信息安全技术课件作者周苏第8讲虚拟专用网络技术.ppt

计算机网络技术 信息安全技术 第 8 讲 虚拟专用网络技术 随着因特网的服务焦点转移到电子商务上，对于那些基于传统信息系统的关键性商务应用及数据，公司希望通过因特网来实现方便快捷的访问。通过安全虚拟专用网络的实现，把公司的业务安全、有效地拓展到世界各地。 第 8 讲 虚拟专用网络技术 虚拟专用网络 (VPN) 被定义为通过一个公用网络 (通常是因特网) 建立的一个临时的安全连接，是一条穿过公用网络的安全、稳定的隧道。VPN是企业网在因特网等公共网络上的延伸，它通过安全的数据通道，帮助远程用户、公司分支机构、商业伙伴及供应商与公司的内部网建立可信的安全连接，并保证数据的安全传输，构成一个扩展的公司企业网，如图8.1所示。 第 8 讲 虚拟专用网络技术 VPN可用于不断增长的移动用户的全球因特网接入，以实现安全连接，可用于实现企业网站之间安全通信的虚拟专用线路。 第 8 讲 虚拟专用网络技术 说得通俗一点，VPN实际上是“线路中的线路”，类型于城市道路上的“公交专用线”，所不同的是，由VPN组成的“线路”并不是物理存在的，而是通过技术手段模拟出来，即是“虚拟”的。 这种虚拟专用网络技术可以在一条公用线路中为两台计算机建立一个逻辑上的专用“通道”，它具有良好的必威体育官网网址和不受干扰性，使双方能进行自由而安全的点对点连接，因此被网管们广泛关注。 第 8 讲 虚拟专用网络技术 因特网工程任务小组 (IETF) 已经开始为VPN技术制订标准，基于这一标准的产品，将使各种应用场合下的VPN有充分的互操作性和可扩展性。 VPN可以实现不同网络组件和资源之间的相互连接，利用因特网或其他公共互连网络的基础设施为用户创建隧道，并提供与专用网络一样的安全和功能保障。 第 8 讲 虚拟专用网络技术 提高VPN效用的关键问题在于当用户的业务需求发生变化时，用户能很方便地调整他的VPN以适应变化，并且能方便地升级到将来新的TCP/IP技术；而那些提供门类齐全的软、硬件VPN产品的供应商，则能提供一些灵活的选择以满足用户的要求。目前的VPN产品主要运行在IPv4之上，但应当具备升级到IPv6的能力，同时要保持良好的互操作性。 第 8 讲 虚拟专用网络技术 IPv6： 现有的互联网是在IPv4协议的基础上运行的。IPv6是其下一版本的互联网协议，它的提出最初是因为随着互联网的迅速发展，IPv4定义的有限地址空间将被耗尽，地址空间的不足必将影响互联网的进一步发展。为了扩大地址空间，拟通过IPv6重新定义地址空间。 第 8 讲 虚拟专用网络技术 IPv4采用32位地址长度，只有大约43亿个地址，估计在2005～2010年间将被分配完毕，而IPv6采用128位地址长度，几乎可以不受限制地提供地址。除了一劳永逸地解决地址短缺问题以外，IPv6的主要优势还体现在以下几方面：提高网络的整体吞吐量、改善服务质量 (QoS) 、安全性有更好的保证、支持即插即用和移动性、更好实现多播功能。 第 8 讲 虚拟专用网络技术 1. VPN的安全性 使用虚拟专用网络涉及到一些传统企业内部网络中不存在的安全问题。 第 8 讲 虚拟专用网络技术 在虚拟专用网络中，一个典型的端到端的数据通路可能包含： 1) 数台不在公司控制之下的机器 (例如ISP的接入设备和因特网上的路由器) 。 2) 介于内部网 (Intranet) 和外部网之间的安全网关 (可能是防火墙或者是路由器) 。 第 8 讲 虚拟专用网络技术 3) 一个包含若干主机和路由器的内部网。其中一些机器可能由恶意攻击者操作，有的机器同时参与公司内部的通信以及与公司外部的通信。 4) 一个外部公共网络 (因特网) 上面的数据通信来源不仅限于公司网络。 在这样一个开放的复杂环境下，很容易被窃听和篡改数据报文的内容，很容易实施拒绝服务的攻击或者是修改数据报文的目的地址的攻击。 第 8 讲 虚拟专用网络技术 2. 因特网的安全协议IPSec 实现VPN通常用到的安全协议主要是SOCKS v5、IPSec和PPTP/L2TP。其中，PPTP/L2TP用于链路层，IPSec主要应用于网络层，SOCKS v5应用于会话层。为了解决因特网所面临的不安全因素的威胁，实现在不信任通道上的数据安全传输，使安全功能模块能兼容IPv4和下一代网络协议IPv6，IPSec协议将会是主要的实现VPN的协议。 第 8 讲 虚拟专用网络技术 IPSec是IP与Security的简写。IPSec结合使用多种安全技术为IP数据包提供必威体育官网网址性、完整性和真实性。IPSec实际上指的是多个相关的协议，它们在RFC2401-2411和RFC2451中定义，规约已经变得相当复杂。 IPSec的主要设计目标是良好和互操作性。如果得到正确的实现，IPSec对那些不支持它