vn技术及应用单元PPT课件.ppt

VPN的定义 avirtualprivatenetworkisaoverlaynetworkoverapublicinfrastructurecustomerconnectivitydeployedonasharedinfrastructuredeliveringthesamepoliciesasaprivatenetwork 1 VPN的定义 VPN virtualPrivateNetwork 即虚拟专用网 是通过一个开放的 公用的 不安全的网络 通常是因特网 建立的一个临时的 安全的连接 这个连接保证了通信双方的数据的安全 就好像在两者之间建立了一个专用的网络 所以叫虚拟专用网 通常 VPN是对企业内部网的扩展 通过它可以帮助远程用户 公司分支机构 商业伙伴及供应商同公司的内部网建立可信的安全连接 并保证数据的安全传输 2 VPN的定义 VPN技术中主要采用了以下四种安全机制 隧道技术 Tunneling 加解密技术 Encryption 密钥管理技术身份认证技术 Authentication 3 VPN的定义 隧道技术指对通过公用网络的数据包进行二次封装后再传输的技术 是VPN技术的核心 加解密技术是数据通信中一项较成熟的技术 VPN可直接利用现有技术 密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取 身份认证技术用来保证信息两端点的身份的可靠性 4 VPN的定义 通过上述的各项网络安全技术 确保信息在公用网络中传输时不被窃取 或是即使被窃取了 对方亦无法读取数据包内所传送的资料 5 VPN技术相关协议 主要是指实现二次封装的协议 即实现隧道技术的协议 现有两种类型的网络隧道协议 二层隧道协议 用于传输二层网络协议 它主要应用于构建远程访问虚拟专网 AccessVPN 三层隧道协议 用于传输三层网络协议 它主要应用于构建企业内部虚拟专网 IntranetVPN 和扩展的企业内部虚拟专网 ExtranetVPN 6 二层隧道协议 第二层隧道协议是先把各种网络协议封装到PPP pointtopointprotocol 中 再把整个数据包装入隧道协议中 这种双层封装方法形成的数据包靠第二层协议进行传输 第二层隧道协议主要有以下三种 由微软 Ascend 3COM等公司支持的PPTP PointtoPointTunnelingProtocol 点对点隧道协议 是Cisco 北方电信等公司支持的L2F Layer2Forwarding 二层转发协议 在Cisco路由器中有支持 由IETF起草 微软Ascend Cisco 3COM等公司参与的L2TP Layer2TunnelingProtocol 二层隧道协议 结合了上述两个协议的优点 L2TP协议是目前IETF的标准 由IETF融合PPTP与L2F而形成 7 二层隧道协议 优点 PPTP L2TP对用微软操作系统的用户来说很方便 因为微软已把它作为路由软件的一部份 它所支持的网络协议较多 支持流量控制 缺点 用IP包在两台计算机之间创建和打开数据通道 一旦通道打开 源和目的用户身份就不再需要 它不对两个节点间的的信息传递进行监视或控制 这会带来一些安全问题 同时 它们属于低层协议 实现不够灵活 限制同时最多只能连接255个用户 认证和加密受限制 且端点用户需要在连接前手工建立加密信道 8 三层隧道协议 第三层隧道协议是把各种网络协议直接装入隧道协议中 形成的数据包依靠第三层协议进行传输 如早先出现的RFC1701GenericRoutingEncapsulation GRE 协议就是个三层隧道协议 新出来的IETF的IP层加密标准协议IPSec协议也是个三层隧道协议 以下主要介绍IPSec 9 三层隧道协议 ipsec IPSec IPSecurity 不是一个单独的协议 它给出了应用于IP层上网络数据安全的一整套体系结构 主要包括 AuthenticationHeader AH 协议 验证头 它是一个用于提供IP数据报完整性和认证的机制 其完整性是保证数据报不被无意的或恶意的方式改变 而认证则验证数据的来源 识别主机 用户 网络等 通过在整个IP数据报中实施一个消息文摘计算来提供完整性和认证服务 消息文摘算法的输出结果放到AH包头的认证数据 Authentication Data 区 10 三层隧道协议 ipsec EncapsulatingSecurityPayload ESP 协议 封装安全负载 加密IP数据包的内容 保证私密性 ESP协议是设计以两种模式工作的 隧道 Tunneling 模式和传输 Transport 模式 11 三层隧道协议 ipsec InternetKeyExchange IKE 协议 因特网密码交换 用于在两个通信实体之间协商和建立安全相关 交换密钥 安全相关SA SecurityAssociation 是IPSec中的一个重要概念 一个安全相关表示两个或多个通信实体之间经过了身份认证 且这些通信实体都能支持相同的加密算法 成功地交换了会话密钥 可以开始利用IPSec进行安全通信 IKE定义了通信实体间进行身份认证 协商加密算法以及生成共享的会话密钥的方法 IKE中身份认证采用共享密钥和数字签名两种方式 密钥交换采用DiffieHellman协议 12 2020 1 3 13 IPSec的运行模式 隧道模式 Tunneling 整个IP数据报都在ESP负载中进行封装和加密 当这完成以后 真正的IP源地址和目的地址都可以被隐藏为Internet发送的普通数据 这种模式的一种典型用法就是在防火墙 防火墙之间通过虚拟专用网的连接时进行的主机或拓扑隐藏 传输模式 Transport 只有更高层协议帧 TCP UDP ICMP等 被放到加密后的IP数据报的ESP负载部分 在这种模式中 源和目的IP地址以及所有的IP包头域都是不加密发送的 14 AH协议两种应用模式 AH协议为IP通信提供数据源认证 数据完整性和反重播保证 它能保护通信免受篡改 但不能防止窃听 适合用于传输非机密数据 AH的工作原理是在每一个数据包上添加一个身份验证报头 此报头包含一个带密钥的hash散列 可以将其当作数字签名 只是它不使用证书 此hash散列在整个数据包中计算 因此对数据的任何更改将致使散列无效 这样就提供了完整性保护 15 AH协议两种应用模式 传输模式的 16 AH协议两种应用模式 隧道模式的 17 ESP协议两种应用模式 ESP为IP数据包提供数据源的认证 完整性检查 抗重放和机密性服务 传输模式下的 18 ESP协议两种应用模式 隧道模式下的 19 VPN技术的类型 企业各部门与远程分支之间的IntranetVPN IntranetVPN即企业的总部与分支机构间通过VPN虚拟网进行网络连接 随着企业的跨地区 国际化经营 这是绝大多数大 中型企业所必需的 20 VPN技术的类型 21 VPN技术的类型 企业网与远程 移动 雇员之间的远程访问 Re