第11章虚拟专用网技术

《第11章虚拟专用网技术》由会员分享，可在线阅读，更多相关《第11章虚拟专用网技术（39页珍藏版）》请在装配图网上搜索。

1、计算机信息安全技术第十一章 虚拟专用网技术 目录o 11.1 VPN的基本概念 o 11.2 VPN实现技术 o 11.3 VPN的应用方案 11.1 VPN的基本概念的基本概念o VPN n VPN的英文全称是“Virtual Private Network”(虚拟专用网络)。顾名思义，可以把它理解成是虚拟出来的企业内部专线。n 传统意义上的传统意义上的VPN：在DDN网或公用分组交换网或帧中继网上组建VPN。n 基于基于IP的的VPN：依靠ISP和其它NSP（网络服务提供商）在公用网络中建立专用的数据通信网络的技术。11.1 VPN的基本概念的基本概念o VPN的工作原理的工作原理 nVP

2、N的定义：的定义：是指依靠ISP或其他NSP在公用网络基础设施之上构建的专用的数据通信网络，这里所指的公用网络有多种，包括IP网络、帧中继网络和ATM网络。nIETF对基于IP的VPN定义：使用使用IP机制仿真出一个私有的机制仿真出一个私有的广域网广域网。n原理上来说，VPN就是利用公用网络（通常是互联网）把远程站点或用户连接到一起的专用网络。与使用实际的专用连接（例如租用线路）不同，VPN使用的是通过互联网路由的“虚拟”连接，把公司的专用网络同远程站点或员工连接到一起。11.1 VPN的基本概念的基本概念nVPN采用“隧道隧道”技术，可以模仿点对点连接技术，依靠Internet服务提供商(I

3、SP)和其他的网络服务提供商(NSP)在公用网中建立自己专用的“隧道”，让数据包通过这条隧道传输。对于不同的信息来源，可分别给它们开出不同的隧道。图11.1 VPN工作原理示意图11.1 VPN的基本概念的基本概念o VPN的分类的分类n 按按VPN的应用方式进行分类的应用方式进行分类 o 拨号式VPNo 专用式VPN n 按按VPN的应用平台分类的应用平台分类 o 软件平台VPN o 专用硬件平台VPN o 辅助硬件平台VPN 11.1 VPN的基本概念的基本概念n 按按VPN的协议分类的协议分类 o 第二层协议：PPTP、L2F、L2TP o 第三层协议：GRE、IPSec o 第二层协议

4、-第三层协议之间（2.5层）：MPLSo 第四层隧道协议：SSL VPN n 按按VPN的服务类型分类的服务类型分类 o Intranet VPN（内部网VPN）o AccessVPN（远程访问VPN）o ExtranetVPN（外联网VPN）11.1 VPN的基本概念的基本概念o按按VPN的部署模式分类的部署模式分类 n端到端(End-to-End)模式n供应商企业(Provider-Enterprise)模式n内部供应商(Intra-Provider)模式 oVPN的特点的特点n具备完善的安全保障机制n具备用户可接受的服务质量保证（QoS）n具备良好的可扩充性与灵活性 n具备完善的可管理性

5、 oVPN的功能的功能n数据加密n信息完整性和身份真实性认证n访问控制n地址管理n密钥管理n多协议支持11.1 VPN的基本概念的基本概念o VPN安全技术安全技术n 加解密技术 o 对称加密算法o 非对称加密算法 n 认证技术o 验证数据的完整性 o 用户认证 n 密钥管理技术11.2 VPN实现技术实现技术o隧道隧道 VPN所有现有的实现都依赖于隧道，隧道技术(tunneling)主要是利用协议的封装来实现.用一种网络协议来传输另外一种网络协议。即本地网关把第二种协议报文包含在第一种协议报文中，然后按照第一种协议来传输，等报文到达对端网关时，由该网关从第一种协议报文中解析出第二种协议报文，

6、这样是一个基本的隧道技术的实现过程。o第二层隧道协议第二层隧道协议 nPPTP（Point to Point Tunneling Protocol，点到点隧道协议）、L2TP（Layer 2 Tunneling Protocol，链路层隧道协议）、L2F（Layer 2 Forwarding，链路层转发协议）。11.2 VPN实现技术实现技术n PPTP协议协议图11.5 PPTP工作示意图11.2 VPN实现技术实现技术oPPTP由PPTP Forum开发，PPTP Forum 是一个联盟，其成员包括US Robotics、Microsoft、3COM、Ascend和ECI Telemati

7、cs。oPPTP是点到点协议（PPP）的扩充，即PPTP协议是基于PPP之上并且应用了tunneling技术的协议。它用“PPP质询握手验证协议（CHAP）”来实现对用户的认证。o简单的说，PPTP是用于将PPP分组通过IP网络封装传输。o在PPTP的体系结构中，主要有三部分组成：n1）PPP 连接和通信，按照PPP协议和对方建立链路层的连接。n2）PPTP 控制连接，建立到Internet的PPTP服务器上的连接，并建立一个虚拟隧道。n3）PPTP 数据隧道，在隧道中PPTP协议建立包含加密的PPP包的IP数据报，这些数据报通过PPTP 隧道进行发送。11.2 VPN实现技术实现技术nL2F

8、协议协议 o 由CISCO提出并倡导使用的链路层安全协议，它采用tunneling技术，主要面向远程或拨号用户的使用。o L2F主要强调的是将物理层协议移到链路层，并允许通过Internet光缆的链路层和较高层协议的传输。物理层协议仍然保持在对该ISP的拨号连接中。o L2F还解决IP写地址和记帐的问题。o 对于ISP的初始连接，L2F将使用标准PPP。对于验证，L2F将使用标准CHAP或者做某些修改。对于封装，L2F指定在L2F数据报中封装整个PPP或SLIP包所需要的协议。同时这些操作尽可能地对用户透明，以方便应用L2F来构建灵活的VPN网络。11.2 VPN实现技术实现技术nL2TP协议

9、协议o由PPTP Forum各成员、思科公司和IETF（互联网工程工作组）联手打造了一个新的协议L2TP协议。o不仅提供了以CHAP为基础的用户身份认证，支持了对内部地址的分配，而且还提供了灵活有效的记帐功能，和较为完善的管理功能。nPPTP与与L2TP的区别的区别：o1）PPTP要求互联网为IP网络；而L2TP能够在IP、X.25、ATM等网络上使用。o2）PPTP只能在两端点间建立单一隧道；L2TP可以在两个端点之间建立多个隧道。用户可根据不同的服务质量创建不同的隧道。o3）PPTP不支持隧道验证；L2TP提供了此项功能。可通过与Ipsec共同使用，由Ipsec提供隧道认证。11.2 VP

10、N实现技术实现技术n在链路层上实现VPN，有一定的优点。假定两个主机或路由器之间存在一条专用通信链路，而且为避免有人“窥视”，所有通信都需加密，便可用硬件设备来进行数据加密。这样做最大的好处在于速度。n但该方案不易扩展，而且仅在专用链路上才能很好地工作。另外，进行通信的两个实体必须在物理上连接到一起。这也给在链路层上实现VPN带来了一定的难度。nPPTP、L2F和L2TP这三种协议都是运行在链路层中的，通常是基于PPP协议的，并且主要面向的是拨号用户，由此导致了这三种协议应用的局限性。n当前在Internet及其他网络中，绝大部分的数据都是通过IP协议来传输的，逐渐形成了一种“everythi

11、ng on ip”的观点。11.2 VPN实现技术实现技术o 第三层隧道协议第三层隧道协议 n在网络层的实现中，有两种常用的实现方式：GRE和IPSec nGREGRE Generic Routing Encapsulation Generic Routing Encapsulation（通用路由封（通用路由封装协议）装协议）o GRE是VPN的第三层隧道协议，即在协议层之间采用了一种被称之为Tunnel（隧道）的技术。o GRE在RFC1701/RFC1702中定义，它规定了怎样用一种网络层协议去封装另一种网络层协议的方法，GRE的隧道由其源IP地址和目的IP地址来定义。它允许用户使用IP去

12、封装IP、IPX、AppleTalk并支持全部的路由协议，如RIP、OSPF、IGRP和EIGRP。11.2 VPN实现技术实现技术图11.7 GRE协议11.2 VPN实现技术实现技术n当路由器接收了一个需要封装的上层协议数据报文，首先这个报文按照GRE协议的规则被封装在GRE协议报文中，而后再交给IP层，由IP层再封装成IP协议报文便于网络的传输，等到达对端的GRE协议处理网关时，按照相反的过程处理，就可以得到所需的上层协议的数据报文了。n标准的GRE在虚拟通道中的数据是没有进行加密传输的，一旦数据被截获，重要数据将有失密的危险。而与GRE相比，IPSec只能进行通道内的数据加密，无法在I

13、nternet上建立虚拟的通道互连，使异地的两个局域网像访问本地网一样方便；也无法在加密的数据连接上跑路由协议，网络管理很不方便。所以 GRE+IPSec联合应用方式，成为实际中VPN建网的首选。11.2 VPN实现技术实现技术n IPSecIPSec IP Security IP Security（IPIP安全协议）安全协议）o IPSec实际上是一套协议包而不是一个独立的协议。o IPSec位于网络层，对通信双方的IP数据分组进行保护和认证，对高层应用透明。IPSec能够保证IP网络上数据的保密性、完整性，并提供身份认证。IPSec拥有密钥自动管理功能，优于PPTP/L2TP。o IPSe

14、c提供了下列网络安全性服务：n 数据机密性 n 数据完整性 n 数据来源认证 n 反重播 11.2 VPN实现技术实现技术o IPSec使用的加密算法包括DES、3-Des和RSA等;o 验证算法采用的也是流行的MD5、SHA算法。图11.8 IPSec安全体系结构11.2 VPN实现技术实现技术o IPSec安全体系包括3个基本协议：AH协议为IP包提供信息源验证和完整性保证；ESP协议提供加密机制；密钥管理协议（ISAKMP）提供双方交流时的共享安全信息。o ESP和AH协议都有相关的一系列支持文件，规定了加密和认证的算法。最后，解释域（DOI）通过一系列命令、算法、属性和参数连接所有的I

15、PSec组文件。o 策略决定两个实体之间能否进行通信以及如何通信。策略的核心部分由安全关联（SA）、安全关联数据库（SAD）、安全策略（SP）、安全策略数据库（SPD）组成。11.2 VPN实现技术实现技术o AH协议协议：n 该协议用于保证IP数据包的完整性和真实性，防止黑客截获数据包或向网络中插入伪造的数据包。n 考虑到计算效率，AH没有采用数字签名而是采用了安全哈希算法来对数据包进行保护。AH没有对用户数据进行加密。当需要身份验证而不需要机密性的时候，使当需要身份验证而不需要机密性的时候，使用用AH协议时最好的选择。协议时最好的选择。n AH有两种工作模式：传输模式传输模式不改变数据包I

16、P地址，在IP头和IP数据负载间插入一个AH头。隧道模式隧道模式生成一个新的IP头，把AH和原来的整个IP包放到新IP包的负载数据中。11.2 VPN实现技术实现技术图11.9 AH协议的传输模式图11.10 AH协议的隧道模式11.2 VPN实现技术实现技术o ESP协议协议：n 用于确保IP数据包的机密性（对第三方不可见）、数据的完整性以及对数据源地址的验证，同时还具有抗重播的特性。n ESP主要用于提供加密和认证功能。它通过在IP分组层次进行加密从而提供保密性，并为IP分组载荷和ESP报头提供认证。ESP与具体的加密算法相独立，几乎支持各种对称密钥加密算法，默认为3-DES和DES。n

17、ESP也有传输和隧道两种工作模式，与AH传输模式相比较，ESP的传输模式还多了ESP尾和ESP验证数据。隧道模式可以对整个原始数据分组进行加密和认证。而传输模式时，仅对IP包有效载荷加密，不对IP头加密。11.2 VPN实现技术实现技术图11.11 ESP协议的传输模式图11.12 ESP协议的隧道模式11.2 VPN实现技术实现技术o 密钥管理密钥管理IKE nIKE主要是用来协商和建立IPSec通信双方的SA，实际上就是对双方所采用的加密算法、验证算法、封装协议和有效期进行协商，同时安全地生成以上算法所需的密钥。其实现基础是ISAKMP,在密钥协商过程中用到Diffie-Hellman算法

18、。RSA签名需要CA论证支持。11.2 VPN实现技术实现技术o二、三层隧道协议二、三层隧道协议 nMPLS oMPLS（Multi-Protocol Label Switching）即多协议标签交换属于第三代网络架构，是新一代的IP高速骨干网络交换标准。oMPLS介于第二层和第三层之间，把第二层的链路状态信息集成到第三层的协议数据单元中，将第二层的高速交换能力和第三层的灵活特性结合起来，并且引入了基于标记的机制。o在 MPLS 中，数据传输发生在标签交换路径（LSP）上。LSP 是每一个沿着从源端到终端的路径上的结点的标签序列。现今使用着一些标签分发协议，如标签分发协议（LDP）、资源保留协

19、议(RSVP)或者建于路由协议之上的一些协议，如边界网关协议（BGP）及 开放式最短路径优先协议(OSPF)。因为固定长度标签被插入每一个包或信元的开始处，并且可被硬件用来在两个链接间快速交换包，所以使数据的快速交换成为可能。o传统的VPN一般是通过GRE、L2TP、PPTP、IPSec协议等隧道协议来实现私有网络间数据流在公网上的传送。而LSP本身就是公网上的隧道，所以用MPLS来实现VPN有天然的优势。11.2 VPN实现技术实现技术o第四层隧道协议第四层隧道协议nSSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。nSSL（Secure Sockets Layer）是由N

20、etscape公司开发的一套Internet数据安全协议.已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。nSSL协议工作在传输层之上，使用标准的HTTPS协议传输数据，可以穿透防火墙，避免NAT地址转换等问题，建立应用通道加密nSSL可分为两层：oSSL记录协议（SSL Record Protocol）oSSL握手协议（SSL Handshake Protocol）11.2 VPN实现技术实现技术nSSL VPN的工作原理：的工作原理：o首先，由SSL VPN生成自己的根证书和服务器证书。o接着，客户端浏览器下载并导入SSL VPN的证书。并通过HTTPS协议向SSL VPN

21、发送认证请求，SSL VPN接受请求，客户端实现对SSL VPN服务器的认证。o服务器通过口令方式（或数字证书等多重认证方式）认证客户端。这样，就在浏览器和SSL VPN服务器之间建立了一条SSL安全通道。oSSL VPN工作在传输层之上，使用标准的HTTPS协议传输数据，可以穿越防火墙，避免了抵制转换NAT的问题。而在IPSec VPN中，由于工作在网络层之上，并不能很好地解决包括NAT转换、防火墙穿越的问题。o但是当使用基于SSL协议通过Web浏览器进行VPN通信时，对用户来说外部环境并不是完全安全的。因为SSL VPN只对通信双方的某个应用通道进行加密，而不是对在通信双方的主机之间的整个

22、通道进行加密.11.3 VPN的应用方案的应用方案o L2TP应用方案 图11.13 L2TP构建的VPN11.3 VPN的应用方案的应用方案o IPSec应用方案 n IPSec是VPN在网络层的实现，IPSec的灵活性可以给VPN的实现带来极大的便利。图11.14 不同强度级别IPSec保护的数据流11.3 VPN的应用方案的应用方案n 针对针对VPN网关类型为（路由器网关类型为（路由器 路由器）的路由器）的解决方案解决方案 图11.15 VPN网关类型为：路由器-路由器11.3 VPN的应用方案的应用方案n 针对针对VPN网关类型为（路由器网关类型为（路由器 防火墙）的防火墙）的解决方案

23、解决方案 图11.16 VPN网关类型为：路由器-防火墙11.3 VPN的应用方案的应用方案o 针对针对VPN网关类型为（路由器网关类型为（路由器 移动用户）的解移动用户）的解决方案决方案 图11.17 VPN网关类型为：路由器-移动用户11.3 VPN的应用方案的应用方案o SSL VPN应用方案应用方案n Web浏览器模式的解决方案浏览器模式的解决方案 图11.18 SSL VPNWeb浏览器模式的解决方案11.3 VPN的应用方案的应用方案n 客户端模式的解决方案客户端模式的解决方案 图11.19 SSL VPN客户端模式的解决方案11.3 VPN的应用方案的应用方案n LAN到到LAN模式的解决方案模式的解决方案 图11.20 SSL VPNLAN到LAN模式的解决方案演讲完毕，谢谢观看！