【精品】网络安全理论与技术

全论术网络安全理论与技术张卫东张卫东西安电子科技大学通信工程学院信息工程系E-mail:xd_zwd@yahoo.com.cnVPN定义•定义：虚拟专用网（VPN）是针对传统的“企业专•定义：虚拟专用网（VPN）是针对传统的企业专用网络”而言的，它是指在公共网络上通过隧道和/或加密技术，为企业所建立的逻辑上的专用网络。2„VPN(VirtualPrivateNetwork)是通过Internet公共网络在局域网络之间或单点之间安全地传递数据的技术网络在局域网络之间或单点之间安全地传递数据的技术远程局域分支机构VPNVPNVPNVPNGatewayGateway总部网络远程局域网络LAN总部InternetISPISPModemsModemsGatewayGateway网络单个用户VPNVPN可以省去专线租用费用或者长距离电话费用大大降低成本可以省去专线租用费用或者长距离电话费用大大降低成本odesodes••VPNVPN可以省去专线租用费用或者长距离电话费用，大大降低成本可以省去专线租用费用或者长距离电话费用，大大降低成本••VPNVPN可以充分利用InternetInternet公网资源，快速地建立起公司的广域连接3内部网络互联网远程用户VPN服务器服务器(网关)VPN客户虚拟专用网基础结构4VPN诠释解释：VirtualPrivateNetwork，即为“虚拟专用网”。9V即Virtual，表示VPN有别于传统的专用网络，它并不一种物理的网络，是营商有资而是企业利用电信运营商所提供的公有网络资源和设备，而建立的自己的逻辑专用网络，这种网络的好处在于可以降低企业建立使用“专用网络”的费用。9P即Private，表示特定企业或用户群体可以像使用传统专用网一样来使用这个网络资源，即这种网络具有很强的私有性，具体可以表现在下面两个方面：两个方面：™网络资源的专用性，即VPN网络资源（如信道和带宽）在企业需要时可以被为企业所专门使用，当企业不需要时又可以被其它VPN用户所使用，企业用户可以获得像传统专用网一样的服务质量；使用，企业用户可以获得像传统专用网样的服务质量；™网络的安全性，指VPN用户的信息不会流出VPN的范围之外，用户信息受到VPN网络的保护，可以实现用户信息在公共网络传输中隐蔽性；9N即Network，表示这是一种专门组网技术和服务，企业为了建立和使用VPN必须购买和配备相应的网络设备。5LAN-to-LAN之间的广域连接(专线方式对比VPN方式)上海北京深圳上海沈阳传统的专线DDN/FRDDN/FR方式上海北京深圳Internet沈阳6沈阳FullymeshedVPNnetworkFullymeshedVPNnetwork单个用户接入(直接拨入方式对比VPN方式)本地本地长途用户专用用户专用本地本地长途用户专用用户专用ModemsModems公用电话网络LANLANVPNVPNVPNVPNClientClientSecureVPNTunnelInternetISPISPRouterRouterVPNVPNGatewayGatewaySecureVPNTunnelInternetModemsModemsRouterRouter7按隧道应用分类„IntranetVPNIntranetVPN即企业内部网或内联网。Intranet内所有的用户站点通过隧道适当互连，这些站点同属于一个单一的管理部门。目前IntranetVPN是VPN应用最主要的形式。„ExtranetVPNExtranetVPN即外联网。在这个网络内，属于某一个管理者的用户站点，由于业务的需求要与多个属于其他管理者的用户站点进行有限制的连接。有限制的连接主要指可以进行互访问的有关协作数据是限制的，并不是所有数据都可以放开互访。„拨号VPN(VPDN)VPN用户通过PSTN或ISDN拨号线路接入VPN网络，它具有接入范围广，建设VPN投资少，建设周期短，运行费用低等优点。8AccessVPNIntranetVPNExtranetVPNVPN的优点„（1）降低成本„（2）易于扩展„（2）易于扩展„（3）保证安全12安全VPN关键技术安全VPN关键技术•密码技术•身份认证技术•安全隧道技术•密钥管理技术密钥管理技术13密码技术•对称密码算法：DES、3DES、国家专用算法•非对称密码算法RSADSA椭圆曲线•非对称密码算法：RSA、DSA、椭圆曲线•摘要算法：MD5SHA摘要算法：MD5、SHA•摘要签名算法：HMAC-MD5、HMAC-SHA、算国家专用算法14安全隧道技术隧道是在公用IP网中建立逻辑点到点连接„隧道是在公用IP网中建立逻辑点到点连接的一种方法，是一个叠加在IP网上的传送通道。„一个隧道协议通常包括以下几个方面：„一个隧道协议通常包括以下几个方面：9乘客协议——被封装的协议，如:PPP、SLIP9封装协议——隧道的建立、维持和断开，如:L2TP、IPSec等9承载协议承载经过封装后的数据包的协议如IP和ATM9承载协议——承载经过封装后的数据包的协议，如:IP和ATM15安全隧道协议„VPN隧道协议主要有五种„VPN隧道协议主要有五种：9L2F（第二层转发）9PPTP（点到点隧道协议）9L2TP（第2层隧道协议）L2TP（第2层隧道协议）9IPSec（IP安全协议）9GRE(通用路由封装协议）9GRE(通用路由封装协议）9MPLS（多协议标签交换）*16身份认证技术„PAP协议：PasswordAuthenticationProtocol即“口令鉴别协议”Protocol，即口令鉴别协议。„CHAP协议：Challenge-HandshakeAuthentication即“咨询握手鉴别协议”Protocol，即“咨询-握手鉴别协议”。„EAP协议：ExtensibleAuthenticationPl“鉴”Protocol，即“扩展鉴别协议”。„MS-CHAP协议：MicrosoftChallengeHandshakeAuthenticationProtocol，“软咨鉴”即“微软咨询-握手鉴别协议”。„SPAP协议：ShivaPasswordAuthentication“鉴”Protocol，即“Shiva口令鉴别协议”。17身份认证技术„RADIUS协议RtAthtitiDilIU„RADIUS协议：RemoteAuthenticationDial-InUserService，即“拨号用户远程认证服务”。„RADIUS协议主要特征：„RADIUS协议主要特征：9客户/服务器模型：一般NAS为Radius客户端，认证服务器为Radius服务端（又称Radius服务器）。服务器为Radius服务端（又称Radius服务器）。9网络安全性：Radius服务器与NAS之间共享一对秘密密钥。9可扩展的协议设计：用户可以自行定义其它的属性，扩展Radius协议。9灵活的鉴别机制支持不同的鉴别协议如PAP9灵活的鉴别机制：支持不同的鉴别协议，如PAP、CHAP、EAP等。18密钥管理技术„密钥的分发：„密钥的分发：9手工配置9采用密钥交换协议动态分发ƒ密钥交换与管理标准有ƒ密钥交换与管理标准有：9SKIP（SimpleKeyManagementforIP)pyg)9ISAKMP(InternetSecurityAssociationandKeyManagementProtocol)andKeyManagementProtocol)1920断成VPN素判断成功VPN的四要素„安全保障„服务质量保证（QoS)„可扩充性和灵活性可管性„可管理性21实施VPN的价值实施VPN的价值实施VPN能带来什么好处呢？22实施VPN的价值为信商带来价值实施VPN的价值„为电信运行商带来的价值9电信运营商可以利用自己的信道资源，为不能承担租用固定专线的用户提供虚拟的专用网络服务租用固定专线的用户，提供虚拟的专用网络服务，使电信运营商现有的网络资源得以充分运用来获取新的利润9电信运营商通过使用具有服务质量保证功能的VPN技术，如MPLS等，可以为VPN用户提供不同等级的服务质量（QoS）保证进而收取不同的业等级的服务质量（QoS）保证，进而收取不同的业务使用费用获得超额利润23实施VPN的价值„为企业带来的价值带来9企业通过使用VPN，可以使用成本较低的IP网络来传送企业数据，从而大大降低企业建立Intranet/Extranet网络的基础通信设施的巨大投资和Intranet/Extranet网络的基础通信设施的巨大投资和维护费用9通过使用VPN，企业可以在远程用户、公司分支机构商业伙伴与公司总部网络之间建立可靠的连接构、商业伙伴与公司总部网络之间建立可靠的连接，来保证数据传输的安全性9通过使用VPN，可以实现VPN用户在任何时间、任何地方进行移动接入，这将满足不断增长的移动办公业务需求9企业可以方便的扩展自己的企业网络开展新的业务9企业可以方便的扩展自己的企业网络开展新的业务和合作伙伴，适应经济全球化的趋势24实施VPN的价值实施VPN的价值未实施VPN时建立私有专用网络的资费„未实施VPN时建立私有专用网络的资费建设费：网络建设费用（如路由器等网络设备的投资）使用费：通达各分支机构的专线租用费用（一般不在一个区内）25实施VPN的价值实施VPN的价值„实施VPN的资费建设费：建设费：网络建设费用（如路由器等网络设备的投资）采购VPN安全设备的费用：使用费：基于固定线路的VPN：只需本地网区内接入专线费用只需本地网区内接入专线费用基于拨号线路的VPN：总部只需本地网区内专线接入费用总部只需本地网区内专线接入费用各分支机构及移动用户只需本地拨号上网费用26实施VPN的价值实施VPN的价值„数字电路月租费（单位：元/月）速率数字电路2M8M34M45M155M622M2.5G区内2000600016000-44000123000344000速率地区数字电路区内2000600016000-44000123000344000区间40001100031000-88000247000688000国内60001700047000-1320003700001033000国内港澳台200005600016000021000044000012300003440000亚洲1000002800007800009000002200000615000017210000欧美澳非欧美澳非10000028000078000090000022000006150000171200002M速率数字电路区内与国内差价为4000元/月27实施VPN的价值实施VPN的价值„DDN月租费（单位：元/月）速率DDN64K128K256K512K1M1.5M2M区内1500200025003800500055006000速率地区DDN区内1500200025003800500055006000区间2000250032005200750077508000国内350050005500700090001050012000港澳台52006800780011400148001740020000亚洲260003400039000570007400087000100000欧美澳非270003400040000590007700095000100000欧美澳非2700034000400005900077000950001000002M速率DDN区内与国内差价为6000元/月28实施VPN的价值实施VPN的价值„帧中继虚电路（PVC）月租费（单位：元/月）„帧中继虚电路（PVC）月租费（单位：元/月）区内区间港澳台亚洲欧美澳非各国本地网内CIR范围国际长途8kbps29044099015508800940016kbps39054011901800100001050032kbps45065013002000115001150064kb55080017002600145001460064kbps55080017002600145001