Windows2008之×××知多少

時間 2020-01-09

標籤 windows2008 windows 多少欄目 Windows 简体版

原文原文鏈接

×××（虛擬專用網，Virtual Private Network）是依靠ISP（Internet服務提供商）和其它NSP（網絡服務提供商），在公用網絡中創建專用的數據通訊網絡技術。使用IP機制仿真出一個私有的廣域網經過私有的隧道技術在公共數據網絡上仿真一條點到點的專線技術。具備高安全保障、高服務質量保證、可擴充性和靈活性及可管理性。

目前×××主要採用四項技術來保證安全，這四項技術分別是隧道技術（Tunneling）、加解密技術（Encryption & Decryption）、密鑰管理技術（Key Management）、使用者與設備身份認證技術（Authentication）。

Windows2008中包含的××× 隧道協議有哪些呢?它主要有點對點隧道協議 (PPTP)、第二層隧道協議 (L2TP) 或安全套接字隧道協議 (SSTP)三種，咱們來具體看一下這三種協議的功能。

1、PPTP

原理：PPTP 容許對多協議通訊進行加密，而後封裝在 IP 標頭中，以經過 IP 網絡或公用 IP 網絡（例如 Internet）發送。PPTP 能夠用於遠程訪問鏈接和站點到站點的 ××× 鏈接。使用 Internet 做爲 ××× 的公用網絡時，PPTP 服務器是啓用 PPTP 的 ××× 服務器，一個接口在 Internet 上，另外一個接口在 Intranet 上。

封裝方式：PPTP 將 PPP 幀封裝在 IP 數據報中，以便經過網絡傳輸。PPTP 使用 TCP 鏈接進行隧道管理，使用通用路由封裝 (GRE) 封裝隧道數據的 PPP 幀。封裝的 PPP 幀的有效負載能夠加密、壓縮或加密並壓縮。下圖顯示包含 IP 數據報的 PPTP 數據包的結構。

加密方式：可以使用 MS-CHAP v2 或 EAP-TLS 身份驗證進程生成的加密密鑰，經過 Microsoft 點對點加密 (MPPE) 對 PPP 幀進行加密。虛擬專用網絡客戶端只有使用 MS-CHAP v2 或 EAP-TLS 身份驗證協議才能對 PPP 幀的有效負載進行加密。PPTP 利用基礎 PPP 加密並封裝之前加密的 PPP 幀。

具體應用：PPTP 能夠用於各類 Microsoft 客戶端。基於 PPTP 的 ××× 鏈接使用加密來提供數據保密性，不提供數據完整性或數據源身份驗證。

2、L2TP

原理：L2TP 容許對多協議通訊進行加密，而後經過任何支持點對點數據報傳輸的媒體發送。L2TP 是 PPTP 和第 2 層轉發 (L2F) 的組合，是 Cisco 公司開發的一項技術。L2TP 表明了 PPTP 和 L2F 的最佳功能。與 PPTP 不一樣，Microsoft 實現的 L2TP 不使用 MPPE 對 PPP 數據報進行加密。L2TP 依靠 Internet 協議安全 (IPsec) 傳輸模式來提供加密服務。L2TP 和 IPsec 的組合稱爲 L2TP/IPsec。

××× 客戶端和 ××× 服務器必須均支持 L2TP 和 IPsec。L2TP 的客戶端支持內置在Windows XP或更高版本遠程訪問客戶端中，L2TP 的 ××× 服務器支持內置在Windows Server 2003及以上系列的服務器中。L2TP 隨 TCP/IP 協議一塊兒安裝。

封裝方式：L2TP/IPsec 數據包的封裝分爲L2TP 封裝和IPsec 封裝兩層。

第一層：L2TP 封裝，PPP 幀（IP 數據報）使用 L2TP 標頭和 UDP 標頭封裝。

第二層：IPsec 封裝，使用 IPsec 封裝安全有效負載 (ESP) 標頭和尾端、提供消息完整性和身份驗證的 IPsec 身份驗證尾部以及最終的 IP 標頭來封裝生成的 L2TP 消息。IP 標頭中是與 ××× 客戶端和 ××× 服務器對應的源 IP 地址和目標 IP 地址。

加密方式：使用 Internet 密鑰交換 (IKE) 協商進程生成的加密密鑰，經過數據加密標準 (DES) 或三重 DES (3DES) 對 L2TP 消息進行加密。

具體應用：L2TP 只能用於運行 Windows 2000、Windows XP 及以上的客戶端計算機。L2TP 支持將計算機證書或預共享密鑰做爲 IPsec 的身份驗證方法。L2TP/IPsec ××× 鏈接使用 IPsec 來提供數據保密性、數據完整性和數據身份驗證。

3、SSTP

原理：安全套接字隧道協議 (SSTP) 是一種新的隧道協議，在 TCP 端口 443 上使用 HTTPS 協議，使通訊能夠經過可能阻止 PPTP 通訊和 L2TP/IPsec 通訊的防火牆和 Web 代理。SSTP 提供了一種機制，用於封裝經過 HTTPS 協議的安全套接字層 (SSL) 通道傳輸的 PPP 通訊。使用 PPP 能夠支持強大的身份驗證方法（例如 EAP-TLS）。SSL 提供了加強的密鑰協商、加密和完整性檢查，從而確保了傳輸級的安全性。

客戶端嘗試創建基於 SSTP 的 ××× 鏈接時，SSTP 首先與 SSTP 服務器創建雙向 HTTPS 層。經過此 HTTPS 層，協議數據包做爲數據有效負載傳輸。

封裝方式：SSTP 將 PPP 幀封裝在 IP 數據報中，以便經過網絡傳輸。SSTP 使用 TCP 鏈接（在端口 443 上）進行隧道管理，並使用 PPP 數據幀。

加密方式：SSTP 消息使用 HTTPS 協議的 SSL 通道進行加密。

具體應用：SSTP 只能用於運行 Windows Vista SP1 、Windows7或 Windows Server 2008 的客戶端計算機。SSTP ××× 鏈接使用 SSL 來提供數據保密性、數據完整性和數據身份驗證。

此文參考於Windwos2008幫助文檔及網上搜集的部分資料。

Alan Luo 標籤: Windows2008， ×××， PPTP， L2TP， SSTP