《信息安全概论》课件-10虚拟专用网技术

第10章虚拟专用网技术概述本章简要介绍了为了信息系统什么要引入虚拟专用网、虚拟专用网优点和分类、虚拟专用网的工作原理、虚拟专用网技术原理、虚拟专用网使用举例等。10.1虚拟专用网概述虚拟专用网VPN(VirtualPrivateNetwork)通常是通过一个公用的网络（如Internet）建立一个临时的、安全的、模拟的点对点连接。这是一条穿越公用网络的安全信息隧道，信息可以通过这条隧道在公用网络中安全地传输。 虚拟专用网依靠Internet服务提供商ISP(InternetServiceProvider)和其它网络服务提供商NSP(NetServiceProvider)，在公用网络中建立专用的数据通信网络的技术。10.1虚拟专用网概述10.1.1VPN的需求经常很多时候需要在异地连接网络。例如企业员工在外出差或在家里需要连接公司服务器；或者有第三方需要接入公司服务器(如电子商务)；或者企业数据需要进行异地灾备；还有的企业分支机构需要连接总公司等，这时候最便宜最便捷的方式就是使用VPN技术。如图10.1所示很多地方需要接入VPN。10.1虚拟专用网概述10.1.1VPN的需求

10.1虚拟专用网概述10.1.1VPN的需求虚拟专用网VPN是在公用络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络如Internet、ATM（异步传输模式）、FrameRelay（帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。

10.1虚拟专用网概述10.1.2VPN的优点企业使用VPN有许多优点。具体来说虚拟专用网的提出就是来解决如下这些问题：(1)使用VPN可降低成本——通过公用网来建立VPN，就可以节省大量的通信费用，而不必投入大量的人力和物力去安装和维护WAN(广域网)设备和远程访问设备。通常租用电信的专用网络是很贵的。使用VPN可以降低企业使用网络的成本，这是VPN最大的优点。(2)传输数据安全可靠——虚拟专用网产品都是采用加密及身份验证等安全技术，保证连接用户的可靠性及传输数据的安全和保密性。

10.1虚拟专用网概述10.1.2VPN的优点(3)连接方便灵活——用户如果想与合作伙伴联网，如果没有虚拟专用网，双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路，有了虚拟专用网之后，只需双方配置安全连接信息即可。(4)完全控制——虚拟专用网使用户可以利用ISP的设施和服务，同时又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源，对于其它的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网。

10.1虚拟专用网概述10.1.3VPN的分类(1)Client－LAN类型的VPN也称为AccessVPN（远程接入VPN），即远程访问方式的VPN。10.1虚拟专用网概述(2)LAN－LAN类型的VPN，也称为IntranetVPN（内联网VPN），网关到网关，通过公司的网络架构连接来自同公司的资源。10.2VPN的工作原理VPN的工作流程如图10.4所示。通常情况下，VPN网关采取双网卡结构，外网卡使用公网IP接入Internet。10.2VPN的工作原理1.网络1(假定为公网internet)的终端A访问网络2(假定为公司内网)的终端B，其发出的访问数据包的目标地址为终端B的内部IP地址。2.网络1的VPN网关在接收到终端A发出的访问数据包时对其目标地址进行检查，如果目标地址属于网络2的地址，则将该数据包进行封装，封装的方式根据所采用的VPN技术不同而不同，同时VPN网关会构造一个新VPN数据包，并将封装后的原数据包作为VPN数据包的负载，VPN数据包的目标地址为网络2的VPN网关的外部地址。10.2VPN的工作原理3.网络1的VPN网关将VPN数据包发送到Internet，由于VPN数据包的目标地址是网络2的VPN网关的外部地址，所以该数据包将被Internet中的路由正确地发送到网络2的VPN网关。4.网络2的VPN网关对接收到的数据包进行检查，如果发现该数据包是从网络1的VPN网关发出的，即可判定该数据包为VPN数据包，并对该数据包进行解包处理。解包的过程主要是先将VPN数据包的包头剥离，再将数据包反向处理还原成原始的数据包。10.2VPN的工作原理5.网络2的VPN网关将还原后的原始数据包发送至目标终端B，由于原始数据包的目标地址是终端B的IP，所以该数据包能够被正确地发送到终端B。在终端B看来，它收到的数据包就和从终端A直接发过来的一样。6.从终端B返回终端A的数据包处理过程和上述过程一样，这样两个网络内的终端就可以相互通讯了。10.3VPN的技术原理10.3.1VPN使用的安全协议1.PPTP－PointtoPointTunnelProtocol(点对点隧道协议)

通过Internet的数据通信，需要对数据流进行封装和加密，PPTP就可以实现这两个功能，从而可以通过Internet实现多功能通信。2.L2TP－Layer2TunnelingProtocol(第二层隧道协议)

PPTP和L2TP十分相似，因为L2TP有一部分就是采用PPTP协议，两个协议都允许客户通过其间的网络建立隧道，L2TP还支持信道认证。10.3VPN的技术原理3.IPSEC—InternetProtocolSecurity(因特网协议安全)

它用于确保网络层之间的安全通信。4.SSL—SecureSocketLayer它是Netscape公司所研发，用以保障在Internet上数据传输之安全，利用数据加密技术，可确保数据在网络上之传输过程中不会被截取及窃听。SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。10.3VPN的技术原理10.3.2VPN的实现由于传输的是私有信息，VPN用户对数据的安全性要求比较高。目前VPN主要采用四项技术来保证安全，这四项技术分别是隧道技术（Tunneling）、加解密技术（Encryption&Decryption)秘钥管理技术(KeyManagement)用户与设备身份认证技术（Authentication）。10.3VPN的技术原理10.3.2VPN的实现

1.隧道技术 隧道技术是VPN的基本技术。类似于点对点连接技术，它在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输。隧道是由隧道协议形成的，分为第二、三层隧道协议。10.3VPN的技术原理10.3.2VPN的实现第二层隧道协议是先把各种网络议装到PPP中，再把整个数据包装入隧道协议中。第二层隧道协议有L2F、PPTPL2T等。第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等。IPSec（IPSecurity）是由一组RFC文档组成，定义了一个系统来提供安全协议选择、安全算法，确定服务所使等服务，从而在IP层提供安全保障。10.3VPN的技术原理10.3.2VPN的实现2.加解密技术加解密技术(对称加密、公钥加密等)是数据通信中一项较成熟的技术，VPN可直接利用现有技术。10.3VPN的技术原理10.3.2VPN的实现3.密钥管理技术密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被偷听、窃取。4.用户与设备身份认证技术用户与设备身份认证技术最常用的是用户名与密码或卡片式认证等方式。10.3VPN的技术原理10.3.2VPN的实现除了以上几种技术实现VPN以后，还有一种比较常用的VPN方式：SSLVPN，即SSL协议被使用于VPN中。这种方式经常用于访问银行、金融、及机密系统。通过电脑使用银行的网银系统时使用的就是SSLVPN。它是将HTTP协议和SSL协议相结合形成的HTTPS(HyperTextTransferProtocoloverSecureSocketLayer)协议。10.3VPN的技术原理10.3.2VPN的实现除了10.3VPN的技术原理10.3.2VPN的实现如图10.6所示为使用HTTPS协议访问北京市自然基金系统。10.3VPN的技术原理10.3.2VPN的实现SSL协议提供了数据私密性、端点验证、信息完整性等特性。SSL置身于网络结构体系的传输层和应用层之间，本身就被几乎所有的Web浏览器支持。不需要为了支持SSL连接安装额外的软件。10.4虚拟专用网应用举例10.3.2VPN的实现以北京邮电大学虚拟专用网举例。如图10.8所示为没有使用VPN时的网页。这时通过校外的公有网络是不能访问北邮校内资源的。10.4虚拟专用网应用举例10.3.2VPN的实现决方案是下载一个北邮VPN客户端。登录界面如图10.9所示。10.4虚拟专用网应用举例10.3.2VPN的实现输入用户名和密码后，就可以连接北邮校内网络资源了。如图10.10所示成功连接到了北邮VPN。10.4虚拟专用网应用举例