访问控制与防火墙.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,访问控制与网络安全技术(1),严飞,武汉大学计算机学院,Yfpostbox,(AT).,cn,主要内容,（1阶段）,访问控制技术,防火墙技术,VPN,技术,（2阶段）,入侵检测技术,一种新的网络安全技术,1.访问控制技术,1.,1,访问控制技术概述,1.,2,入网认证,1.,3,物理隔离措施,1.,4,自主访问控制,1.,5,强制访问控制,1.,6,角色访问控制,1.7 发展趋势,1.访问控制技术,安全服务（,Security Services）,安全系统提供的各项服务，用以保证系统或数据传输足够的安全性,根据,ISO7498-2,安全服务包括：,实体认证（,Entity Authentication）,数据保密性（,Data Confidentiality）,数据完整性（,Data Integrity）,不可抵赖性（,Non-repudiation）,访问控制（,Access Control）,1.访问控制的基本任务,防止非法用户即未授权用户进入系统,合法用户即授权用户对系统资源的非法使用,1.,1,访问控制技术概述,访问控制是从计算机系统的处理能力方面对信息提供保护,它按照事先确定的规则决定主体对客体的访问是否合法,当一主体试图非法使用一个未经授权的资源时，访问控制机制将拒绝这一企图，并将这一事件报告给审计跟踪系统,审计跟踪系统将给出报警，并记入日志档案,1.1,访问控制技术概述,对网络的访问控制是为了防止非法用户进入系统和合法用户对系统的非法使用,访问控制要对访问的申请、批准和撤消的全过程进行有效的控制,1.1,访问控制技术概述,访问控制的内容包括,用户身份的识别和认证,对访问的控制,授权、确定访问权限、实施访问权限,附加控制,除了对直接的访问进行控制外，还应对信息的流动和推理攻击施加控制,审计跟踪,对用户使用何种系统资源、使用的时间、执行的操作等问题进行完整的记录，以备非法事件发生后能进行有效的追查,1.1,访问控制技术概述,访问控制的类型,自主访问控制（,DAC）,用户可以按自己的意愿对系统参数做适当的修改，可以决定哪个用户可以访问系统资源,强制访问控制（,MAC）,用户和资源都是一个固定的安全属性，系统利用安全属性来决定一个用户是否可以访问某个资源,由于强制访问控制的安全属性是固定的，因此用户或用户程序不能修改安全属性,基于角色访问控制(,RBAC),1.2,入网认证,入网认证即入网访问控制。它为网络访问提供了第一层访问控制,入网认证控制哪些用户能够登录到服务器并获得网络资源，也控制准许用户入网的时间和准许他们在哪台工作站入网,入网认证实质上就是对用户的身份进行认证,1.2,入网认证,身份认证,身份认证过程指的是当用户试图访问资源的时候，系统确定用户的身份是否真实的过程,认证对所有需要安全的服务来说是至关重要的，因为认证是访问控制执行的前提，是判断用户是否有权访问信息的先决条件，同时也为日后追究责任提供不可抵赖的证据,1.2,入网认证,身份认证的依据,用户所知道的,密码,用户所拥有的,智能卡,用户的特征,生物学上的属性,根据特定地点（或特定时间）,通过信任的第三方,Kerberos,IKE,1.2,入网认证,身份认证的评价标准,可行性,认证强度,认证粒度,认证数据正确,不同协议间的适应性,1.2,入网认证,身份认证的评价标准,可行性,从用户的观点看，认证方法应该提高用户访问应用的效率，减少多余的交互认证过程，提供一次性认证,另外所有用户可访问的资源应该提供友好的界面给用户访问,典型实例：单点登录（,SSO）,1.2,入网认证,身份认证的评价标准,认证强度,认证强度取决于采用的算法的复杂度以及密钥的长度,采用更复杂的算法，更长的密钥，将能提高系统的认证强度，提高系统的安全性,1.2,入网认证,身份认证的评价标准,认证粒度,身份认证只决定是否允许用户进入服务应用。之后如何控制用户访问的内容，以及控制的粒度也是认证系统的重要标志,有些认证系统仅限于判断用户是否具有合法身份，有些则按权限等级划分成几个密级，严格控制用户按照自己所属的密级访问,典型实例：,UNIX、MS Windows NT,等,1.2,入网认证,身份认证的评价标准,认证数据正确,消息的接受者能够验证消息的合法性、真实性和完整性,消息的发送者对所发的消息不可抵赖,除了合法的消息发送者外，任何其他人不能伪造合法的消息,当通信双方（或多方）发生争执时，有公正权威的第,3,方解决纠纷,典型实例：电子商务安全,1.2,入网认证,身份认证的评价标准,不同协议间的适应性,认证系统应该对所有协议的应用进行有效的身份识别,除了,HTTP,以外，安全,Email,访问（包括认证,SMTP、POP,或者,IMAP）,也应该包含在认证系统中,典型实例：网格安全,1.2,入网认证,口令认证的一般过程,用户名的识别与验证,确定是否存在该用户的信息,用户口令的识别与验证,确定用户输入的口令是否正确,用户帐号的缺省限制检查,确定该用户帐号是否可用，以及能够进行哪些操作、访问哪些资源等用户的权限,1.2,入网认证,口令认证,口令认证也称通行字认证，是一种根据已知事物验证身份的方法,通行字的选择原则,易记,难以被别人猜中或发现,抗分析能力强,需要考虑的方面,选择方法、使用期限、字符长度、分配和管理以及在计算机系统内的保护,1.2,入网认证,安全性要求,口令认证方案,无,无口令,低,合法用户公用口令,中,每个用户一个单独的口令,高,要求一次一密，或口令分散,*系统中不存储口令的原文,1.2,入网认证,认证方式,单向认证,双向认证,询问认证,受理的用户可利用他所知道、而别人不太知道的一些信息向申请用户提问一系列不大相关的问题,1.3,物理隔离措施,物理隔离,物理隔离技术是一种将内外网络从物理上断开，但保持逻辑连接的网络安全技术,任何时候内外网络都不存在连通的物理连接，同时原有的传输协议必须被中断,逻辑连接指能进行适度的数据交换,1.3,物理隔离措施,1999年12月29,日国家保密局发布的,计算机信息系统国际联网保密管理规定,中第二章第六条规定：,“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相联接，必须进行物理隔离”,1.3,物理隔离措施,网络物理隔离方案,客户端的物理隔离,集线器级的物理隔离,服务器端的物理隔离,1.3,物理隔离措施,网络物理隔离方案,客户端的物理隔离,1.3,物理隔离措施,网络物理隔离方案,客户端的物理隔离,网络安全隔离卡,1.3,物理隔离措施,网络物理隔离方案,集线器级的物理隔离,1.3,物理隔离措施,网络物理隔离方案,集线器级的物理隔离,物理隔离网闸,1.3,物理隔离措施,网络物理隔离方案,服务器端的物理隔离,1.3,物理隔离措施,物理隔离的优点,安全级别高，保障强,易于在现有涉密网上安装,物理隔离的未尽之处,资源消耗大,缺乏管理,认证、访问控制、审计、取证,妨碍应用,1.4,自主访问控制,自主访问控制,由客体自主地来确定各个主体对它的直接访问权限（又称访问模式）,在自主访问控制下，用户可以按自己的意愿对系统的参数做适当的修改，以决定哪个用户可以访问他们的文件,1.4,自主访问控制,自主访问控制,Discretionary Access Control,简称,DAC,自主访问控制基于对主体或主体所属的主体组的识别来限制对客体的访问，这种控制是自主的,自主,是指对其它具有授予某种访问权力的主体能够自主地（可能是间接的）将访问权的某个子集授予其它主体,1.4,自主访问控制,访问控制矩阵,1.4,自主访问控制,DAC,的实现方法,基于行的,DAC：,面向主体,权力表（,Capabilities List）r,w,a,e,前缀表（,Profiles）,可访问文件命,口令（,Password）,基于列的,DAC：,面向客体,保护位（,Protection Bits）,用户组:,RWX,访问控制,表（,Access Control List，ACL）,主体明细表,1.4,自主访问控制,DAC,的优点,方便、实用,可由用户自由定制,可扩展性强,缺点,管理分散、用户关系不清,权限易被滥用,信息在移动过程中其访问权限关系会被改变。如用户,A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O。,1.5,强制访问控制,强制访问控制,Mandatory Access Control，,简称,MAC,用户与文件都有一个固定的安全属性，系统利用安全属性来决定一个用户是否可以访问某个文件,安全属性是强制性的，它是由安全管理员或操作系统根据限定的规则分配的，用户或用户的程序不能修改安全属性,1.5,强制访问控制,强制访问控制,如果系统认为具有某一安全属性的用户不适于访问某个文件，那么任何人（包括文件的拥有者）都无法使该用户具有访问文件的能力,强制访问控制是比任意访问控制更强的一种访问控制机制，它可以通过无法回避的访问限制来防止某些对系统的非法入侵,强制访问控制可以防止一个进程生成共享文件，从而防止一个进程通过共享文件把信息从一个进程传送给另一个进程,1.5,强制访问控制,抵抗特洛伊木马,特洛伊木马进行攻击的条件,必须编写一段程序或修改一个已存在的程序来进行非法操作，而且这种非法操作不能令程序的使用者起任何怀疑。这个程序对使用者来说必须具有吸引力,必须使受害者能以某种方式访问到或得到这个程序，如将这个程序放在系统的根目录或公共目录中,必须使受害者运行这个程序。一般利用这个程序代替一个受害者常用的程序来使受害者不知不觉地使用它,受害者在系统中有一个合法的帐号,1.5,强制访问控制,抵抗特洛伊木马,强制访问控制一般与自主访问控制结合使用，并实施一些附加的、更强的访问限制,限制访问控制的灵活性,过程控制,1.5,强制访问控制,Bell-La,Padual,模型,简单安全规则,仅当主体的敏感级不低于客体敏感级且主体的类别集合包含客体时，才允许该主体读该客体。即主体只能读密级等于或低于它的客体，也就是说主体只能从下读，而不能从上读,星规则,仅当主体的敏感级不高于客体敏感级且客体的类别集合包含主体的类别集合时，才允许该主体写该客体。即主体只能写密级等于或高于它的客体，也就是说主体只能向上写，而不能向下写,1.5,强制访问控制,Biba,模型,简单完整规则,仅当主体的完整级大于等于客体的完整级且主体的类别集合包含客体的类别集时，才允许该主体写该客体。即主体只能向下写，而不能向上写，也就是说主体只能写（修改）完整性级别等于或低于它的客体,完整性制约规则（星规则）,仅当主体的完整级不高于客体完整级且客体的类别集合包含主体的类别集合时，才允许该主体读读客体。即主体只能从上读，而不能从下读,1.6角色访问控制技术,四种,RBAC,模型,基本模型,RBAC,0,角色的层次结构,RBAC,1,约束模型,RBAC,2,混合模型,RBAC,3,1.6角色访问控制技术,基本模型,RBAC,0,四个基本要素,用户（,User）,角色（,Role）,会话（,Session）,授权（,Permission）,1.6角色访问控制技术,四种,RBAC,模型,角色的层次结构,RBAC,1,RBAC,1,的特征是为,RBAC,0,上引入了角色层次的概念,约束模型,RBAC,2,RBAC,2,除了继承,RBAC,0,的原有特征外，还引入了约束（,Constraints）,的概念,互斥角色（,Mutually Exclusion Roles）,基数约束（,Cardinality Constraints）,先决条件角色,运行时约束,1.6角色访问控制技术,RBAC,模型的优点,一种策略无关的访问控制技术,具有自管理的能力,使得安全管理更贴近应用领域的机构或组织的实际情况,RBAC,模型的不足,复杂、不成熟,RBAC,的策略无关性需要用户自己定义适合本领域的安全策略,1.7发展趋势,安全策略,细粒度,面向需求,动态,行为,安全模型,理论更趋完备,无干扰理论,2.防火墙技术,2.1,防火墙技术概述,2.2,防火墙的结构,2.3,构建防火墙,2.4 防火墙发展趋势,2.1,防火墙技术概述,在网络中防火墙主要用于逻辑隔离外部网络与受保护的内部网络,2.1,防火墙技术概述,防火墙技术属于典型的静态安全技术，该类技术用于逻辑隔离内部网络与外部网络,通过数据包过滤与应用层代理等方法实现内外网络之间信息的受控传递，从而达到保护内部网络的目的,2.1,防火墙技术概述,经典安全模型,防火墙规则,匹配条件,防火墙分类,2.1,防火墙技术概述,经典安全模型,2.1,防火墙技术概述,防火墙规则,防火墙的基本原理是对内部网络与外部网络之间的信息流传递进行控制,控制的功能是通过在防火墙中预先设定一定的安全规则（也称为安全策略）实现的,2.1,防火墙技术概述,防火墙规则,防火墙的安全规则由匹配条件与处理方式两个部分共同构成,其中匹配条件是一些逻辑表达式，根据信息中的特定值域可以计算出逻辑表达式的值为真（,True）,或假（,False）,如果信息使匹配条件的逻辑表达式为真，则说明该信息与当前规则匹配,2.1,防火墙技术概述,防火墙规则,信息一旦与规则匹配，就必须采用规则中的处理方式进行处理,处理方式主要包括,Accept：,允许数据包或信息通过,Reject：,拒绝数据包或信息通过，并且通知信息源该信息被禁止,Drop：,直接将数据包或信息丢弃，并且不通知信息源,2.1,防火墙技术概述,防火墙规则,基本原则,“默认拒绝”原则,“默认允许”原则,现有的防火墙产品大多基于第一种规则,2.1,防火墙技术概述,匹配条件,网络层,IP,源地址、,IP,目的地址、协议,传输层,源端口、目的端口,应用层,根据各种具体应用而定,基于信息流向的匹配条件,向内、向外,2.1,防火墙技术概述,防火墙分类,按防范领域分类,个人防火墙,禁止,Internet,文件共享、隐藏端口、过滤,IP,信息流、控制,Internet,应用程序、警告和日志、漏洞检查,网络防火墙,对网络数据流进行分析，并按照规则进行过滤。,2.1,防火墙技术概述,防火墙分类,按实现的方式分类,软件防火墙,硬件防火墙,2.1,防火墙技术概述,防火墙分类,按实现技术分类,数据包过滤,在系统进行,IP,数据包转发时设置访问控制列表，访问控制列表主要由各种规则组成。,数据包过滤的规则主要采用网络层与传输层匹配条件,应用层代理,应用层代理是指运行在防火墙主机上的特殊应用程序或者服务器程序,这些程序根据安全策略接受用户对网络的请求，并在用户访问应用信息时依据预先设定的应用协议安全规则进行信息过滤,2.1,防火墙技术概述,应用层代理示意图,2.1,防火墙技术概述,技术方案对比,数据包过滤,服务无关、对用户透明,过滤规则复杂、正确性难以检测、容易形成瓶颈,应用层代理,内网安全性较高、,Cache,机制可以提高信息访问效率、支持用户认证 、支持基于内容的信息过滤,必须对每种应用提供代理服务和代理客户端、实时性差,2.2,防火墙的结构,经典防火墙体系结构,双重宿主主机体系结构,被屏蔽主机体系结构,被屏蔽子网体系结构,2.,2,防火墙的结构,双重宿主主机体系结构,2.2,防火墙的结构,被屏蔽主机体系结构,2.2,防火墙的结构,被屏蔽子网体系结构,2.2,防火墙的结构,其他体系结构,合并内部和外部路由器,合并堡垒主机和外部路由器,合并堡垒主机和内部路由器,多台内部路由器,多台外部路由器,多个周边网络,2.2,防火墙的结构,其他体系结构,合并内部和外部路由器,2.2,防火墙的结构,其他体系结构,合并堡垒主机和外部路由器,2.2,防火墙的结构,其他体系结构,合并堡垒主机和内部路由器,2.2,防火墙的结构,其他体系结构,多台内部路由器,2.2,防火墙的结构,其他体系结构,多台外部路由器,2.2,防火墙的结构,其他体系结构,多个周边网络,2.3,构建防火墙,选择防火墙体系结构,安装外部路由器,安装内部路由器,安装堡垒主机,设置数据包过滤规则,设置代理系统,检查防火墙运行效果,2.3,构建防火墙,选择防火墙体系结构,小型网络,中型网络,大型网络,2.3,构建防火墙,选择防火墙体系结构,小型网络,透明代理,2.3,构建防火墙,选择防火墙体系结构,小型网络,透明代理,双重宿主主机,2.3,构建防火墙,选择防火墙体系结构,中型网络,软件防火墙,2.3,构建防火墙,选择防火墙体系结构,中型网络,软件防火墙,硬件防火墙,2.3,构建防火墙,选择防火墙体系结构,大型网络,被屏蔽子网,2.3,构建防火墙,安装外部路由器,连接线路,配置网络接口,测试网络连通性,配置路由算法,路由器的访问控制,2.3,构建防火墙,安装外部路由器,连接线路,保证设备与外部网络、周边网络（或内部网络）的线路连接正常,由于外部路由器的外部网络接口一般较为复杂，可能会使用,XDSL、ISDN、ATM,等广域网、城域网协议与接口，必须首先完成线路申请、线路连接等前期工作,2.3,构建防火墙,安装外部路由器,配置网络接口,配置网络接口的工作主要包括,IP,地址、子网掩码、开启网络接口等,在配置完毕后需要进行网络接口连通性测试，必需保证路由器上的测试程序可以通过外部网络接口访问外部网络，通过内部网络接口可以访问周边网络（或内部网络）,2.3,构建防火墙,安装外部路由器,测试网络连通性,在不添加访问控制规则的情况下，用户应该能够通过路由器从周边网络访问外部网络，同样从外部网络访问周边网络,2.3,构建防火墙,安装外部路由器,配置路由算法,为让外部路由器能够参与外部网络的路由运算，必需在外部路由器上配置相应的动态路由算法或静态路由，同时将外部网络访问内部网络的下一跳地址指向内部路由器或双重宿主主机,2.,3,构建防火墙,安装外部路由器,路由器的访问控制,在路由算法配置完毕后，需要配置针对路由器自身的访问控制，限制路由器对外部提供,Telnet,等服务，将这些服务的服务范围限制在内部网络中的管理员使用的计算机,2.3,构建防火墙,安装内部路由器,连接线路,内部网络一般比较单纯，多局限于以太系列网络，线路连接较为简单,配置路由算法,内部路由器不参与外部路由算法，也不参与内部网络中各子网间的路由转发，因此只需要通过静态路由配置外部网络、内部网络、周边网络之间的数据包转发,2.3,构建防火墙,安装堡垒主机,选择合适的物理位置,要求堡垒主机必须存放在安全措施完善的机房内部，同时要保证机房的供电、通风、恒温、监控条件良好,选择合适的硬件设备,选择堡垒主机一定要以满足服务性能需求作为最终依据，过高、过低的配置都是不合时宜的,2.3,构建防火墙,安装堡垒主机,选择合适的操作系统,堡垒主机操作系统的选择必须考虑到安全性、高效性等方面的因素,注意堡垒主机的网络接入位置,堡垒主机应该放置于不涉及敏感信息的位置,不应该采用集线器这样的共享设备,2.3,构建防火墙,安装堡垒主机,设置堡垒主机提供的服务,关闭不需要的服务,对提供的服务需要添加一定的安全措施，包括用户,IP,限制,、,DOS,攻击屏蔽等,在堡垒主机上禁止使用用户账号,核查堡垒主机的安全保障体制,核查的手段主要是在主机上运行相应的安全分析软件或者漏洞扫描程序，在发现堡垒主机的安全漏洞后应该及时排除,维护与备份,2.3,构建防火墙,设置数据包过滤规则,首先需要确定设置数据包过滤规则设备对“向内”与“向外”的具体概念,要尽可能地对双向的数据包都进行限制,采用“默认拒绝”,脱机编辑过滤规则,2.3,构建防火墙,设置数据包过滤规则,数据包过滤的方式,堡垒主机,2.3,构建防火墙,设置数据包过滤规则,数据包过滤的方式,服务过滤规则,2.3,构建防火墙,设置数据包过滤规则,数据包过滤的方式,路由器地址过滤规则,2.3,构建防火墙,设置数据包过滤规则,数据包过滤的方式,路由器服务过滤规则,2.3,构建防火墙,设置数据包过滤规则,注意包过滤规则的顺序,获得更高的过滤效率,避免出现漏洞,设置网络服务,对外提供正常的服务,2.3,构建防火墙,设置代理系统,可以直接访问外部网络，又可以通过代理访问,设置代理服务器,尽量选择较为成熟、稳定的产品或版本,尽量避免根据用户账号提供代理服务的方式,应该只对一定,IP,地址范围内的主机提供服务,禁用远程配置，只允许在本机实施配置,定期升级，并通过相应的扫描软件及早发现代理服务配置的漏洞,2.3,构建防火墙,设置代理系统,设置代理客户端,使用定制客户端软件,使用定制的用户过程,2.3,构建防火墙,检查防火墙运行效果,检查的内容包括,对外提供的服务,WWW、FTP、BBS、EMAIL,对内提供的服务,DNS,等,网络访问,检查过滤规则是否生效，并及早发现规则中存在的漏洞,2.3,构建防火墙（例1）,防火墙构建示例,网络结构,2.3,构建防火墙（例1）,防火墙构建示例,Web,服务过滤规则,2.3,构建防火墙（例1）,防火墙构建示例,ftp,服务过滤规则,2.3,构建防火墙（例1）,防火墙构建示例,smtp,服务过滤规则,2.3,构建防火墙（例1）,防火墙构建示例,dns,服务过滤规则,2.3,构建防火墙（例1）,防火墙构建示例,默认拒绝过滤规则,2.3 构建防火墙（例2）,个人防火墙的配置（费尔个人防火墙）,禁止访问某些网络和网络文件,禁止某些应用程序访问网络,管理外部网络访问本机端口时的响应方式,2.4 防火墙发展趋势,产业：国内外产品百花齐放，网络安全的主力产品。,高速：提高处理性能，理论算法的优化与硬件实现的提高。,高准确率：内容过滤，数据过滤中的数据分析与算法优化。,面向应用：语音、视频、即时信息等。,3.,VPN,技术,3.1,VPN,概述,3.2,VPN,的分类,3.3,VPN,使用的协议与实现,3.,1,VPN,概述,VPN,的概念,VPN,即虚拟专用网,它是依靠,ISP(Internet,服务提供商,),和其他,NSP(,网络服务提供商,),，在公用网络中建立专用的数据通信网络的技术,3.,1,VPN,概述,3.1,VPN,概述,VPN,的概念,在该网中的主机将不会觉察到公共网络的存在，仿佛所有的主机都处于一个网络之中。公共网络仿佛是只由本网络在独占使用,VPN,使用户节省了租用专线的费用。除了购买,VPN,设备外，企业所付出的仅仅是向企业所在地的,ISP,支付一定的上网费用，也节省了长途电话费,3.1,VPN,概述,VPN,的组成,3.2,VPN,的分类,远程访问虚拟网（,Access VPN）,企业内部虚拟网（,Intranet VPN）,企业扩展虚拟网（,Extranet VPN）,3.2,VPN,的分类,远程访问虚拟网（,Access VPN）,3.2,VPN,的分类,企业内部虚拟网（,Intranet VPN）,3.,2,VPN,的分类,企业扩展虚拟网（,Extranet VPN）,利用,VPN,技术可以组建安全的,Extranet,，,既可以向客户、合作伙伴提供有效的信息服务，又可以保证自身的内部网络的安全,此种类型与,Intranet VPN,没有本质的区别，但它涉及的是不同公司的网络间的通信，所以它要更多的考虑设备的互联、地址的协调、安全策略的协商等问题,3.2,VPN,的分类,VPN,网关应用,3.,3,VPN,使用的协议与实现,VPN,使用三个方面的技术保证了通信的安全性,身份验证,隧道协议,数据加密,3.,3,VPN,使用的协议与实现,VPN,的一般验证流程,客户机向,VPN,服务器发出请求，,VPN,服务器响应请求并向客户机发出身份质询,客户机将加密的响应信息发送到,VPN,服务器,如果账户有效，,VPN,服务器将检查该用户是否具有远程访问权限,如果该用户拥有远程访问的权限,，,VPN,服务器接受此连接,在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密,3.3,VPN,使用的协议与实现,隧道,VPN,的核心是被称为,“,隧道,”,的技术,隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式,使用隧道传递的数据（或负载）可以是不同协议的数据帧或包，隧道协议将这些其它协议的数据帧或包重新封装在新的包头中发送,被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道,3.3,VPN,使用的协议与实现,隧道,3.,3,VPN,使用的协议与实现,隧道协议,点对点隧道协议,PPTP，Point-to Point Tunneling Protocol,第2,层隧道协议,L2TP,Layer 2 Tunneling Protocol,IP,安全协议,IPSec,3.3,VPN,使用的协议与实现,PPTP,由,3,Com,公司和,Microsoft,公司合作开发,Windows、Linux、Solaris,与,SSL,相比提高处理性能，内核级处理,3.3,VPN,使用的协议与实现,PPTP,基于,PPP,发展,Point to Point Protocol,点对点通信协议,兼容,IPX、TCP/IP、NetBEUI,和,AppleTalk,3.3,VPN,使用的协议与实现,PPP,工作流程,在远程计算机和服务器之间建立帧传输规则，通过该规则的建立，才允许进行连续的通信,(,通常称为“帧传输”,),远程访问服务器通过使用,PPP,协议中的身份验证协议,(,如：,MS-CHAP、EAP、CHAP、SPAP、PAP,等),，来验证远程用户的身份,身份验证完毕后，如果用户启用了回拨，则远程访问服务器将挂断并呼叫远程访问客户机，实现服务器回拨,“网络控制协议”,(,NCP),启用并配置远程客户机，使得所用的,LAN,协议与服务器端进行,PPP,通信连接,3.3,VPN,使用的协议与实现,PPTP,协议概述,PPTP,协议,是,PPP,协议的扩展,增强了,PPP,协议的认证、压缩和加密功能,增加了一个新的安全等级，并且可以通过因特网进行多协议通信,3.3,VPN,使用的协议与实现,基于,PPTP,的,VPN,封装服务,使用一般路由封装,(,GRE),头文件和,IP,报头数据包装,PPP,帧(,包含一个,IP,数据包或一个,IPX,数据包,),3.3,VPN,使用的协议与实现,基于,PPTP,的,VPN,加密服务,通过使用从,PPP,协议的,MS-CHAP,或,EAP-TLS,身份验证过程中生成的密钥,PPP,帧以,MPPE,方式进行加密,PPTP,只是对先前加密了的,PPP,帧进行封装,3.3,VPN,使用的协议与实现,PPTP,协议数据传输过程,首先远程,VPN,客户端通过诸如,Windows,系统的拨号网络中的远程访问服务,(,RAS),与本地,ISP,进行,PPP,因特网连接,当,PPP,连接激活后，通过,PPTP,协议在客户端，连接,VPN,服务器端的,WAN,适配器的,IP,地址或者域名,3.3,VPN,使用的协议与实现,L2TP,1999,年8月，,RFC2661,L2TP,也是,PPP,协议的扩展,由,IETF(Internet Engineering Task Force，,因特网工程任务组,),管理，由,Cisco、Microsoft、Ascend、3Com,和其他网络设备供应商在修改了十几个版本后联合开发并认可,3.3,VPN,使用的协议与实现,L2TP,支持多种协议，用户可以保留原有的,IPX、,Appletalk,等协议或公司原有的,IP,地址,允许在物理上连接到不同,NAS,的,PPP,链路，在逻辑上的终点为同一个物理设备,允许第,2,层连接的终点和,PPP,会话的终点分别设在不同的设备上,L2TP,能把,PPP,协议的终点从传统的,LAC(L2TP Access Concentrator，,第2,层隧道协议接入集线器,),延伸到,LNS(L2TP Network Server，,第2,层隧道协议网络服务器,),3.,3,VPN,使用的协议与实现,L2TP,封装,3.3,VPN,使用的协议与实现,IPSec,封装,3.3,VPN,使用的协议与实现,PPTP,与,L2TP,比较,网络基础,PPTP：IP,网络,L2TP：,面向数据包的点对点的连接,例如：,IP，,帧中继永久虚拟电路（,PVCs,）,X.25,虚拟电路（,VC,）,或,ATMVC,隧道,PPTP：,单一隧道,，不支持隧道验证,L2TP：,支持,多隧道,和隧道验证,压缩头的开销,PPTP/L2TP：,6/4 byte,3.,3,VPN,使用的协议与实现,IPSec,协议,IPSec,是,IETF,于1998年11,月公布的第三层安全协议,保护,IP,数据包或上层数据,可以定义哪些数据流需要保护，怎样保护及应该将这些受保护的数据流转发给谁,提供具有较强的互操作能力、高质量和基于,密码,的安全,3.3,VPN,使用的协议与实现,IPSec,协议,IPv4,与,IPv6,IPSec,有两种版本，一种是基于,IPv4,协议的，另一种是基于,IPv6,协议的,IPSec,对于,IPv4,是可选的，对于,IPv6,是强制性的,3.3,VPN,使用的协议与实现,IPSec,协议,IPSec,在,IP,层上对数据包进行高强度的安全处理，提供,数据源地验证、无连接数据完整性、数据机密性、抗重播,和,有限业务流机密性,等安全服务,各种应用程序可以享用,IP,层提供的安全服务和密钥管理，而不必设计和实现自己的安全机制,3.3,VPN,使用的协议与实现,IPSec,协议,验证,(,Authentication),完整性,(,Integrity),秘密性,(,Confidentiality),3.3,VPN,使用的协议与实现,IPSec,协议,验证,(,Authentication),确保发送数据者的真实性,完整性,(,Integrity),秘密性,(,Confidentiality),3.3,VPN,使用的协议与实现,IPSec,协议,验证,(,Authentication),完整性,(,Integrity),确保数据在传输过程中没有被篡改,秘密性,(,Confidentiality),3.3,VPN,使用的协议与实现,IPSec,协议,验证,(,Authentication),完整性,(,Integrity),秘密性,(,Confidentiality),确保数据不被非法读取,3.3,VPN,使用的协议与实现,IPSec,的保护技术,Authentication Header(AH),Encapsulating Security Payload(ESP),3.3,VPN,使用的协议与实现,IPSec,的保护技术,Authentication Header(AH),AH,协议包头可以保证信息源的可靠性和数据的完整性,工作原理,发送方将,IP,包头、高层的数据、密钥这三部分通过某种散列算法进行计算，得出,AH,包头中的验证数据，并将,AH,包头加入数据包中,接收方将收到的,IP,包头、数据和密钥以相同的散列算法进行运算，并把得出的结果和收到的数据包中的,AH,包头进行比较，如果相同，则表明数据在传输过程中没有被修改，并且是从真正的信息源处发出的,Encapsulating Security Payload(ESP),3.3,VPN,使用的协议与实现,IPSec,的保护技术,Authentication Header(AH),Encapsulating Security Payload(ESP),ESP,可以提供数据的完整性和可靠性,使用非对称密钥技术,密钥交换采用,IKE(Internet Key Exchange),3.3,VPN,使用的协议与实现,IPSec,的工作方式,Transmission mode,Tunnel mode,3.3,VPN,使用的协议与实现,IPSec,的工作方式,Transmission mode（,方便）,传输方式是用来保护上层协议，仅对数据净荷进行加密，原,IP,包的地址部分不处理,IPSec,包头加在,IP,包头和上层协议包头之间,Tunnel mode（,抗流量分析，终端无需加密）,保护整个,IP,数据包,整个,IP,包都封装在一个新的,IP,包中，并在新的,IP,包头和原来的,IP,包头之间插入,IPSec,头,访问控制与网络安全技术(1),本节结束！,