虚拟专用网技术ppt课件VIP

.,1,网络安全应用技术,全国高等职业教育计算机类规划教材实例与实训教程系列,第9章虚拟专用网技术,.,2,你将学习虚拟专用网的基本概念，作用和特性；虚拟专用网的隧道技术和采用的协议；虚拟专用网的连接技术。你将获取虚拟专用网服务器安装与配置的技能；虚拟专用网客户端连接的配置的方法；建立一个允许连接的账号来测试连接的技能。,在这一章中,.,3,9.1案例问题,9.1.1案例说明9.1.2思考与讨论,.,4,9.1.1案例说明,1.背景描述很多连锁超市的分店众多且都分布在不同的地区，要做到互动的信息化，就要在其间建立一个强大的信息系统平台，这就需要依靠网络传送。由于目前网络环境还不是很完善，网络应用也不是很成熟，以ADSL或无线方式进行连接仍然会受到网络安全、传输速度无法保证化、应用实施难等问题的困扰。如果以增加专线的形式来解决问题，其投入与维护成本相对较高，对分点极多的连锁企业来说，确实难以负担。,.,5,9.1.1案例说明,2.需求分析总部要及时掌握各分店公司的销售情况和配送中心的库存情况，子公司也要及时了解总部的调价信息、库存和配送情况等，并需要上传大量销售、财务等方面的数据及报表。超市信息管理系统还引入了用友ERP软件，作为财务管理的处理系统。ADSL或无线方式不能满足连锁超市总部与分店间的传输需要了，但也不希望要为此负上高昂的专线费用，因此，超市提出了各分店和总公司能互相通信，具稳定性、安全性，可保证时时联机的网络需求。,.,6,9.1.1案例说明,3.解决方案在超市总部、配送中心与分店间搭建一个虚拟专用网。,.,7,9.1.2思考与讨论,阅读案例并思考以下问题上网搜索“虚拟专用网”或VPN，总结归纳“虚拟专用网”的定义特征？案例中所描述的虚拟专用网需要解决的主要问题是什么？根据你的理解构建虚拟专用网的关键点是什么？公司的经理层需要随时随地的办公，无论是在出差在外还是在家中，都希望从连锁超市查询相关报表和资料；而业务人员必须每天都能及时回复客户的电子邮件，同样也希望调用公司相关数据和资料；假若你作为公司的网络管理员，为了使经理们和业务人员可以远程访问公司的网络，你有什么样的建议？,.,8,9.1.2思考与讨论,专题讨论虚拟专用网有哪些特点?简要说明建立VPN所需要的基本条件包括那些？,.,9,9.2技术视角,9.2.1虚拟专用网技术的概述9.2.2VPN服务器的安装与配置9.2.3客户端VPN连接的配置,.,10,9.2.1虚拟专用网技术的概述,1.虚拟专用网的两种隧道协议一种是二层隧道协议，用于传输二层网络协议，它主要应用于构建访问虚拟专用网（AccessVPN）；另一种是三层隧道协议，用于传输三层网络协议，它主要应用于构建企业内部虚拟专用网（IntranetVPN）和扩展的企业内部虚拟专用网（ExtranetVPN）。,.,11,9.2.1虚拟专用网技术的概述,2.虚拟专用网的可用性通过VPN，企业以更低的成本连接远程办事机构、出差人员以及业务合作伙伴。VPN组成之后，远程用户只需拥有本地ISP的上网权限，就可以访问企业内部资源，这对于流动性大、分布广泛的企业来说很有意义，特别是当企业将VPN服务延伸到合作伙伴方时，便能极大地降低网络的复杂性和维护费用。,.,12,9.2.1虚拟专用网技术的概述,通过Internet远程访问局域网,.,13,9.2.1虚拟专用网技术的概述,通过Internet实现局域网互联,.,14,9.2.1虚拟专用网技术的概述,3.虚拟专用网的可管理性VPN软硬件解决方案包含路由、防火墙、VPN网关等三方面的功能，企业或政府通过购买VPN设备，达到一物多用的功效，既满足了远程互联的要求，而且还能在相当程度上防止黑客的攻击、并能根据时间、IP地址、内容、Mac地址、服务内容、访问内容等多种服务来限制企业内部员工上网时的行为，一举多得。,.,15,9.2.2VPN服务器的安装与配置,1.安装WinServer2003的VPN服务器启动“路由和远程访问”管理应用程序单击“开始”“程序”“管理工具”，运行“路由和远程访问”管理应用程序，打开“路由和远程访问”管理控制台窗口。设置服务器状态选择远程访问服务器模式配置远程访问服务器外网连接地址对远程客户指派IP地址指定地址范围身份验证,.,16,9.2.2VPN服务器的安装与配置,2.配置WinServer2003的VPN服务器配置远程访问控制策略远程访问控制策略可以更有效地控制用户的访问，可以制定出更加灵活的条件。修改同时连接的数目配置用户的属性,.,17,9.2.3客户端VPN连接的配置,如果要连接到VPN服务器，客户端必须先连接到Internet上。当客户端连接到Internet后，然后再连接到VPN服务器上。所以，在客户机上，需要先确认与Internet的连接配置正确，然后再在客户机上新建“虚拟专用网络”连接。1.通过WindowsXP进行VPN访问连接2.与VPN服务器的连接,.,18,9.3虚拟专用网相关实验,9.3.1通过Internet远程访问局域网9.3.2WindowsServer2003实现NAT地址转换和VPN服务器9.3.3使用单网卡实现VPN虚拟专用网,.,19,9.3.1通过Internet远程访问局域网,实验目的掌握在WindowsServer2003下VPN服务器的安装及设置访问远程用户，掌握在客户端建立访问VPN服务器连接以及访问服务器。具体实验条件、内容和步骤参看教材P258。,.,20,9.3.2WinServer2003实现NAT地址转换和VPN服务器,实验目的通过WindowsServer2003自带的路由和远程访问功能来实现NAT共享上网和VPN网关的功能，以实现在异地通过VPN客户端访问总部局域网各种服务器资源。具体实验条件、内容和步骤参看教材P260。,.,21,9.3.3使用单网卡实现VPN虚拟专用网,实验目的通过实验掌握在WindowsServer2003中用单网卡来实现虚拟专用网，并学会从Internet访问具有VPN的局域网资源。具体实验条件、内容和步骤参看教材P263。,.,22,9.4超越与提高,9.4.1IPSec与SSL9.4.2动态VPN技术9.4.3通过路由器配置VPN的实例,.,23,9.4.1IPSec与SSL,IPSec是目前唯一一种能为任何形式的Internet通信提供安全保障的协议。此外，IPSec允许提供逐个数据流或者逐个连接的安全，所以能实现非常细致的安全控制。有两种基本类型的VPN：IPSec和SSL。既建立了网上安全的加密隧道，还允许网络保密通信。它与任何在网上的监听者都可以读取的明文传送方式不同，VPN传输的看起来就像是一批乱码。不同之处就在于如何建立这种隧道。,.,24,9.4.1IPSec与SSL,哪一个适合?SSLVPN方式便宜，容易维护，需要较少的培训。而IPsec方式需要在所有的远程客户端安装VPN网关，连接软件并进行相应的配置。它比SSLVPN的成本要高的多。但是，还应该根据实际的需求来作决策。SSLVPN网关作为一种新兴的VPN技术，与传统的IPSecVPN技术各具特色，各有千秋。SSLVPN比较适合用于移动用户的远程接入，而IPSecVPN则在网络对网络的VPN连接中具备先天优势。,.,25,9.4.2动态VPN技术,所谓的动态VPN其实就像ADSL一样，VPN客户端每次拨号上去就会在地址池里自动获取一个公网的IP地址，通过这个公网的IP地址访问Internet，只是两者使用的协议等是不一样的，只是拨号过程相似。如何实现和配置动态VPN服务器实现拨号?首先在服务器应该有两个地址池，一个内网地址池，一个外网地址池，客户端拨号到服务器时首先获取一个内网IP，然后转换为公网IP实现上网。,.,26,9.4.3通过路由器配置VPN,1.配置说明某公司总部在北京，分公司在广州，如果租用光纤业务费用会比较高，另外安全性也没有保证，特别是对内网的访问。要在公