必威体育官网网址安全与密码技术-4VPN必威体育官网网址安全与密码技术-4VPN.ppt

必威体育官网网址安全与密码技术 第四讲 虚拟专用网VPN技术 VPN 的定义和发展概况 VPN的需求和设计原则 VPN 的相关技术 几种常见的VPN VPN定义 Virtual Private Network 虚拟“virtual” 指没有物理的连接存在于2个网络间；事实上，连接是通过Internet的路由完成的； 专用“private” 指传输的数据是必威体育官网网址的 (通过加密和安全隧道)； 网络“network” 指利用各种网络（私有、公用、有线无线等等）构成的通信手段。 VPN定义 虚拟专用网络可以实现不同网络的组件和资源之间的相互连接。虚拟专用网络能够利用Internet或其它公共互联网络的基础设施为用户创建隧道，并提供与专用网络一样的安全和功能保障。 在虚拟专网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。 是通过隧道技术在公共数据网络上虚拟出一条点到点的专线技术。 Tunneling through the Internet 为什么要VPN 资源访问限制于某些IP地址 通过防火墙不能访问资源 内部人员需要在外面访问内部网络 雇员可能在外地，需要访问内部网络 专有网太贵 外地的雇员也可能不是定点的 VPN的发展 业务需求的变化导致了此业务的产生和发展 1970年PN L1 -1990年FR（帧中继）的出现是VPN的首次出现(L2)-IP VPN的提出 外包模式促进了CPE-based VPN - Network based VPN的转化 VPN 的定义和发展概况 VPN的需求和设计原则 VPN 的相关技术 几种常见的VPN 对VPN的需求 安全保障 VPN应保证通过公用网络平台传输数据的专用性和安全性，这是目前公共Internet所无法提供的功能 服务质量（QoS）保证 对不同的用户提供不同的服务质量，如带宽、延时等保证，这取决于广域网上是否提供QoS保证 可扩充性和灵活性 便于增加新的节点，支持多种类型的传输媒体 可管理性 易于维护和管理 VPN设计原则－安全性原则 隧道与加密 数据验证 用户识别与设备验证 入侵检测，网络接入控制 网络入侵检测系统需要同VPN设备进行配合，通过分析源自或送至VPN设备的信息流，避免通过VPN连接使内部网络受到攻击。 一般来讲VPN接入的用户可以访问内部网络中大部分资源，可以考虑对VPN接入用户进行分级和控制，确保内部网络的运行安全。 VPN设计原则－QoS保障 构建VPN的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。VPN网络中的QoS需要考虑如下问题： QoS需要在数据通过的整个路径包含的各个设备上进行部署 VPN隧道技术对原始数据进行了再次封装，QoS策略中的特征值需要进行额外映射 QoS中的流分类动作必须在数据进行VPN封装前完成 VPN 的定义和发展概况 VPN的需求和设计原则 VPN 的相关技术 几种常见的VPN 建立VPN所需的安全技术 VPN主要采用四项技术来保证安全，这四项技术分别为 隧道技术（Tunneling） 加解密技术（Encryption Decryption） 密钥管理技术（Key Management） 认证技术（Authentication） 隧道技术 隧道技术就是利用隧道协议对隧道两端的数据进行封装的技术，隧道协议通常分别是第2层或第3层隧道协议 第3层隧道协议 IPSEC：本身不是隧道协议，但由于其提供的认证、加密功能适用于建立VPN环境，它既能提供LAN间VPN，也能提供远程访问型VPN 隧道技术 第2层隧道协议 第二层隧道协议是先把各种网络协议封装到PPP中，再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。 第二层隧道协议有L2F、PPTP、L2TP等。L2F（Layer 2 Forwarding）/ PPTP（Point-to-Point Tunneling Protocol ）/ L2TP（Layer 2 Tunneling Protocol） 都是远程访问VPN的协议， L2TP协议是目前IETF的标准， 是在L2F和PPTP基础上进行综合，其格式是基于L2F，信令是基于PPTP。 隧道技术 不同隧道实现技术比较 第2层隧道协议 L2F（Layer 2 Forwarding）：1998年标准化的远程访问VPN的协议。它是基于ISP的由若干远程接入服务器（remote access server）提供VPN功能的协议。 PPTP（Point to Point Tunneling Protocol）也是为实现基于ISP的远程访问VPN而制订的协议。在分组和封装化头标中采用了扩展GRE（Generic Routing Encapsul