【网络通信安全管理员认证-中级】VPN.ppt
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_05.gif)
《【网络通信安全管理员认证-中级】VPN.ppt》由会员分享,可在线阅读,更多相关《【网络通信安全管理员认证-中级】VPN.ppt(64页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、虚拟专用网虚拟专用网概说网络历史的回顾近十年,Internet发展平静,唯一的最大变化应该是:用户数量的激增但这一次,不是孤军奋战,带来了一个伙伴-虚拟专用网1866-先兆信息时代的开始:2700英里,海底电缆,纽芬兰和爱尔兰电报:电池电话无线通信:电缆通信36年之后,马可尼 加拿大-英格兰计算机的出现1945,20000个电子管、数千个继电器、数十万的电容、电阻、电感ENIAC炮弹弹道UNIVAC-通用自动计算机,30万美元,人口普查1951-雷明顿.兰特,1K-2M蓝色巨人阿姆斯壮、阿尔德林登上月球计算机网络苏联-比尔.盖茨高级研究规划局(ARPA)-空间军备竞赛核袭击-生存研究斯坦福研究
2、所、加利福尼亚大学洛杉矶、巴巴拉分校、尤他大学计算机网络1972-ARPA改名:归入美国国防部,改名为DARPA 24台Ray Tomlinson 1976TCP/IP入伍WORLD WIDE WEB1981-PC出现用户激增1992-WORLD WIDE WEB 域名 100万现在巨大的飞跃下一个出场的将是谁?空档滑行的汽车问题的提出企业越做越大*信息共享,却带来了安全隐患信息共享,却带来了安全隐患*移动信息传输,移动信息传输,DDN,帧中继,但费用昂贵帧中继,但费用昂贵Internet大规模运用:大规模运用:v基于分组交换,费用低廉;v无所不在的接入;v支持基于IP协议的各种应用;v组网灵
3、活,维护简便;设想:能否用设想:能否用Internet公用网路来解决?公用网路来解决?基于拨号 租用专线专用网 虚拟专用网(虚拟专用网(Virtual Private Network)VPN VPN 被定义为通过一公共网络被定义为通过一公共网络(Internet)(Internet)建立的建立的临时的、安全的连接临时的、安全的连接,是一条穿过混乱的公用网络的是一条穿过混乱的公用网络的安全、稳定的隧道。安全、稳定的隧道。注解:注解:它是对企业内部网的扩展。它是对企业内部网的扩展。提供了一种在公共网络实现网络安全保密通信的方法提供了一种在公共网络实现网络安全保密通信的方法VPN通过在共享网络当中开
4、挖一条保密隧道的技术来通过在共享网络当中开挖一条保密隧道的技术来仿真一条点对点连接,用于发送和接收加密的数据。仿真一条点对点连接,用于发送和接收加密的数据。虚拟虚拟-不需要占用实际的线路,而使用不需要占用实际的线路,而使用internet公众公众数据网络的长途数据线路数据网络的长途数据线路专用专用用户可以为自己制定一个最符合自己需求的网用户可以为自己制定一个最符合自己需求的网络络虚拟专用网图解虚拟专用网图解1 虚拟专用网图解虚拟专用网图解2 虚拟专用网图解虚拟专用网图解3 VPN的特点1虚拟(Virtual)虚拟意味着网络的基础设施对于VPN连接来说是透明的。对于用户来说是透明的。同样底层的物
5、理网络并非是VPN用户拥有的,而是由很多用户共享的公共网络。而且为了对上层应用透明,VPN采用协议隧道技术。由于VPN用户本身并不拥有物理网络。VPN的特点2专用(Private)VPN环境下的专用实际上指的是VPN网络中的通信信息是保密的。正如上面提到的,VPN的通信流是建立在公共网络基础之上的,因此对于一条VPN连接来说,必须采用防范措施来实现特定的安全需求。这些安全需求包括:数据加密 数据源认证 密钥的安全产生和及时更新 分组重放攻击和欺骗攻击保护VPN的特点3网络(Network)虽然物理网络并不存在,但是我们还是应当把VPN看作是现有企业内部网的扩展,它对于其它网络或用户来说应当是可
6、用的。这还得借助于常规的路由和寻址技术来实现。VPN 优 势 随着互联网的快速增长,我们不禁要问:“如何才能更有效地利用和开发互联网的资源?”最初,公司通过在互联网上提供WWW服务来提升其信息发布和访问能力。而今,由于互联网存在的各种潜在的安全威胁,各公司已逐渐转向电子商务,利用互联网的全球性来快速访问某些关键商务应用和数据。VPN为我们提供了一种更加综合和安全的解决方案。VPN优势 VPN的分类按VPN业务类型划分:(1)Intranet VPN(内部公文流转)(2)Access VPN(远程拨号VPN)(3)Extranet VPN(各分支机构互联)VPN的分类按VPN发起主体划分:(1)
7、客户发起,也称基于客户的VPN (2)服务器发起,也称客户透明方式 或基于网络的VPNVPN的分类按隧道协议层次划分:(1)二层隧道协议:L2F/L2TP、PPTP (2)三层隧道协议:GRE、IPSec (3)介于二、三层间的隧道协议:MPLS (4)基于SOCKS V5的VPN此外,根据此外,根据VPN实现方式不同,还可进一步分实现方式不同,还可进一步分为软件实现和硬件实现等。为软件实现和硬件实现等。VPN的安全考虑一条典型的端对端通信链路可能包含:(1)、不受企业自身控制的设备(例如ISP的接入盒部分,互联网当中的路由器)。(2)、位于内部网和外部网之间的安全网关(防火墙,路由器)。(3
8、)内联网,其中可能有恶意主机。(4)外部网,这些网络当中传输着大量其它网络用户信息。*窃听、内容被篡改、拒绝服务攻击等VPN的安全考虑一条端对端通路的各组成部分:可能包含一条到ISP的拨号连接,以及ISP到企业内部网的公共网络段,最后是边界网关或防火墙和企业的内联网。拨号段给用户提供远程接入功能拨号段的覆盖范围就是从远程用户到ISP提供的接入盒之间的网段该链路使用的协议和过程由ISP具体提供。大多数ISP支持点对点(PPP)链路协议外部网络段(Internet)互联网是由大量的实体来共同运行和维护的,它包含了不同的可区分的路由域,各自由不同的网络中心运行,通常都使用IETF定义的标准化IP协议
9、。IP协议的主要功能就是数据分组的路由。由于IP是无连接协议,每个用户的数据包可能途径不同的路径。事实上,来自不同公司的通信流可能同时通过互联网当中的某个路由器。内部网络(Intranet)此网段位于通信路径的末端,通常由公司自身管理、运行和维护,网络通信流量也是由公司内部员工产生的。使用的协议也可能是专有的,不过如今大都使用流行的IP协议。公司认为自己的内联网是可信的,而它的合作伙伴可能认为他们的内联网是不可信的。在这种环境下,VPN应当在内部网段和互联网段都能够提供一种一致的网络安全服务。各机器和网段存在的潜在安全问题在一条端对端通路当中,有四类机器:远程主机(拨号)固定主机(源和目的主机
10、,或客户机和服务器)ISP接入盒 安全网关(防火墙和/或路由器)拨号客户的安全问题拨号客户是通信的起点,其保护主要涉及物理安全人的安全拨号网段的安全问题拨号网段把用户的数据送往ISP。如果数据是明文的(没有加密),那么数据很容易被攻击者窃听,同时ISP也能看到这些敏感数据。互联网的安全问题在远程接入环境中,ISP需要构造一条隧道来扩展PPP连接,从而使通信连接可以到达远程ISP接入盒和安全网关。如果该隧道协议不具备强大的安全功能,一个恶意的ISP有可能创建一条伪造的假隧道,从而把用户数据发往一个伪造的网关如图:虚假隧道 互联网的安全问题同样,当数据在隧道当中传输时,互联网中的路由器有可能查看或
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络通信安全管理员认证中级 网络 通信 安全 管理员 认证 中级 VPN
![提示](https://www.taowenge.com/images/bang_tan.gif)
限制150内