您好,欢迎访问三七文档
当前位置:首页 > 行业资料 > 其它行业文档 > 第11章虚拟专用网技术
计算机信息安全技术第十一章虚拟专用网技术第十一章虚拟专用网技术目录11.1VPN的基本概念11.2VPN实现技术11.3VPN的应用方案第十一章虚拟专用网技术11.1VPN的基本概念VPNVPN的英文全称是“VirtualPrivateNetwork”(虚拟专用网络)。顾名思义,可以把它理解成是虚拟出来的企业内部专线。传统意义上的VPN:在DDN网或公用分组交换网或帧中继网上组建VPN。基于IP的VPN:依靠ISP和其它NSP(网络服务提供商)在公用网络中建立专用的数据通信网络的技术。第十一章虚拟专用网技术11.1VPN的基本概念VPN的工作原理VPN的定义:是指依靠ISP或其他NSP在公用网络基础设施之上构建的专用的数据通信网络,这里所指的公用网络有多种,包括IP网络、帧中继网络和ATM网络。IETF对基于IP的VPN定义:使用IP机制仿真出一个私有的广域网。原理上来说,VPN就是利用公用网络(通常是互联网)把远程站点或用户连接到一起的专用网络。与使用实际的专用连接(例如租用线路)不同,VPN使用的是通过互联网路由的“虚拟”连接,把公司的专用网络同远程站点或员工连接到一起。第十一章虚拟专用网技术11.1VPN的基本概念VPN采用“隧道”技术,可以模仿点对点连接技术,依靠Internet服务提供商(ISP)和其他的网络服务提供商(NSP)在公用网中建立自己专用的“隧道”,让数据包通过这条隧道传输。对于不同的信息来源,可分别给它们开出不同的隧道。VPN服务器VPN客户机隧道公共网络图11.1VPN工作原理示意图第十一章虚拟专用网技术11.1VPN的基本概念VPN的分类按VPN的应用方式进行分类拨号式VPN专用式VPN按VPN的应用平台分类软件平台VPN专用硬件平台VPN辅助硬件平台VPN第十一章虚拟专用网技术11.1VPN的基本概念按VPN的协议分类第二层协议:PPTP、L2F、L2TP第三层协议:GRE、IPSec第二层协议-第三层协议之间(2.5层):MPLS第四层隧道协议:SSLVPN按VPN的服务类型分类IntranetVPN(内部网VPN)AccessVPN(远程访问VPN)ExtranetVPN(外联网VPN)第十一章虚拟专用网技术11.1VPN的基本概念按VPN的部署模式分类端到端(End-to-End)模式供应商——企业(Provider-Enterprise)模式内部供应商(Intra-Provider)模式VPN的特点具备完善的安全保障机制具备用户可接受的服务质量保证(QoS)具备良好的可扩充性与灵活性具备完善的可管理性VPN的功能数据加密信息完整性和身份真实性认证访问控制地址管理密钥管理多协议支持第十一章虚拟专用网技术11.1VPN的基本概念VPN安全技术加解密技术对称加密算法非对称加密算法认证技术验证数据的完整性用户认证密钥管理技术第十一章虚拟专用网技术11.2VPN实现技术隧道VPN所有现有的实现都依赖于隧道,隧道技术(tunneling)主要是利用协议的封装来实现.用一种网络协议来传输另外一种网络协议。即本地网关把第二种协议报文包含在第一种协议报文中,然后按照第一种协议来传输,等报文到达对端网关时,由该网关从第一种协议报文中解析出第二种协议报文,这样是一个基本的隧道技术的实现过程。第二层隧道协议PPTP(PointtoPointTunnelingProtocol,点到点隧道协议)、L2TP(Layer2TunnelingProtocol,链路层隧道协议)、L2F(Layer2Forwarding,链路层转发协议)。第十一章虚拟专用网技术11.2VPN实现技术PPTP协议局域网局域网电话网NAS隧道IP网络PACPNS拨号拨号图11.5PPTP工作示意图第十一章虚拟专用网技术11.2VPN实现技术PPTP由PPTPForum开发,PPTPForum是一个联盟,其成员包括USRobotics、Microsoft、3COM、Ascend和ECITelematics。PPTP是点到点协议(PPP)的扩充,即PPTP协议是基于PPP之上并且应用了tunneling技术的协议。它用“PPP质询握手验证协议(CHAP)”来实现对用户的认证。简单的说,PPTP是用于将PPP分组通过IP网络封装传输。在PPTP的体系结构中,主要有三部分组成:1)PPP连接和通信,按照PPP协议和对方建立链路层的连接。2)PPTP控制连接,建立到Internet的PPTP服务器上的连接,并建立一个虚拟隧道。3)PPTP数据隧道,在隧道中PPTP协议建立包含加密的PPP包的IP数据报,这些数据报通过PPTP隧道进行发送。第十一章虚拟专用网技术11.2VPN实现技术L2F协议由CISCO提出并倡导使用的链路层安全协议,它采用tunneling技术,主要面向远程或拨号用户的使用。L2F主要强调的是将物理层协议移到链路层,并允许通过Internet光缆的链路层和较高层协议的传输。物理层协议仍然保持在对该ISP的拨号连接中。L2F还解决IP写地址和记帐的问题。对于ISP的初始连接,L2F将使用标准PPP。对于验证,L2F将使用标准CHAP或者做某些修改。对于封装,L2F指定在L2F数据报中封装整个PPP或SLIP包所需要的协议。同时这些操作尽可能地对用户透明,以方便应用L2F来构建灵活的VPN网络。第十一章虚拟专用网技术11.2VPN实现技术L2TP协议由PPTPForum各成员、思科公司和IETF(互联网工程工作组)联手打造了一个新的协议——L2TP协议。不仅提供了以CHAP为基础的用户身份认证,支持了对内部地址的分配,而且还提供了灵活有效的记帐功能,和较为完善的管理功能。PPTP与L2TP的区别:1)PPTP要求互联网为IP网络;而L2TP能够在IP、X.25、ATM等网络上使用。2)PPTP只能在两端点间建立单一隧道;L2TP可以在两个端点之间建立多个隧道。用户可根据不同的服务质量创建不同的隧道。3)PPTP不支持隧道验证;L2TP提供了此项功能。可通过与Ipsec共同使用,由Ipsec提供隧道认证。第十一章虚拟专用网技术11.2VPN实现技术在链路层上实现VPN,有一定的优点。假定两个主机或路由器之间存在一条专用通信链路,而且为避免有人“窥视”,所有通信都需加密,便可用硬件设备来进行数据加密。这样做最大的好处在于速度。但该方案不易扩展,而且仅在专用链路上才能很好地工作。另外,进行通信的两个实体必须在物理上连接到一起。这也给在链路层上实现VPN带来了一定的难度。PPTP、L2F和L2TP这三种协议都是运行在链路层中的,通常是基于PPP协议的,并且主要面向的是拨号用户,由此导致了这三种协议应用的局限性。当前在Internet及其他网络中,绝大部分的数据都是通过IP协议来传输的,逐渐形成了一种“everythingonip”的观点。第十一章虚拟专用网技术11.2VPN实现技术第三层隧道协议在网络层的实现中,有两种常用的实现方式:GRE和IPSecGRE——GenericRoutingEncapsulation(通用路由封装协议)GRE是VPN的第三层隧道协议,即在协议层之间采用了一种被称之为Tunnel(隧道)的技术。GRE在RFC1701/RFC1702中定义,它规定了怎样用一种网络层协议去封装另一种网络层协议的方法,GRE的隧道由其源IP地址和目的IP地址来定义。它允许用户使用IP去封装IP、IPX、AppleTalk并支持全部的路由协议,如RIP、OSPF、IGRP和EIGRP。第十一章虚拟专用网技术11.2VPN实现技术IPGREIPX乘客协议(PassagerProtocol)运载协议或封装协议(CarrierProtocol)(EncapsulationProtocol)运输协议(TransportProtocol)图11.7GRE协议第十一章虚拟专用网技术11.2VPN实现技术当路由器接收了一个需要封装的上层协议数据报文,首先这个报文按照GRE协议的规则被封装在GRE协议报文中,而后再交给IP层,由IP层再封装成IP协议报文便于网络的传输,等到达对端的GRE协议处理网关时,按照相反的过程处理,就可以得到所需的上层协议的数据报文了。标准的GRE在虚拟通道中的数据是没有进行加密传输的,一旦数据被截获,重要数据将有失密的危险。而与GRE相比,IPSec只能进行通道内的数据加密,无法在Internet上建立虚拟的通道互连,使异地的两个局域网像访问本地网一样方便;也无法在加密的数据连接上跑路由协议,网络管理很不方便。所以GRE+IPSec联合应用方式,成为实际中VPN建网的首选。第十一章虚拟专用网技术11.2VPN实现技术IPSec——IPSecurity(IP安全协议)IPSec实际上是一套协议包而不是一个独立的协议。IPSec位于网络层,对通信双方的IP数据分组进行保护和认证,对高层应用透明。IPSec能够保证IP网络上数据的保密性、完整性,并提供身份认证。IPSec拥有密钥自动管理功能,优于PPTP/L2TP。IPSec提供了下列网络安全性服务:数据机密性数据完整性数据来源认证反重播第十一章虚拟专用网技术11.2VPN实现技术IPSec使用的加密算法包括DES、3-Des和RSA等;验证算法采用的也是流行的MD5、SHA算法。IPSec安全体系ESP协议AH协议解释域DOI加密算法认证算法密钥管理策略图11.8IPSec安全体系结构第十一章虚拟专用网技术11.2VPN实现技术IPSec安全体系包括3个基本协议:AH协议为IP包提供信息源验证和完整性保证;ESP协议提供加密机制;密钥管理协议(ISAKMP)提供双方交流时的共享安全信息。ESP和AH协议都有相关的一系列支持文件,规定了加密和认证的算法。最后,解释域(DOI)通过一系列命令、算法、属性和参数连接所有的IPSec组文件。策略决定两个实体之间能否进行通信以及如何通信。策略的核心部分由安全关联(SA)、安全关联数据库(SAD)、安全策略(SP)、安全策略数据库(SPD)组成。第十一章虚拟专用网技术11.2VPN实现技术AH协议:该协议用于保证IP数据包的完整性和真实性,防止黑客截获数据包或向网络中插入伪造的数据包。考虑到计算效率,AH没有采用数字签名而是采用了安全哈希算法来对数据包进行保护。AH没有对用户数据进行加密。当需要身份验证而不需要机密性的时候,使用AH协议时最好的选择。AH有两种工作模式:传输模式——不改变数据包IP地址,在IP头和IP数据负载间插入一个AH头。隧道模式——生成一个新的IP头,把AH和原来的整个IP包放到新IP包的负载数据中。第十一章虚拟专用网技术11.2VPN实现技术IP头负载IP头负载AH头原始IP报文加入AH头后的IP报文认证范围IP头负载新IP头AH头IP头负载原始IP报文加入新IP头和AH头后的IP报文验证范围图11.9AH协议的传输模式图11.10AH协议的隧道模式第十一章虚拟专用网技术11.2VPN实现技术ESP协议:用于确保IP数据包的机密性(对第三方不可见)、数据的完整性以及对数据源地址的验证,同时还具有抗重播的特性。ESP主要用于提供加密和认证功能。它通过在IP分组层次进行加密从而提供保密性,并为IP分组载荷和ESP报头提供认证。ESP与具体的加密算法相独立,几乎支持各种对称密钥加密算法,默认为3-DES和DES。ESP也有传输和隧道两种工作模式,与AH传输模式相比较,ESP的传输模式还多了ESP尾和ESP验证数据。隧道模式可以对整个原始数据分组进行加密和认证。而传输模式时,仅对IP包有效载荷加密,不对IP头加密。第十一章虚拟专用网技术11.2VPN实现技术IP头负载IP头负载ESP头原始IP报文受E
本文标题:第11章虚拟专用网技术
链接地址:https://www.777doc.com/doc-29171 .html