6、路由交换安全与VPN讲义

资源描述

Main Slide Title,|,*,*,Sun Yat-sen University,广东省信息安全技术重点实验室,单击此处编辑母版文本样式,第二级,第三级,第四级,路,由,由,交,交,换,换,安,安,全,全,与,与,VPN,讲,义,义,中,山,山,大,大,学,学,信,信,息,息,科,科,学,学,与,与,技,技,术,术,学,学,院,院,王,常,常,吉,吉副,教,教,授,授,2006,年,11,月,局,域,域,网,网,与,与VLAN,局,域,域,网,网,标,标,准,准,冲,突,突,域,域,与,与,广,广,播,播,域,域,虚,拟,拟,局,局,域,域,网,网,（,（VLAN,）,）,2,|11/4/2022,局域网设备,在,在OSI/RM中的位,置,置,路由器,网络层,网络地址寻,址,址、路由,网桥,/,交换机,数据链路层,用,MAC,地址寻址,集线器,/,中继器,工作物理层,，,，没有寻,址,址能力,网络层,数据链路层,物理层,3,|11/4/2022,局域,网,网标,准,准,IEEE,1884,年成,立,立，,320,000,成员,，,，,147,国家,IEEE802.2LLC,IEEE802.3Ethernet,IEEE802.5TokenRing,IEEE802.6MAN(DQDB),IEEE802.10,，,1QVLAN,IEEE802.11WirelessLAN,FDDI,ANSI,ATM,ATMForum&ITU-T,4,|11/4/2022,HowSwitchesLearnHostLocations,InitialMACaddresstableisempty,MACaddresstable,0260.8c01.1111,0260.8c01.2222,0260.8c01.3333,0260.8c01.4444,E0,E1,E2,E3,A,B,C,D,5,|11/4/2022,HowSwitchesLearnHostsLocations,StationAsendsaframetoStationC,SwitchcachesstationAMACaddresstoportE0bylearningthesourceaddressofdataframes,TheframefromstationAtostationCisfloodedouttoallportsexceptportE0(unknownunicastsareflooded),MACaddresstable,0260.8c01.1111,0260.8c01.2222,0260.8c01.3333,0260.8c01.4444,E0:0260.8c01.1111,E0,E1,E2,E3,D,C,B,A,6,|11/4/2022,HowSwitchesLearnHostLocations,Station Dsendsaframetostation C,Switchcaches stationDMACaddresstoport E3 by learning thesourceAddressofdata frames,Theframefromstation DtostationC is floodedout to allportsexceptportE3(unknownunicastsareflooded),MACaddresstable,0260.8c01.1111,0260.8c01.2222,0260.8c01.3333,0260.8c01.4444,E0:0260.8c01.1111,E3:0260.8c01.4444,E0,E1,E2,E3,D,C,A,B,7,|11/4/2022,HowSwitchesFilter Frames,Station Asendsaframetostation C,Destinationisknown,frameisnot flooded,E0:0260.8c01.1111,E2:0260.8c01.2222,E1:0260.8c01.3333,E3:0260.8c01.4444,0260.8c01.1111,0260.8c01.2222,0260.8c01.3333,0260.8c01.4444,E0,E1,E2,E3,X,X,D,C,A,B,MACaddresstable,8,|11/4/2022,Station Dsendsabroadcastormulticast frame,Broadcastand multicastframesare floodedtoall ports other thanthe originating port,0260.8c01.1111,0260.8c01.2222,0260.8c01.3333,0260.8c01.4444,E0,E1,E2,E3,D,C,A,B,E0:0260.8c01.1111,E2:0260.8c01.2222,E1:0260.8c01.3333,E3:0260.8c01.4444,MACaddresstable,Broadcastand MulticastFrames,9,|11/4/2022,广播域,和,和冲突,域,域,冲突域,：,：在同,一,一个冲,突,突域中,的,的每一,个,个节点,都,都能收,到,到所有,被,被发送,的,的帧,广播域：,网,网络中能,接,接收任一,设,设备发出,的,的广播帧,的,的所有设,备,备的集合,广播域可,以,以跨网段,，,，而冲突,域,域只是发,生,生的同一,个,个网段。,HUB,所,所有端口,都,都在同一,个,个广播域,，,，冲突域,内,内。Switch,所,所有端口,都,都在同一,个,个广播域,内,内，而每,一,一个端口,就,就是一个,冲,冲突域。,10,|11/4/2022,冲突域和,广,广播域,Collision Domain1,Collision Domain2,Broadcast Domain,Bridgesterminate collisiondomains,11,Multicast, broadcast, and unknown destination eventsbecomeglobal events,Server A,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,I need to know the MAC address for Server A,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,广播风暴,引,引起的性,能,能问题,12,Broadcasts can consume all availablebandwidth,Eachdevicemustdecodethebroadcast frame,Server A,广播风暴,13,10.1.1.0,10.1.2.0,10.1.3.0,LANbroadcasts terminateattherouter interface,LAN1,LAN2,LAN3,通过路由,器,器隔离广,播,播域,14,Segmentation,Flexibility,Security,3rdfloor,2ndfloor,1stfloor,SALES,HR,ENG,A VLAN =A broadcastdomain= Logical network (subnet),通过VLAN实现,广,广播域的,隔,隔离,15,|11/4/2022,VLAN,的,的类型,基于物理,端,端口划分,的,的VLAN,基于MAC地址划,分,分的VLAN,基于网络,层,层协议划,分,分的VLAN,基于网络,层,层地址（IP地址,）,）的VLAN,16,|11/4/2022,基,于,于,物,物,理,理,端,端,口,口,分,分,组,组,（,（PortBased,）,）,主,机,机,A,主,机,机,B,主,机,机,C,主,机,机,D,以,太,太,网,网,交,交,换,换,机,机,VLAN,表,端,口,口,所,属,属,VLAN,Port1,VLAN5,Port2,VLAN10,Port7,VLAN5,Port10,VLAN10,Port1,Port2,Port7,Port10,17,|11/4/2022,基,于,于,物,物,理,理,端,端,口,口,分,分,组,组,（,（PortBased,）,）,优,点,点,配,置,置,简,简,单,单,缺,点,点,不,允,允,许,许,一,一,个,个,端,端,口,口,同,同,时,时,属,属,于,于,多,多,过,过,VLAN,当,终,终,端,端,计,计,算,算,机,机,位,位,置,置,变,变,化,化,时,时,，,，,必,必,须,须,由,由,管,管,理,理,员,员,重,重,新,新,配,配,置,置,VLAN,的,接,接,口,口,。,。,18,|11/4/2022,二,层,层,VLAN,：,根,根,据,据,MACAddress,分,组,组,MACAddressVLAN,12123541451211,23892348737432,30458347584452,54835734758431,基,于,于MAC,地,地,址,址,分,分,组,组,（,（MACBased,）,）,19,|11/4/2022,基于MAC,地,地址分组,（,（MACBased,）,）,VLAN,表,MAC,地址,所属,VLAN,MAC A,MAC B,MAC C,MAC D,VLAN10,VLAN5,VLAN10,VLAN5,主机,A,主机,B,主机,C,主机,D,MAC A,MAC B,MAC C,MAC D,以太网交换,机,机,20,|11/4/2022,基于,MAC,地址分组（,MAC Based,）,优点,工作站物理,移,移动时，不,需,需要重新配,置,置，依然属,于,于原来的,VLAN,。,缺点,在初始时所,有,有的用户必,须,须在至少一,个,个,VLAN,上初始化,21,|11/4/2022,基,于,于,网,网,络,络,层,层,协,协,议,议,分,分,组,组,VLAN,表,协,议,议,类,类,型,型,所,属,属,VLAN,IPX,协,议,议,IP,协,议,议,VLAN5,VLAN10,主,机,机,A,主,机,机,B,主,机,机,C,主,机,机,D,使,用,用,IPX,协,议,议,运,行,行,IP,协,议,议,使,用,用,IPX,协,议,议,运,行,行,IP,协,议,议,以,太,太,网,网,交,交,换,换,机,机,22,|11/4/2022,基,于,于,网,网,络,络,地,地,址,址,分,分,组,组,VLAN,表,IP,网络,所,属,属,VLAN,IP,1.1.1.1/24,IP,1.1.2.1/24,VLAN5,VLAN10,主,机,机,A,主,机,机,B,主,机,机,C,主,机,机,D,1.1.1.5,1.1.2.88,1.1.1.8,1.1.2.99,以,太,太,网,网,交,交,换,换,机,机,23,|11/4/2022,基,于,于,网,网,络,络,地,地,址,址,分,分,组,组,优,点,点,可,以,以,根,根,据,据,协,协,议,议,类,类,型,型,划,划,分,分,物,理,理,移,移,动,动,时,时,，,，,无,无,需,需,修,修,改,改,网,网,络,络,地,地,址,址,缺,点,点,交,换,换,机,机,检,检,查,查,网,网,络,络,层,层,协,协,议,议,信,信,息,息,，,，,消,消,耗,耗,资,资,源,源,对,于,于,没,没,有,有,层,层,次,次,结,结,构,构,的,的,协,协,议,议,（,（,不,不,可,可,路,路,由,由,）,）,不,不,适,适,用,用,24,|11/4/2022,交换机,之,之间传,输,输VLAN成,员,员信息,交换机,之,之间必,须,须知道,每,每个工,作,作站属,于,于哪一,个,个,VLAN,，否则,VLAN,只能限,制,制在同,一,一台交,换,换机上,。,。,交换机,之,之间三,种,种交换,信,信息的,方,方式,TrunkTagging,Sigaling,Time-Division Multiplexing,INTER-SWITCH,COMMUNICATION,SWITCH#1,SWITCH#2,25,|11/4/2022,交换机,之,之间传,输,输VLAN成,员,员信息,FrameTagging,在交换,机,机之间,的,的主干,链,链路（,Trunck-Link,）上传,输,输的,Frame,中，在,MAC,头标中,插,插入,VLAN,标识符,Signalling,当一台,工,工作站,发,发送第,一,一个,frame,时，交,换,换机记,录,录它的,MAC,地址、,端,端口，,在,在地址,表,表中缓,存,存，并,定,定期向,其,其他的,交,交换机,广,广播。,Time Division Multiplexing,通过时,分,分多路,复,复用技,术,术，在,交,交换机,之,之间的,链,链路上,为,为每个,VLAN,建立一,个,个独立,的,的信道,26,|11/4/2022,VLAN的优,点,点,易于维,护,护容,易,易解决,人,人员位,置,置的变,动,动,有效地,控,控制广,播,播流量,，,，提高,性,性能,增强网,络,络安全,性,性,27,|11/4/2022,VLAN的优,点,点 ,易,易于,维,维护,公司每,年,年有,20%-40%,的工作,人,人员需,要,要改变,工,工作位,置,置。这,种,种移动,、,、添加,和,和改变,是,是网络,管,管理中,开,开支的,重,重点。,许,许多移,动,动需要,重,重新布,线,线、重,新,新分配,地,地址、,重,重新配,置,置,HUB,和路由,器,器。,VLAN,提供了,一,一种有,效,效的机,制,制来管,理,理这种,业,业务。,同一,VLAN,中的用,户,户，不,管,管其位,置,置如何,，,，都可,以,以使用,同,同一网,络,络地址,。,。当用,户,户移动,时,时，只,要,要还连,接,接至交,换,换机并,在,在同一,个,个,VLAN,中，就,可,可以使,用,用原来,的,的网络,地,地址。,VLAN,需要很,少,少的重,新,新布线,、,、配置,和,和调试,，,，是对,传,传统,LAN,技术的,重,重大改,进,进。路,由,由器的,配,配置也,不,不受影,响,响，当,用,用户搬,迁,迁时，,只,只要还,在,在原来,的,的子网,，,，路由,配,配置就,不,不用改,变,变。,28,|11/4/2022,每个网络,都,都有广播,流,流量。广,播,播的频率,与,与应用类,型,型、服务,器,器类型、,物,物理分段,以,以及网络,资,资源的使,用,用方式密,切,切相关。,如果需要,预,预先测试,网,网络，确,保,保不会有,与,与广播相,关,关的问题,。,。一种有,效,效的方式,是,是对物理,网,网络进行,分,分段，用,防,防火墙隔,离,离各个段,。,。,即使一个,网,网段上有,过,过量的广,播,播数据，,其,其他网段,不,不会受影,响,响。这种,分,分段能力,提,提供了更,高,高的可靠,性,性，是广,播,播流量尽,可,可能减小,，,，从而应,用,用有更多,的,的带宽可,用,用。,VLAN,的,的优点,控制,广,广播流量,29,当两个交,换,换机之间,没,没有路由,器,器时，广,播,播流量被,转,转发至每,个,个交换机,端,端口。这,种,种整个网,络,络中只有,一,一个广播,域,域的网络,被,被称为平,坦,坦型网络,。,。,优点：低,延,延迟，高,流,流通率，,易,易于管理,。,。,缺点：容,易,易受到广,播,播数据报,的,的攻击。,VLAN,能有效地,提,提供路由,器,器的防火,墙,墙功能，,从,从而保护,网,网络不受,有,有害广播,数,数据的影,响,响。另外,，,，,VLAN,有所有交,换,换机的优,点,点。,VLAN,的组越小,，,，一个,VLAN,中的广播,风,风暴所影,响,响的用户,就,就越少。,可,可以根据,应,应用类型,以,以及应用,的,的广播频,率,率来划分,VLAN,。,VLAN,的,的优点,控制,广,广播流量,30,|11/4/2022,监,听,听,的,的,威,威,胁,胁,经,常,常,有,有,重,重,要,要,的,的,、,、,机,机,密,密,的,的,数,数,据,据,通,通,过,过,LAN,。,机,机,密,密,数,数,据,据,需,需,要,要,安,安,全,全,的,的,访,访,问,问,控,控,制,制,机,机,制,制,。,。,LAN,的,一,一,个,个,缺,缺,点,点,就,就,是,是,它,它,太,太,容,容,易,易,被,被,渗,渗,透,透,。,。,插,插,入,入,一,一,个,个,可,可,用,用,的,的,接,接,口,口,，,，,一,一,个,个,恶,恶,意,意,的,的,用,用,户,户,就,就,可,可,获,获,得,得,整,整,个,个,网,网,段,段,上,上,的,的,数,数,据,据,。,。,通,过,过,物,物,理,理,隔,隔,离,离,，,，,可,可,以,以,实,实,现,现,控,制,制,一,一,个,个,组,组,中,中,的,的,用,用,户,户,数,数,量,量,防,止,止,其,其,它,它,用,用,户,户,在,在,没,没,有,有,申,申,请,请,的,的,情,情,况,况,下,下,进,进,入,入,VLAN,把,未,未,使,使,用,用,的,的,端,端,口,口,划,划,到,到,一,一,个,个,低,低,性,性,能,能,的,的,网,网,段,段,VLAN,的,的,优,优,点,点,增,增,强,强,网,网,络,络,安,安,全,全,性,性,31,|11/4/2022,实现这,种,种结构,的,的,VLAN,相当直,观,观。交,换,换机端,口,口按应,用,用类型,和,和访问,级,级别进,行,行分组,。,。有安,全,全要求,的,的应用,和,和资源,一,一般放,在,在一个,安,安全的,VLAN,中。交,换,换机限,制,制对安,全,全,VLAN,的访问,。,。可以,根,根据主,机,机地址,、,、应用,类,类型和,协,协议类,型,型设置,安,安全控,制,制机制,。,。,可以用,访,访问控,制,制列表,来,来增强,安,安全性,，,，这种,技,技术在,VLAN,之间通,讯,讯时特,别,别有用,。,。在安,全,全子网,中,中，路,由,由器也,象,象交换,机,机一样,提,提供安,全,全控制,。,。路由,器,器可以,根,根据工,作,作站地,址,址、应,用,用类型,和,和协议,类,类型甚,至,至时间,来,来设置,安,安全控,制,制机制,。,。,VLAN的优,点,点 , 增,强,强网络,安,安全性,32,|11/4/2022,VLAN的问,题,题,互操作,性,性问题,标准滞,后,后，实,现,现上的,不,不一致,不同厂,商,商实现,方,方式不,同,同，除,非,非选择,单,单一厂,家,家的产,品,品,硬件设,备,备、,VLAN,软件、,管,管理软,件,件,设备的,废,废弃，,造,造成投,资,资的浪,费,费,增加了,管,管理的,复,复杂性,33,|11/4/2022,目录,VPN,技术,概,概述,IP,安全,体,体系,结,结构,认证,头,头协,议,议,(AH),封装,安,安全,载,载荷,(ESP),安全,关,关联,(SA),密钥,管,管理,34,|11/4/2022,VPN概,述,述,VirtualPrivateNetwork,虚拟,专,专用,网,网,虚拟,专,专用,网,网不,是,是真,的,的专,用,用网,络,络，,但,但却,能,能够,实,实现,专,专用,网,网络,的,的功,能,能。,虚,虚拟,专,专用,网,网指,的,的是,依,依靠,ISP,（,Internet,服务,提,提供,商,商）,和,和其,它,它,NSP,（网,络,络服,务,务提,供,供商,）,），,在,在公,用,用网,络,络中,建,建立,专,专用,的,的数,据,据通,信,信网,络,络的,技,技术,。,。,利用,像,像,Internet,这样,的,的公,共,共的,或,或不,安,安全,的,的媒,体,体，,通,通过,应,应用,多,多种,技,技术,提,提供,用,用户,认,认证,、,、数,据,据完,整,整性,和,和访,问,问控,制,制，,从,从而,提,提供,网,网络,应,应用,程,程序,之,之间,的,的安,全,全通,信,信。,在虚,拟,拟专,用,用网,中,中，,任,任意,两,两个,节,节点,之,之间,的,的连,接,接并,没,没有,传,传统,专,专网,所,所需,的,的端,到,到端,的,的物,理,理链,路,路，,而,而是,利,利用,某,某种,公,公众,网,网的,资,资源,动,动态,组,组成,的,的。,VPN,不是,一,一种,单,单一,的,的技,术,术，,而,而是,具,具有,若,若干,特,特性,的,的系,统,统,35,|11/4/2022,VPN概,述,述,IETF,草案理解,基,基于,IP,的,VPN,为：“使,用,用,IP,机制仿真,出,出一个私,有,有的广域,网,网”。通,过,过私有的,隧,隧道技术,在,在公共数,据,据网络上,仿,仿真一条,点,点到点的,专,专线技术,。,。,虚拟：用,户,户不再需,要,要拥有实,际,际的长途,数,数据线路,，,，而是使,用,用公共网,络,络资源。,但,但它建立,的,的只是一,种,种临时的,逻,逻辑连接,，,，一旦通,信,信会话结,束,束，这种,连,连接就断,开,开了。,专用：用,户,户可以定,制,制最符合,自,自身需求,的,的网络。,以,IP,为主要通,讯,讯协议的,VPN,，也可称,之,之为,IP-VPN,。,36,|11/4/2022,VPN概,述,述,VPN,技术虽然,种,种类众多,，,，但,IETF,下的,IPSec,工作组推,出,出的,IPSec,协议是目,前,前工业界,IP VPN,标准，以,IPSec,协议构建,虚,虚拟专用,网,网已成为,主,主流。,基于,IPSec,构建,IP VPN,是指利用,实,实现,IPsec,协议的安,全,全网关（,SecurityGateway,）充当边,界,界路由器,，,，完成安,全,全的远程,接,接入和在,广,广域网上,内,内部网络,的,的“虚拟,”,”专线互,联,联等,37,|11/4/2022,VPN概,述,述,IPSec,的应用：,IPSec,提供对跨,越,越,LAN/WAN,，,Internet,的通讯提,供,供安全性,分支办公,机,机构通过,Internet,安全互联,远程安全,访,访问,Internet,与合作伙,伴,伴建立,extranet,与,intranet,的互连,增强电子,商,商务安全,性,性,38,|11/4/2022,VPN的,类,类型,每种VPN都具有,特,特定的要,求,求和优先,权,权，实现,的,的目的、,解,解决的问,题,题也不同,用于移动,工,工作者的,远,远程访问,Client-LAN VPN，也,叫,叫 AccessVPN,替代早期,的,的拨号远,程,程访问网,络,络,用于局域,网,网间连接,的,的PN,LAN-LAN型,IntranetVPN和ExtranetVPN,39,|11/4/2022,VPN,的,的安全,性,性,VPN,的主要,目,目的是,保,保护传,输,输数据,，,，必须,具,具备,4,个关键,功,功能,认证：,数,数据传,输,输的来,源,源确如,其,其声明,所,所言，,目,目的地,确,确实是,数,数据期,望,望到达,的,的位置,访问控,制,制：限,制,制对网,络,络未经,授,授权的,访,访问,机密性,：,：防止,数,数据在,通,通过网,络,络时被,察,察看,数据完,整,整性：,防,防止传,输,输中对,数,数据的,任,任何篡,改,改,VPN,的目的,是,是保护,从,从信道,的,的一个,端,端点到,另,另一端,点,点传输,的,的信息,流,流，信,道,道的端,点,点之前,和,和之后,，,，,VPN,不提供,任,任何的,数,数据包,保,保护,40,|11/4/2022,VPN,系,系统组,成,成,41,|11/4/2022,VPN,系,系统组,成,成,VPN,服务器,：,：接受,来,来自,VPN,客户机,的,的连接,请,请求；,VPN,客户机,：,：可以,是,是终端,计,计算机,，,，也可,以,以是路,由,由器；,隧道：,数,数据传,输,输通道,，,，在其,中,中传输,的,的数据,必,必须经,过,过封装,；,；,VPN,连,接,接,：,：,在,在,VPN,连,接,接,中,中,，,，,数,数,据,据,必,必,须,须,经,经,过,过,加,加,密,密,；,；,隧,道,道,协,协,议,议,：,：,封,封,装,装,数,数,据,据,、,、,管,管,理,理,隧,隧,道,道,的,的,通,通,信,信,标,标,准,准,传,输,输,数,数,据,据,：,：,经,经,过,过,封,封,装,装,、,、,加,加,密,密,后,后,在,在,隧,隧,道,道,上,上,传,传,输,输,的,的,数,数,据,据,；,；,公,共,共,网,网,络,络,：,：,如,如,Internet,，,也,也,可,可,以,以,是,是,其,其,他,他,共,共,享,享,型,型,网,网,络,络,42,|11/4/2022,VPN,关,关,键,键,技,技,术,术,RFC,（,（RequestForComments,）,）,：,：,“,“,请,请,求,求,注,注,解,解,”,”,，,，,包,包,含,含,了,了,关,关,于,于Internet,的,的,几,几,乎,乎,所,所,有,有,重,重,要,要,的,的,文,文,字,字,资,资,料,料,。,。RFC,享,享,有,有,网,网,络,络,知,知,识,识,圣,圣,经,经,之,之,美,美,誉,誉,。,。,RFC2194,：,：,第,第,一,一,个,个VPNRFC,，,，1997,年,年9,月,月14,日,日,发,发,布,布,。,。,自1999,年,年4,月,月17,日,日,之,之,后,后,，,，,有,有10,个,个RFC,直,直,接,接,涉,涉,及,及VPN,，,，,如,如RFC2401-2411,和,和RFC2451,。,。,有80,多,多,个,个RFC,涉,涉,及,及,隧,隧,道,道,。,。,43,|11/4/2022,VPN关,键,键技,术,术,隧道,技,技术,：,：,VPN,的基,本,本技,术,术，,它,它在,公,公用,网,网建,立,立一,条,条数,据,据通,道,道（,隧,隧道,）,），,让,让数,据,据包,通,通过,这,这条,隧,隧道,传,传输,。,。,隧道,由,由隧,道,道协,议,议形,成,成，,常,常用,的,的有,第,第,2,、,3,层隧,道,道协,议,议。,密码,技,技术,：,：,加解,密,密技,术,术：,在,在,VPN,应用,中,中将,认,认证,信,信息,、,、通,信,信数,据,据等,由,由明,文,文转,换,换为,密,密文,的,的相,关,关技,术,术，,其,其可,靠,靠性,主,主要,取,取决,于,于加,解,解密,的,的算,法,法及,强,强度,。,。,身份,认,认证,技,技术,：,：在,正,正式,的,的隧,道,道连,接,接开,始,始之,前,前需,要,要确,认,认用,户,户的,身,身份,，,，以,便,便系,统,统进,一,一步,实,实施,资,资源,访,访问,控,控制,或,或用,户,户授,权,权。,密钥,管,管理,技,技术,：,：如,何,何在,公,公用,数,数据,网,网上,安,安全,地,地传,递,递密,钥,钥而,不,不被,窃,窃取,。,。,QoS,技术,：,：保,证,证,VPN,的性,能,能稳,定,定，,在,在管,理,理上,满,满足,企,企业,的,的要,求,求。,44,|11,VPN的,隧,隧道,技,技术,对通,过,过隧,道,道的,数,数据,进,进行,处,处理,的,的两,个,个基,本,本过,程,程：,加,加密,和,和封,装,装。,加密,：,：,保证,VPN,的“,私,私有,性,性”,；,；,通信,双,双方,数,数据,的,的加,密,密涉,及,及到,：,：加,密,密方,法,法的,选,选择,、,、密,钥,钥的,交,交换,、,、密,钥,钥的,管,管理,等,等。,封装,：,：,构建,隧,隧道,的,的基,本,本手,段,段；,使得,隧,隧道,能,能够,实,实现,信,信息,的,的隐,蔽,蔽和,信,信息,的,的抽,象,象。,将一,种,种协,议,议封,装,装在,另,另一,种,种协,议,议中,传,传输,，,，从,而,而实,现,现被,封,封装,协,协议,对,对封,装,装协,议,议的,透,透明,性,性，,保,保持,被,被封,装,装协,议,议的,安,安全,特,特性,。,。,45,|11/4/2022,VPN的,隧,隧道,技,技术,安全,协,协议,：,：就,是,是构,建,建隧,道,道的,“,“隧,道,道协,议,议”,。,。,IP,隧道,协,协议,：,：使,用,用,IP,协议,作,作为,封,封装,协,协议,的,的隧,道,道协,议,议。,第二,层,层隧,道,道协,议,议：,首,首先,把,把各,种,种网,络,络协,议,议封,装,装到,数,数据,链,链路,层,层的,PPP,帧中,，,，再,把,把整,个,个,PPP,帧装,入,入隧,道,道协,议,议中,。,。这,种,种双,层,层封,装,装方,法,法形,成,成的,数,数据,包,包依,靠,靠第,二,二层,协,协议,进,进行,传,传输,。,。如,：,：,PPTP,（点到,点,点隧道,协,协议，,Point-to-PointTunnelingProtocol,）、,L2F,（第二,层,层转发,协,协议，,LayerTwoForwarding,）和,L2TP,（第二,层,层隧道,协,协议，,LayerTwoTunneling Protocol,）等；,46,|11/4/2022,VPN,的,的隧道,技,技术,第三层,隧,隧道协,议,议：把,各,各种网,络,络协议,直,直接装,入,入隧道,协,协议中,，,，封装,的,的是网,络,络层协,议,议数据,包,包。如,：,：,GRE,（通用,路,路由封,装,装协议,，,，,Generic RoutingEncapsulation,）和,IPSec,（,IP,层安全,协,协议，,InternetProtocolSecurity,）,IPSec,的应用,最,最为广,泛,泛，是,事,事实上,的,的网络,层,层安全,标,标准。,不同协,议,议层次,的,的隧道,协,协议各,有,有优缺,点,点，可,考,考虑将,其,其结合,以,以构建,虚,虚拟专,用,用网的,完,完整解,决,决方案,。,。,47,|11/4/2022,IPSec架,构,构,IPSec是,提,提供网,络,络层通,信,信安全,的,的一套,协,协议簇,IPSec只,是,是一个,开,开放的,结,结构，,通,通过在,主,主IP,报,报头后,面,面接续,扩,扩展报,头,头，为,目,目前流,行,行的数,据,据加密,或,或认证,算,算法的,实,实现提,供,供统一,的,的数据,结,结构,需求：,身,身份认,证,证、数,据,据完整,性,性和保,密,密性,IPSec在IPv6中是,强,强制的,，,，在IPv4,中,中是可,选,选的,48,|11/4/2022,IPSec发,展,展历史,1994,年,IETF,专门成,立,立,IP,安全协,议,议工作,组,组，来,制,制定和,推,推动一,套,套称为,IPSec,的,IP,安全协,议,议标准,。,。,1995,年,8,月公布,了,了一系,列,列关于,IPSec,的建议,标,标准。,1996,年，,IETF,公布下,一,一代,IP,的标准,IPv6,，把鉴,别,别和加,密,密作为,必,必要的,特,特征，,IPSec,成为其,必,必要的,组,组成部,分,分。,1999,年底，,IETF,安全工,作,作组完,成,成了,IPSec,的扩展,，,，在,IPSec,协议中加上,ISAKMP,（因特网安,全,全关联和密,钥,钥管理协议,）,），,IKE,（密钥交换,协,协议）、,Oakley,（密钥确定,协,协议）。,ISAKMP/IKE/Oakley,支持自动建,立,立加密、鉴,别,别信道，以,及,及密钥的自,动,动安全分发,和,和更新。,幸运的是，,IPv4,也可以实现,这,这些安全特,性,性。,49,|11/4/2022,IPSec,的,的应用方式,端到端（endend）：主机,到,到主机的安,全,全通信,端到路由（endrouter,）,）：主机到,路,路由设备之,间,间的安全通,信,信,路由到路由,（,（routerrouter）,：,：路由设备,之,之间的安全,通,通信，常用,于,于在两个网,络,络之间建立,虚,虚拟专用网,50,|11/4/2022,IPSec的内容,协议部分,，,，分为：,AH,（认证头,，,，,Authentication Header,）：提,供,供完整性,保,保护和抗,重,重放攻击,；,；,ESP,（封装安,全,全载荷，,Encapsulating Security Payload,）：提,供,供机密性,、,、完整性,保,保护和抗,重,重放攻击,；,；,密钥管理,（,（,KeyManagement,）,SA,（,SecurityAssociation,）,ISAKMP,定义了密,钥,钥管理框,架,架,IKE,是目前正,式,式确定用,于,于,IPSec,的密钥交,换,换协议,51,|11/4/2022,VPN,概,概,述,述,IPSEC,的,优,优,点,点,在,防,防,火,火,墙,墙,或,或,路,路,由,由,器,器,中,中,实,实,现,现,时,时,，,，,可,可,以,以,对,对,所,所,有,有,通,通,过,过,其,其,边,边,界,界,的,的,流,流,量,量,实,实,施,施,强,强,安,安,全,全,性,性,，,，,而,而,公,公,司,司,内,内,部,部,或,或,工,工,作,作,组,组,内,内,部,部,的,的,通,通,信,信,不,不,会,会,招,招,致,致,与,与,安,安,全,全,处,处,理,理,相,相,关,关,的,的,开,开,销,销,防,火,火,墙,墙,内,内,的,的,IPSec,能,在,在,所,所,有,有,外,外,部,部,流,流,量,量,均,均,使,使,用,用,IP,时,阻,阻,止,止,旁,旁,路,路,IPSec,在,传,传,输,输,层,层,以,以,下,下,，,，,对,对,所,所,有,有,应,应,用,用,透,透,明,明,，,，,因,因,此,此,在,在,防,防,火,火,墙,墙,或,或,路,路,由,由,器,器,使,使,用,用,IPSec,时,，,，,不,不,需,需,要,要,对,对,用,用,户,户,系,系,统,统,或,或,服,服,务,务,系,系,统,统,做,做,任,任,何,何,改,改,变,变,IPSec,可,以,以,对,对,最,最,终,终,用,用,户,户,透,透,明,明,IPSec,可,以,以,为,为,单,单,个,个,用,用,户,户,提,提,供,供,安,安,全,全,性,性,52,|11/4/2022,IPSec,安,安,全,全,体,体,系,系,结,结,构,构,53,|11/4/2022,IP安,全,全体系,结,结构,IPSEC,文档,体系结,构,构,( Architecture),：定义,IPSec,技术的,一,一般性,概,概念、,需,需求和,机,机制,封装安,全,全有效,载,载荷（,ESP-EncapsulatingSecurityPayload,）,认证头,（,（,AH-AuthenticationHeader,）,加密算,法,法（,Encryption Algorithm,）,认证算,法,法（,AuthenticationAlgorithm,）,密钥管,理,理（,KeyManagement,）：,ISAKMP,解释域,（,（,DOI-DomainofInterpretation,）：其,他,他文档,需,需要的,为,为了彼,此,此间互,相,相联系,的,的一些,值,值，包,括,括经过,检,检验的,加,加密和,认,认证算,法,法的标,识,识以及,操,操作参,数,数，比,如,如密钥,的,的生存,期,期,54,|11/4/2022,IP安,全,全体系,结,结构,IPSEC,协议框,架,架：,综合了,密,密码技,术,术和协,议,议安全,机,机制，,IPSec,协议的,设,设计目,标,标是在,IPV4,和,IPV6,环境中,为,为网络,层,层流量,提,提供灵,活,活的安,全,全服务,。,。,IPSEC,文档,RFC2401:Anoverviewofsecurityarchitecture,RFC2402:DescriptionofapacketencryptionextensiontoIPv4andIPv6,RFC2406:DescriptionofapacketemcryptionextensiontoIPv4andIPv6,RFC2408:Specificationofkeymanagamentcapabilities,55,|11/4/2022,IP安,全,全体系,结,结构,IPSec,在,IP,层提供,安,安全服,务,务，系,统,统可以,选,选择所,需,需要的,安,安全协,议,议，确,定,定该服,务,务所用,的,的算法,，,，并提,供,供安全,服,服务所,需,需加密,密,密钥。,访问控,制,制,无连接,完,完整性,数据源,认,认证,拒绝重,放,放数据,包,包,保密性,（,（加密,）,）,有限的,信,信息流,保,保密性,56,|11/4/2022,IP安,全,全体系,结,结构,AH,ESP(,只加密,),ESP(,加密并认证,),访问控制,无连接的完整性,数据源发认证,检测重放攻击,机密性,有限的通信流保密,57,|11/4/2022,IP,安,安全,体,体系,结,结构,安全,关,关联,(,SecurityAssociation),是两,个,个通,信,信实,体,体经,过,过协,商,商建,立,立起,来,来的,一,一种,协,协定,，,，他,们,们决,定,定了,用,用来,保,保护,数,数据,包,包安,全,全的,IPSec,协议,、,、密,码,码算,法,法、,密,密钥,等,等信,息,息，,IPSec,实体,要,要建,立,立一,个,个本,地,地,SA,数据,库,库,(SADB),，,SPI(SAParameterIndex),是,AH,或,ESP,中的,一,一个,字,字段,，,，用,来,来标,识,识数,据,据包,对,对应,的,的,SA,SA,是单,向,向的,，,，该,连,连接,为,为其,运,运载,的,的流,量,量提,供,供安,全,全服,务,务。,多,多个,SA,联合,使,使用,构,构成,SA,束,(SAbundle),。,SA,是协,议,议相,关,关的,，,，根,据,据安,全,全协,议,议不,同,同，,SA,分为,：,：,AHSA,和,ESPSA,；,根据,使,使用,模,模式,不,不同,，,，,SA,又分,为,为传,输,输模,式,式,SA,和隧,道,道模,式,式,SA,58,|11/4/2022,IP安全,体,体系结构,SA,由三个参,数,数唯一确,定,定：,SecurityParametersIndex (SPI),IP,目的地址,（,（,IPDA,）：,安全协议,：,：,AH,或者,ESP,。,source,dst,proto,spi,SA,记录,1.1.1.1,2.2.2.2,AH,11,MD5, K1,2.2.2.2,1.1.1.1,ESP,12,DES, K2,2.2.2.2,1.1.1.1,AH,13,SHA, K3,A(1.1.1.1),B(2.2.2.2),A,的,SADB,59,|11/4/2022,IP,安,安,全,全,体,体,系,系,结,结,构,构,SA,参,数,数,序,数,数,计,计,数,数,器,器,：,：,一,一,个,个,32,位,用,用,于,于,生,生,成,成,AH,或,ESP,头,中,中,的,的,序,序,数,数,字,字,段,段,计,计,数,数,器,器,溢,溢,出,出,位,位,：,：,一,一,个,个,标,标,志,志,位,位,表,表,明,明,该,该,序,序,数,数,计,计,数,数,器,器,是,是,否,否,溢,溢,出,出,，,，,如,如,果,果,是,是,，,，,将,将,生,生,成,成,一,一,个,个,审,审,计,计,事,事,件,件,，,，,并,并,禁,禁,止,止,本,本,SA,的,进,进,一,一,步,步,的,的,包,包,传,传,送,送,。,。,反,重,重,放,放,窗,窗,口,口,：,：,用,用,于,于,确,确,定,定,一,一,个,个,入,入,站,站,的,的,AH,或,ESP,是,否,否,是,是,一,一,个,个,回,回,放,放,AH,信,息,息,：,：,认,认,证,证,算,算,法,法,，,，,密,密,钥,钥,，,，,密,密,钥,钥,生,生,存,存,期,期,，,，,以,以,及,及,与,与,密,密,钥,钥,一,一,起,起,的,的,其,其,他,他,参,参,数,数,ESP,信,息,息,：,：,加,加,密,密,和,和,认,认,证,证,算,算,法,法,，,，,密,密,钥,钥,，,，,初,初,始,始,值,值,，,，,密,密,钥,钥,生,生,存,存,期,期,，,，,以,以,及,及,与,与,密,密,钥,钥,一,一,起,起,的,的,其,其,他,他,参,参,数,数,60,|11/4/2022,IP,安,安,全,全,体,体,系,系,结,结,构,构,SA,的,生,生,存,存,期,期,：,：,一,一,个,个,时,时,间,间,间,间,隔,隔,或,或,字,字,节,节,计,计,数,数,。,。,到,到,时,时,候,候,一,一,个,个,SA,必,须,须,用,用,一,一,个,个,新,新,的,的,SA,替,换,换,或,或,终,终,止,止,IPSec,协,议,议,模,模,式,式,：,：,隧,隧,道,道,，,，,传,传,输,输,PathMTU,：,最,最,大,大,传,传,输,输,单,单,元,元,（,（,不,不,需,需,要,要,分,分,段,段,传,传,输,输,的,的,最,最,大,大,包,包,长,长,度,度,）,）,路,路,径,径,和,和,迟,迟,滞,滞,变,变,量,量,61,|11/4/2022,IP,安,安,全,全,体,体,系,系,结,结,构,构,安,全,全,策,策,略,略,(Policy),决,定,定,了,了,为,为,哪,哪,种,种,类,类,型,型,的,的,包,包,提,提,供,供,何,何,种,种,安,安,全,全,服,服,务,务,，,，,IP,信,息,息,流,流,与,与,SA,关,联,联,的,的,手,手,段,段,是,是,通,通,过,过,安,安,全,全,策,策,略,略,数,数,据,据,库,库,SPD(SecurityPolicyDatabase),每,一,一,个,个,SPD,入,口,口,通,通,过,过,一,一,组,组,IP,和,更,更,高,高,层,层,协,协,议,议,域,域,值,值,，,，,称,称,选,选,择,择,符,符,来,来,定,定,义,义,，,，,以,以,下,下,的,的,选,选,择,择,符,符,确,确,定,定,SPD,入口：,源地址,目标地址,协议（,TCP/UDP/ICMP,）,源端口和目,标,标端口,用户,ID,数据敏感性,级,级别,服务类型（,ToS,）,62,|11/4/2022,IPSEC外,发,发数,据,据报,处,处理,LookupSPDtofindpolicyfordatagram,CreatenewSAifneeded.,ApplykeysinSAforencryption/MACing.,PassprocesseddatagramdowntoLinkLayer.,PasstonextinstanceofIPSecprocessing.,FurtherIPSec,processing,required?,Drop,pass,throughor,processdatagram?,63,|11/4/2022,IP,安,安全,体,体系,结,结构,安全,策,策略,数,数据,库,库SPD,和,和安,全,全关,联,联数,据,据库SADB,source,dst,proto,spi,SA,记录,1.1.1.1,2.2.2.2,AH,11,MD5, K1,1.1.1.1,2.2.2.2,ESP,12,DES, K2,2.2.2.2,1.1.1.1,AH,13,DES, K3,A(1.1.1.1),B(2.2.2.2),A,的,SADB,source,dest,protocol,port,policy,1.1.1.1,2.2.2.2,TCP,80,AH,1.1.1.1,3.3.3.3,TCP,25,ESP,A,的,SPD,64,|11/4/2022,传输,模,模式,Header,Payload,IPdatagram,Network,Header,Payload,IPdatagram,IPSECTransportMode,65,|11/4/2022,隧道,模,模式,IPSECTunnelMode,：,ProtectionforentireIPdatagram.,Entiredatagramplussecurityfieldstreatedasnewpayloadof,outerIPdatagram.,Sooriginal,inner,IPdatagram,encapsulated,within,outerIPdatagram.,IPSecprocessingperformedat,securitygateways,onbehalfofendpointhosts.,Gatewaycouldbeperimeterfirewallorrouter.,Gateway-to-gatewayratherthanend-to-endsecurity.,HostsneednotbeIPSec-aware.,IntermediateroutershavenovisibilityofinnerIPdatagram.,Evenorginalsourceanddestinationaddressesencapsulatedandso,hidden,.,66,|11/4/2022,隧,道,道,模,模,式,式,Header,Payload,Header,Payload,Header,Payload,InnerIPdatagram,Outer,Header,Network,Header,Payload,InnerIPdatagram,InnerIPdatagram,InnerIPdatagram,Security,Gateway,Security,Gateway,Outer,Header,IPSECTunnelMode,67,|11/4/2022,AH,协,协,议,议,AH=AuthenticationHeader(RFC2402).,Providesdataoriginauthenticationanddataintegrity.,AHauthenticateswholepayloadandmostofheader.,PreventsIPaddressspoofing.,SourceIPaddressisauthenticated.,Createsstatefulchannel.,Useofsequencenumbers.,Preventsreplayofold datagrams.,AHsequencenumberisauthenticated.,Uses MACandsecret keysh

展开阅读全文

6、路由交换安全与VPN讲义

最新文档