虚拟专用网络(VPN)5

虚拟专用网络（VPN）目前的网络状况窃听者公钥基础设施PKI！如何保证公司网络资源的安全?如何面对Internet通信的增加、新的应用服务和减少成本？如何共享和保护通过Internet,Extranets和Intranets的信息?如何在合作伙伴之间布置一个灵活和模块化的解决方案？如何有效的管理这一切？谁能提供这一切满足未来的需要？用户面临的挑战传统远程通信连接方式企业总部外地分公司客户及供应商外地出差员工租用专用线路T1，帧中继ISDN,ATM当地电信局专用网络的优点信息被保留“在文件夹里”远程站点可以立即交换信息远程用户没有隔离感专用网络的缺点成本太高，不经济超出预算，不现实$$VPN应用VPN进行远程通信客户及供应商外地出差员工外地分公司企业总部InternetVPN隧道使用VPN解决方案的优势防止数据在公网传输中被窃听防止数据在公网传输中被篡改可以验证数据的真实来源成本低廉（相对于专线、长途拨号）应用灵活、可扩展性好本章提要VPN概述VPN关键技术实施VPN的价值§5.1VPN概述VPN(VirtualPrivateNetwork)虚拟专用网：针对传统的“企业专用网络”而言的，它是指在公共网络上通过隧道和/或加密技术，为企业所建立的逻辑上的专用网络。VPN以公用开放的网络(如Internet)作为基本传输媒体，通过加密和验证网络流量来保护在公共网络上传输的私有信息不会被窃取和篡改，从而向最终用户提供类似于私有网络(PrivateNetwork)性能的网络服务技术。VPN定义§5.1VPN概述VPN依靠ISP（Internet服务提供商）和其他NSP（网络服务提供商），在Internet公共网络中建立局域网络之间或单点之间、临时的、专用的、安全的、稳定的数据通信网络（隧道）的技术VPN定义公共传输网络隧道一般连接通道网络资源的专用性：即VPN网络资源（如信道和带宽）在企业需要时可被企业专门使用；不需要时又可被其它VPN用户使用，企业用户可以获得像传统专用网一样的服务质量；网络的安全性：VPN用户的信息不会流出VPN的范围之外，用户信息受到VPN网络的保护，可以实现用户信息在公共网络传输中隐蔽性§5.1VPN概述VPN可以省去专线租用费用或者长距离电话费用，大大降低成本VPN可以充分利用Internet公网资源，快速地建立起公司的广域连接VPN定义虚拟专用网基础结构§5.1VPN概述VPN通过一个私有的通道来创建一个安全的私有连接，将远程用户、公司分支机构、公司的业务伙伴等跟企业网连接起来，形成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在，仿佛所有的主机都处于一个网络之中。主要目的是保护传输数据，是保护从信道的一个端点到另一端点传输的信息流。信道的端点之前和之后，VPN不提供任何的数据包保护。VPN目的§5.1VPN概述加密数据。以保证通过公网传输的信息即使被他人截获也不会泄露。信息验证和身份识别。保证信息的完整性、合理性，并能鉴别用户的身份。提供访问控制。不同的用户有不同的访问权限。地址管理。VPN方案必须能够为用户分配专用网络上的地址并确保地址的安全性。密钥管理。VPN方案必须能够生成并更新客户端和服务器的加密密钥。多协议支持。VPN方案必须支持公共因特网络上普遍使用的基本协议，包括IP、IPX等。VPN基本功能§5.1VPN概述安全性：隧道、加密、密钥管理、数据包认证、用户认证、访问控制可靠性：硬件、软件、基础网络的可靠性可管理性：记帐、审核、日志的管理；是否支持集中的安全控制策略可扩展性：是否考虑采用硬件加速加解密速度；支持多种类型的数据流、方便增加新的节点、支持多种类型的传输媒介VPN特性§5.1VPN概述可用性：系统对应用尽量透明；对终端用户来说使用方便互操作性：尽量采用标准协议，与其他供应商的设备能互通服务质量QoS：通过Internet连接的VPN服务质量很大程度取决于Internet的状况;为企业数据提供不同等级的服务质量保证；充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽多协议支持VPN特性§5.1VPN概述VPN服务器端：能够接收和验证VPN连接请求并处理数据打包和解包工作的一台计算机或设备。VPN服务器端操作系统可以是WindowsNT4.0／Windows2000／WindowsXP／Windows2003；相关组件为系统自带；要求VPN服务器已经接入Internet，并且拥有一个独立的公网IP。VPN组成§5.1VPN概述VPN客户端：能够发起VPN连接请求并且也可以进行数据打包和解包工作的一台计算机或设备。VPN客户机端操作系统可以选择Windows98／WindowsNT4.0／Windows2000／WindowsXP／Windows2003；相关组件为系统自带；、要求VPN客户机已经接入Internet。VPN组成§5.1VPN概述VPN数据通道：一条建立在公用网络上的数据连接。其实，所谓的服务器端和客户端在VPN连接建立之后，在通信过程中扮演的角色是一样的，区别仅在于连接是由谁发起的而已。VPN组成实例：基于windowsXP配置VPN服务器与客户端§5.1VPN概述VPN分类按应用范围分：内部网远程访问Internet合作伙伴分支机构虚拟私有网ExtranetVPNIntranetVPNAccessVPN§5.1VPN概述AccessVPN又称为拨号VPN(即VPDN)，是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网。用于实现移动用户或远程办公室安全访问企业网络.是个人计算机与企业站点之间的虚拟专用网络典型的远程访问VPN是用户通过本地的信息服务提供商(ISP)登录到因特网上，并在现在的办公室和公司内部网之间建立一条加密信道。VPN分类：按应用VPN隧道对于外出旅行的员工而言，无论他们位于何处，都可访问电子邮件、文件和内部系统，无需使用昂贵的长途电话连接拨号服务器在家工作的员工可以像在企业的办公室中工作的员工一样访问网络服务，而无需使用昂贵的租用线路。VPN服务器总部LAN因特网加密信道移动用户移动用户防火墙公共服务器企业内部网VPN服务器可以是机构的防火墙或单独的VPN服务器用户通过本地ISP拨号、DSL线路或调制解调器连接到Internet，并通过Internet与公司企业站点建立一个VPN。TCP/IP协议栈用户计算机VPN服务器内部网络VPN软件其他Internet通信数据内部网络InternetVPN通道§5.1VPN概述AccessVPN公司企业的站点需要用户认证AccessVPN可以让机构限制远程用户能够访问的系统或文件VPN分类：按应用§5.1VPN概述IntranetVPN用于组建跨地区的企业内部互联网络即企业的总部与分支机构间通过公网构筑的虚拟网这种类型的连接带来的风险最小，因为公司通常认为他们的分支机构是可信的，并将它作为公司网络的扩展。内部网VPN的安全性取决于两个VPN服务器之间加密和验证手段上。VPN分类：按应用§5.1VPN概述IntranetVPNVPN分类：按应用VPN服务器VPN服务器总部LAN分支机构LAN因特网路由器路由器加密信道企业内部网络VPN通道远程局域网§5.1VPN概述ExtranetVPN用于企业与客户、合作伙伴之间建立互联网络。即企业间发生收购、兼并或企业间建立战略联盟后，使不同企业网通过公网来构筑的虚拟网。它能保证包括TCP和UDP服务在内的各种应用服务的安全，如Email、HTTP、FTP、RealAudio、数据库的安全以及一些应用程序如Java、ActiveX的安全。VPN分类：按应用§5.1VPN概述ExtranetVPNVPN分类：按应用外部网服务器VPN通道VPN服务器总部LAN因特网加密信道防火墙公共服务器防火墙VPN服务器合作伙伴LAN§5.1VPN概述ExtranetVPN与IntranetVPNVPN分类：按应用跨Internet的站点到站点的VPNVPN机构内部网络远程站点内部网络Internet主要站点防火墙远程站点防火墙§5.1VPN概述ExtranetVPN与IntranetVPN启动连接时，一个站点会试图向另一个站点发送通信数据，在两个VPN端启动VPN两个端点协商连接参数VPN两端进行认证可以作为租用线路的备份VPN分类：按应用优点：节约成本；性价比较高；可以严格限制对内部网络和计算机系统的访问§5.2安全VPN的关键技术VPN主要采用以下四项技术来保证安全：隧道技术加解密技术密钥管理技术使用者与设备身份认证技术VPN安全技术§5.2安全VPN的关键技术VPN的隧道协议：隧道是在公用IP网中建立逻辑点到点连接的一种方法，是一个叠加在IP网上的传送通道VPN中的隧道是由隧道协议形成的实质上是一种封装，将一种协议（协议X）封装在另一种协议（协议Y）中传输，从而实现协议X对公用传输网络(采用协议Y)的透明性VPN安全技术§5.2安全VPN的关键技术VPN的隧道协议：VPN使用的隧道协议主要有:第二层隧道协议:PPTP、L2F、L2TP第三层隧道协议：GRE、IPSECVPN安全技术§5.2安全VPN的关键技术VPN的隧道协议：无论何种隧道协议，其数据包格式都是由乘客协议、封装协议和传输协议3部分组成的。下面我们以L2TP为例，如下图所示，看一下隧道协议的组成。VPN安全技术用户要传输的数据，也就是被封装的数据，包括IP、PPP、SLIP等；用于建立、保持和拆卸隧道。包括L2F、PPTP、L2TP、GRE等。乘客协议被封装之后应用传输协议§5.2安全VPN的关键技术第二层隧道协议：第二层隧道协议用于传输第二层网络协议，主要应用于构建AccessVPN。第二层隧道协议主要有三种：•由CiscoNortel等公司支持的L2F协议，Cisco路由器中支持此协议；•Microsoft、Ascend、3COM等公司支持的PPTP协议，WindowsNT4.0以上版本中支持此协议；•成为二层隧道协议工业标准的是由IETF起草并由Microsoft、Ascend、Cisco、3COM等公司参与制定的L2TP协议，它结合了上述两个协议的优点。VPN安全技术§5.2安全VPN的关键技术第二层隧道协议：LTF(LayerTwoForwardingProtocol)L2F(二层转发协议)是由Cisco公司提出的隧道技术,可以支持多种传输协议，如IP、ATM、帧中继1)远端用户通过任何拨号方式接入公共IP网络，例如，按常规方式拨号到ISP的NAS，建立PPP连接；2)NAS根据用户名等信息，发起第二重连接，通向企业的本地L2F网关服务器，3)这个L2F服务器把数据包解包之后发送到企业内部网上在L2F中，隧道的配置和建立对用户是完全透明的，L2F没有确定的客户方。VPN安全技术§5.2安全VPN的关键技术第二层隧道协议：PPTP(PointtoPointTunnelingProtocol)点到点隧道协议（PPTP）是由PPTP论坛开发的点到点的安全隧道协议，为使用电话上网的用户提供安全VPN业务。该协议将PPP数据包封装在IP数据包内通过IP网络（如Internet或Intranet）进行传送。PPTP是PPP协议的一种扩展，提供了在IP网上建立多协议的安全VPN的通信方式，远端用户能够通过任何支持PPTP的ISP访问企业的专用网络。VPN安全技术§5.2安全VPN的关键技术第二层隧道协议：PPTPPPTP协议提供了PPTP客户端和PPTP服务器之间的加密通信。PPTP客户端和服务器进行VPN通信的前提是二者之间有连通且可用的IP网络，也就是说PPTP客户端必须能够通过IP网络访问PPTP服务器。windows中