第11章虚拟专用网技术15404.pptx

《第11章虚拟专用网技术15404.pptx》由会员分享，可在线阅读，更多相关《第11章虚拟专用网技术15404.pptx（37页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、计算机信息安全技术第十一章 虚拟专用网技术 第十一章 虚拟专用网技术目录o 11.1 VPN 的基本概念 o 11.2 VPN 实现技术 o 11.3 VPN 的应用方案 第十一章 虚拟专用网技术11.1 VPN 的基本概念o VPN n VPN 的英文全称是“Virtual Private Network”(虚拟专用网络)。顾名思义，可以把它理解成是虚拟出来的企业内部专线。n 传统意义上的VPN：在DDN 网或公用分组交换网或帧中继网上组建VPN。n 基于IP 的VPN：依靠ISP 和其它NSP（网络服务提供商）在公用网络中建立专用的数据通信网络的技术。第十一章 虚拟专用网技术11.1 VP

2、N 的基本概念o VPN 的工作原理 n VPN 的定义：是指依靠ISP 或其他NSP 在公用网络基础设施之上构建的专用的数据通信网络，这里所指的公用网络有多种，包括IP 网络、帧中继网络和ATM 网络。n IETF 对基于IP 的VPN 定义：使用IP 机制仿真出一个私有的广域网。n 原理上来说，VPN 就是利用公用网络（通常是互联网）把远程站点或用户连接到一起的专用网络。与使用实际的专用连接（例如租用线路）不同，VPN 使用的是通过互联网路由的“虚拟”连接，把公司的专用网络同远程站点或员工连接到一起。第十一章 虚拟专用网技术11.1 VPN 的基本概念n VPN 采用“隧道”技术，可以模仿

3、点对点连接技术，依靠Internet 服务提供商(ISP)和其他的网络服务提供商(NSP)在公用网中建立自己专用的“隧道”，让数据包通过这条隧道传输。对于不同的信息来源，可分别给它们开出不同的隧道。图11.1 VPN 工作原理示意图第十一章 虚拟专用网技术11.1 VPN 的基本概念o VPN 的分类n 按VPN 的应用方式进行分类 o 拨号式VPNo 专用式VPN n 按VPN 的应用平台分类 o 软件平台VPN o 专用硬件平台VPN o 辅助硬件平台VPN 第十一章 虚拟专用网技术11.1 VPN 的基本概念n 按VPN 的协议分类 o 第二层协议：PPTP、L2F、L2TP o 第三层

4、协议：GRE、IPSec o 第二层协议-第三层协议之间（2.5 层）：MPLSo 第四层隧道协议：SSL VPN n 按VPN 的服务类型分类 o Intranet VPN（内部网VPN）o AccessVPN（远程访问VPN）o ExtranetVPN（外联网VPN）第十一章 虚拟专用网技术11.1 VPN 的基本概念o 按VPN 的部署模式分类 n 端到端(End-to-End)模式n 供应商企业(Provider-Enterprise)模式n 内部供应商(Intra-Provider)模式 o VPN 的特点n 具备完善的安全保障机制n 具备用户可接受的服务质量保证（QoS）n 具备良

5、好的可扩充性与灵活性 n 具备完善的可管理性 o VPN 的功能n 数据加密n 信息完整性和身份真实性认证n 访问控制n 地址管理n 密钥管理n 多协议支持第十一章 虚拟专用网技术11.1 VPN 的基本概念o VPN 安全技术n 加解密技术 o 对称加密算法o 非对称加密算法 n 认证技术o 验证数据的完整性 o 用户认证 n 密钥管理技术第十一章 虚拟专用网技术11.2 VPN 实现技术o 隧道 VPN 所有现有的实现都依赖于隧道，隧道技术(tunneling)主要是利用协议的封装来实现.用一种网络协议来传输另外一种网络协议。即本地网关把第二种协议报文包含在第一种协议报文中，然后按照第一种

6、协议来传输，等报文到达对端网关时，由该网关从第一种协议报文中解析出第二种协议报文，这样是一个基本的隧道技术的实现过程。o 第二层隧道协议 n PPTP（Point to Point Tunneling Protocol，点到点隧道协议）、L2TP（Layer 2 Tunneling Protocol，链路层隧道协议）、L2F（Layer 2 Forwarding，链路层转发协议）。第十一章 虚拟专用网技术11.2 VPN 实现技术n PPTP 协议图11.5 PPTP 工作示意图第十一章 虚拟专用网技术11.2 VPN 实现技术o PPTP 由PPTP Forum 开发，PPTP Forum

7、是一个联盟，其成员包括US Robotics、Microsoft、3COM、Ascend 和ECI Telematics。o PPTP 是点到点协议（PPP）的扩充，即PPTP 协议是基于PPP 之上并且应用了tunneling 技术的协议。它用“PPP 质询握手验证协议（CHAP）”来实现对用户的认证。o 简单的说，PPTP 是用于将PPP 分组通过IP 网络封装传输。o 在PPTP 的体系结构中，主要有三部分组成：n 1）PPP 连接和通信，按照PPP 协议和对方建立链路层的连接。n 2）PPTP 控制连接，建立到Internet 的PPTP 服务器上的连接，并建立一个虚拟隧道。n 3）P

8、PTP 数据隧道，在隧道中PPTP 协议建立包含加密的PPP 包的IP数据报，这些数据报通过PPTP 隧道进行发送。第十一章 虚拟专用网技术11.2 VPN 实现技术n L2F 协议 o 由CISCO 提出并倡导使用的链路层安全协议，它采用tunneling 技术，主要面向远程或拨号用户的使用。o L2F 主要强调的是将物理层协议移到链路层，并允许通过Internet 光缆的链路层和较高层协议的传输。物理层协议仍然保持在对该ISP 的拨号连接中。o L2F 还解决IP 写地址和记帐的问题。o 对于ISP 的初始连接，L2F 将使用标准PPP。对于验证，L2F 将使用标准CHAP 或者做某些修改

9、。对于封装，L2F指定在L2F 数据报中封装整个PPP 或SLIP 包所需要的协议。同时这些操作尽可能地对用户透明，以方便应用L2F 来构建灵活的VPN 网络。第十一章 虚拟专用网技术11.2 VPN 实现技术n L2TP 协议o 由PPTP Forum 各成员、思科公司和IETF（互联网工程工作组）联手打造了一个新的协议L2TP 协议。o 不仅提供了以CHAP 为基础的用户身份认证，支持了对内部地址的分配，而且还提供了灵活有效的记帐功能，和较为完善的管理功能。n PPTP 与L2TP 的区别：o 1）PPTP 要求互联网为IP 网络；而L2TP 能够在IP、X.25、ATM等网络上使用。o

10、2）PPTP 只能在两端点间建立单一隧道；L2TP 可以在两个端点之间建立多个隧道。用户可根据不同的服务质量创建不同的隧道。o 3）PPTP 不支持隧道验证；L2TP 提供了此项功能。可通过与Ipsec 共同使用，由Ipsec 提供隧道认证。第十一章 虚拟专用网技术11.2 VPN 实现技术n 在链路层上实现VPN，有一定的优点。假定两个主机或路由器之间存在一条专用通信链路，而且为避免有人“窥视”，所有通信都需加密，便可用硬件设备来进行数据加密。这样做最大的好处在于速度。n 但该方案不易扩展，而且仅在专用链路上才能很好地工作。另外，进行通信的两个实体必须在物理上连接到一起。这也给在链路层上实现

11、VPN 带来了一定的难度。n PPTP、L2F 和L2TP 这三种协议都是运行在链路层中的，通常是基于PPP 协议的，并且主要面向的是拨号用户，由此导致了这三种协议应用的局限性。n 当前在Internet 及其他网络中，绝大部分的数据都是通过IP 协议来传输的，逐渐形成了一种“everything on ip”的观点。第十一章 虚拟专用网技术11.2 VPN 实现技术o 第三层隧道协议 n 在网络层的实现中，有两种常用的实现方式：GRE 和IPSec n GRE Generic Routing Encapsulation（通用路由封装协议）o GRE是VPN的第三层隧道协议，即在协议层之间采用

12、了一种被称之为Tunnel（隧道）的技术。o GRE在RFC1701/RFC1702中定义，它规定了怎样用一种网络层协议去封装另一种网络层协议的方法，GRE的隧道由其源IP地址和目的IP地址来定义。它允许用户使用IP去封装IP、IPX、AppleTalk并支持全部的路由协议，如RIP、OSPF、IGRP和EIGRP。第十一章 虚拟专用网技术11.2 VPN 实现技术图11.7 GRE 协议第十一章 虚拟专用网技术11.2 VPN 实现技术n 当路由器接收了一个需要封装的上层协议数据报文，首先这个报文按照GRE 协议的规则被封装在GRE 协议报文中，而后再交给IP 层，由IP 层再封装成IP 协

13、议报文便于网络的传输，等到达对端的GRE 协议处理网关时，按照相反的过程处理，就可以得到所需的上层协议的数据报文了。n 标准的GRE 在虚拟通道中的数据是没有进行加密传输的，一旦数据被截获，重要数据将有失密的危险。而与GRE相比，IPSec 只能进行通道内的数据加密，无法在Internet 上建立虚拟的通道互连，使异地的两个局域网像访问本地网一样方便；也无法在加密的数据连接上跑路由协议，网络管理很不方便。所以 GRE+IPSec 联合应用方式，成为实际中VPN 建网的首选。第十一章 虚拟专用网技术11.2 VPN 实现技术n IPSec IP Security（IP安全协议）o IPSec 实

14、际上是一套协议包而不是一个独立的协议。o IPSec 位于网络层，对通信双方的IP 数据分组进行保护和认证，对高层应用透明。IPSec 能够保证IP 网络上数据的保密性、完整性，并提供身份认证。IPSec 拥有密钥自动管理功能，优于PPTP/L2TP。o IPSec 提供了下列网络安全性服务：n 数据机密性 n 数据完整性 n 数据来源认证 n 反重播 第十一章 虚拟专用网技术11.2 VPN 实现技术o IPSec 使用的加密算法包括DES、3-Des 和RSA 等;o 验证算法采用的也是流行的MD5、SHA 算法。图11.8 IPSec 安全体系结构第十一章 虚拟专用网技术11.2 VPN

15、 实现技术o IPSec 安全体系包括3 个基本协议：AH 协议为IP 包提供信息源验证和完整性保证；ESP 协议提供加密机制；密钥管理协议（ISAKMP）提供双方交流时的共享安全信息。o ESP 和AH 协议都有相关的一系列支持文件，规定了加密和认证的算法。最后，解释域（DOI）通过一系列命令、算法、属性和参数连接所有的IPSec组文件。o 策略决定两个实体之间能否进行通信以及如何通信。策略的核心部分由安全关联（SA）、安全关联数据库（SAD）、安全策略（SP）、安全策略数据库（SPD）组成。第十一章 虚拟专用网技术11.2 VPN 实现技术o AH 协议：n 该协议用于保证IP 数据包的完

16、整性和真实性，防止黑客截获数据包或向网络中插入伪造的数据包。n 考虑到计算效率，AH 没有采用数字签名而是采用了安全哈希算法来对数据包进行保护。AH 没有对用户数据进行加密。当需要身份验证而不需要机密性的时候，使用AH 协议时最好的选择。n AH 有两种工作模式：传输模式 不改变数据包IP 地址，在IP 头和IP 数据负载间插入一个AH 头。隧道模式 生成一个新的IP 头，把AH 和原来的整个IP 包放到新IP 包的负载数据中。第十一章 虚拟专用网技术11.2 VPN 实现技术图11.9 AH 协议的传输模式图11.10 AH 协议的隧道模式第十一章 虚拟专用网技术11.2 VPN 实现技术o

17、 ESP 协议：n 用于确保IP 数据包的机密性（对第三方不可见）、数据的完整性以及对数据源地址的验证，同时还具有抗重播的特性。n ESP 主要用于提供加密和认证功能。它通过在IP 分组层次进行加密从而提供保密性，并为IP 分组载荷和ESP 报头提供认证。ESP 与具体的加密算法相独立，几乎支持各种对称密钥加密算法，默认为3-DES 和DES。n ESP 也有传输和隧道两种工作模式，与AH 传输模式相比较，ESP 的传输模式还多了ESP 尾和ESP 验证数据。隧道模式可以对整个原始数据分组进行加密和认证。而传输模式时，仅对IP 包有效载荷加密，不对IP 头加密。第十一章 虚拟专用网技术11.2

18、 VPN 实现技术图11.11 ESP 协议的传输模式图11.12 ESP 协议的隧道模式第十一章 虚拟专用网技术11.2 VPN 实现技术o 密钥管理IKE n IKE 主要是用来协商和建立IPSec 通信双方的SA，实际上就是对双方所采用的加密算法、验证算法、封装协议和有效期进行协商，同时安全地生成以上算法所需的密钥。其实现基础是ISAKMP,在密钥协商过程中用到Diffie-Hellman 算法。RSA 签名需要CA 论证支持。第十一章 虚拟专用网技术11.2 VPN 实现技术o 二、三层隧道协议 n MPLS o MPLS（Multi-Protocol Label Switching）

19、即多协议标签交换属于第三代网络架构，是新一代的IP 高速骨干网络交换标准。o MPLS 介于第二层和第三层之间，把第二层的链路状态信息集成到第三层的协议数据单元中，将第二层的高速交换能力和第三层的灵活特性结合起来，并且引入了基于标记的机制。o 在 MPLS 中，数据传输发生在标签交换路径（LSP）上。LSP 是每一个沿着从源端到终端的路径上的结点的标签序列。现今使用着一些标签分发协议，如标签分发协议（LDP）、资源保留协议(RSVP)或者建于路由协议之上的一些协议，如边界网关协议（BGP）及 开放式最短路径优先协议(OSPF)。因为固定长度标签被插入每一个包或信元的开始处，并且可被硬件用来在两

20、个链接间快速交换包，所以使数据的快速交换成为可能。o 传统的VPN 一般是通过GRE、L2TP、PPTP、IPSec 协议等隧道协议来实现私有网络间数据流在公网上的传送。而LSP 本身就是公网上的隧道，所以用MPLS 来实现VPN 有天然的优势。第十一章 虚拟专用网技术11.2 VPN 实现技术o 第四层隧道协议n SSL VPN 是解决远程用户访问敏感公司数据最简单最安全的解决技术。n SSL（Secure Sockets Layer）是由Netscape 公司开发的一套Internet 数据安全协议.已被广泛地用于Web 浏览器与服务器之间的身份认证和加密数据传输。n SSL 协议工作在传

21、输层之上，使用标准的HTTPS 协议传输数据，可以穿透防火墙，避免NAT 地址转换等问题，建立应用通道加密n SSL 可分为两层：o SSL 记录协议（SSL Record Protocol）o SSL 握手协议（SSL Handshake Protocol）第十一章 虚拟专用网技术11.2 VPN 实现技术n SSL VPN 的工作原理：o 首先，由SSL VPN 生成自己的根证书和服务器证书。o 接着，客户端浏览器下载并导入SSL VPN 的证书。并通过HTTPS 协议向SSL VPN 发送认证请求，SSL VPN 接受请求，客户端实现对SSL VPN 服务器的认证。o 服务器通过口令方式

22、（或数字证书等多重认证方式）认证客户端。这样，就在浏览器和SSL VPN 服务器之间建立了一条SSL 安全通道。o SSL VPN 工作在传输层之上，使用标准的HTTPS 协议传输数据，可以穿越防火墙，避免了抵制转换NAT 的问题。而在IPSec VPN 中，由于工作在网络层之上，并不能很好地解决包括NAT 转换、防火墙穿越的问题。o 但是当使用基于SSL 协议通过Web 浏览器进行VPN 通信时，对用户来说外部环境并不是完全安全的。因为SSL VPN 只对通信双方的某个应用通道进行加密，而不是对在通信双方的主机之间的整个通道进行加密.第十一章 虚拟专用网技术11.3 VPN 的应用方案o L

23、2TP 应用方案 图11.13 L2TP 构建的VPN第十一章 虚拟专用网技术11.3 VPN 的应用方案o IPSec应用方案 n IPSec 是VPN 在网络层的实现，IPSec 的灵活性可以给VPN 的实现带来极大的便利。图11.14 不同强度级别IPSec 保护的数据流第十一章 虚拟专用网技术11.3 VPN 的应用方案n 针对VPN 网关类型为（路由器 路由器）的解决方案 图11.15 VPN 网关类型为：路由器-路由器第十一章 虚拟专用网技术11.3 VPN 的应用方案n 针对VPN 网关类型为（路由器 防火墙）的解决方案 图11.16 VPN 网关类型为：路由器-防火墙第十一章 虚拟专用网技术11.3 VPN 的应用方案o 针对VPN 网关类型为（路由器 移动用户）的解决方案 图11.17 VPN 网关类型为：路由器-移动用户第十一章 虚拟专用网技术11.3 VPN 的应用方案o SSL VPN 应用方案n Web 浏览器模式的解决方案 图11.18 SSL VPNWeb 浏览器模式的解决方案第十一章 虚拟专用网技术11.3 VPN 的应用方案n 客户端模式的解决方案 图11.19 SSL VPN 客户端模式的解决方案第十一章 虚拟专用网技术11.3 VPN 的应用方案n LAN 到LAN 模式的解决方案 图11.20 SSL VPNLAN 到LAN 模式的解决方案