《网络信息安全》.ppt

* 案例 需求： 中国科学技术大学为外部移动用户提供VPN接入服务，接入VPN后的用户拥有校内用户完全相同的访问权限，以便访问各种校内外电子资源 设计： 建设一个Access VPN系统 校内设置一台VPN服务器，运行Windows 2000 Server作为PPTP 接入服务器 使PPTP 接入服务器使用radius协议对用户的接入请求进行身份验证 * 科大的VPN解决方案 PPTP Server Radius Server Remote User 其中还要考虑策略路由 Internet出口 Internet * LAN-LAN型VPN 企业内部各分支机构的互连或者企业的合作者互连，使用LAN-LAN VPN是很好的方式。 越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等，各个分公司之间传统的网络连接方式一般是租用专线。 显然，在分公司增多、业务开展越来越广泛时，网络结构趋于复杂，费用昂贵。 利用VPN特性可以在Internet上组建世界范围内的LAN-LAN VPN。 利用Internet的线路保证网络的互联性，而利用隧道、加密等VPN特性可以保证信息在整个LAN-LAN VPN上安全传输。 * LAN-LAN型VPN LAN-LAN VPN通过一个使用专用连接的共享基础设施，连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策，包括安全、服务质量(QoS)、可管理性和可靠性。 * LAN-LAN 型VPN * LAN-LAN 型VPN的优势 减少WAN带宽的费用，Internet线路的租用费用远低于专线费用 能使用更灵活的拓扑结构，包括全网络连接 新的站点能更快、更容易地被连接 通过设备供应商WAN的连接冗余，可以延长网络的可用时间。 * LAN-LAN 型VPN 主要使用IPsec技术 在ISP提供的不安全IP传输通道上，用户通过设置VPN网关，将多个地方的LAN连接起来，并保证相关的安全性。 使用这种方式，跟ISP相关的主要是价格和服务质量问题。 价格上要解决如何保证这种方式能提供比租用专线更优的价格。 服务质量要保证带宽、延迟、丢包率等参数，尤其是丢包率。 * * IPsec VPN优势 用户只要在具有Internet链路的基础上，增加IPsec VPN的网关设备即可利用IPsec VPN把局域网安全的互连 带宽高 VPN连接提供的带宽取决于加密/解密的的速度和2点间Internet带宽 在安徽省电信公司宽带网络连接的2个100M站点间，建立的VPN带宽可达60Mbps以上 灵活性高 随时可以建立和取消VPN * IPsec VPN缺点 安全性 由于跟Internet有“物理”连接，普遍认为必威体育官网网址的信息不宜在IPsec VPN 上传输 稳定性 带宽、延迟、丢包跟外部的ISP主干网运行状况密切相关，用户不可控 * 此页列出学习本课程需要达到的目标。 此页胶片仅在授课时使用，胶片＋注释中有单独的文字说明课程目标，不需要再使用该页胶片。 * 第三层隧道技术-IPSec IPSec安全协议 IPSec是IEIF IPSec工作组为了在IP层提供通信安全而制定的一套协议簇，是一个应用广泛、开发的VPN安全协议体系。工作在网络层。 IPSec不是加密算法或认证算法，只是一个开放结构，定义在IP数据包格式中，为数据加密或认证的实现提供数据结构，为算法的实现提供统一的体系结构。不同的加密算法都可以利用IPSec定义的体系结构在网络数据传输过程中实施。 IPSec协议包括安全协议和密钥协商两部分。安全协议部分定义了对通信的各种保护方式；密钥协商部分定义了如何为安全协商保护参数、以及如何对通信实体的身份进行认证。 IPSec用密码技术提供的安全服务包括：接入控制、无连接完整性、数据源认证、防重放、加密、防传输流分析。 * 第三层隧道技术-IPSec IPSec协议定义了两种通信保护机制：封装安全载荷(ESP, Encapsulation Security Payload)和认证头(AH, Authentication Header)。其中ESP机制为通信提供机密性、完整性保护；AH机制为通信提供完整性保护。ESP和AH机制都能为通信提供抗重放攻击。 IPSec协议有两种运行模式：隧道模式和传输模式。在隧道模式下，IPSec把IPv4数据包封装在安全的IP帧中；传输模式是为了保护端到端的安全性，不会隐藏路由信息。隧道模式是最安全的，带会带来较大的系统开销。 * 第三层隧道技术-IPSec IPSec架构 ESP和AH协议： ESP提供加密服务，AH提供数据认证服务 因特网安全关联和密钥管理协议(ISAKMP, Internet Security Association and Key Man