《信息安全技术-第7章-虚拟专用网ppt课件.ppt》由会员分享,可在线阅读,更多相关《信息安全技术-第7章-虚拟专用网ppt课件.ppt(49页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第第7章章 虚拟专用网虚拟专用网2u 本章概要本章概要本章针对虚拟专用网技术展开讲述,内容包括:本章针对虚拟专用网技术展开讲述,内容包括:p 虚拟专用网的作用;虚拟专用网的作用;p 虚拟专用网的分类方法;虚拟专用网的分类方法;p 虚拟专用网的工作原理;虚拟专用网的工作原理;p 虚拟专用网常用协议。虚拟专用网常用协议。u 课程目标课程目标通过本章的学习,读者应能够:通过本章的学习,读者应能够:p 了解虚拟专用网的应用范围和分类;了解虚拟专用网的应用范围和分类;p 了解虚拟专用网的工作原理。了解虚拟专用网的工作原理。37.1 虚拟专用网的基本概念虚拟专用网的基本概念47.1.1 什么是虚拟专用网?
2、什么是虚拟专用网? 随着企业网应用的不断扩大,企业网的范围也不断扩大,随着企业网应用的不断扩大,企业网的范围也不断扩大,从本地到跨地区、跨城市,甚至是跨国家的网络。但采用传从本地到跨地区、跨城市,甚至是跨国家的网络。但采用传统的广域网建立企业专网,往往需要租用昂贵的跨地区数字统的广域网建立企业专网,往往需要租用昂贵的跨地区数字专线。同时公众信息网专线。同时公众信息网(Internet)已遍布各地,物理上各地的已遍布各地,物理上各地的公众信息网都是连通的,但公众信息网是对社会开放的,如公众信息网都是连通的,但公众信息网是对社会开放的,如果企业的信息要通过公众信息网进行传输,在安全性上存在果企业的
3、信息要通过公众信息网进行传输,在安全性上存在着很多问题。那么,该如何利用现有的公众信息网建立安全着很多问题。那么,该如何利用现有的公众信息网建立安全的企业专有网络呢?为了解决上述问题,人们提出了虚拟专的企业专有网络呢?为了解决上述问题,人们提出了虚拟专用网用网(VPN,Virtual Private Network)的概念。的概念。5 虚拟专用网虚拟专用网VPN(Virtual Private Network)技术)技术是指在公共网络中建立专用网络,数据通过安全的是指在公共网络中建立专用网络,数据通过安全的“加加密管道密管道”在公共网络中传播。在公共网络中传播。InternetVPN通道通道隧
4、道交换机隧道交换机移动用户移动用户VPN的基本概念的基本概念图7.1 虚拟专用网6 VPN技术是指在公共网络中建立专用网络,数据通过安技术是指在公共网络中建立专用网络,数据通过安全的全的“加密管道加密管道”在公共网络中传播。企业只需要租用本地在公共网络中传播。企业只需要租用本地的数据专线,连接上本地的公众信息网,各地的机构就可以的数据专线,连接上本地的公众信息网,各地的机构就可以互相传递信息互相传递信息;同时,企业还可以利用公众信息网的拨号接入同时,企业还可以利用公众信息网的拨号接入设备,让自己的用户拨号到公众信息网上。就可以连接进入设备,让自己的用户拨号到公众信息网上。就可以连接进入企业网中
5、。一使用企业网中。一使用VPN有节省成本、提供远程访问、扩展性有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处,是企业网络发展的趋强、便于管理和实现全面控制等好处,是企业网络发展的趋势。势。77.1.2VPN的功能的功能. 虚拟专网的重点在于建立安全的数据通道,构造这条安全虚拟专网的重点在于建立安全的数据通道,构造这条安全通道的协议必须具备以下条件:保证数据的真实性,通信主机通道的协议必须具备以下条件:保证数据的真实性,通信主机必须是经过授权的,要有抵抗地址冒认必须是经过授权的,要有抵抗地址冒认(IPSpoofing)的能力;的能力;l 保证数据的完整性,接收到的数据必须与发送
6、时的一致,要有保证数据的完整性,接收到的数据必须与发送时的一致,要有抵抗不法分子篡改数据的能力;抵抗不法分子篡改数据的能力;l 保证通道的机密性,提供强有力的加密手段,必须使偷听者不保证通道的机密性,提供强有力的加密手段,必须使偷听者不能破解拦截到的通道数据;能破解拦截到的通道数据;l 提供动态密钥交换功能,提供密钥中心管理服务器,必须具备提供动态密钥交换功能,提供密钥中心管理服务器,必须具备防止数据重演防止数据重演(Replay)的功能,保证通道不能被重演;的功能,保证通道不能被重演;l 提供安全防护措施和访问控制,要有抵抗黑客通过提供安全防护措施和访问控制,要有抵抗黑客通过VPN通道攻通道
7、攻击企业网络的能力,并且可以对击企业网络的能力,并且可以对VPN通道进行访问控制通道进行访问控制(Access Control)。一一 虚拟专用网概述虚拟专用网概述VPNVPN实际上是一种服务,其基本概念如下所述:实际上是一种服务,其基本概念如下所述: 采用加密和认证技术,利用公共通信采用加密和认证技术,利用公共通信网络设施的一部分来发送专用信息,为网络设施的一部分来发送专用信息,为相互通信的节点建立一个相对封闭的、相互通信的节点建立一个相对封闭的、逻辑的专用网络逻辑的专用网络一一 虚拟专用网概述虚拟专用网概述VPNVPN实际上是一种服务,其基本概念如下所述:实际上是一种服务,其基本概念如下所
8、述: 通常用于大型组织跨地域的各个机构通常用于大型组织跨地域的各个机构之间的联网信息交换,或是流动工作人之间的联网信息交换,或是流动工作人员与总部之间的通信;员与总部之间的通信;一一 虚拟专用网概述虚拟专用网概述VPNVPN实际上是一种服务,其基本概念如下所述:实际上是一种服务,其基本概念如下所述: 只允许特定利益集团内建立对等连接,只允许特定利益集团内建立对等连接,保证在网络中传输的数据的保密性和安全保证在网络中传输的数据的保密性和安全性。性。一一 虚拟专用网概述虚拟专用网概述 其中虚拟其中虚拟(virtual)(virtual)的概念是相对传统专用网的概念是相对传统专用网络的构建方式而言的
9、,对于广域网连接,传统络的构建方式而言的,对于广域网连接,传统的组网方式是通过远程拨号和专线连接来实现的组网方式是通过远程拨号和专线连接来实现的,而的,而VPNVPN是利用服务提供商是利用服务提供商(ISP(ISP或或NSP)NSP)所提所提供的公共网络来实现远程的广域连接,即网络供的公共网络来实现远程的广域连接,即网络不是物理上独立存在的网络,而是利用共享的不是物理上独立存在的网络,而是利用共享的通信基础设施仿真专用网络的设备。通信基础设施仿真专用网络的设备。一一 虚拟专用网概述虚拟专用网概述 专用专用(private)(private)的含义是用户可以为自己制的含义是用户可以为自己制定一个
10、最符合自己需求的网络,使网内业务独定一个最符合自己需求的网络,使网内业务独立于网外的业务流,且具有独立的寻址空间和立于网外的业务流,且具有独立的寻址空间和路由空间,而且使得用户获得等同于专用网络路由空间,而且使得用户获得等同于专用网络的通信体验。的通信体验。 。二二 VPNVPN的工作流程的工作流程 VPN VPN需要在跨越公用网络的两需要在跨越公用网络的两个网络之间建立虚拟的专用隧道。个网络之间建立虚拟的专用隧道。在隧道被初始化后,传送过程中在隧道被初始化后,传送过程中VPNVPN数据的保密性和完整性通过加数据的保密性和完整性通过加密技术加以保护。密技术加以保护。 二二 VPNVPN的工作流
11、程的工作流程图图9.4 基于基于IP的的VPN网络的工作流程网络的工作流程 目前VPN主要采用4项技术,分别是隧道技术(tunneling)、加解密技术(encryption & decryption)、密钥管理技术(key management)、身份鉴别技术(authentication)。三三 VPNVPN的主要技术的主要技术 网络隧道技术指的是利用一种网络网络隧道技术指的是利用一种网络协议来传输另一种网络协议,它主要利协议来传输另一种网络协议,它主要利用网络隧道协议来实现这种功能。网络用网络隧道协议来实现这种功能。网络隧道技术涉及了隧道技术涉及了3 3种网络协议,即网络种网络协议,即网
12、络隧道协议、隧道协议下面的承载协议和隧道协议、隧道协议下面的承载协议和隧道协议所承载的被承载协议。隧道协议所承载的被承载协议。 1. 隧道技术隧道技术三三 VPNVPN的主要技术的主要技术 有两种类型的隧道协议:有两种类型的隧道协议: 一种是二层隧道协议,用于传输二层网络一种是二层隧道协议,用于传输二层网络协议,它主要应用于构建拨号协议,它主要应用于构建拨号VPN(accessVPN(access VPN)VPN); 另一种是三层隧道协议,用于传输三层网另一种是三层隧道协议,用于传输三层网络协议,它主要应用于构建内部网络协议,它主要应用于构建内部网VPN(IntranetVPN(Intrane
13、t VPN) VPN)和外联网和外联网VPN(ExtranetVPN(Extranet VPN)VPN)。 1. 隧道技术隧道技术三三 VPNVPN的主要技术的主要技术 一个隧道的基本组成如图一个隧道的基本组成如图9.5所示,包括一个隧道启所示,包括一个隧道启动器、一个公共网络动器、一个公共网络(Internet)和一个隧道终结器。和一个隧道终结器。1. 隧道技术隧道技术图9.5 隧道的基本组成三三 VPNVPN的主要技术的主要技术 数据通信中的加解密技术是一项数据通信中的加解密技术是一项较成熟的技术,较成熟的技术,VPN可直接利用现有可直接利用现有技术,如技术,如DES、3-DES、MD5、
14、数字、数字签名技术等。签名技术等。2. 加解密技术加解密技术三三 VPNVPN的主要技术的主要技术 密钥管理的主要任务是如何在公用数据网密钥管理的主要任务是如何在公用数据网中安全地传递密钥,而不被窃取。加解密算法中安全地传递密钥,而不被窃取。加解密算法都离不开密钥,因此密钥管理技术也是很重要都离不开密钥,因此密钥管理技术也是很重要的。的。 现行常用的密钥管理技术又可分为现行常用的密钥管理技术又可分为SKIP(simple key management for IP)和和IPsec中的中的ISAKMPOakley两种。两种。 3. 密钥管理技术密钥管理技术三三 VPNVPN的主要技术的主要技术三
15、三 VPNVPN的主要技术的主要技术 为加强对使用者的鉴别管理,通常的解决方案是采用为加强对使用者的鉴别管理,通常的解决方案是采用远程身份验证拨入用户服务远程身份验证拨入用户服务RADIUS(RFC2138RADIUS(RFC2138、2139)2139),它,它是一个维护用户配置文件的数据库,能支持用户鉴别、是一个维护用户配置文件的数据库,能支持用户鉴别、鉴权和计费鉴权和计费(AAA-authentication(AAA-authentication,authorizationauthorization,accounting)accounting),代理,代理RADIUSRADIUS功能允许
16、在功能允许在ISPISP的接入点设备的接入点设备上接入客户的上接入客户的RADIUSRADIUS服务器,以获得必要的用户配置文服务器,以获得必要的用户配置文件信息。件信息。 4. 身份鉴别技术身份鉴别技术三三 VPNVPN的主要技术的主要技术 RADIUS的一个缺点是其登录的数的一个缺点是其登录的数据无层次结构。另一种方案是采用轻量据无层次结构。另一种方案是采用轻量级目录接入协议级目录接入协议LDAP(RFCl777),其特,其特点是登录的用户信息有层次结构,适合点是登录的用户信息有层次结构,适合于组织机构的用户数据的登录。于组织机构的用户数据的登录。 4. 身份鉴别技术身份鉴别技术四四 VP
17、NVPN服务分类服务分类VPN业务业务 拨号拨号 VPN(access VPN) 专线专线VPN 内部网内部网VPN(intranet VPN) 外联网外联网VPN(extranet VPN) 四四 VPNVPN服务分类服务分类1拨号拨号VPN 拨号拨号VPNVPN是指企业员工或企业的小分支机是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网。拨构通过公网远程拨号的方式构筑的虚拟网。拨号号VPNVPN根据隧道发起的方式又可分为由用户发根据隧道发起的方式又可分为由用户发起、由起、由ISPISP拨号服务器发起或由企业网远程路拨号服务器发起或由企业网远程路由器发起由器发起3 3种。通常
18、用的最多的是通过种。通常用的最多的是通过ISPISP拨拨号服务器发起的号服务器发起的VPNVPN,这种方式是通过,这种方式是通过PPTPPPTPL2TPL2TP协议来实现第二层的隧道封装。协议来实现第二层的隧道封装。 四四 VPNVPN服务分类服务分类1拨号拨号VPN 拨号拨号VPNVPN通过一个拥有与专用网络相同策通过一个拥有与专用网络相同策略的共享基础设施,提供对企业内部网或外部略的共享基础设施,提供对企业内部网或外部网的远程访问。拨号网的远程访问。拨号VPNVPN能使用户随时、随地能使用户随时、随地以其所需的方式访问企业资源。拨号以其所需的方式访问企业资源。拨号VPNVPN包括包括模拟、
19、拨号、模拟、拨号、ISDNISDN、数字用户线路、数字用户线路(xDSL(xDSL) )、移动移动IPIP和电缆技术,能够安全地连接移动用户、和电缆技术,能够安全地连接移动用户、远程工作者或分支机构。远程工作者或分支机构。 四四 VPNVPN服务分类服务分类2内部网内部网VPN 内部网内部网VPNVPN即进行企业内部各分支机构的互联。利即进行企业内部各分支机构的互联。利用用VPNVPN技术可以在技术可以在InternetInternet上组建世界范围内的内部网上组建世界范围内的内部网VPNVPN,通过一个使用基于共享基础设施的虚拟专网,连,通过一个使用基于共享基础设施的虚拟专网,连接企业总部、
20、远程办事处和分支机构,即利用接企业总部、远程办事处和分支机构,即利用InternetInternet的线路保证网络的互联性,而利用隧道、加的线路保证网络的互联性,而利用隧道、加密等密等VPNVPN特性可以保证信息在整个内部网特性可以保证信息在整个内部网VPNVPN上安全传上安全传输,从而使企业拥有与专用网络的相同政策,包括安输,从而使企业拥有与专用网络的相同政策,包括安全、服务质量全、服务质量(QoS(QoS) )、可管理性和可靠性。、可管理性和可靠性。 四四 VPNVPN服务分类服务分类2内部网内部网VPN内部网内部网VPNVPN通常使用通常使用IPSecIPSec协议来实现。协议来实现。
21、四四 VPNVPN服务分类服务分类3. 外联网外联网VPN外联网外联网VPNVPN是指企业同客户、合作伙伴是指企业同客户、合作伙伴的互联。利用的互联。利用VPNVPN技术可以组建安全的外联技术可以组建安全的外联网网(extranet)(extranet),既可以向客户、合作伙伴提,既可以向客户、合作伙伴提供有效的信息服务,又可以保证自身内部网供有效的信息服务,又可以保证自身内部网络的安全。络的安全。四四 VPNVPN服务分类服务分类3. 外联网外联网VPN外联网外联网VPNVPN通过一个使用专用连接的通过一个使用专用连接的共享基础设施,将客户、供应商、合作伙共享基础设施,将客户、供应商、合作伙
22、伴或兴趣群体连接到企业内部网。企业拥伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策,包括安全、服有与专用网络的相同政策,包括安全、服务质量务质量(QoS(QoS) )、可管理性和可靠性。、可管理性和可靠性。307.1.3 VPN的分类的分类 根据不同的需要,可以构造不同类型的根据不同的需要,可以构造不同类型的VPN。不同商业。不同商业环境对环境对VPN的要求和的要求和VPN所起的作用不同。这里分三种情况所起的作用不同。这里分三种情况说明说明VPN的用途。的用途。 a.内部内部VPN:指在公司总部和其分支机构之间建立的:指在公司总部和其分支机构之间建立的VPN; b.远程访问远程访问
23、VPN:指在公司总部和远地雇员之间建立的:指在公司总部和远地雇员之间建立的VPN; C.外联网外联网VPN:指公司与商业伙伴、客户之间建立的:指公司与商业伙伴、客户之间建立的VPN。31 内内 部部 网网VPN用用VPN连接公司总部和其分支机构连接公司总部和其分支机构. 远程访问远程访问VPN用用VPN连接公司总部和远程用户连接公司总部和远程用户. 外外 联联 网网VPN用用VPN连接公司和其业务伙伴连接公司和其业务伙伴.VPN的分类及用途的分类及用途子公司子公司LAN合作伙伴合作伙伴LAN远程用户远程用户Internet图7.2 VPN三种主要分类32p 内部网内部网VPN 内部网是通过公共
24、网络将某一个组织的各个分支机构的内部网是通过公共网络将某一个组织的各个分支机构的LAN联结而成的网络。这种类型的联结而成的网络。这种类型的LAN到到LAN的联结所带来的联结所带来的风险最小,因为公司通常认为他们的分支机构是可信的,的风险最小,因为公司通常认为他们的分支机构是可信的,这种方式联结而成的网络被称为这种方式联结而成的网络被称为Intranet,可看作是公司网,可看作是公司网络的扩展。络的扩展。 当一个数据传输通道的两个端点被认为是可信的时候,当一个数据传输通道的两个端点被认为是可信的时候,可以选择内部网可以选择内部网VPN解决方案。安全性主要在于加强两个解决方案。安全性主要在于加强两
25、个VPN服务器之间加密和认证的手段。服务器之间加密和认证的手段。内部网内部网VPN参见下页图参见下页图7.3:33InternetVPN服务器服务器VPN服务器服务器路由器路由器路由器路由器加密信道加密信道加密加密认证认证VPN总总部部LAN子子公公司司LAN一个安全的VPN服务,应该为子公司的不同用户指定不同的访问权限。p 内部网内部网VPN图7.3 内部网VPN拓扑图34p 远程访问远程访问VPN 典型的远程访问典型的远程访问VPN是用户通过本地的信息提供商是用户通过本地的信息提供商(ISP)登陆到登陆到Internet上,并在现在的办公室和公司内部网之间建上,并在现在的办公室和公司内部网
26、之间建立一条加密通道。立一条加密通道。 有较高安全度的远程访问有较高安全度的远程访问VPN应能截获特定主机的信息应能截获特定主机的信息流,有加密、身份认证和过滤等功能。流,有加密、身份认证和过滤等功能。 远程访问远程访问VPN参见下页图参见下页图7.4:35InternetVPN服服务务器器加密信道加密信道总总部部LANVPN的功能:1、访问控制管理。2、用户身份认证。3、数据加密。4、智能监视和审计记录。5、密钥和数字签名管理。PC机机移动用户移动用户公公共共服服务务器器p 远程访问远程访问VPN 图7.4 远程访问VPN拓扑图36p 外联网外联网VPN 外联网外联网VPN为公司商业伙伴、客
27、户和在远地的雇员提供为公司商业伙伴、客户和在远地的雇员提供安全性。外联网安全性。外联网VPN的主要目标是保证数据在传输过程中不的主要目标是保证数据在传输过程中不被修改,保护网络资源不受外部威胁。被修改,保护网络资源不受外部威胁。 外联网外联网VPN应是一个由加密、认证和访问控制功能组成应是一个由加密、认证和访问控制功能组成的集成系统。通常将公司的的集成系统。通常将公司的VPN代理服务器放在一个不能穿代理服务器放在一个不能穿透的防火墙之后,防火墙阻止来历不明的信息传输。所有经透的防火墙之后,防火墙阻止来历不明的信息传输。所有经过过滤后的数据通过一个唯一的入口传到过过滤后的数据通过一个唯一的入口传
28、到VPN服务器,服务器,VPN在根据安全策略进一步过滤。在根据安全策略进一步过滤。 外联网外联网VPN参见下页图参见下页图7.5: 37InternetVPN服务器服务器VPN服务器服务器加密信道加密信道加密加密认证认证VPN公公司司内内联联网网合合作作公公司司内内联联网网1、VPN服务应有详细的访问控制。2、与防火墙/协议兼容。FTP服服务务器器p 外联网外联网VPN 图7.5 外联网VPN拓扑图387.2 VPN常用的协议常用的协议OSI七层模型安全技术安全协议应用层表示层应用代理会话层传输层会话层代理SOCK V5网络层数据链路层物理层包过滤IPSecPPTP/L2TP VPN常用的协议
29、有常用的协议有SOCK v5、IPSec、PPTP以及以及L2TP等。这些协议对应的等。这些协议对应的OSI层次结构如下:层次结构如下:397.2.1 SOCK v5 SOCK v5是一个需要认证的防火墙协议,当是一个需要认证的防火墙协议,当SOCK同同SSL协议配合使用,可作为建立高度安全的协议配合使用,可作为建立高度安全的VPN的基础。的基础。 1.1.优点优点 a.SOCK v5在在OSI模型的会话层控制数据流,定义了非模型的会话层控制数据流,定义了非常详细的访问控制。常详细的访问控制。 b.SOCK v5在客户机和主机之间建立了一条虚电路,可在客户机和主机之间建立了一条虚电路,可根据对
30、用户的认证进行监视和访问。根据对用户的认证进行监视和访问。 c.SOCK v5能提供非常复杂的方法保证信息安全传输。能提供非常复杂的方法保证信息安全传输。 d.用用SOCK v5的代理服务器可以隐藏网络的的代理服务器可以隐藏网络的IP地址。地址。40 e. SOCK v5同防火墙一起使用,防止防火墙的漏洞。同防火墙一起使用,防止防火墙的漏洞。 f. SOCK v5能为认证、加密和密钥管理提供能为认证、加密和密钥管理提供“插件插件”模模块。块。 g. SOCK v5可根据规则过滤数据包。可根据规则过滤数据包。 2.缺点缺点 因因SOCKv5通过代理服务器来增加一层安全性,因此性通过代理服务器来增
31、加一层安全性,因此性能比低层协议差,需要比低层协议制订更为安全的管理策略。能比低层协议差,需要比低层协议制订更为安全的管理策略。总体来说,总体来说,SOCKv5协议的优势在于更细致的访问控制,因此协议的优势在于更细致的访问控制,因此适合于安全性要求很高的适合于安全性要求很高的VPN。417.2.2 IPSec IPSec是一个应用范围广泛的开放的第三层是一个应用范围广泛的开放的第三层VPN协议标协议标准。准。IPSec可有效保护可有效保护IP数据报的安全,所采取的具体保护形数据报的安全,所采取的具体保护形式包括:数据源验证、完整性校验、数据内容的加密和防重式包括:数据源验证、完整性校验、数据内
32、容的加密和防重演保护等。演保护等。 1.1.优点优点 a. 定义了一套用于认证、保护私有性和完整性的标准协议。定义了一套用于认证、保护私有性和完整性的标准协议。 b. 支持一系列加密算法。支持一系列加密算法。 c. 检查数据包的完整性,确保数据没有被修改。检查数据包的完整性,确保数据没有被修改。 d. 在多个防火墙和服务器之间提供安全性。在多个防火墙和服务器之间提供安全性。42 e.可确保运行在可确保运行在TCP/IP协议上的协议上的VPN之间的互操作性。之间的互操作性。 2.缺点缺点 a. 不太适合动态不太适合动态IP地址分配地址分配(DHCP) b. 除除TCP/lP协议外,不支持其他协议
33、。协议外,不支持其他协议。 c. 除包过滤外,没有指定其他访问控制方法。除包过滤外,没有指定其他访问控制方法。 IPSec主要用于:主要用于:认证:用于对主机和端点进行身份鉴别;认证:用于对主机和端点进行身份鉴别;完整性检查:保证数据在经过网络传输时没有被修改;完整性检查:保证数据在经过网络传输时没有被修改;加密:加密加密:加密IP地址和数据以保证私有性。地址和数据以保证私有性。437.2.3 PPTP / L2TP 点对点隧道协议点对点隧道协议PPTP是微软公司提出的,是数据链路是微软公司提出的,是数据链路层的协议,被用于微软的路由和远程访问服务。层的协议,被用于微软的路由和远程访问服务。P
34、PTP用用IP包来封装包来封装PPP协议。用简单的包过滤和微软域网络控制来实协议。用简单的包过滤和微软域网络控制来实现访问控制。现访问控制。 L2TP(Layer2TunnelingProtocol)协议是协议是PPTP协议和协议和Cisco公司的公司的L2F(Layer2Forwarding)组合而成,可用于基于组合而成,可用于基于Internet的远程拨号方式访问。有能力为使用的远程拨号方式访问。有能力为使用PPP协议的客户协议的客户建立拨号方式的建立拨号方式的VPN连接。连接。 PPTP和和L2TP一起配合使用时,可提供较强的访问控制一起配合使用时,可提供较强的访问控制能力,其优缺点如下
35、:能力,其优缺点如下:44 1.1.优点优点 a. 不但支持微软操作系统,还不但支持微软操作系统,还支持其他网络协议支持其他网络协议。 b. 通过减少丢弃包来改善网络性能,可通过减少丢弃包来改善网络性能,可减少重传减少重传。 2.缺点缺点 a. 将不安全的将不安全的IP包封装在安全的包封装在安全的IP包内。包内。 b. 不对两个节点间的信息传输进行监视和控制。不对两个节点间的信息传输进行监视和控制。 c. 并发连接最多并发连接最多255个用户。个用户。 d. 用户需要在连接前手工建立加密信道。用户需要在连接前手工建立加密信道。 e. 认证和加密受到限制,没有加密和认证支持。认证和加密受到限制,
36、没有加密和认证支持。457.3 基于基于IPSec协议的协议的VPN体系结构体系结构 IPSec协议主要应用于网络层。基于协议主要应用于网络层。基于TCP/IP的所有应用的所有应用都要通过都要通过IP层,将数据封装成一个层,将数据封装成一个IP包后再进行传送。所以包后再进行传送。所以要实现对上层网络应用软件的全透明控制,即同时对上层多要实现对上层网络应用软件的全透明控制,即同时对上层多种网络应用提供安全网络服务,只需在网络层采用种网络应用提供安全网络服务,只需在网络层采用VPN技术技术提供网络安全服务。为解决提供网络安全服务。为解决Internet所面临的不安全因素的所面临的不安全因素的威胁,
37、实现在不信任通道上的数据安全传输,在威胁,实现在不信任通道上的数据安全传输,在VPN的设计的设计和实现中采用了加密认证技术。和实现中采用了加密认证技术。基于基于IPSec协议的协议的VPN体系结构参见下页图体系结构参见下页图7.6:46不安全网不安全网网关或主机网关或主机网关或主机网关或主机IP数据包数据包传输层数据传输层数据应用程序应用程序IP数据包数据包传输层数据传输层数据应用程序应用程序SA加密算法加密算法加密密钥加密密钥认证算法认证算法认证密钥认证密钥SA加密算法加密算法加密密钥加密密钥认证算法认证算法认证密钥认证密钥安全联系安全联系基于基于IPSec协议的协议的VPN体系结构体系结构
38、图7.6基于IPSec协议的VPN体系结构477.4VPN产品产品 目前,有很多厂家都有目前,有很多厂家都有VPN产品。如:产品。如:Cisco、Netscreen、CheckPoint、天融信、东软等。下面以思科、天融信、东软等。下面以思科VPN3000系列集中器为例进行说明。系列集中器为例进行说明。 思科思科VPN3000系列集中器是一系列专门开发的远程接入系列集中器是一系列专门开发的远程接入虚拟专网虚拟专网(VPN)平台和客户机软件,将高可用性、高性能和平台和客户机软件,将高可用性、高性能和高可扩展性和当今最先进的加密和认证技术结合在一起。利高可扩展性和当今最先进的加密和认证技术结合在一
39、起。利用用CiscoVPN3000集中器系列,客户可以充分发挥最新集中器系列,客户可以充分发挥最新VPN技技术的优势,极大地降低了通信费用。特别是,该产品是业界术的优势,极大地降低了通信费用。特别是,该产品是业界唯一能够提供现场可更换和客户可升级部件的可扩展平台。唯一能够提供现场可更换和客户可升级部件的可扩展平台。这些称为可扩展加密处理这些称为可扩展加密处理(SEP)模块的部件使用户可以轻松模块的部件使用户可以轻松地增加容量和吞吐量。地增加容量和吞吐量。48 Cisco客户可以在众多的客户可以在众多的VPN3000集中器中选择最适合集中器中选择最适合自己需求和应用的具体型号,这些型号支持各种企
40、业客户,自己需求和应用的具体型号,这些型号支持各种企业客户,包括从只有不到包括从只有不到100个远程访问用户的小公司到有多达个远程访问用户的小公司到有多达10000名同时远程用户的大型机构。思科名同时远程用户的大型机构。思科VPN3000集中器的任何一集中器的任何一种版本,都可以在不增加更多费用的情况下提供种版本,都可以在不增加更多费用的情况下提供CiscoVPN客客户机,并给予不受限制的安装许可证。思科户机,并给予不受限制的安装许可证。思科VPN3000集中器集中器提供非冗余和冗余两种配置,允许客户构建最稳健、最可靠提供非冗余和冗余两种配置,允许客户构建最稳健、最可靠和经济高效的网络。另外,还提供高级路由功能,如和经济高效的网络。另外,还提供高级路由功能,如OSPF、RIP和网络地址转换和网络地址转换(NAT)。有关有关VPN产品的新特性。请参考相关产品的新特性。请参考相关VPN厂商的网站。厂商的网站。49第第7章结束!章结束!