虛擬專用網(wǎng)絡(luò)(VPN)技術(shù)課件_第1頁
虛擬專用網(wǎng)絡(luò)(VPN)技術(shù)課件_第2頁
虛擬專用網(wǎng)絡(luò)(VPN)技術(shù)課件_第3頁
虛擬專用網(wǎng)絡(luò)(VPN)技術(shù)課件_第4頁
虛擬專用網(wǎng)絡(luò)(VPN)技術(shù)課件_第5頁
已閱讀5頁,還剩123頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

第7章虛擬專用網(wǎng)絡(luò)(VPN)技術(shù)本章學(xué)習(xí)目標(biāo):了解VPN概念及基本功能掌握VPN的工作協(xié)議了解VPN的分類了解SSLVPN的概念與作用第7章虛擬專用網(wǎng)絡(luò)(VPN)技術(shù)本章學(xué)習(xí)目標(biāo):7.1VPN技術(shù)概述虛擬專用網(wǎng)(VirtualPrivateNetwork,VPN)被定義為通過一個(gè)公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個(gè)臨時(shí)的、安全的連接,是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。

7.1.1VPN的概念VPN依靠ISP(Internet服務(wù)提供商)和其他NSP(網(wǎng)絡(luò)服務(wù)提供商),在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在虛擬專用網(wǎng)中,任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路,而是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組成的。

VPN是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。一般以IP為主要通訊協(xié)議。

7.1VPN技術(shù)概述虛擬專用網(wǎng)(Virtual7.1VPN技術(shù)概述

VPN是在公網(wǎng)中形成的企業(yè)專用鏈路。采用“隧道”技術(shù),可以模仿點(diǎn)對點(diǎn)連接技術(shù),依靠Internet服務(wù)提供商(ISP)和其他的網(wǎng)絡(luò)服務(wù)提供商(NSP)在公用網(wǎng)中建立自己專用的“隧道”,讓數(shù)據(jù)包通過這條隧道傳輸。對于不同的信息來源,可分別給它們開出不同的隧道。

7.1.1VPN的概念(續(xù))7.1VPN技術(shù)概述VPN是在公網(wǎng)中形成的企業(yè)遠(yuǎn)程訪問Internet內(nèi)部網(wǎng)合作伙伴分支機(jī)構(gòu)虛擬私有網(wǎng)虛擬私有網(wǎng)虛擬私有網(wǎng)VPN是企業(yè)網(wǎng)在因特網(wǎng)上的延伸VPN的典型應(yīng)用遠(yuǎn)程訪問Internet內(nèi)部網(wǎng)合作伙伴分支機(jī)構(gòu)虛擬私有網(wǎng)虛擬7.1VPN技術(shù)概述

隧道是一種利用公網(wǎng)設(shè)施,在一個(gè)網(wǎng)絡(luò)之中的“網(wǎng)絡(luò)”上傳輸數(shù)據(jù)的方法。隧道協(xié)議利用附加的報(bào)頭封裝幀,附加的報(bào)頭提供了路由信息,因此封裝后的包能夠通過中間的公網(wǎng)。封裝后的包所途經(jīng)的公網(wǎng)的邏輯路徑稱為隧道。一旦封裝的幀到達(dá)了公網(wǎng)上的目的地,幀就會(huì)被解除封裝并被繼續(xù)送到最終目的地。

7.1.1VPN的概念(續(xù))①隧道開通器(TI);②有路由能力的公用網(wǎng)絡(luò);③一個(gè)或多個(gè)隧道終止器(TT);④必要時(shí)增加一個(gè)隧道交換機(jī)以增加靈活性。隧道基本要素7.1VPN技術(shù)概述隧道是一種利用公網(wǎng)設(shè)施,在7.1VPN技術(shù)概述7.1.2VPN的基本功能VPN的主要目的是保護(hù)傳輸數(shù)據(jù),是保護(hù)從信道的一個(gè)端點(diǎn)到另一端點(diǎn)傳輸?shù)男畔⒘?。信道的端點(diǎn)之前和之后,VPN不提供任何的數(shù)據(jù)包保護(hù)。VPN的基本功能至少應(yīng)包括:1)加密數(shù)據(jù)。以保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會(huì)泄露。2)信息驗(yàn)證和身份識(shí)別。保證信息的完整性、合理性,并能鑒別用戶的身份。3)提供訪問控制。不同的用戶有不同的訪問權(quán)限。4)地址管理。VPN方案必須能夠?yàn)橛脩舴峙鋵S镁W(wǎng)絡(luò)上的地址并確保地址的安全性。5)密鑰管理。VPN方案必須能夠生成并更新客戶端和服務(wù)器的加密密鑰。6)多協(xié)議支持。VPN方案必須支持公共因特網(wǎng)絡(luò)上普遍使用的基本協(xié)議,包括IP、IPX等。7.1VPN技術(shù)概述7.1.2VPN的基本功能7.1VPN技術(shù)概述7.1.3VPN的特性安全性隧道、加密、密鑰管理、數(shù)據(jù)包認(rèn)證、用戶認(rèn)證、訪問控制可靠性硬件、軟件、基礎(chǔ)網(wǎng)絡(luò)的可靠性可管理性記帳、審核、日志的管理是否支持集中的安全控制策略可擴(kuò)展性成本的可擴(kuò)展性,如使用令牌卡成本高性能,是否考慮采用硬件加速加解密速度7.1VPN技術(shù)概述7.1.3VPN的特性安全性7.1VPN技術(shù)概述7.1.3VPN的特性(續(xù))可用性系統(tǒng)對應(yīng)用盡量透明對終端用戶來說使用方便互操作性盡量采用標(biāo)準(zhǔn)協(xié)議,與其他供應(yīng)商的設(shè)備能互通服務(wù)質(zhì)量QoS通過Internet連接的VPN服務(wù)質(zhì)量很大程度取決于Internet的狀況多協(xié)議支持7.1VPN技術(shù)概述7.1.3VPN的特性(續(xù))可用Clue遠(yuǎn)程訪問Internet內(nèi)部網(wǎng)分支機(jī)構(gòu)安全網(wǎng)關(guān)安全網(wǎng)關(guān)ISP接入設(shè)備端到端數(shù)據(jù)通路的典型構(gòu)成撥入段外部段(公共因特網(wǎng))內(nèi)部段公司的內(nèi)部網(wǎng)絡(luò)7.1.4VPN的安全性Clue遠(yuǎn)程訪問Internet內(nèi)部網(wǎng)分支機(jī)構(gòu)安全網(wǎng)關(guān)安全網(wǎng)端到端數(shù)據(jù)通路中存在的安全風(fēng)險(xiǎn)撥入段數(shù)據(jù)泄漏風(fēng)險(xiǎn)因特網(wǎng)上數(shù)據(jù)泄漏的風(fēng)險(xiǎn)安全網(wǎng)關(guān)中數(shù)據(jù)泄漏的風(fēng)險(xiǎn)內(nèi)部網(wǎng)中數(shù)據(jù)泄漏的風(fēng)險(xiǎn)端到端數(shù)據(jù)通路中存在的安全風(fēng)險(xiǎn)撥入段數(shù)撥入段數(shù)據(jù)泄漏風(fēng)險(xiǎn)遠(yuǎn)程訪問ISP接入設(shè)備撥入段Internet撥入段用戶數(shù)據(jù)以明文方式直接傳遞到ISP:攻擊者可以很容易的在撥入鏈路上實(shí)施監(jiān)聽ISP很容易檢查用戶的數(shù)據(jù)可以通過鏈路加密來防止被動(dòng)的監(jiān)聽,但無法防范惡意竊取數(shù)據(jù)的ISP。PSTN搭線監(jiān)聽攻擊者ISPISP竊聽密文傳輸?shù)搅薎SP處已解密成明文明文傳輸撥入段數(shù)據(jù)泄漏風(fēng)險(xiǎn)遠(yuǎn)程訪問ISP接入設(shè)備撥入因特網(wǎng)上數(shù)據(jù)泄漏的風(fēng)險(xiǎn)Internet內(nèi)部網(wǎng)惡意修改通道終點(diǎn)到:假冒網(wǎng)關(guān)外部段(公共因特網(wǎng))ISP接入設(shè)備原始終點(diǎn)為:安全網(wǎng)關(guān)數(shù)據(jù)在到達(dá)終點(diǎn)之前要經(jīng)過許多路由器,明文傳輸?shù)膱?bào)文很容易在路由器上被查看和修改監(jiān)聽者可以在其中任一段鏈路上監(jiān)聽數(shù)據(jù)逐段加密不能防范在路由器上查看報(bào)文,因?yàn)槁酚善餍枰饷軋?bào)文選擇路由信息,然后再重新加密發(fā)送惡意的ISP可以修改通道的終點(diǎn)到一臺(tái)假冒的網(wǎng)關(guān)遠(yuǎn)程訪問搭線監(jiān)聽攻擊者ISPISP竊聽正確通道因特網(wǎng)上數(shù)據(jù)泄漏的風(fēng)險(xiǎn)Internet內(nèi)部安全網(wǎng)關(guān)中數(shù)據(jù)泄漏的風(fēng)險(xiǎn)Internet內(nèi)部網(wǎng)ISP接入設(shè)備遠(yuǎn)程訪問安全網(wǎng)關(guān)數(shù)據(jù)在安全網(wǎng)關(guān)中是明文的,因而網(wǎng)關(guān)管理員可以直接查看機(jī)密數(shù)據(jù)網(wǎng)關(guān)本身可能會(huì)受到攻擊,一旦被攻破,流經(jīng)安全網(wǎng)關(guān)的數(shù)據(jù)將面臨風(fēng)險(xiǎn)安全網(wǎng)關(guān)中數(shù)據(jù)泄漏的風(fēng)險(xiǎn)Internet內(nèi)Internet內(nèi)部網(wǎng)中數(shù)據(jù)泄漏的風(fēng)險(xiǎn)遠(yuǎn)程訪問內(nèi)部網(wǎng)安全網(wǎng)關(guān)ISP接入設(shè)備內(nèi)部段公司的內(nèi)部網(wǎng)絡(luò)內(nèi)部網(wǎng)中可能存在不信任的主機(jī)、路由器等內(nèi)部員工可以監(jiān)聽、篡改、重定向企業(yè)內(nèi)部網(wǎng)的數(shù)據(jù)報(bào)文來自企業(yè)網(wǎng)內(nèi)部員工的其他攻擊方式Internet內(nèi)部網(wǎng)中數(shù)據(jù)泄漏的風(fēng)險(xiǎn)遠(yuǎn)程7.2VPN協(xié)議VPN主要采用以下四項(xiàng)技術(shù)來保證安全:◆隧道技術(shù)◆加解密技術(shù)

◆密鑰管理技術(shù)◆使用者與設(shè)備身份認(rèn)證技術(shù)7.2.1VPN安全技術(shù)

加解密技術(shù)、密鑰管理技術(shù)、使用者與設(shè)備身份認(rèn)證技術(shù)在第四章已作介紹,VPN只是對這幾種技術(shù)的應(yīng)用。下面重點(diǎn)介紹隧道技術(shù)7.2VPN協(xié)議VPN主要采用以下四項(xiàng)技術(shù)來保7.2VPN協(xié)議7.2.2VPN的隧道協(xié)議

VPN中的隧道是由隧道協(xié)議形成的,VPN使用的隧道協(xié)議主要有三種:點(diǎn)到點(diǎn)隧道協(xié)議(PPTP)、第二層隧道協(xié)議(L2TP)以及IPSec。PPTP和L2TP集成在windows中,所以最常用。PPTP協(xié)議允許對IP、IPX或NetBEUI數(shù)據(jù)流進(jìn)行加密,然后封裝在IP包頭中通過企業(yè)IP網(wǎng)絡(luò)或公共因特網(wǎng)絡(luò)發(fā)送。L2TP協(xié)議允許對IP,IPX或NetBEUI數(shù)據(jù)流進(jìn)行加密,然后通過支持點(diǎn)對點(diǎn)數(shù)據(jù)報(bào)傳遞的任意網(wǎng)絡(luò)發(fā)送,如IP,X.25,幀中繼或ATM。IPSec隧道模式允許對IP負(fù)載數(shù)據(jù)進(jìn)行加密,然后封裝在IP包頭中通過企業(yè)IP網(wǎng)絡(luò)或公共IP因特網(wǎng)絡(luò)如Internet發(fā)送。7.2VPN協(xié)議7.2.2VPN的隧道協(xié)議7.2VPN協(xié)議7.2.2VPN的隧道協(xié)議NSRC、NDST是隧道端點(diǎn)設(shè)備的IP地址公網(wǎng)上路由時(shí)僅僅考慮NSRC、NDST原始數(shù)據(jù)包的DST、SRC對公網(wǎng)透明DSTSRCDATANDSTNSRCDSTSRCDATA7.2VPN協(xié)議7.2.2VPN的隧道協(xié)議NSR7.2VPN協(xié)議7.2.2VPN的隧道協(xié)議Point-to-PointTunnelProtocol,2層協(xié)議,需要把網(wǎng)絡(luò)協(xié)議包封裝到PPP包,PPP數(shù)據(jù)依靠PPTP協(xié)議傳輸PPTP通信時(shí),客戶機(jī)和服務(wù)器間有2個(gè)通道,一個(gè)通道是tcp1723端口的控制連接,另一個(gè)通道是傳輸GRE(GenericRoutingEncapsulation,通用路由封裝協(xié)議)PPP數(shù)據(jù)包的IP隧道PPTP沒有加密、認(rèn)證等安全措施,安全的加強(qiáng)通過PPP協(xié)議的MPPE(MicrosoftPoint-to-PointEncryption)實(shí)現(xiàn)windows中集成了PPTPServer和Client,適合中小企業(yè)支持少量移動(dòng)工作者如果有防火墻的存在或使用了地址轉(zhuǎn)換,PPTP可能無法工作1.點(diǎn)到點(diǎn)隧道協(xié)議(PPTP)7.2VPN協(xié)議7.2.2VPN的隧道協(xié)議Poi7.2VPN協(xié)議7.2.2VPN的隧道協(xié)議把網(wǎng)絡(luò)數(shù)據(jù)包封裝在PPP協(xié)議中,PPP協(xié)議的數(shù)據(jù)包放到隧道中傳輸L2TPRFC2661定義在Cisco公司的L2F和PPTP的基礎(chǔ)上開發(fā)windows中集成2.第二層隧道協(xié)議(L2TP)7.2VPN協(xié)議7.2.2VPN的隧道協(xié)議把網(wǎng)絡(luò)7.2VPN協(xié)議7.2.2VPN的隧道協(xié)議3.IPSec協(xié)議3層協(xié)議,直接傳輸網(wǎng)絡(luò)協(xié)議數(shù)據(jù)包基于TCP/IP的標(biāo)準(zhǔn)協(xié)議,集成到IPv6中,僅僅傳輸IP協(xié)議數(shù)據(jù)包提供了強(qiáng)大的安全、加密、認(rèn)證和密鑰管理功能適合大規(guī)模VPN使用,需要認(rèn)證中心(CA)來進(jìn)行身份認(rèn)證和分發(fā)用戶的公共密鑰

IPSec數(shù)據(jù)包的格式

7.2VPN協(xié)議7.2.2VPN的隧道協(xié)議3.I7.2VPN協(xié)議7.2.2VPN的隧道協(xié)議3.IPSec協(xié)議(續(xù))

IPSec的工作模式傳輸模式:只對IP數(shù)據(jù)包的有效負(fù)載進(jìn)行加密或認(rèn)證。此時(shí),繼續(xù)使用以前的IP頭部,只對IP頭部的部分域進(jìn)行修改,而IPSec協(xié)議頭部插入到IP頭部和傳輸層頭部之間。隧道模式:對整個(gè)IP數(shù)據(jù)包進(jìn)行加密或認(rèn)證。此時(shí),需要新產(chǎn)生一個(gè)IP頭部,IPSec頭部被放在新產(chǎn)生的IP頭部和以前的IP數(shù)據(jù)包之間,從而組成一個(gè)新的IP頭部。7.2VPN協(xié)議7.2.2VPN的隧道協(xié)議3.I7.2VPN協(xié)議7.2.2VPN的隧道協(xié)議3.IPSec協(xié)議(續(xù))

IPSec的三個(gè)主要協(xié)議SA(SecurltyAssociation安全關(guān)聯(lián))。所謂安全關(guān)聯(lián)是指安全服務(wù)與它服務(wù)的載體之間的一個(gè)“連接”。AH和ESP都需要使用SA,而IKE的主要功能就是SA的建立和維護(hù)。只要實(shí)現(xiàn)AH和ESP都必須提供對SA的支持。

1)ESP(EncapsulatingSecurityPayload)。ESP協(xié)議主要用來處理對IP數(shù)據(jù)包的加密。ESP是與具體的加密算法相獨(dú)立的,幾乎支持各種對稱密鑰加密算法,默認(rèn)為3DES和DES。

2)AH(AuthenticationHeader)。AH只涉及到認(rèn)證,不涉及到加密。3)IKE(InternetKeyExchange)。IKE協(xié)議主要是對密鑰交換進(jìn)行管理,它主要包括三個(gè)功能:①對使用的協(xié)議、加密算法和密鑰進(jìn)行協(xié)商;②方便的密鑰交換機(jī)制(這可能需要周期性的進(jìn)行);③跟蹤對以上這些約定的實(shí)施。7.2VPN協(xié)議7.2.2VPN的隧道協(xié)議3.I負(fù)載安全封裝(ESP)認(rèn)證數(shù)據(jù):一個(gè)變長字段,也叫IntegrityCheckValue,由SA初始化時(shí)指定的算法來計(jì)算。長度=整數(shù)倍32位比特下一頭部:8比特,標(biāo)識(shí)認(rèn)證頭后面的下一個(gè)負(fù)載類型填充字段:8比特,大多數(shù)加密加密算法要求輸入數(shù)據(jù)包含整數(shù)各分組,因此需要填充負(fù)載數(shù)據(jù):包含由下一頭部字段給出的變長數(shù)據(jù)SPI:32比特,用于標(biāo)識(shí)有相同IP地址和相同安全協(xié)議的不同SA。由SA的創(chuàng)建者定義,只有邏輯意義ESP認(rèn)證ESP尾負(fù)載ESP頭IP頭填充(0~255字節(jié))下一頭部填充長度認(rèn)證數(shù)據(jù)(變長的)負(fù)載數(shù)據(jù)(變長的)序列號(hào)安全參數(shù)索引(SPI)填充長度:8比特,給出前面填充字段的長度,置0時(shí)表示沒有填充下一頭部填充長度認(rèn)證數(shù)據(jù)(變長的)填充(0~255字節(jié))負(fù)載數(shù)據(jù)(變長的)序列號(hào)安全參數(shù)索引(SPI)32位ESP頭部ESP尾部ESP認(rèn)證數(shù)據(jù)加密的認(rèn)證的序列號(hào):32比特,一個(gè)單項(xiàng)遞增的計(jì)數(shù)器,用于防止重放攻擊,SA建立之初初始化為0,序列號(hào)不允許重復(fù)負(fù)載安全封裝(ESP)認(rèn)證數(shù)據(jù):一個(gè)變長字段,也叫Integ傳輸模式下的ESP工作原理Internet負(fù)載IP頭部HostAHostBVPN網(wǎng)關(guān)VPN網(wǎng)關(guān)負(fù)載IP頭部經(jīng)過IPSec核心處理以后經(jīng)過IPSec核心處理以后ESP認(rèn)證ESP尾負(fù)載ESP頭IP頭加密數(shù)據(jù)認(rèn)證數(shù)據(jù)ESP認(rèn)證ESP尾負(fù)載ESP頭IP頭ESP認(rèn)證ESP尾負(fù)載ESP頭IP頭加密數(shù)據(jù)認(rèn)證數(shù)據(jù)傳輸模式下的ESP工作原理Internet負(fù)載IP頭通道模式下的ESP工作原理Internet負(fù)載IP頭HostAHostBVPN網(wǎng)關(guān)1VPN網(wǎng)關(guān)2負(fù)載IP頭經(jīng)過IPSec核心處理以后經(jīng)過IPSec核心處理以后SourceIP=VPN網(wǎng)關(guān)1DestinationIP=VPN網(wǎng)關(guān)2SourceIP=HostADestinationIP=HostB負(fù)載ESP認(rèn)證ESP尾IP頭ESP頭新IP頭負(fù)載ESP認(rèn)證ESP尾IP頭ESP頭新IP頭負(fù)載ESP認(rèn)證ESP尾IP頭ESP頭新IP頭通道模式下的ESP工作原理Internet負(fù)載IP認(rèn)證頭部(AH)保留負(fù)載長度認(rèn)證數(shù)據(jù)(完整性校驗(yàn)值ICV)變長序列號(hào)安全參數(shù)索引(SPI)下一頭部負(fù)載AH頭部IP頭部認(rèn)證數(shù)據(jù):一個(gè)變長字段,也叫IntegrityCheckValue,由SA初始化時(shí)指定的算法來計(jì)算。長度=整數(shù)倍32位比特保留負(fù)載長度認(rèn)證數(shù)據(jù)(完整性校驗(yàn)值ICV)變長序列號(hào)安全參數(shù)索引(SPI)下一頭部下一頭部:8比特,標(biāo)識(shí)認(rèn)證頭后面的下一個(gè)負(fù)載類型負(fù)載長度:8比特,表示以32比特為單位的AH頭部長度減2,Default=4保留字段:16比特,保留將來使用,Default=0SPI:32比特,用于標(biāo)識(shí)有相同IP地址和相同安全協(xié)議的不同SA。由SA的創(chuàng)建者定義,只有邏輯意義序列號(hào):32比特,一個(gè)單項(xiàng)遞增的計(jì)數(shù)器,用于防止重放攻擊,SA建立之初初始化為0,序列號(hào)不允許重復(fù)32位認(rèn)證頭部(AH)保留負(fù)載長度認(rèn)證數(shù)據(jù)序列號(hào)安全參數(shù)索引(SP傳輸模式下的AH認(rèn)證工作原理Internet負(fù)載IP頭部HostAHostBVPN網(wǎng)關(guān)VPN網(wǎng)關(guān)負(fù)載AH頭部IP頭部負(fù)載AH頭部IP頭部負(fù)載IP頭部經(jīng)過IPSec核心處理以后經(jīng)過IPSec核心處理以后負(fù)載AH頭部IP頭部傳輸模式下的AH認(rèn)證工作原理Internet負(fù)載IP通道模式下的AH認(rèn)證工作原理Internet負(fù)載IP頭HostAHostBVPN網(wǎng)關(guān)1VPN網(wǎng)關(guān)2負(fù)載IP頭經(jīng)過IPSec核心處理以后經(jīng)過IPSec核心處理以后負(fù)載IP頭AH頭新IP頭負(fù)載IP頭AH頭新IP頭負(fù)載IP頭AH頭新IP頭SourceIP=VPN網(wǎng)關(guān)1DestinationIP=VPN網(wǎng)關(guān)2SourceIP=HostADestinationIP=HostB通道模式下的AH認(rèn)證工作原理Internet負(fù)載IP7.2VPN協(xié)議7.2.3IPSecVPN系統(tǒng)的組成

IPSecVPN的實(shí)現(xiàn)包含管理模塊、密鑰分配和生成模塊、身份認(rèn)證模塊、數(shù)據(jù)加密/解密模塊、數(shù)據(jù)分組封裝/分解模塊和加密函數(shù)庫幾部分組成。7.2VPN協(xié)議7.2.3IPSecVPN系統(tǒng)的組組合IPSec協(xié)議Internet負(fù)載IP頭HostAHostBVPN網(wǎng)關(guān)1VPN網(wǎng)關(guān)2負(fù)載IP頭經(jīng)過IPSec核心處理以后經(jīng)過IPSec核心處理以后SourceIP=VPN網(wǎng)關(guān)1DestinationIP=VPN網(wǎng)關(guān)2SourceIP=HostADestinationIP=HostB內(nèi)IP頭ESP尾負(fù)載ESP頭AH頭外IP頭內(nèi)IP頭ESP尾負(fù)載ESP頭AH頭外IP頭內(nèi)IP頭ESP尾負(fù)載ESP頭AH頭外IP頭組合IPSec協(xié)議Internet負(fù)載IP頭HoESP認(rèn)證ESP尾負(fù)載ESP頭IP頭為什么還要AH協(xié)議負(fù)載IP頭部認(rèn)證數(shù)據(jù)AH頭部認(rèn)證數(shù)據(jù)AH協(xié)議ESP協(xié)議身份認(rèn)證數(shù)據(jù)加密數(shù)據(jù)完整性校驗(yàn)重放攻擊保護(hù)身份認(rèn)證數(shù)據(jù)完整性校驗(yàn)重放攻擊保護(hù)ESP可以取代AH嗎?ESP認(rèn)證ESP尾負(fù)載ESP頭IP頭為什么還要AH協(xié)議7.3VPN的類型

VPN的分類方法比較多,實(shí)際使用中,需要通過客戶端與服務(wù)器端的交互實(shí)現(xiàn)認(rèn)證與隧道建立?;诙?、三層的VPN,都需要安裝專門的客戶端系統(tǒng)(硬件或軟件),完成VPN相關(guān)的工作。一個(gè)VPN解決方案不僅僅是一個(gè)經(jīng)過加密的隧道,它包含訪問控制、認(rèn)證、加密、隧道傳輸、路由選擇、過濾、高可用性、服務(wù)質(zhì)量以及管理VPN系統(tǒng)大體分為4類專用的VPN硬件支持VPN的硬件或軟件防火墻VPN軟件VPN服務(wù)提供商7.3VPN的類型VPN的分類方法比較多,實(shí)際IPsec中AH與ESP安全協(xié)議

認(rèn)證標(biāo)頭(AH)提供:1.

數(shù)據(jù)源鑒別認(rèn)證

聯(lián)合數(shù)據(jù)完整性保護(hù)及在發(fā)送接收端使用共享密鑰來保證身份的真實(shí)性。2.

數(shù)據(jù)完整性保護(hù)通過對數(shù)據(jù)包長度進(jìn)行單向散列算法計(jì)算進(jìn)行保護(hù),使用MD5或SHA-1算法。在AH的傳輸模式下,AH散列算法計(jì)算范圍是整個(gè)數(shù)據(jù)包(包括IP報(bào)頭)中在傳輸過程中不改變的所有域。AH包頭被插入在IP報(bào)頭之后,ESP報(bào)頭(如果有)和其它高層協(xié)議之前。在AH的隧道模式下,AH散列算法計(jì)算整個(gè)原始數(shù)據(jù)包,并產(chǎn)生一個(gè)新的IP報(bào)頭(新IP報(bào)頭也在計(jì)算范圍內(nèi),除易變字段)。AH包頭被插入在新IP報(bào)頭之后。3.

可選的防重放保護(hù)通過要求接收方在報(bào)頭中設(shè)置重發(fā)比特位以表明包已被看到。封裝安全凈載(ESP)提供:1.私密性(加密)在IP層通過對數(shù)據(jù)包進(jìn)行加密來提供私密性。缺省使用DES,Cisco還提供3DES加密。3DES加密強(qiáng)度是DES的2倍。在ESP傳輸模式下,只有IP凈載被加密(不包括IP報(bào)頭、ESP報(bào)頭),ESP報(bào)頭被插入在IP報(bào)頭之后、上層協(xié)議報(bào)頭之前。在ESP隧道模式下,整個(gè)IP數(shù)據(jù)包被加密(不包括ESP報(bào)頭),并產(chǎn)生一個(gè)新的IP報(bào)頭,ESP報(bào)頭被插入在新IP報(bào)頭之后。在ESP中,先進(jìn)行加密后進(jìn)行鑒別。(防止DOS攻擊時(shí)更快)2.

有限的數(shù)據(jù)源鑒別認(rèn)證聯(lián)合數(shù)據(jù)完整性保護(hù)及在發(fā)送接收端使用共享密鑰來保證身份的真實(shí)性。(只有在ESP的隧道模式下可以對加密后的IP報(bào)頭進(jìn)行鑒別)3.

數(shù)據(jù)完整性保護(hù)ESP通過可選的鑒別域來提供數(shù)據(jù)包鑒別服務(wù)(HMAC),使用MD5和SHA-1算法。在ESP傳輸模式下,散列算法計(jì)算范圍是IP凈載及ESP報(bào)頭,IP報(bào)頭不被鑒別。在ESP隧道模式下,散列算法計(jì)算范圍是整個(gè)IP數(shù)據(jù)包及ESP報(bào)頭,新IP報(bào)頭不被鑒別。4.可選的防重放保護(hù)通過要求接收方在報(bào)頭中設(shè)置重發(fā)比特位以表明包已被看到。IPsec中AH與ESP安全協(xié)議

認(rèn)證標(biāo)頭(AH)提供:7.3VPN的類型7.3.1按VPN的應(yīng)用方式分類

VPN從應(yīng)用的方式上分,有兩種基本類型:撥號(hào)式VPN與專用式VPN。

撥號(hào)VPN分為兩種:在用戶PC機(jī)上或在服務(wù)提供商的網(wǎng)絡(luò)訪問服務(wù)器(NAS)上。

專用VPN有多種形式。IPVPN的發(fā)展促使骨干網(wǎng)建立VPN解決方案,形成了基于MPLS的IPVPN技術(shù)。MPLSVPN的優(yōu)點(diǎn)是全網(wǎng)統(tǒng)一管理的能力很強(qiáng),由于MPLSVPN是基于網(wǎng)絡(luò)的,全部的VPN網(wǎng)絡(luò)配置和VPN策略配置都在網(wǎng)絡(luò)端完成,可以大大降低管理維護(hù)的開銷。7.3VPN的類型7.3.1按VPN的應(yīng)用方式分類7.3VPN的類型7.3.2按VPN的應(yīng)用平臺(tái)分類

VPN的應(yīng)用平臺(tái)分為三類:軟件平臺(tái)、專用硬件平臺(tái)及輔助硬件平臺(tái)。

(1)軟件平臺(tái)VPN

當(dāng)對數(shù)據(jù)連接速率要求不高,對性能和安全性需求不強(qiáng)時(shí),可以利用一些軟件公司所提供的完全基于軟件的VPN產(chǎn)品來實(shí)現(xiàn)簡單的VPN功能。

(2)專用硬件平臺(tái)VPN

使用專用硬件平臺(tái)的VPN設(shè)備可以滿足企業(yè)和個(gè)人用戶對提高數(shù)據(jù)安全及通信性能的需求,尤其是從通信性能的角度來看,指定的硬件平臺(tái)可以完成數(shù)據(jù)加密及數(shù)據(jù)亂碼等對CPU處理能力需求很高的功能。提供這些平臺(tái)的硬件廠商比較多,如川大能士、Nortel、Cisco、3Com等。

(3)輔助硬件平臺(tái)VPN

這類VPN介于軟件平臺(tái)和指定硬件平臺(tái)之間,輔助硬件平臺(tái)的VPN主要是指以現(xiàn)有網(wǎng)絡(luò)設(shè)備為基礎(chǔ),再增添適當(dāng)?shù)腣PN軟件以實(shí)現(xiàn)VPN的功能。7.3VPN的類型7.3.2按VPN的應(yīng)用平臺(tái)分類7.3VPN的類型7.3.3按VPN的協(xié)議分類

按VPN協(xié)議方面來分類主要是指構(gòu)建VPN的隧道協(xié)議。VPN的隧道協(xié)議可分為第二層隧道協(xié)議、第三層隧道協(xié)議。第二層隧道協(xié)議最為典型的有PPTP、L2F、L2TP等,第三層隧道協(xié)議有GRE、IPSec等。

第二層隧道和第三層隧道的本質(zhì)區(qū)別在于,在隧道里傳輸?shù)挠脩魯?shù)據(jù)包是被封裝在哪一層的數(shù)據(jù)包中。第二層隧道協(xié)議和第三層隧道協(xié)議一般來說分別使用,但合理的運(yùn)用兩層協(xié)議,將具有更好的安全性。

7.3VPN的類型7.3.3按VPN的協(xié)議分類7.3VPN的類型7.3.4按VPN的服務(wù)類型分類

根據(jù)服務(wù)類型,VPN業(yè)務(wù)按用戶需求定義以下三種:InternetVPN、AccessVPN與ExtranetVPN。1)IntranetVPN(內(nèi)部網(wǎng)VPN)。即企業(yè)的總部與分支機(jī)構(gòu)間通過公網(wǎng)構(gòu)筑的虛擬網(wǎng)。這種類型的連接帶來的風(fēng)險(xiǎn)最小,因?yàn)楣就ǔUJ(rèn)為他們的分支機(jī)構(gòu)是可信的,并將它作為公司網(wǎng)絡(luò)的擴(kuò)展。內(nèi)部網(wǎng)VPN的安全性取決于兩個(gè)VPN服務(wù)器之間加密和驗(yàn)證手段上。7.3VPN的類型7.3.4按VPN的服務(wù)類型分類7.3VPN的類型7.3.4按VPN的服務(wù)類型分類

2)AccessVPN(遠(yuǎn)程訪問VPN)

又稱為撥號(hào)VPN(即VPDN),是指企業(yè)員工或企業(yè)的小分支機(jī)構(gòu)通過公網(wǎng)遠(yuǎn)程撥號(hào)的方式構(gòu)筑的虛擬網(wǎng)。典型的遠(yuǎn)程訪問VPN是用戶通過本地的信息服務(wù)提供商(ISP)登錄到因特網(wǎng)上,并在現(xiàn)在的辦公室和公司內(nèi)部網(wǎng)之間建立一條加密信道。7.3VPN的類型7.3.4按VPN的服務(wù)類型分類7.3VPN的類型7.3.4按VPN的服務(wù)類型分類

3)ExtranetVPN(外聯(lián)網(wǎng)VPN)

即企業(yè)間發(fā)生收購、兼并或企業(yè)間建立戰(zhàn)略聯(lián)盟后,使不同企業(yè)網(wǎng)通過公網(wǎng)來構(gòu)筑的虛擬網(wǎng)。它能保證包括TCP和UDP服務(wù)在內(nèi)的各種應(yīng)用服務(wù)的安全,如Email、HTTP、FTP、RealAudio、數(shù)據(jù)庫的安全以及一些應(yīng)用程序如Java、ActiveX的安全。7.3VPN的類型7.3.4按VPN的服務(wù)類型分類7.3VPN的類型7.3.5按VPN的部署模式分類

VPN可以通過部署模式來區(qū)分,部署模式從本質(zhì)上描述了VPN的通道是如何建立和終止的,一般有四種VPN部署模式。Host對HostHost對VPN網(wǎng)關(guān)VPN對VPN網(wǎng)關(guān)RemoteUser對VPN網(wǎng)關(guān)7.3VPN的類型7.3.5按VPN的部署模式分類Host對HostHost對VPN網(wǎng)關(guān)VPN對VPN網(wǎng)關(guān)RemoteUser對VPN網(wǎng)關(guān)Host對HostInternet公司BVPN網(wǎng)關(guān)AVPN網(wǎng)關(guān)B公司BHosttoHost模式:該模式要求兩邊主機(jī)都支持IPSecVPN網(wǎng)關(guān)可支持也可不支持IPSec安全通道安全通道安全通道主機(jī)必須支持IPSec主機(jī)必須支持IPSecGateway可支持也可不支持IPSecGateway可支持也可不支持IPSecHosttoHostHosttoHostInternet公司BVPN網(wǎng)關(guān)AVPN網(wǎng)關(guān)B公司BHostInternet公司BVPN網(wǎng)關(guān)AVPN網(wǎng)關(guān)B公司BHosttoVPN模式:該模式要求一邊的主機(jī)都支持IPSec另一邊的VPN網(wǎng)關(guān)必須支持IPSec安全通道安全通道主機(jī)必須支持IPSec主機(jī)可以不支持IPSecGateway可支持也可不支持IPSecGateway必須支持IPSec非安全通道HosttoVPNHosttoVPNGatewayInternet公司BVPN網(wǎng)關(guān)AVPN網(wǎng)關(guān)B公司BHostInternet公司BVPN網(wǎng)關(guān)AVPN網(wǎng)關(guān)B公司BVPNtoVPN模式:該模式不要求主機(jī)支持IPSec兩邊的VPN網(wǎng)關(guān)必須都支持IPSec非安全通道安全通道主機(jī)可以不支持IPSec主機(jī)可以不支持IPSecGateway必須支持IPSecGateway必須支持IPSec非安全通道VPNtoVPNVPNGatewaytoVPNGatewayInternet公司BVPN網(wǎng)關(guān)AVPN網(wǎng)關(guān)B公司BVPNInternet公司BISP接入服務(wù)器VPN網(wǎng)關(guān)B安全通道安全通道主機(jī)必須支持IPSecGateway必須支持IPSec非安全通道PSTNRemoteUsertoVPNGatewayInternet公司BISP接入服務(wù)器VPN網(wǎng)關(guān)B安全通道安InternetVPN網(wǎng)關(guān)B公司AAH4258ESP4259ESP5257AH5256SecurityProtocolDestinationAddressSPI5公司BSPD中的數(shù)據(jù)項(xiàng)類似于防火墻的配置規(guī)則45SourceAddress…………Others繞過、丟棄安全SecureService54DestinationAddress雙方使用ISAKMP/Oakley密鑰交換協(xié)議建立安全關(guān)聯(lián),產(chǎn)生或者刷新密鑰內(nèi)IP頭ESP尾負(fù)載ESP頭AH頭外IP頭負(fù)載IP頭4SAD中包含每一個(gè)SA的參數(shù)信息,如算法、密鑰等ESPAHESPAHSecurityProtocol……………………Others110001101010Key加密SHA-12583DESCBC259DESCBC4257加密MD5256AlgorithmSPI負(fù)載IP頭VPN網(wǎng)關(guān)A查找SPD數(shù)據(jù)庫決定為流入的IP數(shù)據(jù)提供那些安全服務(wù)查找對應(yīng)SA的參數(shù)要求建立安全相應(yīng)的關(guān)聯(lián)對原有數(shù)據(jù)包進(jìn)行相應(yīng)的安全處理建立SAD建立相應(yīng)的SA一個(gè)完整的VPN工作原理圖InternetVPN網(wǎng)關(guān)B公司AAH7.4SSLVPN簡介

SSLVPN使用SSL和代理技術(shù),向終端用戶提供對超文本傳送協(xié)議(HTTP)、客戶/服務(wù)器和文件共享等應(yīng)用授權(quán)安全訪問的一種遠(yuǎn)程訪問技術(shù),因此不需要安裝專門客戶端軟件。SSL協(xié)議是在網(wǎng)絡(luò)傳輸層上提供的基于RSA加密算法和保密密鑰的用于瀏覽器與Web服務(wù)器之間的安全連接技術(shù)。

SSLVPN部署和管理費(fèi)用低,在安全性和為用戶提供更多便利性方面,明顯優(yōu)于傳統(tǒng)IPSecVPN。SSLVPN是建立用戶和服務(wù)器之間的一條專用通道,在這條通道中傳輸?shù)臄?shù)據(jù)是不公開的數(shù)據(jù),因此必須要在安全的前提下進(jìn)行遠(yuǎn)程連接。

SSLVPN其安全性包含三層含義:一是客戶端接入的安全性;二是數(shù)據(jù)傳輸?shù)陌踩?;三是?nèi)部資源訪問的安全性。SSLVPN支持Web應(yīng)用的遠(yuǎn)程連接,包括基于TCP協(xié)議的B/S和C/S應(yīng)用,UDP應(yīng)用。SSLVPN的關(guān)鍵技術(shù)有代理和轉(zhuǎn)發(fā)技術(shù)、訪問控制、身份驗(yàn)證、審計(jì)日志。7.4SSLVPN簡介SSLVPN使用SS7.4.1SSLVPN的安全技術(shù)1.信息傳輸安全

1)通過瀏覽器對任何Internet可以連接的地方到遠(yuǎn)程應(yīng)用或數(shù)據(jù)間的所有通信進(jìn)行即時(shí)的SSL加密。

2)安全客戶端檢測,有效保護(hù)您的網(wǎng)絡(luò)免受特洛伊、病毒、蠕蟲或黑客的攻擊。含防火墻、反病毒防護(hù)、Windows升級、Windows服務(wù)、文件數(shù)字簽名、管理員選擇注冊表、IP地址等多方面的檢測功能。2.用戶認(rèn)證與授權(quán)

1)認(rèn)證。誰被允許登錄系統(tǒng),在遠(yuǎn)程用戶被允許登錄前進(jìn)行身份確認(rèn)。包括標(biāo)準(zhǔn)的用戶名+密碼方式、智能卡、RSA,還可使用CA證書。

2)授權(quán)。按角色劃分的權(quán)限訪問應(yīng)用程序、數(shù)據(jù)和其他一些資源,在服務(wù)器端通過劃分組、角色和應(yīng)用程序進(jìn)行集中管理。

3)審計(jì)。隨時(shí)了解用戶做了什么訪問。對每位用戶的活動(dòng)進(jìn)行追蹤、監(jiān)視并記錄日志。7.4SSLVPN簡介7.4.1SSLVPN的安全技術(shù)1.信息傳輸安全SSLVPN的功能與特點(diǎn)1.SSLVPN的基本功能

SSLVPN是一款專門針對B/S和C/S應(yīng)用的SSLVPN產(chǎn)品,具有以下完善實(shí)用的功能:

1)提供了基于SSL協(xié)議和數(shù)字證書的強(qiáng)身份認(rèn)證和安全傳輸通道。

2)提供了先進(jìn)的基于URL的訪問控制。

3)提供了SSL硬件加速的處理和后端應(yīng)用服務(wù)的負(fù)載平衡。

4)提供了基于加固的系統(tǒng)平臺(tái)和IDS技術(shù)的安全功能。7.4SSLVPN簡介2.SSLVPN系統(tǒng)協(xié)議

由SSL、HTTPS、SOCKS這3個(gè)協(xié)議相互協(xié)作共同實(shí)現(xiàn)。3.SSLVPN的特點(diǎn)

1)安裝簡單、易于操作,無需安裝客戶端軟件。

2)具有認(rèn)證加密、訪問控制、安全信息備份、負(fù)載平衡等功能。

3)使用標(biāo)準(zhǔn)的HTTPS協(xié)議傳輸數(shù)據(jù),可以穿越防火墻,不存在地址轉(zhuǎn)換的問題,而且不改變用戶網(wǎng)絡(luò)結(jié)構(gòu),適合復(fù)雜應(yīng)用環(huán)境。

7.4.2SSLVPN的功能與特點(diǎn)1.SSLVPN7.4.3SSLVPN的工作原理SSLVPN的工作原理可用以下幾個(gè)步驟來描述:

1)SSLVPN生成自己的根證書和服務(wù)器操作證書。

2)客戶端瀏覽器下載并導(dǎo)入SSLVPN的根證書。

3)通過管理界面對后端網(wǎng)站服務(wù)器設(shè)置訪問控制。

4)客戶端通過瀏覽器使用HTTPS協(xié)議訪問網(wǎng)站時(shí),SSLVPN接受請求,客戶端實(shí)現(xiàn)對SSLVPN服務(wù)器的認(rèn)證。

5)服務(wù)器端通過口令方式認(rèn)證客戶端。

6)客戶端瀏覽器和SSLVPN服務(wù)器端之間所有通信建立了SSL安全通道。7.4SSLVPN簡介7.4.3SSLVPN的工作原理SSLVPN的工作7.4.4SSLVPN的應(yīng)用模式及特點(diǎn)

SSLVPN的解決方案包括三種模式:◆Web瀏覽器模式◆SSLVPN客戶端模式◆LAN到LAN模式

WEB瀏覽器模式是SSLVPN的最大優(yōu)勢,它充分利用了當(dāng)前Web瀏覽器的內(nèi)置功能,來保護(hù)遠(yuǎn)程接入的安全,配置和使用都非常方便。SSLVPN已逐漸成為遠(yuǎn)程接入的主要手段之一。7.4SSLVPN簡介7.4.4SSLVPN的應(yīng)用模式及特點(diǎn)SSL7.4.4SSLVPN的應(yīng)用模式及特點(diǎn)7.4SSLVPN簡介1.Web瀏覽器模式的解決方案由于Web瀏覽器的廣泛部署,而且Web瀏覽器內(nèi)置了SSL協(xié)議,使得SSLVPN在這種模式下只要在SSLVPN服務(wù)器上集中配置安全策略,幾乎不用為客戶端做什么配置就可使用,大大減少了管理的工作量,方便用戶的使用。缺點(diǎn)是僅能保護(hù)Web通信傳輸安全。遠(yuǎn)程計(jì)算機(jī)使用Web瀏覽器通過SSLVPN服務(wù)器來訪問企業(yè)內(nèi)部網(wǎng)中的資源。

這種模式目前已廣泛使用于校園網(wǎng)、電子政務(wù)網(wǎng)中!7.4.4SSLVPN的應(yīng)用模式及特點(diǎn)7.4SS7.4.4SSLVPN的應(yīng)用模式及特點(diǎn)7.4SSLVPN簡介2.SSLVPN客戶端模式的解決方案SSLVPN客戶端模式為遠(yuǎn)程訪問提供安全保護(hù),用戶需要在客戶端安裝一個(gè)客戶端軟件,并做一些簡單的配置即可使用,不需對系統(tǒng)做改動(dòng)。這種模式的優(yōu)點(diǎn)是支持所有建立在TCP/IP和UDP/IP上的應(yīng)用通信傳輸?shù)陌踩?,Web瀏覽器也可以在這種模式下正常工作。這種模式的缺點(diǎn)是客戶端需要額外的開銷。

7.4.4SSLVPN的應(yīng)用模式及特點(diǎn)7.4SS7.4.4SSLVPN的應(yīng)用模式及特點(diǎn)7.4SSLVPN簡介3.LAN到LAN模式的解決方案LAN到LAN模式對LAN(局域網(wǎng))與LAN(局域網(wǎng))間的通信傳輸進(jìn)行安全保護(hù)。與基于IPSec協(xié)議的LAN到LAN的VPN相比,它的優(yōu)點(diǎn)就是擁有更多的訪問控制的方式,缺點(diǎn)是僅能保護(hù)應(yīng)用數(shù)據(jù)的安全,并且性能較低。

7.4.4SSLVPN的應(yīng)用模式及特點(diǎn)7.4SS7.5VPN的具體應(yīng)用用VPN連接分支機(jī)構(gòu)用VPN連接業(yè)務(wù)伙伴用VPN連接遠(yuǎn)程用戶7.5VPN的具體應(yīng)用用VPN連接分支機(jī)構(gòu)7.5.1用VPN連接分支機(jī)構(gòu)Internet分支機(jī)構(gòu)VPN網(wǎng)關(guān)AVPN網(wǎng)關(guān)B總部通道只需定義在兩邊的網(wǎng)關(guān)上Gateway必須支持IPSecGateway必須支持IPSec數(shù)據(jù)在這一段是認(rèn)證的數(shù)據(jù)在這一段是加密的ISPISP7.5.1用VPN連接分支機(jī)構(gòu)Internet分支機(jī)構(gòu)VP7.5.2用VPN連接合作伙伴Internet業(yè)務(wù)伙伴VPN網(wǎng)關(guān)AVPN網(wǎng)關(guān)B公司A主機(jī)必須支持IPSec主機(jī)必須支持IPSec通道建立在兩邊的主機(jī)之間,因?yàn)闃I(yè)務(wù)伙伴內(nèi)的主機(jī)不是都可以信任的數(shù)據(jù)在這一段是加密的數(shù)據(jù)在這一段是認(rèn)證的數(shù)據(jù)在這一段是認(rèn)證的數(shù)據(jù)在這一段是加密的數(shù)據(jù)在這一段是認(rèn)證的數(shù)據(jù)在這一段是加密的ISPISP7.5.2用VPN連接合作伙伴Internet業(yè)務(wù)伙伴VP7.5.3用VPN連接遠(yuǎn)程用戶Internet公司BISP接入服務(wù)器VPN網(wǎng)關(guān)B主機(jī)必須支持IPSecGateway必須支持IPSecPSTN數(shù)據(jù)在這一段是加密的數(shù)據(jù)在這一段是認(rèn)證的數(shù)據(jù)在這一段是加密的數(shù)據(jù)在這一段是認(rèn)證的通道建立在移動(dòng)用戶與公司內(nèi)部網(wǎng)的網(wǎng)關(guān)處7.5.3用VPN連接遠(yuǎn)程用戶Internet公司BISP7.6.1能士NesecSVPN的解決方案7.6應(yīng)用案例某系統(tǒng)網(wǎng)絡(luò)已建設(shè)完成,但因國家-省-市地-區(qū)縣四級網(wǎng)絡(luò)采用了不同的公網(wǎng)傳輸平臺(tái),又因區(qū)縣地域管轄原因,該行業(yè)網(wǎng)絡(luò)的部分區(qū)縣LAN融合于當(dāng)?shù)氐碾娮诱?wù)網(wǎng)中,也有部分區(qū)縣與當(dāng)?shù)仄渌块T網(wǎng)絡(luò)合作建設(shè)。存在問題:①各縣局雖然能訪問上級市局網(wǎng)絡(luò),卻不能訪問省局、國家局及其他省市局的網(wǎng)絡(luò)資源;②各縣局訪問所在市的服務(wù)器因?yàn)榻柚谑姓>W(wǎng),通過路由器訪問,其間并沒有采取任何安全措施,因此安全性無法得到保障。這樣的網(wǎng)絡(luò)現(xiàn)狀,不能實(shí)現(xiàn)互通,也就無法實(shí)現(xiàn)訪問及其他應(yīng)用。實(shí)際應(yīng)用中,通過能士VPN特有的虛擬地址管理功能有效解決了所有問題。

7.6.1能士NesecSVPN的解決方案7.6虛擬專用網(wǎng)絡(luò)(VPN)技術(shù)能士RVPN特色功能7.6應(yīng)用案例1)網(wǎng)絡(luò)互聯(lián)。支持星型網(wǎng)絡(luò)通過Internet進(jìn)行互聯(lián),網(wǎng)絡(luò)由RVPN-H和RVPN-B(P)共同組成。2)遠(yuǎn)程接入。移動(dòng)用戶通過Internet接入總部網(wǎng)絡(luò)??煞峙涮摂MIP。3)基于用戶名密碼的身份認(rèn)證,RVPN內(nèi)置RADIUS服務(wù)支持基于用戶名密碼的身份認(rèn)證,目前僅支持靜態(tài)密碼。該功能又名用戶管理。4)基于硬件綁定的身份證書認(rèn)證,提供基于PC硬件序號(hào)的身份認(rèn)證過程。使得只有指定計(jì)算機(jī)才能接入網(wǎng)絡(luò)。該功能又名硬件ID鑒權(quán)。5)加密。尋址加密使用DES,數(shù)據(jù)傳輸使用DES或AES。6)穿透NAT,支持分支或移動(dòng)穿透任何NAT設(shè)備。非直連Internet,支持總部安裝在NAT設(shè)備以內(nèi)。7)路由功能和動(dòng)態(tài)尋址8)包過濾防火墻功能,支持基于封包過濾的防火墻功能。9)NAT功能,支持正向動(dòng)態(tài)NAT,反向端口映射。10)Internet訪問控制,基于用戶的Internet訪問控制,限制非法用戶訪問非授權(quán)服務(wù)。防止攻擊類型:SYN和ICMP方式的DOS攻擊、碎片攻擊等。能士RVPN特色功能7.6應(yīng)用案例1)網(wǎng)絡(luò)互7.6.2Microsoft的解決方案7.6應(yīng)用案例

Microsoft的核心VPN技術(shù)是建立在PPTP的基礎(chǔ)之上的,Windows2000/XP軟件中已提供PPTP,可以用來在基于Windows環(huán)境下的TCP/IP網(wǎng)絡(luò)中利用RAS和PPP來實(shí)現(xiàn)VPN。

在Windows環(huán)境下,有兩種建立VPN的途徑:

1)一般情況下,可以通過撥號(hào)網(wǎng)絡(luò)連接到ISP,再通過Internet連接到一個(gè)連接Internet和遠(yuǎn)程網(wǎng)絡(luò)的PPTP服務(wù)器(裝有PPTP,協(xié)議的RAS服務(wù)器)。

2)一些ISP提供一種隧道連接服務(wù),可以使用撥號(hào)網(wǎng)絡(luò)直接連接到ISP的PPTP隧道服務(wù)器,然后使用PPTP隧道服務(wù)器建立與其他公共、企業(yè)局域網(wǎng)的隧道連接。

Microsoft解決方案的優(yōu)點(diǎn)是實(shí)現(xiàn)比較方便,成本較低。

7.6.2Microsoft的解決方案7.6應(yīng)用案虛擬專用網(wǎng)(VirtualPrivateNetwork,VPN)被定義為通過一個(gè)公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個(gè)臨時(shí)的、安全的連接,是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)不是真的專用網(wǎng)絡(luò),但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。隧道是一種利用公網(wǎng)設(shè)施,在一個(gè)網(wǎng)絡(luò)之中的“網(wǎng)絡(luò)”上傳輸數(shù)據(jù)的方法,被傳輸?shù)臄?shù)據(jù)可以是另一種協(xié)議的數(shù)據(jù)幀。VPN中的隧道是由隧道協(xié)議形成的,VPN使用的隧道協(xié)議主要有三種:點(diǎn)到點(diǎn)隧道協(xié)議(PPTP)、第二層隧道協(xié)議(L2TP)以及IPSec。根據(jù)不同的需求,本章給出了多種VPN類型的劃分法。IPSecVPN的組成。它與SSLVPN的區(qū)別。本章小結(jié)

虛擬專用網(wǎng)(VirtualPrivateNetw本章作業(yè)與實(shí)驗(yàn)

實(shí)驗(yàn):利用Windows2003Server建立VPN應(yīng)用系統(tǒng)。本章作業(yè)與實(shí)驗(yàn)實(shí)驗(yàn):第7章虛擬專用網(wǎng)絡(luò)(VPN)技術(shù)本章學(xué)習(xí)目標(biāo):了解VPN概念及基本功能掌握VPN的工作協(xié)議了解VPN的分類了解SSLVPN的概念與作用第7章虛擬專用網(wǎng)絡(luò)(VPN)技術(shù)本章學(xué)習(xí)目標(biāo):7.1VPN技術(shù)概述虛擬專用網(wǎng)(VirtualPrivateNetwork,VPN)被定義為通過一個(gè)公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個(gè)臨時(shí)的、安全的連接,是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。

7.1.1VPN的概念VPN依靠ISP(Internet服務(wù)提供商)和其他NSP(網(wǎng)絡(luò)服務(wù)提供商),在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在虛擬專用網(wǎng)中,任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路,而是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組成的。

VPN是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。一般以IP為主要通訊協(xié)議。

7.1VPN技術(shù)概述虛擬專用網(wǎng)(Virtual7.1VPN技術(shù)概述

VPN是在公網(wǎng)中形成的企業(yè)專用鏈路。采用“隧道”技術(shù),可以模仿點(diǎn)對點(diǎn)連接技術(shù),依靠Internet服務(wù)提供商(ISP)和其他的網(wǎng)絡(luò)服務(wù)提供商(NSP)在公用網(wǎng)中建立自己專用的“隧道”,讓數(shù)據(jù)包通過這條隧道傳輸。對于不同的信息來源,可分別給它們開出不同的隧道。

7.1.1VPN的概念(續(xù))7.1VPN技術(shù)概述VPN是在公網(wǎng)中形成的企業(yè)遠(yuǎn)程訪問Internet內(nèi)部網(wǎng)合作伙伴分支機(jī)構(gòu)虛擬私有網(wǎng)虛擬私有網(wǎng)虛擬私有網(wǎng)VPN是企業(yè)網(wǎng)在因特網(wǎng)上的延伸VPN的典型應(yīng)用遠(yuǎn)程訪問Internet內(nèi)部網(wǎng)合作伙伴分支機(jī)構(gòu)虛擬私有網(wǎng)虛擬7.1VPN技術(shù)概述

隧道是一種利用公網(wǎng)設(shè)施,在一個(gè)網(wǎng)絡(luò)之中的“網(wǎng)絡(luò)”上傳輸數(shù)據(jù)的方法。隧道協(xié)議利用附加的報(bào)頭封裝幀,附加的報(bào)頭提供了路由信息,因此封裝后的包能夠通過中間的公網(wǎng)。封裝后的包所途經(jīng)的公網(wǎng)的邏輯路徑稱為隧道。一旦封裝的幀到達(dá)了公網(wǎng)上的目的地,幀就會(huì)被解除封裝并被繼續(xù)送到最終目的地。

7.1.1VPN的概念(續(xù))①隧道開通器(TI);②有路由能力的公用網(wǎng)絡(luò);③一個(gè)或多個(gè)隧道終止器(TT);④必要時(shí)增加一個(gè)隧道交換機(jī)以增加靈活性。隧道基本要素7.1VPN技術(shù)概述隧道是一種利用公網(wǎng)設(shè)施,在7.1VPN技術(shù)概述7.1.2VPN的基本功能VPN的主要目的是保護(hù)傳輸數(shù)據(jù),是保護(hù)從信道的一個(gè)端點(diǎn)到另一端點(diǎn)傳輸?shù)男畔⒘?。信道的端點(diǎn)之前和之后,VPN不提供任何的數(shù)據(jù)包保護(hù)。VPN的基本功能至少應(yīng)包括:1)加密數(shù)據(jù)。以保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會(huì)泄露。2)信息驗(yàn)證和身份識(shí)別。保證信息的完整性、合理性,并能鑒別用戶的身份。3)提供訪問控制。不同的用戶有不同的訪問權(quán)限。4)地址管理。VPN方案必須能夠?yàn)橛脩舴峙鋵S镁W(wǎng)絡(luò)上的地址并確保地址的安全性。5)密鑰管理。VPN方案必須能夠生成并更新客戶端和服務(wù)器的加密密鑰。6)多協(xié)議支持。VPN方案必須支持公共因特網(wǎng)絡(luò)上普遍使用的基本協(xié)議,包括IP、IPX等。7.1VPN技術(shù)概述7.1.2VPN的基本功能7.1VPN技術(shù)概述7.1.3VPN的特性安全性隧道、加密、密鑰管理、數(shù)據(jù)包認(rèn)證、用戶認(rèn)證、訪問控制可靠性硬件、軟件、基礎(chǔ)網(wǎng)絡(luò)的可靠性可管理性記帳、審核、日志的管理是否支持集中的安全控制策略可擴(kuò)展性成本的可擴(kuò)展性,如使用令牌卡成本高性能,是否考慮采用硬件加速加解密速度7.1VPN技術(shù)概述7.1.3VPN的特性安全性7.1VPN技術(shù)概述7.1.3VPN的特性(續(xù))可用性系統(tǒng)對應(yīng)用盡量透明對終端用戶來說使用方便互操作性盡量采用標(biāo)準(zhǔn)協(xié)議,與其他供應(yīng)商的設(shè)備能互通服務(wù)質(zhì)量QoS通過Internet連接的VPN服務(wù)質(zhì)量很大程度取決于Internet的狀況多協(xié)議支持7.1VPN技術(shù)概述7.1.3VPN的特性(續(xù))可用Clue遠(yuǎn)程訪問Internet內(nèi)部網(wǎng)分支機(jī)構(gòu)安全網(wǎng)關(guān)安全網(wǎng)關(guān)ISP接入設(shè)備端到端數(shù)據(jù)通路的典型構(gòu)成撥入段外部段(公共因特網(wǎng))內(nèi)部段公司的內(nèi)部網(wǎng)絡(luò)7.1.4VPN的安全性Clue遠(yuǎn)程訪問Internet內(nèi)部網(wǎng)分支機(jī)構(gòu)安全網(wǎng)關(guān)安全網(wǎng)端到端數(shù)據(jù)通路中存在的安全風(fēng)險(xiǎn)撥入段數(shù)據(jù)泄漏風(fēng)險(xiǎn)因特網(wǎng)上數(shù)據(jù)泄漏的風(fēng)險(xiǎn)安全網(wǎng)關(guān)中數(shù)據(jù)泄漏的風(fēng)險(xiǎn)內(nèi)部網(wǎng)中數(shù)據(jù)泄漏的風(fēng)險(xiǎn)端到端數(shù)據(jù)通路中存在的安全風(fēng)險(xiǎn)撥入段數(shù)撥入段數(shù)據(jù)泄漏風(fēng)險(xiǎn)遠(yuǎn)程訪問ISP接入設(shè)備撥入段Internet撥入段用戶數(shù)據(jù)以明文方式直接傳遞到ISP:攻擊者可以很容易的在撥入鏈路上實(shí)施監(jiān)聽ISP很容易檢查用戶的數(shù)據(jù)可以通過鏈路加密來防止被動(dòng)的監(jiān)聽,但無法防范惡意竊取數(shù)據(jù)的ISP。PSTN搭線監(jiān)聽攻擊者ISPISP竊聽密文傳輸?shù)搅薎SP處已解密成明文明文傳輸撥入段數(shù)據(jù)泄漏風(fēng)險(xiǎn)遠(yuǎn)程訪問ISP接入設(shè)備撥入因特網(wǎng)上數(shù)據(jù)泄漏的風(fēng)險(xiǎn)Internet內(nèi)部網(wǎng)惡意修改通道終點(diǎn)到:假冒網(wǎng)關(guān)外部段(公共因特網(wǎng))ISP接入設(shè)備原始終點(diǎn)為:安全網(wǎng)關(guān)數(shù)據(jù)在到達(dá)終點(diǎn)之前要經(jīng)過許多路由器,明文傳輸?shù)膱?bào)文很容易在路由器上被查看和修改監(jiān)聽者可以在其中任一段鏈路上監(jiān)聽數(shù)據(jù)逐段加密不能防范在路由器上查看報(bào)文,因?yàn)槁酚善餍枰饷軋?bào)文選擇路由信息,然后再重新加密發(fā)送惡意的ISP可以修改通道的終點(diǎn)到一臺(tái)假冒的網(wǎng)關(guān)遠(yuǎn)程訪問搭線監(jiān)聽攻擊者ISPISP竊聽正確通道因特網(wǎng)上數(shù)據(jù)泄漏的風(fēng)險(xiǎn)Internet內(nèi)部安全網(wǎng)關(guān)中數(shù)據(jù)泄漏的風(fēng)險(xiǎn)Internet內(nèi)部網(wǎng)ISP接入設(shè)備遠(yuǎn)程訪問安全網(wǎng)關(guān)數(shù)據(jù)在安全網(wǎng)關(guān)中是明文的,因而網(wǎng)關(guān)管理員可以直接查看機(jī)密數(shù)據(jù)網(wǎng)關(guān)本身可能會(huì)受到攻擊,一旦被攻破,流經(jīng)安全網(wǎng)關(guān)的數(shù)據(jù)將面臨風(fēng)險(xiǎn)安全網(wǎng)關(guān)中數(shù)據(jù)泄漏的風(fēng)險(xiǎn)Internet內(nèi)Internet內(nèi)部網(wǎng)中數(shù)據(jù)泄漏的風(fēng)險(xiǎn)遠(yuǎn)程訪問內(nèi)部網(wǎng)安全網(wǎng)關(guān)ISP接入設(shè)備內(nèi)部段公司的內(nèi)部網(wǎng)絡(luò)內(nèi)部網(wǎng)中可能存在不信任的主機(jī)、路由器等內(nèi)部員工可以監(jiān)聽、篡改、重定向企業(yè)內(nèi)部網(wǎng)的數(shù)據(jù)報(bào)文來自企業(yè)網(wǎng)內(nèi)部員工的其他攻擊方式Internet內(nèi)部網(wǎng)中數(shù)據(jù)泄漏的風(fēng)險(xiǎn)遠(yuǎn)程7.2VPN協(xié)議VPN主要采用以下四項(xiàng)技術(shù)來保證安全:◆隧道技術(shù)◆加解密技術(shù)

◆密鑰管理技術(shù)◆使用者與設(shè)備身份認(rèn)證技術(shù)7.2.1VPN安全技術(shù)

加解密技術(shù)、密鑰管理技術(shù)、使用者與設(shè)備身份認(rèn)證技術(shù)在第四章已作介紹,VPN只是對這幾種技術(shù)的應(yīng)用。下面重點(diǎn)介紹隧道技術(shù)7.2VPN協(xié)議VPN主要采用以下四項(xiàng)技術(shù)來保7.2VPN協(xié)議7.2.2VPN的隧道協(xié)議

VPN中的隧道是由隧道協(xié)議形成的,VPN使用的隧道協(xié)議主要有三種:點(diǎn)到點(diǎn)隧道協(xié)議(PPTP)、第二層隧道協(xié)議(L2TP)以及IPSec。PPTP和L2TP集成在windows中,所以最常用。PPTP協(xié)議允許對IP、IPX或NetBEUI數(shù)據(jù)流進(jìn)行加密,然后封裝在IP包頭中通過企業(yè)IP網(wǎng)絡(luò)或公共因特網(wǎng)絡(luò)發(fā)送。L2TP協(xié)議允許對IP,IPX或NetBEUI數(shù)據(jù)流進(jìn)行加密,然后通過支持點(diǎn)對點(diǎn)數(shù)據(jù)報(bào)傳遞的任意網(wǎng)絡(luò)發(fā)送,如IP,X.25,幀中繼或ATM。IPSec隧道模式允許對IP負(fù)載數(shù)據(jù)進(jìn)行加密,然后封裝在IP包頭中通過企業(yè)IP網(wǎng)絡(luò)或公共IP因特網(wǎng)絡(luò)如Internet發(fā)送。7.2VPN協(xié)議7.2.2VPN的隧道協(xié)議7.2VPN協(xié)議7.2.2VPN的隧道協(xié)議NSRC、NDST是隧道端點(diǎn)設(shè)備的IP地址公網(wǎng)上路由時(shí)僅僅考慮NSRC、NDST原始數(shù)據(jù)包的DST、SRC對公網(wǎng)透明DSTSRCDATANDSTNSRCDSTSRCDATA7.2VPN協(xié)議7.2.2VPN的隧道協(xié)議NSR7.2VPN協(xié)議7.2.2VPN的隧道協(xié)議Point-to-PointTunnelProtocol,2層協(xié)議,需要把網(wǎng)絡(luò)協(xié)議包封裝到PPP包,PPP數(shù)據(jù)依靠PPTP協(xié)議傳輸PPTP通信時(shí),客戶機(jī)和服務(wù)器間有2個(gè)通道,一個(gè)通道是tcp1723端口的控制連接,另一個(gè)通道是傳輸GRE(GenericRoutingEncapsulation,通用路由封裝協(xié)議)PPP數(shù)據(jù)包的IP隧道PPTP沒有加密、認(rèn)證等安全措施,安全的加強(qiáng)通過PPP協(xié)議的MPPE(MicrosoftPoint-to-PointEncryption)實(shí)現(xiàn)windows中集成了PPTPServer和Client,適合中小企業(yè)支持少量移動(dòng)工作者如果有防火墻的存在或使用了地址轉(zhuǎn)換,PPTP可能無法工作1.點(diǎn)到點(diǎn)隧道協(xié)議(PPTP)7.2VPN協(xié)議7.2.2VPN的隧道協(xié)議Poi7.2VPN協(xié)議7.2.2VPN的隧道協(xié)議把網(wǎng)絡(luò)數(shù)據(jù)包封裝在PPP協(xié)議中,PPP協(xié)議的數(shù)據(jù)包放到隧道中傳輸L2TPRFC2661定義在Cisco公司的L2F和PPTP的基礎(chǔ)上開發(fā)windows中集成2.第二層隧道協(xié)議(L2TP)7.2VPN協(xié)議7.2.2VPN的隧道協(xié)議把網(wǎng)絡(luò)7.2VPN協(xié)議7.2.2VPN的隧道協(xié)議3.IPSec協(xié)議3層協(xié)議,直接傳輸網(wǎng)絡(luò)協(xié)議數(shù)據(jù)包基于TCP/IP的標(biāo)準(zhǔn)協(xié)議,集成到IPv6中,僅僅傳輸IP協(xié)議數(shù)據(jù)包提供了強(qiáng)大的安全、加密、認(rèn)證和密鑰管理功能適合大規(guī)模VPN使用,需要認(rèn)證中心(CA)來進(jìn)行身份認(rèn)證和分發(fā)用戶的公共密鑰

IPSec數(shù)據(jù)包的格式

7.2VPN協(xié)議7.2.2VPN的隧道協(xié)議3.I7.2VPN協(xié)議7.2.2VPN的隧道協(xié)議3.IPSec協(xié)議(續(xù))

IPSec的工作模式傳輸模式:只對IP數(shù)據(jù)包的有效負(fù)載進(jìn)行加密或認(rèn)證。此時(shí),繼續(xù)使用以前的IP頭部,只對IP頭部的部分域進(jìn)行修改,而IPSec協(xié)議頭部插入到IP頭部和傳輸層頭部之間。隧道模式:對整個(gè)IP數(shù)據(jù)包進(jìn)行加密或認(rèn)證。此時(shí),需要新產(chǎn)生一個(gè)IP頭部,IPSec頭部被放在新產(chǎn)生的IP頭部和以前的IP數(shù)據(jù)包之間,從而組成一個(gè)新的IP頭部。7.2VPN協(xié)議7.2.2VPN的隧道協(xié)議3.I7.2VPN協(xié)議7.2.2VPN的隧道協(xié)議3.IPSec協(xié)議(續(xù))

IPSec的三個(gè)主要協(xié)議SA(SecurltyAssociation安全關(guān)聯(lián))。所謂安全關(guān)聯(lián)是指安全服務(wù)與它服務(wù)的載體之間的一個(gè)“連接”。AH和ESP都需要使用SA,而IKE的主要功能就是SA的建立和維護(hù)。只要實(shí)現(xiàn)AH和ESP都必須提供對SA的支持。

1)ESP(EncapsulatingSecurityPayload)。ESP協(xié)議主要用來處理對IP數(shù)據(jù)包的加密。ESP是與具體的加密算法相獨(dú)立的,幾乎支持各種對稱密鑰加密算法,默認(rèn)為3DES和DES。

2)AH(AuthenticationHeader)。AH只涉及到認(rèn)證,不涉及到加密。3)IKE(InternetKeyExchange)。IKE協(xié)議主要是對密鑰交換進(jìn)行管理,它主要包括三個(gè)功能:①對使用的協(xié)議、加密算法和密鑰進(jìn)行協(xié)商;②方便的密鑰交換機(jī)制(這可能需要周期性的進(jìn)行);③跟蹤對以上這些約定的實(shí)施。7.2VPN協(xié)議7.2.2VPN的隧道協(xié)議3.I負(fù)載安全封裝(ESP)認(rèn)證數(shù)據(jù):一個(gè)變長字段,也叫IntegrityCheckValue,由SA初始化時(shí)指定的算法來計(jì)算。長度=整數(shù)倍32位比特下一頭部:8比特,標(biāo)識(shí)認(rèn)證頭后面的下一個(gè)負(fù)載類型填充字段:8比特,大多數(shù)加密加密算法要求輸入數(shù)據(jù)包含整數(shù)各分組,因此需要填充負(fù)載數(shù)據(jù):包含由下一頭部字段給出的變長數(shù)據(jù)SPI:32比特,用于標(biāo)識(shí)有相同IP地址和相同安全協(xié)議的不同SA。由SA的創(chuàng)建者定義,只有邏輯意義ESP認(rèn)證ESP尾負(fù)載ESP頭IP頭填充(0~255字節(jié))下一頭部填充長度認(rèn)證數(shù)據(jù)(變長的)負(fù)載數(shù)據(jù)(變長的)序列號(hào)安全參數(shù)索引(SPI)填充長度:8比特,給出前面填充字段的長度,置0時(shí)表示沒有填充下一頭部填充長度認(rèn)證數(shù)據(jù)(變長的)填充(0~255字節(jié))負(fù)載數(shù)據(jù)(變長的)序列號(hào)安全參數(shù)索引(SPI)32位ESP頭部ESP尾部ESP認(rèn)證數(shù)據(jù)加密的認(rèn)證的序列號(hào):32比特,一個(gè)單項(xiàng)遞增的計(jì)數(shù)器,用于防止重放攻擊,SA建立之初初始化為0,序列號(hào)不允許重復(fù)負(fù)載安全封裝(ESP)認(rèn)證數(shù)據(jù):一個(gè)變長字段,也叫Integ傳輸模式下的ESP工作原理Internet負(fù)載IP頭部HostAHostBVPN網(wǎng)關(guān)VPN網(wǎng)關(guān)負(fù)載IP頭部經(jīng)過IPSec核心處理以后經(jīng)過IPSec核心處理以后ESP認(rèn)證ESP尾負(fù)載ESP頭IP頭加密數(shù)據(jù)認(rèn)證數(shù)據(jù)ESP認(rèn)證ESP尾負(fù)載ESP頭IP頭ESP認(rèn)證ESP尾負(fù)載ESP頭IP頭加密數(shù)據(jù)認(rèn)證數(shù)據(jù)傳輸模式下的ESP工作原理Internet負(fù)載IP頭通道模式下的ESP工作原理Internet負(fù)載IP頭HostAHostBVPN網(wǎng)關(guān)1VPN網(wǎng)關(guān)2負(fù)載IP頭經(jīng)過IPSec核心處理以后經(jīng)過IPSec核心處理以后SourceIP=VPN網(wǎng)關(guān)1DestinationIP=VPN網(wǎng)關(guān)2SourceIP=HostADestinationIP=HostB負(fù)載ESP認(rèn)證ESP尾IP頭ESP頭新IP頭負(fù)載ESP認(rèn)證ESP尾IP頭ESP頭新IP頭負(fù)載ESP認(rèn)證ESP尾IP頭ESP頭新IP頭通道模式下的ESP工作原理Internet負(fù)載IP認(rèn)證頭部(AH)保留負(fù)載長度認(rèn)證數(shù)據(jù)(完整性校驗(yàn)值ICV)變長序列號(hào)安全參數(shù)索引(SPI)下一頭部負(fù)載AH頭部IP頭部認(rèn)證數(shù)據(jù):一個(gè)變長字段,也叫IntegrityCheckValue,由SA初始化時(shí)指定的算法來計(jì)算。長度=整數(shù)倍32位比特保留負(fù)載長度認(rèn)證數(shù)據(jù)(完整性校驗(yàn)值ICV)變長序列號(hào)安全參數(shù)索引(SPI)下一頭部下一頭部:8比特,標(biāo)識(shí)認(rèn)證頭后面的下一個(gè)負(fù)載類型負(fù)載長度:8比特,表示以32比特為單位的AH頭部長度減2,Default=4保留字段:16比特,保留將來使用,Default=0SPI:32比特,用于標(biāo)識(shí)有相同IP地址和相同安全協(xié)議的不同SA。由SA的創(chuàng)建者定義,只有邏輯意義序列號(hào):32比特,一個(gè)單項(xiàng)遞增的計(jì)數(shù)器,用于防止重放攻擊,SA建立之初初始化為0,序列號(hào)不允許重復(fù)32位認(rèn)證頭部(AH)保留負(fù)載長度認(rèn)證數(shù)據(jù)序列號(hào)安全參數(shù)索引(SP傳輸模式下的AH認(rèn)證工作原理Internet負(fù)載IP頭部HostAHostBVPN網(wǎng)關(guān)VPN網(wǎng)關(guān)負(fù)載AH頭部IP頭部負(fù)載AH頭部IP頭部負(fù)載IP頭部經(jīng)過IPSec核心處理以后經(jīng)過IPSec核心處理以后負(fù)載AH頭部IP頭部傳輸模式下的AH認(rèn)證工作原理Internet負(fù)載IP通道模式下的AH認(rèn)證工作原理Internet負(fù)載IP頭HostAHostBVPN網(wǎng)關(guān)1VPN網(wǎng)關(guān)2負(fù)載IP頭經(jīng)過IPSec核心處理以后經(jīng)過IPSec核心處理以后負(fù)載IP頭AH頭新IP頭負(fù)載IP頭AH頭新IP頭負(fù)載IP頭AH頭新IP頭SourceIP=VPN網(wǎng)關(guān)1DestinationIP=VPN網(wǎng)關(guān)2SourceIP=HostADestinationIP=HostB通道模式下的AH認(rèn)證工作原理Internet負(fù)載IP7.2VPN協(xié)議7.2.3IPSecVPN系統(tǒng)的組成

IPSecVPN的實(shí)現(xiàn)包含管理模塊、密鑰分配和生成模塊、身份認(rèn)證模塊、數(shù)據(jù)加密/解密模塊、數(shù)據(jù)分組封裝/分解模塊和加密函數(shù)庫幾部分組成。7.2VPN協(xié)議7.2.3IPSecVPN系統(tǒng)的組組合IPSec協(xié)議Internet負(fù)載IP頭HostAHostBVPN網(wǎng)關(guān)1VPN網(wǎng)關(guān)2負(fù)載IP頭經(jīng)過IPSec核心處理以后經(jīng)過IPSec核心處理以后SourceIP=VPN網(wǎng)關(guān)1DestinationIP=VPN網(wǎng)關(guān)2SourceIP=HostADestinationIP=HostB內(nèi)IP頭ESP尾負(fù)載ESP頭AH頭外IP頭內(nèi)IP頭ESP尾負(fù)載ESP頭AH頭外IP頭內(nèi)IP頭ESP尾負(fù)載ESP頭AH頭外IP頭組合IPSec協(xié)議Internet負(fù)載IP頭HoESP認(rèn)證ESP尾負(fù)載ESP頭IP頭為什么還要AH協(xié)議負(fù)載IP頭部認(rèn)證數(shù)據(jù)AH頭部認(rèn)證數(shù)據(jù)AH協(xié)議ESP協(xié)議身份認(rèn)證數(shù)據(jù)加密數(shù)據(jù)完整性校驗(yàn)重放攻擊保護(hù)身份認(rèn)證數(shù)據(jù)完整性校驗(yàn)重放攻擊保護(hù)ESP可以取代AH嗎?ESP認(rèn)證ESP尾負(fù)載ESP頭IP頭為什么還要AH協(xié)議7.3VPN的類型

VPN的分類方法比較多,實(shí)際使用中,需要通過客戶端與服務(wù)器端的交互實(shí)現(xiàn)認(rèn)證與隧道建立。基于二層、三層的VPN,都需要安裝專門的客戶端系統(tǒng)(硬件或軟件),完成VPN相關(guān)的工作。一個(gè)VPN解決方案不僅僅是一個(gè)經(jīng)過加密的隧道,它包含訪問控制、認(rèn)證、加密、隧道傳輸、路由選擇、過濾、高可用性、服務(wù)質(zhì)量以及管理VPN系統(tǒng)大體分為4類專用的VPN硬件支持VPN的硬件或軟件防火墻VPN軟件VPN服務(wù)提供商7.3VPN的類型VPN的分類方法比較多,實(shí)際IPsec中AH與ESP安全協(xié)議

認(rèn)證標(biāo)頭(AH)提供:1.

數(shù)據(jù)源鑒別認(rèn)證

聯(lián)合數(shù)據(jù)完整性保護(hù)及在發(fā)送接收端使用共享密鑰來保證身份的真實(shí)性。2.

數(shù)據(jù)完整性保護(hù)通過對數(shù)據(jù)包長度進(jìn)行單向散列算法計(jì)算進(jìn)行保護(hù),使用MD5或SHA-1算法。在AH的傳輸模式下,AH散列算法計(jì)算范圍是整個(gè)數(shù)據(jù)包(包括IP報(bào)頭)中在傳輸過程中不改變的所有域。AH包頭被插入在IP報(bào)頭之后,ESP報(bào)頭(如果有)和其它高層協(xié)議之前。在AH的隧道模式下,AH散列算法計(jì)算整個(gè)原始數(shù)據(jù)包,并產(chǎn)生一個(gè)新的IP報(bào)頭(新IP報(bào)頭也在計(jì)算范圍內(nèi),除易變字段)。AH包頭被插入在新IP報(bào)頭之后。3.

可選的防重放保護(hù)通過要求接收方在報(bào)頭中設(shè)置重發(fā)比特位以表明包已被看到。封裝安全凈載(ESP)提供:1.私密性(加密)在IP層通過對數(shù)據(jù)包進(jìn)行加密來提供私密性。缺省使用DES,Cisco還提供3DES加密。3DES加密強(qiáng)度是DES的2倍。在ESP傳輸模式下,只有IP凈載被加密(不包括IP報(bào)頭、ESP報(bào)頭),ESP報(bào)頭被插入在IP報(bào)頭之后、上層協(xié)議報(bào)頭之前。在ESP隧道模式下,整個(gè)IP數(shù)據(jù)包被加密(不包括ESP報(bào)頭),并產(chǎn)生一個(gè)新的IP報(bào)頭,ESP報(bào)頭被插入在新IP報(bào)頭之后。在ESP中,先進(jìn)行加密后進(jìn)行鑒別。(防止DOS攻擊時(shí)更快)2.

有限的數(shù)據(jù)源鑒別認(rèn)證聯(lián)合數(shù)據(jù)完整性保護(hù)及在發(fā)送接收端使用共享密鑰來保證身份的真實(shí)性。(只有在ESP的隧道模式下可以對加密后的IP報(bào)頭進(jìn)行鑒別)3.

數(shù)據(jù)完整性保護(hù)ESP通過可選的鑒別域來提供數(shù)據(jù)包鑒別服務(wù)(HMAC),使用MD5和SHA-1算法。在ESP傳輸模式下,散列算法計(jì)算范圍是IP凈載及ESP報(bào)頭,IP報(bào)頭不被鑒別。在ESP隧道模式下,散列算法計(jì)算范圍是整個(gè)IP數(shù)據(jù)包及ESP報(bào)頭,新IP報(bào)頭不被鑒別。4.可選的防重放保護(hù)通過要求接收方在報(bào)頭中設(shè)置重發(fā)比特位以表明包已被看到。IPsec中AH與ESP安全協(xié)議

認(rèn)證標(biāo)頭(AH)提供:7.3VPN的類型7.3.1按VPN的應(yīng)用方式分類

VPN從應(yīng)用的方式上分,有兩種基本類型:撥號(hào)式VPN與專用式VPN。

撥號(hào)VPN分為兩種:在用戶PC機(jī)上或在服務(wù)提供商的網(wǎng)絡(luò)訪問服務(wù)器(NAS)上。

專用VPN有多種形式。IPVPN的發(fā)展促使骨干網(wǎng)建立VPN解決方案,形成了基于MPLS的IPVPN技術(shù)。MPLSVPN的優(yōu)點(diǎn)是全網(wǎng)統(tǒng)一管理的能力很強(qiáng),由于MPLSVPN是基于網(wǎng)絡(luò)的,全部的VPN網(wǎng)絡(luò)配置和VPN策略配置都在網(wǎng)絡(luò)端完成,可以大大降低管理維護(hù)的開銷。7.3VPN的類型7.3.1按VPN的應(yīng)用方式分類7.3VPN的類型7.3.2按VPN的應(yīng)用平臺(tái)分類

VPN的應(yīng)用平臺(tái)分為三類:軟件平臺(tái)、專用硬件平臺(tái)及輔助硬件平臺(tái)。

(1)軟件平臺(tái)VPN

當(dāng)對數(shù)據(jù)連接速率要求不高,對性能和安全性需求不強(qiáng)時(shí),可以利用一些軟件公司所提供的完全基于軟件的VPN產(chǎn)品來實(shí)現(xiàn)簡單的VPN功能。

(2)專用硬件平臺(tái)VPN

使用專用硬件平臺(tái)的VPN設(shè)備可以滿足企業(yè)和個(gè)人用戶對提高數(shù)據(jù)安全及通信性能的需求,尤其是從通信性能的角度來看,指定的硬件平臺(tái)可以完成數(shù)據(jù)加密及數(shù)據(jù)亂碼等對CPU處理能力需求很高的功能。提供這些平臺(tái)的硬件廠商比較多,如川大能士、Nortel、Cisco、3Com等。

(3)輔助硬件平臺(tái)VPN

這類VPN介于軟件平臺(tái)和指定硬件平臺(tái)之間,輔助硬件平臺(tái)的VPN主要是指以現(xiàn)有網(wǎng)絡(luò)設(shè)備為基礎(chǔ),再增添適當(dāng)?shù)腣PN軟件以實(shí)現(xiàn)VPN的功能。7.3VPN的類型7.3.2按VPN的應(yīng)用平臺(tái)分類7.3VPN的類型7.3.3按VPN的協(xié)議分類

按VPN協(xié)議方面來分類主要是指構(gòu)建VPN的隧道協(xié)議。VPN的隧道協(xié)議可分為第二層隧道協(xié)議、第三層隧道協(xié)議。第二層隧道協(xié)議最為典型的有PPTP、L2F、L2TP等,第三層隧道協(xié)議有GRE、IPSec等。

第二層隧道和第三層隧道的本質(zhì)區(qū)別在于,在隧道里傳輸?shù)挠脩魯?shù)據(jù)包是被封裝在哪一層的數(shù)據(jù)包中。第二層隧道協(xié)議和第三層隧道協(xié)議一般來說分別使用,但合理的運(yùn)用兩層協(xié)議,將具有更好的安全性。

7.3VPN的類型7.3.3按VPN的協(xié)議分類7.3VPN的類型7.3.4按VPN的服務(wù)類型分類

根據(jù)服務(wù)類型,VPN業(yè)務(wù)按用戶需求定義以下三種:InternetVPN、AccessVPN與ExtranetVPN。1)IntranetVPN(內(nèi)部網(wǎng)VPN)。即企業(yè)的總部與分支機(jī)構(gòu)間通過公網(wǎng)構(gòu)筑的虛擬網(wǎng)。這種類型的連接帶來的風(fēng)險(xiǎn)最小,因?yàn)楣就ǔUJ(rèn)為他們的分支機(jī)構(gòu)是可信的,并將它作為公司網(wǎng)絡(luò)的擴(kuò)展。內(nèi)部網(wǎng)VPN的安全性取決于兩個(gè)VPN服務(wù)器之間加密和驗(yàn)證手段上。7.3VPN的類型7.3.4按VPN的服務(wù)類型分類7.3VPN的類型7.3.4按VPN的服務(wù)類型分類

2)AccessVPN(遠(yuǎn)程訪問VPN)

又稱為撥號(hào)VPN(即VPDN),是指企業(yè)員工或企業(yè)的小分支機(jī)構(gòu)通過公網(wǎng)遠(yuǎn)程撥號(hào)的方式構(gòu)筑的虛擬網(wǎng)。典型的遠(yuǎn)程訪問VPN是用戶通過本地的信息服務(wù)提供商(ISP)登錄到因特網(wǎng)上,并在現(xiàn)在的辦公室和公司內(nèi)部網(wǎng)之間建立一條加密信道。7.3VPN的類型7.3.4按VPN的服務(wù)類型分類7.3VPN的類型7.3.4按VPN的服務(wù)類型分類

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論