[科普中国]-虚拟私人网路

虚拟私人网络（VPN）通过公共网络扩展专用网络，并使用户能够跨共享或公共网络发送和接收数据，就好像他们的计算设备直接连接到专用网络一样。因此，通过VPN运行的应用程序可以从专用网络的功能，安全性和管理中受益。

开发VPN技术是为了允许远程用户和分支机构安全地访问企业应用程序和其他资源。为确保安全性，数据将通过安全隧道传输，VPN用户将使用身份验证方法（包括密码，令牌和其他唯一识别方法）来访问VPN。此外，互联网用户可以通过VPN保护他们的交易，绕过地理限制和审查，或者连接到代理服务器以保护个人身份和位置以在互联网上保持匿名。然而，一些互联网站点阻止访问已知的VPN技术以防止绕过其地理限制，并且许多VPN提供商一直在制定策略来绕过这些障碍。

类型早期的数据网络允许通过拨号调制解调器或通过租用线路连接进行VPN式远程连接，利用帧中继和异步传输模式（ATM）虚拟电路，通过电信运营商拥有和运营的网络提供。这些网络不被视为真正的VPN，因为它们通过创建逻辑数据流被动地保护正在传输的数据。它们已经被基于IP和IP /多协议标签交换（MPLS）网络的VPN所取代，这是由于数字用户线（DSL）等新技术提供的显着成本降低和带宽增加和光纤网络。

VPN可以是远程访问（将计算机连接到网络）或站点到站点（连接两个网络）。在企业环境中，远程访问VPN允许员工从家中或在办公室外旅行时访问公司的内部网，站点到站点VPN允许地理位置不同的办公室的员工共享一个连贯的虚拟网络。 VPN也可用于通过不同的中间网络互连两个类似的网络;例如，IPv4网络上的两个IPv6网络。

VPN系统可按以下方式分类：

用于隧道传输的隧道协议；

隧道的终端点位置，例如，在客户边缘或网络提供商边缘；

连接拓扑的类型，例如站点到站点或网络到网络；

提供的安全级别；

它们呈现给连接网络的OSI层，例如第2层电路或第3层网络连接；

同时连接的数量。

安全机制VPN无法使在线连接完全匿名，但它们通常可以提高隐私和安全性。为了防止泄露私人信息，VPN通常仅允许使用隧道协议和加密技术进行经过身份验证的远程访问1。

VPN安全模型提供：

机密性使得即使网络流量在数据包级别被嗅探（参见网络嗅探器和深度数据包检查），攻击者也只会看到加密数据；

发件人身份验证，以防止未经授权的用户访问VPN；

消息完整性，以检测任何篡改传输消息的实例。

安全VPN协议包括以下内容：

Internet协议安全（IPsec）最初是由互联网工程任务组（IETF）为IPv6开发的，在RFC 6434仅作为建议之前，IPv6的所有符合标准的实现都需要它。这种基于标准的安全协议也广泛用于IPv4和第2层隧道协议。其设计符合大多数安全目标：身份验证，完整性和机密性。 IPsec使用加密，将IP数据包封装在IPsec数据包中。解封装发生在隧道的末端，其中原始IP分组被解密并转发到其预期目的地。

传输层安全性（SSL / TLS）可以隧穿整个网络的流量（就像在OpenVPN项目和SoftEther VPN项目[8]中那样）或保护单个连接。许多供应商通过SSL提供远程访问VPN功能。 SSL VPN可以从IPsec运行的位置连接到网络地址转换和防火墙规则的问题。

数据报传输层安全性（DTLS）-用于Cisco AnyConnect VPN和OpenConnect VPN [9]，用于解决SSL / TLS在UDP上进行隧道传输时遇到的问题。

Microsoft点对点加密（MPPE）与点对点隧道协议和其他平台上的多个兼容实现一起使用。

Microsoft安全套接字隧道协议（SSTP）通过SSL 3.0通道隧道传输点对点协议（PPP）或第2层隧道协议流量。 （SSTP是在Windows Server 2008和Windows Vista Service Pack 1中引入的。

多路径虚拟专用网（MPVPN）。 Ragula Systems Development Company拥有注册商标“MPVPN”。

Secure Shell（SSH）VPN-OpenSSH提供VPN隧道（与端口转发不同），以保护到网络或网络间链路的远程连接。 OpenSSH服务器提供有限数量的并发隧道。 VPN功能本身不支持个人身份验证。

必须先验证隧道端点，然后才能建立安全的VPN隧道。 用户创建的远程访问VPN可以使用密码，生物识别，双因素身份验证或其他加密方法。 网络到网络隧道通常使用密码或数字证书。 它们永久存储密钥以允许隧道自动建立，无需管理员干预。

本词条内容贡献者为:

王慧维 - 副研究员 - 西南大学