模式；---如浏览器模式

VPN网关一体化，综合集成多种接入模式，融合多种安全机制和安全功能；

VPN产品可能演变成可信网络产品；---不可信到可信

VPN提供标准安全管理数据接口，能够纳入SOC中心进行管理控制。

VPN技术风险：VPN产品代码实现的安全缺陷；VPN密码算法安全缺陷；VPN管理不当引发的安全缺陷

VPN类型：VPN有多种实现技术，按照VPN在TCP/IP协议层的实现方式，可以将其分为链路层VPN、网络层VPN、传输层VPN。链路层VPN的实现方式有ATM、Frame Relay、多协议标签交换MPLS；网络层VPN的实现方式有受控路由过滤、隧道技术；传输层VPN则通过SSL来实现。---SSL并非是传输层协议

密码算法：VPN的核心技术是密码算法，VPN利用密码算法，对需要传递的信息进行加密变换。常见的密码包括国外的DES、AES、IDE、RSA以及国内的SM1、SM4、SM3等。---即有非对称密码，也用对称密码

密钥管理：密钥的分发有两种方法。一种是通过手工配置的方式，可靠但是密钥更新速度慢，只适合简单网络；另一种采用密钥交换协议动态分发，是通过软件自动协商动态生成密钥，更新速度快，可以显著提高VPN的安全性。目前，主要的密钥交换与管理标准有SKIP（互联网简单密钥管理协议）和ISAKMP/Oakley（互联网安全联盟和密钥管理协议）

VPN连接中一般都包括两种形式的认证：

IPSec 是Internet Protocol Security 的缩写。根据IP 的安全需求， IPSec 工作组制定了相关的IP 安全系列规范：AH、ESP以及密钥交换协议。

①认证头（AuthenticationHeader，AH）：用于数据完整性认证和数据源认证。

②封装安全负荷（EncapsulatingSecurityPayIoad，ESP）：提供数据保密性，ESP也包括了防止重放攻击的顺序号。

③Internet密交换协议（InternetKeyExchange，IKE）：用于生成和分发在ESP和AH中使用的密钥，IKE也对远程系统进行初始认证。

IPSec的两种模式

SSL协议：是一种应用于传输层（---SSL不是传输层协议，只是应用与传输层）的安全协议，用于构建客户端和服务端之间的安全通道。SSL不是简单的单个协议，而是两层协议，包含：

SSL记录层协议用于传输数据的分段、压缩及解压缩、加密及解密、完整性校验等。

①握手协议用于身份鉴别和安全参数协商。---协商，建立连接

②密码规格变更协议用于通知安全参数的变更。---用于交换密码

③报警协议用于关闭通知和对错误进行报警。

SSL协议是介于应用层和TCP层之间的安全通信协议。其主要目的在于两个应用层之间相互通信时，使被传送的信息具有保密性及可靠性。SSL的工作原理是将应用层的信息加密或签证处理后经TCP/IP网络送至对方，收方经验证无误后解密还原信息。

SSL协议提供三种安全通信服务

SSL记录协议的数据处理过程

PPTP：是一个点到点的安全隧道协议。该协议的目标是给电话上网的用户提供VPN安全服务。PPTP是PPP协议的一种扩展，它提供了在IP网上构建安全通道机制，远程用户通过PPTP可以在客户机和PPTP服务器之间形成一条安全隧道，从而能够保证远程用户安全访问企业的内部网。

L2TP：用于保护设置L2TP-enabled的客户端和服务器的通信。客户端要求安装L2TP软件，采用专用的隧道协议，该协议运行在UDP的1701端口。

补充：PPTP和L2TP都使用PPP协议对数据进行封装，然后添加附加包头用于数据在互联网络上的传输。尽管两个协议非常相似，但是仍存在以下几方面的不同：

①PPTP要求互联网络为IP网络（---只能是这个网络）。L2TP只要求隧道媒介提供面向数据包的点对点的连接。

②PPTP只能在两端点间建立单一隧道。L2TP支持在两端点间使用多隧道。

③L2TP可以提供包头压缩。当压缩包头时，系统开销（overhead）占用4个字节，而PPTP协议下要占用6个字节。

④L2TP可以提供隧道验证，而PPTP则不支持隧道验证。

好的是L2TP，不好的都是PPTP

VPN技术普遍应用于网络通信安全和网络接入控制。商业产品有IPSec VPN网关、SSL VPN网关，或者集成IPSec、SSL安全功能的防火墙和路由器。开源产品如StrongSwan、OpenSwan、OpenSSL。

（1）密码算法要求

（2）产品功能要求

（3）产品性能要求

VPN 可分为三种应用类型：远程访问虚拟网(Access VPN) 、企业内部虚拟网(Intranet VPN) 和企业扩展虚拟网CExtranet VPN)。

①Access VPN主要解决远程用户安全办公问题，远程办公用户既要能远程获取到企业内部网信息，又要能够保证用户和企业内网的安全。远程用户利用VPN技术，通过拨号、ISDN等方式接入公司内部网。Access VPN一般包含两部分，远程用户VPN客广端软件和VPN接入设备

②构建内部安全专网：通过公用网络，如因特网，把分散在不同地理区域的企业办公点的局域网安全互连起来，实现企业内部信息的安全共享和企业办公自动化。---企业内部，如总公司和分公司使用VPN

③外部网络安全互联：利用VPN技术，在公共通信基础设施上把合作伙伴的网络或主机安全接到企业内部网，以方便企业与合作伙伴共享信息和服务，解决了企业外部机构接入安全和通信安全的问题，同时也降低了网络建设成本。---企业与合作伙伴