《安全网管技术》PPT课件.ppt

《《安全网管技术》PPT课件.ppt》由会员分享，可在线阅读，更多相关《《安全网管技术》PPT课件.ppt（54页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、安全网管技术安全网管技术张焕杰中国科学技术大学网络信息中心http:/202.38.64.40/james/nmsTel:3601897(O)1第第7章章 VPN技术及应用技术及应用l本章主要内容VPN介绍AccessVPNLAN-LANVPNMPLSVPNL2VPN2参考资料：参考资料：l参考资料：l安全体系结构的设计、部署与操作，常晓波等译，清华大学出版社lCiscoNetworkers2003SEC-2011:DeployingSite-to-SiteIPSecVPNs3VPN介绍介绍lVirtualPrivateNetwork虚拟专用网虚拟专用网不是真的专用网络，但却能够实现专用网络的

2、功能。虚拟专用网指的是依靠ISP（Internet服务提供商）和其它NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。利用像Internet这样的公共的或不安全的媒体，通过应用多种技术提供用户认证、数据完整性和访问控制，从而提供网络应用程序之间的安全通信。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。VPN不是一种单一的技术，而是具有若干特性的系统4VPN介绍介绍IETF草案理解基于IP的VPN为：“使用IP机制仿真出一个私有的广域网”。通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟，是指

3、用户不再需要拥有实际的长途数据线路，而是使用Internet公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。本章讨论的虚拟专用网一般指的是建筑在Internet上能够自我管理的专用网络，而不是FrameRelay或ATM等提供虚拟固定线路（PVC）服务的网络。以IP为主要通讯协议的VPN，也可称之为IP-VPN。5VPN的安全性的安全性lVPN的主要目的是保护传输数据l必须具备4个关键功能认证：数据传输的来源确如其声明所言，目的地确实是数据期望到达的位置访问控制：限制对网络未经授权的访问机密性：防止数据在通过网络时被察看数据完整性：防止传输中对数据的任

4、何篡改lVPN的目的是保护从信道的一个端点到另一端点传输的信息流l信道的端点之前和之后，VPN不提供任何的数据包保护6为什么选择为什么选择VPNl成本低是最大的优势传统方式是租用专线建设自己的网络系统Internet能以很低的代价提供高带宽的链路，缺点是安全性不高由于VPN是在Internet上临时建立的安全专用虚拟网络，用户就节省了租用专线的费用，在运行的资金支出上，除了购买VPN设备，企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用，也节省了长途电话费。这就是VPN价格低廉的原因。如2M的专线，国内长途6000/月，对应的10MInternet链路一般2000/月7为什么选择为什么

5、选择VPNl灵活性高只要有Internet链路，随时可以建立VPN链路对于单个用户，使用VPN可以在任何地方安全访问内部网8VPN的类型的类型l每种VPN都具有特定的要求和优先权，实现的目的、解决的问题也不同l用于移动工作者的远程访问Client-LANVPN，也叫AccessVPN替代早期的拨号远程访问网络l用于局域网间连接的PNLAN-LAN型IntranetVPN和ExtranetVPN9VPN的特性考虑的特性考虑l安全性隧道、加密、密钥管理、数据包认证、用户认证、访问控制l可靠性硬件、软件、基础网络的可靠性l可管理性记帐、审核、日志的管理是否支持集中的安全控制策略l可扩展性成本的可扩展

6、性，如使用令牌卡成本高性能，是否考虑采用硬件加速加解密速度10VPN的特性考虑的特性考虑l可用性系统对应用尽量透明对终端用户来说使用方便l互操作性尽量采用标准协议，与其他供应商的设备能互通l服务质量QoS通过Internet连接的VPN服务质量很大程度取决于Internet的状况l多协议支持IPX?11VPN涉及的技术涉及的技术l隧道技术Tunnel12IP TunnellNSRC、NDST是隧道端点设备的IP地址l公网上路由时仅仅考虑NSRC、NDSTl原始数据包的DST、SRC对公网透明DSTSRCDATANDSTNSRCDSTSRCDATA13隧道技术隧道技术l第二层隧道把网络数据包封装

7、在PPP协议中，PPP协议的数据包放到隧道中传输L2TP、PPTP（集成在windows中，所以最常用）l第三层隧道把网络数据包指直接在隧道中传输IPsecl利用隧道技术，理论上任何协议的数据都可以透过IP网络传输14加密加密/解密技术解密技术l对称加密技术速度快，常用的DES、3DES、IDEA等缺点是密钥传递不方便经常被用来对数据进行加/解密处理，提高保密性l公钥加密技术速度慢，常用的RSA、Diffie-Hellman用于签名和会话的密钥交换l哈希函数速度快产生的消息摘要用于信息的完整性检查15认证系统认证系统lVPN设备间的认证通过密码、密钥、证书等认证如果使用证书，可以考虑使用自己的

8、CA或第三方的CAl对于AccessVPN，对个人进行认证简单密码、一次性密码S/KEY、基于硬件的令牌（令牌卡、智能卡、PC卡、USB卡）生理ID(指纹、声音、视网膜扫描)16安全协议安全协议lIPSec3层协议，直接传输网络协议数据包基于TCP/IP的标准协议，集成到IPv6中，仅仅传输IP协议数据包提供了强大的安全、加密、认证和密钥管理功能适合大规模VPN使用17安全协议安全协议lPPTPPoint-to-PointTunnelProtocol,2层协议，需要把网络协议包封装到PPP包，PPP数据依靠PPTP协议传输PPTP通信时，客户机和服务器间有2个通道，一个通道是tcp1723端口

9、的控制连接，另一个通道是传输GREPPP数据包的IP隧道PPTP没有加密、认证等安全措施，安全的加强通过PPP协议的MPPE(MicrosoftPoint-to-PointEncryption)实现windows中集成了PPTPServer和Client，适合中小企业支持少量移动工作者如果有防火墙的存在或使用了地址转换，PPTP可能无法工作18安全协议安全协议lL2TPRFC2661定义l在Cisco公司的L2F和PPTP的基础上开发l使用并不普遍l统计数字80%用PPTP，13%用Ipsec19VPN解决方案解决方案l一个VPN解决方案不仅仅是一个经过加密的隧道，它包含访问控制、认证、加密、

10、隧道传输、路由选择、过滤、高可用性、服务质量以及管理lVPN系统大体分为4类专用的VPN硬件支持VPN的硬件或软件防火墙VPN软件VPN服务提供商l前面提到的VPN是独立于网络服务提供商的，但是服务器提供商也会提供某种“VPN”接入20Access VPNl这种类型的VPN与传统的远程访问网络相对应。l如果企业的内部人员移动或有远程办公需要，可以考虑使用AccessVPN。lAccessVPN通过一个拥有与专用网络相同策略的共享基础设施，提供对企业内部网或外部网的远程访问。AccessVPN能使用户随时、随地以其所需的方式访问企业资源。AccessVPN包括模拟、拨号、ISDN、数字用户线路(

11、xDSL)、移动IP和电缆技术，能够安全地连接移动用户、远程工作者或分支机构。21Access VPN22Access VPNlAccessVPN工作时，远程客户通过拨号线路连接到ISP的NAS服务器上，经过身份认证后，通过公网跟公司内部的VPN网关之间建立一个隧道，利用这个隧道对数据进行加密传输。lAccessVPN最适用于公司内部经常有流动人员远程办公的情况。出差员工利用当地ISP提供的VPN服务，就可以和公司的VPN网关建立私有的隧道连接。RADIUS服务器可对员工进行验证和授权，保证连接的安全，同时负担的电话费用大大降低。l一般使用PPTP或L2TP技术23Access VPNlAcc

12、essVPN对用户的吸引力在于：减少用于相关的调制解调器和终端服务设备的资金及费用，简化网络；实现本地拨号接入的功能来取代远距离接入，显著降低远距离通信的费用；极大的可扩展性，简便地对加入网络的新用户进行调度；远端验证拨入用户服务（RADIUS）基于标准，基于策略功能的安全服务；宽带网环境下提供高速的远程接入。24Access VPN的实现方式的实现方式l客户驱动方式客户端首先建立与本地ISP的PPP连接，这时客户端可访问Internet，也可访问企业网设置的VPN网关。下一步就是建立到VPN网关的PPTP连接，连接建立后，远程用户就好像在企业网内部一样。隧道起始于远程用户的计算机，终结于企业

13、网内的VPN网关。远程用户经由Internet访问企业的网络和应用，而不再需要直接拨号至企业的网络。利用这种体系结构，用户并不需要ISP提供与VPN相关的附加服务。ISP也感知不到用户在使用VPN服务。这种方式一般使用PPTP协议。25Access VPN的实现方式的实现方式l网络接入服务器（NAS）驱动的连接远端用户首先拨号到ISP的拨号服务器NAS。NAS在对用户进行身份验证时得知用户是一个VPN用户，然后NAS建立一条安全的、加密的隧道连接到企业网络的VPN网关。这条隧道起始于NAS，终结于企业网内的VPN网关。利用由NAS驱动的体系结构，服务供应商对用户的身份进行验证；企业仍保留有控制

14、他们自己的安全策略、对用户进行身份验证、授与用户访问权限并在网络上跟踪用户活动的权力。使用这种体系结构需要服务供应商支持，而且存在一个问题远端用户接入服务供应商的营业点之前的数据是未经加密的。这种方式一般使用L2TP协议。26Access VPN的实现方式的实现方式l网络接入服务器（NAS）驱动的连接L2TP协议通过“虚拟拨号”业务将初始拨号服务器的地点和拨号协议所连接的终点分离开来。当“虚拟拨号”客户开始接入时，远程用户和它们的ISP的NAS之间就建立了一个PPP链路。ISP接着对端系统或用户进行部分鉴别以判断此用户是否需要“虚拟拨号”业务，一旦确定需要，那么此用户名就会和VPN网络中心服务

15、器联系起来。并在NAS和VPN中心服务器之间就建立了一条L2TP隧道。目前中国电信推出的VPDN服务就是采用这种方式。需要NAS、认证系统、计费系统、企业网VPN接入设备的支持就可以工作了。27Access VPN28Access VPN在无线网下的应在无线网下的应用用l由于无线网提供的加密/解密手段不多，很容易被窃听l无线网用户通过在无线网上使用PPTPVPN来增强安全性l无线网用户通过普通的网络连接到VPNServer，然后在无线网节点和VPNserver间建立VPNlVPN可以保证从无线网节点到VPNServer之间的通信都是安全的29案例案例l需求：中国科学技术大学为外部移动用户提供V

16、PN接入服务，接入VPN后的用户拥有校内用户完全相同的访问权限，以便访问各种校内外电子资源l设计：建设一个AccessVPN系统校内设置一台VPN服务器，运行Windows2000Server作为PPTP接入服务器使用PPTP接入服务器使用radius协议对用户的接入请求进行身份验证30科大的科大的VPN解决方案解决方案PPTPServerRadiusServerRemoteUser其中还要考虑策略路由Internet出口Internet31LAN-LAN型型VPNl企业内部各分支机构的互连或者企业的合作者互连，使用LAN-LANVPN是很好的方式。l越来越多的企业需要在全国乃至世界范围内建立

17、各种办事机构、分公司、研究所等，各个分公司之间传统的网络连接方式一般是租用专线。l显然，在分公司增多、业务开展越来越广泛时，网络结构趋于复杂，费用昂贵。l利用VPN特性可以在Internet上组建世界范围内的LAN-LANVPN。l利用Internet的线路保证网络的互联性，而利用隧道、加密等VPN特性可以保证信息在整个LAN-LANVPN上安全传输。32LAN-LAN型型VPNlLAN-LANVPN通过一个使用专用连接的共享基础设施，连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策，包括安全、服务质量(QoS)、可管理性和可靠性。33LAN-LAN 型型VPN34LAN-LA

18、N 型型VPN的优势的优势l减少WAN带宽的费用，Internet线路的租用费用远低于专线费用l能使用更灵活的拓扑结构，包括全网络连接l新的站点能更快、更容易地被连接l通过设备供应商WAN的连接冗余，可以延长网络的可用时间。35 LAN-LAN 型型VPNl主要使用IPsec技术l在ISP提供的不安全IP传输通道上，用户通过设置VPN网关，将多个地方的LAN连接起来，并保证相关的安全性。l使用这种方式，跟ISP相关的主要是价格和服务质量问题。l价格上要解决如何保证这种方式能提供比租用专线更优的价格。l服务质量要保证带宽、延迟、丢包率等参数，尤其是丢包率。3637383940IPsec VPN优

19、势优势l用户只要在具有Internet链路的基础上，增加IPsecVPN的网关设备即可利用IPsecVPN把局域网安全的互连l带宽高VPN连接提供的带宽取决于加密/解密的的速度和2点间Internet带宽在安徽省电信公司宽带网络连接的2个100M站点间，建立的VPN带宽可达60Mbps以上l灵活性高随时可以建立和取消VPN41IPsec VPN缺点缺点l安全性由于跟Internet有“物理”连接，普遍认为保密的信息不宜在IPsecVPN上传输l稳定性带宽、延迟、丢包跟外部的ISP主干网运行状况密切相关，用户不可控424344454647484950515253通知通知l11月28日课暂停一次54