OpenVPN是什么？OpenVPN的特點

OpenVPN是一個基于SSL加密的應(yīng)用層VPN協(xié)議。

 

OpenVpn的技術(shù)核心是虛擬網(wǎng)卡，其次是SSL協(xié)議實現(xiàn)。

 

虛擬網(wǎng)卡是使用網(wǎng)絡(luò)底層編程技術(shù)實現(xiàn)的一個驅(qū)動軟件，安裝后在主機上多出現(xiàn)一個網(wǎng)卡，可以像其它網(wǎng)卡一樣進(jìn)行配置。服務(wù)程序可以在應(yīng)用層打開虛擬網(wǎng)卡，如果應(yīng)用軟件向虛擬網(wǎng)卡發(fā)送數(shù)據(jù)，則服務(wù)程序可以讀取到該數(shù)據(jù)，如果服務(wù)程序?qū)懞线m的數(shù)據(jù)到虛擬網(wǎng)卡，應(yīng)用軟件也可以接收得到。虛擬網(wǎng)卡在很多的操作系統(tǒng)下都有相應(yīng)的實現(xiàn)，這也是OpenVpn能夠跨平臺一個很重要的理由。

 

該VPN可在Windows、Linux環(huán)境下搭建，或者通過網(wǎng)絡(luò)設(shè)備、第三方軟件搭建。

 

開源VPN（OpenVPN）是一個功能齊全的 SSL VPN 解決方案，為遠(yuǎn)程訪問等企業(yè)級場景提供了許多選項來控制 VPN 客戶端的安全性，同時也能保護(hù)服務(wù)器安全。其最大優(yōu)勢在于位不同系統(tǒng)平臺提供出色的穩(wěn)定性和可擴(kuò)展性。

 

隧道加密

 

OpenVPN 使用 OpenSSL 庫加密數(shù)據(jù)與控制信息：它使用了 OpesSSL 的加密以及驗證功能，意味著，它能夠使用任何 OpenSSL 支持的算法。它提供了可選的數(shù)據(jù)包 HMAC 功能以提高連接的安全性。此外，OpenSSL 的硬件加速也能提高它的性能。

 

驗證

 

OpenVPN 提供了多種身份驗證方式，用以確認(rèn)參與連接雙方的身份，包括：預(yù)享私鑰，第三方證書以及用戶名/密碼組合。預(yù)享密鑰最為簡單，但同時它只能用于建立點對點的 VPN; 基于 PKI 的第三方證書提供了最完善的功能，但是需要額外的精力去維護(hù)一個 PKI 證書體系。OpenVPN2.0 后引入了用 戶名/口令組合的身份驗證方式，它可以省略客戶端證書，但是仍有一份服務(wù)器證書需要被用作加密。

 

網(wǎng)絡(luò)

 

OpenVPN 所有的通信都基于一個單一的 IP 端口，默認(rèn)且推薦使用 UDP 協(xié)議通訊，同時TCP也被支持。OpenVPN 連接能通過大多數(shù)的代理服務(wù)器，并且能夠在 NAT 的環(huán)境中很好地工作。服務(wù)端具有向客戶端“推送”某些網(wǎng)絡(luò)配置信息的功能，這些信息包括：IP地址、路由設(shè)置等。OpenVPN 提供了兩種虛擬網(wǎng)絡(luò)接口：通用 Tun/Tap 驅(qū)動，通過它們，可以建立三層 IP 隧道，或者虛擬二層以太網(wǎng)，后者可以傳送任何類型的二層以太網(wǎng)絡(luò)數(shù)據(jù)。傳送的數(shù)據(jù)可通過 LZO 算法壓縮。IANA（Internet Assigned Numbers Authority）指定給 OpenVPN 的官方端口為 1194。OpenVPN 2.0 以后版本每個進(jìn)程可以同時管理數(shù)個并發(fā)的隧道。

 

OpenVPN 使用通用網(wǎng)絡(luò)協(xié)議（TCP與UDP）的特點使它成為 IPsec 等協(xié)議的理想替代，尤其是在 ISP（Internet service provider）過濾某些特定 VPN 協(xié)議的情況下。在選擇協(xié)議時候，需要注意2個加密隧道之間的網(wǎng)絡(luò)狀況，如有高延遲或者丟包較多的情況下，請選擇 TCP 協(xié)議作為底層協(xié)議，UDP 協(xié)議由于存在無連接和重傳機制，導(dǎo)致要隧道上層的協(xié)議進(jìn)行重傳，效率非常低下。

 

安全

 

OpenVPN 與生俱來便具備了許多安全特性：在用戶空間運行，無須對內(nèi)核及網(wǎng)絡(luò)協(xié)議棧作修改； 初始完畢后以 chroot 方式運行，放棄 root 權(quán)限； 使用 mlockall 以防止敏感數(shù)據(jù)交換到磁盤。

 

OpenVPN 通過 PKCS#11 支持硬件加密標(biāo)識，如智能卡。