VPN即虚拟专用网

• 是依靠ISP（Internet服务提供商）和其他NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。
• 虚拟：是指用户不再需要拥有实际的长途数据线路，而是使用Internet公众数据网络线路。
• 专用网：是指用户可以为自己制定一个最符合自己需求的网络。

• 保密性服务（Confidentiality）：防止传输的信息被监听；
• 完整性服务（Integrity）：防止传输的信息被修改；
• 认证服务（Authentication）：提供用户和设备的访问认证，防止非法接入。

VPN产品的技术动向具有以下特点：

• VPN客户端尽量简化，将出现“零客户端”安装模式；
• VPN网关一体化，综合集成多种接入模式，融合多种安全机制和安全功能；
• VPN产品可能演变成可信网络产品；
• VPN提供标准安全管理数据接口，能够纳入SOC中心（安全运行中心）进行管理控制。

• VPN 产品代码实现的安全缺陷。VPN产品的实现涉及多种协议、密码算法等，编程处理不当，极易导致代码安全缺陷，从而使得VPN产品出现安全问题。例如，Open SSL的Heartbleed漏洞（心脏滴血）可以让远程攻击者暴露敏感数据。
• VPN密码算法安全缺陷。VPN产品如果选择非安全的密码算法或者选择不好的密码参数，都有可能导致VPN系统出现安全问题，不能起到安全保护的作用。例如，密钥长度不够。
• VPN管理不当引发的安全缺陷。VPN的管理不当导致密码泄露、非授权访问等问题。

VPN的类型包括

• 链路层VPN
• 网络层VPN
• 传输层VPN

VPN的实现技术

• 隧道技术:PPTP,L2TP,IPSec,SSL VPN ,TLS VPN
• 加解密技术:密码算法 （核心）
• 密钥管理技术
• 身份认证技术:认证访问控制

VPN的组成：客户机、传输介质（隧道）、服务器

VPN采用的多种安全机制：

• 隧道技术
• 加密技术
• 身份认证技术
• 密钥管理技术
• 访问控制

隧道：实质就是一种封装，将一种协议（协议A）封装在另一个协议（协议B）中传输，从而实现协议A对公用网络的透明性。协议A称为被封装协议，协议B称为封装协议，封装时一般还要加上特定的隧道控制信息，因此，隧道协议的一般形式为（协议B（隧道头(协议A)））

• 封装原始数据（包头不封装）
• 实现隧道两端的点到点连通
• 定时检测VPN隧道的连通性（如果隧道不同，则会报警，提醒隧道不存在）
• VPN隧道的安全性（进行了封装和加密）
• VPN隧道的QoS特性

第二层隧道协议

• PPTP:微软、3Com等公司支持，点对点隧道协议 ，第一个VPN协议
• L2F：Cisco等公司支持第2层转发协议。 1、用户拨号到ISP接入服务器（NAS），建立PPP链接 2、NAS根据用户名等信息，发起第二重连接，呼叫用户网络的服务器
• L2TP：国际互联网工程任务组（IETF）起草，微软、Cisco、3Com等公司共同制定的第2层隧道协议，结合了PPTP和L2F的优点

第三层隧道协议

• GRE：普通路由封装
• IPSec：IP安全协议

IPSec协议在隧道外面再封装,保证了隧道在传输过程中的安全.该协议是第3层隧道协议

Internet 协议安全性(Internet Protocol Security ,IPSec)是通过对IP协议的分组进行加密和认证保护IP协议的网络传输协议簇,其工作在TCP/IP协议栈的网络层

IPSec在IP层对数据包进行安全处理，提供数据源验证（Authentication）、无连接数据完整性（Integrity）和数据机密性、抗重播等安全服务。

IPSec是一个协议体系,有建立安全分组流的密钥交换协议(IKE协议)和保护分组流的协议(AH和ESP协议)两部分构成

IKE协议:Internet密钥交换协议(Internet Key Exchange Protocol,IKE)属于一种混合协议

• ISAKMP协议:Internet安全关联和密钥管理协议(internet security association and key management protocol)
• OAKLEY协议:奥克利协议（Oakley Key Determination Protocol）是一个密钥交换协议，它允许认证过的双方通过不安全的网络交换秘钥的一部分元素，这一过程是通过迪菲－赫尔曼密钥交换来实现的。
• SKEME:提供了IKE交换密钥的算法，方式；即，通过DH进行密钥交换和管理的方式

即IKE由ISAKMP框架,OAKLEM密钥交换协议及SKEME的共享和密钥更新技术组成.