《vpn-1基础.ppt》由会员分享,可在线阅读,更多相关《vpn-1基础.ppt(30页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Vpn技术基础为什么要用到VPN?窃听攻击:窃听的工具窃听的工具 解决窃听攻击解决窃听攻击:链路加密(PPP,HDLC)VPN加密(数据包负荷加密)伪装攻击:ARP攻击 解决方法:pix授权(ASA自适应代码表)VPN散列函数(MD5和SHA)中间人攻击:会话回放攻击:捕捉双方的数据,加以回放!UDP和ICMP植入解决:PIX VPN:设备验证 数据包完整性检查 加密什么是VPN?1.加密的隧道2.使用的协议:GRE,IPSEC,PPTP,SSL,L2TP,MPLS3.加密数据4.保护internet流量5.保护流量不被黑客攻击VPN的模式传输模式隧道模式传输模式以及他的特点隧道加密上面的加密
2、是放到主机对服务器,或者服务器对主机,主机对主机下面的这种加密是在pix,vpn3000,路由器来做的VPN类型Site to siteRemote VPNPix VPNUser to userVPN的分类1.intranet 企业内部网络LAN2.extannet 公司的总部与分部之间的关系3.internet 因特网内的VPNVPN的组件1.验证2.封装方法3.数据加密4.数据包的完整性5.密钥管理6.抗抵赖性7.应用程序和协议的支持8.地址的管理验证验证:设备验证 用户验证设备验证:预共享密钥 数字签名或者证书预共享密钥:双双互联,每增加一个互联体,增加一个密钥,手动添加,如果节点过多,
3、不利用CPU的运算。数字签名和证书本身不产生密钥,是通过密钥发放机构去提取证书或者密钥.例子:网上银行的CA密钥卡或者u盾用户验证:就是提供帐户和密码,一般设备验证和用户验证都是合并使用的。就是用设备去比较和教研,采用用户验证提供登录。封装应用层的封装2层的封装3层的封装加密组件对称加密和非对称加密DES,3DES,AES,RSA,IDEA,SEAL,RC4数据包的完整性加密其实是一种对数据再处理再封装的一种过程,会消耗CPU的运算,如果说,被黑客所利用,转换为DOS攻击,洪流技术,让你不停去运算是否符合。利用签名技术来完成数据包完整性的问题,必要的时候数据包要被切割。密钥管理动态密钥管理静态
4、密钥管理抗抵御性进一步的验证身份例子:在vpn加密以后,再次进行CA的一种教研的模式,比如:银行卡的电子商务应用程序与协议的支持IP协议IPXAPPLETAKE地址的管理我们通过图形分析一下地址的分配:DHCPAAAVPN设计连接类型:点对点 网络对网络 全网互联 部分互联冗余的考虑VPN联网需要考虑的事情1.被保护和非被保护的流量:用传递的信道的带宽来保护VPN的流量,对流量进行划分,著名的VPN分离隧道技术。2.碎片(MTU+VPN要末分割数据,要末修改mtu的数值)3.Https和SSL不需要保护4.对那些流量可以进行保护5.VPN冗余VPN的实施GREIPSECPPTPL2TPMPLS
5、SSLGRECisco开发的,RFC1701 2784对多种协议的支持,IP,IPX只有CISCO设备可以用缺少保护IPSEC只支持IP协议,3层的协议,IPSEC优势是提供了安全的保证AH=头部验证ESP=压缩校验PPTP微软发明,RFC2637PPTP:PPP MPPE 微软的点对点的加密协议支持多种协议L2TP链路层协议Cisco L2F 微软的PPTP用IPSEC做传输保证,也是他的2层协议MPLS多协议链路标签技术他指明了一个数据包如何通过一种有效的方式送到一个目的地。MPLS通过VC来传递VPN,你可以把他理解为FR和ATM的核心。MPLS可以分离流量,可以用IPSEC来加密MPLS。主要作用是对IP进行标记SSL对web的一种加密技术他是一个软件,你可以安装后,把他内嵌到我们的web服务器中,这样我们的web页面就可以被ssl加密了。