CH12虚拟专用网络技术.ppt

第1页 应用要求 案例1 某个公司是跨地区的 总体与若干分支机构不在一个城市 通信时一般必须通过互联网 电话网络联系 实现数据交换等功能 营销财务数据 日常管理信息等 语音数据 功能 随时在线 联网 临时使用 用时才连接网络风险 攻击 窃听 篡改 如何保证连接的稳定可靠 传输时的信息安全 与FW与IDS的防不同 这是对网络规模的扩展 虚拟专用网络技术 第12章 第3页 本章要点 信息化社会推动了企业向规模化发展 分布式转变 一个企业不再局限于某一地域 这就对企业的网络建设提出了更高的要求 如何实现分布式网络的安全连接 保护企业数据等秘密 本章介绍的虚拟专用网络技术就是一种最好的解决方法 第4页 一 VPN概述 1 基本概念虚拟专用网 VirtualPrivateNetwork VPN 指的是依靠ISP Internet服务提供商 和其他NSP 网络服务提供商 在公用网络中建立虚拟的专用数据通信网络的技术 通过一个公用网络 通常是因特网 建立一个临时的 安全的连接 是一条穿过混乱的公用网络的安全 稳定的隧道 它不是真的专用网络 却能够实现专用网络的功能 传统专网 端到端必须有专用的物理链路 在虚拟专用网中 任意两个节点之间的连接并没有专用的物理链路 而是利用某种公众网的资源动态组成的 需要时借用 完成后释放 虚拟专用网是对企业内部网的扩展 以IP为主要通讯协议的VPN 也可称之为IP VPN 第5页 一 VPN概述 2 VPN的组成一个网络连接通常由三个部分组成 客户机 传输介质和服务器 VPN同样也由这三部分组成 不同的是VPN连接使用隧道作为传输通道 这个隧道是建立在公共网络或专用网络基础之上的 如 Internet或Intranet 要实现VPN连接 企业内部网络中必须配置有一台VPN服务器 VPN服务器一方面连接企业内部专用网络 另一方面要连接到Internet 也就是说VPN服务器必须拥有一个公用的IP地址 当客户机通过VPN连接与专用网络中的计算机进行通信时 先由ISP Internet服务提供商 将所有的数据传送到VPN服务器 然后再由VPN服务器负责将所有的数据传送到目标计算机 VPN使用了隧道协议 身份验证 数据加密三个方面的技术 来有效保证通信的安全性 第6页 一 VPN概述 3 VPN的隧道技术隧道是一种利用公网设施 通过专用协议实现在一个网络之中的 网络 上传输数据的方法 被传输的数据可以是另一种协议的数据帧 隧道协议利用附加的报头封装帧 附加的报头提供了路由信息 因此封装后的包能够通过中间的公网 封装后的包所途经的公网的逻辑路径称为隧道 一旦封装的帧到达了公网上的目的地 帧就会被解除封装并被继续送到最终目的地 隧道基本要素 隧道开通器 TI 有路由能力的公用网络 一个或多个隧道终止器 TT 必要时增加一个隧道交换机以增加灵活性 第7页 一 VPN概述 4 VPN的通信过程4个通用步骤 1 客户机向VPN服务器发出请求 2 VPN服务器响应请求并向客户机发出身份质询 客户机将加密的用户身份验证响应信息发送到VPN服务器 3 VPN服务器根据用户数据库检查该响应 如果账户有效 VPN服务器将检查该用户是否具有远程访问权限 如果该用户拥有远程访问的权限 VPN服务器接受此连接 4 VPN服务器将在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密 然后通过VPN隧道技术进行封装 加密 传输到目的内部网络 第8页 一 VPN概述 5 VPN的功能加密数据 以保证通过公网传输的信息即使被他人截获也不会泄露 信息验证和身份识别 保证信息的完整性 合理性 并能鉴别用户的身份 提供访问控制 不同的用户有不同的访问权限 地址管理 VPN方案必须能够为用户分配专用网络上的地址并确保地址的安全性 密钥管理 VPN方案必须能够生成并更新客户端和服务器的加密密钥 多协议支持 VPN方案必须支持公共互联网络上普遍使用的基本协议 包括IP IPX等 第9页 一 VPN概述 6 VPN的特点降低费用增强的安全性网络协议支持IP地址安全服务质量保证 QoS 可扩充性和灵活性可管理性 第10页 一 VPN概述 7 VPN的缺陷及弥补远程计算机本身的安全问题是关键远程计算机的安全守则必须有相应的解决方案堵住远程访问VPN的安全漏洞 使员工与网络的连接既能充分体现VPN的优点 又不会成为安全的威胁 VPN与防火墙的组合使用 有以下几种组合方式 将VPN服务器置于防火墙后面的内部网络将VPN服务器置于DMZ区将VPN服务器集成于防火墙 第11页 一 VPN概述 8 VPN解决方案基于IPSec的VPN解决方案 由AH协议 ESP协议 ISAKMP Oakley协议构成 基于第二层的VPN解决方案 L2TP PPTP L2F 非IPSec的网络层VPN解决方案 网络地址转换 包过滤 服务质量 非IPSec的应用层解决方案 SOCKS SSL S HTTP S MIME VPN技术的选择 第12页 一 VPN概述 9 VPN技术的选择网络层对所有上层数据提供透明方式的保护 但无法为应用提供足够细的控制粒度 应用层的安全技术可以保护堆栈高层的数据 但在传递过程中 无法抵抗常用的网络层攻击手段 如源地址 目的地址欺骗 第13页 二 VPN关键技术 1 VPN安全技术目前VPN主要采用四项技术来保证安全 这四项技术分别是隧道技术 加解密技术 密钥管理技术 使用者与设备身份认证技术 1 隧道技术 2 加解密技术 3 密钥管理技术 4 身份认证技术 这是VPN的基本技术 类似于点对点连接 它在公网中建立一条数据通道 隧道 让数据包通过这条隧道传输 隧道是由隧道协议形成的 第二层隧道协议是先把各种网络协议封装到PPP中 再把整个数据包装入隧道协议中 隧道协议有L2F PPTP L2TP等 第三层隧道协议是把各种网络协议直接装入隧道协议中 形成的数据包依靠第三层协议进行传输 第三层隧道协议有VTP IPSec等 在IP层提供安全保障 这是数据通信中一项较成熟的技术 VPN可直接利用现有技术 它的主要任务是如何在公用数据网上安全地传递密钥而不被窃取 现行密钥管理技术又分为SKIP与ISAKMP OAKLEY两种 最常用的是使用者名称与密码或智能卡认证等方式 第14页 2 隧道VPN的关键技术VPN系统对要传输的数据进行封装 加VPN包头 在包头中提供路由信息 公共地址 使封装数据包能够穿越公共网络 到达目的地 由于在公共网络上传输 需要确保安全 因此要对封装数据进行加密处理 使其具有保密性 防止未授权访问 真实性 确认由对方而非第三方发送 和完整性 保证数据未被篡改 PPTP协议允许对IP IPX或NetBEUI数据流进行加密 然后封装在IP包头中通过企业IP网络或公共因特网络发送 L2TP协议允许对IP IPX或NetBEUI数据流进行加密 然后通过支持点对点数据报传递的任意网络发送 如IP X 25 帧中继或ATM IPSec隧道模式允许对IP负载数据进行加密 然后封装在IP包头中通过企业IP网络或公共IP因特网络如Internet发送 二 VPN关键技术 第15页 2 隧道VPN的关键技术 二 VPN关键技术 NSRC NDST是隧道端点设备的IP地址公网上路由时仅仅考虑NSRC NDST原始数据包的DST SRC对公网透明 第16页 3 IPSec技术 二 VPN关键技术 3层协议 直接传输网络协议数据包基于TCP IP的标准协议 集成到IPv6中 仅仅传输IP协议数据包提供了强大的安全 加密 认证和密钥管理功能适合大规模VPN使用 需要认证中心 CA 来进行身份认证和分发用户的公共密钥 IPSec数据包的格式 第17页 3 IPSec技术 二 VPN关键技术 IPSec的工作模式 传输模式 只对IP数据包的有效负载进行加密或认证 此时 继续使用以前的IP头部 只对IP头部的部分域进行修改 而IPSec协议头部插入到IP头部和传输层头部之间 隧道模式 对整个IP数据包进行加密或认证 此时 需要新产生一个IP头部 IPSec头部被放在新产生的IP头部和以前的IP数据包之间 从而组成一个新的IP头部 第18页 3 IPSec技术 二 VPN关键技术 IPSec的三个主要协议 SA SecurltyAssociation安全关联 所谓安全关联是指安全服务与它服务的载体之间的一个 连接 AH和ESP都需要使用SA 而IKE的主要功能就是SA的建立和维护 只要实现AH和ESP都必须提供对SA的支持 1 ESP EncapsulatingSecurityPayload ESP协议主要用来处理对IP数据包的加密 ESP是与具体的加密算法相独立的 几乎支持各种对称密钥加密算法 默认为3DES和DES 2 AH AuthenticationHeader AH只涉及到认证 不涉及到加密 3 IKE InternetKeyExchange IKE协议主要是对密钥交换进行管理 它主要包括三个功能 对使用的协议 加密算法和密钥进行协商 方便的密钥交换机制 这可能需要周期性的进行 跟踪对以上这些约定的实施 第19页 3 IPSec技术IPSecVPN系统的组成 二 VPN关键技术 IPSecVPN的实现包含管理模块 密钥分配和生成模块 身份认证模块 数据加密 解密模块 数据分组封装 分解模块和加密函数库几部分组成 第20页 4 SSLVPN技术远程用户除了远程网点 出差在外的员工外 往往还有商业伙伴和客户 他们的访问权限应该有所区别 每个客户端都得安装和配置相应的VPN客户软件 非常不方便 SSLVPN正好能够解决这些问题 除了具备与IPSecVPN相当的安全性外 不使用VPN客户端软件 而使用嵌入Web浏览器的加密技术 还增加了访问控制机制 客户端只需要拥有支持SSL的浏览器即可 SSLVPN对于网络 长 连接支持不好 二 VPN关键技术 第21页 4 SSLVPN技术 二 VPN关键技术 Web浏览器模式工作流程 第22页 5 虚电路VPN的关键技术基于虚电路 简称VC 的VPN是指使用电信运营商网络中的第2层 如帧中断或ATM 建立点对点网络互联的技术 通过在两节点间建立永久性虚电路 PVC 在物理网络中划分出独立的点对点带宽资源 在协议层次上更靠近低层 具有QoS 服务质量 保证的业务 扩展性差 包括ATMVPN和FRVPN两种类型 FRVPN最适合建立分支机构到总部的远程网络互联 不适合移动用户的远程访问 二 VPN关键技术 第23页 6 MPLSVPNMPLS 多协议标记交换 技术 实际上也是一种隧道技术 为每个IP包加上一个固定长度的标签 并根据标签值转发数据包 它同时又是一种组网技术 通过路由技术简单高效地建立VPN网络 MPLS具备以下优点 安全性 MPLSVPN通过在PE逻辑上隔离每个VPN的路由转发表 实现了用户流量的隔离 提供服务质量保证 结合IP路由技术与ATM的交换技术的优势 保证不同类型的数据具有不同的QoS特性 组网具有极好的灵活性和扩展性 用户只需一条线路接入MPLS网 便可以实现任何节点之间的直接通信 可实现用户节点之间的星型 全网状以及其他任何形式的逻辑拓扑 便于用户灵活接入 用户端的设备可以是任何厂商 任何档次的路由器或具有路由能力的交换机 CE接入MPLS可以采用DDN FR和ATM等任何专线 CE与PE之间可以运行任何IP路由协议 用户现有网络不需任何改变 MPLSVPN便于实现三网合一 同时支持数据 语音和视频业务 二 VPN关键技术 第24页 三 VPN的类型 VPN的分类方法比较多 实际使用中 需要通过客户端与服务器端的交互实现认证与隧道建立 基于二层 三层的VPN 都需要安装专门的客户端系统 硬件或软件 完成VPN相关的工作 一个VPN解决方案不仅仅是一个经过加密的隧道 它包含访问控制 认证 加密 隧道传输 路由选择 过滤 高可用性 服务质量以及管理VPN系统大体分为4类专用的VPN硬件支持VPN的硬件或软件防火墙VPN软件VPN服务提供商 第25页 三 VPN的类型 按VPN的服务类型分类 根据服务类型 VPN业务按用户需求定义以下三种 InternetVPNAccessVPNExtranetVPN 1 InternetVPN 内部网VPN 即企业的总部与分支机构间通过公网构筑的虚拟网 2 AccessVPN 远程访问VPN 又称为拨号VPN 即VPDN 是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网 3 ExtranetVPN 外联网VPN 即企业间发生收购 兼并或企业间建立战略联盟后 使不同企业网通过公网来构筑的虚拟网 第26页 1 应用范围遇到以下几种应用需要时 可考虑选择VPN 1 已经通过专线连接实现广域网的企业 由于增加业务 带宽已不能满足业务需要 需要经济可靠的升级方案 2 企业的用户和分支机构分布范围广 距离远 需要扩展企业网 实现远程访问和局域网互联 最典型的是跨国企业 跨地区企业 3 分支机构 远程用户 合作伙伴多的企业 需要扩展企业网 实现远程访问和局域网互联 4 关键业务