2023年7月20日发(作者：)

VPN的分类

根据不同的划分标准，VPN可以按几个标准进行分类划分

1. 按VPN的协议分类

VPN的隧道协议主要有三种，PPTP，L2TP和IPSec，其中PPTP和L2TP协议工作在OSI模型的第二层，又称为二层隧道协议；IPSec是第三层隧道协议，也是最常见的协议。L2TP和IPSec配合使用是目前性能最好，应用最广泛的一种。

2. 按VPN的应用分类

1) Access VPN（远程接入VPN）：客户端到网关，使用公网作为骨干网在设备之间传输VPN的数据流量

2) Intranet VPN（内联网VPN）：网关到网关，通过公司的网络架构连接来自同公司的资源

3) Extranet VPN（外联网VPN）：与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接

3. 按所用的设备类型进行分类

网络设备提供商针对不同客户的需求，开发出不同的VPN网络设备，主要为交换机，路由器，和防火墙

1）路由器式VPN：路由器式VPN部署较容易，只要在路由器上添加VPN服务即可

2）交换机式VPN：主要应用于连接用户较少的VPN网络

3）防火墙式VPN：防火墙式VPN是最常见的一种VPN的实现方式，许多厂商都提供这种配置类型

[编辑本段]

VPN的实现技术

1。 隧道技术

实现VPN的最关键部分是在公网上建立虚信道，而建立虚信道是利用隧道技术实现的，IP隧道的建立可以是在链路层和网络层。第二层隧道主要是PPP连接，如PPTP，L2TP，其特点是协议简单，易于加密，适合远程拨号用户;第三层隧道是IPinIP，如IPSec，其可靠性及扩展性优于第二层隧道，但没有前者简单直接。

2。 隧道协议

隧道是利用一种协议传输另一种协议的技术，即用隧道协议来实现VPN功能。为创建隧道，隧道的客户机和服务器必须使用同样的隧道协议。

1) PPTP（点到点隧道协议）是一种用于让远程用户拨号连接到本地的ISP，通过因特网安全远程访问公司资源的新型技术。它能将PPP（点到点协议）帧封装成IP数据包，以便能够在基于IP的互联网上进行传输。PPTP使用TCP（传输控制协议）连接的创建，维护，与终止隧道，并使用GRE(通用路由封装)将PPP帧封装成隧道数据。被封装后的PPP帧的有效载荷可以被加密或者压缩或者同时被加密与压缩。

2) L2TP协议：L2TP是PPTP与L2F（第二层转发）的一种综合，他是由思科公司所推出的一种技术

3) IPSec协议：是一个标准的第三层安全协议，他是在隧道外面再封装，保证了隧在传输过程中的安全。IPSec的主要特征在于它可以对所有IP级的通信进行加密和认证，正是这一点才使IPSec可以确保包括远程登录，电子邮件，文件传输及WEB访问在内多种应用程序的安全。

4) SSL VPN（安全套接层协议）是网景公司提出的基于Web应用的在两台机器之间提供安全通道的协议。它具有保护传输数据积极识别通信机器的功能。SSL主要采用公开密钥体制和X509数字证书技术在Internet上提供服务器认证，客户认证，SSL链路上的数据的保密性的安全性保证。被广泛用于Web浏览器与服务器之间的身份认证和加密传输。

SSL和IPSec各实现在哪一层的优劣

SSL协议是高层协议，实现在第四层。IPSec实现在第三层。

许多TCP/IP协议栈是这样实现的： TCP、IP 以及IP以下的协议实现在操作系统中，而TCP之上的协议实现在用户进程中（应用程序）。SSL协议的设计思想是在不改变操作系统的情况下部署实现，因此实现在TCP之上，SSL协议要求与应用程序接口（安全套结字API）而不是与TCP接口，也就不与操作系统接口。与SSL协议的设计思想不同，IPSec是在操作系统内部实现安全功能，从而自动地对应用系统实现保护。

SSL实现在TCP之上的安全协议存在一个问题，因为TCP协议本身没有密码的保护，所以只要恶意的代码插入数据包并通过TCP的校验，TCP数据包就不能够觉察到恶意代码的存在，TCP会将这些数据包转发给 SSL，而SSL会接受这些数据包，然后进行完整性验证，最后丢弃这些数据包；但是当真实的数据包到达时，TCP会以为这是重复的数据包，从而丢弃，因为丢弃的包和前一个包有着相同的序列号。SSL别无选择，只好关闭。

同样，IPSec不能对应用程序进行修改就可以运行也有安全问题，因为IPSec可以对源IP地址进行认证，但却无法告诉应用程序真正用户的身份。许多情况下，通信实体往往从不同的地址登录，并被允许访问网络。大多数应用程序需要区分不同的用户，如果IPSec已经认证了用户的身份，那么理论上它应该把用户的身份告诉给应用程序，但这样就要修改API和应用程序。最大可能就是基于公钥的认证方法，并建立IP地址与用户名的关联方法。

SOCKS 5 VPN

Socks5 VPN的特点

Socks5 VPN功能是对传统的IPSec VPN和SSL VPN的革新，是在总结了IPSec VPN和SSL VPN的优缺点以后，提出的一种全新的解决方案。

Socks5 VPN运行在会话层，并且提供了对应用数据和应用协议的可见性，使网络管理员能够对用户远程访问实施细粒度的安全策略检查。基于会话层实现Socks5 VPN的核心是会话层代理，通过代理可以将用户实际的网络请求转发给应用服务器，从而实现远程访问的能力。 在实现上，通过在用户机器上安装Socks5 VPN瘦客户端，由瘦客户端监控用户的远程访问请求，并将这些请求转化成代理协议可以识别的请求并发送给Socks5 VPN服务器进行处理，Socks5 VPN服务器则根据发送者的身份执行相应的身份认证和访问控制策略。在这种方式上，Socks5 VPN客户端和Socks5 VPN服务器扮演了中间代理的角色，可以在用户访问远程资源之前执行相应的身份认证和访问控制，只有通过检查的合法数据才允许流进应用服务器，从而有力保护了组织的内部专用网络。

Socks5 VPN与传统的L2TP、IPSec 等VPN相比：

有效地避免了黑客和病毒通过VPN隧道传播的风险，而这些风险是防火墙和防病毒难以克服的，因为他们已经把VPN来访作为安全的授信用户。

基于会话层实现的VPN优化了访问应用和资源提供细粒度的访问控制

基于代理模式的会话层数据转发减少了隧道传输过程中的数据冗余，从而取得了传统VPN无法媲美的传输效率

Socks5 VPN同时又保证了对应用的兼容性，避免SSL VPN的以下三大难题：

因为运行在会话层，非应用层，支持传输层以上的所有网络应用程序的访问请求，支持所有TCP应用，无须如SSL VPN那样通过复杂的协议转换来支持各种不同应用所导致的效率损失和很多应用不兼容的两大难题。

还克服了SSL VPN只能组建单向星状网络的尴尬局面，满足了双向互访、多向网状、星状访问的复杂网络环境。

目前国内唯一一家做socks5 vpn的品牌是-- "e地通"