虚拟专用网VPN

虚拟专用网VPN张爱菊中南财经政法大学信息学院VPN的概念•虚拟专用网指的是依靠ISP（Internet服务提供商）和其它NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。•所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用Internet公众数据网络的长途数据线路。•所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。•由于VPN是在Internet上临时建立的安全专用虚拟网络，用户就节省了租用专线的费用，在运行的资金支出上，除了购买VPN设备，企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用，也节省了长途电话费。这就是VPN价格低廉的原因。需求的出现•随着商务活动的日益频繁，各企业开始允许其生意伙伴、供应商也能够访问本企业的局域网，从而大大简化信息交流的途径，增加信息交换速度。这些合作和联系是动态的，并依靠网络来维持和加强，于是各企业发现，这样的信息交流不但带来了网络的复杂性，还带来了管理和安全性的问题需求的出现•随着自身的的发展壮大与跨国化，企业的分支机构不仅越来越多，而且相互间的网络基础设施互不兼容也更为普遍。因此，用户的信息技术部门在连接分支机构方面也感到日益棘手。典型的VPN的结构图虚拟专用网络的基本用途•通过Internet实现远程用户访问。•虚拟专用网络支持以安全的方式通过公共互联网络远程访问企业资源。VPN的特点•安全保障•服务质量保证（QoS）–用来解决网络延迟和阻塞如何提高服务质量的一种技术。•可扩充性和灵活性•可管理性企业应用方式•自建–大型企业用户由于有雄厚的资金投入做保证，可以自己建立VPN，将VPN设备安装在其总部和分支机构中，将各个机构低成本且安全地连接在一起。–最大的优势在于高控制性，尤其是基于安全基础之上的控制。–企业还可以确保得到业内最好的技术以满足自身的特殊需要，这要优于ISP所提供的普通服务。企业应用方式•外包–中小型企业如果自己购买VPN设备，则财务成本较高，而且一般中小型企业的IT人员短缺、技能水平不足、资金能力有限，不足以支持VPN，所以，外包VPN是较好的选择。VPN的安全技术•目前VPN主要采用四项技术来保证安全，这四项技术分别是隧道技术（Tunneling）、加解密技术（Encryption&Decryption）、密钥管理技术（KeyManagement）、使用者与设备身份认证技术（Authentication）。隧道技术•隧道技术是VPN的基本技术，类似于点对点连接技术，它在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输。•隧道是由隧道协议形成的，分为第二、三层隧道协议。•第二层隧道协议是先把各种网络协议封装到PPP中，再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。L2TP协议是目前IETF的标准，由IETF融合PPTP与L2F而形成。•主要应用于构建远程访问虚拟专网。隧道技术•第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等。•主要应用于构建企业内部虚拟专网（IntranetVPN）和扩展的企业内部虚拟专网（ExtranetVPN）。加解密技术•加解密技术是数据通信中一项较成熟的技术，VPN可直接利用现有技术。.密钥管理技术•密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则，在网络上传输密钥；在ISAKMP中，双方都有两把密钥，分别用于公用、私用。身份认证技术•身份认证技术最常用的是使用者名称与密码等方式。VPN的应用模式针对不同的用户要求，VPN有三种解决方案：远程访问虚拟网（AccessVPN）、企业内部虚拟网（IntranetVPN）和企业扩展虚拟网（ExtranetVPN）;这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。VPN连接的示意图虚拟网组成后，出差员工和外地客户甚至不必拥有本地ISP的上网权限就可以访问企业内部资源。这对于流动性很大的出差员工和分布广泛的客户来说是很有意义的。VPN端局连接示意图采用两种方式实现Internet网络互连•使用专线连接分支机构和企业局域网。•使用拨号线路连接分支机构和企业局域网•建议：客户端使用拨号线路连接，服务器端则采用专线连接。连接企业内部网络计算机•在企业的内部网络中，考虑到一些部门可能存储有重要数据，为确保数据的安全性，传统的方式只能是把这些部门同整个企业网络断开形成孤立的小网络。这样做虽然保护了部门的重要信息，但是由于物理上的中断，使其他部门的用户无法，造成通讯上的困难。•采用VPN方案，通过使用一台VPN服务器既能够实现与整个企业网络的连接，又可以保证保密数据的安全性。连接企业内部网实例通过使用一台VPN服务器既能够实现与整个企业网络的连接，又可以保证保密数据的安全性。企业网络管理人员通过设置VPN服务器，指定只有符合特定身份要求的用户才能连接VPN服务器获得访问敏感信息的权利。此外，还可以对所有VPN数据进行加密，从而确保数据的安全性。VPN的基本要求•用户验证•地址管理•数据加密•密钥管理•多协议支持隧道技术基础•隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据（或负载）可以是不同协议的数据帧或包。隧道协议将这些其它协议的数据帧或包重新封装在新的包头中发送。新的包头提供了路由信息，从而使封装的负载数据能够通过互联网络传递。•隧道技术是指包括数据封装，传输和解包在内的全过程隧道协议•点对点隧道协议（PPTP）–PPTP协议允许对IP，IPX或NetBEUI数据流进行加密，然后封装在IP包头中通过企业IP网络或公共互联网络发送。•第2层隧道协议（L2TP）–L2TP协议允许对IP，IPX或NetBEUI数据流进行加密，然后通过支持点对点数据报传递的任意网络发送，如IP，X.25，桢中继或ATM。•安全IP（IPSec)隧道模式–IPSec隧道模式允许对IP负载数据进行加密，然后封装在IP包头中通过企业IP网络或公共IP互联网络如Internet发送。隧道协议•为创建隧道，隧道的客户机和服务器双方必须使用相同的隧道协议。•第2层隧道协议对应OSI模型中的数据链路层，使用帧作为数据交换单位。PPTP，L2TP和L2F（第2层转发）都属于第2层隧道协议，都是将数据封装在点对点协议（PPP）帧中进行发送。•第3层隧道协议对应OSI模型中的网络层，使用包作为数据交换单位。IPoverIP以及IPSec隧道模式都属于第3层隧道协议，都是将IP包封装在附加的IP包头中通过IP网络传送。隧道技术如何实现•创建隧道的过程类似于在双方之间建立会话，隧道的两个端点必须同意创建隧道并协商隧道各种配置变量，如地址分配，加密或压缩等参数。VPN协议•点对点隧道协议PPTP(PointtoPointTunnelingProtocol)：1996年Microsoft和Ascend等在PPP协议上开发的。•第二层转发协议L2F(Layer2Forwarding)：1996年Cisco开发的。•第二层隧道协议L2TP(Layer2TunnelingProtocol)：1997年底，Microsoft和Cisco共同开发。点对点隧道协议PPTP-PPP协议的一种扩展客户可以采用拨号方式接入公共的IP网。拨号客户首先按常规方式拨号到ISP的接入服务器（NAS），建立PPP连接；在此基础上，客户进行二次拨号建立到PPTP服务器的连接，该连接称为PPTP隧道PPTP的最大优势是Microsoft公司的支持。另外一个优势是它支持流量控制。PPTP把建立隧道的主动权交给了客户，但客户需要在其PC机上配置PPTP，这样做既会增加用户的工作量，又会造成网络的安全隐患。第二层转发协议L2F远端用户能够通过任何拨号方式接入公共IP网络。首先，按常规方式拨号到ISP的接人服务器（NAS），建立PPP连接；NAS根据用户名等信息发起第二次连接，呼叫用户网络的服务器。这种方式下，隧道的配置和建立对用户是完全透明的。第二层隧道协议L2TPL2TP结合了L2F和PPTP的优点，可以让用户从客户端或接人服务器端发起VPN连接。L2TP定义了利用公共网络设施封装传输链路层PPP帧的方法。L2TP的好处就在于支持多种协议.在安全性考虑上，L2TP仅仅定义了控制包的加密传输方式，对传输中的数据并不加密。L2TP并不能满足用户对安全性的需求。如果需要安全的VPN，则依然需要IPSec.IPsec的工作原理IPSec提供了比包过滤防火墙更进一步的网络安全性。IPSec处理实际上是对IP数据包进行加密和认证。保证在互联网上传输数据包的机密性，真实性，完整性，保证通过Internet进行通信的安全性。IPsec中的三个重要协议IPSec的主要功能是实现IP层的加密和认证，为了进行加密和认证IPSec还提供了密钥管理和交换的功能。这三个功能分别由三个协议来实现：一个术语：SA（securityassociation）ESP（安全加载封装）AH（认证协议头）IKE（互联网密钥交换）两种工作模式：传输模式和隧道模式AH协议通过在整个IP数据报中实施一个消息文摘计算来提供完整性和认证服务。它提供IP数据报的完整性和可信性服务ESP协议是设计以两种模式工作的：隧道（Tunneling）模式和传输（Transport）模式。安全关联SA•两台IPSec计算机在交换数据之前，必须首先建立某种约定，这种约定，称为安全关联，指双方需要就如何保护信息、交换信息等公用的安全设置达成一致，更重要的是，必须有一种方法，使那两台计算机安全地交换一套密钥，以便在它们的连接中使用。IKE（互联网密钥交换）•用于在两个通信实体协商和建立安全相关，交换密钥。安全关联（SecurityAssociation）是IPSec中的一个重要概念。一个安全关联表示两个或多个通信实体之间经过了身份认证，且这些通信实体都能支持相同的加密算法，成功地交换了会话密钥，可以开始利用IPSec进行安全通信。•IPSec协议本身没有提供在通信实体间建立安全相关的方法，利用IKE建立安全相关。IKE定义了通信实体间进行身份认证、协商加密算法以及生成共享的会话密钥的方法。IKE中身份认证采用共享密钥和数字签名两种方式，密钥交换采用DiffieHellman协议。•IKE主要完成两个作用：–安全关联的集中化管理，减少连接时间；–密钥的生成和管理。IKE如何建立SA•分为两个阶段：主模式SA，快速模式SA•第一阶段SA（主模式SA，为建立信道而进行的安全关联），协商创建一个通信信道（IKESA），并对该信道进行认证，为双方进一步的IKE通信提供机密性、数据完整性以及数据源认证服务。（主模式协商）步骤：•1．策略协商，在这一步中，就四个强制性参数值进行协商：•1）加密算法：选择DES或3DES•2）hash算法：选择MD5或SHA•3）认证方法：选择证书认证、预置共享密钥认证或Kerberosv5认证•4）Diffie-Hellman组的选择•快速模式协商）步骤：•1．策略协商，双方交换保护需求：•·使用哪种IPSec协议：AH或ESP•·使用哪种hash算法：MD5或SHA•·是否要求加密，若是，选择加密算法：3DES或DES在上述三方面达成一致后。AH(认证协议头)•AH协议通过在整个IP数据报中实施一个消息文摘计算来提供完整性和认证服务。•一个消息文摘就是一个特定的单向数据函数，它能够创建数据报的唯一的数字指纹。消息文摘算法的输出