中國石化工業控制網络安全分析


摘自:
石化工业控制网络安全分析与防护

石化工業控制網路安全分析與防護

    
  隨著我國工業資訊化建設的不斷深入,資訊化已經成為企業發展的重要推動力量,國外石化企業資訊化建設和應用已經走在我們前面。經濟全球化的發展以及WTO的加入,更對石化企業提出了新的挑戰,就石化企業而言,資訊化是生存和發展的必由之路。
  資訊化是一項系統工程,資訊化安全也是資訊化建設的關鍵環節。特別是隨著互聯網日新月異的發展和企業集團資訊化整合的加強,企業網路應用的範圍在不斷擴大,如通過互聯網獲取資訊、展現企業形象、開展電子商務等,通過廣域網實現集團內部資源分享、統一集團管理等,企業資訊化網路不再是單純意義上的 Intranet,而更多的則是基於Internet的網路和應用。但網路開放的同時,帶來的安全問題就更加嚴峻了,各種安全問題如病毒、攻擊和入侵等已經引起了人們的高度重視。
  石化企業資訊化與其他行業相比有一個突出特點,就是以管控一體化為重點。這是由石化行業自身的特點決定的,並具有一定的時代特點。
  石化企業是典型的資金和技術密集型企業,生產的連續性很強,裝置和重要的意外停產都會導致巨大的經濟損失,因此生產程序控制大多採用DCS 等先進的控制系統,生產管理上也更注重安全和平穩運行。通過加強生產管理,可以實現管理與生產程序控制的融合,通過優化調度、先進控制和優化控制等手段,在保證生產平穩的基礎上獲取更大的經濟效益,因此,石化企業資訊化的重點是管控一體化。當今的石化企業普遍採用基於ERP/SCMMESPCS三層架構的的管控一體化資訊模型,MES處於企業資訊系統ERP/SCM和程序控制系統的中間位置。MES系統在整個資訊系統中主要擔當了兩個方面的重要作用:一是資料雙向通道的作用。即通過MES系統的實施,可以有效彌補企業PCS層及ERP/SCM層之間的資料間隙,由下至上,通過對底層PCS層資料的搜集、存儲及校正,建立程序控制資料階層上的數字化工廠,結合生產調度層次上的調度事件資訊資料等,為上層ERP/SCM計畫管理層提供準確統一的生產資料;由上至下,通過對即時生產資料的總結,上層ERP/SCM層可以根據未來訂單及現階段生產狀況調整生產計畫,下發MES層進行計畫的分解及產生調度指令,有效指導企業生產活動。因此,MES系統在資料層面上,起到了溝通PCS層和ERP/SCM層的橋樑作用,並保證了生產資料、調度事件等資訊的一致性及準確性。另一方面,生產活動的複雜性產生了很多實際的用戶需求,為了滿足這些用戶需求,MES系統也可以視為一個功能模組的集合。
  由DCSPLCSCADA等控制系統構成的控制網路,在過去幾十年的發展中呈現出整體開放的趨勢。以石化主流控制系統DCS為例,在資訊技術發展的影響下,DCS已經進入了第四代,新一代DCS呈現的一個突出特點就是開放性的提高。過去的DCS廠商基本上是以自主開發為主,提供的系統也是自己的系統。當今的DCS廠商更強調開放系統集成性。各DCS廠商不再把開發組態軟體或製造各種硬體單元視為核心技術,而是紛紛把DCS的各個組成部分採用第三方集成方式或OEM方式。例如,多數DCS廠商自己不再開發組態軟體平臺,而轉入採用其他專業公司的通用組態軟體平臺,或其他公司提供的軟體平臺。這一思路的轉變使得現代DCS的操作站完全呈現PC化與Windows化的趨勢。在新一代DCS的操作站中,幾乎清一色採用PC+Windows的技術架構,使用戶的投資及維護成本大幅降低。
  同時,DCS網路技術也呈現出開放的特徵。過去,由於通信技術相對落後,網路技術開放性是困擾用戶的一個重要問題。而當代網路技術、軟體技術的發展為開放系統提供了可能。網路技術開放性體現在DCS可以從多個層面與第三方系統互聯,同時支援多種網路協定。目前在與企業管理層資訊平臺互聯時,大多採用基於TCP(UDP)/IP協定的乙太網通信技術,使用OPC等開放介面標準。
  開放性為用戶帶來的好處毋庸置疑,但由此引發的各種安全漏洞與傳統的封閉系統相比卻大大增加。對於一個控制網路系統,產生安全漏洞的因素是多方面的。
  1、網路通信協定安全漏洞
  隨著TCP(UDP)/IP協定被控制網路普遍採用,網路通信協定漏洞問題變得越來越突出。
  TCP/IP協議簇最初設計的應用環境是美國國防系統的內部網路,這一網路是互相信任的,因此它原本只考慮互通互聯和資源分享的問題,並未考慮也無法相容解決來自網路中和網際間的大量安全問題。當其推廣到社會的應用環境後,安全問題發生了。所以說,TCP/IP在先天上就存在著致命的安全漏洞。
  1)缺乏對用戶身份的鑒別
  2)缺乏對路由協定的鑒別認證
  3)TCP/UDP自身缺陷
  2、作業系統安全漏洞
  PC+Windows的技術架構現已成為控制系統上位機/操作站的主流。而在控制網路中,上位機/操作站是實現與MES通信的主要網路結點,因此其作業系統的漏洞就成為了整個控制網路資訊安全中的一個短板。
  Windows作業系統從推出至今,以其友好的用戶介面、簡單的操作方式得到了用戶的認可,其版本也從最初的Windows3.1發展到如今的 XPWindowsServer2003Windows7等。但是,微軟在設計Windows作業系統時是本著簡單易用為原則的,因而忽略了安全方面的考慮,留下了很多隱患。這些隱患在單機時代並沒有顯現出來,後來隨著網路的出現和普及,越來越多地使用Windows作業系統的PC接入網路,微軟埋下的隱患逐漸浮出水面。一時間Windows作業系統漏洞頻繁出現,安全事故時有發生。雖然微軟在Windows2000以後的版本中採用了 WindowsNT的核心,在一定程度上提高了Windows作業系統的安全性,但仍然不能避免安全漏洞的不斷出現。另一方面,Windows作為主流的作業系統,也更容易成為眾矢之的,每次Windows的系統漏洞被發現後,針對該漏洞的惡意代碼很快就會出現在網上,從漏洞被發現到惡意代碼的出現,中間的時差開始變得越來越短。以Windows2000版本為例,就曾被發現了大量漏洞,典型的如:輸入法漏洞、IPC$漏洞、RPC漏洞、Unicode漏洞、IDA&IDQ緩衝區溢出漏洞、Printer溢出漏洞、Cookie漏洞等等。這些漏洞大部分危害巨大,惡意代碼通過這些漏洞,可以獲得 Windows2000操作站的完全控制權,甚至為所欲為。
  3、應用軟體安全漏洞
  處於應用層的應用軟體產生的漏洞是最直接、最致命的。一方面這是因為應用軟體形式多樣,很難形成統一的防護規範以應對安全問題;另一方面最嚴重的是,當應用軟體面向網路應用時,就必須開放其應用埠。例如,要想實現與操作站OPC伺服器軟體的網路通信,控制網路就必須完全開放135埠,這時防火牆等安全設備已經無能為力了。而實際上,不同應用軟體的安全漏洞還不止於此。
  控制網路安全隱患分析
  控制網路的安全漏洞暴露了整個控制系統安全的脆弱性。由於網路通信協定、作業系統、應用軟體、安全策略甚至硬體上存在的安全缺陷,從而使得攻擊者能夠在未授權的情況下訪問和操控控制網路系統,形成了巨大的安全隱患。控制網路系統的安全性同樣符合“木桶原則”,其整體安全性不在於其最強處,而取決於系統最薄弱之處,即安全漏洞所決定。只要這個漏洞被發現,系統就有可能成為網路攻擊的犧牲品。
  安全漏洞對控制網路的隱患體現在惡意攻擊行為對系統的威脅。隨著越來越多的控制網路系統通過資訊網路連接到互聯上,這種威脅就越來越大。目前互聯網上已有幾萬個駭客站點,駭客技術不斷創新,基本的攻擊手法已達上千種。這些攻擊技術一旦被不法之徒掌握,將產生不良的後果。
  對於控制網路系統,由於安全漏洞可能帶來的直接安全隱患有以下幾種。
  1、入侵
  系統被入侵是系統常見的一種安全隱患。駭客侵入電腦和網路可以非法使用電腦和網路資源,甚至是完全掌控電腦和網路。
  控制網路的電腦終端和網路往往可以控制諸如大型化工裝置、公用工程設備,甚至核電站安全系統等大型工程化設備。駭客一旦控制該系統,對系統造成一些參數的修改,就可能導致生產運行的癱瘓,就意味著可能利用被感染的控制中心系統破壞生產過程、切斷整個城市的供電系統、惡意污染飲用水甚至是破壞核電站的正常運行。隨著近些年來越來越多的控制網路接入到互聯網當中,這種可能就越來越大。
  2、拒絕服務攻擊
  受到拒絕服務攻擊是一種危害很大的安全隱患。常見的流量型攻擊如PingFloodingUDPFlooding等,以及常見的連接型攻擊如 SYNFloodingACKFlooding等,通過消耗系統的資源,如網路帶寬、連接數、CPU處理能力等使得正常的服務功能無法進行。拒絕服務攻擊難以防範的原因是它的攻擊對象非常普遍,從伺服器到各種網路設備如路由器、交換機、防火牆等都可以被拒絕服務攻擊。
  控制網路一旦遭受嚴重的拒絕服務攻擊就會導致操作站的服務癱瘓,與控制系統的通信完全中斷等。可以想像,受到拒絕服務攻擊後的控制網路可能導致網路中所有操作站和監控終端無法進行即時監控,其後果是非常嚴重的。而傳統的安全技術對拒絕服務攻擊幾乎不可避免,缺乏有效的手段來解決。
  3、病毒與惡意代碼
  病毒的氾濫是大家有目共睹的。全球範圍內,每年都會發生數次大規模的病毒爆發。目前全球已發現數萬種病毒,並且還在以每天數十餘種的速度增長。除了傳統意義上的具有自我複製能力但必須寄生在其他實用程式中的病毒外,各種新型的惡意代碼也層出不窮,如門、邏輯炸彈、特洛伊木馬、蠕蟲、 Zombie等。新型的惡意代碼具有更強的傳播能力和破壞性。例如蠕蟲,從廣義定義來說也是一種病毒,但和傳統病毒相比最大不同在於自我複製過程。傳統病毒的自我複製過程需要人工干預,無論運行感染病毒的實用程式,或者是打開包含巨集病毒的郵件等,沒有人工干預病毒無法自我完成複製、傳播。但蠕蟲卻可以自我獨立完成以下過程:
  查找遠端系統:能夠通過檢索已被攻陷的系統的網路鄰居列表或其他遠端系統位址列表找出下一個攻擊物件。
  建立連接:能夠通過埠掃描等操作過程自動和被攻擊物件建立連接,如Telnet連接等。
  實施攻擊:能夠自動將自身通過已經建立的連接複製到被攻擊的遠端系統,並運行它。
  一旦電腦和網路染上了惡意代碼,安全問題就不可避免。
  常規網路安全技術
  石化企業隨著資訊系統的不斷發展,大量IT技術被引入,同時也包括各種IT網路安全技術。目前以MES為代表的資訊系統在實現控制網路接入資訊網路時,也基本都考慮了對控制網路的安全防護。但目前對控制網路的防護,大部分採用的是常規網路安全技術,主要包括防火牆、IDSVPN、防病毒等。這些技術主要面向商用網路應用。
  在企業的資訊化系統中,由辦公網路、管理網路組成的資訊網路與商用網路的運維特點比較相似,因此採用常規網路安全技術是適合的。而控制網路特點則有很大不同。
  控制網路是控制系統如DCS各部件協同工作的通信網路。控制系統負責對生產裝置的連續不間斷地生產控制,因此控制網路同樣具有連續不可間斷的高可靠性要求。另一方面,控制網路也是操作人員對控制系統即時下發控制指令的重要途徑,所以控制網路又具有不可延遲的高即時性要求。
  在商用網路裏可以存在病毒,幾乎每天都有新的補丁出現,電腦可能會死機、暫停,而這些如果發生在控制網路裏幾乎是不可想像的。為了保證生產安全,在極端情況下,即便將控制網路與資訊網路斷開,停止與資訊網路交換資料也要保證控制系統的安全。因此,過程生產的連續不可間斷的高可靠性要求控制網路具備更高的安全性。
  另外,從資料安全角度來看,商用網路往往對資料的私密性要求很高,要防止資訊的洩露,而控制網路強調的是資料的可靠性。另外,商用網路的應用資料類型極其複雜,傳輸的通信標準多樣化,如HTTPSMTPFTPSOAP等;而控制網路的應用資料類型相對單一,以過程資料為主,傳輸的通信標準以工業通信標準為主,如OPCModbus等。
  通過比較商用網路與控制網路的差異可以發現,常規的IT網路安全技術都不是專門針對控制網路需求設計的,用在控制網路上就會存在很多局限性。
  比如防火牆產品,目前基本是以包過濾技術為基礎的,它最大的局限性在於不能保證准許放行的資料的安全性。防火牆通過拒絕放行並丟棄資料包來實現自己的安全機制。但防火牆無法保證准許放行資料的安全性。從實際應用來看,防火牆較為明顯的局限性包括以下幾方面:
  1)、防火牆不能阻止感染病毒的程式和檔的傳輸。就是防火牆只能做網路四層以下的控制,對於應用層內的病毒、蠕蟲都沒有辦法。
  2)、防火牆不能防範全新的威脅,更不能防止可接觸的人為或自然的破壞。
  3)、防火牆不能防止由自身安全漏洞引起的威脅。
  4)、防火牆對用戶不完全透明,非專業用戶難於管理和配置,易造成安全漏洞。
  5)、防火牆很難為用戶在防火牆內外提供一致的安全策略,不能防止利用標準網路協定中的缺陷進行的攻擊,也不能防止利用伺服器系統漏洞所進行的攻擊。
  6)、由於防火牆設置在內網與外網通信的通道上,並執行規定的安全策略,所以防火牆在提供安全防護的同時,也變成了網路通信的瓶頸,增加了網路傳輸延時,如果防火牆出現問題,那麼內部網路就會受到嚴重威脅。
  7)、防火牆僅提供粗粒度的訪問控制能力。它不能防止資料驅動式的攻擊。
  另一方面,防火牆由於其自身機理的原因,還存在很多先天不足,主要包括:
  1)、由於防火牆本身是基於TCP/IP協議體系實現的,所以它無法解決TCP/IP協議體系中存在的漏洞。
  2)、防火牆只是一個策略執行機構,它並不區分所執行政策的對錯,更無法判別出一條合法政策是否真是管理員的本意。從這點上看,防火牆一旦被攻擊者控制,由它保護的整個網路就無安全可言了。
  3)、防火牆無法從流量上判別哪些是正常的,哪些是異常的,因此容易受到流量攻擊。
  4)、防火牆的安全性與其速度和多功能成反比。防火牆的安全性要求越高,需要對資料包檢查的專案(即防火牆的功能)就越多越細,對CPU和記憶體的消耗也就越大,從而導致防火牆的性能下降,處理速度減慢。
  5)、防火牆准許某項服務,卻不能保證該服務的安全性,它需要由應用安全來解決。
  防火牆正是由於這些缺陷與不足,導致目前被攻破的幾率已經接近50%。雖然目前最流行的安全架構是以防火牆為核心的安全體系架構。通過防火牆來實現網路的安全保障體系。然而,以防火牆為核心的安全防禦體系未能有效地防止目前頻頻發生網路攻擊。僅有防火牆的安全架構是遠遠不夠的。
  其他安全技術如IDSVPN、防病毒產品等與產品與防火牆一樣,也都有很強的針對性,只能管轄屬於自己管轄的事情,出了這個邊界就不再能發揮作用。IDS作為可審查性產品最大的局限性是漏報和誤報嚴重,幾乎不是一個可以依賴的安全工具,而是一個參考工具。漏報等於沒有報,誤報則是報錯了,這兩個特點幾乎破壞了入侵檢測的可用性。VPN作為一種加密類技術,不管哪種VPN技術,在設計之初都是為了保證傳輸安全問題而設計的,而沒有動態、即時的檢測接入的VPN主機的安全性,同時對其作“准入控制”。這樣有可能因為一個VPN主機的不安全,導致其整個網路不安全。防病毒產品也有局限性,主要是對新病毒的處理總是滯後的,這導致每年都會大規模地爆發病毒,特別是新病毒。
  網路隔離技術及防護產品
  1、網路隔離技術
  在防火牆的發展過程中,人們最終意識到防火牆在安全方面的局限性。高性能、高安全性、易用性方面的矛盾沒有很好地解決。防火牆體系架構在高安全性方面的缺陷,驅使人們追求更高安全性的解決方案,人們期望更安全的技術手段,網路隔離技術應運而生。
  網路隔離技術是安全市場上的一個分支。在經過漫長的市場概念澄清和技術演變進步之後,市場最終接受了網路隔離具有最高的安全性。目前存在的安全問題,對網路隔離技術而言在理論上都不存在。這就是各國政府和軍方都大力推行網路隔離技術的主要原因。
  網路隔離技術經過了長時間的發展,目前已經發展到了第五代技術。第一代隔離技術採用完全的隔離技術,實際上是將網路物理上的分開,形成資訊孤島;第二代隔離技術採用硬體卡隔離技術;第三代隔離技術採用資料轉發隔離技術;第四代隔離技術採用空氣開關隔離技術;第五代隔離技術採用安全通道隔離技術。
  基於安全通道的最新隔離技術通過專用通信硬體和專有安全協定等安全機制,來實現內外部網路的隔離和資料交換,不僅解決了以前隔離技術存在的問題,並有效地把內外部網路隔離開來,而且高效地實現了內外網資料的安全交換,透明支援多種網路應用,成為當前隔離技術的發展方向。
  網路隔離的指導思想與防火牆也有很大的不同,體現在防火牆的思路是在保障互聯互通的前提下,盡可能安全;而網路隔離的思路是在必須保證安全的前提下,盡可能支援資料交換,如果不安全則斷開。
  網路隔離技術主要目標是解決目前資訊安全中的各種漏洞:作業系統漏洞、TCP/IP漏洞、應用協定漏洞、鏈路連接漏洞、安全策略漏洞等,網路隔離是目前唯一能解決上述問題的安全技術。
  2、網路隔離防護產品
  基於網路隔離技術的網路隔離產品是互聯網時代的產物。最早出現在美國、以色列等國家的軍方,用以解決涉密網路與公共網路連接時的安全。在我國,最初的應用也主要集中在政府、軍隊等領域,由於核心部門的資訊安全關係著國家安全、社會穩定,因此迫切需要比傳統產品更為可靠的技術防護措施。國內的網路隔離產品也由此應運而生。
  由於是應用在可能涉及國家安全的關鍵場合,為了統一規範網路隔離類的技術標準,國家品質監督檢驗總局及國家標準化管理委員及早制定了相應的國家標準,目前最新國標為GB/T20279-2006GB/T20277-2006
  隨著以電力為首的工業行業對網路安全提出了更高要求後,網路隔離產品也開始在工業領域逐漸得到應用。目前,已經在工業領域用於控制網路安全防護的網路隔離產品主要有網閘、工業網路安全防護閘道等產品。這些產品大部分都是基於最新的第五代隔離技術開發出來了,其主要的技術原理是從OSI模型的七層上全面斷開網路連接,同時採用“2+ 1三模個主,和的隔種架實現之間路斷的,上進TCP/IP協定,剝離了應用協定,在安全交換後進行了協議的恢復和重建。通過TCP/IP協定剝離和重建技術消除了TCP/IP協議的漏洞。在應用層對應用協議進行剝離和重建,消除了應用協議漏洞,並可針對應用協議實現一些細粒度的訪問控制。從TCP/IPOSI資料模型的所有七層斷開後,就可以消除目前TCP/IP存在的所有攻擊。
  (1)、網閘
  網閘類產品誕生較早。產品最初是用來解決涉密網路與非涉密網路之間的安全資料交換問題。後來,網閘由於其高安全性,開始被廣泛應用於政府、軍隊、電力、鐵道、金融、銀行、證券、保險、稅務、海關、民航、社保等多個行業部門。
  由於網閘產品的主要定位是各行業中對安全性要求較高的涉密業務的辦公系統,因此它提供的應用也以通用的互聯網功能為主。例如,目前大多數網閘都支持:檔資料交換、HTTP訪問、WWW服務、FTP訪問、收發電子郵件、關聯資料庫同步以及TCP/UDP定制等。
  在工業領域,網閘也開始得到應用和推廣。但除了用於辦公系統外,當用於隔離控制網路時,由於網閘一般都不支援工業通信標準如OPC Modbus,用戶只能使用其TCP/UDP定制功能。這種方式需要在連接網閘的上、下游增加介面電腦或代理伺服器,並定制通信協定轉換介面軟體才能實現通信。
  (2)、工業網路安全防護閘道
  工業網路安全防護閘道是近幾年新興的一種專門應用於工業領域的網路隔離產品,它同樣採用“2+ 1三模,隔全地實現速資同的工業用專門針對常用OPCModbus等,而不提供通用互聯網功能。因此工業網路安全防護閘道更適合於控制網路的隔離,但不適合辦公系統。
  工業網路安全防護閘道是網路隔離技術應用于工業網路安全防護的一種專業化安全產品。
  結束語
  近幾年,因網路病毒引起的工業事件層出不窮,工業網路安全問題已經日益嚴峻,針對目前我國工業控制系統資訊安全面臨的嚴峻形勢,201110 27日,工信部下發《關於加強工業控制系統資訊安全管理的通知》,強調了加強工業控制系統資訊安全管理的重要性和緊迫性,並明確了重點領域如:石油石化、電力、鋼鐵、化工等行業工業控制系統資訊安全管理要求。石化工業是國家的基礎性能源支柱產業,資訊安全在任何時期、任何國家地區都備受關注。能源系統的資訊安全問題直接威脅到其他行業系統的安全、穩定、經濟、優質的運行,影響著系統資訊化的實現進程。維護網路安全,確保生產系統的穩定可靠、防止來自內部或外部攻擊,採取高安全性的防護措施都是石化資訊系統安全不可忽視的組成部分。

留言

張貼留言

這個網誌中的熱門文章

網路晶片商的解決方案

圖片
Survey and Research: http://www.smallnetbuilder.com/tools/charts/router/view https://www.snbforums.com/threads/how-to-find-the-best-router-for-gigabit-internet.38635/ https://www.smallnetbuilder.com/lanwan/lanwan-howto/33095-how-to-find-the-best-router-for-gigabit-internet 1. Broadcom方案     (1)     LDK: Linux Development Kit (LDK) for the Broadcom iProc (integrated Processor) family of processors. The iProcLDK currently supports all the production iProc SOCs (Northstar/Northstar+/Northstar2/ … etc). It provides as buildroot package for toolchains/compiler, U-Boot loader, Linux kernel 3.6.5 BSP and applications. The LDK now has SAMBA optimized porting for NAS application.       (2)   ESDK: WLAN Enterprise SDK (or Enterprise Wireless SDK) which support to the Broadcom reference platforms. It provides bootloader (CFE/U-boot), Linux kernel 2.6.36 BSP, WiFi driver and application (with Enterprise features).   ...
閱讀完整內容

工業用網路Industrial Network介紹

圖片
Industrial Networks Industrial Networks Industrial Networks is your resource for industrial Internet, Industry 4.0 and Industrial IoT information. Find ... Industrial Networks Fundamentals Industrial Networks Fundamentals Fundamental basics you should know with respect to electrical industrial networking Industrial Communication Protocols Modbus TCP https://www.youtube.com/watch?v=k993tAFRLSE OPC UA https://www.youtube.com/watch?v=-tDGzwsBokY PLC Tutorial (Programmable Logic Control) https://www.youtube.com/watch?v=rh5DfK2JWmA http://domynews.blog.ithome.com.tw/post/1252/139350 作者:Paul Ferguson(資深威脅研究員) ICS (工業控制系統, Industrial Control Systems )網路最近的 新聞 鬧得很大。因為出現了一連串的弱點、熱門入侵外洩事件以及其他各種安全上的問題。     ICS 網路的定義是由各個在機電組件上控制和提供自動測量資料的元件所組合成的網路或網路集合。這些機電組件包括閥門、調節器、開關和其他機電設備,你可以在各種產業裡看到它們,像是石化與天然氣、自來水處理、環境控制、發電和配電、製造業、運輸業以及許多其他產業別。     這裡並不需要深入探討各個特定產業,這些 ICS 應用環境都有一個...
閱讀完整內容

TechNet網路技術: VPN

圖片
摘自: https://technet.microsoft.com/en-us/library/cc739294(v=ws.10).aspx https://technet.microsoft.com/en-us/library/bb742458.aspx Synology NAS VPN設定:  https://walker-a.com/archives/2501/2 DrayTek FAQ: https://www.draytek.com/zh/faq/faq-vpn/vpn.lan-to-lan/%E5%A6%82%E4%BD%95%E5%BB%BA%E7%AB%8B-vigor-lan-to-lan-ipsec-%E9%80%9A%E9%81%93/ What is VPN ? VPN Scenarios Virtual private networks are point-to-point connections across a private or public network such as the Internet. A VPN client uses special TCP/IP-based protocols, called tunneling protocols, to make a virtual call to a virtual port on a VPN server. In a typical VPN deployment, a client initiates a virtual point-to-point connection to a remote access server over the Internet. The remote access server answers the call, authenticates the caller, and transfers data between the VPN client and the organization’s private network. To emulate a point-to-point link, data is encapsulated, or wrapped, with a header. The ...
閱讀完整內容