网络产品调试与部署教材全套课件教学教程整本书电子教案全书教案课件汇编.pptx

资源描述

,YOUR SITE HERE,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,YOUR SITE HERE,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,YOUR SITE HERE,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,YOUR SITE HERE,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,“十二五”职业教育国家规划教材（经全国职业教育教材审定委员会审定）高等职业教育精品示范教材（信息安全系列）,网络安全产品调试与部署,网络安全产品调试与部署,第,1,章,防火墙产品调试与部署,知识目标,了解防火墙的定义和作用,掌握防火墙的工作原理及性能指标,掌握防火墙的架构和应用,理解防火墙的局限性,技能目标,能够根据项目进行方案设计,能够对防火墙进行部署、配置,能够对防火墙进行安全策略应用与测试,项目引导,项目背景,项目引导,需求分析,目前网络存在的安全隐患,：,（,1,）缺乏对已知病毒的查杀能力,（,2,）无法防范来自教科网的网络攻击,（,3,）网络资源滥用严重,（,4,）缺乏学生上网行为监控手段,亟需完成以下安全建设,：,（,1,）建立一套完善的安全组织、管理机构,（,2,）建立一套完善安全管理制度,（,3,）基层学校安全管理人员技术水平有待提高,（,4,）需建立安全事故应急预案机制,项目引导,方案设计,网络安全系统是整体的、动态的，要真正实现一个系统的安全，就需要建立一个从保护、检测、响应到恢复的一套全方位的安全保障体系，它集防火墙、入侵检测、安全扫描系统、内网安全保密及审计系统、基于等级保护的综合安全管理与预警平台、网络防病毒系统等于一体，将多种网络安全技术和优秀网络安全产品在技术上有机集成，实现安全产品之间的互通与联动，将是一个统一的、可扩展的安全体系平台。,项目引导,方案设计,安全防范的第一步：部署防火墙,1.1,防火墙概述,概念,防火墙（,Firewall,）是一种位于内部网络与外部网络之间、专用网与公用网之间的网络安全系统，是设置在被保护网络和另外网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的入侵，通常是由软件和硬件设备组合而成。,作用,保护内网，防范由外而内的攻击。,1.1,防火墙概述,1.1,防火墙概述,防火墙,是,第一道网络安全屏障,基本特性,防火墙必须部署在网络关键节点（阻塞点、控制点）,只有符合安全策略的数据流才能通过防火墙,防火墙自身不能被攻破,应用层防火墙需具备更细致的防护能力,1.1,防火墙概述,主要功能,执行访问控制，强化网络安全策略,进行日志记录，管理和监控网络访问,进行路由交换和,NAT,网络地址转换，缓解地址空间短缺的问题，同时隐藏内部网络结构的细节,实现数据库安全的实时防护,支持和建立虚拟专用网络,1.1,防火墙概述,-,分类,按照防火墙的组成组件的不同,软件防火墙,硬件防火墙,根据防火墙技术的实现平台的不同,Windows,防火墙,Unix,防火墙,Linux,防火墙,根据防火墙保护对象的不同,主机防火墙,网络防火墙,1.1,防火墙概述,-,分类,根据防火墙的体系结构,包过滤型防火墙,双宿网关防火墙,屏蔽主机防火墙,屏蔽子网防火墙,实现技术,包过滤防火墙,应用代理（网关）防火墙,状态（检测）防火墙,1.1,防火墙概述,硬件防火墙的性能指标,1.,吞吐量,2.,延时,3.,丢包率,4.TCP,并发连接数,1.1,防火墙概述,防火墙和杀毒软件,杀毒软件主要用来防病毒，防火墙软件用来防攻击,杀毒软件和防火墙软件本身定位不同,防范对象的表现形式不同，病毒为可执行代码，黑客攻击为网络数据流,病毒都是自动触发、自动执行、无人指使，黑客攻击是有意识、有目的的,病毒主要利用系统功能，黑客更注重系统漏洞,杀毒软件不防攻击，,传统,防火墙不杀病毒,1.1,防火墙概述,防火墙的局限性,防火墙不能防范不通过它的连接,不能防范来自内部的攻击,不能防范所有的威胁,不能防止传送已感染病毒的软件或文件,无法防范数据驱动型的攻击,可能会限制有用的网络服务,1.2,关键技术,访问控制,访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。,访问控制列表（,Access Control Lists,，,ACL,）,ACL,是应用在路由器接口的指令列表，最早在,Cisco,路由器上应用，之后得到推广。这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。,路由器也有包过滤防火墙的作用,筛选路由器,1.2,关键技术,网络地址转换,NAT,把内部私有网络地址（,IP,地址）翻译成合法网络,IP,地址的技术,NAT,有三种类型,静态地址转换,(Static NAT),动态地址转换,(Dynamic Nat),网络地址端口转换,NAPT,1.2,关键技术,包过滤技术,对进出内部网络的所有信息进行分析，并按照一定的安全策略信息过滤规则对进出内部网络的信息进行限制，允许授权信息通过，拒绝非授权信息通过。,1.2,关键技术,代理服务技术,运行应用代理程序，内部网用户可以通过应用网关安全地使用,Internet,服务，而对于非法用户的请求将予拒绝。,1.2,关键技术,状态监测技术,状态检测是在网络层检查引擎截获数据包并抽取出与应用层状态有关的信息，并以此为依据决定对该连接是接受还是拒绝。在防火墙的核心部分建立状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每一个会话状态。,1.3,防火墙结构,包过滤型结构,也被称为筛选路由器结构，是最基本的一种结构，只使用一台路由器就可以实现,1.3,防火墙结构,双宿,/,多宿网关结构,1.3,防火墙结构,屏蔽主机结构,1.3,防火墙结构,屏蔽子网结构,1.4,硬件防火墙系统部署,路由模式,1.4,硬件防火墙系统部署,透明模式,1.4,硬件防火墙系统部署,混合模式,1.5,项目实训,网络拓扑图,1.5,项目实训,任务,1,：认识硬件及基础操作方法,在一般的防火墙的配置里，常见配置步骤为：,防火墙初步认识,-,防火墙初始化配置,-,网络接口配置,-,部署方式配置,-,访问控制规则配置,-,设备关机,1.5,项目实训,1.5,项目实训,防火墙初始参数,网口,IP,地址,掩码,备注,LAN1,192.168.0.1,255.255.255.0,默认管理口,LAN2,无,无,可配置口,LAN3,无,无,可配置口,LAN4,无,无,可配置口,1.5,项目实训,利用浏览器登陆防火墙管理界面,将,PC,机与防火墙的,LAN1,网口连接起来,客户端,IP,设置,到,192.168.0.0,网段,使用,ping,命令测试防火墙和管理,PC,间是否能互通,打开,IE,浏览器，输入管理地址,192.168.0.1:81,或,https:/192.168.0.1:441,在防火墙的欢迎界面输入用户名和密码，默认用户名和密码为,admin/888888,1.5,项目实训,防火墙配置的基本操作,网络地址、子网和端口,的概念,添加,描述,帮助管理者识别,创建、编辑、删除规则,1.5,项目实训,防火墙配置的基本操作,网络配置,进入网口配置界面，选择“网络设置”,-,“网口设置”,-,“网口”,，即可进行网络设置,1.5,项目实训,防火墙配置的基本操作,设备关闭、重启,1.5,项目实训,任务,2,：防火墙部署,配置,SNAT,（,1,）防火墙接入,（,2,）检验接入防火墙后网络状况,（,3,）配置,LAN,口,（,4,）配置,WAN,口,（,5,）配置,SNAT,模式,（,6,）测试,1.5,项目实训,任务,2,：防火墙部署,配置,DNAT,（,1,）检验网络状况,（,2,）配置,DNAT,模式,（,3,）测试,1.5,项目实训,任务,3,：防火墙,策略配置,访问策略配置,内网办公区域,PC,机（,192.168.10.2/24,），无法访问服务器区域（也可称为,DMZ,区域）中,Web,服务器,(IP:192.168.0.100),，,在,防火墙,的,LAN-LAN,策略,中，配置,内部策略,为,默认拒绝,1.5,项目实训,任务,3,：防火墙,策略配置,访问策略配置,只允许,访问,web,服务器的应用配置,1.5,项目实训,任务,3,：防火墙,策略配置,高级,策略配置,首先,配置允许策略，让办公机器（,IP,：,192.168.10.2,）能访问服务器区域网的,web,服务器（,IP,：,192.168.0.100,）的应用服务,1.5,项目实训,任务,3,：防火墙,策略配置,高级,策略配置,1.5,项目实训,任务,3,：防火墙,策略配置,高级,策略配置,然后配置,默认,拒绝策略，使除了刚才做的策略之外其他的都拒绝,1.6,项目实施与测试,任务,1,：防火墙规划,1.,接口规划,2.,路由规划,任务,2,：网络割接与防火墙实施,1.,割接前准备,2.,网络割接,3.,测试,4.,实施时间表,5.,回退,Thanks for your attention!,网络安全产品调试与部署,第,2,章入侵检测,产品调试与部署,知识目标,知道入侵检测的特点及优势,掌握入侵检测的基本概念及分类,掌握入侵检测的关键技术,了解入侵检测的应用和发展趋势,技能目标,能根据用户的网络状况进行的安全需求分析,能够根据项目需求进行方案设计,合理选择入侵检测产品并能够正确部署,能够对入侵检测产品进行调试，正确配置安全策略,掌握入侵检测产品和防火墙联动的方法,项目引导,项目背景,项目引导,需求分析,网络仅部署了防火墙系统，而防火墙系统有明显的缺陷,只能防范已知攻击,只能防范来自外部的攻击,只能被动防范，无法主动防御,防火墙对很多入侵方式都无能为力，如：针对,Ping,命令的攻击,-ICMP,攻击；针对配置错误的攻击,IPC$,攻击；针对应用漏洞的攻击,unicode,；缓冲区溢出攻击；,ARP,欺骗；拒绝服务攻击,syn flood,；针对弱口令的攻击口令破解；社会工程学攻击等,项目引导,方案设计,为了防范来自内部和外部攻击，入侵检测技术可以通过从计算机网络系统中若干关键节点收集信息并加以分析，监控网络中是否有违反安全策略的行为或者是否存在入侵行为，它能提供安全审计、监视、攻击识别和反攻击等多项功能，并采取相应的行动如断开网络连接、记录攻击过程、跟踪攻击源、紧急告警等，是安全防御体系的一个重要组成部分，能与防火墙联动，增强网络防御能力。,项目引导,方案设计,2.1,入侵检测,概述,网络入侵的过程和手段,1.,信息探测,2.,攻击尝试,3.,权限提升,4.,深入攻击,5.,拒绝服务,2.1,入侵检测,概述,相关概念,攻击,：,攻击者利用工具，出于某种动机，对目标系统采取的行动，其后果是获取、破坏、篡改目标系统的数据或访问权限。,事件,：,在攻击过程中发生的可以识别的行动或行动造成的后果，称为事件。,入侵,：,入侵是指在非授权的情况下，试图存取信息、处理信息或破坏系统以使系统不可靠、不可用的故意行为。,入侵检测,:,入侵检测（,Intrusion Detection,）是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。,2.1,入侵检测,概述,入侵检测系统,入侵检测系统（,Intrusion Detection System,，简称“,IDS,”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。在不影响网络性能的情况下能对网络进行监测，提供对内部攻击、外部攻击和误操作的实时保护，,IDS,是一种积极主动的安全防护技术。,防火墙为网络提供了第一道防线，入侵检测系统被认为是防火墙之后的第二道安全闸门,。,2.1,入侵检测,概述,入侵检测系统,2.1,入侵检测,概述,入侵检测系统,2.1,入侵检测,概述,入侵检测系统的功能,事前报警：,入侵检测系统能够在入侵攻击对网络系统造成危害前，及时检测到入侵攻击的发生，并进行报警；,事中防御：,入侵攻击发生时，入侵检测系统可以通过与防火墙联动、,TCP Killer,等方式进行报警及动态防御；,事后取证：,被入侵攻击后，入侵检测系统可以提供详细攻击信息，便于取证分析。,2.1,入侵检测,概述,入侵检测发展历史,1980,年，,James P.Anderson,计算机安全威胁监控与监视,第一次阐述入侵检测的概念。,1984,年到,1986,年，实时入侵检测系统模型,IDES,（,Intrusion Detection Expert Systems,，入侵检测专家系统,1988,年，,Morris,蠕虫事件,基于主机的,IDS,的开发，如,IDES,、,Haystack,等。,1989,年，,A Network Security Monitor,，网络入侵检测从此诞生。,1990,年，第一个基于网络的,IDS,：,NSM,（,Network Security Monitor,）,2.1,入侵检测,概述,入侵检测发展历史,90,年代以后，不断有新的思想提出，如将信息检索、人工智能、神经网络、模糊理论、证据理论、分布计算技术等引入,IDS,。,1999,年，出现商业化产品，如,Cisco Secure IDS,，,ISS Real Secure,等。,2000,年,2,月，对,Yahoo,！、,Amazon,、,CNN,等大型网站的,DDOS,攻击引发了对,IDS,系统的新一轮研究热潮，由此出现分布式入侵检测系统，是,IDS,发展史上的一个里程碑。,2.2,入侵检测的技术实现,入侵检测的模型,Intrusion Detection Working Group,（,IDWG,）和,Common Intrusion Detection Framework,（,CIDF,）,2.2,入侵检测的技术实现,入侵检测的步骤,入侵检测过程分为三个步骤,（,1,）信息收集：入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为。,（,2,）信息分析：收集到的有关系统、网络、数据及用户活动的状态和行为等信息，,进行分析。,（,3,）结果处理：控制台按照告警采取预先定义的响应措施，可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性，也可以只是简单的告警。,2.2,入侵检测的技术实现,入侵检测的原理,异常检测,根据系统或者用户的非正常行为和使用计算机资源的非正常情况来检测入侵行为。这种检测方法的基本思想是：攻击行为是异常行为的子集。将不同于正常行为的的异常行为纳入攻击。,2.2,入侵检测的技术实现,入侵检测的原理,异常检测,的要点和难点,用户轮廓的提取、修正,阈值的设置和修正,主要技术方法,统计异常检测方法,特征选择异常检测方法,基于贝叶斯推理异常的检测方法,基于贝叶斯网络异常检测方法,基于模式预测异常检测方法,2.2,入侵检测的技术实现,入侵检测的原理,误用检测,误用检测也称为基于知识或基于签名的入侵检测。误用检测,IDS,根据已知攻击的知识建立攻击特征库，通过用户或系统行为与特征库中各种攻击模式的比较确定是否发生入侵。,2.2,入侵检测的技术实现,入侵检测的原理,误用检测方法,基于专家系统的检测方法,基于状态转移分析的检测方法,基于模型误用检测方法,误用检测技术的,关键问题,是：攻击签名的正确表示。误用检测是根据攻击签名来判断入侵的，如何用特定的模式语言来表示这种攻击行为，是该方法的关键所在。,2.2,入侵检测的技术实现,入侵检测的原理,异常检测和误用检测技术的不同,误用检测是根据已知的攻击方法和技术总结构成特征库的，所以对新的攻击方法无法检测到；而异常检测是根据假设划定系统合理的行为范围（阀值）来定义特征库，实时检测系统的状态和行为是否在合理范围内，所以能检测到未知的攻击。,误用检测针对具体的行为进行推理和判断入侵攻击；而异常检测根据使用者的行为和资源的使用情况来判断。,异常检测误报高，而误用检测准确率较高，但对于新型的攻击漏报率也较高。,误用检测对系统依赖性高，异常检测依赖性低，移植性好。,2.3,入侵检测系统的分类,基于主机的入侵检测系统（,HIDS,）,HIDS,对多种来源的系统和事件日志进行监控，发现可疑活动。基于主机的入侵检测系统也叫做主机,IDS,，最适合于检测那些可以信赖的内部人员的误用以及已经避开了传统的检测方法而渗透到网络中的活动。,HIDS,的主要优点有：性价比高；更加细腻，能够监视特定的系统活动；误报率较低；适用于交换和加密环境；对网络流量不敏感；能够确定攻击是否成功。,2.3,入侵检测系统的分类,基于主机的入侵检测系统（,HIDS,）,2.3,入侵检测系统的分类,基于网络的入侵检测系统（,NIDS,）,基于网络的入侵检测系统对所有流经监测代理的网络通信量进行监控，对可疑的异常活动和包含攻击特征的活动作出反应。在比较重要的网段安装探测器，往往是将一台机器（网络传感器）的一个网卡设于混杂模式（,Promisc Mode,），监听本网段内的所有数据包并进行事件收集和分析、执行响应策略以及与控制台通信，来监测和保护整个网段，它不会增加网络中主机的负载。,NIDS,的主要优点有：隐蔽性好；实时检测和响应；攻击者不易转移证据；不影响业务系统；可较全面发现入侵；能够检测未成功的攻击企图。,2.3,入侵检测系统的分类,HIDS,与,NIDS,比较,2.3,入侵检测系统的分类,混合型入侵检测系统（,Hybrid IDS,）,在新一代的入侵检测系统中将把现在的基于网络和基于主机这两种检测技术很好地集成起来，提供集成化的攻击签名检测报告和事件关联功能。虽然这种解决方案覆盖面极大，但同时要考虑到由此引起的巨大数据量和费用。许多网络只为非常关键的服务器保留混合,IDS,。,2.4,端口镜像技术,端口镜像技术（,Port Mirroring,）是把交换机一个或多个端口（,VLAN,）的数据镜像到一个或多个端口的方法。端口镜像又称端口映射，是网络通信协议的一种方式。它既可以实现一个,VLAN,中若干个源端口向一个监控端口镜像数据，也可以从若干个,VLAN,向一个监控端口镜像数据。,例如，源端口的,5,号端口（或所有端口）上流转的所有数据流均可被镜像至,10,号监控端口，而入侵检测系统通过监控,10,号端口接收了所有来自,5,号端口（或所有端口）的数据流。,值得注意的是，源端口和镜像端口必须位于同一台交换机上；而且端口镜像并不会影响源端口的数据交换，它只是将源端口发送或接收的数据包副本发送到监控端口。,2.5NIDS,系统部署,NIDS,分为两大部分：探测引擎和控制中心。前者用于监听原始网络数据和产生事件；后者用于显示和分析事件以及策略定制等工作。,2.5NIDS,系统部署,引擎采用旁路方式全面侦听网上信息流，实时分析，然后将分析结果与探测器上运行的策略集相匹配。执行报警、阻断、日志等功能，完成对控制中心指令的接收和响应工作。它是由策略驱动的网络监听和分析系统。,采用旁路方式不需要更改现有网络结构，不会影响业务系统运行，而且部署简单、方便,2.6,入侵检测软件,Snort,Snort,是一个功能强大、跨平台、轻量级的网络入侵检测系统，从入侵检测分类上来看，,Snort,是个基于网络和误用检测的入侵检测软件。,Snort,的网站是,www.snort.org,。用户可以登陆网站，下载在,Linux,和,Windows,环境下的安装的可执行文件，并可以下载描述入侵特征的规则文件。在,www.snort.org/start/requirements,页面可以查看到在,Linux,和,Windows,两个平台所需要的所有软件及其下载链接,。,2.7IDS,与防火墙的联动,入侵检测系统与防火墙的联动是指入侵检测系统在捕捉到某一攻击事件后，按策略进行检查，如果策略中对该攻击事件设置了防火墙阻断，那么入侵检测系统就会发给防火墙一个相应的动态阻断策略，防火墙根据该动态策略中的设置进行相应的阻断，阻断的时间、阻断时间间隔、源端口、目的端口、源,IP,和目的,IP,等信息，完全依照入侵检测系统发出的动态策略来执行。,2.7IDS,与防火墙的联动,2.8,项目实训,2.8,项目实训,如图所示，在交换机上旁路接入一台入侵检测设备。,该设备具备,4,个的标准网络接口，将其中,2,个口分别连接到交换机上，,2,个口各有用处，,LAN2,做管理口，以便内部网络，主要是安全管理员进行管理、访问；,LAN3,做监控口，必须连接到交换机的镜像口。根据实际需要，在入侵检测上配置相应的规则，使之能检测到内部子网区域、,DMZ,区域之间,ICMP,包攻击的数据，及时的对攻击进行处理。,配置入侵检测的规则，开启引擎服务，查看相关入侵日志。,2.8,项目实训,任务,1,：认识入侵检测系统并进行基本配置,1,了解入侵检测系统硬件,2.,利用浏览器登陆,IDS,管理界面,（,1,）将,PC,机与,IDS,的,LAN1,网口连接起来,（,2,）客户端,IP,设置,，,IP,必须设置在,与,LAN,1,相同地址段上,(,端口,LAN1,的,IP,是,192.168.0.145),（,3,）使用,ping,命令测试,IDS,和管理,PC,间是否能互通,（,4,）打开,IE,浏览器，输入管理地址,https:/192.168.0.145,，进入欢迎界面,，,默认用户名和密码为,admin/888888,，点击“登录,”,进入入侵检测管理系统,。,2.8,项目实训,3.,入侵检测的基本配置,（,1,）依次点击“网络设置”,“外线口设置”,“,WAN,设定”，将,LAN2,的,IP,配置为,172.16.2.252,，子网掩码为,255.255.255.0,，默认网关为,172.16.2.254,（,请根据具体情况设置,）,。点击保存并连接。（将,LAN2,口做为管理口，用于管理设备）,（,2,）依次点击“系统”,“管理设置”,“管理界面访问设定”，“网口”选择“,LAN2,”，其余选项缺省,（,3,）依次点击“网络设置”,“镜像口设置”,“镜像设定”，将,LAN3,口配置为监控口（这里又叫镜像网口），用于,监听,经过交换机的,所有信息。,2.8,项目实训,4.,入侵检测的设备管理配置,（,1,）依次点击“系统”“管理设置”“密码”，按图,2-23,所示配置管理员用户，不启用,USBKEY,。,（,2,）增加一个低权限用户，即只允许浏览,IDS,，不允许进行操作,（,3,）依次点击“系统”,“管理设置”,“用户安全设置”，进行用户安全设置。,2.8,项目实训,任务,2,：入侵检测规则配置,使用,系统自带检测规则，“入侵检测”,“检测规则”，该页面显示所有入侵检测系统自带检测规则，用户可以查看已经勾选的规则库，或进行规则库的选择。系统会定时自动下载更新规则库，以使用户得到及时的保护。用户也可上传自定义补丁更新规则库。,2.8,项目实训,任务,3,：入侵检测测试,1,、查看网络连通情况,2,、,查看入侵日志,Thanks for your attention!,网络安全产品调试与部署,第,3,章,VPN,产品调试与部署,知识目标,了解,VPN,的定义及作用,掌握,VPN,的关键技术,掌握,VPN,的架构和应用,技能目标,能够根据项目需求进行方案设计,掌握项目中,VPN,部署、基本配置、隧道技术应用,能够对,VPN,进行部署和配置,项目引导,项目背景,项目引导,需求分析,根据该大型企业目前的网络现状其具体需求分析如下：,需要实现企业分布在各地的分支机构和办事处与企业总部的互联；,需要能为移动办公提供高效、安全、便捷的网络接入方式；,所提供网络和设备，需保证企业业务的实时性要求；,需要采用,VPN,加密技术，对网络中传输的数据进行加密，保证数据传输的安全；,所提供的设备均需能进行集中管理，便于维护和部署，同时各设备均需提供日志审计功能；,所提供的方案，需保证一定的扩展性，为今后网络应用扩展提供支持。,项目引导,方案设计,在内部构建一套,VPN,专网，使得布局分散的分支机构、办事处以及移动办公人员，通过,VPN,的方式连入中心网络，增强用户接入的安全性，数据全程进行加密传输，实现内部,OA,、内部应用系统等的数据共享和远程应用，同时保证信息网络的安全。,项目引导,方案设计,3.1 VPN,概述,VPN,的定义,虚拟专用网（,Virtual Private Network,，,VPN,），是通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。,V,即,Virtual,，表示,VPN,有别于传统的专用网络，它并不是一种物理的网络，,而是虚拟的或者逻辑的,P,即,Private,，表示这种网络具有很强的私有性,N,即,Network,，表示这是一种专门组网技术和服务,3.1 VPN,概述,VPN,的分类,1.,按照用户的使用情况和应用环境进行分类,Access VPN,远程接入,VPN,，移动客户端到公司总部或者分支机构的网关，使用公网作为骨干网在设备之间传输,VPN,的数据流量。,Intranet VPN,内联网,VPN,，公司总部的网关到其分支机构或者驻外办事处的网关，通过公司的网络架构连接和访问来自公司内部的资源。,Extranet VPN,外联网,VPN,，是在供应商、商业合作伙伴的,LAN,和公司的,LAN,之间的,VPN,。,3.1 VPN,概述,VPN,的分类,2.,按照连接方式进行分类,远程,VPN,远程访问,VPN,是指总部和所属同一个公司的小型或家庭办公室（,Small office Home office,简称,SOHO,）以及外出员工之间所建立的,VPN,。,站点到站点,VPN,站点到站点,VPN,指的是公司内部各部门之间，以及公司总部与其分支机构和驻外的办事处之间建立的,VPN,。,Intranet VPN,是传统广域网的一种扩展方式。,3.1 VPN,概述,VPN,的分类,3.,根据隧道协议进行分类,根据,VPN,的协议，可以将,VPN,分为：,PPTP,、,L2F,、,L2TP,、,MPLS,、,IPSec,和,SSL,。,3.1 VPN,概述,VPN,的功能要求,数据加密。,完整性。,身份识别。,防抵赖。,访问控制。,多协议支持。,3.1 VPN,概述,VPN,关键性能指标,1.,最大新建连接速率,2.,最大并发连接数,3.VPN,吞吐量,4.,最大并发用户数,5.,传输时延,3.2VPN,的关键技术,隧道技术,隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据（或负载）可以是不同协议的数据帧或数据包。隧道协议将这些其它协议的数据帧或包重新封装在新的包头中发送。,1.,自愿隧道（,Voluntary Tunnel),2.,强制隧道（,Compulsory Tunnel,）,3.2VPN,的关键技术,身份认证技术,身份认证是指计算机及网络系统确认操作者身份的过程。身份认证技术从是否使用硬件来看，可以分为软件认证和硬件认证；从认证需要验证的条件来看，可以分为单因子认证、双因子认证及多因子认证；从认证信息来看，可以分为静态认证和动态认证。,常用的身份认证方式,1.,用户名,/,密码方式,2.IC,智能卡认证,3.,动态口令技术,4.,生物特征认证,5.USB Key,认证,3.2VPN,的关键技术,加解密技术,加解密技术是保障信息安全的核心技术。数据加密技术主要分为数据传输加密和数据存储加密。数据传输加密技术主要是对传输中的数据流进行加密，常用的有链路加密、节点加密和端到端加密三种方式。,3.2VPN,的关键技术,密钥管理,密钥管理是在授权各方之间实现密钥关系的建立和维护的一整套技术和程序；,密钥管理负责密钥的生成、存储、分配、使用、备份,/,恢复、更新、撤销和销毁等。,现代密码系统的安全性并不取决于对密码算法的保密或者是对加密设备等的保护，一切秘密寓于密钥之中。因此，有效地进行密钥管理对实现,VPN,至关重要。,3.3 VPN,隧道技术,创建隧道的过程类似于在双方之间建立会话；隧道的两个端点必须同意创建隧道并协商隧道各种配置变量，如地址分配，加密或压缩等参数。隧道维护协议被用来作为管理隧道的机制。,隧道一旦建立，数据就可以通过隧道发送。,目前主流的,VPN,协议包括,PPTP,协议、,L2TP,协议、,IPSEC,协议、,GRE,协议、,SSL,协议和,MPLS,协议等。,3.3 VPN,隧道技术,点对点隧道协议（,PPTP,协议）,点对点隧道协议,(PPTP,，,Point to Point Tunneling Protocol),最早是微软为安全的远程访问连接开发的，是点到点协议（,PPP,）的延伸。,1.PPTP,的特性,压缩,：,数据压缩通常是由微软的点对点压缩（,MPPC,）协议对,PPP,的有效负载进行处理。,加密,：,数据加密是由微软的点对点加密（,MPPE,）协议对,PPP,的有效负载进行处理。,用户验证,：,用户验证是通过使用,PPP,的验证方法实现的,数据,传递,：,数据使用,PPP,打包，接着被封装进,PPTP/L2TP,的包中,客户端编址,：,使用,PPP,的网络控制协议,NCP,3.3 VPN,隧道技术,点对点隧道协议（,PPTP,协议）,2.PPTP,工作的四个阶段,阶段,1,：,链路控制协议,LCP,用于发起连接，这包括协商第,2,层参数，如验证的使用、使用,MPPC,做压缩、使用,MPPE,做加密、协议和其它的,PPP,特性实际的加密和压缩在第,4,阶段协商。,阶段,2,：,用户被服务验证，,PPP,支持,4,种类型的验证，分别为：,PAP,、,CHAP,、,MS-CHAPv1,、,MS-CHAPv2,。,阶段,3,：,这是一个可选阶段,阶段,4,：,在此阶段，会调用在阶段,1,协商的用于数据连接的协议，这些协议包括,IP,、,IPX,、数据压缩算法、加密算法和其他协议，阶段,4,完成，数据现在可以通过,PPP,连接发送。,3.3 VPN,隧道技术,第二层隧道协议（,L2TP,）,第二层隧道协议（,L2TP,，,Layer2 Tunneling Protocol,）是,PPTP,和,L2F,（第二层转发协议）的组合，其定义在,RFC2661,和,3428,里。,L2TP,就像,PPTP,一样，将用户的数据封装到,PPP,帧中，然后把这些帧通过一个,IP,骨干网传输，与,PPTP,不同的是，,L2TP,对隧道维护和用户数据都使用,UDP,作为封装方法。,L2TP,的数据包是被,IPSEC,的,ESP,使用传输模式保护，合并了,IPSEC,的安全性优点和用户验证、隧道地址分配和配置，及,PPP,的多协议支持这些好处。,使用,L2TP,，有两种隧道类型：,Voluntary,（自愿的）和,Compulsory,（强制的）。,3.3 VPN,隧道技术,IPSEC,协议,IPSEC,协议,(Internet,安全协议,),是一个工业标准网络安全协议，为,IP,网络通信提供透明的安全服务，保护,TCP/IP,通信免遭窃听和篡改，可以有效抵御网络攻击，同时保持易用性。,IPSEC,协议不是一个单独的协议，它给出了应用于,IP,层上网络数据安全的一整套体系结构，包括网络认证协议,Authentication Header,（,AH,）、封装安全载荷协议,Encapsulating Security Payload,（,ESP,）、密钥管理协议,Internet Key Exchange,（,IKE,）和用于网络认证及加密的一些算法等。,3.3 VPN,隧道技术,IPSEC,协议,IPSEC,提供的安全服务,存取控制；,无连接传输的数据完整性；,数据源验证；,抗重复攻击（,Anti-Replay,）；,数据加密；,有限的数据流机密性。,3.3 VPN,隧道技术,IPSEC,协议,IPSEC,的组成,（,1,）安全协议：,验证头（,AH,）协议：进行身份验证和数据完整性验证。,AH,协议为,IP,通信提供数据源认证、数据完整性和反重播保证，它能保护通信免受篡改，但不能防止窃听，适合用于传输非机密数据。,封装安全载荷（,ESP,）：进行身份验证、数据完整性验证和数据加密。,ESP,为,IP,数据包提供完整性检查、认证和加密，可以看作是“超级,AH,”，因为它提供机密性并可防止篡改。,ESP,服务依据建立的安全关联（,SA,）是可选的。,3.3 VPN,隧道技术,IPSEC,协议,IPSEC,的组成,（,2,）安全关联（,SA-Security Associations,）：,可看作一个单向逻辑连接,它用于指明如何保护在该连接上传输的,IP,报文。,SA,安全关联是单向的，在两个使用,IPSEC,的实体（主机或路由器）间建立的逻辑连接，定义了实体间如何使用安全服务（如加密）进行通信。它由下列元素组成：,1,）安全参数索引,SPI,；,2,）,IP,目的地址；,3,）安全协议。,3.3 VPN,隧道技术,IPSEC,协议,IPSEC,的组成,（,3,）密钥管理：,进行,Internet,密钥交换（,IKE The Internet Key Exchange,）。,IKE,用于通信双方动态建立,SA,，包括相互身份验证、协商具体的加密和散列算法以及共享的密钥组等。,IKE,基于,Internet,安全关联和密钥管理协议（,ISAKMP,），而后者基于,UDP,实现,(,端口,500),；,（,4,）加密算法和验证算法,：具体负责加解密和验证。,3.3 VPN,隧道技术,IPSEC,协议,IPSEC,下的,IP,报文格式,3.3 VPN,隧道技术,GRE,协议,GRE,报文格式,3.3 VPN,隧道技术,SSL,协议,安全套接字层协议,(SSL,，,Secure Sockets Layer),保护着,Internet,上的数据传输，在很多情形下我们依赖,SSL,验证服务器并保护通讯信息的隐私。,SSL,加密特点,身份验证：基于数字证书实现客户端与服务器之间单向或双向身份验证。通常是由客户端通过请求,Web,服务器的数字证书来验证,Web,服务器身份。,保密性：采用对称加密算法实现客户端与服务器之间数据的加密。,消息完整性：采用,HMAC,算法对传输数据进行完整性的验证。,3.3 VPN,隧道技术,SSL,协议,SSL,协议位于,TCP/IP,协议模型的传输层和应用层之间，使用,TCP,来提供一种可靠的端到端的安全服务。,SSL,协议在应用层通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作，在此之后应用层协议所传送的数据都被加密。,SSL,实际上是由共同工作的两层协议组成，如表,3-1,所示。从体系结构表可以看出,SSL,安全协议实际是由,SSL,握手协议、,SSL,修改密文协议、,SSL,警告协议和,SSL,记录协议组成的一个协议族。,3.3 VPN,隧道技术,MPLS,协议,多协议标记交换（,MPLS,，,Multi-Protocol Label Switching,），是一种可提供高性价比和多业务能力的交换技术，它解决了传统,IP,分组交换的局限性，在业界受到了广泛的重视，并在中国网通、中国铁通全国骨干网等网络建设中得到了实践部署。,MPLS,是一种第三层路由结合第二层属性的交换技术，引入了基于标签的机制，它把路由选择和数据转发分开，由标签来规定一个分组通过网络的路径。,3.3 VPN,隧道技术,MPLS,的优点,MPLS,的最大的优点便是它是标准化的交换技术。目前已被众多的网络厂商所接收。,Explicit,路由技术较传统的,IP,的,Source,路由技术有更高

展开阅读全文