信息使用协议在互联网上或任意两部数字设备之间传输。这些协议将消息分隔为不同的部分(通常是两部分):一部分包含正在传输的实际数据,另一部分包含与传输规则有关的信息。为了建立连接,收发双方必须理解和使用相同的通信协议。隧道协议便是这样一种协议,在其数据报中封装使用不同通信协议的另一个完整数据包。本质上,收发双方要在网络上的两点之间创建一个隧道,以便安全地传输任何种类的数据。
一般来说,这类协议用于在公共网络上发送专用网络数据,通常需要创建一个虚拟专用网络 (VPN),但也可用于在公共网络上发送非加密数据时提高安全性。常用的隧道协议有很多,例如安全套接字 (SSH)、点对点隧道 (PPTP) 和 IPsec,每一种协议均有其定制的独特隧道用途。
因为隧道协议将完整数据包隐藏在数据报之中,因此存在误用的潜在可能性。隧道通常用于在防火墙允许通过的协议中封装被阻止的协议,从而通过比较简单或配置不当的防火墙。使用隧道协议还增加了任务完成难度,例如深度数据包检查(网络基础设施在数据报中查找可疑数据)或入口/出口过滤(通过数据目标地址完好检查来帮助抵御潜在攻击)。甚至有多份报告指出有利用 IPv6 新技术传输恶意软件的案例。IPv6 技术必须使用隧道来执行往来于不支持 IPv6 的设备之间的传输。
隧道协议是一种潜在威胁,网络或 IT 专家只需加以监控即可。专家们必须确保其系统可以阻止不需要的隧道,并且通过配置对使用已知隧道发送的数据(例如通过 VPN 发送的数据)应用安全协议。
与定义相关的其他文章和链接