信息安全技术-第7章-虚拟专用网复习进程.ppt

《信息安全技术-第7章-虚拟专用网复习进程.ppt》由会员分享，可在线阅读，更多相关《信息安全技术-第7章-虚拟专用网复习进程.ppt（50页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全技术信息安全技术-第第7 7章章-虚虚拟专用网拟专用网u 本章概要本章概要本章针对虚拟专用网技术展开讲述，内容包括：本章针对虚拟专用网技术展开讲述，内容包括：p 虚拟专用网的作用；虚拟专用网的作用；p 虚拟专用网的分类方法；虚拟专用网的分类方法；p 虚拟专用网的工作原理；虚拟专用网的工作原理；p 虚拟专用网常用协议。虚拟专用网常用协议。u 课程目标课程目标通过本章的学习，读者应能够：通过本章的学习，读者应能够：p 了解虚拟专用网的应用范围和分类；了解虚拟专用网的应用范围和分类；p 了解虚拟专用网的工作原理。了解虚拟专用网的工作原理。27.1 虚拟专用网的基本概念虚拟专用网的基本概念37

2、.1.1 什么是虚拟专用网？什么是虚拟专用网？随随着着企企业业网网应应用用的的不不断断扩扩大大，企企业业网网的的范范围围也也不不断断扩扩大大，从从本本地地到到跨跨地地区区、跨跨城城市市，甚甚至至是是跨跨国国家家的的网网络络。但但采采用用传传统统的的广广域域网网建建立立企企业业专专网网，往往往往需需要要租租用用昂昂贵贵的的跨跨地地区区数数字字专专线线。同同时时公公众众信信息息网网(Internet)已已遍遍布布各各地地，物物理理上上各各地地的的公公众众信信息息网网都都是是连连通通的的，但但公公众众信信息息网网是是对对社社会会开开放放的的，如如果果企企业业的的信信息息要要通通过过公公众众信信息息网

3、网进进行行传传输输，在在安安全全性性上上存存在在着着很很多多问问题题。那那么么，该该如如何何利利用用现现有有的的公公众众信信息息网网建建立立安安全全的的企企业业专专有有网网络络呢呢？为为了了解解决决上上述述问问题题，人人们们提提出出了了虚虚拟拟专专用网用网(VPN，Virtual Private Network)的概念。的概念。4 虚拟专用网虚拟专用网VPN（Virtual Private Network）技术）技术是指在公共网络中建立专用网络，数据通过安全的是指在公共网络中建立专用网络，数据通过安全的“加加密管道密管道”在公共网络中传播。在公共网络中传播。InternetVPN通道通道隧道交

4、换机隧道交换机移动用户移动用户VPN的基本概念的基本概念图7.1 虚拟专用网5 VPN技技术术是是指指在在公公共共网网络络中中建建立立专专用用网网络络，数数据据通通过过安安全全的的“加加密密管管道道”在在公公共共网网络络中中传传播播。企企业业只只需需要要租租用用本本地地的的数数据据专专线线，连连接接上上本本地地的的公公众众信信息息网网，各各地地的的机机构构就就可可以以互互相相传传递递信信息息;同同时时，企企业业还还可可以以利利用用公公众众信信息息网网的的拨拨号号接接入入设设备备，让让自自己己的的用用户户拨拨号号到到公公众众信信息息网网上上。就就可可以以连连接接进进入入企企业业网网中中。一一使使

5、用用VPN有有节节省省成成本本、提提供供远远程程访访问问、扩扩展展性性强强、便于管理和实现全面控制等好处，是企业网络发展的趋势。便于管理和实现全面控制等好处，是企业网络发展的趋势。67.1.2VPN的功能的功能.虚虚拟拟专专网网的的重重点点在在于于建建立立安安全全的的数数据据通通道道，构构造造这这条条安安全全通通道道的的协协议议必必须须具具备备以以下下条条件件：保保证证数数据据的的真真实实性性，通通信信主主机机必须是经过授权的，要有抵抗地址冒认必须是经过授权的，要有抵抗地址冒认(IPSpoofing)的能力；的能力；l保保证证数数据据的的完完整整性性，接接收收到到的的数数据据必必须须与与发发送

6、送时时的的一一致致，要要有有抵抗不法分子篡改数据的能力；抵抗不法分子篡改数据的能力；l保保证证通通道道的的机机密密性性，提提供供强强有有力力的的加加密密手手段段，必必须须使使偷偷听听者者不不能破解拦截到的通道数据；能破解拦截到的通道数据；l提提供供动动态态密密钥钥交交换换功功能能，提提供供密密钥钥中中心心管管理理服服务务器器，必必须须具具备备防止数据重演防止数据重演(Replay)的功能，保证通道不能被重演；的功能，保证通道不能被重演；l提提供供安安全全防防护护措措施施和和访访问问控控制制，要要有有抵抵抗抗黑黑客客通通过过VPN通通道道攻攻击击企企业业网网络络的的能能力力，并并且且可可以以对对

7、VPN通通道道进进行行访访问问控控制制(Access Control)。7一一 虚虚拟拟专专用用网网概概述述VPNVPN实际上是一种服务，其基本概念如下所述：实际上是一种服务，其基本概念如下所述：采用加密和认证技术，利用公共通信网采用加密和认证技术，利用公共通信网络设施的一部分来发送专用信息，为相络设施的一部分来发送专用信息，为相互通信的节点建立一个相对封闭的、逻互通信的节点建立一个相对封闭的、逻辑的专用网络辑的专用网络8一一 虚虚拟拟专专用用网网概概述述VPNVPN实际上是一种服务，其基本概念如下所述：实际上是一种服务，其基本概念如下所述：通常用于大型组织跨地域的各个机构之通常用于大型组织跨

8、地域的各个机构之间的联网信息交换，或是流动工作人员间的联网信息交换，或是流动工作人员与总部之间的通信；与总部之间的通信；9一一 虚虚拟拟专专用用网网概概述述VPNVPN实际上是一种服务，其基本概念如下所述：实际上是一种服务，其基本概念如下所述：只允许特定利益集团内建立对等连接，只允许特定利益集团内建立对等连接，保证在网络中传输的数据的保密性和安全保证在网络中传输的数据的保密性和安全性。性。10一一 虚虚拟拟专专用用网网概概述述 其中虚拟其中虚拟(virtual)(virtual)的概念是相对传统专用网的概念是相对传统专用网络的构建方式而言的，对于广域网连接，传统络的构建方式而言的，对于广域网连

9、接，传统的组网方式是通过远程拨号和专线连接来实现的组网方式是通过远程拨号和专线连接来实现的，而的，而VPNVPN是利用服务提供商是利用服务提供商(ISP(ISP或或NSP)NSP)所提所提供的公共网络来实现远程的广域连接，即网络供的公共网络来实现远程的广域连接，即网络不是物理上独立存在的网络，而是利用共享的不是物理上独立存在的网络，而是利用共享的通信基础设施仿真专用网络的设备。通信基础设施仿真专用网络的设备。11一一 虚虚拟拟专专用用网网概概述述 专用专用(private)(private)的含义是用户可以为自己制定的含义是用户可以为自己制定一个最符合自己需求的网络，使网内业务独立一个最符合自

10、己需求的网络，使网内业务独立于网外的业务流，且具有独立的寻址空间和路于网外的业务流，且具有独立的寻址空间和路由空间，而且使得用户获得等同于专用网络的由空间，而且使得用户获得等同于专用网络的通信体验。通信体验。12二二 V VP PN N的的工工作作流流程程 VPN VPN需要在跨越公用网络的两需要在跨越公用网络的两个网络之间建立虚拟的专用隧道。个网络之间建立虚拟的专用隧道。在隧道被初始化后，传送过程中在隧道被初始化后，传送过程中VPNVPN数据的保密性和完整性通过加数据的保密性和完整性通过加密技术加以保护。密技术加以保护。13二二 V VP PN N的的工工作作流流程程图图9.4 基于基于IP

11、的的VPN网络的工作流程网络的工作流程14 目前VPN主要采用4项技术，分别是隧道技术(tunneling)、加解密技术(encryption&decryption)、密钥管理技术(key management)、身份鉴别技术(authentication)。三三 V VP PN N的的主主要要技技术术15 网络隧道技术指的是利用一种网络网络隧道技术指的是利用一种网络协议来传输另一种网络协议，它主要利协议来传输另一种网络协议，它主要利用网络隧道协议来实现这种功能。网络用网络隧道协议来实现这种功能。网络隧道技术涉及了隧道技术涉及了3 3种网络协议，即网络种网络协议，即网络隧道协议、隧道协议下面的

12、承载协议和隧道协议、隧道协议下面的承载协议和隧道协议所承载的被承载协议。隧道协议所承载的被承载协议。1.隧道技术隧道技术三三 V VP PN N的的主主要要技技术术16 有两种类型的隧道协议：有两种类型的隧道协议：一种是二层隧道协议，用于传输二层网络一种是二层隧道协议，用于传输二层网络协议，它主要应用于构建拨号协议，它主要应用于构建拨号VPN(access VPN(access VPN)VPN)；另一种是三层隧道协议，用于传输三层网另一种是三层隧道协议，用于传输三层网络协议，它主要应用于构建内部网络协议，它主要应用于构建内部网VPN(Intranet VPN)VPN(Intranet VPN)

13、和外联网和外联网VPN(Extranet VPN(Extranet VPN)VPN)。1.隧道技术隧道技术三三 V VP PN N的的主主要要技技术术17 一一个个隧隧道道的的基基本本组组成成如如图图9.5所所示示，包包括括一一个个隧隧道道启启动器、一个公共网络动器、一个公共网络(Internet)和一个隧道终结器。和一个隧道终结器。1.隧道技术隧道技术图9.5 隧道的基本组成三三 V VP PN N的的主主要要技技术术18 数数据据通通信信中中的的加加解解密密技技术术是是一一项项较较成成熟熟的的技技术术，VPN可可直直接接利利用用现现有有技技术术，如如DES、3-DES、MD5、数数字字签名

14、技术等。签名技术等。2.加解密技术加解密技术三三 V VP PN N的的主主要要技技术术19 密钥管理的主要任务是如何在公用数据网密钥管理的主要任务是如何在公用数据网中安全地传递密钥，而不被窃取。加解密算法中安全地传递密钥，而不被窃取。加解密算法都离不开密钥，因此密钥管理技术也是很重要都离不开密钥，因此密钥管理技术也是很重要的。的。现行常用的密钥管理技术又可分为现行常用的密钥管理技术又可分为SKIP(simple key management for IP)和和IPsec中的中的ISAKMPOakley两种。两种。3.密钥管理技术密钥管理技术三三 V VP PN N的的主主要要技技术术20三三

15、 V VP PN N的的主主要要技技术术 为加强对使用者的鉴别管理，通常的解决方案是采用为加强对使用者的鉴别管理，通常的解决方案是采用远程身份验证拨入用户服务远程身份验证拨入用户服务RADIUS(RFC2138RADIUS(RFC2138、2139)2139)，它，它是一个维护用户配置文件的数据库，能支持用户鉴别、是一个维护用户配置文件的数据库，能支持用户鉴别、鉴权和计费鉴权和计费(AAA-authentication(AAA-authentication，authorizationauthorization，accounting)accounting)，代理，代理RADIUSRADIUS功能

16、允许在功能允许在ISPISP的接入点设备的接入点设备上接入客户的上接入客户的RADIUSRADIUS服务器，以获得必要的用户配置文服务器，以获得必要的用户配置文件信息。件信息。4.身份鉴别技术身份鉴别技术21三三 V VP PN N的的主主要要技技术术 RADIUS的一个缺点是其登录的数的一个缺点是其登录的数据无层次结构。另一种方案是采用轻量据无层次结构。另一种方案是采用轻量级目录接入协议级目录接入协议LDAP(RFCl777)，其特，其特点是登录的用户信息有层次结构，适合点是登录的用户信息有层次结构，适合于组织机构的用户数据的登录。于组织机构的用户数据的登录。4.身份鉴别技术身份鉴别技术22

17、四四 V VP PN N服服务务分分类类VPN业务业务 拨号拨号 VPN(access VPN)专线专线VPN 内部网内部网VPN(intranet VPN)外联网外联网VPN(extranet VPN)23四四 V VP PN N服服务务分分类类1拨号拨号VPN 拨号拨号VPNVPN是指企业员工或企业的小分支机是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网。拨构通过公网远程拨号的方式构筑的虚拟网。拨号号VPNVPN根据隧道发起的方式又可分为由用户发根据隧道发起的方式又可分为由用户发起、由起、由ISPISP拨号服务器发起或由企业网远程路拨号服务器发起或由企业网远程路由器发起由

18、器发起3 3种。通常用的最多的是通过种。通常用的最多的是通过ISPISP拨号拨号服务器发起的服务器发起的VPNVPN，这种方式是通过，这种方式是通过PPTPPPTPL2TPL2TP协议来实现第二层的隧道封装。协议来实现第二层的隧道封装。24四四 V VP PN N服服务务分分类类1拨号拨号VPN 拨号拨号VPNVPN通过一个拥有与专用网络相同策通过一个拥有与专用网络相同策略的共享基础设施，提供对企业内部网或外部略的共享基础设施，提供对企业内部网或外部网的远程访问。拨号网的远程访问。拨号VPNVPN能使用户随时、随地能使用户随时、随地以其所需的方式访问企业资源。拨号以其所需的方式访问企业资源。拨

19、号VPNVPN包括包括模拟、拨号、模拟、拨号、ISDNISDN、数字用户线路、数字用户线路(xDSL)(xDSL)、移动移动IPIP和电缆技术，能够安全地连接移动用户、和电缆技术，能够安全地连接移动用户、远程工作者或分支机构。远程工作者或分支机构。25四四 V VP PN N服服务务分分类类2内部网内部网VPN 内部网内部网VPNVPN即进行企业内部各分支机构的互联。利即进行企业内部各分支机构的互联。利用用VPNVPN技术可以在技术可以在InternetInternet上组建世界范围内的内部网上组建世界范围内的内部网VPNVPN，通过一个使用基于共享基础设施的虚拟专网，连，通过一个使用基于共享

20、基础设施的虚拟专网，连接企业总部、远程办事处和分支机构，即利用接企业总部、远程办事处和分支机构，即利用InternetInternet的线路保证网络的互联性，而利用隧道、加的线路保证网络的互联性，而利用隧道、加密等密等VPNVPN特性可以保证信息在整个内部网特性可以保证信息在整个内部网VPNVPN上安全传上安全传输，从而使企业拥有与专用网络的相同政策，包括安输，从而使企业拥有与专用网络的相同政策，包括安全、服务质量全、服务质量(QoS)(QoS)、可管理性和可靠性。、可管理性和可靠性。26四四 V VP PN N服服务务分分类类2内部网内部网VPN内部网内部网VPNVPN通常使用通常使用IPS

21、ecIPSec协议来实现。协议来实现。27四四 V VP PN N服服务务分分类类3.外联网外联网VPN外联网外联网VPNVPN是指企业同客户、合作伙伴是指企业同客户、合作伙伴的互联。利用的互联。利用VPNVPN技术可以组建安全的外联技术可以组建安全的外联网网(extranet)(extranet)，既可以向客户、合作伙伴提，既可以向客户、合作伙伴提供有效的信息服务，又可以保证自身内部网供有效的信息服务，又可以保证自身内部网络的安全。络的安全。28四四 V VP PN N服服务务分分类类3.外联网外联网VPN外联网外联网VPNVPN通过一个使用专用连接的通过一个使用专用连接的共享基础设施，将客

22、户、供应商、合作伙共享基础设施，将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策，包括安全、服有与专用网络的相同政策，包括安全、服务质量务质量(QoS)(QoS)、可管理性和可靠性。、可管理性和可靠性。297.1.3 VPN的分类的分类 根根据据不不同同的的需需要要，可可以以构构造造不不同同类类型型的的VPN。不不同同商商业业环环境境对对VPN的的要要求求和和VPN所所起起的的作作用用不不同同。这这里里分分三三种种情情况况说明说明VPN的用途。的用途。a.内内部部VPN：指指在在公公司司总总部部和和其其分分支支机机构构之之间间

23、建建立立的的VPN；b.远远程程访访问问VPN：指指在在公公司司总总部部和和远远地地雇雇员员之之间间建建立立的的VPN；C.外外联联网网VPN：指指公公司司与与商商业业伙伙伴伴、客客户户之之间间建建立立的的VPN。30 内内 部部 网网VPN用用VPN连接公司总部和其分支机构连接公司总部和其分支机构.远程访问远程访问VPN用用VPN连接公司总部和远程用户连接公司总部和远程用户.外外 联联 网网VPN用用VPN连接公司和其业务伙伴连接公司和其业务伙伴.VPN的分类及用途的分类及用途子公司子公司LAN合作伙伴合作伙伴LAN远程用户远程用户Internet图7.2 VPN三种主要分类31p 内部网内

24、部网VPN 内内部部网网是是通通过过公公共共网网络络将将某某一一个个组组织织的的各各个个分分支支机机构构的的LAN联联结结而而成成的的网网络络。这这种种类类型型的的LAN到到LAN的的联联结结所所带带来来的的风风险险最最小小，因因为为公公司司通通常常认认为为他他们们的的分分支支机机构构是是可可信信的的，这这种种方方式式联联结结而而成成的的网网络络被被称称为为Intranet，可可看看作作是是公公司司网网络络的扩展。的扩展。当当一一个个数数据据传传输输通通道道的的两两个个端端点点被被认认为为是是可可信信的的时时候候，可可以以选选择择内内部部网网VPN解解决决方方案案。安安全全性性主主要要在在于于

25、加加强强两两个个VPN服务器之间加密和认证的手段。服务器之间加密和认证的手段。内部网内部网VPN参见下页图参见下页图7.3：32InternetVPN服务器服务器VPN服务器服务器路由器路由器路由器路由器加密信道加密信道加密加密认证认证VPN总总部部LAN子子公公司司LAN一个安全的VPN服务，应该为子公司的不同用户指定不同的访问权限。p 内部网内部网VPN图7.3 内部网VPN拓扑图33p 远程访问远程访问VPN 典典型型的的远远程程访访问问VPN是是用用户户通通过过本本地地的的信信息息提提供供商商(ISP)登登陆陆到到Internet上上，并并在在现现在在的的办办公公室室和和公公司司内内部

26、部网网之之间间建建立立一条加密通道。一条加密通道。有有较较高高安安全全度度的的远远程程访访问问VPN应应能能截截获获特特定定主主机机的的信信息息流，有加密、身份认证和过滤等功能。流，有加密、身份认证和过滤等功能。远程访问远程访问VPN参见下页图参见下页图7.4：34InternetVPN服服务务器器加密信道加密信道总总部部LANVPN的功能：1、访问控制管理。2、用户身份认证。3、数据加密。4、智能监视和审计记录。5、密钥和数字签名管理。PC机机移动用户移动用户公公共共服服务务器器p 远程访问远程访问VPN 图7.4 远程访问VPN拓扑图35p 外联网外联网VPN 外外联联网网VPN为为公公司

27、司商商业业伙伙伴伴、客客户户和和在在远远地地的的雇雇员员提提供供安安全全性性。外外联联网网VPN的的主主要要目目标标是是保保证证数数据据在在传传输输过过程程中中不不被修改，保护网络资源不受外部威胁。被修改，保护网络资源不受外部威胁。外外联联网网VPN应应是是一一个个由由加加密密、认认证证和和访访问问控控制制功功能能组组成成的的集集成成系系统统。通通常常将将公公司司的的VPN代代理理服服务务器器放放在在一一个个不不能能穿穿透透的的防防火火墙墙之之后后，防防火火墙墙阻阻止止来来历历不不明明的的信信息息传传输输。所所有有经经过过过过滤滤后后的的数数据据通通过过一一个个唯唯一一的的入入口口传传到到VP

28、N服服务务器器，VPN在根据安全策略进一步过滤。在根据安全策略进一步过滤。外联网外联网VPN参见下页图参见下页图7.5：36InternetVPN服务器服务器VPN服务器服务器加密信道加密信道加密加密认证认证VPN公公司司内内联联网网合合作作公公司司内内联联网网1、VPN服务应有详细的访问控制。2、与防火墙/协议兼容。FTP服服务务器器p 外联网外联网VPN 图7.5 外联网VPN拓扑图377.2 VPN常用的协议常用的协议OSI七层模型安全技术安全协议应用层表示层应用代理会话层传输层会话层代理SOCK V5网络层数据链路层物理层包过滤IPSecPPTP/L2TP VPN常用的协议有常用的协议

29、有SOCK v5、IPSec、PPTP以及以及L2TP等。这些协议对应的等。这些协议对应的OSI层次结构如下：层次结构如下：387.2.1 SOCK v5 SOCK v5是是一一个个需需要要认认证证的的防防火火墙墙协协议议，当当SOCK同同SSL协议配合使用，可作为建立高度安全的协议配合使用，可作为建立高度安全的VPN的基础。的基础。1.1.优点优点 a.SOCK v5在在OSI模模型型的的会会话话层层控控制制数数据据流流，定定义义了了非非常详细的访问控制。常详细的访问控制。b.SOCK v5在在客客户户机机和和主主机机之之间间建建立立了了一一条条虚虚电电路路，可可根据对用户的认证进行监视和访

30、问。根据对用户的认证进行监视和访问。c.SOCK v5能提供非常复杂的方法保证信息安全传输。能提供非常复杂的方法保证信息安全传输。d.用用SOCK v5的代理服务器可以隐藏网络的的代理服务器可以隐藏网络的IP地址。地址。39 e.SOCK v5同防火墙一起使用，防止防火墙的漏洞。同防火墙一起使用，防止防火墙的漏洞。f.SOCK v5能为认证、加密和密钥管理提供能为认证、加密和密钥管理提供“插件插件”模块。模块。g.SOCK v5可根据规则过滤数据包。可根据规则过滤数据包。2.缺点缺点 因因SOCKv5通通过过代代理理服服务务器器来来增增加加一一层层安安全全性性，因因此此性性能比低层协议差，需要

31、比低层协议制订更为安全的管理策略。能比低层协议差，需要比低层协议制订更为安全的管理策略。总总体体来来说说，SOCKv5协协议议的的优优势势在在于于更更细细致致的的访访问问控控制制，因因此此适合于安全性要求很高的适合于安全性要求很高的VPN。407.2.2 IPSec IPSec是是一一个个应应用用范范围围广广泛泛的的开开放放的的第第三三层层VPN协协议议标标准准。IPSec可可有有效效保保护护IP数数据据报报的的安安全全，所所采采取取的的具具体体保保护护形形式式包包括括：数数据据源源验验证证、完完整整性性校校验验、数数据据内内容容的的加加密密和和防防重重演演保保护等。护等。1.1.优点优点 a

32、.定义了一套用于认证、保护私有性和完整性的标准协议。定义了一套用于认证、保护私有性和完整性的标准协议。b.支持一系列加密算法。支持一系列加密算法。c.检查数据包的完整性，确保数据没有被修改。检查数据包的完整性，确保数据没有被修改。d.在多个防火墙和服务器之间提供安全性。在多个防火墙和服务器之间提供安全性。41 e.可确保运行在可确保运行在TCP/IP协议上的协议上的VPN之间的互操作性。之间的互操作性。2.缺点缺点 a.不太适合动态不太适合动态IP地址分配地址分配(DHCP)b.除除TCP/lP协议外，不支持其他协议。协议外，不支持其他协议。c.除包过滤外，没有指定其他访问控制方法。除包过滤外

33、，没有指定其他访问控制方法。IPSec主要用于：主要用于：认证：用于对主机和端点进行身份鉴别；认证：用于对主机和端点进行身份鉴别；完整性检查：保证数据在经过网络传输时没有被修改；完整性检查：保证数据在经过网络传输时没有被修改；加密：加密加密：加密IP地址和数据以保证私有性。地址和数据以保证私有性。427.2.3 PPTP/L2TP 点点对对点点隧隧道道协协议议PPTP是是微微软软公公司司提提出出的的，是是数数据据链链路路层层的的协协议议，被被用用于于微微软软的的路路由由和和远远程程访访问问服服务务。PPTP用用IP包包来来封封装装PPP协协议议。用用简简单单的的包包过过滤滤和和微微软软域域网网

34、络络控控制制来来实实现现访访问控制。问控制。L2TP(Layer2TunnelingProtocol)协协 议议 是是 PPTP协协 议议 和和Cisco公公司司的的L2F(Layer2Forwarding)组组合合而而成成，可可用用于于基基于于Internet的的远远程程拨拨号号方方式式访访问问。有有能能力力为为使使用用PPP协协议议的的客客户户建立拨号方式的建立拨号方式的VPN连接。连接。PPTP和和L2TP一一起起配配合合使使用用时时，可可提提供供较较强强的的访访问问控控制制能力，其优缺点如下：能力，其优缺点如下：43 1.1.优点优点 a.不但支持微软操作系统，还不但支持微软操作系统，

35、还支持其他网络协议支持其他网络协议。b.通过减少丢弃包来改善网络性能，可通过减少丢弃包来改善网络性能，可减少重传减少重传。2.缺点缺点 a.将不安全的将不安全的IP包封装在安全的包封装在安全的IP包内。包内。b.不对两个节点间的信息传输进行监视和控制。不对两个节点间的信息传输进行监视和控制。c.并发连接最多并发连接最多255个用户。个用户。d.用户需要在连接前手工建立加密信道。用户需要在连接前手工建立加密信道。e.认证和加密受到限制，没有加密和认证支持。认证和加密受到限制，没有加密和认证支持。447.3 基于基于IPSec协议的协议的VPN体系结构体系结构 IPSec协协议议主主要要应应用用于

36、于网网络络层层。基基于于TCP/IP的的所所有有应应用用都都要要通通过过IP层层，将将数数据据封封装装成成一一个个IP包包后后再再进进行行传传送送。所所以以要要实实现现对对上上层层网网络络应应用用软软件件的的全全透透明明控控制制，即即同同时时对对上上层层多多种种网网络络应应用用提提供供安安全全网网络络服服务务，只只需需在在网网络络层层采采用用VPN技技术术提提供供网网络络安安全全服服务务。为为解解决决Internet所所面面临临的的不不安安全全因因素素的的威威胁胁，实实现现在在不不信信任任通通道道上上的的数数据据安安全全传传输输，在在VPN的的设设计计和和实现中采用了加密认证技术。实现中采用了

37、加密认证技术。基于基于IPSec协议的协议的VPN体系结构参见下页图体系结构参见下页图7.6：45不安全网不安全网网关或主机网关或主机网关或主机网关或主机IP数据包数据包传输层数据传输层数据应用程序应用程序IP数据包数据包传输层数据传输层数据应用程序应用程序SA加密算法加密算法加密密钥加密密钥认证算法认证算法认证密钥认证密钥SA加密算法加密算法加密密钥加密密钥认证算法认证算法认证密钥认证密钥安全联系安全联系基于基于IPSec协议的协议的VPN体系结构体系结构图7.6基于IPSec协议的VPN体系结构467.4VPN产品产品 目目 前前，有有 很很 多多 厂厂 家家 都都 有有 VPN产产 品品

38、。如如：Cisco、Netscreen、CheckPoint、天天融融信信、东东软软等等。下下面面以以思思科科VPN3000系列集中器为例进行说明。系列集中器为例进行说明。思思科科VPN3000系系列列集集中中器器是是一一系系列列专专门门开开发发的的远远程程接接入入虚虚拟拟专专网网(VPN)平平台台和和客客户户机机软软件件，将将高高可可用用性性、高高性性能能和和高高可可扩扩展展性性和和当当今今最最先先进进的的加加密密和和认认证证技技术术结结合合在在一一起起。利利用用CiscoVPN3000集集中中器器系系列列，客客户户可可以以充充分分发发挥挥最最新新VPN技技术术的的优优势势，极极大大地地降降

39、低低了了通通信信费费用用。特特别别是是，该该产产品品是是业业界界唯唯一一能能够够提提供供现现场场可可更更换换和和客客户户可可升升级级部部件件的的可可扩扩展展平平台台。这这些些称称为为可可扩扩展展加加密密处处理理(SEP)模模块块的的部部件件使使用用户户可可以以轻轻松松地地增加容量和吞吐量。增加容量和吞吐量。47 Cisco客客户户可可以以在在众众多多的的VPN3000集集中中器器中中选选择择最最适适合合自自己己需需求求和和应应用用的的具具体体型型号号，这这些些型型号号支支持持各各种种企企业业客客户户，包包括括从从只只有有不不到到100个个远远程程访访问问用用户户的的小小公公司司到到有有多多达达

40、10000名名同同时时远远程程用用户户的的大大型型机机构构。思思科科VPN3000集集中中器器的的任任何何一一种种版版本本，都都可可以以在在不不增增加加更更多多费费用用的的情情况况下下提提供供CiscoVPN客客户户机机，并并给给予予不不受受限限制制的的安安装装许许可可证证。思思科科VPN3000集集中中器器提提供供非非冗冗余余和和冗冗余余两两种种配配置置，允允许许客客户户构构建建最最稳稳健健、最最可可靠靠和和经经济济高高效效的的网网络络。另另外外，还还提提供供高高级级路路由由功功能能，如如OSPF、RIP和网络地址转换和网络地址转换(NAT)。有关有关VPN产品的新特性。请参考相关产品的新特性。请参考相关VPN厂商的网站。厂商的网站。48第第7章结束！章结束！49结束结束