第8章VPN技术及应用

网络安全与管理第8章VPN技术及应用•知识目标•了解VPN的基本原理、类型及其应用•了解VPN的应用特点•了解VPN的设计原则•技能目标•掌握VPN的隧道技术，了解VPN的加密技术、身份认证技术和QoS技术•掌握如何在WindowsServer2003中设置VPN第8章VPN技术及应用8.1VPN技术概述•VPN的全称是VirtualPrivateNetwork，即“虚拟专用网络”。VPN被定义为通过一个公用网络（通常是Internet）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。就好比是架设了一条专线一样，但它并不需要真正铺设光缆之类的物理线路。VPN逻辑隧道8.1.1VPN的基本类型及应用•根据服务类型不同，VPN分为远程访问VPN、内部网络VPN与外部网络VPN三种。1.远程访问VPN•远程访问VPN又称为拨号VPN，即VPDN（virtualprivatedialnetwork），是指企业员工或企业的小分支机构通过公网（Internet）以远程拨号的方式构筑的虚拟局域网。•典型的远程访问VPN是用户通过本地的ISP登录到Internet上，并与公司内部网之间建立一条加密通信信道，如下图所示。远程访问VPN远程访问VPN具有如下特点•远端用户用本地拨号接入功能取代远距离拨号接入，降低了通信费用。•企业内部网可以采用基于标准和安全策略的方法对拨入用户进行鉴别，确保连接的安全（通常采用RADIUS服务器对用户进行鉴别和授权）。•具有很好的扩展性，接入方式和地点非常灵活。2.内部网络VPN•越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等，各个分公司之间传统的网络连接方式一般是租用专线。在分公司增多、业务开展越来越广泛时，网络结构趋于复杂，费用昂贵。利用VPN特性可以在Internet上组建世界范围内的内部网络VPN。利用Internet的线路保证网络的互连性，而利用隧道、加密等VPN特性可以保证信息在整个内部网络VPN上安全传输。•内部网络VPN通过一个使用专用连接的共享基础设施，连接企业总部、远程办事处和分支机构，如下图所示。内部网络VPN内部网络VPN具有以下特点：•适用于通信量较大，通信连接时间较长的分支结构。•减少了租用专线所带来的高昂费用。•各分支机构与企业总部联网的拓扑结构较灵活，可以构成全连接的网络。•新站点的接入更快、更容易。3.外部网络VPN•随着信息时代的到来，物流和信息流的处理速度越来越快，各企业都希望能够及时了解与其密切相关的供应商、客户以及商业合作伙伴的动态信息，直接通过网络完成各种商业活动。所以建立与其供应商、客户以及商业合作伙伴之间的信息网络平台是发展的必然趋势。•Internet为这样的一种发展趋势提供了良好的基础设施，外部网络VPN是在供应商、客户、商业合作伙伴的LAN与企业的LAN之间的VPN，如下图所示。外部网络VPN外部网络VPN结构的特点•外部网络VPN结构的主要好处是，能容易地对外部网进行部署和管理，外部网的连接可以使用与部署内部网和远端访问VPN相同的架构和协议进行部署。对接入的鉴别和访问控制在该网络中显得特别重要。8.1.2VPN的应用特点•VPN的应用具有如下特点。•1.VPN与Internet骨干网络相互独立•2.在边界设备上，对一个VPN的任何动作不影响其他VPN•3.不限制在VPN域中或在骨干网中使用的协议•4.VPN间能够复用地址空间•5.满足不同的服务质量要求•6.适应不同的业务提供模式8.2VPN的基本技术目前VPN主要采用4项技术来保证安全，分别是隧道技术（tunneling）、加/解密技术（encryption/decryption）、密钥管理技术（keymanagement）、身份认证技术（authentication）。8.2.1隧道技术•隧道就是在两个网络节点之间提供一条通路，使数据报能够在这个通路上透明传输。•隧道通过隧道协议实现。隧道协议通过在隧道的一端给数据加上隧道协议头，即进行封装，使这些被封装的数据都能在网络中传输；并在隧道的另一端去掉该数据携带的隧道协议头，即进行解封装。报文在隧道中传输前后都要通过封装和解封装两个过程。隧道协议的种类•隧道协议分为第二、第三层隧道协议。•第二层隧道协议是先把各种网络协议封装到点对点协议（pointtopointprotocol，PPP）中，再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包按照第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。L2TP是目前IETF的标准，由IETF融合PPTP与L2F而形成。•第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包按照第三层协议进行传输。第三层隧道协议有GRE、IPsec等。第二、第三层隧道协议的本质区别在于用户的数据是被封装在哪种数据包中在隧道中传输的。1.L2F•第二层转发协议（level2forwardingprotocol，L2F）用于建立跨越公共网络（如Internet）的安全隧道来将ISP入网点（pointofpresence，POP）连接到企业内部网关。这个隧道建立了一个用户与企业客户网络间的虚拟点对点连接。•L2F支持对更高级协议链路层的隧道封装。使用这样的隧道，使得把原始拨号服务器位置和拨号协议连接终止与提供的网络访问位置的分离成为可能。2.PPTP•点到点隧道协议（pointtopointtunnelingprotocol，PPTP）由微软、Ascend和3COM等公司支持，在WindowsNT4.0以上版本中提供。该协议支持PPP在IP网络上的隧道封装。PPTP作为呼叫控制和管理协议，使用一种增强的通用路由封装（genericroutingencapsulation，GRE）技术为传输的PPP报文提供流量控制和拥塞控制。•PPTP通过PPTP控制连接来创建、维护、终止一条隧道，并使用GRE对PPP帧进行封装。封装前，PPP帧的有效载荷首先必须经过加密、压缩或是两者的混合处理。•PPTP数据的隧道化过程采用多层封装的方法，其封装过程如下。1）PPP帧的封装•初始PPP有效载荷如IP数据报、IPX数据报或NetBEUI帧等经过加密后，添加PPP报头，封装形成PPP帧。PPP帧再添加GRE报头，经过第二层封装形成GRE报文。2）GRE报文的封装•PPP有效载荷的第三层封装是在GRE报文外，再添加IP报头。IP报头包含数据包源端IP地址和目的端IP地址。3）数据链路层封装•数据链路层封装是IP数据报多层封装的最后一层，依据不同的外发物理网络再添加相应的数据链路层报头和报尾。•在隧道中传输的PPTP数据包格式如下图所示。图在隧道中传输的PPTP数据包格式4）PPTP数据包的接收处理•PPTP客户机或PPTP服务器在接收到PPTP数据包后，进行如下处理：•（1）处理并去除数据链路层报头和报尾。•（2）处理并去除IP报头。•（3）处理并去除GRE和PPP报头。•（4）如果需要的话，对PPP有效载荷即传输数据进行解密或解压缩。•（5）对传输数据进行接收或转发处理。3.L2TP•二层隧道协议（Layer2TunnelingProtocol，L2TP）是由IETF起草，Microsoft、Ascend、Cisco、3COM等公司参予制定的二层隧道协议，它结合了PPTP和L2F两种二层隧道协议的优点，既可用于拨号VPN业务，也可用于专线VPN业务，为众多公司所接受，已经成为IETF有关二层通道协议的工业标准。L2TP的主要特性•L2TP适合单个或少数用户接入企业的情况，其点到网连接的特性是其承载协议PPP所约定的。•由于L2TP对私有网的数据包进行了封装，因此在Internet上传输数据时对数据包的网络地址是透明的，并支持接入用户的内部动态地址分配。•与PPP模块配合，支持本地和远端的AAA（认证、授权和记费）功能，对用户的接入也可根据需要采用全用户名、用户域名和用户拨入的特殊服务号码来识别是否为VPN用户。•对数据报文的安全性可采用IPSEC协议。采用该协议可以在数据发往Internet之前对数据报文加密。•对于拨号用户可以配置相应的VPN拨号软件，发起由用户直接对企业私有网的连接，这样用户在上网时可以灵活选择是否需要VPN服务。1）L2TP网络构成•L2TP分为3种接入方式，如下图所示。2）L2TP的结构L2TP报文封装结构3）两种典型的L2TP隧道模式图NAS-InitiatedL2TP隧道模式图Client-InitiatedL2TP隧道模式4.GRE•通用路由封装（genericroutingencapsulation，GRE）协议是对某些网络层协议（如IP和IPX）的数据报进行封装，使这些被封装的数据报能够在另一个网络层协议（如IP）中传输。GRE是VPN的第三层隧道协议，在协议层之间采用了隧道的技术。5.IPSec•Internet协议安全性（Internetprotocolsecurity，IPSec）不是一个单独的协议，它给出了IP网络上数据安全的一整套体系结构，包括认证头、封装安全载荷等协议。1）AH协议结构•认证头（authenticationheader，AH）协议为IP通信提供数据源认证、数据完整性和反重播保证，它能保护通信免受篡改，但不能防止窃听，适合用于传输非机密数据。•AH报头位置在IP报头和传输层协议报头之间，如下图所示。AH由IP协议号51标识，该值包含在AH报头之前的协议报头中，如IP报头。AH可以单独使用，也可以与ESP结合使用。AH报头图8-14AH报头AH完整性检查2）ESP协议结构•封装安全载荷（encapsulatingsecuritypayload，ESP）为IP数据包提供完整性检查、认证和加密，可以看做是“超级AH”，因为它提供机密性并可防止篡改。ESP服务依据建立的安全关联是可选的。然而也有一些限制，例如：•完整性检查和认证一起进行。•仅当与完整性检查和认证一起时，“重播”保护才是可选的。“重播”保护只能由接收方选择。•ESP的加密服务是可选的，但如果启用加密，也就同时选择了完整性检查和认证。因为如果仅使用加密，入侵者就可能伪造数据包以发动密码分析攻击。•ESP可以单独使用，也可以和AH结合使用。一般ESP不对整个数据包加密，而是只加密IP包的有效载荷部分，不包括IP报头。但在端到端的隧道通信中，ESP需要对整个数据包加密。ESP报头、报尾和认证报尾•如下图所示，ESP报头插在IP报头之后，TCP或UDP等传输层协议报头之前。ESP由IP协议号50标识。图ESP报头、报尾和认证报尾认证数据（authenticationdata）•包括完整性检查和。完整性检查部分包括ESP报头、有效载荷（应用程序数据）和ESP报尾，而ESP只加密有效载荷（应用程序数据）和ESP报尾，如下图所示。图ESP的加密部分和完整性检查部分3）ESP隧道模式和AH隧道模式•在隧道模式下，整个原数据包被当成有效载荷封装了起来，外面附上新的IP报头。其中“内部”IP报头（原IP报头）指定最终的信源和信宿地址，而“外部”IP报头（新IP报头）中包含的常常是安全网关地址。•与传输模式不同，在隧道模式中，原IP地址被当成有效载荷的一部分受到IPSec的安全保护，另外，通过对数据加密，还可以将数据包目的地址隐藏起来，这样更有助于保护端对端隧道通信中数据的安全性。ESP隧道模式AH隧道模式8.2.2加密技术•VPN构建在Internet公众数据网络上，为确保私有资料在传输过程中不被其他人浏览、窃取或篡改，所有的数据包在传输过程中均需加密，当数据包传送到专用数据网络后，再将数据包解密。加解密的作用是保证数据包在传输过程中即使被窃听，只能看到一些封锁意义的乱码。•加解密技术是较成熟的安全数据通信技术，VPN可直接利用现有加解密技术。VPN采用的加密技术•VPN采用何种加密技术依赖于VPN服务器的类型，因此可以分为以下两种情