虚拟专用网络技术.ppt

虚拟专用网络技术 第10章 基本内容 互联网的普及使得远程网络互联的应用大为增加 特别是跨地区企业的内部网络应用 政府部门的纵向分级网络管理等 网络安全风险又使得这种应用存在严重的隐患 虚拟专用网络技术为这种应用保驾护航 10 1VPN技术概述 虚拟专用网 VirtualPrivateNetwork VPN 被定义为通过一个公用网络 通常是因特网 建立一个临时的 安全的连接 是一条穿过混乱的公用网络的安全 稳定的隧道 10 1 1VPN的概念 VPN依靠ISP Internet服务提供商 和其他NSP 网络服务提供商 在公用网络中建立专用的数据通信网络的技术 在虚拟专用网中 任意两个节点之间的连接并没有传统专网所需的端到端的物理链路 而是利用某种公众网的资源动态组成的 VPN是对企业内部网的扩展 一般以IP为主要通讯协议 10 1VPN技术概述 VPN是在公网中形成的企业专用链路 采用 隧道 技术 可以模仿点对点连接技术 依靠Internet服务提供商 ISP 和其他的网络服务提供商 NSP 在公用网中建立自己专用的 隧道 让数据包通过这条隧道传输 对于不同的信息来源 可分别给它们开出不同的隧道 10 1 1VPN的概念 续 10 1VPN技术概述 隧道是一种利用公网设施 在一个网络之中的 网络 上传输数据的方法 隧道协议利用附加的报头封装帧 附加的报头提供了路由信息 因此封装后的包能够通过中间的公网 封装后的包所途经的公网的逻辑路径称为隧道 一旦封装的帧到达了公网上的目的地 帧就会被解除封装并被继续送到最终目的地 10 1 1VPN的概念 续 隧道开通器 TI 有路由能力的公用网络 一个或多个隧道终止器 TT 必要时增加一个隧道交换机以增加灵活性 隧道基本要素 10 1VPN技术概述 10 1 2VPN的基本功能 VPN的主要目的是保护传输数据 是保护从信道的一个端点到另一端点传输的信息流 信道的端点之前和之后 VPN不提供任何的数据包保护 VPN的基本功能至少应包括 1 加密数据2 信息验证和身份识别3 提供访问控制4 地址管理5 密钥管理6 多协议支持 10 1VPN技术概述 10 1 3VPN的特性 安全性隧道 加密 密钥管理 数据包认证 用户认证 访问控制可靠性硬件 软件 基础网络的可靠性可管理性记帐 审核 日志的管理是否支持集中的安全控制策略可扩展性成本的可扩展性 如使用令牌卡成本高性能 是否考虑采用硬件加速加解密速度 10 1VPN技术概述 10 1 3VPN的特性 续 可用性系统对应用尽量透明对终端用户来说使用方便互操作性尽量采用标准协议 与其他供应商的设备能互通服务质量QoS通过Internet连接的VPN服务质量很大程度取决于Internet的状况多协议支持 10 2VPN协议 VPN主要采用以下四项技术来保证安全 隧道技术 加解密技术 密钥管理技术 使用者与设备身份认证技术 10 2 1VPN安全技术 加解密技术 密钥管理技术 使用者与设备身份认证技术在第五章已作介绍 VPN只是对这几种技术的应用 下面重点介绍隧道技术 10 2VPN协议 10 2 2VPN的隧道协议 VPN中的隧道是由隧道协议形成的 VPN使用的隧道协议主要有三种 点到点隧道协议 PPTP 第二层隧道协议 L2TP 以及IPSec PPTP和L2TP集成在windows中 所以最常用 PPTP协议允许对IP IPX或NetBEUI数据流进行加密 然后封装在IP包头中通过企业IP网络或公共因特网络发送 L2TP协议允许对IP IPX或NetBEUI数据流进行加密 然后通过支持点对点数据报传递的任意网络发送 如IP X 25 帧中继或ATM IPSec隧道模式允许对IP负载数据进行加密 然后封装在IP包头中通过企业IP网络或公共IP因特网络如Internet发送 10 2VPN协议 10 2 2VPN的隧道协议 NSRC NDST是隧道端点设备的IP地址公网上路由时仅仅考虑NSRC NDST原始数据包的DST SRC对公网透明 10 2VPN协议 10 2 2VPN的隧道协议 Point to PointTunnelProtocol 2层协议 需要把网络协议包封装到PPP包 PPP数据依靠PPTP协议传输PPTP通信时 客户机和服务器间有2个通道 一个通道是tcp1723端口的控制连接 另一个通道是传输GREPPP数据包的IP隧道PPTP没有加密 认证等安全措施 安全的加强通过PPP协议的MPPE MicrosoftPoint to PointEncryption 实现windows中集成了PPTPServer和Client 适合中小企业支持少量移动工作者如果有防火墙的存在或使用了地址转换 PPTP可能无法工作 1 点到点隧道协议 PPTP 10 2VPN协议 10 2 2VPN的隧道协议 把网络数据包封装在PPP协议中 PPP协议的数据包放到隧道中传输L2TPRFC2661定义在Cisco公司的L2F和PPTP的基础上开发windows中集成 2 第二层隧道协议 L2TP 10 2VPN协议 10 2 2VPN的隧道协议 3 IPSec协议 3层协议 直接传输网络协议数据包基于TCP IP的标准协议 集成到IPv6中 仅仅传输IP协议数据包提供了强大的安全 加密 认证和密钥管理功能适合大规模VPN使用 需要认证中心 CA 来进行身份认证和分发用户的公共密钥 IPSec数据包的格式 10 2VPN协议 10 2 2VPN的隧道协议 3 IPSec协议 续 IPSec的工作模式 传输模式 只对IP数据包的有效负载进行加密或认证 此时 继续使用以前的IP头部 只对IP头部的部分域进行修改 而IPSec协议头部插入到IP头部和传输层头部之间 隧道模式 对整个IP数据包进行加密或认证 此时 需要新产生一个IP头部 IPSec头部被放在新产生的IP头部和以前的IP数据包之间 从而组成一个新的IP头部 10 2VPN协议 10 2 2VPN的隧道协议 3 IPSec协议 续 IPSec的三个主要协议 SA SecurltyAssociation安全关联 所谓安全关联是指安全服务与它服务的载体之间的一个 连接 AH和ESP都需要使用SA 而IKE的主要功能就是SA的建立和维护 只要实现AH和ESP都必须提供对SA的支持 1 ESP EncapsulatingSecurityPayload ESP协议主要用来处理对IP数据包的加密 ESP是与具体的加密算法相独立的 几乎支持各种对称密钥加密算法 默认为3DES和DES 2 AH AuthenticationHeader AH只涉及到认证 不涉及到加密 3 IKE InternetKeyExchange IKE协议主要是对密钥交换进行管理 它主要包括三个功能 对使用的协议 加密算法和密钥进行协商 方便的密钥交换机制 这可能需要周期性的进行 跟踪对以上这些约定的实施 10 2VPN协议 10 2 3IPSecVPN系统的组成 IPSecVPN的实现包含管理模块 密钥分配和生成模块 身份认证模块 数据加密 解密模块 数据分组封装 分解模块和加密函数库几部分组成 10 3VPN的类型 VPN的分类方法比较多 实际使用中 需要通过客户端与服务器端的交互实现认证与隧道建立 基于二层 三层的VPN 都需要安装专门的客户端系统 硬件或软件 完成VPN相关的工作 一个VPN解决方案不仅仅是一个经过加密的隧道 它包含访问控制 认证 加密 隧道传输 路由选择 过滤 高可用性 服务质量以及管理VPN系统大体分为4类专用的VPN硬件支持VPN的硬件或软件防火墙VPN软件VPN服务提供商 10 3VPN的类型 10 3 1按VPN的应用方式分类 VPN从应用的方式上分 有两种基本类型 拨号式VPN与专用式VPN 拨号VPN分为两种 在用户PC机上或在服务提供商的网络访问服务器 NAS 上 专用VPN有多种形式 IPVPN的发展促使骨干网建立VPN解决方案 形成了基于MPLS的IPVPN技术 MPLSVPN的优点是全网统一管理的能力很强 由于MPLSVPN是基于网络的 全部的VPN网络配置和VPN策略配置都在网络端完成 可以大大降低管理维护的开销 10 3VPN的类型 10 3 2按VPN的应用平台分类 VPN的应用平台分为三类 软件平台 专用硬件平台及辅助硬件平台 1 软件平台VPN当对数据连接速率要求不高 对性能和安全性需求不强时 可以利用一些软件公司所提供的完全基于软件的VPN产品来实现简单的VPN功能 2 专用硬件平台VPN使用专用硬件平台的VPN设备可以满足企业和个人用户对提高数据安全及通信性能的需求 尤其是从通信性能的角度来看 指定的硬件平台可以完成数据加密及数据乱码等对CPU处理能力需求很高的功能 提供这些平台的硬件厂商比较多 如川大能士 Nortel Cisco 3Com等 3 辅助硬件平台VPN这类VPN介于软件平台和指定硬件平台之间 辅助硬件平台的VPN主要是指以现有网络设备为基础 再增添适当的VPN软件以实现VPN的功能 10 3VPN的类型 10 3 3按VPN的协议分类 按VPN协议方面来分类主要是指构建VPN的隧道协议 VPN的隧道协议可分为第二层隧道协议 第三层隧道协议 第二层隧道协议最为典型的有PPTP L2F L2TP等 第三层隧道协议有GRE IPSec等 第二层隧道和第三层隧道的本质区别在于 在隧道里传输的用户数据包是被封装在哪一层的数据包中 第二层隧道协议和第三层隧道协议一般来说分别使用 但合理的运用两层协议 将具有更好的安全性 10 3VPN的类型 10 3 4按VPN的服务类型分类 根据服务类型 VPN业务按用户需求定义以下三种 InternetVPN AccessVPN与ExtranetVPN 1 InternetVPN 内部网VPN 即企业的总部与分支机构间通过公网构筑的虚拟网 这种类型的连接带来的风险最小 因为公司通常认为他们的分支机构是可信的 并将它作为公司网络的扩展 内部网VPN的安全性取决于两个VPN服务器之间加密和验证手段上 10 3VPN的类型 10 3 4按VPN的服务类型分类 2 AccessVPN 远程访问VPN 又称为拨号VPN 即VPDN 是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网 典型的远程访问VPN是用户通过本地的信息服务提供商 ISP 登录到因特网上 并在现在的办公室和公司内部网之间建立一条加密信道 10 3VPN的类型 10 3 4按VPN的服务类型分类 3 ExtranetVPN 外联网VPN 即企业间发生收购 兼并或企业间建立战略联盟后 使不同企业网通过公网来构筑的虚拟网 它能保证包括TCP和UDP服务在内的各种应用服务的安全 如Email HTTP FTP RealAudio 数据库的安全以及一些应用程序如Java ActiveX的安全 10 3VPN的类型 10 3 5按VPN的部署模式分类 VPN可以通过部署模式来区分 部署模式从本质上描述了VPN的通道是如何建立和终止的 一般有三种VPN部署模式 1 端到端 End to End 模式是典型的由自建VPN的客户所采用的模式 最常见的隧道协议是IPSec和PPTP 2 供应商 企业 Provider Enterprise 模式隧道通常在VPN服务器或路由器中创建 在客户前端关闭 在该模式中 客户不需要购买专门的隧道软件 由服务商的设备来建立通道并验证 最常见的隧道协议有L2TP L2F和PPTP 3 内部供应商 Intra Provider 模式服务商保持了对整个VPN设施的控制 在该模式中 通道的建立和终止都是在服务商的网络设施中实现的 客户不需要做任何实现VPN的工作 10 4SSLVPN简介 SSLVPN使用SSL和代理技术 向终端用户提供对超文本传送协议 HTTP 客户 服务器和文件共享等应用授权安全访问的一种远程访问技术 因此不需要安装专门客户端软件 SSL协议是在网络传输层上提供的基于RSA加密算法和保密密钥的用于浏览器与Web服务器之间的安全连接技术 SSLVPN部署和管理费用低 在安全性和为用户提供更多便利性方面 明显优于传统IPSecVPN SSLVPN是建立用户和服务器之间的一条专用通道 在这条通道中传输的数据是不公开的数据 因此必须要在安全的前提下进行远程连接 SSLVPN其安全性包含三层含义 一是客户端接入的安全性 二是数据传输的安全性 三是内部资源访问的安全性 SSLVPN支持Web应用的远程连接 包括基于TCP协议的B S和C S应用 UDP应用 SSLVPN的关键技术有代理和转发技术 访问控制 身份验证 审计日志 10 4 1SSLVPN的安全技术 1 信息传输安全1 通过浏览器对任何Internet可以连接的地方到远程应用或数据间的所有通信进行即时的SSL加密 2 安全客户端检测 有效保护您的网络免受特洛伊 病毒 蠕虫或黑客的攻击 含防火墙 反病毒防护 Windows升级 Windows服务 文件数字签名 管理员选择注册表 IP地址等多方面的检测功能 2 用户认证与授权1 认证 谁被允许登录系统 在远程用户被允许登录前进行身份确认 包括标准的用户名 密码方式 智能卡 RSA 还可使用CA证书 2 授权 按角色划分的权限访问应用程序 数据和其他一些资源 在服务器端通过划分组 角色和应用程序进行集中管理 3 审计 随时了解用户做了什么访问 对每位用户的活动进行追踪 监视并记录日志 10 4SSLVPN简介 10 4 2SSLVPN的功能与特点 1 SSLVPN的基本功能SSLVPN是一款专门针对B S和C S应用的SSLVPN产品 具有以下完善实用的功能 1 提供了基于SSL协议和数字证书的强身份认证和安全传输通道 2 提供了先进的基于URL的访问控制 3 提供了SSL硬件加速的处理和后端应用服务的负载平衡 4 提供了基于加固的系统平台和IDS技术的安全功能 10 4SSLVPN简介 2 SSLVPN系统协议由SSL HTTPS SOCKS这3个协议相互协作共同实现 3 SSLVPN的特点1 安装简单 易于操作 无需安装客户端软件 2 具有认证加密 访问控制 安全信息备份 负载平衡等功能 3 使用标准的HTTPS协议传输数据 可以穿越防火墙 不存在地址转换的问题 而且不改变用户网络结构 适合复杂应用环境 10 4 3SSLVPN的工作原理 SSLVPN的工作原理可用以下几个步骤来描述 1 SSLVPN生成自己的根证书和服务器操作证书 2 客户端浏览器下载并导入SSLVPN的根证书 3 通过管理界面对后端网站服务器设置访问控制 4 客户端通过浏览器使用HTTPS协议访问网站时 SSLVPN接受请求 客户端实现对SSLVPN服务器的认证 5 服务器端通过口令方式认证客户端 6 客户端浏览器和SSLVPN服务器端之间所有通信建立了SSL安全通道 10 4SSLVPN简介 10 4 4SSLVPN的应用模式及特点 SSLVPN的解决方案包括三种模式 Web浏览器模式 SSLVPN客户端模式 LAN到LAN模式WEB浏览器模式是SSLVPN的最大优势 它充分利用了当前Web浏览器的内置功能 来保护远程接入的安全 配置和使用都非常方便 SSLVPN已逐渐成为远程接入的主要手段之一 10 4SSLVPN简介 10 4 4SSLVPN的应用模式及特点 10 4SSLVPN简介 1 Web浏览器模式的解决方案 由于Web浏览器的广泛部署 而且Web浏览器内置了SSL协议 使得SSLVPN在这种模式下只要在SSLVPN服务器上集中配置安全策略 几乎不用为客户端做什么配置就可使用 大大减少了管理的工作量 方便用户的使用 缺点是仅能保护Web通信传输安全 远程计算机使用Web浏览器通过SSLVPN服务器来访问企业内部网中的资源 这种模式目前已广泛使用于校园网 电子政务网中 10 4 4SSLVPN的应用模式及特点 10 4SSLVPN简介 2 SSLVPN客户端模式的解决方案 SSLVPN客户端模式为远程访问提供安全保护 用户需要在客户端安装一个客户端软件 并做一些简单的配置即可使用 不需对系统做改动 这种模式的优点是支持所有建立在TCP IP和UDP IP上的应用通信传输的安全 Web浏览器也可以在这种模式下正常工作 这种模式的缺点是客户端需要额外的开销 10 4 4SSLVPN的应用模式及特点 10 4SSLVPN简介 3 LAN到LAN模式的解决方案 LAN到LAN模式对LAN 局域网 与LAN 局域网 间的通信传输进行安全保护 与基于IPSec协议的LAN到LAN的VPN相比 它的优点就是拥有更多的访问控制的方式 缺点是仅能保护应用数据的安全 并且性能较低 10 5 1能士NesecSVPN的解决方案 10 5应用案例 某系统网络已建设完成 但因国家 省 市地 区县四级网络采用了不同的公网传输平台 又因区县地域管辖原因 该行业网络的部分区县LAN融合于当地的电子政务网中 也有部分区县与当地其他部门网络合作建设 存在问题 各县局虽然能访问上级市局网络 却不能访问省局 国家局及其他省市局的网络资源 各县局访问所在市的服务器因为借助于市政专网 通过路由器访问 其间并没有采取任何安全措施 因此安全性无法得到保障 这样的网络现状 不能实现互通 也就无法实现访问及其他应用 实际应用中 通过能士VPN特有的虚拟地址管理功能有效解决了所有问题 能士RVPN特色功能 10 5应用案例 1 网络互联 支持星型网络通过Internet进行互联 网络由RVPN H和RVPN B P 共同组成 2 远程接入 移动用户通过Internet接入总部网络 可分配虚拟IP 3 基于用户名密码的身份认证 RVPN内置RADIUS服务支持基于用户名密码的身份认证 目前仅支持静态密码 该功能又名用户管理 4 基于硬件绑定的身份证书认证 提供基于PC硬件序号的身份认证过程 使得只有指定计算机才能接入网络 该功能又名硬件ID鉴权 5 加密 寻址加密使用DE