第2讲网络安全技术

1信息安全技术12026/5/4防火墙的本义原是指古代人们房屋之间修建的墙，这道墙可以防止火灾发生的时候蔓延到别的房屋，如下图所示。这里所说的防火墙不是指为了防火而造的墙，而是指隔离在本地网络与外界网络之间的一道防御系统。§11.1防火墙技术2信息安全技术22026/5/4在互联网上，防火墙是一种非常有效的网络安全系统，通过它可以隔离风险区域（Internet或有一定风险的网络）与安全区域（局域网）的连接，同时不会妨碍安全区域对风险区域的访问，网络防火墙结构如下图所示。§11.1防火墙技术3信息安全技术32026/5/4根据不同的需要，防火墙的功能有比较大差异，但是一般都包含以下三种基本功能：1、可以限制未授权的用户进入内部网络，过滤掉不安全的服务和非法用户2、防止入侵者接近网络防御设施3、限制内部用户访问特殊站点由于防火墙假设了网络边界和服务，因此适合于相对独立的网络，例如Intranet等种类相对集中的网络。Internet上的Web网站中，超过三分之一的站点都是有某种防火墙保护的，任何关键性的服务器，都应该放在防火墙之后。§11.1防火墙技术4信息安全技术42026/5/4防火墙的必要性：（1）集中化的安全管理，强化安全策略Internet上每天都有上百万人在那里收集信息、交换信息，不可避免地会出现个别品德不良的人或违反规则的人，防火墙是为了防止不良现象发生的“交通警察”，它执行站点的安全策略，仅仅容许“认可的”和符合规则的请求通过。（2）网络日志及使用统计防火墙是所有进出信息必须通路，非常适用收集关于系统和网络使用和误用的信息。作为访问的唯一点，防火墙能在被保护网络和外部网络之间进行记录，对网络存取访问进行和统计。§11.1防火墙技术5信息安全技术52026/5/4（3）保护那些易受攻击的服务防火墙能够用来隔开网络中一个网段与另一个网段。这样能够防止影响一个网段的问题通过整个网络传播。（4）增强的保密用来封锁有关网点系统的DNS信息。因此，网点系统名字和IP地址都不要提供给Internet。（5）实施安全策略防火墙是一个安全策略的检查站，控制对特殊站点的访问。所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。§11.1防火墙技术6信息安全技术62026/5/4防火墙有以下四方面的局限：（1）防火墙不能防范网络内部的攻击。比如：防火墙无法禁止内部间谍将敏感数据拷贝到软盘上。（2）防火墙不能防范不通过它的连接。防火墙能够有效地防止通过它进行传输信息，然而不能防止不通过它而传输的信息。如果用网中有些资源绕过防火墙直接与Internet连通，则得不到防火墙的保护。（3）防火墙不能防止传送己感染病毒的软件或文件，不能期望防火墙去对每一个文件进行扫描，查出潜在的病毒。（4）防火墙用来防备已知的威胁，不能自动防御所有新的威胁。§11.1防火墙技术7信息安全技术72026/5/4常见的放火墙有三种类型：数据包过滤、电路层网关、应用层网关。1、包过滤(PacketFiltering)：作用在协议组的网络层和传输层，根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过，只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端，其余数据包则从数据流中丢弃。2、应用代理(ApplicationProxy)：也叫应用网关(ApplicationGateway)，作用在应用层，其特点是完全“阻隔”网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。§11.1防火墙技术8信息安全技术82026/5/43、状态检测（StatusDetection）：直接对分组里的数据进行处理，并且结合前后分组的数据进行综合判断，然后决定是否允许该数据包通过。§11.1防火墙技术9信息安全技术92026/5/4包过滤防火墙：数据包过滤可以在网络层截获数据。使用一些规则来确定是否转发或丢弃所各个数据包。通常情况下，如果规则中没有明确允许指定数据包的出入，那么数据包将被丢弃§11.1防火墙技术10信息安全技术102026/5/4一个可靠的包过滤防火墙依赖于规则集，下表列出了几条典型的规则集。一：主机10.1.1.1任何端口访问任何主机的任何端口，基于TCP协议的数据包都允许通过。二：任何主机的20端口访问主机10.1.1.1的任何端口，基于TCP协议的数据包允许通过。三：任何主机的20端口访问主机10.1.1.1小于1024的端口，如果基于TCP协议的数据包都禁止通过。组序号动作源IP目的IP源端口目的端口协议类型1允许10.1.1.1***TCP2允许*10.1.1.120*TCP3禁止*10.1.1.120<1024TCP§11.1防火墙技术11信息安全技术112026/5/4包过滤防火墙优点：价格较低、对用户透明、对网络性能的影响很小、速度快、易于维护。包过滤防火墙缺点：包过滤配置起来比较复杂、它对IP欺骗式攻击比较敏感、它没有用户的使用记录，这样就不能从访问记录中发现黑客的攻击记录。而攻击一个单纯的包过滤式的防火墙对黑客来说是比较容易的，他们在这一方面已经积累了大量的经验。§11.1防火墙技术12信息安全技术122026/5/4应用代理防火墙：应用代理（ApplicationProxy）是运行在防火墙上的一种服务器程序，防火墙主机可以是一个具有两个网络接口的双重宿主主机，也可以是一个堡垒主机。代理服务器被放置在内部服务器和外部服务器之间，用于转接内外主机之间的通信，它可以根据安全策略来决定是否为用户进行代理服务。代理服务器运行在应用层，因此又被称为“应用网关”。§11.1防火墙技术13信息安全技术132026/5/4应用代理防火墙的优点：可以将被保护的网络内部结构屏蔽起来，增强网络的安全性；可用于实施较强的数据流监控、过滤、记录和报告等。应用代理防火墙缺点：使访问速度变慢，因为它不允许用户直接访问网络；应用级网关需要针对每一个特定的Internet服务安装相应的代理服务器软件，用户不能使用未被服务器支持的服务，这就意味着用户可能会花费一定的时间等待新服务器软件的安装；并不是所有的Internet应用软件都可以使用代理服务器。§11.1防火墙技术14信息安全技术142026/5/4状态检测防火墙：状态检测防火墙安全特性非常好，它采用了一个在网关上执行网络安全策略的软件引擎，称之为检测模块。检测模块在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施监测，抽取部分数据，即状态信息，并动态地保存起来作为以后指定安全决策的参考。状态检测防火墙的优点：检测模块支持多种协议和应用程序，并可以很容易地实现应用和服务的扩充；它会监测RPC和UDP之类的端口信息，而包过滤和代理网关都不支持此类端口；性能坚固。状态检测防火墙缺点：配置非常复杂；会降低网络的速度。§11.1防火墙技术15信息安全技术152026/5/4防火墙有三种体系结构：双宿／多宿主机结构、屏蔽主机体系结构、屏蔽子网体系结构1、双宿／多宿主机结构：多宿主机通常是一台具有多块网卡的堡垒主机。堡垒主机可以充当与这些接口相连的网络之间的防火墙，从一个网络到另一个网络发送IP数据包必须经过主机检查。§11.1防火墙技术16信息安全技术162026/5/42、屏蔽主机结构：该结构防火墙需要一个带数据分组过滤功能的路由器和一台堡垒主机。使用一个单独的路由器控制所有出入内部网的访问，并使堡垒主机成为外部网络唯一可直接到达的主机。它实现了网络层和应用层安全，提供的安全级别相对较高。§11.1防火墙技术17信息安全技术172026/5/43、屏蔽子网体系结构：该结构防火墙需要两个分组过滤路由器和一台堡垒主机。在内部网络与Internet之间有一个小型的独立网络，称为周边网。两个分组过滤路由器，一个位于周边网与内部的网络之间，另一个位于周边网与外部网络之间。内部路由器（有时被称为阻塞路由器）保护内部的网络使之免受Internet和周边网的侵犯。外部路由器起着保护周边网和内部网免受来自Internet的攻击。§11.1防火墙技术18信息安全技术182026/5/4入侵检测技术是动态安全技术的最核心技术之一。传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术，对网络环境下日新月异的攻击手段缺乏主动的反应。

入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息、分析信息，查看是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全防线，提供对内部攻击、外部攻击和误操作的实时保护。§11.2入侵检测技术19信息安全技术192026/5/4什么是入侵检测入侵检测是指对入侵行为的发现、报警和响应，它通过对计算机网络或计算机系统中若干关键点收集信息，并对收集到的信息进行分析，从而判断网络或系统中是否有违反安全策略的行为和系统被攻击的征兆。入侵检测的目标是识别系统内部人员和外部入侵者的非法使用、滥用计算机系统的行为。§11.2入侵检测技术20信息安全技术202026/5/4入侵检测系统功能入侵检测系统能主动发现网络中正在进行的针对被保护目标的恶意滥用或非法入侵，并能采取相应的措施及时中止这些危害，如提示报警、阻断连接、通知网管等。其主要功能是监测并分析用户和系统的活动、核查系统配置中的安全漏洞、评估系统关键资源与数据文件的完整性、识别现有已知的攻击行为或用户滥用、统计并分析异常行为、对系统日志的管理维护。§11.2入侵检测技术21信息安全技术212026/5/4

入侵检测系统1DS（IntrusionDetectionSystem）是负责入侵检测的软/硬件组合体，该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。

简单的入侵检测系统报警攻击模式库配置系统库入侵分析引擎

响应处理

数据采集安全控制主机系统系统操作审计记录/协议数据§11.2入侵检测技术22信息安全技术222026/5/4入侵检测的三个基本步骤：信息收集、数据分析和响应。1、信息收集：收集的内容包括整个计算机网络中系统、网络、数据及用户活动的状态和行为。入侵检测在很大程度上依赖于收集信息的可靠性、正确性和完备性。因此，要确保采集、报告这些信息的软件工具的可靠性，这些软件本身应具有相当强的坚固性，能够防止被篡改而收集到错误的信息。否则，黑客对系统的修改可能使入侵检测系统功能失常但看起来却跟正常的系统一样。§11.2入侵检测技术23信息安全技术232026/5/42、数据分析(AnalysisSchemes)：它是入侵检测系统的核心，它的效率高低直接决定了整个入侵检测系统的性能。根据数据分析的不同方式可将入侵检测系统分为异常入侵检测与误用入侵检测两类。3、响应：数据分析发现入侵迹象后，入侵检测系统就必须进行响应，而并不局限于对可疑的攻击者。目前的入侵检测系统一般采取的响应有：将分析结果记录在日志文件中，并产生相应的报告；触发警报，如在系统管理员的桌面上产生一个告警标志位，向系统管理员发送电子邮件等；修改入侵检测系统或目标系统，如终止进程、切断攻击者的网络连接，或更改防火墙配置等。§11.2入侵检测技术24信息安全技术242026/5/4根据入侵检测采用的原理不同，入侵检测系统可分为：异常检测、误用检测和特征检测。1、异常检测：监控用户行为，将当前行为活动情况和用户轮廓（描述正常行为范围）进行比较，用户行为与正常行为有重大偏差时即被认为是入侵。系统的效率取决于用户轮廓的完备性和监控的频率。但是在许多环境中，为用户建立正常行为模式的特征轮廓以及对用户活动的异常性进行报警的门限值的确定都是比较困难的事，因为并不是所有入侵者的行为都能够产生明显的异常性。§11.2入侵检测技术25信息安全技术252026/5/42、误用检测：系统提供攻击特征库，当监测的用户或系统行为与库中的记录匹配时，被认为是入侵行为。错报率较异常监测低，但是漏报率增加，因为攻击特征的细微变化可能不被认为是入侵行为。3、特征检测：定义系统行为轮廓，并将系统行为与轮廓比较，对未指明为正常行为的事件定义为入侵。通过提高行为特征定义的准确度和覆盖范围，可大幅度降低漏报和错报率。§11.2入侵检测技术26信息安全技术262026/5/4根据入侵检测的信息来源不同，入侵检测系统可分为两类：基于主机的入侵检测系统和基于网络的入侵检测系统。1、基于主机的入侵检测系统：检测的目标主要是主机系统和系统本地用户。在需要保护的主机（端系统）上运行代理程序，根据主机的审计数据和系统的日志发现可疑事件，从而实现监控。优点：检测效率高，分析代价低，分析速度快，能迅速定位入侵者缺点：会降低应用系统的效率；依赖于服务器固有的日志与监视能力；全面布署代价较大，部分安装则存在保护盲点。§11.2入侵检测技术27信息安全技术272026/5/4审计记录收集方法异常检测误用检测安全管理员接口审计记录数据库审计记录数据归档/查询目标系统审计记录预处理基于主机的入侵检测系统模型§11.2入侵检测技术28信息安全技术282026/5/42、基于网络的入侵检测系统：主要用于实时监控网络关键路径的信息，监听网络上所有分组来采集数据，分析可疑现象。利用网络适配器来实时监视和分析所有通过网络进行传输的通信。一旦检测到攻击，IDS相应模块通过通知、报警以及中断连接等方式来对攻击做出反应。分析结果网络接口网络接口分析引擎模块管理/配置模块网络安全数据库采集模块采集模块§11.2入侵检测技术29信息安全技术292026/5/4优点：①检测的范围是整个网段，而不仅仅是被保护的主机。②实时检测和应答。一旦发生恶意访问或攻击，能够更快地做出反应，将入侵活动对系统的破坏减到最低。③隐蔽性好。不需要在每个主机上安装，不易被发现。④不需要任何特殊的审计和登录机制，只要配置网络接口就可以了，不会影响其他数据源。⑤操作系统独立。基于网络的IDS并不依赖主机的操作系统作为检测资源。

§11.2入侵检测技术30信息安全技术302026/5/4缺点：①只检查它直接连接网段的通信；②为了性能目标常采用特征检测法，难实现复杂计算与分析。③会将大量的数据传给检测分析系统。§11.2入侵检测技术31信息安全技术312026/5/4入侵检测系统关键技术1、模式匹配：模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。模式匹配方法是入侵检测领域中应用最为广泛的检测手段和机制之一，通常用于误用检测。2、统计分析：统计分析方法首先给用户、文件、目录和设备等系统对象创建一个统计描述。统计正常使用时的一些测量属性，测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。§11.2入侵检测技术32信息安全技术322026/5/43、专家系统：

专家系统是一种以知识为基础，根据人类专家的知识和经验进行推理，解决需要专家才能解决的复杂问题的计算机程序系统。用专家系统对入侵进行检测主要是针对误用检测，是针对有特征入侵的行为。4、神经网络：

神经网络具有自适应、自组织、自学习的能力，可以处理一些环境信息复杂、背景知识不清楚的问题。§11.2入侵检测技术33信息安全技术332026/5/45、数据挖掘：

数据挖掘是从大量的数据中抽取出潜在的、有价值的知识（即模型或规则）的过程。对于入侵检测系统来说，也需要从大量的数据中提取入侵特征。6、协议分析：协议分析是利用网络协议的高度规则性快速探测攻击的存在。协议分析技术对协议进行解码，减少了入侵检测系统需要分析的数据量。§11.2入侵检测技术34信息安全技术342026/5/4入侵检测系统模型介绍1、分布式入侵检测系统：

§11.2入侵检测技术35信息安全技术352026/5/4

入侵检测系统模型介绍2、基于移动代理的入侵检测系统：

§11.2入侵检测技术36信息安全技术362026/5/4

入侵检测系统模型介绍3、智能入侵检测系统：

§11.2入侵检测技术37信息安全技术372026/5/4入侵检测系统标准化1、IETF的入侵检测工作组IDWG：

IDWG的工作目标是定义入侵检测系统中的数据格式、信息交换过程和交换协议。IDWG的文档定义了入侵检测系统中信息交换需求IDMER、信息交换的格式IDMEF、入侵检测交换协议IDXP以及一种可以绕过防火墙的数据传输方法TUNNEL。2、通用入侵检测框架CIDF：

CIDF是一套规范，它定义了IDS表达检测信息的标准语言以及IDS组件之间的通信协议。CIDF的文档由四个部分组成：体系结构、规范语言、内部通信和程序接口。§11.2入侵检测技术38信息安全技术382026/5/4（1）体系结构事件产生器：负责从整个计算环境中获取事件，然后将事件转化为GIDO标准格式提交给其它组件使用。事件分析器：事件分析器从其他组件接收GIDO数据，并分析它们，然后以一个新的GIDO形式返回分析结果。事件数据库：事件数据库负责GIDO的存储，是存放各种中间和最终数据的地方的统称。响应单元：响应单元是对分析结果作出反应的功能单元，它可以是终止进程、切断连接、改变文件属性，也可以只是简单的报警和记录。§11.2入侵检测技术39信息安全技术392026/5/4（2）规范语言规范语言定义了一个用来描述各种检测信息的标准语言，定义了一种用于表示原始事件信息、分析结果和响应指令的语言，称为CISL。（3）内部通信内部通信定义了IDS组件之间进行通信的标准协议。一种为匹配服务法，另一种为消息层法。匹配服务为CIDF各组件之间的相互识别、定位和信息共享提供了一个标准的统一机制。（4）程序接口程序接口提供了一整套标准的应用程序接口。§11.2入侵检测技术40信息安全技术402026/5/4入侵检测系统Snort

Snort是一个免费的、开放源代码的基于网络的入侵检测系统，具有很好的扩展性和可移植性。1、Snort主要功能：

数据包嗅探器、数据包记录器、网络入侵检测。2、Snort特点：（1）Snort是一个跨平台、轻量级的网络入侵检测软件。（2）Snort采用基于规则的网络信息搜索机制，对数据包进行内容的模式匹配，从中发现入侵和探测行为。§11.2入侵检测技术41信息安全技术412026/5/4（3）Snort具有实时数据流量分析和监测IP网络数据包的能力，能够进行协议分析，对内容进行搜索/匹配。它能够检测各种不同的攻击方式，对攻击进行实时报警。它还可以用来截获网络中的数据包并记录数据包日志。（4）Snort的报警机制丰富。（5）Snort的日志格式既可以是二进制格式，也可以解码成ASCII字符形式，便于用户检查。（6）Snort使用一种简单的规则描述语言，能够很快对新的网络攻击作出反应。（7）Snort支持插件。可以使用具有特定功能的报告、检测子系统插件对其功能进行扩展。§11.2入侵检测技术42信息安全技术422026/5/43、Snort组成：（1）数据包解码器。主要是对各种协议栈上的数据包进行解析、预处理，以便提交给检测引擎进行规则匹配。（2）检测引擎。Snort用一个二维链表存储检测规则，一维称为规则头，另一维称为规则选项。规则匹配查找采用递归的方法，检测机制只针对当前已经建立的链表选项进行检测。（3）日志子系统。Snort可供选择的日志形式有三种：文本形式、二进制形式、关闭日志服务。（4）报警子系统。报警形式有五种：报警信息可发往系统日志；用文本形式记录到报警文件中；用二进制形式记录到报警文件；通过Samba发送WinPopup信息；关闭报警。§11.2入侵检测技术43信息安全技术§11.3VPN技术一、VPN技术概述二、VPN的隧道技术三、VPN的实现技术四、VPN的配置44信息安全技术一、VPN技术概述在国外，虚拟专用网即VPN(VirtalPrivateNetwork)已经迅速发展起来，2001年全球VPN市场将达到120亿美元。在中国，虽然人们对VPN的安全性、服务质量（QoS）等方面存有疑虑，但互联网和电子商务的快速发展，中国的VPN市场将逐渐热起来。对国内的用户来说，VPN最大的吸引力是价格。据估算，如果企业放弃租用专线而采用VPN，其整个网络的成本可节约21%~45%，而那些以电话拨号方式连网存取数据的公司，采用VPN则可以节约通信成本50%~80%。§11.3VPN技术45信息安全技术虚拟专用网，顾名思义不是真的专用网络，却能实现专用网络的功能。虚拟专用网指的是依靠ISP（因特网服务提供商）和其他NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。§11.3VPN技术46信息安全技术IETF草案理解基于IP的VPN为：“使用IP机制仿真出一个私有的广域网”，是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用因特网公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。由于VPN是在因特网上临时建立的安全专用虚拟网络，用户就节省了租用专线的费用，在运行的资金支出上，除了购买VPN设备，企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用，也节省了长途电话费。这就是VPN价格低廉的原因。§11.3VPN技术47信息安全技术VPN是一条穿过混乱的公用网络的安全、稳定的隧道。通过对网络数据的封包和加密传输，在一个公用网络（通常是因特网）建立一个临时的、安全的连接，从而实现在公网上传输私有数据，达到私有网络的安全级别。通常，VPN是对企业内部网的扩展，通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。VPN可用于不断增长的移动用户的全球因特网接入，以实现安全连接；用于实现企业网站之间安全通信的虚拟专用线路；用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。§11.3VPN技术48信息安全技术VPN应能提供如下基本功能身份鉴别:鉴权、审计地址管理：私有地址分配数据加密：保持用户数据的私密性密钥管理：VPN用户和服务器之间的密钥管理多协议支持：兼容性§11.3VPN技术49信息安全技术VPN的基本类型及应用根据用户使用的情况和应用环境的不同，VPN主要分为三种典型的应用方式：远程接入VPN（AccessVPN）内联网VPN（IntranetVPN）外联网VPN（ExtranetVPN）§11.3VPN技术50信息安全技术远程接入VPN（AccessVPN）也称为移动VPN，即为移动用户提供一种访问单位内部网络资源的方式主要应用于单位内部人员在外访问单位内部网络资源，或为家庭办公的用户提供远程接入单位内部网络的服务远程用户只要通过本地号码或免费号码拨入ISP，然后ISP的NAS再发起一条隧道连接连到用户的企业网。在这种情况下，所建立的VPN连接对远端用户是透明的，构建VPN所需的协议及软件均由ISP负责管理和维护。目前远程接入VPN使用非常广泛。§11.3VPN技术51信息安全技术内联网VPN（IntranetVPN）将位于不同地址位置的两个内部网络通过公共网络连接起来，形成一个逻辑上的局域网。需要分别在每一个局域网中设置一台VPN网关，同时每一个VPN网关都需要分配一个公用IP地址，以实现VPN网关的远程连接。局域网中的所有主机都可以使用私有IP地址进行通信。主要应用于具有多个分支机构的组织进行局域网之间的互联。§11.3VPN技术52信息安全技术外联网VPN（ExtranetVPN）与内联网相似，也是一种网关对网关的结构，但位于不同内部网络的主机在功能上是不平等的。是随着企业经营法纳公司的发展而出现的一种网络连接方式。现代企业需要在企业与银行、供应商、销售商及客户之间建立联系，但在这种联系过程中，企业需要根据不同的用户身份进行授权访问，建立相应的身份认证机制和访问控制机制。其实是对内联网在应用功能上的延伸，是在内联网VPN的基础上增加了身份认证、访问控制等安全机制。§11.3VPN技术

VPN的实现技术隧道技术加密技术身份认证技术密钥交换和管理§11.3VPN技术

隧道技术利用Internet等公共网络已有的数据通信方式，在隧道的一端将数据进行封装，通过已建立的隧道进行传输。在隧道的另一端进行解封装，将得到的原始数据交给对端设备技术实质：用一种网络层协议来传输另一种网络层协议隧道的组成三要素：隧道开通器、有路由能力的公用网络、隧道终止器隧道技术涉及的协议：隧道协议隧道协议承载协议（提供隧道传输的底层协议）被隧道协议所承载的协议（隧道传输的高层协议）§11.3VPN技术

隧道技术从VPN应用的角度来看，隧道提供的是IP层以下的功能从公网传输的角度来看，隧道功能是IP层以上提供的一种应用服务隧道协议在这个协议体系中起着承上启下的作用作为VPNIP层的底层，将VPNIP分组进行安全封装作为公用IP网的一种特殊应用形式，将封装的VPN分组利用公网内的IP协议栈进行传输按数据封装时，在OSI参考模型中位置的不同分为第二层隧道技术：L2F，PPTP，L2TP第三层隧道技术：IPSec，GRE§11.3VPN技术

加密技术IPSec通过ISAKMP/IKE/Oakley协商确定几种可选的数据加密算法，如DES、3DES等。DES密钥长度为56位，容易被破译，3DES使用三重加密增加了安全性。当然国外还有更好的加密算法，但国外禁止出口高位加密算法。基于同样理由，国内也禁止重要部门使用国外算法。国内算法不对外公开，被破解的可能性极小。§11.3VPN技术

认证技术防止数据的伪造和被篡改，它采用一种称为“摘要”的技术。“摘要”技术主要采用Hash函数将一段长的报文通过函数变换，映射为一段短的报文即摘要。由于Hash函数的特性，两个不同的报文具有相同的摘要几乎不可能。该特性使得摘要技术在VPN中有两个用途：验证数据的完整性、用户认证。§11.3VPN技术

密钥交换和管理VPN中密钥的分发与管理非常重要。密钥的分发有两种方法：一种是通过手工配置的方式；另一种采用密钥交换协议动态分发。手工配置的方法由于密钥更新困难，只适合于简单网络的情况。密钥交换协议采用软件方式动态生成密钥，适合于复杂网络的情况且密钥可快速更新，可以显著提高VPN的安全性。目前主要的密钥交换与管理标准有IKE（互联网密钥交换）、SKIP（互联网简单密钥管理）和Oakley。§11.3VPN技术

VPN的应用特点非常明显的应用优势，其产品引起企业用户的普遍关注软件平台VPN，专用硬件平台VPN及集成到网络设备的VPN不断推出，技术推陈出新，满足不同用户应用需求VPN的应用优势节约成本提供了安全保障易于扩展VPN的不足安全问题（安全边界的扩展、密钥管理、身份认证）解决方案（完善的加密和认证机制并配合防火墙）§11.3VPN技术

二、VPN的隧道技术隧道技术是VPN技术的核心，加密和身份认证等安全技术都需要与隧道技术相结合来实现。目前主流的隧道协议包括了在数据链路层的PPTP、L2TP协议；在网络层的IPSec协议；在TCP层的SOCKsv5协议；在会话层的SSL协议。§11.3VPN技术

1、PPTP协议PointtoPointTunnelingProtocol，点到点隧道协议Microsoft、Ascend、3Com在PPP协议的基础上开发加密认证：RC4，PAP/CHAP隧道维护：使用TCP协议进行隧道维护（建立、拆除）封装形式：PPP帧可承载上层VPN中多种类型的网络层协议，提供加密和压缩功能使用通用路由封装协议（GRE）封装PPP帧GRE封装在IP分组中传输§11.3VPN技术

1、PPTP协议PPTP是PPP协议的一种扩展用于建立AccessVPN工作过程远程用户通过某种方式连接到Internet用户可能采用PPP协议通过本地ISP上网远程用户希望访问某VPN中的资源通过二次拨号，建立到VPNPPTP服务器的PPP连接即PPTP隧道，在IP公网上建立的一个PPP连接PPTP隧道建立类似PPP连接的建立，需验证用户身份隧道建立后，远程用户访问VPN有安全保障§11.3VPN技术

2、L2F协议Layer2Forwarding，第二层转发协议Cisco可以在多种媒质如ATM、帧中继、IP网上建立多协议的安全VPN通信方式隧道的