资源描述
,南大金陵学院,南大金陵学院,南大金陵学院,南大金陵学院,*,#,南大金陵学院,*,#,南大金陵学院,*,#,南大金陵学院,*,#,南大金陵学院,*,#,南大金陵学院,*,#,南大金陵学院,#,南大金陵学院,*,#,南大金陵学院,*,#,南大金陵学院,*,#,南大金陵学院,*,#,南大金陵学院,#,南大金陵学院,#,南大金陵学院,#,南大金陵学院,#,南大金陵学院,#,南大金陵学院,#,南大金陵学院,#,南大金陵学院,#,南大金陵学院,#,南大金陵学院,#,南大金陵学院,#,南大金陵学院,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,#,5,虚拟专用网络(VPN),目前的,网,网络状,况,况,窃听者,公钥基,础,础设施PKI,!,!,如何保,证,证公司,网,网络资,源,源的安,全,全?,如何面,对,对Internet通信的,增,增加、,新的应,用,用服务,和,和减少,成,成本?,如何共,享,享和保,护,护通过,Internet,Extranets和Intranets的信息?,如何在,合,合作伙,伴,伴之间,布,布置一,个灵活,和,和模块,化,化的解,决,决方案,?,?,如何有,效,效的管,理,理这一,切,切?,谁能提,供,供这一,切,切,满足未,来,来的需,要,要?,用户面,临,临的挑,战,战,传统远,程,程通信,连,连接方,式,式,企业总部,外地分公司,客户及供应商,外地出差员工,租用专用线路,T1,,帧中继,ISDN, ATM,当地电信局,专用网,络,络的优点,信息被,保,保留“,在,在文件,夹,夹里”,远程站,点,点可以,立,立即交,换,换信息,远程用,户,户没有,隔,隔离感,专用网,络,络的缺点,成本太,高,高,不,经,经济,超出预,算,算,不,现,现实,$ $,VPN,应用VPN进行远,程,程通信,客户及供应商,外地出差员工,外地分公司,企业总部,Internet,VPN,隧道,使用VPN解决方,案,案的优势,防止数,据,据在公,网,网传输,中,中被窃,听,听,防止数,据,据在公,网,网传输,中,中被篡,改,改,可以验,证,证数据,的,的真实,来,来源,成本低,廉,廉(相,对,对于专,线,线、长,途,途拨号,),),应用灵,活,活、可,扩,扩展性,好,好,本章提,要,要,VPN,概,概述,VPN关键技,术,术,实施VPN的价值,5.1VPN,概,概述,VPN,(,(VirtualPrivateNetwork)虚拟专,用,用网:,针,针对传,统,统的“,企,企业专,用,用网络,”,”而言,的,的,它,是,是指在,公,公共网,络,络上通,过,过隧道和,/,/或加,密,密技术,为企,业,业所建,立,立的逻辑上的专用,网,网络。,VPN,以,以公用开,放,放的网,络,络(如Internet)作,为,为基本,传,传输媒,体,体,通,过,过加密和,验,验证网络流,量,量来保,护,护在公,共,共网络,上,上传输,的,的私有,信,信息不,会,会被窃,取,取和篡,改,改,从,而,而向最,终,终用户,提,提供类,似,似于私有网,络,络(PrivateNetwork),性,性能的网络,服,服务技,术,术。,VPN,定,定义,5.1VPN,概,概述,VPN,依,依靠ISP(Internet服,务,务提供,商,商)和,其,其他NSP(,网,网络服,务,务提供,商,商),在Internet,公,公共,网,网络中,建,建立局,域,域网络,之,之间或,单,单点之,间,间、临时的,、,、专用,的,的、安,全,全的、,稳,稳定的数据通,信,信网络(隧道,),)的技术,VPN,定,定义,网络资,源,源的专用性:即VPN网络,资,资源(,如,如信道,和,和带宽,),)在企,业,业,需要时,可,可被企,业,业专门,使,使用;不需要,时,时又可,被,被其它VPN,用,用户使,用,用,,企业用,户,户可以,获,获得像,传,传统专,用,用网一,样,样的服,务,务质量,;,;,网络的安全性:VPN,用,用户的,信,信息不,会,会流出VPN,的,的范围,之,之外,,用,用户,信息受,到,到VPN网络,的,的保护,,,,可以,实,实现用,户,户信息,在,在公共,网,网络传,输,输,中隐蔽,性,性,5.1VPN,概,概述,VPN,可,可以省,去,去专线,租,租用费,用,用或者,长,长距离,电,电话费,用,用,大,大,大降低,成,成本,VPN,可,可以充,分,分利用Internet,公,公网资,源,源,快,速,速地建,立,立起公,司,司的广,域,域连接,VPN,定,定义,虚拟专,用,用网基,础,础结构,5.1VPN,概,概述,VPN通过一,个,个私有,的,的通道,来,来创建,一,一个安,全,全的私,有,有连接,,,,将远程用,户,户、公,司,司分支,机,机构、,公,公司的,业,业务伙,伴,伴等跟,企,企业网连接起,来,来,形,成,成一个,扩,扩展的,公,公司企,业,业网。,在,在该网,中,中的主,机,机将不,会,会觉察,到,到公共,网,网络的,存,存在,,仿,仿佛所,有,有的主,机,机都处,于,于一个,网,网络之,中,中。,主要目,的,的是保护传,输,输数据,是保,护,护从信,道,道的一,个,个端点,到,到另一,端,端点传,输,输的信,息,息流。,信,信道的,端,端点之,前,前和之,后,后,VPN不提供,任,任何的,数,数据包,保,保护。,VPN,目,目的,5.1VPN,概,概述,加密数,据,据。以保,证,证通过,公,公网传,输,输的信,息,息即使,被他人,截,截获也,不,不会泄,露,露。,信息验,证,证和身,份,份识别。保证,信,信息的,完,完整性,、,、合理,性,性,并,能,能鉴别,用,用户的,身,身份。,提供访,问,问控制。不同的,用,用户有,不,不同的,访,访问权,限,限。,地址管,理,理。VPN,方,方案必,须,须能够,为,为用户,分,分配专,用,用网络,上,上的地,址,址并确,保,保地址,的,的安全,性,性。,密钥管,理,理。VPN,方,方案必,须,须能够,生,生成并,更,更新客,户,户端和,服,服务器,的,的加密,密,密钥。,多协议,支,支持。VPN,方,方案必,须,须支持,公,公共因,特,特网络,上,上普遍,使,使用的,基,基本协,议,议,包,括,括IP,、,、IPX等。,VPN,基,基本功,能,能,5.1VPN,概,概述,安全性,:,:隧道、,加,加密、,密,密钥管,理,理、数,据,据包认,证,证、用,户,户认证,、,、访问,控,控制,可靠性,:,:硬件、,软,软件、,基,基础网,络,络的可,靠,靠性,可管理,性,性:记帐、,审,审核、,日,日志的,管,管理;,是,是否支,持,持集中,的,的安全,控,控制策,略,略,可扩展,性,性:是否考,虑,虑采用,硬,硬件加,速,速加解,密,密速度,;,;支持,多,多种类,型,型的数,据,据流、,方,方便增,加,加新的,节,节点、,支,支持多,种,种类型,的,的传输,媒,媒介,VPN,特,特性,5.1VPN,概,概述,可用性,:,:系统对,应,应用尽,量,量透明,;,;对终,端,端用户,来,来说使,用,用方便,互操作,性,性:尽量采,用,用标准,协,协议,,与,与其他,供,供应商,的,的设备,能,能互通,服务质,量,量QoS:通过Internet连接的VPN服务质,量,量很大,程,程度取,决,决于Internet的状况;为企业,数,数据提,供,供不同,等,等级的,服,服务质,量,量保证,;,;充分有,效,效地利,用,用有限,的,的广域,网,网资源,,,,为重,要,要数据,提,提供可,靠,靠的带,宽,宽,多协议,支,支持,VPN,特,特性,5.1VPN,概,概述,VPN,服,服务器,端,端:,能够接,收,收和验,证,证VPN连接,请,请求并,处,处理数,据,据打包,和,和解包,工,工作的,一,一台计,算,算机或,设,设备。,VPN,服,服务器,端,端操作,系,系统可,以,以是WindowsNT4.0Windows2000Windows XPWindows2003;,相,相关组,件,件为系,统,统自带,;,;,要求VPN服,务,务器已,经,经接入Internet,,并,并且拥,有,有一个,独,独立的,公,公网IP。,VPN,组,组成,5.1VPN,概,概述,VPN,客,客户端:,能够发,起,起VPN连接,请,请求并,且,且也可,以,以进行,数,数据打,包,包和解,包,包工作,的,的一台,计,计算机,或,或设备,。,。,VPN,客,客户机,端,端操作,系,系统可,以,以选择Windows 98WindowsNT4.0Windows2000Windows XPWindows2003;,相,相关组,件,件为系,统,统自带,;,;、,要求VPN客,户,户机已,经,经接入Internet。,VPN,组,组成,5.1VPN,概,概述,VPN,数,数据通,道,道:,一条建,立,立在公,用,用网络,上,上的数,据,据连接,。,。,其实,,所,所谓的,服,服务器,端,端和客,户,户端在VPN,连,连接建,立,立之后,,,,在通,信,信过程,中,中扮演,的,的角色,是,是一样,的,的,区,别,别仅在,于,于连接,是,是由谁,发,发起的,而,而已。,VPN,组,组成,实例:,基,基于windowsXP配置VPN服务器,与,与客户,端,端,5.1VPN,概,概述,VPN,分,分类,按应用,范,范围分,:,:,内部网,远程访问,Internet,合作伙伴,分支机构,虚拟私有网,虚拟私有网,虚拟私有网,ExtranetVPN,IntranetVPN,AccessVPN,5.1VPN,概,概述,AccessVPN,又称为,拨,拨号VPN(,即,即VPDN),,,,是指,企,企业员,工,工或企,业,业的小,分,分支机,构,构通过公网远,程,程拨号的方式,构,构筑的,虚,虚拟网,。,。,用于实,现,现移动,用,用户或,远,远程办,公,公室安,全,全访问,企,企业网,络,络.是个人计,算,算机与,企,企业站,点,点之间,的,的虚拟,专,专用网,络,络,典型的,远,远程访,问,问VPN是用,户,户通过,本,本地的信息服,务,务提供,商,商(ISP)登录到,因,因特网,上,上,并,在,在现在,的,的办公,室,室和公,司,司内部,网,网之间,建,建立一,条,条加密,信,信道。,VPN,分,分类:,按,按应用,VPN隧道,对于外,出,出旅行,的,的员工,而,而言,,无,无论他,们,们位于,何,何处,,都,都可访,问,问电子,邮,邮件、,文,文件和,内,内部系,统,统,无,需,需使用,昂,昂贵的,长,长途电,话,话连接,拨,拨号服,务,务器,在家工,作,作的员,工,工可以,像,像在企,业,业的办,公,公室中,工,工作的,员,员工一,样,样访问,网,网络服,务,务,而,无,无需使,用,用昂贵,的,的租用,线,线路。,企业内,部,部网,VPN服务器,可,可以是,机,机构的,防,防火墙,或,或单独,的,的VPN服务器,用户通,过,过本地ISP拨号、DSL线路或,调,调制解,调,调器连,接,接到Internet,并通,过,过Internet与公司,企,企业站,点,点建立,一,一个VPN。,TCP/IP,协议栈,用户计算机,VPN,服务器,内部网络,VPN,软件,其他,Internet,通信数据,内部网络,Internet,VPN,通道,5.1VPN,概,概述,AccessVPN,公司企,业,业的站,点,点需要,用,用户认,证,证,AccessVPN可以让,机,机构限,制,制远程,用,用户能,够,够访问,的,的系统,或,或文件,VPN,分,分类:,按,按应用,5.1VPN,概,概述,IntranetVPN,用于组,建,建跨地,区,区的企,业,业内部,互,互联网,络,络,即企业,的,的总部,与,与分支,机,机构间,通,通过公,网,网构筑,的,的虚拟,网,网,这种类,型,型的连,接,接带来,的,的风险最,小,小,因为,公,公司通,常,常认为,他,他们的分支机,构,构是可,信,信的,并将,它,它作为公司网,络,络的扩,展,展。,内部网VPN的安全性取决于,两,两个VPN服务器,之,之间加,密,密和验,证,证手段,上,上。,VPN,分,分类:,按,按应用,5.1VPN,概,概述,IntranetVPN,VPN,分,分类:,按,按应用,企业内,部,部网络,VPN通道,远程局,域,域网,5.1VPN,概,概述,ExtranetVPN,用于企,业,业与客,户,户、合,作,作伙伴,之,之间建,立,立互联,网,网络。,即企业,间,间发生,收,收购、,兼,兼并或,企,企业间,建,建立战,略,略联盟,后,后,使,不,不同企,业,业网通,过,过公网,来,来构筑,的,的虚拟,网,网。,它能保,证,证包括TCP和UDP服务在,内,内的各,种,种应用,服,服务的,安,安全,,如,如Email、HTTP、FTP、RealAudio、数据,库,库的安,全,全以及,一,一些应,用,用程序,如,如Java、ActiveX的安全,。,。,VPN,分,分类:,按,按应用,5.1VPN,概,概述,ExtranetVPN,VPN,分,分类:,按,按应用,外部网,服,服务器,VPN通道,5.1VPN,概,概述,ExtranetVPN与IntranetVPN,VPN,分,分类:,按,按应用,跨Internet的站点,到,到站点,的,的VPN,VPN,机构内部网络,远程站点内部网络,Internet,主要站点防火墙,远程站点防火墙,5.1VPN,概,概述,ExtranetVPN与IntranetVPN,启动连,接,接时,,一,一个站,点,点会试,图,图向另,一,一个站,点,点发送,通,通信数,据,据 ,,在,在两个VPN,端,端启动VPN,两个端,点,点协商,连,连接参,数,数,VPN,两,两端进,行,行认证,可以作,为,为租用,线,线路的,备,备份,VPN,分,分类:,按,按应用,优点:节约成,本,本;性价比,较,较高;可以严,格,格,限制对,内,内部网,络,络和计,算,算机系,统,统的访,问,问,5.2安全VPN的,关,关键技,术,术,VPN,主,主要采,用,用以下,四,四项技,术,术来保,证,证安全,:,:,隧道技,术,术,加解密,技,技术,密钥管,理,理技术,使用者,与,与设备,身,身份认,证,证技术,VPN,安,安全技,术,术,5.2安全VPN的,关,关键技,术,术,VPN,的,的隧道,协,协议:,隧道是,在,在公用IP网,中,中建立,逻,逻辑点,到,到点连,接,接的一,种,种方法,,,,是一,个,个叠加在IP网,上,上的传,送,送通道,VPN,中,中的隧,道,道是由隧道协,议,议形成的,实质上,是,是一种封装,将一,种,种协议,(,(协议X)封装在,另,另一种,协,协议(,协,协议Y)中传输,,,,从而,实,实现协,议,议X对公用,传,传输网,络,络(采,用,用协议Y)的透明,性,性,VPN,安,安全技,术,术,5.2安全VPN的,关,关键技,术,术,VPN,的,的隧道,协,协议:,VPN,使,使用的,隧,隧道协,议,议主要有:,第二层,隧,隧道协,议,议:PPTP、L2F、L2TP,第三层,隧,隧道协,议,议:GRE、IPSEC,VPN,安,安全技,术,术,5.2安全VPN的,关,关键技,术,术,VPN,的,的隧道,协,协议:,无论何,种,种隧道,协,协议,,其,其数据,包,包格式,都,都是由乘客协,议,议、封,装,装协议,和,和传输,协,协议3部分,组,组成的,。,。,下面我,们,们以L2TP,为,为例,,如,如下图,所,所示,,看,看一下,隧,隧道协,议,议的组,成,成。,VPN,安,安全技,术,术,用户要,传,传输的,数,数据,,也,也就是,被,被封装,的,的数据,,包括IP、PPP,、,、SLIP等;,用于建,立,立、保,持,持和拆,卸,卸隧道。,包括L2F,、,、PPTP、L2TP、GRE等。,乘客协,议,议被封,装,装之后,应,应用传,输,输协议,5.2安全VPN的,关,关键技,术,术,第二层,隧,隧道协,议,议:,第二层,隧,隧道协,议,议用于,传,传输第,二,二层网,络,络协议,,,,主要,应,应用于,构,构建AccessVPN,。,。,第二层,隧,隧道协,议,议主要,有,有三种,:,:,由CiscoNortel等公,司,司支持,的,的L2F协议,Cisco路,由,由器中,支,支持此,协,协议;,Microsoft,、,、Ascend、3COM,等,等公司,支,支持的PPTP协议,,,,WindowsNT4.0,以,以上版,本,本中支,持,持此协,议,议;,成为二,层,层隧道,协,协议工,业,业标准,的,的是由IETF起草,并,并由Microsoft、Ascend,、,、Cisco,、,、3COM等,公,公司参,与,与制定,的,的L2TP协,议,议,它,结,结合了,上,上述两,个,个协议,的,的优点,。,。,VPN,安,安全技,术,术,5.2安全VPN的,关,关键技,术,术,第二层,隧,隧道协,议,议:LTF,(LayerTwoForwardingProtocol),L2F(二层转,发,发协议)是由Cisco公司,提,提出的,隧,隧道技,术,术,可以支,持,持多种,传,传输协,议,议,如IP、ATM、,帧,帧中继,1)远端用,户,户通过任何拨,号,号方式接入公,共,共IP,网,网络,,例,例如,,按,按常规,方,方式拨,号,号到ISP的NAS,,,,建立PPP,连,连接;,2)NAS,根,根据用,户,户名等,信,信息,,发,发起第,二,二重连,接,接,通,向,向企业,的,的本地L2F,网,网关服,务,务器,,3)这个L2F服,务,务器把,数,数据包,解,解包之,后,后发送,到,到企业,内,内部网,上,上,在L2F中,,隧,隧道的,配,配置和,建,建立对,用,用户是,完,完全透,明,明的,L2F,没,没有确,定,定的客,户,户方。,VPN,安,安全技,术,术,5.2安全VPN的,关,关键技,术,术,第二层,隧,隧道协,议,议:PPTP,(PointtoPointTunneling Protocol),点到点,隧,隧道协,议,议(PPTP,),)是由PPTP论坛,开,开发的点到点,的,的安全,隧,隧道协,议,议,为使,用,用电话上,网,网的用户,提,提供安,全,全VPN业务,。,。,该协议,将,将PPP数据,包,包封装,在,在IP,数,数据包,内,内通过IP网,络,络(如Internet或Intranet),进,进行传,送,送。,PPTP是PPP协,议,议的一,种,种扩展,,,,提供,了,了在IP网上,建,建立多,协,协议的,安,安全VPN的,通,通信方,式,式,远,端,端用户,能,能够通,过,过任何,支,支持PPTP,的,的ISP访问,企,企业的,专,专用网,络,络 。,VPN,安,安全技,术,术,5.2安全VPN的,关,关键技,术,术,第二层,隧,隧道协,议,议:PPTP,PPTP协议,提,提供了PPTP客户,端,端和PPTP,服,服务器,之,之间的,加,加密通,信,信。,PPTP客户,端,端和服,务,务器进,行,行VPN通信,的,的前提,是,是二者,之,之间有连通,且,且可用,的,的IP,网,网络,也就,是,是说PPTP,客,客户端,必,必须能,够,够通过IP网,络,络访问PPTP服务,器,器。,windows中集,成,成了PPTPServer和Client,,适,适合中,小,小企业,支,支持少,量,量移动,工,工作者,如果有,防,防火墙,的,的存在,或,或使用,了,了地址,转,转换,PPTP可能,无,无法工,作,作,VPN,安,安全技,术,术,5.2安全VPN的,关,关键技,术,术,第二层,隧,隧道协,议,议:PPTP,PPTP通信,时,时,客,户,户机和,服,服务器,间,间有2,个,个通道,,,,,一个通,道,道是PPTP服务,器,器的tcp1723端口,的,的控制连,接,接:,通过控制报,文,文负责PPTP,隧,隧道的,建,建立、,维,维护和,断,断开;,在创建,基,基于PPTP,的,的VPN连接,过,过程中,,,,使用,的,的认证,机,机制主,要,要有EAP,、,、MS,-,-CHAP、CHAP、SPAP和PAP。,通过PPP协议的MPPE(Microsoft Point toPointEncryption,,微,微软点,对,对点加,密,密技术,),)进行加密,,另一个,通,通道是,传,传输GREPPP,数,数据包,的,的IP隧,道,道,通过数据报,文,文负责传,输,输用户,的,的真正,数,数据。,VPN,安,安全技,术,术,数据链路层报头,IP,报头,GRE,报头,PPP,报头,数据链路层报尾,加密,PPP,有效载荷,用户的,数,数据可,以,以是多,种,种协议,,,,,比如IP数据包,、,、IPX数据包,或,或者NetBEUI数据包,。,。,5.2安全VPN的,关,关键技,术,术,第二层,隧,隧道协,议,议:PPTP,与L2F相比,,,,PPTP把,建,建立隧,道,道的主,动,动权交,给,给了用,户,户,但,用,用户需,要,要在其PC机,上,上配置PPTP,这,样,样不仅,增,增加了,用,用户的,工,工作量,,,,而且,造,造成网,络,络的安,全,全隐患,PPTP只支,持,持IP,作,作为其,传,传输协,议,议。,VPN,安,安全技,术,术,5.2安全VPN的,关,关键技,术,术,第二层,隧,隧道协,议,议:L2TP,(LayerTwo TunnelingProtocol,L2TP(二层隧,道,道协议,),)结合,了,了L2F和PPTP,的,的优点,,,,可以,让,让用户从客户,端,端或访,问,问服务,器,器端发起VPN连,接,接,二层隧,道,道协议,的,的工业,标,标准,,并,并得到,众,众厂商,的,的支持,支持IP、X,.,.25,、,、帧中,继,继或ATM等,作,作为传,输,输协议,,,,但目,前,前仅定,义,义了基,于,于IP,网,网络的L2TP。可,用,用于Internet和其他企,业,业专用Intranet中,。,。,VPN,安,安全技,术,术,5.2安全VPN的,关,关键技,术,术,第二层,隧,隧道协,议,议:L2TP连接过,程,程,VPN,安,安全技,术,术,5.2安全VPN的,关,关键技,术,术,第二层,隧,隧道协,议,议:L2TP,L2TP通,信,信时,,客,客户机,和,和服务,器,器间也有2个,通,通道,,一个通,道,道是L2TP服务,器,器的udp端口的控制连,接,接:,通过控制报,文,文负责隧,道,道的建,立,立、维,护,护和断,开,开;,在创建,基,基于L2TP的VPN,连,连接过,程,程中,,使,使用的,认,认证机,制,制主要,有,有EAP、MS-CHAP,、,、CHAP、SPAP和PAP。,通过IPSecESP,进,进行加,密,密,,另一个,通,通道是,传,传输多层封,装,装数据包,的,的IP隧,道,道,通过数据报,文,文负责传,输,输用户,的,的真正,数,数据。,VPN,安,安全技,术,术,5.2安全VPN的,关,关键技,术,术,第三层,隧,隧道协,议,议:,第三层,隧,隧道协,议,议用于,传,传输第,三,三层网,络,络协议,主要,包,包括:,由Cisco,和,和NetSmiths公司支持的的GRE,由IETF制,定,定的新,一,一代Internet安全,标,标准IPSec协议,VPN,安,安全技,术,术,5.2安全VPN的,关,关键技,术,术,第三层,隧,隧道协,议,议:GRE,(GenericRouting Encapsulation,),),GRE,是,是通用,的,的路由,封,封装协,议,议,支,持,持全部,的,的路由,协,协议,用于在IP包,中,中封装,任,任何协,议,议的数,据,据包,,包,包括IP、IPX、NetBEUI、AppleTalk、BanyanVINES、DECnet,等,等。,在GRE中,,乘,乘客协,议,议就是,上,上面这,些,些被封,装,装的协,议,议,封装协,议,议就是GRE,,,,传输,协,协议就,是,是IP,。,。,GRE是一种,通,通用的,封,封装形,式,式。,VPN,安,安全技,术,术,5.2安全VPN的,关,关键技,术,术,第三层,隧,隧道协,议,议:GRE,(GenericRouting Encapsulation,),),通过GRE,,用,用户可,以,以利用,公,公共IP网络,连,连接非IP网,络,络,使所有,协,协议的,私,私有网,络,络连接,起,起来。,通过GRE,,还,还可以,使,使用保,留,留地址,进,进行网,络,络互联,,,,或者,对,对公网,隐,隐藏企,业,业网的IP地,址,址。,GRE,只,只提供,封,封装,,不,不提供,加,加密,,对,对路由,器,器的性,能,能影响,较,较小,,设,设备档,次,次要求,相,相对较,低,低。,VPN,安,安全技,术,术,5.2安全VPN的,关,关键技,术,术,第三层,隧,隧道协,议,议:GRE,(GenericRouting Encapsulation,),),GREVPN适合一些小型,点,点对点,的,的网络,互,互联、实时性,要,要求不,高,高、要求,提,提供地址空,间,间重叠,支,支持的网络,环,环境。,VPN,安,安全技,术,术,5.2安全VPN的,关,关键技,术,术,第三层,隧,隧道协,议,议:IPSec,IPSec由IETF设计,的,的作为,基,基于IP通信,环,环境(IPV4和IPV6环境)下一种,端,端到端,的,的保证,数,数据安,全,全的机,制,制,IPSec协,议,议已经,成,成为工,业,业标准,的,的网络,安,安全协,议,议。,IPSec协议提,供,供的安,全,全服务,包,包括:,访,访问控,制,制、无,连,连接完,整,整性、,数,数据源,鉴,鉴别、,重,重传攻,击,击保护,、,、机密,性,性、有,限,限的流,量,量保密,等,等。,VPN,安,安全技,术,术,5.2安全VPN的,关,关键技,术,术,第三层,隧,隧道协,议,议:IPSec,提供了,大,大量的安全,特,特性:,提供认,证,证,加,密,密,数,据,据完整,性,性和抗,重,重放保,护,护;,加密密,钥,钥的安,全,全产生,和,和自动,更,更新;,使用强,加,加密算,法,法来保,证,证安全,性,性;,支持基,于,于证书,的,的认证,;,;,支持下,一,一代加,密,密算法,和,和密钥,交,交换协,议,议;,为L2TP和PPTP远程,接,接入隧,道,道协议,提,提供安,全,全性,VPN,安,安全技,术,术,5.2安全VPN的,关,关键技,术,术,第三层,隧,隧道协,议,议:IPSec,直接传,输,输网络,协,协议数,据,据包,IPSec不,是,是一个,单,单独的,协,协议,,而,而是一,组,组协议,,,,包含两个安,全,全协议,和,和一个,密,密钥管,理,理协议,VPN,安,安全技,术,术,IPSec数据包,的,的格式,身份认,证,证报头,AH协议:提供数,据,据源身,份,份认证,、,、,数据完,整,整性保,护,护、重,放,放攻击,保,保护功,能,能,负载安,全,全封装,ESP协,议,议:提供数,据,据保密,、,、,数据源,身,身份认,证,证、数,据,据完整,性,性、重,放,放攻击,保,保护功,能,能,因特网,安,安全关,联,联和密,钥,钥管理,协,协议,IKE:,提供自,动,动建立,安,安全关,联,联和管,理,理密钥,的,的功能;,从而提供双,方,方交流,时,时的共,享,享安全,信,信息,5.2安全VPN的,关,关键技,术,术,第三层,隧,隧道协,议,议:IPSec,AH(,认,认证报,头,头协议,),)为IP,数,数据包,提,提供如,下,下3种,服,服务:,无连接,的,的数据,完,完整性,验,验证:通过,哈,哈希函,数,数(如MD5,),)产生,的,的校验,来,来保证,数据源,身,身份认,证,证:数据源,身,身份认,证,证通过,在,在计算,验,验证码,时,时加入,一,一个共,享,享密钥,来,来实现,;,;,防重放,攻,攻击:AH报,头,头中的,序,序列号,VPN,安,安全技,术,术,5.2安全VPN的,关,关键技,术,术,第三层,隧,隧道协,议,议:IPSec,ESP(封装,安,安全有,效,效载荷,协,协议)除了AH已有,的,的3种,服,服务外,,,,还提,供,供:,数据包,加,加密:对一个IP包,进,进行加,密,密,可,以,以是对,整,整个IP包,,也,也可以,只,只加密IP包,的,的载荷,部,部分,,一,一般用,于,于客户,端,端计算,机,机;,数据流,加,加密:一般用,于,于支持IPSec的,路,路由器,,,,源端,路,路由器,并,并不关,心,心IP,包,包的内,容,容,对,整,整个IP包进,行,行加密,后,后传输,,,,目的,端,端路由,器,器将该,包,包解密,后,后将原,始,始包继,续,续转发,。,。,VPN,安,安全技,术,术,5.2安全VPN的,关,关键技,术,术,第三层,隧,隧道协,议,议:IPSec,AH和ESP,可,可以单,独,独使用,,,,也可,以,以嵌套,使,使用。,通,通过这,些,些组合,方,方式,,可,可以在,两,两台主,机,机、两,台,台安全,网,网关(,防,防火墙,和,和路由,器,器),,或,或者主,机,机与安,全,全网关,之,之间使,用,用。,VPN,安,安全技,术,术,5.2安全VPN的,关,关键技,术,术,第三层,隧,隧道协,议,议:IPSec,IKE,(,(因特网,密,密钥交,换,换协议):,协商AH和ESP协,议,议所使,用,用的加密算,法,法。,IKE,协,协议负,责,责密钥,管,管理,,定,定义了,通,通信实,体,体间进,行,行身份,认,认证、,协,协商加,密,密算法,以,以及生,成,成共享,的,的会话,密,密钥的,方,方法。,IKE,将,将密钥,协,协商的,结,结果保,留,留在安全联,盟,盟(SA,),)中,,供,供AH,和,和ESP以后,通,通信时,使,使用。,VPN,安,安全技,术,术,5.2安全VPN的,关,关键技,术,术,第三层,隧,隧道协,议,议:IPSec,SA(安全联,盟,盟):,两台IPSec计算机,在,在交换,数,数据之,前,前,必,须,须首先,建,建立某,种,种约定,,,,这种,约,约定,,称,称为“,安,安全联,盟,盟”或“安全关,联,联”。,指双方,需,需要就,如,如何保,护,护信息,、,、交换,信,信息等公用的,安,安全设,置,置达成一,致,致,更,重,重要的,是,是,必,须,须有一种,方,方法,使那,两,两台计,算,算机安,全,全地交,换,换一套,密,密钥,,以,以便在,它,它们的,连,连接中,使,使用。,一个安,全,全联盟,描,描述了,两,两个或,者,者多个,实,实体如何使,用,用安全,服,服务来实现,安,安全通,信,信。,VPN,安,安全技,术,术,5.2安全VPN的,关,关键技,术,术,第三层,隧,隧道协,议,议:IPSec,SA(安全联,盟,盟):,AH和ESP都需要,使,使用SA,而IKE的主要,功,功能就,是,是SA的建立,和,和维护,。,。只要,实,实现AH和ESP都必须,提,提供对SA的支持,。,。,VPN,安,安全技,术,术,5.2安全VPN的,关,关键技,术,术,第三层,隧,隧道协,议,议:IPSec,VPN,安,安全技,术,术,解释域,(,(DOI)为,使,使用IKE进,行,行协商SA的协议,统,统一分,配,配标识,符,符。,共享一,个,个DOI的协,议,议从一,个,个共同,的,的命名,空,空间中,选,选择安,全,全协议,和变换,、,、共享,密,密码以,及,及交换,协,协议的,标,标识符,等,等,5.2安全VPN的,关,关键技,术,术,第三层,隧,隧道协,议,议:IPSec工,作,作模式,传输模,式,式,只对IP数据包,的,的有效,负,负载进,行,行加密,或,或认证,。,。即为上层,协,协议提,供,供安全,保,保护,,保,保护的,是,是IP,包,包的有,效,效载荷,(,(如TCP,UDP和ICMP,),)。,通常情,况,况下传,输,输模式,只,只用于两台主,机,机之间,的,的安全,通,通信。,VPN,安,安全技,术,术,5.2安全VPN的,关,关键技,术,术,第三层,隧,隧道协,议,议:IPSec工,作,作模式,隧道模,式,式,对整个IP数据包,进,进行加,密,密或认,证,证。,隧道模,式,式首先,为,为原始IP包增加AH或ESP字,段,段,然,后,后再在,外,外部增,加,加一个新的IP头。所有,原,原始的,或,或内部,包,包通过,这,这个隧,道,道从IP网的,一,一端传,递,递到另,一,一端,,沿,沿途的,路,路由器,只,只检查,最,最外面,的,的IP,报,报头,,不,不检查,内,内部原,来,来的IP报头,。,。,隧道模,式,式通常,用,用在有至少,一,一端是,安,安全网,关,关的时,候,候,如防火,墙,墙和路,由,由器。,使用隧,道,道模式,后,后,防,火,火墙后,面,面的主,机,机可以,使,使用内,部,部地址,进,进行通,信,信,而,且,且不需,要,要实现IPSec。,VPN,安,安全技,术,术,5.2安全VPN的,关,关键技,术,术,第三层,隧,隧道协,议,议:IPSec体,系,系结构,模,模型图,VPN,安,安全技,术,术,5.2安全VPN的,关,关键技,术,术,第四层,隧,隧道协,议,议:IPSec工,作,作模式,隧道模,式,式,对整个IP数据包,进,进行加,密,密或认,证,证。,隧道模,式,式首先,为,为原始IP包增加AH或ESP字,段,段,然,后,后再在,外,外部增,加,加一个新的IP头。所有,原,原始的,或,或内部,包,包通过,这,这个隧,道,道从IP网的,一,一端传,递,递到另,一,一端,,沿,沿途的,路,路由器,只,只检查,最,最外面,的,的IP,报,报头,,不,不检查,内,内部原,来,来的IP报头,。,。,隧道模,式,式通常,用,用在有至少,一,一端是,安,安全网,关,关的时,候,候,如防火,墙,墙和路,由,由器。,使用隧,道,道模式,后,后,防,火,火墙后,面,面的主,机,机可以,使,使用内,部,部地址,进,进行通,信,信,而,且,且不需,要,要实现IPSec。,VPN,安,安全技,术,术,5.2安全VPN的,关,关键技,术,术,第四层,隧,隧道协,议,议:IPSec工,作,作模式,隧道模,式,式,对整个IP数据包,进,进行加,密,密或认,证,证。,隧道模,式,式首先,为,为原始IP包增加AH或ESP字,段,段,然,后,后再在,外,外部增,加,加一个新的IP头。所有,原,原始的,或,或内部,包,包通过,这,这个隧,道,道从IP网的,一,一端传,递,递到另,一,一端,,沿,沿途的,路,路由器,只,只检查,最,最外面,的,的IP,报,报头,,不,不检查,内,内部原,来,来的IP报头,。,。,隧道模,式,式通常,用,用在有至少,一,一端是,安,安全网,关,关的时,候,候,如防火,墙,墙和路,由,由器。,使用隧,道,道模式,后,后,防,火,火墙后,面,面的主,机,机可以,使,使用内,部,部地址,进,进行通,信,信,而,且,且不需,要,要实现IPSec。,VPN,安,安全技,术,术,IPSECVPN功能1-数据机,密,密性保,护,护,拨号服务器,PSTN,Internet,区域,Internet,边界路由器,内部工,作,作子网,管理子网,一般子网,内部,WWW,重点子网,下属机构,DDN/FR,X.25,专线,SSN,区域,WWW Mail DNS,密文传输,明文传,输,输,明文传,输,输,IPSECVPN功能2-数据完,整,整性保,护,护,内部工,作,作子网,管理子网,一般子网,内部,WWW,重点子网,下属机构,Internet,原始数,据,据包,对原始,数,数据包,进,进行Hash,加密后的数据包,摘要,Hash,摘要,对原始,数,数据包,进,进行加,密,密,加密后,的,的数据,包,包,加密,加密后的数据包,摘要,加密后,的,的数据,包,包,摘要,摘要,解密,原始数,据,据包,Hash,原始数,据,据包,与原摘,要,要进行,比,比较,,验,验证数,据,据的完,整,整性,IPSECVPN功能3-数据源,身,身份认,证,证,内部工,作,作子网,管理子网,一般子网,内部,WWW,重点子网,下属机构,Internet,原始数,据,据包,对原始,数,数据包,进,进行Hash,Hash,摘要,加密,摘要,摘要,取出DSS,原始数,据,据包,Hash,原始数,据,据包,两摘要,相,相比较,私钥,原始数据包,DSS,DSS,将数字,签,签名附,在,在原始,包,包后面,供,供对方,验,验证签,名,名,得到数,字,字签名,原始数据包,DSS,原始数据包,DSS,DSS,解密,相等吗,?,?,验证通,过,过,IPSECVPN功能4-重放攻,击,击保护,保留,负载长度,认证数据,(完整性校验值,ICV,)变长,序列号,安全参数索引(,SPI,),下一头部,填充(,0255,字节),下一头部,填充长度,认证数据,(变长的),负载数据,(变长的),序列号,安全参数索引(,SPI,),AH协议头,ESP协议头,SA建立之,初,初,序,列,列号初,始,始化为0,使用,该,该SA传递的,第,第一个,数,数据包,序,序列号,为,为1,序列,号,号不允,许,许重复,,,,因此,每,每个SA所能传,递,递的最,大,大IP报文数,为,为2321,当序,列,列号达,到,到最大,时,时,就,需,需要建,立,立一个,新,新的SA,使用,新,新的密,钥,钥。,IPSECVPN建立方,式,式1-Host,-,-Host模式,Internet,业务伙伴,VPN网关A,VPN网关B,公司,A,主机必,须,须支持IPSec,主机必,须,须支持IPSec,通道建,立,立在两,边,边的主,机,机之间,,,,因为,业,业务伙,伴,伴内的,主,主机不,是,是都可,以,以信任,的,的,数据在,这,这一段,是,是加密,的,的,数据在,这,这一段,是,是认证,的,的,数据在,这,这一段,是,是认证,的,的,数据在,这,这一段,是,是加密,的,的,数据在,这,这一段,是,是认证,的,的,数据在,这,这一段,是,是加密,的,的,ISP,ISP,连接合,作,作伙伴,IPSECVPN建立方,式,式2-VPNtoVPN模式,Internet,分支机构,VPN网关A,VPN网关B,总部,通道只,需,需定义,在,在两边,的,的网关,上,上,Gateway必须支,持,持IPSec,Gateway必须支,持,持IPSec,数据在,这,这一段,是,是认证,的,的,数据在,这,这一段,是,是加密,的,的,ISP,ISP,连接分,支,支机构,IPSECVPN建立方,式,式3-RemoteUser to VPN模式,连接远,程,程用户,Internet,公司,B,ISP接入服,务,务器,VPN网关B,主机必,须,须支持IPSec,Gateway必须支,持,持IPSec,数据在,这,这一段,是,是加密,的,的,数据在,这,这一段,是,是认证,的,的,数据在,这,这一段,是,是加密,的,的,数据在,这,这一段,是,是认证,的,的,通道建,立,立在移,动,动用户,与,与公司,内,内部网,的,的网关,处,处,IPSECVPN建立方,式,式4-Host,-,-VPN模式,Internet,业务伙伴,VPN网关A,VPN网关B,公司,A,主机必,须,须支持IPSec,通道建,立,立在主,机,机与网,关,关之间,数据在,这,这一段,是,是加密,的,的,数据在,这,这一段,是,是认证,的,的,数据在,这,这一段,是,是认证,的,的,数据在,这,这一段,是,是加密,的,的,ISP,ISP,远程连,接,接合作,伙,伙伴,Gateway必须支,持,持IPSec,5.3实施VPN的价值,VPN,安,安全技,术,术,5.3实施VPN的价值,为信商,带,带来价,值,值,电信运,营,营商可,以,以利用自,己,己的信,道,道资源,为不,能,能承担,租,租用固,定,定专线,的,的用户,,,,提供,虚,虚拟的,专,专用网,络,络服务,,,,使电信,运,运营商,现,现有的,网,网络资,源,源得以,充,充分运,用,用来获取新,的,的利润,电信运,营,营商通,过,过使用具,有,有服务,质,质量保,证,证功能的VPN,技,技术,,可,可以为VPN,用,用户提,供,供不同,等,等级的,服,服务质,量,量(QoS),保,保证,,进,进而收,取,取不同,的,的业务,使,使用费,用,用获得超,额,额利润,VPN,安,安全技,术,术,5.3实施VPN的价值,为企业,带,带来的,价,价值,企业通,过,过使用VPN,,,,可以,使,使用成本较,低,低的IP,网,网络来传送企,业,业数据,从而大,大,大降低,企,企业建,立,立Intranet/Extranet网,络,络的基,础,础通信,设,设施的,巨,巨大投,资,资和维,护,护费用,通过使,用,用VPN,企,业,业可以,在,在远程,用,用户、,公,公司分,支,支机,构、商,业,业伙伴,与,与公司,总,总部网,络,络之间,建,建立可,靠,靠的连,接,接,来保证,数,数据传,输,输的安,全,全性,VPN,安,安全技,术,术,5.3实施VPN的价值,为企业,带,带来的,价,价值,通过使,用,用VPN,可,以,以实现VPN,用,用户在,任,任何时,间,间、任,何,何地方,进,进行移,动,动接入,,,,这将满,足,足不断,增,增长的,移,移动办,公,公业务,需,需求,企业可,以,以方便,的,的扩展,自,自己的,企,企业网,络,络开展,新,新的业,务,务和合,作,作伙伴,,,,适应,经,经济全,球,球化的,趋,趋势,VPN,安,安全技,术,术,
展开阅读全文