vpn技术及应用第单元.ppt

1、VPN的定义的定义a virtual private network is a overlay network over a public infrastructure customer connectivity deployed on a shared infrastructure delivering the same policies as a private network VPN的定义的定义n n VPN VPN，virtual Private Networkvirtual Private Network，即虚拟专用网，即虚拟专用网，是通过一个开放的、公用的、不安全的网络（通是通过一

2、个开放的、公用的、不安全的网络（通常是因特网）建立的一个临时的、安全的连接，常是因特网）建立的一个临时的、安全的连接，这个连接保证了通信双方的数据的安全，就好像这个连接保证了通信双方的数据的安全，就好像在两者之间建立了一个专用的网络，所以叫虚拟在两者之间建立了一个专用的网络，所以叫虚拟专用网。专用网。n n通常，通常，VPN VPN 是对企业内部网的扩展，通过它可以是对企业内部网的扩展，通过它可以帮助远程用户、公司分支机构、商业伙伴及供应帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证商同公司的内部网建立可信的安全连接，并保证数据的安全传输。数据的安全传输。

3、VPN的定义的定义VPN 技术中主要采用了以下四种安全机制：n隧道技术（Tunneling）n加解密技术（Encryption）n密钥管理技术n身份认证技术（Authentication）VPN的定义的定义n n隧道技术指对通过公用网络的数据包进行二次封装后再传输的技术。是VPN技术的核心。n n加解密技术是数据通信中一项较成熟的技术，VPN可直接利用现有技术。n n密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。n n身份认证技术用来保证信息两端点的身份的可靠性。VPN的定义的定义 通过上述的各项网络安全技术，确保信息在公用网络中传输时不被窃取，或是即使被窃取了，对方亦无

4、法读取数据包内所传送的资料。VPN技术相关协议技术相关协议 主要是指实现二次封装的协议，即实现隧道技术的协议。现有两种类型的网络隧道协议：二层隧道协议，用于传输二层网络协议，它主要应用于构建远程访问虚拟专网（AccessVPN？）；三层隧道协议，用于传输三层网络协议，它主要应用于构建企业内部虚拟专网（IntranetVPN）和扩展的企业内部虚拟专网（Extranet VPN？）。二层隧道协议二层隧道协议 第二层隧道协议是先把各种网络协议封装到第二层隧道协议是先把各种网络协议封装到PPPPPP（point to point protocolpoint to point protocol）中，再把

5、整个数据包）中，再把整个数据包装入隧道协议中。这种双层封装方法形成的数据装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议主要包靠第二层协议进行传输。第二层隧道协议主要有以下三种：有以下三种：n n由微软、由微软、AscendAscend、3COM 3COM 等公司支持的等公司支持的 PPTPPPTP（Point to Point Tunneling ProtocolPoint to Point Tunneling Protocol，点对点隧，点对点隧道协议）道协议）n n是是CiscoCisco、北方电信等公司支持的、北方电信等公司支持的L2FL2F（Layer

6、2ForwardingLayer2Forwarding，二层转发协议），在，二层转发协议），在CiscoCisco路由器中有支持。路由器中有支持。n n由由 IETF IETF 起草，微软起草，微软 Ascend Ascend、CiscoCisco、3COM 3COM 等公等公司参与的司参与的 L2TP L2TP（Layer 2TunnelingProtocolLayer 2TunnelingProtocol，二层隧，二层隧道协议）结合了上述两个协议的优点，道协议）结合了上述两个协议的优点，L2TPL2TP协议协议是目前是目前IETFIETF的标准，由的标准，由IETFIETF融合融合PPTP

7、PPTP与与L2FL2F而形而形成。成。二层隧道协议二层隧道协议n n优点：优点：PPTP/L2TPPPTP/L2TP对用微软操作系统的用户来说对用微软操作系统的用户来说很方便，因为微软已把它作为路由软件的一部份，很方便，因为微软已把它作为路由软件的一部份，它所支持的网络协议较多，支持流量控制。它所支持的网络协议较多，支持流量控制。n n缺点：用缺点：用IPIP包在两台计算机之间创建和打开数据包在两台计算机之间创建和打开数据通道，一旦通道打开，源和目的用户身份就不再通道，一旦通道打开，源和目的用户身份就不再需要，它不对两个节点间的的信息传递进行监视需要，它不对两个节点间的的信息传递进行监视或控

8、制，这会带来一些安全问题。同时，它们属或控制，这会带来一些安全问题。同时，它们属于低层协议，实现不够灵活，限制同时最多只能于低层协议，实现不够灵活，限制同时最多只能连接连接255255个用户，认证和加密受限制，且端点用户个用户，认证和加密受限制，且端点用户需要在连接前手工建立加密信道。需要在连接前手工建立加密信道。三层隧道协议三层隧道协议 第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输。如早先出现的 RFC 1701 Generic Routing Encapsulation（GRE）协议就是个三层隧道协议，新出来的 IETF 的 IP 层加密标准协议 I

9、PSec 协议也是个三层隧道协议。以下主要介绍IPSec三层隧道协议三层隧道协议-ipsec IPSec（IPSecurity）不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，主要包括：n n Authentication Header（AH）协议：验证头，它是一个用于提供IP数据报完整性和认证的机制。其完整性是保证数据报不被无意的或恶意的方式改变，而认证则验证数据的来源（识别主机、用户、网络等），通过在整个IP数据报中实施一个消息文摘计算来提供完整性和认证服务，消息文摘算法的输出结果放到AH包头的认证数据（Authentication_Data）区。三层隧道协议三层隧

10、道协议-ipsecn nEncapsulating Security Payload（ESP）协议：封装安全负载，加密IP数据包的内容，保证私密性。ESP协议是设计以两种模式工作的：隧道（Tunneling）模式和传输（Transport）模式。三层隧道协议三层隧道协议-ipsecn nInternet Key Exchange Internet Key Exchange（IKEIKE）协议：因特网密码）协议：因特网密码交换，用于在两个通信实体之间协商和建立安交换，用于在两个通信实体之间协商和建立安全相关，交换密钥。安全相关全相关，交换密钥。安全相关SASA（SecurityAssociati

11、onSecurityAssociation）是）是IPSecIPSec中的一个重要概中的一个重要概念。一个安全相关表示两个或多个通信实体之间念。一个安全相关表示两个或多个通信实体之间经过了身份认证，且这些通信实体都能支持相同经过了身份认证，且这些通信实体都能支持相同的加密算法，成功地交换了会话密钥，可以开始的加密算法，成功地交换了会话密钥，可以开始利用利用 IPSec IPSec 进行安全通信。进行安全通信。IKEIKE定义了通信实体间定义了通信实体间进行身份认证、协商加密算法以及生成共享的会进行身份认证、协商加密算法以及生成共享的会话密钥的方法。话密钥的方法。IKEIKE中身份认证采用共享密

12、钥和中身份认证采用共享密钥和数字签名两种方式，密钥交换采用数字签名两种方式，密钥交换采用 Diffie Hellman Diffie Hellman 协议。协议。IPSec的运行模式的运行模式 n n隧道模式（隧道模式（TunnelingTunneling）：整个）：整个IPIP数据报都在数据报都在ESPESP负负载中进行封装和加密。当这完成以后，真正的载中进行封装和加密。当这完成以后，真正的IPIP源地址和目的地址都可以被隐藏为源地址和目的地址都可以被隐藏为InternetInternet发送的发送的普通数据。这种模式的一种典型用法就是在防火普通数据。这种模式的一种典型用法就是在防火墙防火墙

13、之间通过虚拟专用网的连接时进行的墙防火墙之间通过虚拟专用网的连接时进行的主机或拓扑隐藏。主机或拓扑隐藏。n n传输模式（传输模式（TransportTransport）：只有更高层协议帧（）：只有更高层协议帧（TCPTCP、UDPUDP、ICMPICMP等）被放到加密后的等）被放到加密后的IPIP数据报的数据报的ESPESP负载部分。在这种模式中，源和目的负载部分。在这种模式中，源和目的IPIP地址以及地址以及所有的所有的IPIP包头域都是不加密发送的。包头域都是不加密发送的。AH协议两种应用模式协议两种应用模式 n nAHAH协议为协议为IPIP通信提供数据源认证、数据完整性和通信提供数据源

14、认证、数据完整性和反重播保证，它能保护通信免受篡改，但不能防反重播保证，它能保护通信免受篡改，但不能防止窃听，适合用于传输非机密数据。止窃听，适合用于传输非机密数据。n nAHAH的工作原理是在每一个数据包上添加一个身份的工作原理是在每一个数据包上添加一个身份验证报头。此报头包含一个带密钥的验证报头。此报头包含一个带密钥的hashhash散列散列（可以将其当作数字签名，只是它不使用证书），（可以将其当作数字签名，只是它不使用证书），此此hashhash散列在整个数据包中计算，因此对数据的散列在整个数据包中计算，因此对数据的任何更改将致使散列无效任何更改将致使散列无效-这样就提供了完整性保这样就

15、提供了完整性保护。护。AH协议两种应用模式协议两种应用模式n n传输模式的AH协议两种应用模式协议两种应用模式n n隧道模式的ESP协议两种应用模式协议两种应用模式 n nESP为IP数据包提供数据源的认证、完整性检查、抗重放和机密性服务。n n传输模式下的：ESP协议两种应用模式协议两种应用模式n n隧道模式下的VPN技术的类型技术的类型n n企业各部门与远程分支之间的Intranet VPN。Intranet VPN即企业的总部与分支机构间通过VPN虚拟网进行网络连接。随着企业的跨地区、国际化经营，这是绝大多数大、中型企业所必需的。VPN技术的类型技术的类型VPN技术的类型技术的类型n n企业网与远程（移动）雇员之间的远程访问（Remote Access）VPN。Access VPN又称为拨号VPN(即VPDN)，是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网。如果企业的内部人员移动或有远程办公需要，或者商家要提供B2C的安全访问服务，就可以考虑使用AccessVPN。VPN技术的类型技术的类型此课件下载可自行编辑修改，供参考！感谢您的支持，我们努力做得更好！