您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 经营企划 > cisp教程-vpn技术
2007‐12‐221VPN技术VPN技术中国信息安全产品测评认证中心汪洋cnitsecwy@gmail.com课程简介本课程将使你了解到VPN的:产生原因昨天、今天、明天分类主要技术益处益处发展仅仅只是浅谈…2007‐12‐222培训大纲第一课:由来和定义第二课:基本技术第三课:分类第四课:设计原则第五课解决方案分析第五课:解决方案分析第六课:益处与发展第一课:VPN的由来和定义2007‐12‐223第一课:目标VPN对应的市场需求VPN对应的市场需求VPN的表象VPN的定义第一课:当代企业面临的问题灵活迅速的信息交换CRM和ERP远程访问资源、无延时信息交换非兼容网络设备企业级合作高级别的安全需要2007‐12‐224第一课:早期的解决方案——互联第一课:互联理念的缺陷距离受限制距离受限制维护、管理困难安装、运行、维护成本高安装行维护本高2007‐12‐225第一课:RAS连接第一课:RAS连接只是暂时性连接需要一个调制解调器或ISDN线路公司扮演ISP帐号与线路对应每个拨号一条专线,中心需要确保有足够的电话线路2007‐12‐226第一课:RAS的是是非非非:安全保护:接入点、线路ISP提供的服务很贵难扩展是:当时而言可以说比较安全当时而言,可以说比较安全比“普通”互联网速度快第一课:VPN应运而生20世纪90年代中期互联网的疯狂增长低价的网际互联VPN简言之:通过使用低成本的互联网线路在组织机构的分支机构间建立安全的连接2007‐12‐227第一课:理解VPN虚拟出来的企业内部专线加密以专有原先再路由器上目前:交换机防火墙以及OS目前:交换机、防火墙以及OS第一课:VPN定义通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。目前还没有完整统一的定义:定义一:在Internet上实现的一个专用网。(Novell)定义二:VPN综合了专用和公用网络的优点,允许有多个站点的公司拥有一个假想的完全专有的网络,而使用公用网络作为其站点之间交流的线路。(Comer)定义三:VPN是通过专用的隧道技术在公共数据网络上仿真一条点到点的专线技术。(IETF草案)2007‐12‐228第一课:VPN逻辑等价图第一课:VPN的应用场景组织机构的覆盖多个地点的内联网组织机构的覆盖多个地点的内联网有非固定IP地址的家庭或现场工作人员的拨号访问用于客户或业务合作伙伴的外联网2007‐12‐229第一课:VPN的基础设施安全性差安全性差价格便宜易扩展,普遍使用易展,普使用第一课:远看VPN2007‐12‐2210第一课:近瞧VPN第一课:工作示意图移动用户互联网分支办公室组织机构总部2007‐12‐2211第一课:VPN综述1基本功能:加密数据加密数据信息认证和身份认证提供访问控制安全保障:保证通过公用网络平台传输数据的专用性和安全性确保在VPN上传送的数据不被攻击者窥视和篡改防止非法用户对网络资源或私有信息的访问第一课:VPN综述2服务质量保证:充分有效地利用有限的广域网资源为重要数据提供可靠的带宽为企业数据提供不同等级的服务质量保证按照优先级分配带宽资源,实现带宽管理预防阻塞的发生。2007‐12‐2212第一课:VPN综述3可扩充性和灵活性:VPN必须能够支持通过Intranet和Extranet的任何类型的数据流可以很方便地增加新节点支持多种型的数据流,可以很方便地增加新节点,支持多种类型的传输媒介,包括语音、图像和数据等可管理性:无论从用户角度,还是从运营商角度都应能方便地进行管理和维护从用户角度上讲可以选择地增加身份的认证加从用户角度上讲,可以选择地增加身份的认证、加密算法的选择、密钥的产生等方案从运营商角度上讲,可以有效管理VPN网络VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容第一课:总结互联网的发展促进了VPN业务互联网的发展促进了VPN业务RAS相对于VPN的局限性VPN在互联网上实现虚拟和私有特性在联网实虚和有特课间休息2007‐12‐2213第二课:VPN的基本技术第二课:目标的实需要的技术VPN的实现需要的技术简单了解每种技术所起的作用2007‐12‐2214第二课:数据包包括包头和数据包头是一些标签包括发送者、接受者和控制单元等数据匿名包与加密包的发送过程VPN将此合二为一第二课:隧道是一种封装技术隧道技术是指包括数据封装传输和解包在内隧道技术是指包括数据封装、传输和解包在内的全过程隧道技术按其拓扑结构分为:点对点隧道、点对多隧道VPN主要采用点对点隧道目前存在多种VPN隧道:L2TP、PPTP、IPSec、MPLS、SSL本质区别在于数据包是被封装在哪种数据包中2007‐12‐2215第二课:加密对称加密:密密都密加密和解密都是采用相同的密钥优点:加解密速度快缺点:密钥管理困难非对称加密:加密和解密采用不同密钥加密和解密采用不同密钥优点:密钥分配容易缺点:加解密速度慢第二课:认证使用者与设备身份认证技术最常用的是使用者名称与密码或卡片式认证等方式用者名称与密码或卡片式认证等方式2007‐12‐2216第二课:密钥管理在公用数据网上安全地传递密钥而不被窃取取SKIP与ISAKMP/ OAKLEYSKIP主要是利用Diffie‐Hellman的演算法则,在网络上传输密钥在ISAKMP中双方都有两把密钥分别用在ISAKMP中,双方都有两把密钥,分别用于公用和私用第二课:VPN工作示意图2007‐12‐2217第二课:总结VPN是由它们支撑起来的第三课:VPN的分类2007‐12‐2218第三课:目标VPN的详细分类VPN的详细分类每种类型的技术要点不同类型的对比同标准VPN工作流程第三课:VPN分类依据按应用范围分:远程访问VPN、内联网VPN、外联网VPN按协议层次分:二层、三层、四层、应用层按体系结构分:网关到网关网关到主机主机到主机网关到网关、网关到主机、主机到主机按实现方式分:自构、外构2007‐12‐2219第三课:按应用范围分类——远程访问虚拟网(AccessVPN)非VPN远程访问设置非VPN远程访问设置远程访问VPN设置组织机构总部数据服务器数据中心数据服务器RAS远程接入服务器移动用户远程用户组织机构总部数据服务器数据中心数据服务器RAS远程接入服务器移动用户远程用户数据服务器数据中心数据服务器VPN服务器移动用户远程用户VPN网关VPN网关VPN隧道互联网防火墙远程办公室远程办公室远程办公室组织机构总部远程办公室远程办公室长途拨号连接本地拨入ISP连入互联网或本地互联网连接第三课:按应用范围分类——企业内部虚拟网(IntranetVPN)使用广域网的内联网设置基于VPN的内联网设置组织机构总部广域网组织机构总部互联网VPN网关隧道隧道隧道远程分支办公室远程分支办公室远程分支办公室远程分支办公室远程分支办公室远程分支办公室隧道VPN网关2007‐12‐2220第三课:按应用范围分类——企业扩展虚拟网(ExtranetVPN)传统的外联网设置外联网VPN设置组织机构总部供应商网络1供应商网络1供应商网络1组织机构总部互联网供应商1供应商2供应商3络1供应商1供应商2供应商3第三课:按协议层次分类数据链路层VPN可以用于各种网络协议比如IPIPXAppleTalk等可以用于各种网络协议,比如IP、IPX、AppleTalk等。网络层VPN可以适用于所有应用(即不是应用特定的)。传输层VPN常用于保护单独的HTTP应用通信的安全。目前主要的web浏览器默认支持该协议。应用层VPN为单个应用提供保护,通常只保护应用数据部分(SSH)2007‐12‐2221第三课:二层的主要隧道协议二层隧道协议主要有三种:PPTP:微软、Ascend、3COM 等公司支持。L2F:Cisco、北方电信等公司支持,在Cisco路由器中有支持。L2TP:由IETF 起草,微软、Ascend 、Cisco、3COM 等公司参与,结合了上面两个协议的优点,成为二层隧道协议的的工业标准。MPLS:Multi‐Protocol Label Switching第三课:PPTP2基于RSA进行PPTP认证由微软最先提出,提供PPTP客户机和PPTP服务器之间的加密通信Internet或IP网络PPTP服务器2.基于RSA进行PPTP认证3.基于RC4对数据加密1.拨号,建立PPP连接2007‐12‐2222第三课:L2FL2F是可以在多种介质上建立多协议的安全虚拟专用网(VPN)的通信方式虚拟专用网(VPN)的通信方式远端用户能够透过任何拨号方式接入公共IP网络。第三课:L2TP以网络厂商为主提出,在IP网络或分组网络中直接建立安全的IP连接Internet 或IP网络LNSPSTNL2TPNetworkServer网络中直接建安全的连接FR/ATM等交换网络PSTNLNS2007‐12‐2223第三课:MPLS根据标签进行快速路由和交换由和交换普通IP报以普通方式进行路由和交换第三课:区分2层方法的主要因素身份验证机制的可用性支持高级网络功能,例如网络地址转换(NAT)在拨号模式中为隧道双方提供IP地址的动态分配。支持公钥基础设施(PKI)支持公钥基础设施(PKI)2007‐12‐2224第三课:隧道协议比较zPPTP要求互联网络为IP网络,而L2TP可以包括帧中继虚电路等IP、帧中继、X.25虚电路和ATM等zPPTP只能在两端点间建立单一隧道,而L2TP支持两端点间使用多隧道(用户可以为不同服务质量创建不同隧道)zL2TP可以提供包头压缩,从而减少传输数据量可以提供包头压缩,从而减少传输数据量zL2TP可以提供隧道验证,而PPTP不支持z都对传输数据不加密。第三课:IPsecVPN传统的TCP/IP并不安全IETF设计IIETF设计Ipsec:协议框架‐‐‐RFC1825安全协议‐‐‐AH协议(RFC1826) 、ESP协议(RFC1827)IPSec的安全协议由三个主要的协议组成:AH协议ESP协议和IKE协议AH协议、ESP协议和IKE协议Ipsec提供的安全服务:访问控制、数据完整性、数据源鉴别(身份认证)……2007‐12‐2225第三课:IPSec协议体系覆盖了整个技术概念和安全考虑,提供了IPSec协议集理解的基础定义了协议、数据头部格式以及它们提供的服务,为包头和数据提供完整性保护和用户鉴别,也可以选择提供重放攻击保护和访问保护。详述和跟踪了定义密钥管理体制的标准,可为IPSec(AH/ESP)协议生成密钥。记录协商的安全参数信息第三课:通讯模式传输模式传输模式隧道模式2007‐12‐2226第三课:传输模式主机与主机的安全通信只保护IP报文的有效负载,不会隐藏路由信息只保护IP报文的有效负载,不会隐藏路由信息不需要创建新的IP包头优点:即使内网中的其它用户,也不能理解传输于主机A和主机B之间的数据分担了IPSec处理负荷缺点:缺点对外暴露IP地址和网络拓扑需要IPSec的主机必须安装该软件,需要较大的资金和技术支持缺乏访问控制机制第三课:传输模式示意图互联网原IP包头传输数据(TCP, UDP, ICMP等)IPv4主机1主机2传输模式VPN原IP包头IPSec头传输数据(TCP, UDP, ICMP等)IPsec尾(仅用于ESP)2007‐12‐2227第三课:隧道模式通信的一端或两端是网关的情况内部子网被认为是可信的子网内的通信以明文方式进行但子网之间的通信受子网内的通信以明文方式进行,但子网之间的通信受IPSec机制的安全保护对整个IP报文提供保护需要为每个
本文标题:cisp教程-vpn技术
链接地址:https://www.777doc.com/doc-694646 .html