第6次课-虚拟专用网络

1、虚拟专用网络,网络安全技术及应用,本章要点 VPN回顾 Win2K下组建VPN WinXP下配置VPN ,网络安全技术及应用,虚拟专用网络,虚拟专用网(Virtual Private Network ，简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM(异步传输模式)、Frame Relay (帧中继)等之上的逻辑网络，用户数据在逻辑链路中传输。,网络安全技术及应用,虚拟专用网络,1. 虚拟专用网VPN技术 在传统的企业网

2、络配置中，要进行异地局域网之间的互连，传统的方法是租用DDN(数字数据网)专线或帧中继。这样的通讯方案必然导致高昂的网络通讯/维护费用。对于移动用户(移动办公人员)与远端个人用户而言，一般通过拨号线路(Internet)进入企业的局域网，而这样必然带来安全上的隐患。,网络安全技术及应用,虚拟专用网络,虚拟专用网指的是依靠ISP（Internet服务提供商）和其它NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。 所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是

3、使用Internet 公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。,网络安全技术及应用,虚拟专用网络,用户现在在电信部门租用的帧中继（Frame Relay）与ATM等数据网络提供固定虚拟线路（PVC-Permanent Virtual Circuit）来连接需要通讯的单位，所有的权限掌握在别人的手中。 如果用户需要一些别的服务，需要填写许多的单据，再等上相当一段时间，才能享受到新的服务。更为重要的是两端的终端设备不但价格昂贵，而且管理也需要一定的专业技术人员，无疑增加了成本 而且帧中继、ATM数据网络也不会像Internet那样，可立即与世界上任

4、何一个使用Internet网络的单位连接。而在Internet上，VPN使用者可以控制自己与其他使用者的联系，同时支持拨号的用户。,网络安全技术及应用,虚拟专用网络,所以我们说的虚拟专用网一般指的是建筑在Internet上能够自我管理的专用网络，而不是Frame Relay或ATM等提供虚拟固定线路（PVC）服务的网络。以IP为主要通讯协议的VPN，也可称之为IP-VPN。 由于VPN是在Internet上临时建立的安全专用虚拟网络，用户就节省了租用专线的费用，在运行的资金支出上，除了购买VPN设备，企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用，也节省了长途电话费。这就是VPN价格

5、低廉的原因。,网络安全技术及应用,虚拟专用网络,2.提出原因 虚拟专用网的提出就是来解决这些问题： (1)使用VPN可降低成本通过公用网来建立VPN，就可以节省大量的通信费用，而不必投入大量的人力和物力去安装和维护WAN(广域网)设备和远程访问设备。 (2)传输数据安全可靠虚拟专用网产品均采用加密及身份验证等安全技术，保证连接用户的可靠性及传输数据的安全和保密性。,网络安全技术及应用,虚拟专用网络,2.提出原因 虚拟专用网的提出就是来解决这些问题： (3)连接方便灵活用户如果想与合作伙伴联网，如果没有虚拟专用网，双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路，有了虚拟专用网

6、之后，只需双方配置安全连接信息即可。 (4)完全控制虚拟专用网使用户可以利用ISP的设施和服务，同时又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源，对于其它的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网。,网络安全技术及应用,虚拟专用网络,3.技术特点 安全保障 虽然实现VPN的技术和方式很多，但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接，称之为建立一个隧道，可以利用加密技术对经过隧道传输的数据进行加密，以保证数据仅被指定的发送者和接收者了解，从而保证了数据的私有性和安全性。 在

7、安全性方面，由于VPN直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。,网络安全技术及应用,虚拟专用网络,3.技术特点 服务质量保证（QoS） VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户，提供广泛的连接和覆盖性是保证VPN服务的一个主要因素；而对于拥有众多分支机构的专线VPN网络，交互式的内部企业网应用则要求网络能提供良好的稳定性；对于其它应用（如视频等）则对网络提出了更明确的要求，如网络时延及误码率等。所

8、有以上网络应用均要求网络根据需要提供不同等级的服务质量。,网络安全技术及应用,虚拟专用网络,3.技术特点 服务质量保证（QoS） 在网络优化方面，构建VPN的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时引起网络阻塞，产生网络瓶颈，使实时性要求高的数据得不到及时发送；而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略，可以按照优先级分配带宽资源，实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。,网络安全技术及应用,虚拟专用网络,3.技术特点 可扩充性和灵活性 VPN必须能够支

9、持通过Intranet和Extranet的任何类型的数据流，方便增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。,网络安全技术及应用,虚拟专用网络,3.安全技术 由于传输的是私有信息，VPN用户对数据的安全性都比较关心。 目前VPN主要采用四项技术来保证安全，这四项技术分别是隧道技术（Tunneling）、加解密技术（Encryption & Decryption）、密钥管理技术（Key Management）、使用者与设备身份认证技术（Authentication）。,网络安全技术及应用,虚拟专用网络,3.安全技术 隧道技术 隧道

10、技术是VPN的基本技术类似于点对点连接技术，它在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输。隧道是由隧道协议形成的，分为第二、三层隧道协议。 第二层隧道协议是先把各种网络协议封装到PPP中，再把整个数据包装入隧道协议中。第二层隧道协议有L2F、PPTP、L2TP等。,网络安全技术及应用,虚拟专用网络,3.安全技术 隧道技术 第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等。IPSec（IP Security）是由一组RFC文档组成，定义了一个系统来提供安全协议选择、安全算法，确定服务所使用密钥等服务，从而在

11、IP层提供安全保障。 加解密技术,网络安全技术及应用,虚拟专用网络,3.安全技术 加解密技术 加解密技术是数据通信中一项较成熟的技术，VPN可直接利用现有技术。 密钥管理技术 密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。,网络安全技术及应用,虚拟专用网络,3.安全技术 使用者与设备身份认证技术 使用者与设备身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。,网络安全技术及应用,虚拟专用网络,3.安全技术 漏洞处理 安全问题是VPN的核心问题。目前，VPN的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来实现的，可以保证企业员工安全地访问公司

12、网络。 但是，如果一个企业的VPN需要扩展到远程访问时，就要注意，这些对公司网直接或始终在线的连接将会是黑客攻击的主要目标。因为，远程工作员工通过防火墙之外的个人计算机可以接触到公司预算、战略计划以及工程项目等核心内容，这就构成了公司安全防御系统中的弱点。,网络安全技术及应用,虚拟专用网络,3.安全技术 漏洞处理 加密的隧道是安全的，连接也是正确的，但这并不意味着家庭计算机是安全的。 黑客为了侵入员工的家用计算机，需要探测IP地址。一旦黑客侵入了家庭计算机，他便能够远程运行员工的VPN客户端软件。因此，必须有相应的解决方案堵住远程访问VPN的安全漏洞，使员工与网络的连接既能充分体现VPN的优点

13、，又不会成为安全的威胁。,网络安全技术及应用,虚拟专用网络,3.安全技术 漏洞处理 当然，还有一些提供给远程工作人员的实际解决方法： * 所有远程工作人员必须被批准使用VPN； * 所有远程工作人员需要有个人防火墙，它不仅防止计算机被侵入，还能记录连接被扫描了多少次； * 所有的远程工作人员应具有入侵检测系统，提供对黑客攻击信息的记录； * 监控安装在远端系统中的软件，并将其限制只能在工作中使用； * IT人员需要对这些系统进行与办公室系统同样的定期性预定检查； * 外出工作人员应对敏感文件进行加密； * 安装要求输入密码的访问控制程序，如果输入密码错误，则通过Modem向系统管理员发出警报；

14、 * 当选择DSL供应商时，应选择能够提供安全防护功能的供应商。,网络安全技术及应用,虚拟专用网络,4 解决方案 VPN有三种解决方案，用户可以根据自己的情况进行选择。这三种解决方案分别是： 远程访问虚拟网（AccessVPN） 企业内部虚拟网（IntranetVPN） 企业扩展虚拟网（ExtranetVPN）， 这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。,网络安全技术及应用,虚拟专用网络,4 解决方案-远程访问虚拟网AccessVPN 如果企业的内部人员移动或有远程办公需要，或者商家要提供B2C的安全

15、访问服务，就可以考虑使用AccessVPN。 AccessVPN通过一个拥有与专用网络相同策略的共享基础设施，提供对企业内部网或外部网的远程访问。 AccessVPN能使用户随时、随地以其所需的方式访问企业资源。AccessVPN包括模拟、拨号、ISDN、数字用户线路(xDSL)、移动IP和电缆技术，能够安全地连接移动用户、远程工作者或分支机构。,网络安全技术及应用,虚拟专用网络,解决方案-企业内部虚拟网IntranetVPN 如果要进行企业内部各分支机构的互联，使用IntranetVPN是很好的方式。 显然，在分公司增多、业务开展越来越广泛时，网络结构趋于复杂，费用昂贵。利用VPN特性可以在

16、Internet上组建世界范围内的IntranetVPN。利用Internet的线路保证网络的互联性，而利用隧道、加密等VPN特性可以保证信息在整个IntranetVPN上安全传输。,网络安全技术及应用,虚拟专用网络,4 解决方案企业扩展虚拟网ExtranetVPN 如果是提供B2B之间的安全访问服务，则可以考虑ExtranetVPN。 利用VPN技术可以组建安全的Extranet，既可以向客户、合作伙伴提供有效的信息服务，又可以保证自身的内部网络的安全。 ExtranetVPN通过一个使用专用连接的共享基础设施，将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策

17、，包括安全、服务质量(QoS)、可管理性和可靠性。,网络安全技术及应用,虚拟专用网络,4 解决方案 VPN有三种解决方案，用户可以根据自己的情况进行选择。这三种解决方案分别是： 远程访问虚拟网（AccessVPN） 企业内部虚拟网（IntranetVPN） 企业扩展虚拟网（ExtranetVPN）， 这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。 AccessVPN,网络安全技术及应用,虚拟专用网络,5 IPSec概述 5.1 IPSec协议簇 IPSec定义了一种标准的、健壮的和包容广泛的机制，利用IPS

18、ec可以为IP以及上层协议（如TCP或者UDP）提供安全保证。 IPSec的目标是为IPv4和IPv6提供具有较强的互操作能力、高质量和基于密码的安全功能，在IP层实现多种安全服务，包括访问控制、数据完整性、机密性等。,网络安全技术及应用,虚拟专用网络,5.2. IPSec的实现方式和实施(1) IPSec的实现方式有两种：传输模式和隧道模式，都可用于保护通信。 (1) 传输模式用于两台主机之间，保护传输层协议头，实现端到端的安全性。如图所示。,网络安全技术及应用,虚拟专用网络,5.2. IPSec的实现方式和实施(2) (2) 隧道模式用于主机与路由器或两部路由器之间，保护整个IP数据包。如

19、图所示。 IPSec可在终端主机、网关/路由器或者两者中同时进行实施和配置。,网络安全技术及应用,虚拟专用网络,一、配置VPN服务器 1、尚未配置：Win2K中的VPN包含在”路由和远程访问服务”中。当你的Win2K服务器安装好之后，它也就随之自动存在了！不过此时当你打开”管理工具”中的”路由和远程访问”项进入其主窗口后，在左边的”树”栏中选中”服务器准状态”，即可从右边看到其”状态”正处于”已停止（未配置）”的情况下。 2、开始配置：要想让Win2K计算机能接受客户机的VPN拨入，必须对VPN服务器进行配置。在左边窗口中选中”SERVER”（服务器名），在其上单击右键，选”配置并启用路由和远

20、程访问”。,网络安全技术及应用,Win2K下组建VPN,配置并启用路由和远程访问,网络安全技术及应用,Win2K下组建VPN,3、如果以前已经配置过这台服务器，现在需要重新开始，则在 “SERVER”（服务器名）上单击右键，选”禁用路由和远程访问”，即可停止此服务，以便重新配置！,网络安全技术及应用,Win2K下组建VPN,4、当进入配置向导之后，在”公共设置”中，选中”虚拟专用网络（VPN）服务器”，以便让用户能通过公共网络（比如Internet）来访问此服务器。 5、在”远程客户协议”的对话框中，一般来说，这里面至少应该已经有了TCP/IP协议，则只需直接点选”是，所有可用的协议都在列表上

21、”再”下一步”即可。,网络安全技术及应用,Win2K下组建VPN,6、之后系统会要求你再选择一个此服务器所使用的Internet连接，在其下的列表中选择所用的连接方式（比如已建立好的拨号连接或通过指定的网卡进行连接等）再”下一步”。 7、接着在回答”您想如何对远程客户机分配IP地址”的询问时，除非你已在服务器端安装好了DHCP服务器，否则请在此处选”来自一个指定的IP地址范围”（推荐）。,网络安全技术及应用,Win2K下组建VPN,8、然后再根据提示输入你要分配给客户端使用的起始IP地址，”添加”进列表中，比如此处为”192.168.0.80192.168.0.90”。（请注意，此IP地址范围

22、要同服务器本身的IP地址处在同一个网段中，即前面的”192.168.0”部分一定要相同！） 9、最后再选”不，我现在不想设置此服务器使用RADIUS”即可完成最后的设置。此时屏幕上将自动出现一个正在开户”路由和远程访问服务”的小窗口，当它消失之后，打开”管理工具”中的”服务”，即可以看到”Routing and Remote Access”（路由和远程访问）项”自动”处于”已启动”状态了！,网络安全技术及应用,Win2K下组建VPN,二、赋予用户拨入的权限 1、默认的，任何用户均被拒绝拨入到服务器上。 2、欲给一个用户赋予拨入到此服务器的权限，需打开管理工具中的用户管理器（在”计算机管理”项或

23、”Active Directory用户和计算机”中），选中所需要的用户，在其上单击右键，选”属性”。 3、在该用户属性窗口中选”拨入”项，然后点击”允许访问”项，再”确定”即可完成赋予此用户拨入权限的工作。,网络安全技术及应用,Win2K下组建VPN,三、通过局域网来进行的VPN连接 1、进入Win98的计算机，它要想连接到VPN服务器，则需要先安装”虚拟专用网络”服务。在控制面板的”网络”下，进入”通讯”即可找到此项并添加上去；安装完成之后再根据提示重启动计算机。 2、重新启动之后，在控制面板的”网络”中就有了”Microsoft 虚拟私人网络适配器”，即说明VPN服务已安装成功！,网络安全技术及应用,Win2K下组建VPN,三、通过局域网来进行的VPN连接,网络安全技术及应用,Win2K下组建VPN,三、通过局域网来进行的VPN连接 3、还需要建立到VPN服务器的连接。首先进入我的电脑的”拨号网络”中，双击”建立新连接”，然后在”请键入对方计算机的名称”输入连接名，比如为”局域网内的VPN连接”，在”选择设备”下一定不要忘了选中”Microsoft VPN Adapter”项！再”下一步”。,网络安全技术及应用,Win2K下组建VPN,三、通过局域网来进行的VPN连接,网络安全技术及应用,Win2K下组建VPN,4、接着出现”请输入VPN服务器的名称或I