- 1、本文档共72页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
《网络信息安全》
* 案例 需求: 中国科学技术大学为外部移动用户提供VPN接入服务,接入VPN后的用户拥有校内用户完全相同的访问权限,以便访问各种校内外电子资源 设计: 建设一个Access VPN系统 校内设置一台VPN服务器,运行Windows 2000 Server作为PPTP 接入服务器 使PPTP 接入服务器使用radius协议对用户的接入请求进行身份验证 * 科大的VPN解决方案 PPTP Server Radius Server Remote User 其中还要考虑策略路由 Internet出口 Internet * LAN-LAN型VPN 企业内部各分支机构的互连或者企业的合作者互连,使用LAN-LAN VPN是很好的方式。 越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等,各个分公司之间传统的网络连接方式一般是租用专线。 显然,在分公司增多、业务开展越来越广泛时,网络结构趋于复杂,费用昂贵。 利用VPN特性可以在Internet上组建世界范围内的LAN-LAN VPN。 利用Internet的线路保证网络的互联性,而利用隧道、加密等VPN特性可以保证信息在整个LAN-LAN VPN上安全传输。 * LAN-LAN型VPN LAN-LAN VPN通过一个使用专用连接的共享基础设施,连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。 * LAN-LAN 型VPN * LAN-LAN 型VPN的优势 减少WAN带宽的费用,Internet线路的租用费用远低于专线费用 能使用更灵活的拓扑结构,包括全网络连接 新的站点能更快、更容易地被连接 通过设备供应商WAN的连接冗余,可以延长网络的可用时间。 * LAN-LAN 型VPN 主要使用IPsec技术 在ISP提供的不安全IP传输通道上,用户通过设置VPN网关,将多个地方的LAN连接起来,并保证相关的安全性。 使用这种方式,跟ISP相关的主要是价格和服务质量问题。 价格上要解决如何保证这种方式能提供比租用专线更优的价格。 服务质量要保证带宽、延迟、丢包率等参数,尤其是丢包率。 * * IPsec VPN优势 用户只要在具有Internet链路的基础上,增加IPsec VPN的网关设备即可利用IPsec VPN把局域网安全的互连 带宽高 VPN连接提供的带宽取决于加密/解密的的速度和2点间Internet带宽 在安徽省电信公司宽带网络连接的2个100M站点间,建立的VPN带宽可达60Mbps以上 灵活性高 随时可以建立和取消VPN * IPsec VPN缺点 安全性 由于跟Internet有“物理”连接,普遍认为必威体育官网网址的信息不宜在IPsec VPN 上传输 稳定性 带宽、延迟、丢包跟外部的ISP主干网运行状况密切相关,用户不可控 * 此页列出学习本课程需要达到的目标。 此页胶片仅在授课时使用,胶片+注释中有单独的文字说明课程目标,不需要再使用该页胶片。 * 第三层隧道技术-IPSec IPSec安全协议 IPSec是IEIF IPSec工作组为了在IP层提供通信安全而制定的一套协议簇,是一个应用广泛、开发的VPN安全协议体系。工作在网络层。 IPSec不是加密算法或认证算法,只是一个开放结构,定义在IP数据包格式中,为数据加密或认证的实现提供数据结构,为算法的实现提供统一的体系结构。不同的加密算法都可以利用IPSec定义的体系结构在网络数据传输过程中实施。 IPSec协议包括安全协议和密钥协商两部分。安全协议部分定义了对通信的各种保护方式;密钥协商部分定义了如何为安全协商保护参数、以及如何对通信实体的身份进行认证。 IPSec用密码技术提供的安全服务包括:接入控制、无连接完整性、数据源认证、防重放、加密、防传输流分析。 * 第三层隧道技术-IPSec IPSec协议定义了两种通信保护机制:封装安全载荷(ESP, Encapsulation Security Payload)和认证头(AH, Authentication Header)。其中ESP机制为通信提供机密性、完整性保护;AH机制为通信提供完整性保护。ESP和AH机制都能为通信提供抗重放攻击。 IPSec协议有两种运行模式:隧道模式和传输模式。在隧道模式下,IPSec把IPv4数据包封装在安全的IP帧中;传输模式是为了保护端到端的安全性,不会隐藏路由信息。隧道模式是最安全的,带会带来较大的系统开销。 * 第三层隧道技术-IPSec IPSec架构 ESP和AH协议: ESP提供加密服务,AH提供数据认证服务 因特网安全关联和密钥管理协议(ISAKMP, Internet Security Association and Key Man
文档评论(0)