第5章防火墙与VPN

NN第五章防火墙与VPN课程的主要内容防火墙的分类1防火墙的局限2常见的防火墙运用3虚拟专用网络（VPN）技术4防火墙•防火墙：使内部网与Internet之间或者与其他外部网络互相隔离、限制网络互访、保护内部网络的防范措施或设备。•防火墙的设计原则：①由内到外或由外到内的业务流必须经过防火墙②只允许本地安全策略认可的业务流通过防火墙③尽可能控制外部用户访问内域网④具有足够的透明性，保证正常业务的流通⑤具有抗穿透攻击能力、强化记录、审计和告警。防火墙外网（非受信网络）内网（受信网络）非军事化区（DMZ）：内网需向外网提供服务的服务器放在一个单独的网段。该网段称之为非军事区。5.1.5防火墙不能提供的服务：•无法防范通过防火墙以外的其他途径的攻击•不能防止来自内部的变节者和不经心的用户带来的攻击•不能防止传送已感染病毒的软件或文件•无法防范数据驱动型攻击5.1.3防火墙的基本组成•防火墙主要包括安全操作系统、过滤器、网关、域名服务和E-mail处理。防火墙的分类（一）♥包过滤型包过滤技术是在网络中的适当位置对数据包实施有选择通过的技术。会检查所有进出防火墙的包标头内容。它一般作用在网络层，故也称网络层防火墙或IP过滤器。只对数据包的IP地址、TCP/UDP协议和端口进行分析。包过滤防火墙的处理速度较快，并且易于配置。防火墙的分类（二）♥包检验型包检验型的控制机是通过一个检验模组对包中的各个层次作检验。它可以说是包过滤型的加强版，目的在增加包过滤型的安全性，增加控制“连线”的能力。检查的对象仍是个别包，不同的包检验方式可能会产生极大的差异。其检验层面越广越安全，但其相对效率也越低。防火墙的分类（三）♥应用层网关型应用层网关型的防火墙采用将动作拦截，由一个特殊的代理程序来处理两端间的连接的方式，并分析其连线内容是否符合应用协定的标准。可能必须针对每一种应用写一个专属的代理程序，或用一个一般用途的代理程序处理大部分连线。这种运作方式是最安全的方式，但也是效率最低的一种方式。运行在应用层•门卫防火墙的局限性—不能解决的问题防火墙的局限性•防火墙不能防范不经由防火墙的攻击•防火墙不能防止感染了病毒的软件或文件的传输•防火墙不能防止数据驱动式攻击•防火墙不能防范恶意的和不经心的内部人员•防火墙不能防范不断更新的攻击方式5.2虚拟专用网络（VPN）技术1.VPN的提出、功能、优点2.VPN的基础——隧道协议3.VPN的解决方案以及常见4.VPN的适用范围5.VPN的分类（三种分类）6.组建VPN设计原则与前景虚拟专用网络（VPN）技术虚拟专用网（VirtualPrivateNetwork，VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。公共传输网络隧道一般连接通道虚拟专用网络（VPN）技术虚拟专用网络（VPN）技术•VPN依靠ISP（Internet服务提供商）和其他NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。对于不同的信息来源，可分别给它们开出不同的隧道。•VPN是一种连接，从表面上看它类似一种专用连接，但实际上是在共享网络上实现的。它往往使用一种被称作“隧道”的技术，数据包在公共网络上的专用“隧道”内传输，专用“隧道”用于建立点对点的连接。（P84）VPN提供的功能•加密数据：以保证通过公网传输的信息即使被他人截获也不会泄露•信息认证和身份认证：保证信息的完整性、合法性、并能鉴别用户的身份。•提供访问控制：不同的用户有不同的访问权限。VPN的优点（P83）•成本低：在LANtoLAN连接时，用VPN比使用专线的成本节省20%~40%左右；而就远程访问而言，VPN更能比直接拨接至企业内部网络节省60%~80%的成本。•网络结构灵活：VPN比专线式的架构有弹性，当有必要将网络扩充或是变更网络架构时，VPN可以轻易地达到目的；相对而言，传统的专线式架构便需大费脑筋了。•管理方便：VPN较少的网络设备及物理线路，式网络管理较为轻松，不论分公司或是远程访问用户再多，均只需通过互联网的路径进入企业网络。VPN的基础——隧道协议•VPN的具体实现是采用隧道技术，将企业网的数据封装在隧道协议中进行传输。•隧道协议可分为第二层隧道协议与第三层隧道协议：（1）二层隧道协议：L2F/L2TP、PPTP•（2）三层隧道协议：GRE、IPSec•它们的本质区别是：用户的数据包是被封装在那种数据包中传输的。•无论那种隧道协议都是由传输的载体、不同的封装格式以及数据包组成的。VPN的基础——隧道协议•隧道协议主要包括以下几种：互联网协议安全IPSec（InternetProtocolSecurity）第二层转发协议L2F（Layer2Forwarding）点对点隧道协议PPTP（PointtoPointTunnelingProtocol）第二层隧道协议L2TP（Layer2TunnelingProtocol）通用路由封装协议GRE(GenericRoutingEncapsulation)隧道的基本组成（P85）•一个隧道启动器•一个路由网络•一个可选的隧道交换机•一个或多个隧道终结器5.2.6IPSec(P85)•IPSec是一系列保护IP通信的规则的集合，制定了通过公有网络传输私有加密数据信息的途径和方法。•IPSec有两种工作模式：–传输模式：提供IP包传送的安全性。–隧道模式：把一个IP包放到一个新的IP包中，并已IPSec格式发往目的终点。IPSec的工作模式IP头TCP头数据IP头TCP头数据IPsec头IP头TCP头数据IPsec头新IP头传送模式与通道模式保护的数据包选择VPN解决方案p86•VPN解决方案一般分为VPN服务器和VPN客户端。•选择VPN解决方案时需要考虑的几个要点：认证方法支持的加密算法支持的认证算法支持的IP压缩算法易于部署兼容分布或个人防火墙的可用性VPN的适用范围•比较适合采用VPN位置众多，特别是单个用户和远程办公室站点多。用户/站点分布范围广带宽和时延要求相对适中的用户对线路保密性和可用性有一定要求的用户•不适合采用VPN非常重视传输数据的安全性不管价格多少，性能都被放在第一位的情况采用不常见的协议，不能再IP隧道中传送应用的情况大多数通信是实时通信的应用三种VPN的分类（一）•一、按VPN的部署模式分类（描述了VPN的通道是如何建立和终止的）端到端模式供应商——企业模式内部供应商模式三种VPN的分类（二）AccessVPN2ExtranetVPN3IntranetVPN1按服务类型分：IntranetVPN优点：减少WAN带宽的费用能使用灵活的拓扑结构，包括全网络连接新的站点能更快、更容易地被连接即企业总部与分支机构间通过公网构筑的虚拟网。AccessVPN(又称拨号VPN，即DVPN)最适用于公司内部经常有流动人员远程办公的情况。即企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网（优势见书）ExtranetVPN即企业间发生收购、兼并或企业间建立战略联盟后，使不同企业网通过公网来建筑的虚拟网。ExtranetVPN•ExtranetVPN通过一个使用专用连接的共享基础设施，将用户、供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同策略、包括安全、服务质量、可管理性和可靠性。•ExtranetVPN的优势在于：能容易地对外部网络进行部署和管理。主要的不同是接入许可，外部网的用户被许可只有一次机会连接到其合作人的网络。•按接入方式的不同：–虚拟专用拨号网络（VPDN）–虚拟专用路由网络(VPRN)：基于路由–虚拟租用线路（VLL）:基于虚拟专线–虚拟专用LAN子网段（VPLS）:用隧道协议仿真出一个局域网。三种VPN的分类（三）虚拟专用拨号网络（VPDN）虚拟专用路由网络（VPRN）虚拟租用线路（VLL）虚拟专用LAN子网段（VPLS）4123按VPN的具体实现即解决方案：组建VPN应该遵循的设计原则•VPN的设计应该遵循以下原则：安全性、网络优化、VPN管理等（书P90）VPN的应用前景客观因素因特网带宽服务质量QoS应用前景客观因素用户担心数据传输的安全用户自身的应用跟不上VPN的几种解决方案Cisco的解决方案华为的解决方案网际先进的解决方案川大能士的解决方案VPNThankyou!