VPN关键技术PPT课件.pptxVIP

信息安全产品配置与应用ConfigurationandApplicationofInformationSecurityProducts 重庆电子工程职业学院 路亚 2020 3 21 1 VPN基本概念VPN核心技术VPN体系结构VPN功能VPN的接入方式VPN的典型应用VPN密码技术 模块二 VPN产品配置与应用 2020 3 21 2 VPN技术原理 用户连接VPN的形式 常规的直接拨号连接与虚拟专网连接的异同点在于在前一种情形中 PPP 点对点协议 数据包流是通过专用线路传输的 在VPN中 PPP数据包流是由一个LAN上的路由器发出 通过共享IP网络上的隧道进行传输 再到达另一个LAN上的路由器 这两者的关键不同点是隧道代替了实实在在的专用线路 隧道好比是在WAN云海中拉出一根串行通信电缆 那么 如何形成VPN隧道呢 建立隧道有两种主要的方式 客户启动 Client Initiated 或客户透明 Client Transparent 客户启动要求客户和隧道服务器 或网关 都安装隧道软件 后者通常都安装在公司中心站上 通过客户软件初始化隧道 隧道服务器中止隧道 ISP可以不必支持隧道 客户和隧道服务器只需建立隧道 并使用用户ID和口令或用数字许可证鉴权 一旦隧道建立 就可以进行通信了 如同ISP没有参与连接一样 2020 3 21 3 VPN的定义 Internet 2020 3 21 4 VPN的分类 按实现的层次分类 二层隧道VPN三层隧道VPN 2020 3 21 5 按实现的层次分类 二层隧道VPNL2TP Layer2TunnelProtocol RFC2661 PPTP PointToPointTunnelProtocolL2F Layer2Forwarding三层隧道VPNGRE GeneralRoutingEncapsulationIPSEC IPSecurityProtocol 2020 3 21 6 L2TP 第二层隧道协议 Layer2TunnelingProtocol 二层隧道协议主要有三种 一种是微软 Ascend 3COM等公司支持的PPTP PointtoPointTunnelingProtocol 点对点隧道协议 另一种是Cisco 北方电信等公司支持的L2F Layer2Forwarding 二层转发协议 在Cisco路由器中有支持 而由IETF起草 微软Ascend Cisco 3COM等公司参与的L2TP Layer2TunnelingProtocol 二层隧道协议 结合了上述两个协议的优点 将很快地成为IETF有关二层隧道协议的工业标准 L2TP作为更优更新的标准 是使用最广泛的VPN协议 2020 3 21 7 PPTP 点对点隧道协议 PPTP PointtoPointTunnelingProtocol 点对点隧道协议 PPTP 是一种支持多协议虚拟专用网络的网络技术 它工作在第二层 通过该协议 远程用户能够通过MicrosoftWindowsNT工作站 Windowsxp Windows2000和windows2003操作系统以及其它装有点对点协议的系统安全访问公司网络 并能拨号连入本地ISP 通过Internet安全链接到公司网络 2020 3 21 8 GRE GRE GenericRoutingEncapsulation 是对某些网络层协议 如 IP IPX AppleTalk等 的数据报进行封装 使这些被封装的数据报能够在另一个网络层协议 如IP 中传输GRE提供了将一种协议的报文封装在另一种协议报文中的机制 使报文能够在异种网络中传输 异种报文传输的通道称为tunnel 2020 3 21 9 GRE协议栈 乘客协议 封装协议 运输协议 GRE协议栈 隧道接口的报文格式 链路层 GRE IP IPX IP Payload 2020 3 21 10 IPSec IPSec ipsecurity 是一种开放标准的框架结构 特定的通信方之间在IP层通过加密和数据摘要 hash 等手段 来保证数据包在Internet网上传输时的私密性 confidentiality 完整性 dataintegrity 和真实性 originauthentication 2020 3 21 11 IPSec工作原理示意图 2020 3 21 12 IPSec工作原理解释 IPSec通过查询SPD SecurityP01icyDatabase安全策略数据库 决定接收到的IP数据包的处理 但是IPSec不同于包过滤防火墙的是 对IP数据包的处理方法除了丢弃 直接转发 绕过IPSec 外 还有一种 即进行IPSec处理 正是这新增添的处理方法提供了比包过滤防火墙更进一步的网络安全性 进行IPSec处理意味着对IP数据包进行加密和认证 包过滤防火墙只能控制来自或去往某个站点的IP数据包的通过 可以拒绝来自某个外部站点的IP数据包访问内部某些站点 也可以拒绝某个内部站点方对某些外部网站的访问 但是包过滤防火墙不能保证自内部网络出去的数据包不被截取 也不能保证进入内部网络的数据包未经过篡改 只有在对IP数据包实施了加密和认证后 才能保证在外部网络传输的数据包的机密性 真实性 完整性 通过Internet进新安全的通信才成为可能 2020 3 21 13 SSL 从概念角度来说 SSLVPN即指采用SSL SecuritySocketLayer 协议来实现远程接入的一种新型VPN技术 SSL协议是网景公司提出的基于WEB应用的安全协议 它包括 服务器认证 客户认证 可选 SSL链路上的数据完整性和SSL链路上的数据保密性 对于内 外部应用来说 使用SSL可保证信息的真实性 完整性和保密性 目前SSL协议被广泛应用于各种浏览器应用 也可以应用于Outlook等使用TCP协议传输数据的C S应用 正因为SSL协议被内置于IE等浏览器中 使用SSL协议进行认证和数据加密的SSLVPN就可以免于安装客户端 相对于传统的IPSECVPN而言 SSLVPN具有部署简单 无客户端 维护成本低 网络适应强等特点 这两种类型的VPN之间的差别就类似C S构架和B S构架的区别 2020 3 21 14 安全协议 加密套接字协议层 SSL 虚拟专用网络 VPN 能够通过诸如国际互联网的公共网络在装备了相同的SSL技术的设备之间为任何类型的通信提供安全专用的通讯 与SSLVPN技术相匹敌的是IPsecVPN 实际上 SSL在以远程和移动的方式访问VPN的使用上是最好的 而IPsec在固定站点之间创建VPN的使用上是最好的 在使用SSLVPN时 远程用户和内部资源之间的连接经过网页访问的方式发生在应用层 不同于IPSecVPN的网络层公开隧道 对于远程和移动用户来说 使用SSL是十分理想的 这是因为 SSL不需要被下载到用于访问公司资源的设备中 SSL不需要由终端用户进行设置 只要有标准网页浏览器的地方 就有SSL 它存在于任何的计算机和移动设备之中 2020 3 21 15 SSLVPN实现过程 2020 3 21 16 MPLS 多协议标签交换 MPLS 是一种用于快速数据包交换和路由的体系 它为网络数据流量提供了目标 路由 转发和交换等能力 更特殊的是 它具有管理各种不同形式通信流的机制 MPLS独立于第二和第三层协议 诸如ATM和IP 它提供了一种方式 将IP地址映射为简单的具有固定长度的标签 用于不同的包转发和包交换技术 它是现有路由和交换协议的接口 如IP ATM 帧中继 资源预留协议 RSVP 开放最短路径优先 OSPF 等等 在MPLS中 数据传输发生在标签交换路径 LSP 上 LSP是每一个沿着从源端到终端的路径上的结点的标签序列 现今使用着一些标签分发协议 如标签分发协议 LDP RSVP或者建于路由协议之上的一些协议 如边界网关