第七章-虚拟专用网.pptVIP

电子科技大学成都学院 第七章 虚拟专用网 主要内容 7.1 虚拟专用网VPN基本概念 7.2 VPN的组成及特点 7.3 VPN主要安全技术 7.4 漏洞处理 7.5解决方案 7.6 技术优点及作用 7.7 基于IPSec协议的VPN体系结构 7.8 SSL VPN概念及特点 7.1 虚拟专用网VPN基本概念 虚拟专用网(Virtual Private Network，简称VPN)——公用电信网运营者利用公用电信网的资源向客户提供具有专用网特性和功能的网络。 是利用公共数据网或专用局域网构建的，以特殊设计的硬件和软件，直接通过共享的IP网络所建立的隧道完成的虚拟专用网络。 通过VPN可以实现远程网络之间安全、点对点的连接。 虚拟专用网指的是依靠ISP（Internet服务提供商）和其它NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。 在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。 IETF草案理解基于IP的VPN为：“使用IP机制仿真出一个私有的广域网”是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。 所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用Internet公众数据网络的长途数据线路。 所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。 VPN的提出 (1)使用VPN可降低成本——通过公用网来建立VPN，就可以节省大量的通信费用，而不必投入大量的人力和物力去安装和维护WAN(广域网)设备和远程访问设备。 (2)传输数据安全可靠——虚拟专用网产品均采用加密及身份验证等安全技术，保证连接用户的可靠性及传输数据的安全和必威体育官网网址性。 (3)连接方便灵活——用户如果想与合作伙伴联网，如果没有虚拟专用网，双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路，有了虚拟专用网之后，只需双方配置安全连接信息即可。 (4)完全控制——虚拟专用网使用户可以利用ISP的设施和服务，同时又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源，对于其它的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网。 7.2 VPN的组成及特点 VPN的组成 VPN可以理解成虚拟的企业内部专用网络。VPN的核心就是在利用公共网络建立虚拟专用网。 一个VPN连接由客户机、隧道和服务器3部分组成。 VPN的类型——一般按照VPN的服务类型可分为： 远程访问虚拟网Access VPN 企业内部虚拟网Intranet VPN 企业扩展虚拟网Extranet VPN VPN的结构 VPN可以通过特殊的加密通信协议为连接在Internet上位于不同地方的两个或多个企业内部网之间建立一条专有的通信线路，如同架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。 7.3 VPN主要安全技术 由于VPN传输的是安全程度要求较高的专用信息，所以VPN用户对数据的安全性都很重视。 隧道技术 加解密技术 密钥管理技术 使用者与用户身份认证技术 安全工具与客户端管理 隧道技术 隧道技术是VPN的基本技术类似于点对点连接技术，它在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输。 隧道技术是将封装后的数据包通过专用的隧道从一个网络传输到另一个网络的方法。VPN利用隧道技术进行数据传输。 隧道是由隧道协议形成的，分为第二、三层隧道协议。 第二层隧道协议是先把各种网络协议封装到PPP中，再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。L2TP协议是目前IETF的标准，由IETF融合PPTP与L2F而形成。 第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等。IPSec（IP Security）是由一组RFC文档组成，定义了一个系统来提供安全协议选择、安全算法，确定服务所使用密钥等服务，从而在IP层提供安全保障。 加解密技术 加解密技术是数据通信中一项较成熟的技术，VPN可直接利用现有技术。 当一个客户端使用一个VPN隧道时，数据通信保持加密状态直到它到达VPN网关，此网关位于无线访问点之后，如图所示。 密钥管理技术 主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。 SKIP主要是利用Diffie-Hellman的演算法则，在网络上传输密钥； 在ISAKMP中，双方都有两把密钥，分别用于公用、私用。 使用者与用户身份认证技术 使用者与设备身份认证技术最常用的是使用者