2022年《网络测试与故障诊断》一体化教案VPN安全技术 .pdf

《2022年《网络测试与故障诊断》一体化教案VPN安全技术 .pdf》由会员分享，可在线阅读，更多相关《2022年《网络测试与故障诊断》一体化教案VPN安全技术 .pdf（21页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、学习必备欢迎下载广东新里程旅游技工学校教 案 首 页课程名称网络测试与故障诊断项目课题VPN安全技术课型讲座授课班级12 计算机授课时间2015.3.21 课时2小时 30分授课教师学习目标知识目标理解 VPN的安全性；熟悉路由器端连接VPN, 防火墙端连接 VPN, 专业设备连接 VPN ；掌握构建虚拟专用网VPN 技能目标通过学习，学生学会构建虚拟专用网VPN 。情感目标通过学习培养学生计算机网络的兴趣。教学重点构建虚拟专用网 VPN教学难点路由器端连接 VPN,防火墙端连接 VPN,专业设备连接 VPN教学场景多媒体教学系统教学方法教授法，课文引导、结合实例分析、习题练习，讲解教学教学回

2、顾名师归纳总结 精品学习资料 - - - - - - - - - - - - - - -精心整理归纳 精选学习资料 - - - - - - - - - - - - - - - 第 1 页，共 21 页 - - - - - - - - - 学习必备欢迎下载教 案 内 页教学环节及时间分配教学过程（教学内容和教学方法）教 学设计：让同学讨论回答，并抽取同学回答教师点评并归 纳 出 答案，最后简单分析。通过设疑，吸引学生的注意力，激【组织教学】 (约 3 分钟)：整顿纪律，考勤，填写教学日志，检查课本与练习本的准备情况【复习旧课】（约 5 分钟）1 复习提问：在一台交换机上划分两个Vlan（Vlan

3、2，Vlan3）2参考答案给两台交换机划分vlan ，步骤如下：【新课导入】（约 2 分钟）企业构建安全局域网后，如何才能实现在互联网中也能安全联网？“VPN安全技术”导入名师归纳总结 精品学习资料 - - - - - - - - - - - - - - -精心整理归纳 精选学习资料 - - - - - - - - - - - - - - - 第 2 页，共 21 页 - - - - - - - - - 学习必备欢迎下载发 学 习 兴趣。学生回答操作方法名师归纳总结 精品学习资料 - - - - - - - - - - - - - - -精心整理归纳 精选学习资料 - - - - - - -

4、- - - - - - - - 第 3 页，共 21 页 - - - - - - - - - 学习必备欢迎下载教 案 内 页教学环节及时间分配教学过程（教学内容和教学方法）课件演示，讲 解VPN技 术 的 概念【讲授新课】一、VPN技术（约 15 分钟）（一） VPN技术的介绍 ：在网络互联世界中，企业为了各站点之间能够安全地传输数据，往往选择从通信厂商处租用昂贵的专有链路来进行传送。为了降低成本，我们可以在现有的Internet结构基础和其他用户共享通信链路上进行数据传输，但同时如何保证数据传输的安全就成了最重要的问题。其中一种有效的解决方案就是构建虚拟专用网 VPN 。（二） VPN 概述

5、VPN是将不同物理位置的组织和个人通过已有的公共网络建立一条点到点的虚拟链路，模拟专用网进行安全数据通信的网络技术，其基本原理是通过一定的技术将互联网上每个VPN 用户的数据与其他数据加以区别，避免未经授权的访问，从而确保数据的安全。通过利用共享的公共网络设施实现VPN ，能够以极低的费用为远程用户提供性能和专用网络相媲美的保密通信服务。隧道技术隧道技术是目前构建VPN 的基本方式。隧道技术是指把一种类型的报文封装在另一种报文中在网络上进行传输，如图所示。两个网络通过VPN 接入设备的一个端口，即一个VPN 端点，建立的虚拟链路就叫隧道。发送给远程网络的数据要进行一定的封装处理，从发送方网络的

6、一个VPN端点进入 VPN ，经相关隧道穿越VPN( 物理上穿越不安全的互联网) ，到达接收方 . 名师归纳总结 精品学习资料 - - - - - - - - - - - - - - -精心整理归纳 精选学习资料 - - - - - - - - - - - - - - - 第 4 页，共 21 页 - - - - - - - - - 学习必备欢迎下载教 案 内 页教学环节及时间分配教学过程（教学内容和教学方法）详细分析VPN隧道模式 ， 来 突 出VPN技术的重要作用网络的另一个VPN端点，再经过解封装处理，便得到原始数据，并且把加密后的原始数据发给目的主机。封装的数据在传送中，不仅遵循指定的

7、路径，避免经过不信任的节点而到达未授权接收方，而且封装处理使得传送的中间节点不必也不会解析原始数据，这在一定程度上防止了数据泄密。对主机来说，不管是发送主机还是接收主机，都不知道数据曾经被封装过，也不知道数据是在 Internet网络上进行传输的，它只需要提供要传输的数据，而不需要特殊的软件或配置，所有传送过程都由VPN设备来处理。仅仅通过隧道技术还不能建立适合所有安全要求的VPN ， 因为一般的隧道技术只能够满足在单个运营商网络上进行数据安全传输的需求。用户数据要跨越多个运营商网络时，在两个独立网络节点的封装数据要先解封处理后再封装，可能在此过程中造成信息泄漏，因此，必须结合加密技术和密钥管

8、理等名师归纳总结 精品学习资料 - - - - - - - - - - - - - - -精心整理归纳 精选学习资料 - - - - - - - - - - - - - - - 第 5 页，共 21 页 - - - - - - - - - 学习必备欢迎下载教 案 内 页教学环节及时间分配教学过程（教学内容和教学方法）具体分析VPN 的优点技术保证数据传输的机密性。同时，身份认证及访问控制等技术可以支持远程接入或动态建立隧道的VPN，通过对访问者身份的确认及对其访问资源的控制来保证信息安全。 所以 VPN 通信具有与专用网同等的通信安全性。VPN 的简单通信过程如下：(1)客户机向 VPN 服务

9、器发出请求。(2)VPN 服务器响应请求，并要求客户进行身份认证。(3)客户机将机密的用户身份认证响应信息发给服务器。(4)VPN 服务器收到客户的认证响应信息，确认该帐户是否有效，是否具有远程访问权限。如果有访问权限，则接收此连接。(5)VPN 服务器利用在认证过程中产生的客户机和服务器的公有密钥对数据进行加密，然后通过 VPN 隧道技术进行封装、加密、传输到目的内部网络。总之， VPN 可以通过隧道技术、密码技术、身份认证及访问控制技术等在共享的互联网上实现低成本的安全数据传输。二、VPN 的优点 （约 10 分钟）VPN 的优点如下：1)费用低廉这是使用 VPN的最主要的好处。通过使用V

10、PN ，我们可以在公共网络上尽可能安全地传输数据，而不需要再租用专线来组网。并且，多数VPN都可以提供可靠的远程拨号服务，如此便减少了管理、维护和操作拨号网络的人力成本，节约了相关费用。2)安全可靠 VPN为数据安全传输提供了许多安全保证，可以保证传输数据的机密性、完整性和对发送/ 接收者的认证。名师归纳总结 精品学习资料 - - - - - - - - - - - - - - -精心整理归纳 精选学习资料 - - - - - - - - - - - - - - - 第 6 页，共 21 页 - - - - - - - - - 学习必备欢迎下载教 案 内 页教学环节及时间分配教学过程（教学内容

11、和教学方法）具体分析VPN 的缺点3) 部署简单 VPN 使用的是已有的基础设施， 因此可以利用现有的基础设施快速建立VPN ，从而降低工作量，节省时间，减少施工费用三、 VPN的缺点 （约 10 分钟）VPN 有如上所述的许多优点，但同时也有一些缺点：1)增加了处理开销为了保证数据传输安全，通常对传输的每一个报文都进行加密，如此便增加了 VPN处理压力。虽然可以采取硬件技术来解决，但同时也增加了构建VPN的成本。同时，由于VPN对发送的报文进行了封装，或者在原始报文上增加额外报文信息，这些都增加了处理开销，对网络性能构成一定的影响。2)实现问题由于现有的网络基础情况一般比较复杂，因此 VPN

12、在设计的时候必须考虑到实现的问题，包括VPN通过、网络地址转换最大传输单元大小等问题。3)故障诊断和控制问题由于 VPN上传输的数据都进行了封装处理，真实数据只能等解封后才能看见，因此一旦发生故障，很难进行诊断。同时，如果远程用户通过VPN接入的话，必须要考虑对其实施控制。因为此时的远程接入客户作为进入网络的入口，由于其自身主机的安全问题， 可能会带来安全隐患。 并且，VPN 毕竟是构建在公共基础设施上，而一旦这些基础设施出现问题则会导致Internet服务故障，从而使 VPN的通信出现问题。名师归纳总结 精品学习资料 - - - - - - - - - - - - - - -精心整理归纳 精

13、选学习资料 - - - - - - - - - - - - - - - 第 7 页，共 21 页 - - - - - - - - - 学习必备欢迎下载教 案 内 页教学环节及时间分配教学过程（教学内容和教学方法）详细分析VPN隧道协议四、VPN 隧道协议 （约 50 分钟）（一） 按照用户数据是在网络协议栈的第几层被封装，即隧道协议是工作在第二层数据链路层、第三层网络层，还是第四层应用层，可以将 VPN协议划分成第二层隧道协议、第三层隧道协议和第四层隧道协议。1） 第二层隧道协议：主要包括点到点隧道协议 (PPTP)、第二层转发协议 (L2F) ，第二层隧道协议(L2TP)、多协议标记交换 (

14、MPLS) 等，主要应用于构建接入VPN 。2） 第三层隧道协议：主要包括通用路由封装协议(GRE)和 IPSec，它主要应用于构建内联网VPN和外联网 VPN 。3） 第四层隧道协议：如 SSL VPN 。SSL VPN与 IPSec VPN都是实现 VPN的两大实现技术。其中，IPSec VPN 工作在网络层，因此与上层的应用程序无关。采用隧道运行模式的IPSec对原始的 IP 数据包进行封装， 从而隐藏了所有的应用协议信息因此可以实现各种应用类型的一对多的连接，如Web 、电子邮 件、文件传输、 VoIP 等连接。与SSL相比， IPSec 只在一个客户程序和远程VPN网关或主机之间建立

15、一条连接，所有应用程序的流量都通过该连接建立的隧道进行传输。而SSL VPN工作在应用层，对每一个附加的应用程序都不得不建立额外的连接和隧道。不过，SSL除了具备与 IPSec VPN相当的安全性外，还增加了访问控制机制。而且客户端只需要拥有支持 SSL的浏览器即可，配置方便，使用简单，非常适合远程用户访问企业内部网。因此，现在第四层隧道协议最著名的便是SSL 。名师归纳总结 精品学习资料 - - - - - - - - - - - - - - -精心整理归纳 精选学习资料 - - - - - - - - - - - - - - - 第 8 页，共 21 页 - - - - - - - - -

16、 学习必备欢迎下载教 案 内 页教学环节及时间分配教学过程（教学内容和教学方法）（二） PPTP 在了解点到点隧道协议 (PPTP)协议之前，必须先要了解PPP和 GRE 两个协议。1) 点到点协议 (PPP) PPP协议主要是为通过拨号或专线方式建立点对点连接的同等单元之间传输数据包而设计的链路层协议。 PPP协议将 IP、IPX 和 NETBEUI 包封装在 PPP帧内通过点对点的链路发送，主要应用于拨号连接用户和NAS 。2)GRE协议 GRE 协议由 Cisco 和 NetSmiths 等公司提交给 IETF 的数据封装协议，它规定了如何用一种网络协议去封装另一种网络协议的方法，由 R

17、FC1701 和 RFC1702详细定义。目前多数厂商的网络设备均支持GRE 隧道协议。 GRE 协议允许用户使用 IP 包封装 IP、IPX、AppleTalk 包，并支持全部的路由协议(如 RIP2、OSPF等) 。不过， GRE 协议只提供了数据包封装功能而没有加密功能，所以在实际环境中为了保证用户数据安全， GRE 协议经常与 IPSec 结合使用，由 IPSec 提供用户数据的加密。 PPTP是由微软、 Ascend、3COM 等公司支持的基于IP 的点对点隧道协议，它采用隧道技术，使用IP 数据包通过 Internet传送 PPP数据帧，在 RFC2367中有详细定义。该协议使用两

18、种不同类型的数据包来管理隧道和发送数据包。PPTP 通过 TCP端口 1723建立 TCP连接并发送和接收所有控制命令。 对于数据传输，PPTP 先使用 PPP封装，再将 PPP封装到一个 IP 类型为 47的 GRE 数据包中，最后 GRE 数据包再被封装到一个IP 数据包中通过隧道传输。如图所示。 PPTP协议的实现由 PPTP 接入集中器 (PAC)和 PPTP 网络服务器 (PNS)来分别执行，从而实现因特网上的VPN 。其中， ISP 的 NAS将执行 PPTP协议中指定的PAC 的功能，企业 VPN 中心服务器将执行PNS 的功能。名师归纳总结 精品学习资料 - - - - - -

19、 - - - - - - - - -精心整理归纳 精选学习资料 - - - - - - - - - - - - - - - 第 9 页，共 21 页 - - - - - - - - - 学习必备欢迎下载教 案 内 页教学环节及时间分配教学过程（教学内容和教学方法）如图所示，远程拨号用户 ( 如远程用户 1)首先采用拨号方式接入到ISPNAS(PAC)建立 PPP连接，然后接入 Internet通过企业 VPN服务器 (PNS)访问企业的网络和应用，而不再直接拨号至企业的网络。这样，由GRE 将 PPP报文封装成的 IP报文就可以在 PAC-PNS 之间经由因特网传递，即在 PAC和 PNS之间

20、为用户的 PPP会话建立了一条 PPTP隧道( 如 PPTP隧道 1)。由于所有的通信都将在IP 包内通过隧道， 因此 PAC只起着通过 PPP连接进因特网的入口点的作用。对于直接连接到Internet上的客户 ( 如远程用户 2)，可以直接与企业 VPN服务器建立虚拟通道 ( 如 PPTP隧道 2)而不需要与 ISP 建立 PPP连接。名师归纳总结 精品学习资料 - - - - - - - - - - - - - - -精心整理归纳 精选学习资料 - - - - - - - - - - - - - - - 第 10 页，共 21 页 - - - - - - - - - 学习必备欢迎下载教 案

21、 内 页教学环节及时间分配教学过程（教学内容和教学方法）3）PPTP具有两种不同的工作模式，即被动模式和主动模式。被动模式的 PPTP ：ISP 为用户提供其拨号连接到ISP 过程中所有的服务和帮助，而客户端则不需要安装任何与PPTP 相关的软件。此模式的好处是降低了对客户的要求，缺点是限制了客户对因特网其他部分的访问。主动模式的 PPTP ：由客户建立一个与企业网络服务器直接连接的PPTP 隧道，ISP 只提供透明的传输通道而并不参与隧道的建立。此模式的优点是客户拥有对 PPTP的绝对控制，缺点是对用户的要求较高，并需要在客户端安装支持PPTP 的相应软件。如图从安全性上来说， 对于加密，P

22、PTP使用 Microsoft点对点加密算法 (MPPE) ，采用 RC4加密程序。对于认证， PPTP 使用 Microsoft挑战握手认证协议(MS-CHAP) 、口令认证协议 (PAP)、挑战握手认证协议 (CHAP) 或扩展认证协议(EAP)来实现用户认证功能。 但是， 由于 MS-CHAP 是不安全的，因此大都认为 PPTP不安全。后来， Microsoft在 PPTP 实现中采用了 MS-CHAP V2，解决了其存在的安全问题。名师归纳总结 精品学习资料 - - - - - - - - - - - - - - -精心整理归纳 精选学习资料 - - - - - - - - - - -

23、 - - - - 第 11 页，共 21 页 - - - - - - - - - 学习必备欢迎下载教 案 内 页教学环节及时间分配教学过程（教学内容和教学方法）详 细 介 绍 第二 层 隧 道 协议（ L2TP ）四、 L2TP （约 20 分钟）第二层隧道协议 (L2TP)是 IETF 起草，微软、 Cisco 、3COM 等公司参与的协议，在 RFC 2661 中对其进行了详细定义。该协议由PPTP与二层转发协议 (L2F)的融合而形成，结合了两个协议的优点，是目前IETF 的标准。其中， L2F是由Cisco 公司提出的， 可以在多种传输网络 ( 如 ATM 、帧中继、IP 网)上建立多

24、协议的安全虚拟专用网的通信方式，主要用于Cisco 的路由器和拨号访问服务器，能够将链路层的协议 (HDLC 、PPP等) 封装起来传送。和 PPTP一样， L2TP通过对数据加密和对目的地址加密隐藏，在Internet网络上建立隧道，从而创建一种安全的连接来传送信息。L2TP消息可以分为两种类型，一种是控制信息，另一种是数据信息。控制信息用于隧道和呼叫的建立、 维护与清除。数据信息用于封装隧道传输的PPP数据帧。控制信息利用 L2TP内部可靠的控制通道来保证传输，而数据信息一旦数据包丢失则不再重传。如图所示。 L2TP在 IP 网络上的隧道控制信息以及数据使用相类似，通过UDP 的1701端

25、口承载于 TCP/IP 之上进行传输。名师归纳总结 精品学习资料 - - - - - - - - - - - - - - -精心整理归纳 精选学习资料 - - - - - - - - - - - - - - - 第 12 页，共 21 页 - - - - - - - - - 学习必备欢迎下载教 案 内 页教学环节及时间分配教学过程（教学内容和教学方法）名师归纳总结 精品学习资料 - - - - - - - - - - - - - - -精心整理归纳 精选学习资料 - - - - - - - - - - - - - - - 第 13 页，共 21 页 - - - - - - - - - 学习必备

26、欢迎下载教 案 内 页教学环节及时间分配教学过程（教学内容和教学方法）叙述 L2TP 的建立过程与 PPTP类似， L2TP 协议的实现也由两个设备来执行：一个是L2TP 访问集中器(LAC) ，另一个是 L2TP 网络服务器 (LNS)。L2TP 将隧道连接定义为一个LNS和 LAC 对，其中 LAC 用于发起呼叫、接收呼叫和建立隧道，而LNS 是远程系统通过 L2TP 建立的隧道传送 PPP会话的逻辑终点。如图所示。1. L2TP 的建立过程(1)远程用户通过PSTN 或 ISDN 拨号至本地接入服务器LAC(LAC是连接的终点)；(2)LAC 接收呼叫，认证用户是否合法，通过Intern

27、et、帧中继或 ATM 网络建立一个通向内部网 (Home LAN)LNS 的 VPN 隧道；(3)在隧道上传输 PPP数据到达内部网络。在以上过程中，内部网提供地址分配、认证、计费等管理。LAC 客户端 (运行 L2TP 的主机 )可以直接接入内部网而不需要另外的LAC。在这种情况下，包含LAC 客户端软件的主机必须已经连接到公网上，然后建立一个“虚拟” PPP连接，使主机 L2TP LAC 客户端与 LNS 之间建立一个隧道。其地址分配、认证、授权和计费都由目标网络的管理域提供。LAC 和 LNS 功能一般由为用户通过 PSTN/ISDN 拨入网络提供服务的网络接入服务器NAS 提供。2.

28、 L2TP协议的特性(1)扩展性。为了在互通的基础上具有最大化扩展性，L2TP 使用了统一的格式来对消息类型和主体进行编码，用AVP 值对来表示。(2)可靠性。L2TP 在控制信息的传输过程中， 应用消息丢失重传和定时检测通道连通性等机制来保证传输的可靠性。而其数据消息的传输由于不采用重传机制，所以它无法保证传输的可靠性， 但这一点可以通过上层协议如TCP 等得到保证。另外，L2TP 在所有的控制信息中都采用序号来保证可靠传输，而数据信息可用序号来进行数据包的重排或用来检测丢失的数据包。(3)身份认证及保密性。 L2TP 继承了 PPP 的所有安全特性，不仅可以选择多种身份认证机制 (CHAP

29、、PAP 等)，还可以对隧道端点进行认证。L2TP 定义了控制包的加密传输，对每个隧道生成一个独一无二的随机密钥，以抵御欺骗性的攻击，但是它对传输中的数据不加密。根据特定的网络安全要求可以方便地在L2TP 之上采用隧道加密、 端对端数据加密或应用层数据加密等方案来提高数据的安全性。名师归纳总结 精品学习资料 - - - - - - - - - - - - - - -精心整理归纳 精选学习资料 - - - - - - - - - - - - - - - 第 14 页，共 21 页 - - - - - - - - - 学习必备欢迎下载分析 L2TP 协议的特性教 案 内 页名师归纳总结 精品学习资

30、料 - - - - - - - - - - - - - - -精心整理归纳 精选学习资料 - - - - - - - - - - - - - - - 第 15 页，共 21 页 - - - - - - - - - 学习必备欢迎下载教学环节及时间分配教学过程（教学内容和教学方法）通过比较L2TP与PPTP的 区别，让同学更加了解VPN技术五、L2TP与 PPTP 的区别 （约 30 分钟）虽然 L2TP是由 PPTP发展起来的，都使用PPP协议对数据进行封装，然后添加附加报头用于数据在互联网络上的传输，但两者间仍有一定的区别：(1) 从网络运行环境上来看， PPTP要求互联网络为 IP 网络，而

31、 L2TP可以在 IP、帧中继、 ATM 等网络上使用。(2) 从建立隧道的模式来看，PPTP 只能在两端点间建立单一隧道，而L2TP支持在两端点间使用多隧道。因此，用户可以针对不同的服务质量使用L2TP创建不同的隧道。(3)从认证方式来看， L2TP 可以提供隧道认证，而PPTP则不支持隧道认证。但是当 L2TP 或 PPTP与 IPSec共同使用时，可以由IPSec提供隧道验证，而不需要在第二层协议上验证隧道。(4)从数据包传输效率来看，L2TP 合并了控制通道和数据通道，使用UDP 协议来传输所有信息，因此，相对采用TCP 协议传输数据的 PPTP来说，效率更高，更容易通过防火墙。 另一

32、方面， PPTP支持通过 NAT 防火墙的操作， 而 L2TP 则不能支持1.MPLS 多协议标记交换 (MPLS)吸收了 ATM 的 VPI/VCI 交换思想，无缝集成了IP路由技术的灵活性和两层交换的简捷性，在面向无连接的IP 网络中增加了MPLS 这种面向连接的属性。通过采用MPLS 建立“虚连接”的方法，为IP 网增加了一些管理和运营的手段。随着网络技术的迅速发展，MPLS 应用也逐步转向 MPLS 流量工程和 MPLS VPN 等应用。MPLS 的主要原理是为每个IP 数据包提供一个标记，并由此标记决定数据包的路径以及优先级， 使与 MPLS 兼容的路由器在将数据包转送到其路径之前，

33、只需读取数据包标记，而无需读取每个数据包的IP 地址和标头，然后将所传送的数据包置于帧中继或ATM 的虚拟电路上，从而将数据包快速传送至终点路由器，减少了数据包的延迟，增加了网络传输的速度。同时由帧中继及ATM 交换器所提供的服务质量 (QoS)对所传送的数据包加以分级，因而大幅提升网络服务品质及提供更多样化的服务。因此，MPLS 技术适合用于远程互联的大中型企业专用网络等对QoS、服务级别 (CoS)、网络带宽、可靠性等要求高的VPN 业务。名师归纳总结 精品学习资料 - - - - - - - - - - - - - - -精心整理归纳 精选学习资料 - - - - - - - - - -

34、 - - - - - 第 16 页，共 21 页 - - - - - - - - - 学习必备欢迎下载教 案 内 页教学环节及时间分配教学过程（教学内容和教学方法）详细分析VPN 的集成路 由 器 集 成VPN2.VPN集成 VPN在网络中的集成有很多方式，最常见的有路由器集成VPN 、防火墙集成 VPN和专用 VPN设备在三种方式。1）路由器集成 VPN 现在一些路由器中已经配备了VPN模块，即路由器集成VPN ，如下图所示。边缘路由器上集成VPN ，访问过程如下：远程用户建立VPN到路由器。路由器将请求转发给NAS 。NAS 认证远程用户是否合法，若合法，则授权用户访问外部网。路由器集成

35、VPN 的设备仅适合小型网络而不适合大型网络，因为路由器本身的性能有限，若再加上加密 /解密 VPN 信息带来的负担，则会使路由器超负荷。因此，一般对企业用户来说，路由器集成VPN 并不是一个很好的选取择。名师归纳总结 精品学习资料 - - - - - - - - - - - - - - -精心整理归纳 精选学习资料 - - - - - - - - - - - - - - - 第 17 页，共 21 页 - - - - - - - - - 学习必备欢迎下载教 案 内 页教学环节及时间分配教学过程（教学内容和教学方法）防 火 墙 集 成VPN2）防火墙集成 VPN 防火墙集成 VPN是应用广泛的

36、模式，许多厂家的防火墙产品都具有VPN功能。由于防火墙本身具备较完善的记录功能，因此，在此基础上增加VPN记录不会给防火墙带来太大的额外负担。另外，防火墙也是网络的入口点，在此增加VPN 功能将使用户能够访问网络而不用开放防火墙规则，以免增加安全漏洞。防火墙集成 VPN如图所示。防火墙集成 VPN访问过程与路由器集成VPN类似：远程用户建立VPN到防火墙防火墙将认证请求转发给NAS 。NAS认证远程用户是否合法，若合法，则防火墙授权用户访问内部网。防火墙集成 VPN 的模式可以获得设备中由防火墙部件提供的健壮的访问控制功能，给网络管理员提供了更多的控制权，使用户能够访问的网络资源部分被限定。但

37、与路由器集成VPN 一样，处理 VPN 加密/解密信息需要占用大量系统资源，如果防火墙本身负荷已经很重，则不适合选择此种模式。而且，防火墙集成 VPN 方案还有一个缺陷，就是在优化配置虚拟网和防火墙部件方面，选择余地非常小，因为最适合业务需要的防火墙产品可能与虚拟专用网不匹配。同时，集成方案还会使VPN 和防火墙部件限制在一套系统上，使得配置方案不灵活。名师归纳总结 精品学习资料 - - - - - - - - - - - - - - -精心整理归纳 精选学习资料 - - - - - - - - - - - - - - - 第 18 页，共 21 页 - - - - - - - - - 学习必

38、备欢迎下载教 案 内 页教学环节及时间分配教学过程（教学内容和教学方法）专业 VPN 设备3）专用 VPN设备专用 VPN 设备最主要的优点就是减轻了路由器和防火墙管理VPN 的负担，即使有再多的连接甚至过载，也不会影响网络的其他部分。专用VPN 设备的另一个优点是增强了VPN 访问的安全性，即使VPN 被攻破，也可以使攻击者引起的破坏降低到最低， 相比路由器和防火墙集成VPN 而言，增强了网络安全性。专用 VPN 设备如图所示。专用 VPN 设备访问过程如下：远程用户建立 VPN 到专用设备。专用设备处理用户认证请求，或将请求转发给NAS 如果认证成功，则授权用户访问内部网，并且管理员还能够

39、限定用户访问网络的哪部分资源。专用 VPN 设备与防火墙的组合主要有三种结构：1)VPN 设备在非军事区内， 位于防火墙和路由器之间此种模式最大的问题就是网络地址转换 (NAT)。例如，用户发出的报文使用了IPSec的 AH 进行认证，在报文到达目标网络虚拟网设备时，由于还没通过防火墙进行地址转换，名师归纳总结 精品学习资料 - - - - - - - - - - - - - - -精心整理归纳 精选学习资料 - - - - - - - - - - - - - - - 第 19 页，共 21 页 - - - - - - - - - 学习必备欢迎下载教 案 内 页教学环节及时间分配教学过程（教学

40、内容和教学方法）与 学 生 一 起因此不能通过目标网络VPN 的完整性校验。这是因为在发送端的NAT 设备在对报文处理时修改了报文的源地址，从而导致接收端的VPN 连接不能通过消息摘要认证。2)VPN 设备在防火墙之后，位于屏蔽子网或网络内部此种模式的问题是地址管理，有些虚拟专用网规范要求给虚拟专用网设备配置一个合法的 IP 地址，如果 IP 地址被 NAT 地址改定后，可能会引起 IPSec的 IKE阶段失败。3)VPN 设备在防火墙之前， 更靠近 Internet一些，此种模式要以避免潜在的网络地址转换和地址管理上出现的问题，但由于不能得到防火墙的保护，如果VPN端点的系统受到损害，可能使

41、攻击者访问到应该受VPN 保护的信息。总之，专用 VPN 设备为稳固和可升级方案的实现提供了很好的解决方法，而且不影响网络的其他部分，具备许多优点。但是专用VPN 也有一些缺点，因为它是额外的网络设备，所以也需要对它进行管理和监控。另外，VPN 设备及软件的管理和漏洞也要加强防范， 同时还要防止由于在防火墙中要通过VPN 而创建的连接可能引起的安全问题。 最后，专用 VPN 设备的使用也会使网络成本提高。因此，选择哪一种 VPN 端接方式需要对所有的方案及网络潜在流量进行彻底的评估，才能找到最适合的解决方案。【教学小结】（约 3 分钟）1. 构建虚拟专用网 VPN ；2. 路由器端连接 VPN

42、；3. 防火墙端连接 VPN；4. 专业设备连接 VPN；【作业布置】（约 2 分钟）1构建一个路由器端连接VPN。2预习下次课的内容。名师归纳总结 精品学习资料 - - - - - - - - - - - - - - -精心整理归纳 精选学习资料 - - - - - - - - - - - - - - - 第 20 页，共 21 页 - - - - - - - - - 学习必备欢迎下载回顾知识点。审核：年月日名师归纳总结 精品学习资料 - - - - - - - - - - - - - - -精心整理归纳 精选学习资料 - - - - - - - - - - - - - - - 第 21 页，共 21 页 - - - - - - - - -