网络安全设备：VPN 

VPN 一般指虚拟专用网络，主要是在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。VPN 网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN 有多种分类方式，主要是按协议进行分类。VPN 可通过服务器、硬件、软件等多种方式实现。

工作原理

1. 通常情况下，[VPN 网关采取双网卡结构，外网卡使用公网 IP 接入 Internet。

2. 网络一 (假定为公网 internet) 的终端 A 访问网络二 (假定为公司内网) 的终端 B，其发出的访问数据包的目标地址为终端 B 的内部 IP 地址，

3. 网络一的 VPN 网关在接收到终端 A 发出的访问数据包时对其目标地址进行检查，如果目标地址属于网络二的地址，则将该数据包进行封装，封装的方式根据所采用的 VPN 技术不同而不同，同时 VPN 网关会构造一个新 VPN 数据包，并将封装后的原数据包作为 VPN 数据包的负载，VPN 数据包的目标地址为网络二的 VPN 网关的外部地址。

4. 网络一的 VPN 网关将 VPN 数据包发送到 [Internet ，由于 VPN 数据包的目标地址是网络二的 VPN 网关的外部地址，所以该数据包将被 Internet 中的路由正确地发送到网络二的 VPN 网关。

5. 网络二的 VPN 网关对接收到的数据包进行检查，如果发现该数据包是从网络一的 VPN 网关发出的，即可判定该数据包为 VPN 数据包，并对该数据包进行解包处理。解包的过程主要是先将 VPN 数据包的包头剥离，再将数据包反向处理还原成原始的数据包。

6. 网络二的 VPN 网关将还原后的原始数据包发送至目标终端 B，由于原始数据包的目标地址是终端 B 的 IP，所以该数据包能够被正确地发送到终端 B。在终端 B 看来，它收到的数据包就和从终端 A 直接发过来的一样。

7. 从终端 B 返回终端 A 的数据包处理过程和上述过程一样，这样两个网络内的终端就可以相互通讯了。

工作过程

VPN 的基本处理过程如下：

①要保护主机发送明文信息到其他 VPN 设备。

②VPN 设备根据网络管理员设置的规则，确定是对数据进行加密还是直接传输。

③对需要加密的数据，VPN 设备将其整个数据包（包括要传输的数据、源 IP 地址和目的 lP 地址）进行加密并附上数据签名，加上新的数据报头（包括目的地 VPN 设备需要的安全信息和一些初始化参数）重新封装。

④将封装后的数据包通过隧道在公共网络上传输。

⑤数据包到达目的 VPN 设备后，将其解封，核对数字签名无误后，对数据包解密。