信息安全技术课件作者俞承杭章节12虚拟专用网络技术.ppt

应用要求 案例1： 某个公司是跨地区的—总体与若干分支机构不在一个城市，通信时一般必须通过互联网、电话网络联系，实现数据交换等功能。 营销财务数据、日常管理信息等，语音数据。 功能：随时在线-联网，临时使用-用时才连接 网络风险：攻击、窃听、篡改…… 如何保证连接的稳定可靠、传输时的信息安全？？ 与FW与IDS的防不同，这是对网络规模的扩展。 本章要点 信息化社会推动了企业向规模化发展、分布式转变，一个企业不再局限于某一地域，这就对企业的网络建设提出了更高的要求。 如何实现分布式网络的安全连接，保护企业数据等秘密，本章介绍的虚拟专用网络技术就是一种最好的解决方法。 。 一、VPN概述 1、基本概念 虚拟专用网（Virtual Private Network，VPN）指的是依靠ISP（Internet服务提供商）和其他NSP（网络服务提供商），在公用网络中建立虚拟的专用数据通信网络的技术。 通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道，它不是真的专用网络，却能够实现专用网络的功能。 传统专网：端到端必须有专用的物理链路。 在虚拟专用网中，任意两个节点之间的连接并没有专用的物理链路，而是利用某种公众网的资源动态组成的。需要时借用，完成后释放。 虚拟专用网是对企业内部网的扩展。 以IP为主要通讯协议的VPN，也可称之为IP-VPN。 一、VPN概述 2、VPN的组成 一个网络连接通常由三个部分组成：客户机、传输介质和服务器。VPN同样也由这三部分组成，不同的是VPN连接使用隧道作为传输通道，这个隧道是建立在公共网络或专用网络基础之上的，如：Internet或Intranet。 要实现VPN连接，企业内部网络中必须配置有一台VPN服务器，VPN服务器一方面连接企业内部专用网络，另一方面要连接到Internet，也就是说VPN服务器必须拥有一个公用的IP地址。 当客户机通过VPN连接与专用网络中的计算机进行通信时，先由ISP（Internet服务提供商）将所有的数据传送到VPN服务器，然后再由VPN服务器负责将所有的数据传送到目标计算机。VPN使用了隧道协议、身份验证、数据加密三个方面的技术，来有效保证通信的安全性。 一、VPN概述 3、VPN的隧道技术 隧道是一种利用公网设施，通过专用协议实现在一个网络之中的“网络”上传输数据的方法，被传输的数据可以是另一种协议的数据帧。 隧道协议利用附加的报头封装帧，附加的报头提供了路由信息，因此封装后的包能够通过中间的公网。封装后的包所途经的公网的逻辑路径称为隧道。一旦封装的帧到达了公网上的目的地，帧就会被解除封装并被继续送到最终目的地。 隧道基本要素：①隧道开通器（TI）；②有路由能力的公用网络；③一个或多个隧道终止器（TT）；④必要时增加一个隧道交换机以增加灵活性。 一、VPN概述 4、VPN的通信过程 4个通用步骤: （1）客户机向VPN服务器发出请求； （2）VPN服务器响应请求并向客户机发出身份质询，客户机将加密的用户身份验证响应信息发送到VPN服务器； （3）VPN服务器根据用户数据库检查该响应，如果账户有效，VPN服务器将检查该用户是否具有远程访问权限；如果该用户拥有远程访问的权限，VPN服务器接受此连接； （4）VPN服务器将在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密，然后通过VPN隧道技术进行封装、加密、传输到目的内部网络。 一、VPN概述 5、VPN的功能 加密数据。以保证通过公网传输的信息即使被他人截获也不会泄露。 信息验证和身份识别。保证信息的完整性、合理性，并能鉴别用户的身份。 提供访问控制。不同的用户有不同的访问权限。 地址管理。VPN方案必须能够为用户分配专用网络上的地址并确保地址的安全性。 密钥管理。VPN方案必须能够生成并更新客户端和服务器的加密密钥。 多协议支持。VPN方案必须支持公共互联网络上普遍使用的基本协议，包括IP、IPX等。 一、VPN概述 6、VPN的特点 降低费用 增强的安全性 网络协议支持 IP地址安全 服务质量保证（QoS） 可扩充性和灵活性 可管理性 一、VPN概述 7、VPN的缺陷及弥补 远程计算机本身的安全问题是关键 远程计算机的安全守则 必须有相应的解决方案堵住远程访问VPN的安全漏洞，使员工与网络的连接既能充分体现VPN的优点，又不会成为安全的威胁。 VPN与防火墙的组合使用，有以下几种组合方式： 将VPN服务器置于防火墙后面的内部网络 将VPN服务器置于DMZ区 将VPN服务器集成于防火墙 一、VPN概述 8、VPN解决方案 基于 IPSec 的VPN解决方案：由AH协议、ESP协议、ISAKMP/Oakley协议构