信息安全基础 课件 6.VPN

信息安全基础InformationSecurityFundamentals6.3VPN网络安全产品本节内容VPN产生的背景VPN的安全技术VPN的应用实例VPN的基本概念1.VPN产生的背景基于网络互联应用的需求越来越强烈现代企业在发展过程中，随着业务规模的扩大，越来越多的组织单位希望将业务迁移到网络平台，规范业务运作流程，提高业务运作效率，这对网络的互联提出越来越高的要求。如何规避安全风险如身份认证单一、数据易被窃听、恶意访问无法追踪等实现整网安全；如何应对访问速度慢、建设成本高、变更不灵活等挑战实现高效互联要求，是企业发展中不可避免的关键问题。1.VPN产生的背景采用专用网络实现互联的网络结构存在弊端专用网络是指网络基础设施和网络中的信息资源属于单个组织并由该组织对网络实施管理的网络结构。专用网络结构在实际操作过程中会出现一些问题远距离专用链路的租用费用极其昂贵；专用链路两端的互联设备属于不同的因特网服务提供商，ISP之间的协商过程将是一个漫长、复杂的过程；内部网络间数据传输的间歇性和突发性特点，使用专用网络结构会导致链路的利用率很低。2.VPN的基本概念VPN的定义虚拟专用网（VirtualPrivateNetwork，VPN）是一种能够将物理上分布在不同地点的网络通过公用骨干网，尤其是Internet连接而成的逻辑上的虚拟子网。它提供了通过公用网络安全地对企业内部网络进行远程访问的连接。VPN利用网络层安全协议和建立在PKI上的加密和认证技术，来保证传输数据的机密性、完整性、身份验证和不可否认性。作为大型企业网络的补充，VPN技术通常用于实现远程安全接入和管理。2.VPN的基本概念VPN的分类按隧道协议分类（一）协议名称开发者简介点到点隧道协议（PointtoPointTunnelingProtocol，PPTP）Microsoft包含了PPP和MPPE（MicrosoftPoint-to-PointEncryption，微软点对点加密）两个协议，其中PPP用来封装数据，MPPE用来加密数据。PPTP只有工作在纯Windows的网络环境中时才可以发挥所有的功能。第二层隧道协议（Layer2TunnelingProtocol，L2TP）Microsoft、Cisco、3COM等主要是为了解决兼容性的问题。通用路由封装协议（GenericRoutingEncapsulation，GRE）CiscoGRE不是一个完整的VPN协议，因为它不能完成数据的加密、身份认证、数据报文完整性校验等功能，在使用GRE技术的企业网中，经常会结合IPSec使用，以弥补其安全性方面的不足。2.VPN的基本概念VPN的分类按隧道协议分类（二）协议名称开发者简介IP安全协议（IPSecurity，IPSec）IETF(InternetEngineeringTaskForce,因特网工程服务组)是现今企业使用最广泛的VPN协议，它工作在第三层。IPSec是一个开放性的协议，各网络产品制造商都会对IPSec进行支持。安全套接层协议（SecureSocketsLayer，SSL）NetScape基于Web应用提出的一种安全通道协议，它具有保护传输数据积极识别通信机器的功能。SSL主要采用公开密钥体系和X509数字证书，在Internet上提供服务器认证、客户认证、SSL链路上的数据的保密性的安全性保证，被广泛用于Web浏览器与服务器之间的身份认证。多协议标签交换（Multi-ProtocolLabelSwitching，MPLS）IETF(InternetEngineeringTaskForce,因特网工程服务组)是一种用于快速数据包交换和路由的体系，它为网络数据流量提供了目标、路由、转发和交换等能力。更特殊的是，它具有管理各种不同形式通信流的机制。2.VPN的基本概念VPN的分类站点到站点VPN是在VPN网关之间保护两个或更多的站点之间的流量，站点间的流量通常是指局域网之间（L2L）的通信流量。L2LVPN多用于总公司与分公司、分公司之间在公网上传输重要业务数据。对于两个局域网的终端用户来说，VPN网关中间的网络是透明的，就好像通过一台路由器连接的两个局域网。总公司的终端设备通过VPN连接访问分公司的网络资源，数据报封装的IP地址都是公司内网地址（一般为私有地址），对数据包进行的再次封装过程，客户端是全然不知的。2.VPN的基本概念VPN的分类远程访问VPN通常用于单用户设备与VPN网关之间的通信链接，单用户设备一般为一台PC或智能终端设备等。当远端的移动用户与总公司的网络实现远程访问VPN连接后，就好像成为总公司局域网中一个普通用户，不仅使用总公司网段内的IP地址访问公司资源，而且因为其使用隧道模式，真实的IP地址被隐藏起来，实际公网通信的一段链路对于远端移动用户而言就像是透明的。2.VPN的基本概念VPN的产品体系操作系统自带的VPN产品Windows家族WindowsServer2000/2003/2008/2012等都提供了VPN服务的支持，可以实现PPTP/L2TPVPN，配置管理简单。要实现VPN连接，需要企业内部网络中必须配置台基于WindowsServer的VPN服务器，VPN服务器一方面连接企业内部专用网络，另一方面要连接到Internet，也就是说VPN服务器必须拥有一个公用的IP地址。2.VPN的基本概念VPN的产品体系操作系统自带的VPN产品用户大多熟悉Windows操作系统，但对Linux操作系统却较为陌生。Linux发行的版本很多，如FedoraCore、Debian、Ubuntu、RedHatLinux、SuSE、CentOS、红旗等。Linux操作系统和Windows一样都提供了VPN服务的支持，它们之间的区别在于，在配置管理VPN时，Windows使用图形化界面方式，Linux支持图形化界面和文本工具修改配置文件的方式，但在Linux中较为专业的做法是修改配置文件的方式；另外，使用Windows操作系统充当VPN客户端时，由于Windows系统已经配置了VPN客户端连接程序，只需要通过简单的导向即可完成VPN连接的建立，但Linux客户端中的VPN连接则没有那么简单，需要进行一些较为复杂的配置。2.VPN的基本概念VPN的产品体系软件VPN产品ForefrontTMG2010软件VPN产品从2006年开始，微软把主要的安全产品整合在一个产品系列－Forefront中。ForefrontTMG是作为新一代Forefront产品系列Stirling的重要组成部分，已经能够完美地和NAP集成，实现完善的VPN隔离与控制，提供URL、HTTP/HTTPS检查等多种保护功能，这些功能均集成到一个用于管理的网关中，从而降低Web安全的成本和复杂程度。OpenVPN软件VPN产品OpenVPN是一个基于OpenSSL的开源的加密隧道构建工具，可以在Internet中实现SSLVPN安全连接。使用OpenVPN的好处是安全、易用和稳定，且认证方式灵活，具备实现SSLVPN解决方案的完整性，可以应用于Linux、MacOS及Windows各种操作系统平台。2.VPN的基本概念VPN的产品体系集成VPN产品业界著名的网络设备提供商（如思科、华为、华三等）生产的路由器、防火墙等，一般都集成了VPN功能，企业可以基于这些硬件设备来部署VPN。2.VPN的基本概念VPN的产品体系硬件VPN产品硬件VPN指的是专门实现VPN功能的硬件产品，有的生产商把硬件VPN也叫做VPN网关。目前，硬件VPN产品的厂商有深信服、华为、华三、天融信等。尽管都是硬件VPN产品，但是这些VPN产品在性能、功能、管理、价格等方面存在较大的差异，因此在部署VPN服务时，应根据用户的需求，选择合适的VPN产品。3.VPN的安全技术VPN技术非常复杂，它涉及通信技术、密码技术和现代认证技术，是一门交叉学科。VPN安全技术包括：隧道技术加密技术身份认证技术3.VPN的安全技术隧道技术隧道技术（TunnelingProtocal）是VPN的基本技术，类似于点对点连接技术（PointtoPointProtocol，PPP），它在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输。隧道是由隧道协议形成的，主要有点到点隧道协议PPTP（Point-to-PointTunnelingProtocol）、第2层隧道协议L2TP（Level2TunnelingProtocol）、第3层隧道协议IPSec等。2.VPN的基本概念隧道技术3.VPN的安全技术隧道技术协议A称为承载协议，协议A的数据报称为承载协议报；协议B称为载荷协议，协议B的数据报称为载荷协议报；而决定如何实现隧道的协议称为隧道协议。为了便于标识承载协议报中封装的载荷协议报，需要在承载协议头和载荷协议头之间加入一个新的协议头，这个协议称为封装协议。3.VPN的安全技术加密技术在VPN实现中，双方大量的通信流量的加密使用对称加密技术，而在管理、分发对称加密的密钥上采用更加安全的非对称加密技术。3.VPN的安全技术身份认证技术3.VPN的安全技术身份认证技术PAP（PasswordAuthenticationProtocol）密码验证协议如果被认证方发送了错误的用户名或口令，认证服