PSEC是一套比較完整成體系的VPN技術�����,它規定了一系列的協議標準。我們對于IPSEC大致按照以下幾個方面理解����。
1、為什么要導入IPSEC協議
導入IPSEC協議,原因有2個����,一個是原來的TCP/IP體系中間����,沒有包括基于安全的設計�,任何人,只要能夠搭入線路��,即可分析所有的通訊數據��。IPSEC引進了完整的安全機制���,包括加密����、認證和數據防篡改功能。
另外一個原因,是因為Internet迅速發展�,接入越來越方便��,很多客戶希望能夠利用這種上網的帶寬,實現異地網絡的的互連通。IPSEC協議通過包封裝技術���,能夠利用Internet可路由的地址,封裝內部網絡的IP地址,實現異地網絡的互通。
2�、包封裝協議
設想現實一種通訊方式�����。假定發信和收信需要有身份證(成年人才有),兒童沒有身份證��,不能發信收信����。有2個兒童,小張和小李,他們的老爸是老張和老李?����,F在小張和小李要寫信互通��,怎么辦?
一種合理的實現方式是:小張寫好一封信���,封皮寫上 "小張-->小李", 然后給他爸爸,老張寫一個信封����,寫上“老張-->老李”�,把前面的那封信套在里面����,發給老李,老李收到信以后����,打開�,發現這封信是給兒子的����,就轉給小李了。小李回信也一樣�,通過他父親的名義發回給小張��。 這種通訊實現方式要依賴以下幾個因素:
* 老李和老張可以收信發信
* 小張發信,把信件交給老張����。
* 老張收到兒子的來信以后�,能夠正確的處理(寫好另外一個信封)�,并且重新包裝過的信封能夠正確送出去。
* 另外一端���,老李收到信拆開以后�,能夠正確地交割小李。
* 反過來的流程一樣����。
把信封的收發人改成Internet上的IP地址��,把信件的內容改成IP的數據,這個模型就是IPsec的包封裝模型����。小張小李就是內部私網的IP主機�����,他們的老爸就是VPN網關,本來不能通訊的兩個異地的局域網��,通過出口處的IP地址封裝�����,就可以實現局域網對局域網的通訊�����。
引進這種包封裝協議���,實在是有點不得已�。理想的組網方式�,當然是全路由方式。任意節點之間可達(就像理想的現實通訊方式是任何人之間都可以直接寫信互通一樣)����。
Internet協議最初設計的時候��,IP地址是32位,當時是很足夠了���,沒有人能夠預料到將來Internet能夠發展到現在的規模(相同的例子發生在電信短消息上面����,由于160字節的限制,很大地制約了短消息的發展)。
按照2的32次方計算,理論上最多能夠容納40億個左右IP地址�����。這些IP地址的利用是很不充分的���,另外大約有70%左右的IP地址被美國分配掉了(誰讓人家發明并且管理Internet呢����!所以對于中國來說,可供分配的IP地址資源非常有限�。
既然IP地址有限�����,又要實現異地lan-lan通訊,包封包���,自然是最好的方式了。
3�、安全協議(加密)
依然參照上述的通訊模型�����。
假定老張給老李的信件要通過郵政系統傳遞,而中間途徑有很多好事之徒,很想偷看小張和小李(小張小李作生意,通的是買賣信息)通訊��,或者破壞其好事��。解決這個問題��,就要引進安全措施��。安全可以讓小李和小張自己來完成�����,文字用暗號來表示,也可以讓他們的老爸代勞完成����,寫好信�,交給老爸�����,告訴他傳出去之前重新用暗號寫一下�����。
IPSEC協議的加密技術和這個方式是一樣的,既然能夠把數據封裝,自然也可以把數據變換,只要到達目的地的時候���,能夠把數據恢復成原來的樣子就可以了。這個加密工作在Internet出口的VPN網關上完成���。
4�、安全協議(數據認證)
還是以上述通訊模型為例�,僅僅有加密是不夠的。
把數據加密,對應這個模型中間�����,是把信件的文字用暗號表示��。
好事之徒無法破解信件�����,但是可以偽造一封信����,或者胡亂把信件改一通。這樣�,信件到達目的地以后��,內容就面目全非了,而且收信一方不知道這封信是被修改過的。
為了防止這種結果��,就要引入數據防篡改機制����。萬一數據被非法修改,能夠很快識別出來�。這在現實通訊中間可以采用類似這樣的算法����,計算信件特征(比如統計這封信件的筆劃�、有多少字)然后把這些特征用暗號標識在信件后面。收信人會檢驗這個信件特征�����,由于信件改變�,特征也會變。所以���,如果修改人沒有暗號,改了以后�����,數據特征值就不匹配了�。收信人可以看出來。
實際的IPSEC通訊的數據認證也是這樣的���,使用md5算法計算包文特征�����,報還原以后�,就會檢查這個特征碼�,看看是否匹配。證明數據傳輸過程是否被篡改�。
5�、安全協議(身份認證)
還是假定小張小李通訊模型��。
由于老張和老李不在一個地方�,他們互相不能見面����,為了保證他們兒子通訊的安全。老張和老李必須要相互確認對方是否可信���。這就是身份認證問題。假定老李老張以前見過面��,他們事先就約定了通訊暗號����,比如1234567890對abcdefghij,那么寫個255��,對應就是一個bee����。
常見的 VPN身份認證可以包括預共享密鑰,通訊雙方實現約定加密解密的密碼, 直接通訊就可以了���。能夠通訊就是朋友���,不能通訊就是壞人���,區分很簡單。
其他復雜的身份認證機制包括證書(電子證書比如x509 之類的)���,比較啰里啰嗦,這里就不具體展開了��,怕有兄弟看了打瞌睡���。
如果有身份認證機制�����,密鑰的經常更換就成為了可能�����。
6、其他
解決了上述的幾個問題,基本可以保證VPN通訊模型能夠建立起來了����。
但是并不完美�,這是最簡單的VPN�����。即通過對端兩個靜態的IP 地址����,實現異地 網絡的互聯�。美國的很多VPN設備就作到這一級,因為美國IP地址充裕,分配靜態 IP 地址沒有問題���。苦的是我等中國客戶�����,2 端都需要靜態 IP 地址��,相當于2根 Internet專線接入,VPN要在中國用起來,還要解決一堆的相關問題。
IPSEC通過包封裝包的方法����,通過Internet建立了一個通訊的隧道�,通過這個通訊的隧道����,就可以建立起網絡的連接。但是這個模型并非完美����,仍然有很多問題需要解決�����。
在講述其他問題以前,我們對VPN定義幾個概念����。
VPN節點:一個VPN節點���,可能是一臺VPN網關���,也可能是一個客戶端軟件�����。在 VPN組網中間,屬于組網的一個通訊節點����。它應該能夠連接Internet��,有可能是直接連接,比如adsl ����、電話撥號等等��,也可能是通過nat方式,例如:小區寬帶����、 cdma上網���、鐵通線路等等���。
VPN隧道:在兩個 vpn 節點之間建立的一個虛擬鏈路通道����。 兩個設備內部的網絡��, 能夠通過這個虛擬的數據鏈路到達對方��。與此相關的信息是當時兩個 VPN節點的IP地址,隧道名稱�、雙方的密鑰����。
隧道路由:一個設備可能和很多設備建立隧道�,那么就存在一個隧道選擇的問題, 即到什么目的地���,走哪一個隧道?
用前面的通訊模型來說�����,老李老張就是隧道節點���,他們通過郵政系統建立的密碼通訊關系��, 就是一個數據隧道,小張和小李把信發給他們老爸的時候���,他們老爸要作出抉擇, 這封信怎么封裝���, 封裝以后送給誰。假如還有一個老王和他們的兒子,也要通訊, 這時候隧道路由就比較好理解了�。送給小王的數據��, 就封裝給老王,送給小李的數據, 就封裝發給老李�。如果節點非常多����,那么這個隧道路由就會比較復雜����。
理解了以上的問題,我們就知道���,ipsec 要解決的問題其實,可以分為以下幾個步驟:
找到對方 vpn 節點設備���,如果對方是動態IP 地址,那么必須能夠通過一種有 效途徑能夠及時發現對方IP 地址的變化��。按照通訊模型��,就是老李老張如果經常搬家的話��,必須有一個有效的機制���,能夠及時發現老李老張地址的變化�。建立隧道,建立隧道說起來簡單,作起來不容易����。如果兩個設備都有合法的公網 IP ���,那么建立一個隧道是比較容易的�。如果一方在nat 之后,那就比較羅嗦了。一般通過內部的vpn節點發起一個udp連接�����,再封裝一次ipsec ���,送到對方����,因為 udp 可以通過防火墻進行記憶,因此通過udp再封裝的ipsec包�����,可以通過防火墻來回傳遞��。
建立隧道以后�����, 就確定隧道路由, 即到哪里去,走哪個隧道。很多VPN隧道配置的時候�,就定義了保護網絡��,這樣隧道路由就根據保護的網絡關系來決定���。但是這喪失了一定的靈活性����。
所有的ipsecVPN展開來講,實現的無非就是以上幾個要點����,具體各家公司��,各有各的做法。但是可以肯定目前在市場銷售的VPN��,肯定都已經解決了以上的問題�����。
第一個問題:怎樣找到 vpn 節點設備����?
假如設備都是動態撥號方式的話�,那么一定需要一個合適的靜態的第三方來進行 解析。 相當于兩個總是不停搬家的人��,要合適找到對方�����, 一定需要一個大家都認 識的朋友����,這個朋友不搬家���,兩個人都能夠聯系上他��。
靜態的第三方,常見的有3 種實現方式: 通過網頁����,這是深信服公司發明的一種技術�,通過Web頁解析 ip地址�。大家可以登錄一下http://www.123cha.com/,就可以查找到當前的IP 地址���。因此, 動態的設備�,可以通過這種方式����,把自己當前的IP地址提交上去。其他設備可以通過網頁再查詢回來�����。這樣�����,設備之間就可以互相通過這個網頁找到�����。因為網頁是相對固定的, 所以這種方式能夠很有效地解決這個問題����。這種方式能夠有效地分散集中認證的風險�����,而且很容易實現備份���,屬于比較巧妙的一種解決方案��。 當然���,對于Web頁可能存在比較多的攻擊�����,因此,要注意安全防范�����。
通過一個集中的服務器����,實現統一解析, 然后給用戶進行分組��。每個 vpn 設備只 能看到同組的其他設備�����,不能跨組訪問�。 也可以通過目錄服務器實現�。這種方式 適合集中式的VPN,在企業總部部署服務器,實現全局設備的統一認證和管理�����。 它不太適合零散用戶的認證��,因為存在一個信任問題����,客戶會質疑管理服務器如果出現了問題�����, 有可能其他設備就能夠連接到自己的vpn 域里面。 這種大型的集中vpn 管理軟件�����, 在很多國內外的vpn 廠商都有專門的設備或軟件��,它除了能夠 進行動態IP地址解析��,還能夠實現在線認證等等功能。如果管理中心比較職能 的話,可以集中制訂通訊策略�����,下面的vpn 設備配置參數比較少。
還有一種方式,是DDNS���,即動態域名。動態域名是一種相對比較平衡的技術。Vpn 設備撥號以后,把自己當前的IP 地址注冊給一級域名服務器����,并且更新自 己的二級域名IP 地址�,internet 其他用戶�,通過這個二級域名就可以查找到它。 例如:動態域名服務器的名稱是99ip.net,是 abc. 99ip.net�����,則 vpn 設備通過 一個軟件�����,提交給服務器,把abc.99ip.net�,漂移成當前的IP 地址���。但是�����,有時也會遇到dns 緩存問題。Vpn 廠家如果自身提供ddns 服務的話��,就可以通過內部協議�����,把查詢速度加快��,并且避免dns 緩沖帶來的問題。
以上講述了三種動態IP 地址的解析方法��,國內一般廠家提供的無外乎這幾種方 法�����。如果再有比較偏門的技術�,也許就不是主流技術了�����。
解決了動態IP 地址問題�����,按照之前的通訊模型,不考慮VPN設備很多的情況����, 就可以組網。因此��,一旦這種技術被越來越多的廠家掌握�����,基于IPsec vpn 設備 和軟件是一定會價格下降的�����。It技術從朝陽變成夕陽就是轉眼之間的事情。
第二個問題:隧道如何建立����?
解決了 Ip 地址動態尋址的問題�����,現在來說一下Nat 穿越的問題。 我們知道����, Udp 和 TCP是可以穿越防火墻的�����。直接的 IPsec 封裝�, 不能穿越防火墻����, 因為防火墻 需要更改端口信息,這樣回來的數據包��,才能轉到正確的內部主機����。用 UDP顯然 比較合適��, 因為使用 tcp的話����,不僅三次握手占據時間很長����,而且還有來回的確 認。而實際上, 這些工作屬于 ipsec內部封裝的報文要干的事情����,放在這里完成 是不合適的����。因此��,用udp 來封裝 ipsec 報文�����,以穿越nat ,幾乎是唯一可以選擇的方案。
用 udp 穿越 nat 防火墻��,這只解決了問題的一半�����,因為這要求至少有一方處于 Internet公網上面�����。有可路由的IP 地址�。而有時會發生兩個vpn 節點都在nat 之后的情景, 這只能通過第三方轉發來完成。即兩個設備都可以與第三方設備互 通����,第三方設備為雙方進行轉發����。這個可以通過之前的模型解析����,老張老李不能直接通訊, 他們都可以與老王通訊�,老王就可以在中間進行轉發�。凡是小李小張 的通訊��, 交給他們老爸以后��, 老王最后再進行轉交。這是隧道路由的概念就很清 晰了���,不能一個隧道直接到達,可以在幾個隧道之間轉發���。
所以, IPsec vpn并不神秘����。所有核心的工作無非就是圍繞以下幾個方面展開: 如何找到與本VPN節點相關的其他節點��。
協商出一個可以通訊的隧道。如果是nat 之后�,應該怎么處理��。 建立隧道路由表���,確定不同的目標地址,走不同的隧道���。
假定以上的問題都得到了解決,通過某種方式���,動態IP地址的VPN節點可以相互找到對方,并且能夠建立隧道��,因此也能夠實現隧道路由通訊����。是不是一個完整的VPN就能夠實現了呢?�����?
答案仍然是否�,解決了以上問題,并不代表一個很好用的VPN產品�,仍然有其他很多問題����。之后的問題是圍繞著復雜性展開的�, 簡單的原理實現之后,剩下的工作就是要解決掉全部相關的邊緣問題���。才能夠實現一個好用的東西。能夠用是一回事��,好用是另外一回事���。
臺海網5月23日訊 據廈門網報道 近期�����,用戶在社交平臺上發帖�����、評論�,都會顯示個人IP屬地信息,不少市民網友認為這可能會侵犯個人隱私�。不少商家看中這一“商機”�,推出提供IP屬地更改的服務��,最低只要5元就能搞定�。公開顯示IP屬地功能會侵犯個人隱私�����?“IP地址代理”到底靠不靠譜��?又存在哪些風險?廈門日報記者調查了解情況。
4月28日,微博管理員發布IP屬地功能升級公告稱,為減少惡意造謠����、蹭流量等不良行為���,開放評論展示發評IP屬地小尾巴功能�����。隨后,小紅書���、抖音等平臺也紛紛上線該功能。不少人發現�,凡在開放IP屬地功能的平臺上發帖或留言���,用戶的IP屬地位置也會跟著顯示��。國內用戶顯示到具體省份地區,國外用戶則是顯示到國家�����,且無法自行關閉該功能�。
該功能上線后,大家對此態度不一。有人認為,及時公布IP屬地可減少造謠��、區分網絡“水軍”���、提醒大眾上網時對自己的言行負責��。一些此前宣稱人在境外的代購或博主的IP顯示在境內�,人設“翻車”����。不過,也有人擔心此舉會泄露個人隱私。
“我上網不太想被他人知道我的地址,這可能導致地域歧視。”市民林女士說�����,她曾聽說有人成功更改IP屬地����,對此她十分好奇也想試試?�!绊樌袚QIP屬地后�����,相當于變相保護了個人信息��。”林女士告訴記者,身邊還有人是基于玩游戲����、提高頁面網速等需求想變更IP地址��。
所謂的“IP變更”服務到底有沒有用�����?5月19日下午�,記者在某電商平臺查找發現��,“IP代理”“靜態IP”等搜索結果已被屏蔽���,但輸入“IP地址切換”仍能顯示不少相關業務���。其中�����,可選變更IP的方式分為靜態和動態,根據時長提供小時測試卡����、日卡�����、周卡,包月包季等付費模式��,價格從5元到85元不等�,月銷數量最多的已達上千單。
記者以買家身份聯系了兩家提供IP變更業務的店鋪��,對方均表示����,下單之前用戶需自行測試。操作方式分為兩種:第一種需要用戶下載相關App���,拍下測試卡后�����,對方提供用戶名和密碼后自行測試連接��;第二種是根據操作步驟指引,買家只需在手機中添加VPN配置,在輸入客服提供的賬號、密碼�����、服務器網站等信息后,保存連接后就能變更IP屬地���。此前還有報道稱,有的網店還要求提交個人手機號�、真實姓名����、身份證號碼��,完成實名認證通過才可以購買開卡服務�����。
當問到能否順利在社交平臺上更改IP屬地,商家表示一切以測試為準����。記者完成上述操作后��,相關軟件顯示能在國內數十個城市的“線路”內切換。選定線路連接后�����,記者發現頁面順利變更為大連的IP地址�����,但在社交平臺上發帖時,卻發現網速變慢,無法打開網頁����。不僅無法發布推文��,IP屬地也并未變更。
許東介紹�,多平臺上線IP屬地功能是否侵犯個人隱私仍然存在爭議��。但從目前來看,IP屬地信息的識別和關聯性不強�����;而公開IP屬地信息存在特定的目的和必要性��,是各大平臺對清朗行動的積極響應�����。
許東表示,用技術手段“變化”IP屬地行為是違法行為。對于付費“IP代理”軟件的制作者和銷售者來說,該行為涉嫌違法,并可能構成犯罪���;對于個人來說,更改IP屬地信息違反了誠信原則。
許東提醒�,由于付費“IP代理”的產業目前仍然屬于不合法的灰色產業,并沒有絕對的隱藏性�,極有可能導致某些市民在網絡活動中不遵守上網規范�,產生一些造謠�����、網絡暴力���、惡意引導輿論等違法犯罪行為�;同時����,在下載IP變更軟件等過程中,公民的個人信息存在泄露的風險����,很容易被違法犯罪分子利用����,因此提醒市民保持警惕,盡量不要使用這種更改IP屬地的軟件或服務。(廈門日報記者 蒙婧)
個人安全領域享有盛譽的品牌AVG�����,憑借其廣受歡迎的殺毒套裝�,與Avast、Norton和McAfee并駕齊驅,成為家喻戶曉的安全軟件巨頭�。近年來���,該公司進一步拓展業務范圍�����,提供了一系列個人安全服務,其中就包括了AVG Secure VPN。
令人驚訝的是�,一家殺毒公司竟自建VPN網絡。許多殺毒軟件供應商通常會選擇知名VPN服務商的貼牌服務�,因此像AVG這樣親自掌舵自家VPN服務的情況實屬罕見��。那么,這家殺毒品牌能否成功跨界,并在競爭激烈的VPN行業中與行業巨頭一較高下呢���?讓我們一起深入了解。
當你打開AVG Secure VPN的Windows應用時�,會立即發現它與其他AVG產品如AVG Internet Security有著相似之處��。例如,欄幾乎是對其他AVG應用的復刻��。左上角是AVG的標志及產品名稱�,右側則有一個菜單圖標,點擊后可查看更多設置選項�。
深入探索應用的核心部分�,你會發現屏幕中央有一個大大的開關滑塊�����。下方有兩個圖塊:第一個顯示你所選服務器所在的國家位置,第二個顯示當前IP地址���。一旦連接成功,這個圖塊還會展示你的新VPN IP以及連接已激活的時間���。
底部的“更改位置”按鈕可以打開所有可用服務器列表。AVG的服務器網絡規模適中���,擁有超過700臺服務器,分布在全球50多個國家和地區����,甚至還為流媒體和特定的種子下載提供了專門的服務器分組�����。盡管流媒體服務器列表相對有限,僅包含美國��、英國和德國的位置�,但有總比沒有好����。
通過主屏幕上的“菜單 > 設置”,你可以進入設置界面��,不過這里提供的選項并不多����。其中包括開機啟動AVG Secure(但不自動連接)的選項,以及啟用本地設備訪問的選項��,以便在開啟VPN時也能訪問打印機等本地網絡設備��。
自上次評測以來��,AVG Secure VPN新增了VPN協議設置部分�,以及針對應用本身的更多語言選項。然而值得注意的是�����,AVG Secure VPN并未包含許多競爭對手常見的實用功能����,如拆分隧道、多跳連接或廣告及追蹤器攔截功能�����,這些功能均未出現在此款VPN中�����。
在定價方面,AVG Secure VPN采取了一種與眾不同的策略。雖然大多數VPN服務都提供月度計費選項,但AVG Secure只提供至少一年的訂閱計劃����,同時也提供兩年和三年的訂閱計劃����,價格略有優惠���。
AVG Secure僅提供長期訂閱計劃的做法頗具爭議��。許多VPN用戶傾向于按月付費�����,而被鎖定至少一年的合約可能會讓人望而卻步。不過�����,整體定價較為合理���,年費約為54美元��,在各類VPN服務中處于中等水平。
為了抵消這種長期承諾帶來的影響���,AVG Secure VPN為所有新用戶提供長達兩個月的免費試用期。用戶仍需創建賬戶并綁定支付方式�,但在試用期內隨時可以取消��,無需支付任何費用。
在速度測試環節�����,我們對AVG Secure VPN在全球六個不同國家的服務器進行了連接速度測量���,并將其與基準網絡速度進行對比����。結果顯示,AVG Secure VPN的速度表現并不突出�����,平均下載速度僅為基
