admin 时常会听到大家谈论有关加密传输中的数据,那么我们今天就来探讨一下在虚拟专网中如何使用网络加密。首先我们介绍一下网络加密的几种类型。
网络加密的四种类型
1、无客户端SSL:SSL的原始应用。在这种应用中,一台主机计算机在加密的链路上直接连接到一个来源(如Web服务器、邮件服务器、目录等)。
2、主机至网络:在上述两个方案中,主机在一个加密的频道直接连接到一个资源。在这种方式中,主机运行客户端软件(SSL或者IPsec客户端软件)连接到一台虚拟专网设备并且成为包含这个主机目标资源的那个网络的一部分。
SSL:由于设置简单,SSL已经成为这种类型的虚拟专网的事实上的选择。客户端软件通常是很小的基于Java的程序。用户甚至可能都注意不到。
IPsec:在SSL成为创建主机至网络的流行方式之前,要使用IPsec客户端软件。IPsec仍在使用,但是,它向用户提供了许多设置选择,容易造成混淆。
3、配置虚拟专网设备的无客户端SSL:这种使用SSL的方法对于主机来说与第一种类似。但是,加密通讯的工作是由虚拟专网设备完成的,而不是由在线资源完成的(如Web或者邮件服务器)。
4、网络至网络:有许多方法能够创建这种类型加密的隧道虚拟专网。但是,要使用的技术几乎总是IPsec。
在网络至网络的虚拟专网的情况下,我们在讨论从一个网络设备到另一个网络设备的加密问题。由于我们期待目前的网络设备要做的事情,在这个讨论中会出现一些其它难题:
与其它技术的相互作用:广域网经常使用服务质量、深度包检测或者广域网加速。如果在部署的时候没有考虑这些服务,加密就会使这些服务失效。网络地址解析是另一个需要克服的障碍,因为它首先会干扰建立一个加密的连接的能力。
叠加网络:加密隧道虚拟专网是通过在现有的网络上创建一个叠加的加密连接发挥作用的。加密的连接存在于这个网络上的两个具体接口之间。从源头上看,如果要加密的网络通讯被重新路由或者传送到不同的接口,它就不会被加密。如果这个通讯在加密之后被重新路由并且被发送到指定接口以外的其它接口,它就不能被解码或者被抛弃。
带宽:在一个加密的虚拟专网的情况下,网络工程师必须要考虑加密带宽或者加密和解密大型数据流的能力。
通过遵守一些基本的原则,你可以确保加密技术成为保证你的网络安全的一种非常有用的、甚至是至关重要的工具。
小知识之带宽:
带宽(band width)又叫频宽,是指在固定的的时间可传输的资料数量,亦即在传输管道中可以传递数据的能力。在数字设备中,频宽通常以bps表示,即每秒可传输之位数。在模拟设备中,频宽通常以每秒传送周期或赫兹 (Hz)来表示。
