1 / 41

第 6 章 VPN 和 IPSec

第 6 章 VPN 和 IPSec. VPN 定义. 虚拟专用网( Virtual Private Networks-VPNs ) 提供了一种在公共网络上实现网络安全保密通信的方法。. 信息对抗. 内部网络. 互联网. 远程用户. VPN 客户. 虚拟专用网基础结构. 信息对抗. VPN 与现有网络基础设施不同点. 虚拟( virtual ): 专用( private ): 网络( network ):. 信息对抗. 分支机构. 企业内联网. 合作伙伴. 服务供应商网络. 远程用户. VPN 优势.

luella
Download Presentation

第 6 章 VPN 和 IPSec

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 第6章VPN 和IPSec

  2. VPN定义 • 虚拟专用网(Virtual Private Networks-VPNs)提供了一种在公共网络上实现网络安全保密通信的方法。 信息对抗

  3. 内部网络 互联网 远程用户 VPN客户 虚拟专用网基础结构 信息对抗

  4. VPN与现有网络基础设施不同点 • 虚拟(virtual): • 专用(private): • 网络(network): 信息对抗

  5. 分支机构 企业内联网 合作伙伴 服务供应商网络 远程用户 VPN优势 • VPN可以跨越互联网来安全地在扩展的企业网络(远程用户,各子公司,合作伙伴)之间传输信息。 信息对抗

  6. 内部网段 (公司B内联网) 安全网关 (防火墙/路由器) 目标主机 远程主机 ISP接入盒 拨号接入段 外部网段 (公共互联网) 内部网段 (公司A内联网) 一条典型端对端通路构成 信息对抗

  7. 各机器和网段存在的潜在安全问题(1) • 拨号客户的安全问题。 • 拨号网段的安全问题。 • 互联网的安全问题。 • 安全网关的安全问题。 • VPN、防火墙和路由器 • Intranet的安全问题。 信息对抗

  8. 外部网段(Internet)的安全问题

  9. PERMIT UDP 500 PERMIT AH ESP PERMIT L2TP 互联网 其它内部子网 内部网 VPN VPN ISP ISP 防火墙/路由器 防火墙/路由器 允许VPN通信穿越防火墙 信息对抗

  10. 远程接入 信息对抗

  11. LAN-LAN 通信 信息对抗

  12. 可控的内联网接入 信息对抗

  13. VPN安全策略 • 一条VPN安全策略描述了所要保护的通信情形(源和目的,协议和端口)以及保护本身的安全需求(认证,加密,变换,密钥长度和生存期等等)。

  14. VPN数据安全性 • VPN数据传输的安全需求主要是通过以下三种基本要素来实现: • 认证(Authentication)。 • 加密(Encryption)。 • 完整性(Integrity)。

  15. VPN认证 信息对抗

  16. VPN 协议 • 点对点隧道协议(Point-to-Point Tunneling Protocol -PPTP)。 • 第二层隧道协议(layer 2 tunneling protocol-L2TP)。 • IP安全协议(IPSec)。

  17. IPSec协议 • 安全关联(Security Association) 信息对抗

  18. 安全关联(Security Association) • 安全关联正是IPSec用于跟踪某一个特定IPSec通信会话所涉及的细节问题的一种方法。一个安全关联描述了两个或者多个实体如何使用安全服务来实现安全通信。 信息对抗

  19. SA管理,创建,删除 • SA管理的两大主要任务: • 创建。 • 删除。

  20. SA参数(1) • 序列号(Sequence Number):序列号是一个32位的字段,在数据包的“外出”处理期间使用。 • 序列号溢出(Sequence Number Overflow):该字段用于外出包处理,并在序列号溢出的时候加以设置。 • 抗重放窗口(anti-replay) 该字段在数据包的“进入”处理期间使用。当今,与网络安全有关的一个重要问题便是重放攻击。 信息对抗

  21. SA参数(2) • 存活时间(Lifetime,TTL):它规定了每个SA最长能够存在的时间(所谓的“存活时间”或“存活周期”)。 • AH信息:使用AH的身份验证算法、密钥、密钥生命周期和相关参数。 • ESP信息:使用ESP的加密和身份验证算法、密钥、初始向量、密钥生命周期和相关参数。 信息对抗

  22. SA参数(3) • 模式(Mode):IPSec协议可同时用于隧道模式及传输模式。依据这个字段的值,载荷的处理方式也会有所区别。 • 隧道目的地(Tunnel Destination):对于隧道模式中IPSec来说,需要该字段指出隧道的目的地———亦即外部头的目标IP地址。 • 路径最大传输参数(PMTU):在隧道模式下使用IPSec时,必须维持正确的PMTU信息,以便对这个数据包进行相应的分段。 信息对抗

  23. 安全策略 • 安全策略决定了为一个包提供的安全服务。对所有IPSec实施方案来说,它们都会将策略保存在一个数据库中,这个数据库名为SPD(安全策略数据库)。 信息对抗

  24. 选择符 • 源地址(Source IP Address)。 • 目的地址(Destination IP Address)。 • 名字(User ID) 。 • 协议(Protocol)。 • 上层端口(Upper Layer Ports)。 信息对抗

  25. IPSec模式(1) • IPSec 提供了两种操作模式---传输模式和隧道模式(transport 和tunnel modes)。 信息对抗

  26. IPSec模式(2) 信息对抗

  27. 认证报头(AH) 信息对抗

  28. AH模式 信息对抗

  29. 封装安全有效载荷分组格式 信息对抗

  30. 加密和验证算法 • ESP是一个通用的,可灵活扩展的协议,这允许它使用不同的加密算法。ESP支持的可选算法包括3DES(Triple-DES)、RC5、IDEA、CAST、BLOWFISH和RC4。 信息对抗

  31. ESP传输模式 信息对抗

  32. 隧道模式ESP 信息对抗

  33. SA组合-传输邻接(Transport Adjacency) 信息对抗

  34. SA组合-嵌套隧道(Iterated(nested) Tunneling) 信息对抗

  35. 因特网密钥管理协议 • IPSec的密钥管理需求 • 认证方法(Authentication) • 密钥交换(Key Exchange) • IKE阶段综述 • ISAKMP消息结构 • IPSec/IKE系统处理 信息对抗

  36. 认证方法(Authentication) • 预共享密钥(Pre-shared keys)。 • 公钥加密(Public key cryptography)。 • 数字签名(Digital signature)。 信息对抗

  37. IKE阶段综述-阶段1 • 第一阶段用于建立ISAKMP的安全关联。 信息对抗

  38. IKE阶段综述-阶段2 • 第二阶段用于为不同的服务协商各自的安全关联。 信息对抗

  39. ISAKMP消息结构 信息对抗

  40. IPSec/IKE系统处理(1) 信息对抗

  41. IPSec/IKE系统处理(2) 信息对抗

More Related