《局域网组建、管理与维护第9章-渉密局域网组建与管理课件.ppt》由会员分享,可在线阅读,更多相关《局域网组建、管理与维护第9章-渉密局域网组建与管理课件.ppt(59页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 人民邮电出版社人民邮电出版社 2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材1 12009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第2 2页页学习目标学习目标:(1 1)了解涉密网保密原则与审批程序,)了解涉密网保密原则与审批程序,)了解涉密网保密原则与审批程序,)了解涉密网保密原则与审批程序,PKIPKI基本知识,基本知识,基本知识,基本知识,以及物理隔离网闸技术与使用范围。理解涉密网概念、以及物理隔离网闸技术与使用范围。理解涉密网概念、以及物理隔
2、离网闸技术与使用范围。理解涉密网概念、以及物理隔离网闸技术与使用范围。理解涉密网概念、信息保密、实体保密及信息保密、实体保密及信息保密、实体保密及信息保密、实体保密及PKIPKI功能结构。功能结构。功能结构。功能结构。(2 2)了解)了解)了解)了解VPNVPN与与与与MPLSMPLS技术原理,理解采用技术原理,理解采用技术原理,理解采用技术原理,理解采用VPNVPN与与与与MPLS VPNMPLS VPN如何构建安全逻辑隔离系统。基本掌握屏如何构建安全逻辑隔离系统。基本掌握屏如何构建安全逻辑隔离系统。基本掌握屏如何构建安全逻辑隔离系统。基本掌握屏蔽线敷设技术要求,能够按照涉密网要求,设计网路
3、蔽线敷设技术要求,能够按照涉密网要求,设计网路蔽线敷设技术要求,能够按照涉密网要求,设计网路蔽线敷设技术要求,能够按照涉密网要求,设计网路布线系统。布线系统。布线系统。布线系统。(3 3)理解涉密网行为监管与审计技术要点,掌握)理解涉密网行为监管与审计技术要点,掌握)理解涉密网行为监管与审计技术要点,掌握)理解涉密网行为监管与审计技术要点,掌握WindowsWindows安全通信技术和可信网站设置技术。能够按安全通信技术和可信网站设置技术。能够按安全通信技术和可信网站设置技术。能够按安全通信技术和可信网站设置技术。能够按照中小型涉密局域网需求,设计技术解决方案。照中小型涉密局域网需求,设计技术
4、解决方案。照中小型涉密局域网需求,设计技术解决方案。照中小型涉密局域网需求,设计技术解决方案。第第9 9章章 渉密局域网组建与管理渉密局域网组建与管理 2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第3 3页页重点知识重点知识:PKIPKI基本知识,涉密网概念、信息保密、实体保基本知识,涉密网概念、信息保密、实体保基本知识,涉密网概念、信息保密、实体保基本知识,涉密网概念、信息保密、实体保密及密及密及密及PKIPKI功能结构功能结构功能结构功能结构 VPNVPN与与与与MPLSMPLS技术原理技术原理技术原理技术原理,VP
5、N与与MPLS VPN构构建安全逻辑隔离系统建安全逻辑隔离系统 屏蔽线敷设技术屏蔽线敷设技术屏蔽线敷设技术屏蔽线敷设技术,涉密局域,涉密局域网布线网布线 WindowsWindows安全通信技术和可信网站设置技术安全通信技术和可信网站设置技术安全通信技术和可信网站设置技术安全通信技术和可信网站设置技术 难点知识难点知识:PKIPKI功能结构功能结构功能结构功能结构MPLS VPNMPLS VPN构建安全逻辑隔离系统构建安全逻辑隔离系统构建安全逻辑隔离系统构建安全逻辑隔离系统第第9 9章章 渉密局域网组建与管理渉密局域网组建与管理 2009.22009.2人民邮电出版社人民邮电出版社2121世纪
6、高等院校网络工程规划教材世纪高等院校网络工程规划教材第第4 4页页9.1 渉密局域网基本知识渉密局域网基本知识涉密局域网的确定涉密局域网的确定局域网信息的保密局域网信息的保密 局域网实体的保密局域网实体的保密 涉密网保密原则与审批涉密网保密原则与审批 2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第5 5页页9.1.1 渉密局域网的确定渉密局域网的确定涉密局域网是指采集、存储、加工、处理、传输、使涉密局域网是指采集、存储、加工、处理、传输、使用国家秘密信息的计算机网络信息系统。用国家秘密信息的计算机网络信息系统。有的部门或
7、单位,建构的局域网信息系统主要是用于有的部门或单位,建构的局域网信息系统主要是用于日常办公,网上所存储和传输的信息主要是公共信息,日常办公,网上所存储和传输的信息主要是公共信息,或有部分的工作秘密信息、商业秘密信息等,这样的或有部分的工作秘密信息、商业秘密信息等,这样的网络就不应界定为涉密信息系统网络就不应界定为涉密信息系统。不要把数量不多的国家秘密信息放在网上,使这个网不要把数量不多的国家秘密信息放在网上,使这个网成了涉密网,不仅浪费了资金,而且也增加了网络安成了涉密网,不仅浪费了资金,而且也增加了网络安全、保密管理的难度。全、保密管理的难度。2009.22009.2人民邮电出版社人民邮电出
8、版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第6 6页页9.1.2局域网信息的保密局域网信息的保密1.局域网保密防护的脆弱性局域网保密防护的脆弱性(1)数据的可访问性。数据可以很容易被终端用户)数据的可访问性。数据可以很容易被终端用户复制而不留任何痕迹。复制而不留任何痕迹。(2)信息的聚生性。当信息以零散形式存在时,其)信息的聚生性。当信息以零散形式存在时,其价值往往不大,一旦网络将大量关联信息聚集在一起价值往往不大,一旦网络将大量关联信息聚集在一起时,其价值就相当可观了。时,其价值就相当可观了。(3)设防的困难性。尽管可以层层设防,但对一个)设防的困难性。尽管可以层
9、层设防,但对一个精通网络技术的人来说,下些功夫就可能突破这些关精通网络技术的人来说,下些功夫就可能突破这些关卡,给保密工作带来极大的困难。通常,局域网的保卡,给保密工作带来极大的困难。通常,局域网的保密防范可从以下四个方面考虑。密防范可从以下四个方面考虑。2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第7 7页页2.局域网信息保密措施局域网信息保密措施充分利用网络操作系统的保密措施加强数据库信息保密防护采用现代密码技术保护数据采用防火墙技术阻止黑客入侵局域网秘密系统2009.22009.2人民邮电出版社人民邮电出版社212
10、1世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第8 8页页9.1.3局域网实体的保密局域网实体的保密1.局域网实体泄密途径局域网实体泄密途径电磁泄露电磁泄露 非法终端非法终端 搭线窃取搭线窃取 介质的剩磁效应介质的剩磁效应 2.局域网实体保密措施局域网实体保密措施物理隔离物理隔离防电磁泄露防电磁泄露定期检查实体定期检查实体加强网络记录媒体保护加强网络记录媒体保护和管理和管理2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第9 9页页9.1.4 涉密网保密原则与审批涉密网保密原则与审批 1.涉密网保密管理原则涉密
11、网保密管理原则“同步建设,严格审批,注重防范,规范管理”。2.涉密网的保密审批涉密网的保密审批根据规定,涉及国家秘密的计算机网络信息系统建设,必须与保密设施的建设同步进行,并需报经省、设区市国家保密局审批后,才能投入使用。2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第1010页页9.2 用于渉密的用于渉密的PKI技术技术 PKI定义与作用定义与作用 PKI组成与功能组成与功能 数字证书与加密数字证书与加密 2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材
12、第第1111页页9.2.1 PKI定义与作用定义与作用PKI(Public Key Infrastructure,公钥基础设施)是,公钥基础设施)是一种遵循既定标准的密钥管理平台,它能够为所有网一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。钥和证书管理体系。PKI是提供公钥加密和数字签名服务的系统,目的是是提供公钥加密和数字签名服务的系统,目的是为了自动管理密钥和证书,保证网上数字信息传输的为了自动管理密钥和证书,保证网上数字信息传输的机密性、真实性、完整性和不可否认性。机密性、真实性
13、、完整性和不可否认性。PKI基于非对称公钥体制,采用数字证书管理机制,基于非对称公钥体制,采用数字证书管理机制,可以为透明地为网上应用提供上述各种安全服务,极可以为透明地为网上应用提供上述各种安全服务,极大地保证了网上应用的安全性。大地保证了网上应用的安全性。2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第1212页页9.2.2 PKI组成与功能组成与功能uPKI系统可划分为四个功能区域,即核心安全区、审核管理区、在线服务区、本地审核受理点(LRA)区2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校
14、网络工程规划教材世纪高等院校网络工程规划教材第第1313页页PKI功能结构功能结构uuPKIPKI系统功能采用三级架构。系统功能采用三级架构。系统功能采用三级架构。系统功能采用三级架构。2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第1414页页3.PKI的安全机制的安全机制安全平台能够提供智能化的信任与有效授权服务。其中,信任服务主要是解决在茫茫网海中如何确认“你是你、我是我、他是他”的问题。授权服务主要是解决在网络中“每个实体能干什么”的问题。例如,张三发送一个合约给李四,李四可要求张三进行数字签名。签名后的合约不仅李
15、四可以验证其完整性,其他人也可以验证该合约确实是张三签发的。而所有的人,包括李四,都没有模仿张三签署这个合约的能力。2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第1515页页保密文件特性保密文件特性(1 1)防假冒。通过数字签名进行身份认证。)防假冒。通过数字签名进行身份认证。)防假冒。通过数字签名进行身份认证。)防假冒。通过数字签名进行身份认证。例例例例如如如如,某某某某用用用用户户户户自自自自己己己己申申申申请请请请了了了了证证证证书书书书(私私私私钥钥钥钥),获获获获得得得得了了了了数数数数字字字字标标标标识识识识
16、,可可可可以以以以实实实实现现现现向向向向别别别别人人人人发发发发送送送送“数数数数字字字字签签签签名名名名”的的的的邮邮邮邮件件件件,别别别别人人人人就就就就可可可可以以以以判判判判断相关邮件确实是该用户发送的。断相关邮件确实是该用户发送的。断相关邮件确实是该用户发送的。断相关邮件确实是该用户发送的。(2 2)保密性。只有收件人才能解密查看。)保密性。只有收件人才能解密查看。)保密性。只有收件人才能解密查看。)保密性。只有收件人才能解密查看。(3 3)完整性。保证邮件没有被中途篡改。)完整性。保证邮件没有被中途篡改。)完整性。保证邮件没有被中途篡改。)完整性。保证邮件没有被中途篡改。(4 4
17、)不不不不可可可可否否否否认认认认性性性性。发发发发件件件件人人人人的的的的数数数数字字字字证证证证书书书书中中中中的的的的“私私私私钥钥钥钥”只只只只有有有有发发发发件件件件人人人人唯唯唯唯一一一一拥拥拥拥有有有有,发发发发件件件件人人人人利利利利用用用用其其其其数数数数字字字字证证证证书书书书在在在在传传传传送送送送前前前前对对对对电电电电子子子子邮邮邮邮件进行数字签名,发件人就无法否认发送过这个电子邮件。件进行数字签名,发件人就无法否认发送过这个电子邮件。件进行数字签名,发件人就无法否认发送过这个电子邮件。件进行数字签名,发件人就无法否认发送过这个电子邮件。9.2.3 数字证书与加密数字
18、证书与加密2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第1616页页数字证书应集成加密与签名的双重安全措施,以确保电子文数字证书应集成加密与签名的双重安全措施,以确保电子文数字证书应集成加密与签名的双重安全措施,以确保电子文数字证书应集成加密与签名的双重安全措施,以确保电子文件的真实性和保密性。对于企业或组织内部的邮件用户无需到件的真实性和保密性。对于企业或组织内部的邮件用户无需到件的真实性和保密性。对于企业或组织内部的邮件用户无需到件的真实性和保密性。对于企业或组织内部的邮件用户无需到InternetInternet上
19、申请,可以由管理员统一发放和管理证书。上申请,可以由管理员统一发放和管理证书。上申请,可以由管理员统一发放和管理证书。上申请,可以由管理员统一发放和管理证书。正常情况下用户自己的证书中含有正常情况下用户自己的证书中含有正常情况下用户自己的证书中含有正常情况下用户自己的证书中含有“私人密钥私人密钥私人密钥私人密钥”和和和和“公用密公用密公用密公用密钥钥钥钥”。“私钥私钥私钥私钥”只有用户自己拥有,而只有用户自己拥有,而只有用户自己拥有,而只有用户自己拥有,而“公钥公钥公钥公钥”是发放给大家是发放给大家是发放给大家是发放给大家的,别人拿到的用户的证书只含有的,别人拿到的用户的证书只含有的,别人拿到
20、的用户的证书只含有的,别人拿到的用户的证书只含有“公钥公钥公钥公钥”数字证书与数字证书与S/MIME2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第1717页页非对称加密非对称加密 对对对对称称称称加加加加密密密密使使使使用用用用相相相相同同同同的的的的密密密密钥钥钥钥加加加加密密密密和和和和解解解解密密密密数数数数据据据据,它它它它的的的的主主主主要要要要困困困困难难难难是是是是密密密密钥钥钥钥必必必必须须须须在在在在保保保保密密密密通通通通信信信信涉涉涉涉及及及及双双双双方方方方之之之之间间间间传传传传递递递递。197
21、61976年年年年,Whitfield Whitfield DiffieDiffie和和和和Martin Martin HellmanHellman发发发发明明明明了了了了一一一一个个个个叫叫叫叫做做做做非非非非对对对对称称称称(AsymmetricAsymmetric)或或或或公公公公共共共共密密密密钥(钥(钥(钥(Public-keyPublic-key)加密方法,作为对称加密的替换。)加密方法,作为对称加密的替换。)加密方法,作为对称加密的替换。)加密方法,作为对称加密的替换。通通通通过过过过公公公公钥钥钥钥密密密密码码码码算算算算法法法法,通通通通常常常常是是是是RSARSA算算算算法
22、法法法,能能能能生生生生成成成成一一一一对对对对密密密密钥钥钥钥A A和和和和B B。用用用用密密密密钥钥钥钥A A加加加加密密密密的的的的信信信信息息息息,只只只只能能能能由由由由密密密密钥钥钥钥B B才才才才能能能能解解解解密密密密;同同同同样样样样用用用用密密密密钥钥钥钥B B加加加加密密密密的的的的信信信信息息息息,也也也也只只只只有有有有由由由由密密密密钥钥钥钥A A才才才才能能能能解解解解密密密密。为为为为了了了了应应应应用用用用,密密密密钥钥钥钥的的的的主主主主人人人人要要要要把把把把这这这这对对对对密密密密钥钥钥钥中中中中的的的的一一一一条条条条(密密密密钥钥钥钥A A)公公公
23、公开开开开出出出出去去去去,交交交交给给给给其其其其他他他他人人人人,而而而而把把把把另另另另一一一一条条条条(密密密密钥钥钥钥B B)留留留留给给给给自自自自己己己己保保保保存存存存。习习习习惯惯惯惯上上上上把把把把公公公公开开开开出出出出去去去去的的的的密密密密钥钥钥钥叫叫叫叫做做做做公公公公钥钥钥钥,而留给自己保存的密钥叫做私钥。而留给自己保存的密钥叫做私钥。而留给自己保存的密钥叫做私钥。而留给自己保存的密钥叫做私钥。构构构构造造造造证证证证书书书书的的的的最最最最常常常常见见见见格格格格式式式式是是是是X.509v3X.509v3,由由由由ITUITU发发发发布布布布。X.509v3X
24、.509v3证证证证书书书书包包包包含含含含的的的的信信信信息息息息:版版版版本本本本,序序序序列列列列号号号号,签签签签名名名名算算算算法法法法,发发发发出出出出者者者者姓姓姓姓名名名名,合合合合法法法法性性性性期期期期限限限限,主主主主题题题题名名名名称称称称,主主主主题题题题公公公公共共共共密密密密钥钥钥钥数数数数据据据据,发发发发出出出出者者者者唯唯唯唯一一一一标标标标识识识识符符符符,主主主主题题题题唯唯唯唯一一一一标标标标识符和扩展。最后提供的信息是证书的数字签名,由发出者创建识符和扩展。最后提供的信息是证书的数字签名,由发出者创建识符和扩展。最后提供的信息是证书的数字签名,由发出
25、者创建识符和扩展。最后提供的信息是证书的数字签名,由发出者创建 2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第1818页页邮件数字签名过程邮件数字签名过程 当用户向外发送邮件时,他首先使用一种单向分解函数从邮件中当用户向外发送邮件时,他首先使用一种单向分解函数从邮件中当用户向外发送邮件时,他首先使用一种单向分解函数从邮件中当用户向外发送邮件时,他首先使用一种单向分解函数从邮件中得到固定长度的分解值,该值与邮件的内容相关,称为该邮件的指纹;得到固定长度的分解值,该值与邮件的内容相关,称为该邮件的指纹;得到固定长度的分解值,
26、该值与邮件的内容相关,称为该邮件的指纹;得到固定长度的分解值,该值与邮件的内容相关,称为该邮件的指纹;然后使用自己的私钥对指纹进行加密。接受者能使用他的公钥进行解然后使用自己的私钥对指纹进行加密。接受者能使用他的公钥进行解然后使用自己的私钥对指纹进行加密。接受者能使用他的公钥进行解然后使用自己的私钥对指纹进行加密。接受者能使用他的公钥进行解密,然后重新生成指纹进行比较。这样可以保证邮件是由他本人发送密,然后重新生成指纹进行比较。这样可以保证邮件是由他本人发送密,然后重新生成指纹进行比较。这样可以保证邮件是由他本人发送密,然后重新生成指纹进行比较。这样可以保证邮件是由他本人发送的而非假冒,同时也
27、保证邮件在发送过程中没有被更改,这个过程称的而非假冒,同时也保证邮件在发送过程中没有被更改,这个过程称的而非假冒,同时也保证邮件在发送过程中没有被更改,这个过程称的而非假冒,同时也保证邮件在发送过程中没有被更改,这个过程称为数字签名和核实。为数字签名和核实。为数字签名和核实。为数字签名和核实。2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第1919页页9.3 涉密局域网隔离技术涉密局域网隔离技术网络屏蔽线安装网络屏蔽线安装物理隔离网闸物理隔离网闸基于基于VPN的业务隔离的业务隔离 基于基于MPLS的业务隔离的业务隔离 20
28、09.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第2020页页9.3.1 网络屏蔽线敷设网络屏蔽线敷设屏屏蔽蔽布布线线系系统统必必须须是是从从终终点点到到终终点点的的连连续续的的屏屏蔽蔽路路径径。例例如如,AMPAMPNETCONNECTNETCONNECT屏屏蔽蔽布布线线系系统统从从工工作作区区域域的的信信息息插插座座,双双绞绞线线,配配线线架架,RJ45RJ45跳跳线线,组组成成了了从从终终点点到到终终点点的的连连续续的的屏蔽路径。屏蔽路径结构示意,如图屏蔽路径。屏蔽路径结构示意,如图9.39.3所示。所示。屏蔽系统所有设施
29、应选择同一品牌的产品。通常屏蔽系统设屏蔽系统所有设施应选择同一品牌的产品。通常屏蔽系统设计时充分考虑了接续的连续性。在水平子系统计时充分考虑了接续的连续性。在水平子系统FTPFTP连接的两端,连接的两端,RJ45RJ45屏蔽接口的屏蔽金属壳与屏蔽接口的屏蔽金属壳与RJ45RJ45接头的金属包覆套采用紧接头的金属包覆套采用紧密嵌套接合,确保跳线和接口完全充分的接触。密嵌套接合,确保跳线和接口完全充分的接触。例如,例如,AMP4AMP4对对FTPFTP线有锡箔屏蔽包覆层,屏蔽层内有一条线有锡箔屏蔽包覆层,屏蔽层内有一条接地线,这条接地线对于降低接地电阻,并保持一个低的接接地线,这条接地线对于降低接
30、地电阻,并保持一个低的接地电阻有重要作用。地电阻有重要作用。2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第2121页页屏蔽布线安装工艺要求屏蔽布线安装工艺要求屏蔽层的续接密实、连续;屏蔽层的续接密实、连续;一个完全紧密的接地系统会提高屏蔽系统的一个完全紧密的接地系统会提高屏蔽系统的整体性能,降低接地电阻,并使其一直保持整体性能,降低接地电阻,并使其一直保持低于低于1欧姆的电阻值;欧姆的电阻值;每个配线架独立接地;每个配线架独立接地;每个配线架只有一个接地点;每个配线架只有一个接地点;尽量缩短屏蔽线的开剥长度;尽量缩短屏蔽
31、线的开剥长度;保持双绞线转弯时有大于线径保持双绞线转弯时有大于线径8倍的弯曲半径。倍的弯曲半径。2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第2222页页9.3.2 物理隔离网闸物理隔离网闸物理隔离网闸(也称安全隔离与信息交换系统),是利用双主机形式,从物理上来隔离阻断潜在攻击的连接,如图9.4所示。其中包括一系列的阻断特征,如没有通信连接,没有命令,没有协议,没有TCP/IP连接,没有应用连接,没有包转发等。只有文件“摆渡”,对固态介质只有读和写两个命令。其结果是无法攻击,无法入侵,无法破坏。2009.22009.2人
32、民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第2323页页9.3.3 基于基于VPN的业务隔离的业务隔离 1.VPN技术要能够使得政务网内一个局域网的数据透明的穿过公用网到达另一个局域网,VPN采用了一种称之为隧道的技术。基于隧道的VPN网络 2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第2424页页VPN技术技术根据根据根据根据ISOISO模型,模型,模型,模型,VPNVPN的主要协议如表的主要协议如表的主要协议如表的主要协议如表9.19.1所示。所示。所示。所示。表9.
33、1VPN的主要协议标准 OSI模型安全技术安全协议应用层表示层应用代理会话层传输层会话层代理SOCKSv5/SSL网络层数据链路层物理层包过滤IPSecPPTP/L2F/L2TP2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第2525页页2.VPN类型类型(1 1)Access VPNAccess VPN(远程访问虚拟专网)(远程访问虚拟专网)(远程访问虚拟专网)(远程访问虚拟专网)(2 2)Intranet Intranet VPNVPN(内部虚拟专网)(内部虚拟专网)(内部虚拟专网)(内部虚拟专网)(3 3)Extra
34、net Extranet VPNVPN(扩展内部虚拟专网)(扩展内部虚拟专网)(扩展内部虚拟专网)(扩展内部虚拟专网)该类型与传统的远程访该类型与传统的远程访该类型与传统的远程访该类型与传统的远程访问网络相对应。在问网络相对应。在问网络相对应。在问网络相对应。在Access VPNAccess VPN方式下,远端用户不需要通过方式下,远端用户不需要通过方式下,远端用户不需要通过方式下,远端用户不需要通过长途电话拨号到政府远程接入长途电话拨号到政府远程接入长途电话拨号到政府远程接入长途电话拨号到政府远程接入端口,而是拨号接入到用户本端口,而是拨号接入到用户本端口,而是拨号接入到用户本端口,而是拨
35、号接入到用户本地的地的地的地的ISPISP,利用,利用,利用,利用VPNVPN系统在公系统在公系统在公系统在公众网上建立一个从客户端到网众网上建立一个从客户端到网众网上建立一个从客户端到网众网上建立一个从客户端到网关的安全传输通道。关的安全传输通道。关的安全传输通道。关的安全传输通道。该类型与政府内部的该类型与政府内部的该类型与政府内部的该类型与政府内部的IntranetIntranet相对应。在相对应。在相对应。在相对应。在Intranet VPN Intranet VPN 方式方式方式方式下,政府两个异地机构的局域下,政府两个异地机构的局域下,政府两个异地机构的局域下,政府两个异地机构的局
36、域网互连不租用专线,而是政府网互连不租用专线,而是政府网互连不租用专线,而是政府网互连不租用专线,而是政府分支机构网络利用分支机构网络利用分支机构网络利用分支机构网络利用VPNVPN特性可特性可特性可特性可以在以在以在以在ChinaNETChinaNET上组建省、市上组建省、市上组建省、市上组建省、市和县范围内的和县范围内的和县范围内的和县范围内的Intranet VPNIntranet VPN。该类型与政府网和相关企业该类型与政府网和相关企业该类型与政府网和相关企业该类型与政府网和相关企业网、教育网所构成的网、教育网所构成的网、教育网所构成的网、教育网所构成的ExtranetExtranet
37、相对应。该类型与相对应。该类型与相对应。该类型与相对应。该类型与Intranet VPNIntranet VPN没有本质的区没有本质的区没有本质的区没有本质的区别,但由于是不同集团用户别,但由于是不同集团用户别,但由于是不同集团用户别,但由于是不同集团用户的网络相互通信,所以要更的网络相互通信,所以要更的网络相互通信,所以要更的网络相互通信,所以要更多的考虑设备的互连,地址多的考虑设备的互连,地址多的考虑设备的互连,地址多的考虑设备的互连,地址的协调,安全策略的协商等的协调,安全策略的协商等的协调,安全策略的协商等的协调,安全策略的协商等问题。问题。问题。问题。2009.22009.2人民邮电
38、出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第2626页页基于基于VPN的业务隔离的业务隔离 例如,市工商局下属有例如,市工商局下属有例如,市工商局下属有例如,市工商局下属有2 2个工商所,工商所与局机关分别相个工商所,工商所与局机关分别相个工商所,工商所与局机关分别相个工商所,工商所与局机关分别相距距距距6.2Km9.6Km6.2Km9.6Km。工商局和下属。工商局和下属。工商局和下属。工商局和下属2 2个所均建立了办公局域网,个所均建立了办公局域网,个所均建立了办公局域网,个所均建立了办公局域网,通过支持通过支持通过支持通过支持VPNVPN接口的防
39、火墙连接电子政务城域网。工商所分接口的防火墙连接电子政务城域网。工商所分接口的防火墙连接电子政务城域网。工商所分接口的防火墙连接电子政务城域网。工商所分支网络与工商局网络分别建立安全隧道后,工商所分支网络支网络与工商局网络分别建立安全隧道后,工商所分支网络支网络与工商局网络分别建立安全隧道后,工商所分支网络支网络与工商局网络分别建立安全隧道后,工商所分支网络可以与工商局网络安全通信,工商所分支网络之间也可以安可以与工商局网络安全通信,工商所分支网络之间也可以安可以与工商局网络安全通信,工商所分支网络之间也可以安可以与工商局网络安全通信,工商所分支网络之间也可以安全通信。这样大大的减少了隧道的配
40、置条数。全通信。这样大大的减少了隧道的配置条数。全通信。这样大大的减少了隧道的配置条数。全通信。这样大大的减少了隧道的配置条数。2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第2727页页多协议标签交换技术多协议标签交换技术多协议标签交换技术多协议标签交换技术(MPLSMPLS,Multi Protocol Label Multi Protocol Label SwitchingSwitching)是在)是在)是在)是在CiscoCisco公司所提出来的公司所提出来的公司所提出来的公司所提出来的Tag SwitchingT
41、ag Switching技术基技术基技术基技术基础上发展起来的,属于第三层交换技术。础上发展起来的,属于第三层交换技术。础上发展起来的,属于第三层交换技术。础上发展起来的,属于第三层交换技术。9.3.4基于MPLS的业务隔离边缘路由器边缘路由器 交换路由器交换路由器 交换路径交换路径2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第2828页页MPLS的工作流程的工作流程 LSRLSR可以看作是可以看作是可以看作是可以看作是ATMATM交换机与传统路由器的结合,由控制交换机与传统路由器的结合,由控制交换机与传统路由器的结合,
42、由控制交换机与传统路由器的结合,由控制单元和交换单元组成。单元和交换单元组成。单元和交换单元组成。单元和交换单元组成。LERLER的作用是分析的作用是分析的作用是分析的作用是分析IPIP包头,决定相应包头,决定相应包头,决定相应包头,决定相应的传送级别和标签交换路径(的传送级别和标签交换路径(的传送级别和标签交换路径(的传送级别和标签交换路径(LSPLSP)。)。)。)。网络边缘行为。当网络边缘行为。当网络边缘行为。当网络边缘行为。当IPIP数据包到达一个数据包到达一个数据包到达一个数据包到达一个LERLER时,时,时,时,MPLSMPLS第一第一第一第一次应用标记次应用标记次应用标记次应用标
43、记 网络核心行为。当一个带有标记的包到达网络核心行为。当一个带有标记的包到达网络核心行为。当一个带有标记的包到达网络核心行为。当一个带有标记的包到达LSRLSR的时候,的时候,的时候,的时候,LSRLSR提取入局标记,同时以它作为索引在标记信息库中查找。提取入局标记,同时以它作为索引在标记信息库中查找。提取入局标记,同时以它作为索引在标记信息库中查找。提取入局标记,同时以它作为索引在标记信息库中查找。建立标记交换路径。第一种,逐跳寻径(建立标记交换路径。第一种,逐跳寻径(建立标记交换路径。第一种,逐跳寻径(建立标记交换路径。第一种,逐跳寻径(Hop by HopHop by Hop)路)路)路
44、)路由,第二种,显式路由。由,第二种,显式路由。由,第二种,显式路由。由,第二种,显式路由。ER-LSPER-LSP从源端到目的端建立一条直接的端到端的路径。从源端到目的端建立一条直接的端到端的路径。从源端到目的端建立一条直接的端到端的路径。从源端到目的端建立一条直接的端到端的路径。MPLSMPLS将显式路由嵌入到限制路由的标记分配协议的信息中,将显式路由嵌入到限制路由的标记分配协议的信息中,将显式路由嵌入到限制路由的标记分配协议的信息中,将显式路由嵌入到限制路由的标记分配协议的信息中,从而建立这条路径。从而建立这条路径。从而建立这条路径。从而建立这条路径。2009.22009.2人民邮电出版
45、社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第2929页页MPLS VPNMPLS VPN框架结构中包括框架结构中包括框架结构中包括框架结构中包括P P(P routersP routers)、)、)、)、PEPE(Provider Provider EdgeEdge)、)、)、)、CECE(Custom EdgeCustom Edge)等设备。)等设备。)等设备。)等设备。P P代表骨干网中不与代表骨干网中不与代表骨干网中不与代表骨干网中不与CECE直接相连的路由器,不感知直接相连的路由器,不感知直接相连的路由器,不感知直接相连的路由器,不感知VPNVP
46、N。PEPE代表骨干网中的边缘路由器,它直接与用户的代表骨干网中的边缘路由器,它直接与用户的代表骨干网中的边缘路由器,它直接与用户的代表骨干网中的边缘路由器,它直接与用户的CECE相连,相连,相连,相连,实施实施实施实施VPNVPN主要功能。主要功能。主要功能。主要功能。CECE代表用户网络中直接与骨干网相连的边缘设备(路由器代表用户网络中直接与骨干网相连的边缘设备(路由器代表用户网络中直接与骨干网相连的边缘设备(路由器代表用户网络中直接与骨干网相连的边缘设备(路由器或防火墙),不感知或防火墙),不感知或防火墙),不感知或防火墙),不感知VPNVPN,只需支持标准的,只需支持标准的,只需支持标
47、准的,只需支持标准的IPIP功能即可。功能即可。功能即可。功能即可。三种设备中,真正参与三种设备中,真正参与三种设备中,真正参与三种设备中,真正参与VPNVPN业务部署的只有业务部署的只有业务部署的只有业务部署的只有PEPE设备,也就设备,也就设备,也就设备,也就是说是说是说是说MPLS VPNMPLS VPN业务的智能化和业务压力都集中在业务的智能化和业务压力都集中在业务的智能化和业务压力都集中在业务的智能化和业务压力都集中在PEPE设备上。设备上。设备上。设备上。基于基于MPLS VPN的纵向业务隔离的纵向业务隔离 2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网
48、络工程规划教材世纪高等院校网络工程规划教材第第3030页页基于基于HoPE的的MPLS VPN结构结构华华华华为为为为公公公公司司司司在在在在20022002年年年年提提提提出出出出的的的的分分分分层层层层PEPE技技技技术术术术(HoPEHoPE,Hierarchy Hierarchy of of PEPE)很很很很好好好好地地地地修修修修补补补补了了了了三三三三层层层层MPLS MPLS VPNVPN技技技技术术术术的的的的先先先先天天天天不不不不足足足足,在在在在网网网网络络络络建建建建构成本许可的前提下,享受构成本许可的前提下,享受构成本许可的前提下,享受构成本许可的前提下,享受MPL
49、S VPNMPLS VPN的好处。的好处。的好处。的好处。用户端用户端PE 服务提供端服务提供端PE 在这种架构中,在这种架构中,UPEUPE功能和传统的功能和传统的PEPE一样,但性能要求要低一样,但性能要求要低得多,而得多,而SPESPE要在传统要在传统PEPE的基础上增加功能的基础上增加功能.2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第3131页页9.4 Windows安全通信技术安全通信技术Windows身份验证身份验证 SSL与与HTTPS协议协议 IPSec协议协议 RPC加密加密 点对点安全性点对点安全性
50、 2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第3232页页9.4.1Windows身份验证平台级身份验证平台级身份验证平台级身份验证平台级身份验证基本身份验证基本身份验证。可使用IIS配置Web服务(WebServices)的虚拟目录,以便进行基本身份验证。使用此方法,客户端必须配置代理服务器,并提供用户名和密码形式的凭据。然后代理服务器将通过它的每个Web服务请求一起传输。凭据是以明文形式传输的,使用基于SSL(SecureSocketLayer,安全套接层)的基本身份验证集成的集成的Windows身份验证身份验证。