目的

让不能访问的网站可以访问!!!

背景

为什么不能访问外网?

服务器没有存储关于私网的地址(私网地址与公网地址是不同的),无法转发请求

隧道技术

GRE

优点:兼容性强、简单

缺点:使用明文传输,不安全,没有完整性验证,没有数据防篡改,没有身份认证

原理:给数据包加上一个新头部
默认情况,总部与分公司:源地址192.168.1.x 目标地址 172.16.1.x ❌不能连通
使用GRE加上新头部后 源地址64.1.1.1 目标地址 202.1.1.1 ✅可以连通
但是此时只能送到分公司的路由器,路由器把外层报头拆掉显示真实目标

IPsec VPN设置

信任域firewall zone trust:内网口

非信任域firewall zone untrust:外网口

安全域

安全策略security-policy

IPsec特点

  • 数据加密(中间人可以截获但是看不懂)
  • 哈希 防篡改
  • 身份认证

Ipsec esp包就是ipsec通过ike协议协商好后建立的通信隧道使用的加密包

  • IKE参数保护协议本身
  • IPSec参数保护用户数据

安全协议ESP和AH的区别:AH不支持数据加密

跨厂商配置IPSec VPN需要保持IKE参数和IPSec参数一致

远程单设备IPSec VPN连接

  • 站点到站点vpn
  • 远程接入vpn
    • ssl vpn
    • l2tp vpn

SSL VPN

  • web代理:使用页面访问
  • 网络扩展:使用客户端访问,原理是增加一个内网的虚拟网卡