最新安全网管技术PPT课件.ppt

《最新安全网管技术PPT课件.ppt》由会员分享，可在线阅读，更多相关《最新安全网管技术PPT课件.ppt（55页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、安全网管技术第7 章VPN 技术及应用l 本章主要内容 VPN 介绍 AccessVPN LAN-LANVPN MPLSVPN L2VPN2VPN 的类型l 每种VPN都具有特定的要求和优先权，实现的目的、解决的问题也不同l 用于移动工作者的远程访问 Client-LANVPN，也叫AccessVPN 替代早期的拨号远程访问网络l 用于局域网间连接的PN LAN-LAN 型 IntranetVPN 和ExtranetVPN9VPN 的特性考虑l 安全性 隧道、加密、密钥管理、数据包认证、用户认证、访问控制l 可靠性 硬件、软件、基础网络的可靠性l 可管理性 记帐、审核、日志的管理 是否支持集中

2、的安全控制策略l 可扩展性 成本的可扩展性，如使用令牌卡成本高 性能，是否考虑采用硬件加速加解密速度10VPN 的特性考虑l 可用性 系统对应用尽量透明 对终端用户来说使用方便l 互操作性 尽量采用标准协议，与其他供应商的设备能互通l 服务质量QoS 通过Internet 连接的VPN 服务质量很大程度取决于Internet 的状况l 多协议支持 IPX?11VPN 涉及的技术l 隧道技术 Tunnel12IPTunnell NSRC、NDST 是隧道端点设备的IP 地址l 公网上路由时仅仅考虑NSRC、NDSTl 原始数据包的DST、SRC 对公网透明DST SRC DATANDST NSR

3、C DST SRC DATA13隧道技术l 第二层隧道 把网络数据包封装在PPP 协议中，PPP 协议的数据包放到隧道中传输 L2TP、PPTP（集成在windows 中，所以最常用）l 第三层隧道 把网络数据包指直接在隧道中传输 IPsecl 利用隧道技术，理论上任何协议的数据都可以透过IP 网络传输14加密/解密技术l 对称加密技术 速度快，常用的DES、3DES、IDEA 等 缺点是密钥传递不方便 经常被用来对数据进行加/解密处理，提高保密性l 公钥加密技术 速度慢，常用的RSA、Diffie-Hellman 用于签名和会话的密钥交换l 哈希函数 速度快 产生的消息摘要用于信息的完整性检

4、查15认证系统l VPN设备间的认证 通过密码、密钥、证书等认证 如果使用证书，可以考虑使用自己的CA 或第三方的CAl 对于AccessVPN，对个人进行认证 简单密码、一次性密码S/KEY、基于硬件的令牌（令牌卡、智能卡、PC 卡、USB 卡）生理ID(指纹、声音、视网膜扫描)16安全协议l IPSec 3层协议，直接传输网络协议数据包 基于TCP/IP 的标准协议，集成到IPv6 中，仅仅传输IP 协议数据包 提供了强大的安全、加密、认证和密钥管理功能 适合大规模VPN 使用17安全协议l PPTP Point-to-PointTunnelProtocol,2 层协议，需要把网络协议包封

5、装到PPP 包，PPP 数据依靠PPTP 协议传输 PPTP 通信时，客户机和服务器间有2个通道，一个通道是tcp1723端口的控制连接，另一个通道是传输GREPPP 数据包的IP 隧道 PPTP 没有加密、认证等安全措施，安全的加强通过PPP 协议的MPPE(MicrosoftPoint-to-PointEncryption)实现 windows 中集成了PPTPServer 和Client，适合中小企业支持少量移动工作者 如果有防火墙的存在或使用了地址转换，PPTP 可能无法工作18安全协议l L2TPRFC2661 定义l 在Cisco 公司的L2F 和PPTP 的基础上开发l 使用并不

6、普遍l 统计数字 80%用PPTP，13%用Ipsec19VPN 解决方案l 一个VPN 解决方案不仅仅是一个经过加密的隧道，它包含 访问控制、认证、加密、隧道传输、路由选择、过滤、高可用性、服务质量以及管理l VPN 系统大体分为4类 专用的VPN 硬件 支持VPN 的硬件或软件防火墙 VPN 软件 VPN 服务提供商l 前面提到的VPN 是独立于网络服务提供商的，但是服务器提供商也会提供某种“VPN”接入20AccessVPNl 这种类型的VPN 与传统的远程访问网络相对应。l 如果企业的内部人员移动或有远程办公需要，可以考虑使用AccessVPN。l AccessVPN 通过一个拥有与专

7、用网络相同策略的共享基础设施，提供对企业内部网或外部网的远程访问。AccessVPN 能使用户随时、随地以其所需的方式访问企业资源。AccessVPN 包括模拟、拨号、ISDN、数字用户线路(xDSL)、移动IP 和电缆技术，能够安全地连接移动用户、远程工作者或分支机构。21AccessVPN22AccessVPNl AccessVPN 工作时，远程客户通过拨号线路连接到ISP 的NAS 服务器上，经过身份认证后，通过公网跟公司内部的VPN 网关之间建立一个隧道，利用这个隧道对数据进行加密传输。l AccessVPN 最适用于公司内部经常有流动人员远程办公的情况。出差员工利用当地ISP 提供的

8、VPN 服务，就可以和公司的VPN 网关建立私有的隧道连接。RADIUS 服务器可对员工进行验证和授权，保证连接的安全，同时负担的电话费用大大降低。l 一般使用PPTP 或L2TP 技术23AccessVPNl AccessVPN 对用户的吸引力在于：减少用于相关的调制解调器和终端服务设备的资金及费用，简化网络；实现本地拨号接入的功能来取代远距离接入，显著降低远距离通信的费用；极大的可扩展性，简便地对加入网络的新用户进行调度；远端验证拨入用户服务（RADIUS）基于标准，基于策略功能的安全服务；宽带网环境下提供高速的远程接入。24AccessVPN 的实现方式l 客户驱动方式 客户端首先建立与

9、本地ISP 的PPP 连接，这时客户端可访问Internet，也可访问企业网设置的VPN 网关。下一步就是建立到VPN 网关的PPTP 连接，连接建立后，远程用户就好像在企业网内部一样。隧道起始于远程用户的计算机，终结于企业网内的VPN 网关。远程用户经由Internet 访问企业的网络和应用，而不再需要直接拨号至企业的网络。利用这种体系结构，用户并不需要ISP 提供与VPN 相关的附加服务。ISP 也感知不到用户在使用VPN 服务。这种方式一般使用PPTP 协议。25AccessVPN 的实现方式l 网络接入服务器（NAS）驱动的连接 远端用户首先拨号到ISP 的拨号服务器NAS。NAS 在

10、对用户进行身份验证时得知用户是一个VPN 用户，然后NAS 建立一条安全的、加密的隧道连接到企业网络的VPN 网关。这条隧道起始于NAS，终结于企业网内的VPN 网关。利用由NAS 驱动的体系结构，服务供应商对用户的身份进行验证；企业仍保留有控制他们自己的安全策略、对用户进行身份验证、授与用户访问权限并在网络上跟踪用户活动的权力。使用这种体系结构需要服务供应商支持，而且存在一个问题远端用户接入服务供应商的营业点之前的数据是未经加密的。这种方式一般使用L2TP 协议。26AccessVPN 的实现方式l 网络接入服务器（NAS）驱动的连接 L2TP 协议通过“虚拟拨号”业务将初始拨号服务器的地点

11、和拨号协议所连接的终点分离开来。当“虚拟拨号”客户开始接入时，远程用户和它们的ISP 的NAS 之间就建立了一个PPP 链路。ISP 接着对端系统或用户进行部分鉴别以判断此用户是否需要“虚拟拨号”业务，一旦确定需要，那么此用户名就会和VPN 网络中心服务器联系起来。并在NAS 和VPN 中心服务器之间就建立了一条L2TP 隧道。目前中国电信推出的VPDN 服务就是采用这种方式。需要NAS、认证系统、计费系统、企业网VPN 接入设备的支持就可以工作了。27AccessVPN28AccessVPN 在无线网下的应用l 由于无线网提供的加密/解密手段不多，很容易被窃听l 无线网用户通过在无线网上使用

12、PPTPVPN来增强安全性l 无线网用户通过普通的网络连接到VPNServer，然后在无线网节点和VPNserver间建立VPNl VPN可以保证从无线网节点到VPNServer之间的通信都是安全的29案例l 需求：中国科学技术大学为外部移动用户提供VPN 接入服务，接入VPN 后的用户拥有校内用户完全相同的访问权限，以便访问各种校内外电子资源l 设计：建设一个AccessVPN 系统 校内设置一台VPN 服务器，运行Windows2000Server 作为PPTP 接入服务器 使用PPTP 接入服务器使用radius 协议对用户的接入请求进行身份验证30科大的VPN 解决方案PPTPServ

13、er RadiusServerRemoteUser其中还要考虑策略路由Internet 出口Internet31LAN-LAN 型VPNl 企业内部各分支机构的互连或者企业的合作者互连，使用LAN-LANVPN 是很好的方式。l 越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等，各个分公司之间传统的网络连接方式一般是租用专线。l 显然，在分公司增多、业务开展越来越广泛时，网络结构趋于复杂，费用昂贵。l 利用VPN 特性可以在Internet 上组建世界范围内的LAN-LANVPN。l 利用Internet 的线路保证网络的互联性，而利用隧道、加密等VPN 特性可以保证信

14、息在整个LAN-LANVPN 上安全传输。32LAN-LAN 型VPNl LAN-LANVPN 通过一个使用专用连接的共享基础设施，连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策，包括安全、服务质量(QoS)、可管理性和可靠性。33LAN-LAN 型VPN34LAN-LAN 型VPN 的优势l 减少WAN 带宽的费用，Internet 线路的租用费用远低于专线费用l 能使用更灵活的拓扑结构，包括全网络连接l 新的站点能更快、更容易地被连接l 通过设备供应商WAN 的连接冗余，可以延长网络的可用时间。35LAN-LAN 型VPNl 主要使用IPsec 技术l 在ISP 提供的不

15、安全IP 传输通道上，用户通过设置VPN 网关，将多个地方的LAN 连接起来，并保证相关的安全性。l 使用这种方式，跟ISP 相关的主要是价格和服务质量问题。l 价格上要解决如何保证这种方式能提供比租用专线更优的价格。l 服务质量要保证带宽、延迟、丢包率等参数，尤其是丢包率。3637383940IPsecVPN 优势l 用户只要在具有Internet 链路的基础上，增加IPsecVPN 的网关设备即可利用IPsecVPN 把局域网安全的互连l 带宽高 VPN 连接提供的带宽取决于加密/解密的的速度和2点间Internet 带宽 在安徽省电信公司宽带网络连接的2个100M 站点间，建立的VPN 带宽可达60Mbps 以上l 灵活性高 随时可以建立和取消VPN41IPsecVPN 缺点l 安全性 由于跟Internet 有“物理”连接，普遍认为保密的信息不宜在IPsecVPN 上传输l 稳定性 带宽、延迟、丢包跟外部的ISP 主干网运行状况密切相关，用户不可控424344454647484950515253通知l 11 月28日课暂停一次54 结束语谢谢大家聆听！55