【文章內容簡介】 提出了 WTLS協議 （ Wireless Transport Layer Security） ， 以適應無線網絡的特殊環(huán)境 。 當在瀏覽器里設置了 的代理 ， 而且在瀏覽器里輸入了 ， 瀏覽器會與 proxy建立 TCP鏈接 ，然后向其發(fā)出這么一段消息： CONNECT :443 HTTP/ 第九章 虛擬網絡技術上 4． SSL協議 Host: :443 然后 proxy會向 webserver端建立 TCP連接之后 ， 這個代理便完全成了一個內容轉發(fā)裝置 。 瀏覽器與 web server會建立一個安全通道 ， 因此這個安全通道是端到端的 ， 盡管所有的信息流過了 proxy， 但其內容 proxy是無法解密和改動的 。 SSL連接可以看成在 TCP/IP連接的基礎上建立一個安全通道 ， 在這一通道中 ， 所有點對點的信息都將加密 ， 從而確保信息在 Inter上傳輸時 ， 不會被第三方竊取 。 SSL協議可以分為兩個子協議： SSL記錄協議 （ Record Protocol） 和 SSL握手協議 （ Handshake Protocol） 。 其中 Handshake Protocol用來協商密鑰 ， 協議的大部分內容就是通信雙方如何利用它來安全地協商出一份密鑰 。Record Protocol則定義了傳輸的格式 。 它們在網絡體系中分別位于如下層次： 第九章 虛擬網絡技術上 圖 94 SSL協議 Application Layer 應用層 Handshake Protocol 會話層 SSL Record Layer 傳輸層 TCP Layer 第九章 虛擬網絡技術上 SSL提供了兩臺機器間的安全連接。支付系統(tǒng)經常通過在 SSL連接上傳輸信用卡卡號的方式來構建，在線銀行和其他金融系統(tǒng)也常常構建在 SSL之上。雖然基于SSL的信用卡支付方式促進了電子商務的發(fā)展，但如果想要電子商務得以成功地廣泛開展的話，必須采用更先進的支付系統(tǒng)。 SSL被廣泛應用的原因在于它被大部分 Web瀏覽器和 Web服務器所內置，比較容易被應用。 第九章 虛擬網絡技術上 5． SOCKS v5協議 SOCKS是相對于 OSI模型的會話層的網絡連接代理協議 ， SOCKS能對連接請求進行鑒別和授權 。 并建立代理連接和傳送數據 。SOCKS有 v4和 v5兩個版本 ， SOCKS v5比 SOCKS v4增加了處理UDP數據報能力 。 SOCKS v5的優(yōu)點在于它是在 OSI模型的會話層控制數據流，它定義了非常詳細的訪問控制。 SOCKS v5和 SSL工作在會話層，能夠與低層協議 IPv IPsec、 PPTP、 L2TP一起使用；用 SOCKS v5的代理服務器可隱藏網絡地址結構；能為認證、加密和密鑰管 理提供“插件”模塊，讓用戶自由地采用所需要的技術。 SOCKS v5可根據規(guī)則過濾數據流，包括 Java Applet和 Actives控制。當SOCKS v5同 SSL協議配合使用時，可作為建立高度安全的 VPN的基礎。 SOCKS已被 IFTF建議作為建立 VPN的標準。 第九章 虛擬網絡技術上 9． 2． 3 VPN的業(yè)務 共有三種連接方式 1． Access VPN 2． Intra VPN 3． Extra VPN 第九章 虛擬網絡技術上 1． Access VPN Access VPN（ 接入 VPN） ， 又叫做撥號 VPN， 即 VPDN，接入方法可以是用調制解調器 、 ISDN或者 xDSL。 是指企業(yè)員工或企業(yè)的小分支機構通過公網遠程撥號的方式構筑的虛擬網 ， 即客戶端到網關 。 遠端用戶不是通過長途線路 ， 而是通過本地 ISP， 采用 VPN技術在公眾網上建立一個虛擬的通道 。 商家需提供 B2C（ 企業(yè)對用戶 ） 的安全訪問服務 。 第九章 虛擬網絡技術上 2． Intra VPN 所謂 Intra VPN（ 內部 VPN） 適用于企業(yè)的總部與分支機構間通過 Inter構筑的世界范圍的虛擬網 ， 即網關到網關 。 利用 Inter的線路保證網絡的互聯性 。 而利用隧道 ， 加密等 VPN技術 ， 可以保證信息在整個Intra VPN上安全傳輸 。 IPsec隧道協議可滿足所有網關到網關的 VPN的連接 。 第九章 虛擬網絡技術上 3． Extra VPN Extra VPN（ 外部 VPN） 與 Intra VPN沒有本質的差別 ， 它是將客戶 、 供應商 、 合作伙伴或興趣群體連接到企業(yè)內部網 ， 使不同企業(yè)網通過公網來構筑的虛擬網 。 但由于是不同公司的網絡相互通信 ， 所以要更多地考慮設備的互聯 、 地址的協調 、 安全策略的協商等 。 它也屬于網關到網關的連接 ， 選擇 IPsec協議是明智之舉 。 Intra VPN和 Extra VPN統(tǒng)稱為專線 VPN或場地到場地的 VPN。 第九章 虛擬網絡技術上 9． 2． 4 構建 VPN 1． 按運營方式劃分 Corebased VPN： Corebased VPN是運營商在電信公網上為企業(yè)建立的專用隧道服務 。 其優(yōu)點是企業(yè)不需購買和維護 VPN設備 ， 方便了管理 ， 但目前存在許多無法越過的障礙：由于涉及加密算法不統(tǒng)一 ， 造成不同運營商的 VPN不能互通互聯 ， MPLS VPN雖然避開了加密算法的約束 ， 但目前處于應用初級階段 ， 網絡沒覆蓋到全國；另一個致命弱點是 VPN管理在運營商處 ， 公司的核心將被外人管理 。 每月還需繳納一定的維護費 。 因此 Corebased VPN只適合于數據保密性要求不高 ， 需求不固定的中小企業(yè) 。 第九章 虛擬網絡技術上 CPEbased VPN： CPEbased VPN是企業(yè)通過自購 VPN設備，在公網上建立的安全專用通道。企業(yè)自建 VPN在技術上與 Corebased VPN完全一致，但是核心數據完全掌握在企業(yè)手中。同時它實現端到端的加密通信，并可根據公司的策略隨時進行調整，具有靈活性。 第九章 虛擬網絡技術上 2．按應用方式劃分 虛擬專用網絡在應用上可分為 PointtoLAN （ 單機對局域網 ） 與 LANtoLAN （ 局域網對局域網 ） 兩種： 在 PointtoLAN的配置中 ， 虛擬專用網絡的一端為局域網 ， 通過具有虛擬專用網絡功能的路由器 ， 專用連線上 Inter；虛擬專用網絡的另一端為個人計算機 ， 通過電話撥號的方式連上 Inter。 在 LANtoLAN （ 或稱為 RoutertoRouter ） 的配置中 ，虛擬專用網絡的兩端都為局域網 ， 通過具有虛擬專用網絡功能的路由器