1 / 29

应用要求

应用要求. 案例 1 : 某个公司是跨地区的 — 总体与若干分支机构不在一个城市,通信时一般必须通过互联网、电话网络联系,实现数据交换等功能。 营销财务数据、日常管理信息等,语音数据。 功能:随时在线 - 联网,临时使用 - 用时才连接 网络风险:攻击、窃听、篡改 …… 如何保证连接的稳定可靠、传输时的信息安全?? 与 FW 与 IDS 的防不同,这是对网络规模的扩展。. 第 12 章. 虚拟专用网络技术. 本章要点. 信息化社会推动了企业向规模化发展、分布式转变,一个企业不再局限于某一地域,这就对企业的网络建设提出了更高的要求。

yadid
Download Presentation

应用要求

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 应用要求 • 案例1: • 某个公司是跨地区的—总体与若干分支机构不在一个城市,通信时一般必须通过互联网、电话网络联系,实现数据交换等功能。 • 营销财务数据、日常管理信息等,语音数据。 • 功能:随时在线-联网,临时使用-用时才连接 • 网络风险:攻击、窃听、篡改…… • 如何保证连接的稳定可靠、传输时的信息安全?? • 与FW与IDS的防不同,这是对网络规模的扩展。

  2. 第 12章 虚拟专用网络技术

  3. 本章要点 • 信息化社会推动了企业向规模化发展、分布式转变,一个企业不再局限于某一地域,这就对企业的网络建设提出了更高的要求。 • 如何实现分布式网络的安全连接,保护企业数据等秘密,本章介绍的虚拟专用网络技术就是一种最好的解决方法。 。

  4. 一、VPN概述 • 1、基本概念 • 虚拟专用网(Virtual Private Network,VPN)指的是依靠ISP(Internet服务提供商)和其他NSP(网络服务提供商),在公用网络中建立虚拟的专用数据通信网络的技术。 • 通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道,它不是真的专用网络,却能够实现专用网络的功能。 • 传统专网:端到端必须有专用的物理链路。 • 在虚拟专用网中,任意两个节点之间的连接并没有专用的物理链路,而是利用某种公众网的资源动态组成的。需要时借用,完成后释放。 • 虚拟专用网是对企业内部网的扩展。 • 以IP为主要通讯协议的VPN,也可称之为IP-VPN。

  5. 一、VPN概述 • 2、VPN的组成 • 一个网络连接通常由三个部分组成:客户机、传输介质和服务器。VPN同样也由这三部分组成,不同的是VPN连接使用隧道作为传输通道,这个隧道是建立在公共网络或专用网络基础之上的,如:Internet或Intranet。 • 要实现VPN连接,企业内部网络中必须配置有一台VPN服务器,VPN服务器一方面连接企业内部专用网络,另一方面要连接到Internet,也就是说VPN服务器必须拥有一个公用的IP地址。 • 当客户机通过VPN连接与专用网络中的计算机进行通信时,先由ISP(Internet服务提供商)将所有的数据传送到VPN服务器,然后再由VPN服务器负责将所有的数据传送到目标计算机。VPN使用了隧道协议、身份验证、数据加密三个方面的技术,来有效保证通信的安全性。

  6. 一、VPN概述 • 3、VPN的隧道技术 • 隧道是一种利用公网设施,通过专用协议实现在一个网络之中的“网络”上传输数据的方法,被传输的数据可以是另一种协议的数据帧。 • 隧道协议利用附加的报头封装帧,附加的报头提供了路由信息,因此封装后的包能够通过中间的公网。封装后的包所途经的公网的逻辑路径称为隧道。一旦封装的帧到达了公网上的目的地,帧就会被解除封装并被继续送到最终目的地。 • 隧道基本要素:①隧道开通器(TI);②有路由能力的公用网络;③一个或多个隧道终止器(TT);④必要时增加一个隧道交换机以增加灵活性。

  7. 一、VPN概述 • 4、VPN的通信过程 4个通用步骤: (1)客户机向VPN服务器发出请求; (2)VPN服务器响应请求并向客户机发出身份质询,客户机将加密的用户身份验证响应信息发送到VPN服务器; (3)VPN服务器根据用户数据库检查该响应,如果账户有效,VPN服务器将检查该用户是否具有远程访问权限;如果该用户拥有远程访问的权限,VPN服务器接受此连接; (4)VPN服务器将在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密,然后通过VPN隧道技术进行封装、加密、传输到目的内部网络。

  8. 一、VPN概述 • 5、VPN的功能 • 加密数据。以保证通过公网传输的信息即使被他人截获也不会泄露。 • 信息验证和身份识别。保证信息的完整性、合理性,并能鉴别用户的身份。 • 提供访问控制。不同的用户有不同的访问权限。 • 地址管理。VPN方案必须能够为用户分配专用网络上的地址并确保地址的安全性。 • 密钥管理。VPN方案必须能够生成并更新客户端和服务器的加密密钥。 • 多协议支持。VPN方案必须支持公共互联网络上普遍使用的基本协议,包括IP、IPX等。

  9. 一、VPN概述 • 6、VPN的特点 • 降低费用 • 增强的安全性 • 网络协议支持 • IP地址安全 • 服务质量保证(QoS) • 可扩充性和灵活性 • 可管理性

  10. 一、VPN概述 • 7、VPN的缺陷及弥补 • 远程计算机本身的安全问题是关键 • 远程计算机的安全守则 • 必须有相应的解决方案堵住远程访问VPN的安全漏洞,使员工与网络的连接既能充分体现VPN的优点,又不会成为安全的威胁。 • VPN与防火墙的组合使用,有以下几种组合方式: • 将VPN服务器置于防火墙后面的内部网络 • 将VPN服务器置于DMZ区 • 将VPN服务器集成于防火墙

  11. 一、VPN概述 • 8、VPN解决方案 • 基于 IPSec 的VPN解决方案:由AH协议、ESP协议、ISAKMP/Oakley协议构成。 • 基于第二层的VPN解决方案:L2TP、PPTP、L2F。 • 非IPSec的网络层VPN解决方案:网络地址转换、包过滤、服务质量。 • 非 IPSec 的应用层解决方案:SOCKS、SSL、S-HTTP、S-MIME。 • VPN技术的选择。

  12. 一、VPN概述 • 9、 VPN技术的选择 • 网络层对所有上层数据提供透明方式的保护,但无法为应用提供足够细的控制粒度。 • 应用层的安全技术可以保护堆栈高层的数据,但在传递过程中,无法抵抗常用的网络层攻击手段,如源地址、目的地址欺骗。

  13. 二、VPN关键技术 • 1、VPN安全技术 目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。 (1)隧道技术 (2)加解密技术 (3)密钥管理技术 (4)身份认证技术 这是VPN的基本技术,类似于点对点连接,它在公网中建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成的。第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中,隧道协议有L2F、PPTP、L2TP等。 第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等,在IP层提供安全保障。 这是数据通信中一项较成熟的技术,VPN可直接利用现有技术。 它的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。 最常用的是使用者名称与密码或智能卡认证等方式。

  14. 二、VPN关键技术 • 2、隧道VPN的关键技术 • VPN系统对要传输的数据进行封装(加VPN包头),在包头中提供路由信息(公共地址),使封装数据包能够穿越公共网络,到达目的地。 • 由于在公共网络上传输,需要确保安全,因此要对封装数据进行加密处理,使其具有保密性(防止未授权访问)、真实性(确认由对方而非第三方发送)和完整性(保证数据未被篡改)。 • PPTP协议允许对IP、IPX或NetBEUI数据流进行加密,然后封装在IP包头中通过企业IP网络或公共因特网络发送。 • L2TP协议允许对IP,IPX或NetBEUI数据流进行加密,然后通过支持点对点数据报传递的任意网络发送,如IP,X.25,帧中继或ATM。 • IPSec隧道模式允许对IP负载数据进行加密,然后封装在IP包头中通过企业IP网络或公共IP因特网络如Internet发送。

  15. 二、VPN关键技术 • 2、隧道VPN的关键技术 NSRC、NDST是隧道端点设备的IP地址 公网上路由时仅仅考虑NSRC、NDST 原始数据包的DST、SRC对公网透明

  16. 二、VPN关键技术 • 3、IPSec技术 • 3层协议,直接传输网络协议数据包 • 基于TCP/IP的标准协议,集成到IPv6中,仅仅传输IP协议数据包 • 提供了强大的安全、加密、认证和密钥管理功能 • 适合大规模VPN使用,需要认证中心(CA)来进行身份认证和分发用户的公共密钥 IPSec数据包的格式

  17. 二、VPN关键技术 • 3、IPSec技术 IPSec的工作模式 传输模式:只对IP数据包的有效负载进行加密或认证。此时,继续使用以前的IP头部,只对IP头部的部分域进行修改,而IPSec协议头部插入到IP头部和传输层头部之间。 隧道模式:对整个IP数据包进行加密或认证。此时,需要新产生一个IP头部,IPSec头部被放在新产生的IP头部和以前的IP数据包之间,从而组成一个新的IP头部。

  18. 二、VPN关键技术 • 3、IPSec技术 SA(Securlty Association安全关联)。所谓安全关联是指安全服务与它服务的载体之间的一个“连接”。AH和ESP都需要使用SA,而IKE的主要功能就是SA的建立和维护。只要实现AH和ESP都必须提供对SA的支持。 IPSec的三个主要协议 1)ESP(Encapsulating Security Payload)。ESP协议主要用来处理对IP数据包的加密。ESP是与具体的加密算法相独立的,几乎支持各种对称密钥加密算法,默认为3DES和DES。 2)AH(Authentication Header)。AH只涉及到认证,不涉及到加密。 3)IKE(Internet Key Exchange)。IKE协议主要是对密钥交换进行管理,它主要包括三个功能:①对使用的协议、加密算法和密钥进行协商;②方便的密钥交换机制(这可能需要周期性的进行);③跟踪对以上这些约定的实施。

  19. 二、VPN关键技术 • 3、IPSec技术 • IPSecVPN系统的组成 IPSecVPN的实现包含管理模块、密钥分配和生成模块、身份认证模块、数据加密/解密模块、数据分组封装/分解模块和加密函数库几部分组成。

  20. 二、VPN关键技术 • 4、SSL VPN技术 • 远程用户除了远程网点、出差在外的员工外,往往还有商业伙伴和客户,他们的访问权限应该有所区别,每个客户端都得安装和配置相应的VPN客户软件,非常不方便。 • SSL VPN正好能够解决这些问题,除了具备与IPSecVPN相当的安全性外(不使用VPN客户端软件,而使用嵌入Web浏览器的加密技术),还增加了访问控制机制,客户端只需要拥有支持SSL的浏览器即可 。 • SSL VPN对于网络“长”连接支持不好。

  21. 二、VPN关键技术 • 4、SSL VPN技术 Web浏览器模式工作流程

  22. 二、VPN关键技术 • 5、虚电路VPN的关键技术 • 基于虚电路(简称VC)的VPN是指使用电信运营商网络中的第2层(如帧中断或ATM)建立点对点网络互联的技术。 • 通过在两节点间建立永久性虚电路(PVC),在物理网络中划分出独立的点对点带宽资源,在协议层次上更靠近低层。 • 具有QoS(服务质量)保证的业务。 • 扩展性差。 • 包括ATM VPN和FR VPN两种类型。FR VPN最适合建立分支机构到总部的远程网络互联,不适合移动用户的远程访问。

  23. 二、VPN关键技术 • 6、MPLS VPN • MPLS(多协议标记交换)技术,实际上也是一种隧道技术,为每个IP包加上一个固定长度的标签,并根据标签值转发数据包;它同时又是一种组网技术,通过路由技术简单高效地建立VPN网络。 • MPLS具备以下优点: • 安全性。MPLS VPN通过在PE逻辑上隔离每个VPN的路由转发表,实现了用户流量的隔离。 • 提供服务质量保证。结合IP路由技术与ATM的交换技术的优势,保证不同类型的数据具有不同的QoS特性。 • 组网具有极好的灵活性和扩展性。用户只需一条线路接入MPLS网,便可以实现任何节点之间的直接通信,可实现用户节点之间的星型、全网状以及其他任何形式的逻辑拓扑。 • 便于用户灵活接入。用户端的设备可以是任何厂商、任何档次的路由器或具有路由能力的交换机,CE接入MPLS可以采用DDN、FR和ATM等任何专线,CE与PE之间可以运行任何IP路由协议。用户现有网络不需任何改变。 • MPLS VPN便于实现三网合一,同时支持数据、语音和视频业务。

  24. 三、VPN的类型 VPN的分类方法比较多,实际使用中,需要通过客户端与服务器端的交互实现认证与隧道建立。基于二层、三层的VPN,都需要安装专门的客户端系统(硬件或软件),完成VPN相关的工作。 • 一个VPN解决方案不仅仅是一个经过加密的隧道,它包含 • 访问控制、认证、加密、隧道传输、路由选择、过滤、高可用性、服务质量以及管理 • VPN系统大体分为4类 • 专用的VPN硬件 • 支持VPN的硬件或软件防火墙 • VPN软件 • VPN服务提供商

  25. 三、VPN的类型 按VPN的服务类型分类: • 根据服务类型,VPN业务按用户需求定义以下三种: • InternetVPN • AccessVPN • ExtranetVPN 1)InternetVPN(内部网VPN)。即企业的总部与分支机构间通过公网构筑的虚拟网。 2)AccessVPN(远程访问VPN)。又称为拨号VPN(即VPDN),是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网。 3)ExtranetVPN(外联网VPN)。即企业间发生收购、兼并或企业间建立战略联盟后,使不同企业网通过公网来构筑的虚拟网。

  26. 四、VPN的应用 • 1、应用范围 • 遇到以下几种应用需要时,可考虑选择VPN。 (1)已经通过专线连接实现广域网的企业,由于增加业务,带宽已不能满足业务需要,需要经济可靠的升级方案。 (2)企业的用户和分支机构分布范围广,距离远,需要扩展企业网,实现远程访问和局域网互联,最典型的是跨国企业、跨地区企业。 (3)分支机构、远程用户、合作伙伴多的企业,需要扩展企业网,实现远程访问和局域网互联。 (4)关键业务多且对通信线路保密和可用性要求高的用户,如银行、证券公司、保险公司等。

  27. 四、VPN的应用 • 3、Windows中VPN应用实例(完成实验测试) • 内网主机IP为192.168.100.2/24,假拟有通过IIS发布的Web应用(服务端)。 • 外接网关为192.168.100.254/24。 • 互联网用户如何安全访问该内部Web服务器? 操作步骤: • 创建VPN服务器(“路由与远程访问”组件),设置拨入后分配的IP地址段(应为内网可用地址) • 设置VPN拨入帐户,设置为“允许拨入” • 在客户端创建“网络连接”(VPN连接),拨入到VPN服务器 • 获得虚拟内网地址,访问Web应用。(可用IPCONFIG/ALL查)

  28. 本章小结 • 虚拟专用网(Virtual Private Network,VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。 • 隧道是一种利用公网设施,在一个网络之中的“网络”上传输数据的方法,被传输的数据可以是另一种协议的数据帧。 • VPN中的隧道是由隧道协议形成的,VPN使用的隧道协议主要有三种:点到点隧道协议(PPTP)、第二层隧道协议(L2TP)以及IPSec。根据不同的需求,本章给出了多种VPN类型的划分法。 • IPSec VPN的组成。它与SSL VPN的区别。

  29. 作业: • 简答题 2 4

More Related