匯出 (0) 列印
全部展開

什麼是 VPN?

適用於: Windows Server 2008

虛擬私人網路 (VPN) 是跨越私人或公用網路 (例如網際網路) 的點對點連線。VPN 用戶端使用以 TCP/IP 為主的特殊通訊協定 (稱為通道通訊協定),對 VPN 伺服器上的虛擬連接埠進行虛擬呼叫。在典型的 VPN 部署中,用戶端會透過網際網路初始對遠端存取伺服器的虛擬點對點連線。遠端存取伺服器會回應呼叫、驗證呼叫者,然後在 VPN 用戶端與組織的私人網路之間轉送資料。

為了模擬點對點連結,會使用標頭封裝或包裝資料。此標頭提供路由資訊,讓資料可周遊共用或公用網路,以連線其端點。為了模擬私人連結,傳送的資料基於機密性需要經過加密。在共用或公用網路上被攔截的封包,沒有加密金鑰就很難解讀。經過封裝和加密的私人資料連結稱為 VPN 連線。

VPN 連線

VPN 連線

VPN 連線有兩種類型:

  • 遠端存取 VPN

  • 站台對站台 VPN

遠端存取 VPN

遠端存取 VPN 連線可讓在家中或差旅中工作的使用者,使用公用網路 (例如網際網路) 提供的基礎結構存取私人網路上的伺服器。從使用者的觀點來看,VPN 是電腦 (VPN 用戶端) 與組織伺服器之間的點對點連線。共用或公用網路的基礎結構並無相關,因為在邏輯上就像是透過專用的私人連結傳送資料。

站台對站台 VPN

站台對站台 VPN 連線 (也稱為路由器對路由器 VPN 連線) 可讓組織擁有個別辦公室之間的路由連線,或在協助維護安全通訊時透過公用網路與其他組織建立路由連線。跨越網際網路的路由 VPN 連線運作方式,在邏輯上就像專用的廣域網路 (WAN) 連結一樣。如下圖所示,透過網際網路連線網路時,路由器透過 VPN 連線將封包轉送至另一個路由器。對路由器而言,VPN 連線的運作方式就像資料連結層連結。

站台對站台 VPN 連線連接私人網路的兩個部分。VPN 伺服器提供此 VPN 伺服器所連接的網路的路由連線。呼叫路由器 (VPN 用戶端) 會對接聽路由器 (VPN 伺服器) 進行自我驗證,而且基於相互驗證,接聽路由器也會對呼叫路由器進行自我驗證。在站台對站台 VPN 連線中,從任一路由器透過 VPN 連線傳送的封包通常不是源自路由器。

透過網際網路連接兩個遠端站台的 VPN

跨網際網路連線遠端站台的 VPN

VPN 連線的內容

使用 PPTP、L2TP/IPsec 以及 SSTP 的 VPN 連線擁有下列內容:

  • 封裝

  • 驗證

  • 資料加密

封裝

利用 VPN 技術,使用含有路由資訊的標頭封裝私人資料,使資料可周遊傳送網路。如需封裝的範例,請參閱 VPN 通道通訊協定

驗證

VPN 連線的驗證採用三種不同形式:

  1. 使用 PPP 驗證執行使用者等級驗證

    若要建立 VPN 連線,VPN 伺服器會驗證使用點對點通訊協定 (PPP) 使用者等級驗證方法嘗試連線的 VPN 用戶端,確認該 VPN 用戶端擁有適當的授權。如果使用相互驗證,VPN 用戶端也會驗證 VPN 伺服器,以防止偽裝為 VPN 伺服器的電腦。

  2. 使用網際網路金鑰交換 (IKE) 執行電腦等級驗證

    若要建立網際網路通訊協定安全性 (IPsec) 的安全性關聯,VPN 用戶端與 VPN 伺服器會使用 IKE 通訊協定交換電腦憑證或預先共用的金鑰。在任一狀況下,VPN 用戶端與伺服器都會在電腦等級相互驗證。強烈建議您採用電腦憑證驗證,因為它是更為強式的驗證方法。僅在 L2TP/IPsec 連線執行電腦等級驗證。

  3. 資料來源驗證和資料完整性

    為了確認在 VPN 連線上傳送的資料源自連線的另一端,而且在轉移時未被修改,資料會包含密碼編譯總和檢查碼,它以傳送者和接收者才知道的加密金鑰為基礎。資料來源驗證和資料完整性僅用於 L2TP/IPsec 連線。

資料加密

若要確保資料在周遊共用或公用傳送網路時的機密性,資料會由傳送者加密,然後由接收者解密。加密及解密程序與使用一般加密金鑰的傳送者和接收者都有關係。

在傳送網路中的 VPN 連線傳送而被攔截的封包,沒有一般加密金鑰的任何人都無法辨識。加密金鑰的長度是重要的安全性參數。您可以使用計算技術決定加密金鑰。不過,當加密金鑰變大時,這種技術需要更多計算能力與計算時間。因此,重要的是使用最大的可能金鑰大小來確保資料機密性。

本文對您有任何幫助嗎?
(剩餘 1500 個字元)
感謝您提供意見

社群新增項目

新增
顯示:
© 2014 Microsoft