2022年VPN概述 .pdf

《2022年VPN概述 .pdf》由会员分享，可在线阅读，更多相关《2022年VPN概述 .pdf（10页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、VPN 概述 1-1 随着计算机网络的发展，企业纷纷利用Internet 技术建立企业自己的内联网(Intranet)，同时根据商务发展的需要，与供货商、销售商等整合资源，建设外联网（Extranet）。Intranet和 Extranet 在物理上的分布化，即由简单的本地局域网或局域网连接发展为远地局域网连接，这其中最为突出的就是安全问题。远程网络连接最直接的方法就是使用专线，但问题很多，最主要的如费用昂贵、维护困难、接入点选择不灵活以及多节点连接困难等。同时，企业已经接入了Internet，却又要使用专线，这无疑是一种资源浪费。从人类通信的历史来看，因特网是最近才出现的事物，然而它却对人类

2、的通信方式有着非常深远的影响，以至于它被列入通信发展过程中最伟大的标志之一。因特网从根本上改变了社会和商业上的交往。特别对于商业，因特网迅速成为进行商业活动的通信介质。然而，商业活动需要安全的专用通信，而因特网却是一个最不安全的公共传输介质。通常有两种方法来保证网络上的对话不被公开：一是物理分隔（Physical Separation），指只有指定的接收者才能访问信号；二是迷惑（Obfuscation），虽然能够检测到信号，但只有指定的接收者才能够理解其中的信息。当在公共网络传输介质中进行通信的时候，迷惑是唯一的解决方法。VPN（Virtual Private Network）在公用网络中,按

3、照相同的策略和安全规则,建立的私有网络连接VPN 运用了各种网络技术来实现在公共的因特网基础设施中提供专用通信。它提供了信息的机密性、数据的完整性和用户的验证。VPN 原理上由两部分组成：覆盖在普遍存在的因特网之上的虚拟网络（Virtual Network），以及为了秘密通信和独占使用的专用网络（Private Network）。更加重要的是VPN 的“专用”方面。专用网络的真正目的是保持数据的机密性，使之有指定的接收者能够接收它。这种专用性确保了通过使用公共基础设施进行的通信不是以牺牲数据的安全性为代价的。VPN 的目标是使用公共的因特网在全球安全可靠地进行专用网络通信。VPN 具有以下特点

4、：VPN 有别于传统网络，它并不实际存在，而是利用现有公共网络，通过资源配置而成的虚拟网络，是一种逻辑上的网络。VPN 只为特定的企业或用户群体所专用。VPN 作为私有专网，一方面与底层承载网络之间保持资源独立性，即在一般情况下，VPN 资源不会被承载网络中的其他VPN 或非该 VPN用户的网络成员所使用；另一方面，VPN 提供足够安全性，确保VPN 内部信息不受外部的侵扰。VPN 不是一种简单的高层业务。它能够建立专网用户之间的网络互联，包括建立VPN 内部的网络拓扑、路由计算、成员的加入与退出等，因此VPN 技术就比各种普通的点对点的应用机制要复杂的多。费用低，不需要租用远程专用线路。结构

5、灵活，VPN可以灵活方便的组建和扩充分支站点、远程办公室、移动用户等接入的网络，只需要通过软件配置就可以增加、删除VPN 用户，无需改动硬件设施，比传统广域网络有更好的灵活性。更加简单的网络管理，可以不必过多地管理运营商提供的电信网络，而把管理核心放在企业核心业务的管理方面。名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页，共 10 页 -利用虚拟隧道技术提供网络连接使拓扑结构简单明了。VPN 的结构和分类：1.远程访问的VPN 移动用户或远程小办公室通过Internet 访问网络中心连接单一的网络设备客户通常需要安装VPN 客户端软件2.站点到站点的VPN 公司总部和其分支机构、办公

6、室之间建立的VPN 替代了传统的专线或分组交换WAN 连接它们形成了一个企业的内部互联网络VPN 的关键技术：安全隧道技术(Secure Tunneling Technology)?为了在公网上传输私有数据而发展出来的“信息封装”（Encapsulation）方式?在 Internet 上传输的加密数据包中，只有VPN 端口或网关的IP 地址暴露在外面信息加密技术（Encryption Technology）?VPN 中的加密技术主要是对用户数据提供安全保护?在实现过程中需要考虑与VPN 的隧道技术和用户认证机制相结合用户认证技术（User Authentication Technology）

7、在 VPN 用户访问网络资源之前、以及管理员对VPN 系统进行管理之前，都需要首先进行身份的认证名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页，共 10 页 -访问控制技术（Access Control Technology）由于 VPN 技术可以绕过防火墙提供的安全屏障，因此需要提供细粒度的访问控制功能，以实现对用户信息资源的保护。隧道协议：?VPN 使用网络安全隧道（Tunneling）技术，VPN 的具体实现形式多种多样，但同样都是基于隧道技术。?利用隧道技术，可以实现网络到网络、主机到主机或者主机到网络的安全连接。?所谓隧道，实质上是一种封装、加密、传输和拆卸、解封装的过程。

8、在 VPN 中，隧道服务用于3 个主要的目的：?第一是把一个协议封装在另一个协议中，从而不同的协议能够在同一个IP 基础设施上进行传输?第二是通过公共的寻址基础设施传输私有寻址的报文?第三是提供数据的完整性和机密性网络隧道技术涉及了三种网络协议：?网络隧道协议?支撑隧道协议的承载协议?隧道协议所承载的被承载协议目前常见的隧道协议分为第二层隧道协议和第三层隧道协议，两者的本质区别在于用户的IP 数据包被封装在不同层的数据包中进行传输。隧道协议的功能特性分为两部分：?客户部分:又被称为访问集中器（Access Concentrator），位于远程计算机附近或者就是在远程计算机内部，它把PPP 数据

9、帧封装成能够通过因特网路由的某些格式。?服务器部分：也成为网络服务器（Network Server）,它位于专用网络附近，负责去除封装并把PPP 数据帧传送到一个PPP 终端。第二层隧道协议建立在点对点协议PPP 的基础上，充分利用了PPP 支持多协议的特性，先把 IP 协议封装到PPP 帧中，再把整个数据帧装入隧道协议。这种双层协议封装方法形成的数据包依靠第二层（数据链路层）协议进行传输，所以称为第二层隧道协议。第二层隧道协议主要有：?PPTP（Point-To-Point Tunneling Protocol）点到点隧道协议，由微软、Ascend 和3COM 等公司支持，在Windows

10、NT4.0以上版本中支持。该协议支持PPP 协议在IP 网络上的隧道封装，PPTP 作为一个呼叫控制和管理协议，使用一种增强的GRE（Generic Routing Encapsulation，通用路由封装）技术为传输的PPP 报文提供流控和拥塞控制的封装服务。?L2F（Layer 2 Forwarding）协议：二层转发协议，由北方电讯等公司支持。L2F 协议支持对更高级协议链路层的隧道封装，实现了拨号服务器和拨号协议连接连接在名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页，共 10 页 -物理位置上的分离?L2TP（Layer 2 Tunneling Protocol）：二层隧道

11、协议，由IETF 起草，微软等公司参与，结合了上述两个协议的优点，为众多公司所接受，并且已经成为RFC 标准。L2TP 即可用于实现拨号VPN 业务，也可用于实现专线VPN 业务?在 3 种协议之中，L2TP 协议结合了前两个协议的优点，具有更优越的特性，得到了越来越多的组织和公司的支持。它也是使用最广泛的VPN 二层隧道协议二层隧道协议建立在点对点协议PPP 的基础上：?先把各种网络协议（IP、IPX 等）封装到PPP 帧中，再把整个数据帧装入隧道协议?适用于通过公共电话交换网或者ISDN 线路连接 VPN 三层隧道协议?把各种网络协议直接装入隧道协议?在可扩充性、安全性、可靠性方面优于第二

12、层隧道协议第三层隧道协议主要有：?GRE（Generic routing encapsulation）协议：这是通用路由封装协议，用于实现任意一种网络层协议在另一种网络层协议上的封装。?IPSec（IP Security）协议：IPSec 协议不是一个单独的协议，它给出了IP 网络上数据安全的一整套体系结构，包括AH（Authentication Header 验证报文头）、ESP（Encapsulating Security PayLoad封装安全负载）、IKE（Internet Key Exchange）等协议。信息加密技术包括：?机密性对用户数据提供安全保护?数据完整性确保消息在传送过程

13、中没有被修改?身份验证确保宣称已经发送了消息的实体是真正发送消息的实体?密码术（Cryptography）是一种使数据混乱到某种程序的科学，在这种程序下数据不能被任何人理解，除了那些有特定访问权的人。?当物理隔离不可能的时候，密码术就是专用通信的基本技术。?把数据从明文（Cleartext）转换成称为密码（Ciphertext）的加密数据的功能，称为加密算法（Encryption Algorithm），它通常采取称为密钥（Cryptographickey）的一个或更多的参数。?解密就是把密码转变回明文形式。?密钥的产生、传输以及存储称为密钥管理（Key Management）名师资料总结-精品

14、资料欢迎下载-名师精心整理-第 4 页，共 10 页 -加密算法有两种基本类型：?对称（Symmetric）算法，在该算法中，使用相同的共享密钥进行加密和解密；?非对称（Asymmetric）算法，在这个算法中，使用不同的密钥进行加密和解密；对称加密包括：DES 算法AES 算法IDEA 算法、Blowfish 算法、Skipjack算法非对称加密包括：RSA 算法PGP 对称密钥：发送方和接收方使用同一密钥 通常加密比较快（可以达到线速）基于简单的数学操作（可借助硬件）需要数据的保密性时，用于大批量加密 密钥的管理是最大的问题对称密钥-DES 加密算法：?DES（Date Encryptio

15、n Standard，数据加密标准）是使用最广泛的共享密钥加密算法。?它使用相同的函数来加密和解密。?虽然 DES 在开发时被认为是安全性非常高的加密算法，但是随着计算机运算速度的不断发展，它已经能够被暴力方法所破解。?暴力破解指使用穷举法（或排列组合法）来尝试所有密码组合的一种破解方法。对称密钥-AES 加密算法：AES（Advanced Encryption Standard，高级加密标准）是由 NIST（National Institute of Standards and Technology，美国国家标准和技术研究所）主推的，用来取代DES。在名师资料总结-精品资料欢迎下载-名师精心

16、整理-第 5 页，共 10 页 -AES 成为主流产品之前，NIST 建议使用所谓的3DES（宣称“3 倍于 DES”）作为 DES更加安全的版本非对称密钥：?每一方有两个密钥 公钥，可以公开 私钥，必须安全保存?已知公钥，不可能推算出私钥?一个密钥用于加密，一个用于解密?比对称加密算法慢很多倍非对称密钥RSA:?RSA 使用它的发明者Ronald Rivest、AdiShamir和Leonard Adleman来命名，是目前为止最为流行的加密算法。名师资料总结-精品资料欢迎下载-名师精心整理-第 6 页，共 10 页 -?密钥长度在5128192bit 之间?安全性基于数学运算的复杂性?尽管

17、有专利权的限制，RSA 仍然成为整个世界实际的标准。?RSA 的专利权在2000 年 9 月期满，现在RSA 算法已经是公开的了。?RSA 比用软件实现的DES 慢 100 倍?RSA 比用硬件实现的DES 慢 100 倍什么是 IPSec?IPSec（IP Security）是 IETF 为保证在 Internet上传送数据的安全保密性，而制定的框架协议?应用在网络层，保护和认证用IP 数据包 是开放的框架式协议，各算法之间相互独立 提供了信息的机密性、数据的完整性、用户的验证和防重放保护支持隧道模式和传输模式?隧道模式IPsec 对整个 IP 数据包进行封装和加密，隐蔽了源和目的IP 地址

18、从外部看不到数据包的路由过程?传输模式IPsec 只对 IP 有效数据载荷进行封装和加密，IP 源和目的 IP 地址不加密传送安全程度相对较低?名师资料总结-精品资料欢迎下载-名师精心整理-第 7 页，共 10 页 -IPSec 提供两个安全协议:AH(Authentication Header)认证头协议ESP(Encapsulation Security Payload)封装安全载荷协议?密钥管理协议IKE（Internet Key Exchange）因特网密钥交换协议IPsec 不是单独的一个协议，而是一整套体系结构AH 协议隧道中报文的数据源鉴别数据的完整性保护对每组 IP 包进行认证

19、，防止黑客利用IP 进行攻击ESP 封装安全载荷协议?保证数据的保密性?提供报文的认证性、完整性保护AH 和 ESP相比较?ESP 基本提供所有的安全服务?如果仅使用ESP，消耗相对较少?为什么使用AH AH 的认证强度比ESP 强AH 没有出口限制安全联盟SA?使用安全联盟（SA）是为了解决以下问题如何保护通信数据保护什么通信数据由谁实行保护?建立 SA 是其他 IPsec 服务的前提?SA 定义了通信双方保护一定数据流量的策略?一个 SA 通常包含以下的安全参数认证/加密算法，密钥长度及其他的参数认证和加密所需要的密钥哪些数据要使用到该SA IPsec 的封装协议和模式IKE 因特网密钥交

20、换协议?在 IPsec网络中用于密钥管理名师资料总结-精品资料欢迎下载-名师精心整理-第 8 页，共 10 页 -?为 IPSec 提供了自动协商交换密钥、建立安全联盟的服务?通过数据交换来计算密钥IPsec VPN 的配置?步骤 1 配置 IKE 的协商?步骤 2 配置 IPSEC 的协商?步骤 3 配置端口的应用?步骤 4 调试并排错?启动 IKE Router(config)#crypto isakmp enable?建立 IKE 协商策略Router(config)#crypto isakmp policy priority（1-10000）?配置 IKE 协商策略Router(con

21、fig-isakmp)#authentication pre-share Router(config-isakmp)#encryption des|3des Router(config-isakmp)#hash md5|sha1 Router(config-isakmp)#lifetime seconds?设置共享密钥和对端地址Router(config)#crypto isakmp key keystring address peer-address?设置传输模式集定义的是 VPN 认证的类型、验证模式Router(config)#crypto ipsec transform-set tra

22、nsform-set-name transform1 transform2 transform3 Ah 验证:ah-md5-hmacah-sha-hmac Esp加密选项：esp-desesp-3desesp-null Esp验证参数:esp-md5-hmaesp-sha-hmc crypto ipsec transform-set haier ah-md5-hmac esp-des esp-md5-hma?配置保护访问控制列表Router(config)#access-list access-list-number deny|permit protocol source source-wil

23、dcard destination destination-wildcardRouter(config)#access-list 100 permit ip host 192.168.1.1 host 192.168.1.2?创建 Crypto Maps Router(config)#crypto map map-name seq-num ipsec-isakmp?配置 Crypto Maps Router(config-crypto-map)#match address access-list-numberRouter(config-crypto-map)#set peer ip_addre

24、ss Router(config-crypto-map)#set transform-set name?应用 Crypto Maps 到端口Router(config)#interface interface_name interface_num 名师资料总结-精品资料欢迎下载-名师精心整理-第 9 页，共 10 页 -Router(config-if)#crypto map map-name?查看 IKE 策略Router#show crypto isakmp policy?查看 IPsce 策略Router#show crypto ipsec transform-set?查看 SA 信息Router#show crypto ipsec sa?查看加密映射Router#show crypto map 名师资料总结-精品资料欢迎下载-名师精心整理-第 10 页，共 10 页 -