通讯与网络第十一节.ppt

虚拟专用网VPN 虚拟专用网VPN 就是建立在公共网络上的私有专用网 它是一个利用基于公众基础架构的网络 例如Internet 来建立一个安全的 可靠的和可管理的企业间通信的通道 安全性 可靠性和可管理性这三点要求对于在今天这样一个复杂的计算环境中建立一个虚拟专用网VPN都是最基本的要求 而不是一般公认的虚拟专用网VPN仅仅包括加密和认证 虚拟专用网VPN的三个关键 安全 包括访问控制 认证和加密技术以保证网络连接的安全 用户的真实和数据通信的隐秘和完整 通信控制 包括带宽管理和服务质量管理以保证VPN的可靠和高速 管理 保证VPN和企业安全策略的集成 近程或远程集成的管理和解决方案的可伸缩性 虚拟专用网VPN的工作定义 隧道 加密 鉴别以及存取控制技术的综合体 和在Internet IP网或ISP的主干网上管理通信传输的服务器软件 安全 访问控制认证加密 访问控制 访问控制指示了一个虚拟专用网VPN用户的访问自由度 并且控制合作者 雇员和其他外界用户对应用程序和网络不同部分进行访问的访问权限 一个没有访问控制的虚拟专用网VPN仅仅当数据穿过传输媒介时能够保证数据传输的安全 而没有保证网络本身的安全 访问控制不仅仅保护数据 也保护企业的整个知识财富和信息 确保虚拟专用网VPN用户能够被授权访问他们所需要的程序和信息 同时有效控制他们访问其他资源 即在保障必需的信息共享的同时 还要保障系统的安全和数据的保密控制 认证 虚拟专用网VPN实现中有两类认证 用户认证和数据认证 用户认证是对发送者身份进行确认的过程 数据认证则确保消息从发出到接受未经修改 一个全面的虚拟专用网VPN解决方案必须同时具有数据和用户认证以确保数据传输 这样的两要素认证方案对传统的 用户名 密码 系统提供最大限度的安全保障 因为它需要两个要素来验证一个用户的身份 通常是一个电子令牌和一个PIN号码 加密 加密技术把数据弄乱 只有拥有读懂这个信息的密钥的人才能将其解密 当一个用户被认为合法了 他所传送的数据必须也同时被保护起来 密钥 就好比一个人的身份证号码 对于认证和加密功能是非常需要的 他们被融入安全处理中 没有密钥不可能解密数据 通常说来 一个密钥越是长 它的加密强度也越高 密钥管理 一旦选好并实现了加密的密钥长度 下一步是确保密钥通过一个密钥管理系统来保护 密钥管理是一个分配密钥的过程 定期更新它们或是在必要的时候将它们作废 密钥更新间隔和数据交换之间必须保持一个平衡 过短的间隔将会使虚拟专用网VPN服务器不停地产生新的密钥 而另一方面 过长的间隔会使过多的数据使用同一个密钥 密钥管理过程必须是自动的 以便保护密钥的完整 因为当一个企业逐渐复杂庞大时 密钥的数量也由此而增长 通信控制 保证虚拟专用网VPN的性能也是非常关键的 否则VPN将不能按照计划进行工作 作为企业网的扩展 一个VPN自然会增加网络的通信 并且会影响网络的性能 因此 一个虚拟专用网VPN解决方案尽可能保证用户能够有效地访问网络资源 同时了必须尽量少对网络本身产生影响 一个虚拟专用网VPN解决方案必须保证服务的可靠性和质量 可以让用户来定义企业间的通信管理策略 这个策略能够依据相对优先或相对重要原则 灵活调节由外及内和由内往外的通信的带宽 从而保证关键任务和高度优先的应用程序的性能 管理 虚拟专用网VPN就像其他安全部件一样 同在一个综合的企业管理控制之中 这样企业就可以为整个网络定义一个独立的 全局的安全策略 这种管理方式有很多优点 转换迅速 容易添加新用户 新部门和新应用程序 而且适合企业策略的变化 VPN的技术原理 虚拟专用网VPN系统使分布在不同地方的专用网络在不可信任的公共网络上安全地通信 它采用复杂的算法来加密传输的信息 使得敏感的数据不会被窃听 处理流程 1 某需要安全保护的主机发送明文信息到连接公共网络的虚拟专用网VPN设备 2 虚拟专用网VPN设备根据网络管理员设置的规则 确定是否需要对数据进行加密或让数据直接通过 3 对需要加密的数据 虚拟专用网VPN设备对整个数据 包括要传送的数据 源IP地址和目标IP地址 进行加密和附上数字签名 鉴别 VPN的技术原理 4 虚拟专用网VPN设备加上新的数据报头 其中包括目的地虚拟专用网VPN设备需要的安全信息和一些初始化参数 5 虚拟专用网VPN设备对加密后数据 鉴别包以及源IP地址 目标VPN设备IP地址进行重新封装 重新封装后数据包通过虚拟通道在公网上传输 6 当数据包到达目标VPN设备时 数据包被解封装 数字签名被核对无误后数据包被解密 VPN结构 图7 5 多个Intranet 内部网 通过公网连接起来 各个Intranet位于VPN设备的后面 同时通过路由器连接到公网 在这种虚拟专用网VPN结构中 数据按照严密的算法在公网中通过多层的虚拟通道 也称 隧道 从一端VPN设备到达另一端VPN设备 隧道 隧道从一个VPN设备开始 通过路由器横跨整个公网到达其他目标VPN设备 通过数字证书来标记整个隧道 并以此来鉴别属于此VPN隧道 隧道的最里层就是加密来确保它的机密性 隧道的第二层是数据的封装包 到达目标VPN设备的是重新封装后的数据 隧道的第三层是身份证验证 采用不同的算法来验证信息来源的真实性 隧道处理的结果使得各种被传输的信息只有预定或被授权的接收者才能读懂 解密 关于完全的补充说说明 虚拟专用网VPN系统根据系统设置的安全规则表来实施安全保护 对用户来说完全是透明的和自动的 在虚拟专用网VPN系统后面的员工照样上网发送电子邮件或下载文件 由虚拟专用网VPN系统决定他们的任务哪些需要加密或不加密 VPN的使用 当考虑到虚拟专用网VPN的性能时 决定虚拟专用网VPN怎样使用是十分重要的事 因为虚拟专用网VPN的每一部分 像加密和认证 都需要不同的管理费用 需考虑 远程访问的虚拟专用网VPN企业内部虚拟专用网VPN企业外围虚拟专用网VPN呢是否有必要赋予用户不同的访问权限通常使用两级认证 包括用户知道的口令和用户所具有的安全许可 通用的加密方法 RC4 实用但公钥管理困难SSL 通过重用密钥来减小公钥管理的困难 并且SSL新的压缩功能可以在加密之前压缩数据 隧道技术 隧道技术是虚拟专用网VPN的工作基础 隧道就是从一个VPN设备开始 通过路由器横跨整个公网到达其他目标VPN设备的虚拟通道 在这个虚拟通道中 附加了安全保障技术 隧道技术可使远端用户通过远程服务器RAS 把数据封装在IP包内 并透明地通过公网到达隧道的终点 通常是企业的接入点 网关 然后 进行拆包处理 从而实现虚拟专用网VPN 隧道技术的分类 隧道技术可分为两大类 第二层隧道和第三层隧道 两种技术的区别主要在于隧道的起点 终点和所携带数据的不同 第二层隧道技术 起点为远程服务器RAS 终点为用户网设备 在整个隧道内 PPP幀都封装在内 典型的第二层隧道技术包括PPTP和L2TP 第三层隧道技术 起点 终点为都在ISP界内 PPP会话终止在远程服务器RAS内 在整个隧道内 只携带第三层报文体 PPP协议 PPP协议是Internet标准 主要用于串行口间的数据通信 PPP协议的最初发布是在1989年11月 经过数次修改 当前应用的PPP协议是1994年制定的 在Internet标准中的编号为51 PPP协议包括HDLC High levelDatalinkControl 封装 LCP LinkControlProtocol 协议和NCP NetworkControlProtocol 协议等三个部分 PPP协议主要功能 PPP协议提供口令检查和数据帧加密等安全手段 可以防止非法用户的入侵 多协议支持 在一条链路上能提供多种协议的传输 适合于在路由器间的连接 除了TCP IP协议外 还支持有诸如Novell网和DECNet等其它类型的网络协议 多链路规程 PPP协议可以将数条低速的物理链路合并成一条逻辑链路 这样不仅提高了传输速率 而且不同链路可以互为备份 提高了可靠性 PPP协议提供了地址协商功能 两台计算机通过PPP连接后 可以自动了解对方的地址 或者给对方动态分配地址 传输数据通过上层协议 如TCP IP来检测 同时 由于PPP协议采用了HDLC封装方式 通过16位或32位的校验和可以检查数据包的正确性 PPP协议提供了一种数据压缩功能 用于TCP IP协议 隧道技术 PPTP协议L2TP协议 PPTP协议 PPTP PointtoPointTunnelingProtocol 协议 我们称之为点到点隧道协议 是一个典型的第二层隧道技术协议 其起点为远程服务器RAS 终点为用户网设备 在整个隧道内 PPP幀都封装在内 PPTP协议是在1996年就提出的一种虚拟专用网VPN的解决方案 并且已在Windows系统上实现 PPTP协议的工作原理 图7 6 在第一重连接 网络用户通过拨号方式到ISP的接入服务器 建立PPP连接 在此基础上 网络用户建立连接PPTP服务器的第二重连接 该连接称为PPTP隧道 实质上 是基于IP协议之上的另一个PPP连接 其中的IP包 可以封装多种协议数据 包括IP IPX和NetBEUI PPTP协议通过采用基于MD4的密码验证和基于RSARC4的数据加密方法 来保障虚拟专用数据通道 即隧道的数据传输安全 对于直接连到Internet的网络用户 则不需要通过拨号方式建立第一重PPP连接 而直接与PPTP服务器建立虚拟专用数据通道的连接 PPTP协议的工作方式 PPTP协议的工作方式是以包为单位交换数据块 它在TCP IP包中封装原声包 包括控制信息在内的整都将成为TCP IP包的负载 然后 这个IPX包通过Internet传输 对端的软件打开包并将其发送给原来的协议进行常规处理 该过程称为隧道 PPTP协议数据交换的核心是PPTP控制连接 它由建立和维护隧道的一系列消息组成 L2TP协议 L2TP LayerTwoTunnelingProtocol 协议 我们称之为二层隧道协议 也是一个典型的第二层隧道技术协议 其起点为远程服务器RAS 终点为用户网设备 在整个隧道内 PPP幀都封装在内 L2TP协议是在PPTP协议基础上演变过来的 Internet中的拨号网络只支持IP协议 而且必须使用注册IP的地址 L2TP允许拨号用户支持多种协议 包括IP IPX AppleTalk 且可以使用保留网络地址 包括保留IP地址 PPTP协议的工作原理 图7 7 网络用户通过PSTN或ISDN拨号方式到L2TP接入服务器 L2TP接入服务器和指定的L2TP网络服务器建立L2TPPPP隧道 L2TP网络服务器可以是任意一台支持L2TP服务器工作模式的网络设备 如接入服务器 路由器或网络主机 L2TP接入服务器将网络用户的PPP幀封装后传送给L2TP网络服务器 L2TP网络服务器截去封装包头 获得PPP幀 再从PPP幀中获取网络层协议数据单元 拨号PPP协议的实际终节点是L2TP接入服务器 L2TP协议使PPP协议的实际终节点在逻辑上延伸到L2TP网络服务器 因此 可以在等效功能上将L2TP接入服务器 L2TP网络服务器及中间的IP传送网络看作是一个虚拟接入服务器 向网络用户提供虚拟拨号服务 由于PPP协议的终节点是延伸到内部网这一端 因此 内部网可以采用自己的用户身份方式和地址分配方法 PPP幀在L2TP虚拟通道中可以承载多种网络层协议数据单元PDU PPTP协议的工作方式 在传送用户数据之前 L2TP接入服务器和L2TP网络服务器需要交换L2TP控制信息以建立隧道 对用户进行身份验证 为用户分配网络地址 L2TP控制信息是L2TP协议数据交换的核心 它门包括协议版本号 幀类型 主叫和被叫号码 身份认证信息 速率 接受窗口大小和呼叫ID等信息 VPN的类型 1 一个企业内部各部门和各分支机构之间之间的企业网虚拟专用网VPN 2 一个企业和它移动雇员之间的远程访问虚拟专用网VPN 3 一个企业组织和它的战略伙伴 顾客 供应商之间的扩展的虚拟专用网VPN 这三种形式的虚拟专用网VPN 其实现的要求和技术重点也各不相同 类型与技术 在一个公司内部各部门和支机构之间的企业虚拟专用网VPN中 主要的技术需要是 为Intranet间的高速连接提供快速而可靠的加密 确保诸如金融 财务系统 核心数据管理 机密文档交流等关键应用程序的优先权及其数据加密的高度可靠性 类型与技术 供一个企业和它的移动雇员间的远程访问的虚拟专用网VPN的要求则有所不同 服务的可靠性和质量在这种情况下显得相当重要 因为雇员访问VPN的方法通常局限于低速的调制解调器 另外 对于雇员的身份进行确认的一个高效的认证系统也是至关重要的 在管理这一边 远程访问VPN既需要集中式管理 也需要有高度的弹性 以便当大量移动雇员在同时访问VPN时能够处理足够多的连接 类型与技术 一个企业组织和它的战略伙伴 顾客 供应商之间的扩展的虚拟专用网VPN则需要一个开放的 具有统一标准的解决方案 以确保各商业伙伴间的各种实现方案的互用性 同时要进行完善的通信控制 以除去网络访问的瓶颈 保证重要数据优先权以得到迅捷和快速的响应 VPN的PPTP实现方案 图7 9 虚拟专用网VPN的一种最简单的实现方案 首先通过PPTN软件产品设置好PPTN服务器和客户机 然后将位于不同地理位置的客户机和专用网络通过Internet连接起来 组成一个虚拟专用网VPN 可以通过在分公司安装一个PPTP客户机连接到总公司 然后用这个PPTP客户机作为分公司的代理服务器负责整个分公司的总公司网络之间的通信联系 也可以通过路由器负责整个分公司的总公司网络之间的通信联系 目前