2022年《网络测试与故障诊断》一体化教案VPN安全技术.docx
名师归纳总结 精品学习资料 - - - - - - - - - - - - - - -学习必备 欢迎下载广东新里程旅行技工学校教 案 首 页课程 名称网络测试与故障诊断项目课题VPN安全技术课型讲座授课 班级学习目标教学 重点教学难点教学12 运算机授课2022.3.21 课2 小时 30授课时间时分老师学问懂得 VPN的安全性;熟识路由器端连接VPN,防火墙端连接 VPN,专业目标设备连接 VPN;把握构建虚拟专用网VPN 技能通过学习,同学学会构建虚拟专用网VPN;目标情感 目标通过学习培育同学运算机网络的爱好;构建虚拟专用网 VPN路由器端连接 VPN,防火墙端连接 VPN,专业设备连接 VPN多媒体教学系统场景教学 方法教授法,课文引导、结合实例分析、习题练习,讲解教学教学回忆细心整理归纳 精选学习资料 - - - - - - - - - - - - - - - 第 1 页,共 21 页 - - - - - - - - - 名师归纳总结 精品学习资料 - - - - - - - - - - - - - - -学习必备 欢迎下载教 案 内 页 教学环节及 教学过程(教学内容和教学方法)时间安排【组织教学】 约 3 分钟:整顿纪律,考勤,填写教学日志,检查课本与练习本 的预备情形教 学设【复习旧课】(约 5 分钟)计:让同学争论回答,并抽1 复习提问:在一台交换机上划分两个Vlan (Vlan2,Vlan3 )2参考答案给两台交换机划分vlan ,步骤如下:取同学回答老师点评并归 纳 出 答案,最终简单分析;【新课导入】(约 2 分钟)企业构建安全局域网后,如何才能实现在互联网中也能安全联网?导入“ VPN安全技术”通过设疑,吸引同学的留意力,激细心整理归纳 精选学习资料 - - - - - - - - - - - - - - - 第 2 页,共 21 页 - - - - - - - - - 名师归纳总结 精品学习资料 - - - - - - - - - - - - - - -学习必备 欢迎下载发 学 习 兴趣;同学回答操作方法细心整理归纳 精选学习资料 - - - - - - - - - - - - - - - 第 3 页,共 21 页 - - - - - - - - - 名师归纳总结 精品学习资料 - - - - - - - - - - - - - - -学习必备 欢迎下载教 案 内 页教学环节及 教学过程(教学内容和教学方法)时间安排【讲授新课】一、 VPN技术 (约 15 分钟)课件演示,(一) VPN技术的介绍 :在网络互联世界中,企业为了各站点之间能够安全地传输数据,往往挑选从通信厂商处租用昂贵的专有链路来进行传送;为了降低成本,我们可以在现有的讲 解VPN技 术 的 概念Internet结构基础和其他用户共享通信链路上进行数据传输,但同时如何保证数据传输的安全就成了最重要的问题;其中一种有效的解决方案就是构建虚拟专用网 VPN;(二) VPN概述VPN是将不同物理位置的组织和个人通过已有的公共网络建立一条点到点的虚拟链路,模拟专用网进行安全数据通信的网络技术,其基本原理是通过肯定的技术将互联网上每个VPN用户的数据与其他数据加以区分,防止未经授权的拜访,从而确保数据的安全;通过利用共享的公共网络设施实现 VPN,能够以极低的费用为远程用户供应性能和专用网络相媲美的保密通信服务;隧道技术隧道技术是目前构建VPN的基本方式;隧道技术是指把一种类型的报文封装在另一种报文中在网络上进行传输,如下列图;两个网络通过 VPN接入设备的一个端口,即一个VPN端点,建立的虚拟链路就叫隧道;发送给远程网络的数据要细心整理归纳 精选学习资料 - - - - - - - - - - - - - - -进行肯定的封装处理,从发送方网络的一个VPN端点进入 VPN,经相关隧道穿越VPN物理上穿越担心全的互联网 ,到达接收方 . 第 4 页,共 21 页 - - - - - - - - - 名师归纳总结 精品学习资料 - - - - - - - - - - - - - - -学习必备 欢迎下载教 案 内 页教学环节及 教学过程(教学内容和教学方法)时间安排详 细 分 析VPN 隧道模式 , 来 突 出VPN 技术的重要作用网络的另一个 VPN端点,再经过解封装处理,便得到原始数据,并且把加密后的原始数据发给目的主机;封装的数据在传送中,不仅遵循指定的路径,防止经过不信任的节点而到达未授权接收方,而且封装处理使得传送的中间节点不必也不会解析原始数据,这在肯定程度上防止了数据泄密;对主机来说,不管是发送主机仍是接收主机,都不知道数据曾经被封装过,也不知道数据是在 Internet网络上进行传输的,它只需要供应要传输的数据,而不需要特别的软件或配置,全部传送过程都由VPN设备来处理;仅仅通过隧道技术仍不能建立适合全部安全要求的 VPN,由于一般的隧道技术只能够满意在单个运营商网络上进行数据安全传输的需求;用户数据要跨过多个运营商网络时,在两个独立网络节点的封装数据要先解封处理后再封装,可能在此过程中造成信息泄漏,因此,必需结合加密技术和密钥治理等细心整理归纳 精选学习资料 - - - - - - - - - - - - - - - 第 5 页,共 21 页 - - - - - - - - - 名师归纳总结 精品学习资料 - - - - - - - - - - - - - - -学习必备 欢迎下载教 案 内 页教学环节及 教学过程(教学内容和教学方法)时间安排技术保证数据传输的秘密性;同时,身份认证及拜访掌握等技术可以支持远程接入或动态建立隧道的VPN,通过对拜访者身份的确认及对其拜访资源的掌握来保证信息安全; 所以 VPN 通信具有与专用网同等的通信安全性;VPN 的简洁 通信 过程如下:1客户机向 VPN 服务器发出恳求;2VPN 服务器响应恳求,并要求客户进行身份认证;3客户机将秘密的用户身份认证响应信息发给服务器;4VPN 服务器收到客户的认证响应信息,确认该帐户是否有效,是否具有远程 拜访权限;假如有拜访权限,就接收此连接;5VPN 服务器利用在认证过程中产生的客户机和服务器的公有密钥对数据进行 加密,然后通过 VPN 隧道技术进行封装、加密、传输到目的内部网络;总之, VPN 可以通过隧道技术、密码技术、身份认证及拜访掌握技术等在共享 的互联网上实现低成本的安全数据传输;二、 VPN的优点 (约 10 分钟)具 体 分析VPN的优点如下:1 费用低廉VPN 的优点这是使用 VPN的最主要的好处;通过使用VPN,我们可以在公共网络上尽可能安全地传输数据,而不需要再租用专线来组网;并且,多数VPN都可以供应牢靠的远程拨号服务,如此便削减了治理、爱护和操作拨号网络的人力成本,节约了相关 费用;2 安全牢靠细心整理归纳 精选学习资料 VPN为数据安全传输供应了很多安全保证,可以保证传输数 第 6 页,共 21 页 据的秘密性、完整性和对发送/ 接收者的认证; - - - - - - - - - - - - - - - - - - - - - - - - 名师归纳总结 精品学习资料 - - - - - - - - - - - - - - -学习必备 欢迎下载教 案 内 页教学环节及 教学过程(教学内容和教学方法)时间安排3 部署简洁 VPN 使用的是已有的基础设施, 因此可以利用现有的基础设施快速建立 VPN,从而降低工作量,节约时间,削减施工费用三、 VPN的缺点 (约 10 分钟)VPN有如上所述的很多优点,但同时也有一些缺点:具 体 分析1 增加了处理开销VPNVPN 的缺点为了保证数据传输安全,通常对传输的每一个报文都进行加密,如此便增加了 VPN处理压力;虽然可以实行硬件技术来解决,但同时也增加了构建的成本;同时,由于VPN对发送的报文进行了封装,或者在原始报文上增加额外报文信息,这些都增加了处理开销,对网络性能构成肯定的影响;2 实现问题由于现有的网络基础情形一般比较复杂,实现的问题,包括 VPN通过、网络地址转换 最大传输单元大小等问题;3 故障诊断和掌握问题因此 VPN在设计的时候必需考虑到由于 VPN上传输的数据都进行了封装处理,真实数据只能等解封后才能看见,因此一旦发生故障,很难进行诊断;同时,假如远程用户通过 VPN接入的话,必需要考虑对其实施掌握;由于此时的远程接入客户作为进入网络的入口,由于其自身主机的安全问题, 可能会带来安全隐患; 并且,VPN究竟是构建在公共基础设施上,而一旦这些基础设施显现问题就会导致Internet服务故障,从而使 VPN的通信显现问题;细心整理归纳 精选学习资料 - - - - - - - - - - - - - - - 第 7 页,共 21 页 - - - - - - - - - 名师归纳总结 精品学习资料 - - - - - - - - - - - - - - -学习必备 欢迎下载教 案 内 页教学环节 及 教学过程(教学内容和教学方法)时间安排四、 VPN隧道协议 (约 50 分钟)详 细 分析(一) 依据用户数据是在网络协议栈的第几层被封装,即隧道协议是工作在第VPN隧道协二层数据链路层、第三层网络层,仍是第四层应用层,可以将 VPN协议划分成其次层隧道协议、第三层隧道协议和第四层隧道协议;1) 其次层隧道协议:议主要包括点到点隧道协议 PPTP、其次层转发协议 L2F ,其次层隧道协议 L2TP 、多协议标记交换 MPLS等,主要应用于构建接入 VPN;2) 第三层隧道协议:主要包括通用路由封装协议GRE和 IPSec,它主要应用于构建内联网VPN和外联网 VPN;3) 第四层隧道协议:如 SSL VPN;SSL VPN与 IPSec VPN都是实现 VPN的两大实现技术;其中,IPSec VPN工作在网络层,因此与上层的应用程序无关;采纳隧道运行模式的 IPSec 对原始的 IP 数据包进行封装, 从而隐匿了全部的应用协议信息因此可以实现各种应用类型的一对多的连接,如Web、电子邮 件、文件传输、 VoIP 等连接;与SSL相比, IPSec 只在一个客户程序和远程 VPN网关或主机之间建立一条连接,全部应用程序的流量都通过该连接建立的隧道进行传输;而 SSL VPN工作在应用层,对每一个附加的应用程序都不得不建立额外的连接和隧道;不过,SSL除了具备与 IPSec VPN相当的安全性外,仍增加了拜访掌握机制;而且客户端只需要拥有支持 SSL的浏览器即可,配置便利,使用简洁,特别适合远程用户细心整理归纳 精选学习资料 拜访企业内部网;因此,现在第四层隧道协议最闻名的便是SSL; 第 8 页,共 21 页 - - - - - - - - - - - - - - - - - - - - - - - - 名师归纳总结 精品学习资料 - - - - - - - - - - - - - - -学习必备 欢迎下载教 案 内 页教学环节 及 教学过程(教学内容和教学方法)时间安排(二) PPTP 在明白点到点隧道协议 PPTP协议之前,必需先要明白 PPP和 GRE两个协议;1 点到点协议 PPP PPP协议主要是为通过拨号或专线方式建立点对点连接的同等单元之间传输数 据包而设计的链路层协议; PPP协议将 IP、IPX 和 NETBEUI包封装在 PPP帧内通过点对点的链路发送,主要应用于拨号连接用户和 NAS;2GRE协议 GRE 协议由 Cisco 和 NetSmiths 等公司提交给 IETF 的数据封装协议,它规 定了如何用一种网络协议去封装另一种网络协议的方法,由 RFC1701和 RFC1702具体定义;目前多数厂商的网络设备均支持GRE隧道协议; GRE协议答应用户使用 IP 包封装 IP、IPX、AppleTalk 包,并支持全部的路由协议 如 RIP2、OSPF等 ;不过, GRE协议只供应了数据包封装功能而没有加密功能,所以在实际环境中为了保证用户数据安全, GRE协议常常与 IPSec 结合使用,由 IPSec 供应用户数据的加密; PPTP 是由微软、 Ascend、3COM等公司支持的基于 IP 的点对点隧道协议,它采纳隧道技术,使用 IP 数据包通过 Internet 传送 PPP数据帧,在 RFC2367中有具体定义;该协议使用两种不同类型的数据包来治理隧道和发送数据包;PPTP通过 TCP端口 1723 建立 TCP连接并发送和接收全部掌握命令; 对于数据传输,PPTP先使用 PPP封装,再将 PPP封装到一个 IP 类型为 47 的 GRE数据包中,最终 GRE数据包再被封装到一个IP 数据包中通过隧道传输;如下列图; PPTP 协议的实现由 PPTP接入集中器 PAC和 PPTP网络服务器 PNS来分别执行,从而实现因特网上的VPN;其中, ISP 的 NAS将执行 PPTP协议中指定的细心整理归纳 精选学习资料 PAC的功能,企业 VPN中心服务器将执行PNS的功能; 第 9 页,共 21 页 - - - - - - - - - - - - - - - - - - - - - - - - 名师归纳总结 精品学习资料 - - - - - - - - - - - - - - -学习必备 欢迎下载教 案 内 页教学环节及 教学过程(教学内容和教学方法)时间安排如下列图, 远程拨号用户 如远程用户 1 第一采纳拨号方式接入到 ISPNASPAC建立 PPP连接,然后接入 Internet通过企业 VPN服务器 PNS拜访企业的网络和应用,而不再直接拨号至企业的网络;这样,由 GRE将 PPP报文封装成的 IP报文就可以在 PAC-PNS之间经由因特网传递,即在 PAC和 PNS之间为用户的 PPP会话建立了一条 PPTP隧道 如 PPTP隧道 1 ;由于全部的通信都将在IP 包内通过隧道, 因此 PAC只起着通过 PPP连接进因特网的入口点的作用;对于直接连接到Internet上的客户 如远程用户 2 ,可以直接与企业 VPN服务器建立虚拟通道 如 PPTP隧道 2 而不需要与 ISP 建立 PPP连接;细心整理归纳 精选学习资料 - - - - - - - - - - - - - - - 第 10 页,共 21 页 - - - - - - - - - 名师归纳总结 精品学习资料 - - - - - - - - - - - - - - -学习必备 欢迎下载教 案 内 页教学环节及 教学过程(教学内容和教学方法)时间安排3)PPTP具有两种不同的工作模式,即被动模式和主动模式;被动模式的 PPTP:ISP 为用户供应其拨号连接到 ISP 过程中全部的服务和帮忙,而客户端就不需要安装任何与PPTP相关的软件;此模式的好处是降低了对客户的要求,缺点是限制了客户对因特网其他部分的拜访;主动模式的 PPTP:由客户建立一个与企业网络服务器直接连接的 PPTP隧 道,ISP 只供应透亮的传输通道而并不参加隧道的建立;此模式的优点是客户拥 有对 PPTP的肯定掌握,缺点是对用户的要求较高,并需要在客户端安装支持PPTP的相应软件;如图从安全性上来说, 对于加密,PPTP使用 Microsoft 点对点加密算法 MPPE,采纳 RC4加密程序;对于认证, PPTP使用 Microsoft 挑战握手认证协议 MS-CHAP、口令认证协议 PAP、挑战握手认证协议 CHAP或扩展认证协议 EAP来实现用户认证功能; 但是,由于 MS-CHAP是担心全的,因此大都认为 PPTP担心全;后来, Microsoft 安全问题;在 PPTP实现中采纳了 MS-CHAP V2,解决了其存在的细心整理归纳 精选学习资料 - - - - - - - - - - - - - - - 第 11 页,共 21 页 - - - - - - - - - 名师归纳总结 精品学习资料 - - - - - - - - - - - - - - -学习必备 欢迎下载教 案 内 页教学环节及 教学过程(教学内容和教学方法)时间安排四、 L2TP(约 20 分钟)详 细 介 绍 第二 层 隧 道 协议( L2TP )其次层隧道协议 L2TP 是 IETF 起草,微软、 Cisco 、3COM等公司参加的协议,在 RFC 2661 中对其进行了具体定义;该协议由PPTP与二层转发协议 L2F的融合而形成,结合了两个协议的优点,是目前IETF 的标准;其中, L2F是由Cisco 公司提出的, 可以在多种传输网络 如 ATM、帧中继、 IP 网 上建立多协议的安全虚拟专用网的通信方式,主要用于Cisco 的路由器和拨号拜访服务器,能够将链路层的协议 HDLC、PPP等 封装起来传送;和 PPTP一样, L2TP通过对数据加密和对目的地址加密隐匿,在 Internet 网络上建立隧道,从而创建一种安全的连接来传送信息;L2TP消息可以分为两 种类型,一种是掌握信息,另一种是数据信息;掌握信息用于隧道和呼叫的建立、爱护与清除; 数据信息用于封装隧道传输的PPP数据帧;掌握信息利用 L2TP内部牢靠的掌握通道来保证传输,而数据信息一旦数据包丢失就不再重传;如 图所示; L2TP在 IP 网络上的隧道掌握信息以及数据使用相类似,通过 UDP的 1701 端口承载于 TCP/IP 之上进行传输;细心整理归纳 精选学习资料 - - - - - - - - - - - - - - - 第 12 页,共 21 页 - - - - - - - - - 名师归纳总结 精品学习资料 - - - - - - - - - - - - - - -学习必备 欢迎下载教 案 内 页教学环节及 教学过程(教学内容和教学方法)时间安排细心整理归纳 精选学习资料 - - - - - - - - - - - - - - - 第 13 页,共 21 页 - - - - - - - - - 名师归纳总结 精品学习资料 - - - - - - - - - - - - - - -学习必备 欢迎下载教 案 内 页教学环节及 教学过程(教学内容和教学方法)时间安排与 PPTP 类似, L2TP 协议的实现也由两个设备来执行:一个是 L2TP 拜访集中器LAC ,另一个是 L2TP 网络服务器 LNS ;L2TP 将隧道连接定义为一个 LNS和 LAC 对,其中 LAC 用于发起呼叫、接收呼叫和建立隧道,而 LNS 是远程系统通过 L2TP 建立的隧道传送 PPP会话的规律终点;如下列图;1. L2TP 的建立过程1远程用户通过PSTN 或 ISDN 拨号至本地接入服务器LACLAC是连接的终点;2LAC 接收呼叫,认证用户是否合法,通过Internet、帧中继或 ATM 网络建立表达 L2TP 的一个通向内部网 Home LANLNS 的 VPN 隧道;LAC ;建立过程3在隧道上传输 PPP数据到达内部网络;在以上过程中,内部网供应地址安排、认证、计费等治理;LAC 客户端 运行 L2TP 的主机 可以直接接入内部网而不需要另外的在这种情形下,包含LAC 客户端软件的主机必需已经连接到公网上,然后建立一个“ 虚拟”PPP连接,使主机 L2TP LAC 客户端与 LNS 之间建立一个隧道;其地址安排、认证、授权和计费都由目标网络的治理域供应;LAC 和 LNS 功能一般由为用户通过 PSTN/ISDN 拨入网络供应服务的网络接入服务器 NAS 供应;2. L2TP 协议的特性1扩展性;为了在互通的基础上具有最大化扩展性,L2TP 使用了统一的格式来对消息类型和主体进行编码,用AVP 值对来表示;2牢靠性; L2TP 在掌握信息的传输过程中, 应用消息丢失重传和定时检测通道连通性等机制来保证传输的牢靠性;而其数据消息的传输由于不采纳重传机制,所以它无法保证传输的牢靠性, 但这一点可以通过上层协议如 TCP 等得到保证;另外,L2TP 在全部的掌握信息中都采纳序号来保证牢靠传输,而数据信息可用 序号来进行数据包的重排或用来检测丢失的数据包;3身份认证及保密性; L2TP 继承了 PPP 的全部安全特性,不仅可以挑选多种 身份认证机制 CHAP、PAP 等,仍可以对隧道端点进行认证;L2TP 定义了控 制包的加密传输,对每个隧道生成一个独一无二的随秘密钥,以抵挡欺诈性的攻击,但是它对传输中的数据不加密;依据特定的网络安全要求可以便利地在L2TP 之上采纳隧道加密、 端对端数据加密或应用层数据加密等方案来提高数据 的安全性;细心整理归纳 精选学习资料 - - - - - - - - - - - - - - - 第 14 页,共 21 页 - - - - - - - - - 名师归纳总结 精品学习资料 - - - - - - - - - - - - - - -学习必备 欢迎下载分析 L2TP 协议的特性教 案 内 页细心整理归纳 精选学习资料 - - - - - - - - - - - - - - - 第 15 页,共 21 页 - - - - - - - - - 名师归纳总结 精品学习资料 - - - - - - - - - - - - - - -学习必备 欢迎下载教学环节及 教学过程(教学内容和教学方法)时间安排五、 L2TP与 PPTP的区分 (约 30 分钟)通 过 比较虽然 L2TP是由 PPTP进展起来的,都使用PPP协议对数据进行封装,然后添加附加报头用于数据在互联网络上的传输,但两者间仍有肯定的区分:L2TP与1 从网络运行环境上来看, PPTP要求互联网络为 IP 网络,而 L2TP可以在 IP、帧中继、 ATM等网络上使用;PPTP的 区2 从建立隧道的模式来看,PPTP只能在两端点间建立单一隧道,而L2TP支持别,让同学更在两端点间使用多隧道;因此,用户可以针对不同的服务质量使用L2TP创建不加明白VPN同的隧道;3从认证方式来看, L2TP 可以供应隧道认证,而PPTP就不支持隧道认证;但技术是当 L2TP 或 PPTP与 IPSec共同使用时,可以由IPSec供应隧道验证,而不需要在其次层协议上验证隧道;4从数据包传输效率来看,L2TP 合并了掌握通道和数据通道,使用UDP 协议来传输全部信息,因此,相对采纳TCP 协议传输数据的 PPTP来说,效率更高,更简洁通过防火墙; 另一方面, PPTP支持通过 NAT 防火墙的操作, 而 L2TP 就不能支持1.MPLS 多协议标记交换 MPLS吸取了 ATM 的 VPI/VCI 交换思想,无缝集成了 IP路由技术的敏捷性和两层交换的简捷性,在面对无连接的 IP 网络中增加了MPLS 这种面对连接的属性;通过采纳 MPLS 建立“ 虚连接” 的方法,为 IP 网增加了一些治理和运营的手段;随着网络技术的快速进展,MPLS 应用也逐步转向 MPLS 流量工程和 MPLS VPN 等应用;MPLS 的主要原理是为每个IP 数据包供应一个标记,并由此标记打算数据包的路径以及优先级, 使与 MPLS 兼容的路由器在将数据包转送到其路径之前,只需读取数据包标记,而无需读取每个数据包的IP 地址和标头,然后将所传送的数据包置于帧中继或 ATM 的虚拟电路上, 从而将数据包快速传送至终点路由器,削减了数据包的推迟,增加了网络传输的速度;同时由帧中继及 ATM 交换器所供应的服务质量 QoS对所传送的数据包加以分级,因而大幅提升网络服务品质及供应更多样化的服务;因此,MPLS 技术适合用于远程互联的大中型企业专用网络等对QoS、服务级别 CoS、网络带宽、牢靠性等要求高的VPN 业务;细心整理归纳 精选学习资料 - - - - - - - - - - - - - - - 第 16 页,共 21 页 - - - - - - - - - 名师归纳总结 精品学习资料 - - - - - - - - - - - - - - -学习必备 欢迎下载教 案 内 页教学环节及 教学过程(教学内容和教学方法)时间安排2.VPN集成详 细 分析 VPN在网络中的集成有很多方式,最常见的有路由器集成VPN、防火墙集成 VPN和专用 VPN设备在三种方式;VPN 的集成1)路由器集成 VPN 现在一些路由器中已经配备了VPN模块,即路由器集成VPN,如下图所示;边缘路由器上集成VPN,拜访过程如下:远程用户建立VPN到路由器;路由器将恳求转发给 授权用户拜访外部网;NAS;NAS认证远程用户是否合法,如合法,就路 由 器 集 成VPN细心整理归纳 精选学习资料 - - - - - - - - - - - - - - -路由器集成 VPN 的设备仅适合小型网络而不适合大型网络,由于路由器本身的性能有限,如再加上加密 /解密 VPN 信息带来的负担,就会使路由器超负荷;因此,一般对企业用户来说,路由器集成VPN 并不是一个很好的选取择; 第 17 页,共 21 页 - - - - - - - - - 名师归纳总结 精品学习资料 - - - - - - - - - - - - - - -学习必备 欢迎下载教 案 内 页教学环节及 教学过程(教学内容和教学方法)时间安排2)防火墙集成 VPN 防 火 墙 集 成VPN防火墙集成 VPN是应用广泛的模式,很多厂家的防火墙产品都具有VPN功能;由于防火墙本身具备较完善的记录功能,因此,在此基础上增加VPN记录不会给防火墙带来太大的额外负担;另外,防火墙也是网络的入口点,在此增加 VPN功能将使用户能够拜访网络而不用开放防火墙规章,以免增加安全漏洞;防火墙集成 VPN如下列图;防火墙集成 VPN拜访过程与路由器集成VPN类似:远程用户建立VPN到防火墙防火墙将认证恳求转发给 授权用户拜访内部网;NAS;NAS认证远程用户是否合法,如合法,就防火墙防火墙集成 VPN 的模式可以获得设备中由防火墙部件供应的健壮的拜访控 制功能,给网络治理员供应了更多的掌握权,使用户能够拜访的网络资源部分被限定;但与路由器集成VPN 一样,处理 VPN 加密/解密信息需要占用大量系统资源,假如防火墙本身负荷已经很重,就不适合挑选此种模式;而且,防火 墙集成 VPN 方案仍有一个缺陷,就是在优化配置虚拟网和防火墙部件方面,选 择余地特别小,由于最适合业务需要的防火墙产品可能与虚拟专用网不匹配;同时,集成方案仍会使 敏捷;VPN 和防火墙部件限制在一套系统上,使得配置方案不细心整理归纳 精选学习资料 - - - - - - - - - - - - - - - 第 18 页,共 21 页 - - - - - - - - - 名师归纳总结 精品学习资料 - - - - - - - - - - - - - - -学习必备 欢迎下载教 案 内 页教学环节 及 教学过程(教学内容和教学方法)时间安排3)专用 VPN设备专业 VPN 设 备专用 VPN 设备最主要的优点就是减轻了路由器和防火墙治理VPN 的负担,即使有再多的连接甚至过载,也不会影响网络的其他部分;专用VPN 设备的另一个优点是增强了VPN 拜访的安全性,即使VPN 被攻破,也可以使攻击者引起的破坏降低到最低, 相比路由器和防火墙集成VPN 而言,增强了网络安全性;专用 VPN 设备如下列图;专用 VPN 设备拜访过程如下:远程用户建立 VPN 到专用设备;专用设备处理用户认证恳求,或将恳求转发给 NAS 假如认证胜利,就授权用户拜访内部网,并且治理员仍能够限定用户访 问网络的哪部分资源;专用 VPN 设备与防火墙的组合主要有三种结构:1VPN 设备在非军事区内, 位于防火墙和路由器之间此种模式最大的问题就是 网络地址转换 NAT;例如,用户发出的报文使用了 IPSec的 AH 进行认证,在 报文到达目标网络虚拟网设备时,由于仍没通过防火墙进行地址转换,细心整理归纳 精选学习资料 - - - - - - - - - - - - - - - 第 19 页,共 21 页 - - - - - - - - - 名师归纳总结 精品学习资料 - - - - - - - - - - - - - - -学习必备 欢迎下载教 案 内 页教学环节 及 教学过程(教学内容和教学方法)时间安排因此不能通过目标网络 VPN 的完整性校验;这是由于在发送端的 NAT 设 备在对报文处理时修改了报文的源地址,从而导致接收端的 VPN 连接不能通过 消息摘要认证;2VPN 设备在防火墙之后,位于屏蔽子网或网络内部 此种模式的问题是地址治理,有些虚拟专用网规范要求给虚拟专用网设备配置 一个合法的 IP 地址,假如 IP 地址被 NAT 地址改定后,可能会引起 IPSec的 IKE 阶段失败;3VPN 设备在防火墙之前, 更靠近 Internet 一些,此种模式要以防止潜在的网络 地址转换和地址治理上显现的问题,但由于不能得到防火墙的爱护,假如 VPN 端点的系统受到损害,可能使攻击者拜访到应当受 VPN 爱护的信息;总之,专用 VPN 设备为稳固和可升级方案的实现供应了很好的解决方法,而且 不影响网络的其他部分,具备很多优点;但是专用 VPN 也有一些缺点,由于它 是额外的网络设备,所以也需要对它进行治理和监控;另外,VPN 设备及软件 的治理和漏洞也要加强防范, 同时仍要防止由于在防火墙中要通过 VPN 而创建 的连接可能引起的安全问题; 最终,专用 VPN 设备的使用也会使网络成本提高;因此,挑选哪一种 VPN 端接方式需要对全部的方案及网络潜在流量进行完全的 评估,才能找到最适合的解决方案;【教学小结】(约 3 分钟)1. 构建虚拟专用网 V