虛擬專用網(wǎng)要點課件

虛擬專用網(wǎng)虛擬專用網(wǎng)（VPN）VPN基礎(chǔ)VPN的實現(xiàn)技術(shù)VPN安全VPN的構(gòu)建VPN產(chǎn)品VPN的維護VPN的發(fā)展總結(jié)【1】VPN基礎(chǔ)1.1什么是VPN虛擬專用網(wǎng)（VPN,virtualprivatenetwork），依靠ISP（因特網(wǎng)服務(wù)提供商）和其他NSP（網(wǎng)絡(luò)服務(wù)提供商），在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)。IETF草案基于IP的VPN“使用IP機制仿真出一個私有的廣域網(wǎng)”，是通過私有的隧道技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點到點的專線技術(shù)。所謂虛擬，是指用戶不再需要擁有實際的長途數(shù)據(jù)線路，而是使用因特網(wǎng)公眾數(shù)據(jù)網(wǎng)絡(luò)的長途數(shù)據(jù)線路。所謂專用網(wǎng)絡(luò)，是指用戶可以為自己制定一個最符合自己需求的網(wǎng)絡(luò)。1.2VPN的工作原理網(wǎng)絡(luò)經(jīng)常使用多種協(xié)議如IPX和NetBEUI進行通信，但因特網(wǎng)只能處理IP流量。所以，VPN就需要提供一種方法，將非IP協(xié)議從一個網(wǎng)絡(luò)傳送到另一個網(wǎng)絡(luò)。 網(wǎng)上傳輸?shù)臄?shù)據(jù)包以明文格式傳輸。因而，只要看得到因特網(wǎng)流量，也能讀取包內(nèi)所含數(shù)據(jù)。如果公司希望利用因特網(wǎng)傳輸重要的商業(yè)機密信息，這顯然是一個問題。VPN克服這些障礙的辦法就是采用了隧道技術(shù)：數(shù)據(jù)包不是公開在網(wǎng)上傳輸，而是首先進行加密以確保安全，然后由VPN封裝成IP包的形式，通過隧道在網(wǎng)上傳輸。1.3VPN的特點1.3.1VPN的優(yōu)點 （1）實現(xiàn)網(wǎng)絡(luò)安全 （2）簡化網(wǎng)絡(luò)設(shè)計 （3）降低成本 （4）容易擴展 （5）可隨意與合作伙伴聯(lián)網(wǎng) （6）完全控制主動權(quán) （7）支持新興應(yīng)用1.3.2VPN的缺點 （1）VPN的服務(wù)提供商們只保證數(shù)據(jù)在其管轄范圍內(nèi)的性能，一旦出了其"轄區(qū)"則安全沒有保證。 （2）VPN的管理流程和平臺相對于其他遠(yuǎn)程接入服務(wù)器或其他網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)備來說，有時并不太好用。 （3）不同廠商的VPN的管理和配置掌握起來是最難的，這需要同時熟悉不同廠商的執(zhí)行方式，包括不同的術(shù)語。VPN適用范圍位置眾多，特別是單個用戶和遠(yuǎn)程辦公室站點多。用戶/站點分布范圍廣，彼此之間的距離遠(yuǎn)。帶寬和時延要求相對適中。對線路保密性和可用性有一定要求。1.4VPN的體系結(jié)構(gòu)1.4.1網(wǎng)絡(luò)服務(wù)商提供的VPN

網(wǎng)絡(luò)服務(wù)供應(yīng)商將在公司現(xiàn)場放置一個設(shè)備來創(chuàng)建VPN隧道。 防火墻也可能被添加到這種類型的環(huán)境中，通常在網(wǎng)絡(luò)設(shè)備前端或其中間。以太網(wǎng)1.4.2基于防火墻的VPN

基于防火墻的VPN很可能是VPN最常見的一種實現(xiàn)方式。

以太網(wǎng)1.4.3基于黑匣的VPN

廠商只提供一個黑匣。這是加載了加密軟件以創(chuàng)建VPN隧道的一個基本的設(shè)備。

以太網(wǎng)

以太網(wǎng)1.5VPN的應(yīng)用領(lǐng)域內(nèi)聯(lián)網(wǎng)VPN外聯(lián)網(wǎng)VPN遠(yuǎn)程接入VPN1.5.1內(nèi)聯(lián)網(wǎng)VPN（IntranetVPN）內(nèi)聯(lián)網(wǎng)VPN業(yè)務(wù)用于連接公司內(nèi)部各辦事處，可以建立企業(yè)總部及分支機構(gòu)間的安全連接，為企業(yè)現(xiàn)有的專線網(wǎng)絡(luò)增加或建立新的帶寬。只有企業(yè)分支機構(gòu)和服務(wù)供應(yīng)商之間的線路需要收費，不再需要從企業(yè)總部到企業(yè)分支機構(gòu)的專線連接。1.5.2外聯(lián)網(wǎng)VPN（ExtranetVPN）

外聯(lián)網(wǎng)VPN業(yè)務(wù)用于將公司與外部供應(yīng)商、客戶及其他利益相關(guān)群體相連接。

外聯(lián)網(wǎng)使公司與其供應(yīng)商、銷售商和客戶之間能進行電子商務(wù)等活動，其最主要的好處是改善提供商務(wù)的速度和效率。

早期漫游應(yīng)用1.5.3遠(yuǎn)程接入VPN（AccessVPN） 通過接入VPN提供的移動用戶接入企業(yè)網(wǎng)的業(yè)務(wù)充分利用因特網(wǎng)資源，通過共享的IP網(wǎng)絡(luò)承載用戶業(yè)務(wù)，使業(yè)務(wù)提供成本大大降低。1.6VPN的應(yīng)用平臺純軟件平臺專用硬件平臺輔助平臺1.6.1純軟件平臺VPN

對數(shù)據(jù)傳輸速率﹑安全等性能要求不高時，可利用某些知名公司（Citrix﹑AventialCorp.﹑CheckPointSoftware等）基于純軟件的VPN產(chǎn)品來實現(xiàn)簡潔的VPN功能。其中包括了VPN的應(yīng)用軟件﹑應(yīng)用服務(wù)器和用戶產(chǎn)品軟件等，可運行于微軟的WindowsNT/2000Server﹑Macintosh﹑Linux和Sun公司的Solaris等網(wǎng)絡(luò)操作系統(tǒng)平臺。1.6.2專用硬件平臺VPN

專用硬件平臺具有較好的通信性能，可提供快捷的服務(wù)，滿足公司﹑企業(yè)和特定用戶對數(shù)據(jù)安全和通信性能需要。 功能涵蓋安全性、隧道協(xié)議、過濾、支持策略、服務(wù)質(zhì)量等，且具有擴展性、靈活性、可靠性和可管理性。1.6.3輔助硬件平臺VPN

性能介于軟件平臺和特定硬件平臺的VPN間，它基于現(xiàn)有網(wǎng)絡(luò)設(shè)施，再添加適當(dāng)?shù)腣PN軟件來實現(xiàn)虛擬專用網(wǎng)的功能。1.7VPN的基本功能特征不透明包傳輸數(shù)據(jù)安全性Qos保證隧道機制1.7.1不透明包傳輸 不透明包傳輸意味著VPN的實施不應(yīng)該對用戶網(wǎng)絡(luò)所使用的網(wǎng)絡(luò)協(xié)議和編址方式做出任何限制。1.7.2數(shù)據(jù)的安全性 任何VPN都應(yīng)該同時支持兩種實施方式。 （1）用戶不信任運營商。用戶自己負(fù)責(zé)所傳遞數(shù)據(jù)的安全性，VPN數(shù)據(jù)的安全性取決于用戶所使用的防火墻以及所使用的隧道協(xié)議的安全性等具體實施時的多方面因素。 （2）用戶信任運營商。防火墻功能以及包傳輸?shù)陌踩员ＷC都是由運營商提供。1.7.3QoS保證 建立在物理層或鏈路層基礎(chǔ)之上的專用網(wǎng)技術(shù)也提供了不同類型的QoS保證。

IPVPN的QoS保證主要依賴于IP骨干網(wǎng)基礎(chǔ)設(shè)施的相應(yīng)能力，隨著IPQoS技術(shù)的發(fā)展，VPN也必將利用這些手段使VPN系統(tǒng)具有QoS保證的能力。1.7.4隧道機制 隧道使用特定的格式，可以提供某種程度的數(shù)據(jù)安全保證，如IPSec。 另外，這樣的隧道機制可以隨著IP數(shù)據(jù)流量管理機制的發(fā)展而發(fā)展。【2】VPN的實現(xiàn)技術(shù)隧道技術(shù)加密技術(shù)Qos技術(shù)2.1實現(xiàn)VPN的隧道技術(shù)為了能夠有在公網(wǎng)中形成的企業(yè)專用的鏈路網(wǎng)絡(luò)，VPN采用了所謂的“隧道”技術(shù)，模仿點到點連接技術(shù)，依靠ISP和其他的網(wǎng)絡(luò)服務(wù)提供商（NSP）在公網(wǎng)中建立自己專用的“隧道”，讓數(shù)據(jù)包通過隧道傳輸。對不同信息源，可分別給它們開出不同的隧道。2.1.1IP隧道的封裝封裝是構(gòu)建隧道的基本手段，使得IP隧道實現(xiàn)了信息隱蔽和抽象，為IPVPN提供網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）和多協(xié)議支持等機制奠定了基礎(chǔ)。封裝器和解包器都有它們所屬的用戶空間和封裝空間得IP地址。封裝注意事項（1）源和目的實體不知道任何隧道的存在。（2）在隧道的2個端點使用該過程，需要封裝器和解包器兩個新的實體，這是非常重要的一點。（3）封裝器和解包器必須相互知曉，但不必知道在它們之間的網(wǎng)絡(luò)上的任何細(xì)節(jié)。2.1.2IP隧道的實現(xiàn)IP隧道的實現(xiàn)機制主要涉及2個方面：（1）第二層與第三層隧道的問題。（2）在網(wǎng)絡(luò)的什么層次上實現(xiàn)IP隧道的問題。2.1.3隧道類型自愿隧道（Voluntarytunnel）強制隧道（Compulsorytunnel）自愿隧道當(dāng)一臺工作站或路由器使用隧道客戶軟件創(chuàng)建到目標(biāo)隧道服務(wù)器的虛擬連接時建立自愿隧道。為實現(xiàn)這一目的，客戶端計算機必須安裝適當(dāng)?shù)乃淼绤f(xié)議。

對企業(yè)內(nèi)部網(wǎng)絡(luò)來說，客戶機已經(jīng)具有同企業(yè)網(wǎng)絡(luò)的連接，由企業(yè)網(wǎng)絡(luò)為封裝負(fù)載數(shù)據(jù)提供到目標(biāo)隧道服務(wù)器路由。強制隧道客戶只能使用由FEP創(chuàng)建的隧道，所以稱為強制隧道。一旦最初的連接成功，所有客戶端的數(shù)據(jù)流將自動的通過隧道發(fā)送。使用強制隧道，客戶端計算機建立單一的PPP連接，當(dāng)客戶撥入NAS時，一條隧道將被創(chuàng)建，所有的數(shù)據(jù)流自動通過該隧道路由。2.1.4形成隧道的基本要素（1）有隧道開通器；（2）有路由能力的公用網(wǎng)絡(luò)；（3）有一個或多個隧道終止器；（4）必要時增加一個隧道交換機以增加靈活性。2.2實現(xiàn)VPN的隧道協(xié)議為創(chuàng)建隧道，隧道的客戶機和服務(wù)器雙方必須使用相同的隧道協(xié)議。

第2層隧道協(xié)議對應(yīng)OSI模型中的數(shù)據(jù)鏈路層，使用楨作為數(shù)據(jù)交換單位。

第3層隧道技術(shù)通常假定所有配置問題已經(jīng)通過手工過程完成。2.2.1PPTP協(xié)議點對點隧道協(xié)議(Point-to-PointTunnelingProtocol，PPTP)。PPTP將PPP作為遠(yuǎn)程訪問協(xié)議，用來在基于TCP／IP的網(wǎng)絡(luò)上發(fā)送多協(xié)議數(shù)據(jù)。PPTP的一個特別好的優(yōu)點就是它的應(yīng)用較為簡單。PPP協(xié)議點對點協(xié)議(ThePoint-to-PointProtocol），PPP協(xié)議主要是設(shè)計用來通過撥號或?qū)＞€方式建立點對點連接發(fā)送數(shù)據(jù)。創(chuàng)建PPP鏈路。用戶驗證PPP回叫控制（callbackcontrol）調(diào)用網(wǎng)絡(luò)層協(xié)議通用路由封裝協(xié)議（GRE）GRE隧道通常是點到點的，即隧道只有一個源地址和一個終地址。然而也有一些實現(xiàn)允許點到多點，即一個源地址對多個終地址。GRE隧道技術(shù)是用在路由器中的，可以滿足ExtranetVPN以及IntranetVPN的需求。2.2.2L2F協(xié)議L2F是Cisco公司提出的隧道技術(shù)，作為一種傳輸協(xié)議L2F支持撥號接入服務(wù)器將撥號數(shù)據(jù)流封裝在PPP楨內(nèi)通過廣域網(wǎng)鏈路傳送到L2F服務(wù)器（路由器）。L2F服務(wù)器把數(shù)據(jù)包解包之重新注入網(wǎng)絡(luò)。與PPTP和L2TP不同，L2F沒有確定的客戶方。應(yīng)當(dāng)注意L2F只在強制隧道中有效。2.2.3L2TP協(xié)議第二層隧道協(xié)議(Layer2TunnelingProtocol，L2TP)。L2TP主要由訪問集中器LAC（L2PTAccessConcentrator）和網(wǎng)絡(luò)服務(wù)器LNS（L2TPNetworkServer）構(gòu)成。典型L2TPL2TP特性用戶驗證令牌卡（Tokencard）支持動態(tài)地址分配數(shù)據(jù)壓縮數(shù)據(jù)加密密鑰管理多協(xié)議支持2.2.4IPSec協(xié)議IPSec加密技術(shù)是在隧道外面再封裝，保證了隧道在傳輸過程中的安全性。IPSec是一個第三層VPN協(xié)議標(biāo)準(zhǔn)，它支持信息通過IP公網(wǎng)的安全傳輸。IPSec主要由AH（認(rèn)證頭）協(xié)議,ESP（封裝安全載荷）協(xié)議,以及負(fù)責(zé)密鑰管理的IKE（因特網(wǎng)密鑰交換）協(xié)議組成IPSec體系結(jié)構(gòu)AH協(xié)議頭格式封裝載荷（ESP）協(xié)議2.3VPN的加密技術(shù)在VPN中，對通過公共互聯(lián)網(wǎng)絡(luò)傳遞的數(shù)據(jù)必須經(jīng)過加密，從而確保網(wǎng)絡(luò)上未授權(quán)的用戶無法讀取該信息。可以說密碼技術(shù)是網(wǎng)絡(luò)安全的核心問題。2.3.1兩種加密方法對稱式，加密和解密使用同一個密鑰。非對稱式，加密和解密所使用的不是同一個密鑰，通常有兩個密鑰，稱為“公鑰”和“私鑰”，它們兩個必需配對使用。2.3.2證書為保證公用密鑰的完整性，公用密鑰隨證書一同發(fā)布。證書（或公用密鑰證書）是一種經(jīng)過證書簽發(fā)機構(gòu)（CA）數(shù)字簽名的數(shù)據(jù)結(jié)構(gòu)。2.3.3摘要函數(shù)這些函數(shù)的輸入可以是任意大小的消息，而輸出是一個固定長度的摘要。如果改變了輸入消息中的任何東西，甚至只有一位，輸出的摘要將會發(fā)生不可預(yù)測的改變。2.3.4密鑰的管理密鑰的使用要注意時效和次數(shù)。一般強調(diào)僅將一個對話密鑰用于一條信息中或一次對話中，或者建立一種按時更換密鑰的機制以減小密鑰暴露的可能性。多密鑰的管理。密鑰一次性由系統(tǒng)自動產(chǎn)生。2.3.5數(shù)據(jù)加密標(biāo)準(zhǔn)DES（DataEncryptionStandard）。使用56位密鑰對64位的數(shù)據(jù)塊進行加密，并對64位的數(shù)據(jù)塊進行16輪編碼。RSA（RivestShamirAdleman）。基于大數(shù)不可能被質(zhì)因數(shù)分解假設(shè)的公鑰體系。2.4VPN的QoS技術(shù)虛擬專用網(wǎng)要想成為用戶真正的選擇，必須能夠保障一定的帶寬﹑可靠性和安全性。網(wǎng)絡(luò)需要根據(jù)不同的需要分配不同的帶寬，從而避免網(wǎng)絡(luò)擁塞現(xiàn)象的發(fā)生。為此，有必要設(shè)計一種QoS策略控制方案來控制數(shù)據(jù)流量。2.4.1QoS的定義IPQoS是指IP的服務(wù)質(zhì)量,也是指IP數(shù)據(jù)流通過網(wǎng)絡(luò)時的性能。度量指標(biāo)有：（1）業(yè)務(wù)可用性。（2）延遲。（3）可變延遲，也稱為抖動，Jitter。（4）吞吐量。（5）丟包率。2.4.2QoS解決方案綜合業(yè)務(wù)模型（Int-Serv）。區(qū)分業(yè)務(wù)模型（Diff-serv）。多協(xié)議標(biāo)記交換（MPLS）。流量工程和約束路由。2.4.3綜合業(yè)務(wù)模型綜合業(yè)務(wù)模型（Int-serv：Integratedservice）的基本思想是“所有的流相關(guān)狀態(tài)信息應(yīng)該是在端系統(tǒng)上”,它基于每個流（單個的或是匯聚的）提供端到端的保證或是受控負(fù)載的服務(wù)（controlled-loadservice）。Int-Serv框架使IP網(wǎng)能夠提供具有QoS的傳輸，以用于對QoS要求較為嚴(yán)格的實時業(yè)務(wù)（聲音/視頻）。2.4.4區(qū)分業(yè)務(wù)模型區(qū)分業(yè)務(wù)（Diff-serv）模型，拋棄了分組流沿路節(jié)點上的資源預(yù)留。區(qū)分服務(wù)將會有效地取代跨越大范圍的RSVP的使用。區(qū)分服務(wù)區(qū)域的主要成員有：核心路由器、邊緣路由器、資源控制器（BB，BandwidthBroker）。2.4.5業(yè)務(wù)模型與綜合業(yè)務(wù)模型IETF建議了兩種互操作方式：一種方法是將綜合業(yè)務(wù)覆蓋在區(qū)別型業(yè)務(wù)網(wǎng)上，RSVP信令完全透明地通過區(qū)別型業(yè)務(wù)網(wǎng)。另外一種方法是簡單的并行處理。區(qū)別型業(yè)務(wù)網(wǎng)中的每個節(jié)點可能也是具有RSVP功能的。2.4.6MPLS技術(shù)多協(xié)議標(biāo)簽交換（MPLS），它將靈活的三層IP選路和高速的二層交換技術(shù)完美地結(jié)合起來，從而彌補了傳統(tǒng)IP網(wǎng)絡(luò)的許多缺陷。引入了新的標(biāo)簽結(jié)構(gòu)，對IP網(wǎng)絡(luò)的改變較大，引入了“顯式路由”機制，標(biāo)簽邊界路由器LER，標(biāo)簽交換路由器LSR，對QoS提供了更為可靠的保證。MPLS工作原理基于MPLS的IPVPN2.4.7流量工程將業(yè)務(wù)流映射到現(xiàn)有物理拓?fù)渖系娜蝿?wù)被稱作流量工程。流量工程可以在ISP網(wǎng)絡(luò)內(nèi)實現(xiàn)將業(yè)務(wù)流從通過內(nèi)部網(wǎng)關(guān)協(xié)議IGP，選擇的最短路徑，轉(zhuǎn)移至另一條潛在的、具有更少阻塞的物理路徑上去。流量工程路徑與IGP最短路徑比較2.4.8約束路由約束路由是在多重條件限制下計算路由。約束路由對服務(wù)質(zhì)量路由進行了擴展，目標(biāo)是：（1）選擇能滿足一定服務(wù)質(zhì)量要求的路由。（2）避免擁塞并改善網(wǎng)絡(luò)的效用。（3）提高網(wǎng)絡(luò)的利用率。2.4.9IPV6的QoS控制策略IPv6提供一定的QoS控制策略。首先，IPv6分組頭定義了一個4比特的優(yōu)先級區(qū)域，可以指示16種優(yōu)先級別。其次，這一優(yōu)先級區(qū)域的使用與IPv4的ToS區(qū)域的使用非常相似。【3】VPN安全分析通信過程可能遇到的威脅。常見地網(wǎng)絡(luò)攻擊方法。加密技術(shù)。認(rèn)證技術(shù)。3.1基本安全威脅IP網(wǎng)是不安全的，在其上傳遞信息時存在安全威脅。一條端到端的數(shù)據(jù)通路通常由以下三個部分網(wǎng)絡(luò)組成：接入網(wǎng)、公用IP網(wǎng)和企業(yè)內(nèi)部網(wǎng)，而在這些組成部分的任何地方都有可能出現(xiàn)數(shù)據(jù)安全隱患。3.1.1接入網(wǎng)段接入網(wǎng)段負(fù)責(zé)把用戶的數(shù)據(jù)直接傳遞給運營商的網(wǎng)絡(luò)邊緣設(shè)備（如接入服務(wù)器或接入路由器）。一般認(rèn)為接入網(wǎng)段所面臨的威脅比較小，因此即使是普遍認(rèn)為很安全的專用網(wǎng)或ATM/FR方式的VPN，運營商在接入網(wǎng)段一般也都不需要提供安全保證。3.1.2公用IP網(wǎng)段在公用IP網(wǎng)段傳遞數(shù)據(jù)，即使采用了隧道機制，但如果沒有相應(yīng)的安全措施，也會面臨很多安全威脅。IP包在傳遞過程中也有可能回存在安全風(fēng)險。3.1.3企業(yè)內(nèi)部網(wǎng)絡(luò)段安全攻擊主要來自企業(yè)內(nèi)部網(wǎng)。除非企業(yè)網(wǎng)中的所有主機、服務(wù)器和路由器都是值得信賴的，否則公司內(nèi)部的員工就有可能利用企業(yè)網(wǎng)的設(shè)備進行攻擊。3.2安全性攻擊3.2.1常見攻擊方法拒絕服務(wù)攻擊地址欺騙攻擊會話劫持信號包探測程序攻擊常見攻擊方法破獲密鑰攻擊數(shù)據(jù)修改中間人攻擊回訪攻擊強力攻擊口令猜測器和字典攻擊3.2.2針對IPSec攻擊實現(xiàn)方式攻擊。密鑰管理攻擊。管理員和通配符攻擊。客戶機認(rèn)證。3.2.3針對PPTP的攻擊攻擊GRE。在原有的GRE中并沒有強制使用分組序號，這留給特定廠商地實現(xiàn)來完成，出現(xiàn)錯誤或重復(fù)序號時，GRE沒有說明終端處理地方法，有可能僅僅是忽略掉，這樣PPP分組就可以被欺騙。攻擊口令。PPTP的一個弱點就是它依賴于PPP，在進行任何通信之前，PPP建立和初始化通信參數(shù)，因為PPP沒有對這些分組進行認(rèn)證，像中間人攻擊和欺騙都有可能發(fā)生。3.3安全防御VPN使用三個方面的技術(shù)保證通信的安全：隧道協(xié)議。身份驗證。數(shù)據(jù)加密。3.3.1加密技術(shù)對稱加密。加解密雙方在加解密過程中使用相同的密碼。非對稱加密，加密和解密涉及兩種不同的密鑰。3.3.2認(rèn)證技術(shù)認(rèn)證過程控制個人用戶對網(wǎng)絡(luò)業(yè)務(wù)的訪問，避免未授權(quán)用戶擅自訪問。認(rèn)證業(yè)務(wù)也被放在使用網(wǎng)絡(luò)訪問服務(wù)器（NAS）的認(rèn)證客戶機/服務(wù)器模型中，NAS服務(wù)器是客戶機認(rèn)證和授權(quán)的執(zhí)行者，而安全服務(wù)器持有用戶的配置信息。Kerberos認(rèn)證協(xié)議該協(xié)議允許在客戶機上運行的一個過程向Kerberos服務(wù)器證實自己的身份，而不必在網(wǎng)絡(luò)上發(fā)送數(shù)據(jù)，這樣可以避免攻擊者冒充當(dāng)事人。Kerberos是一個對稱DES加密系統(tǒng)，它使用一個集中式的專鑰密碼功能，這個系統(tǒng)的核心是密鑰分配中心（KDC）。RADIUS認(rèn)證協(xié)議RADIUS是一個分布式安全系統(tǒng)，能保證到網(wǎng)絡(luò)和網(wǎng)絡(luò)業(yè)務(wù)中的安全遠(yuǎn)程訪問，而禁止未經(jīng)授權(quán)、使用UDP協(xié)議的訪問。RADIUS認(rèn)證需要兩個組件，認(rèn)證服務(wù)器和客戶機協(xié)議。3.4遠(yuǎn)程用戶安全防御所有遠(yuǎn)程工作人員必須被批準(zhǔn)使用VPN；所有遠(yuǎn)程工作人員需要有個人防火墻，它不僅防止計算機被侵入，還能記錄連接被掃描了多少次；所有的遠(yuǎn)程工作人員應(yīng)具有入侵檢測系統(tǒng)，提供對黑客攻擊信息的記錄；監(jiān)控安裝在遠(yuǎn)端系統(tǒng)中的軟件，并將其限制只能在工作中使用；遠(yuǎn)程用戶安全防御IT人員需要對這些系統(tǒng)進行與辦公室系統(tǒng)同樣的定期性預(yù)定檢查；外出工作人員應(yīng)對敏感文件進行加密；安裝要求輸入密碼的訪問控制程序，如果輸入密碼錯誤，則通過Modem向系統(tǒng)管理員發(fā)出警報；當(dāng)選擇DSL供應(yīng)商時，應(yīng)選擇能夠提供安全防護功能的供應(yīng)商?！?】VPN的構(gòu)建4.1構(gòu)建VPN的優(yōu)勢。 企業(yè)VPN解決方案將大幅度地減少用戶花費在WAN和遠(yuǎn)程網(wǎng)絡(luò)連接上的費用。簡化網(wǎng)絡(luò)的設(shè)計和管理，加速連接新的用戶和網(wǎng)站?？梢员Ｗo現(xiàn)有的網(wǎng)絡(luò)投資。4.1.1對VPN的要求VPN的可用性VPN的安全性VPN的可擴展性VPN的可管理性VPN的建設(shè)及運營維護成本。4.1.2安全解決辦法一個成功的VPN方案應(yīng)當(dāng)能夠滿足：用戶驗證。地址管理。數(shù)據(jù)加密。密鑰管理。多協(xié)議支持。4.2AccessVPN方案AccessVPN，通過一個擁有與專用網(wǎng)絡(luò)相同策略的共享基礎(chǔ)設(shè)施，提供對企業(yè)內(nèi)部網(wǎng)或外部網(wǎng)的遠(yuǎn)程訪問。AccessVPN包括模擬、撥號、ISDN、數(shù)字用戶線路(xDSL)、移動IP和電纜技術(shù)，能夠安全地連接移動用戶、遠(yuǎn)程工作者或分支機構(gòu)。AccessVPN應(yīng)用4.3IntranetVPN方案IntranetVPN通過一個使用專用連接的共享基礎(chǔ)設(shè)施，連接企業(yè)總部、遠(yuǎn)程辦事處和分支機構(gòu)。企業(yè)擁有與專用網(wǎng)絡(luò)的相同政策，包括安全、服務(wù)質(zhì)量(QoS)、可管理性和可靠性。IntranetVPN應(yīng)用4.4ExtranetVPN方案ExtranetVPN通過一個使用專用連接的共享基礎(chǔ)設(shè)施，將客戶、供應(yīng)商、合作伙伴或興趣群體連接到企業(yè)內(nèi)部網(wǎng)。企業(yè)擁有與專用網(wǎng)絡(luò)的相同政策，包括安全、服務(wù)質(zhì)量(QoS)、可管理性和可靠性。ExtranetVPN應(yīng)用4.5VPN的構(gòu)建步驟規(guī)劃VPN。選擇VPN產(chǎn)品。配置VPN網(wǎng)絡(luò)。部署VPN網(wǎng)絡(luò)應(yīng)用。4.6VPN成功案例專用廣域網(wǎng)都對網(wǎng)絡(luò)的安全性提出了需求。專用廣域網(wǎng)用戶的需求大致可分為實時性安全性靈活性三個方面的需求。不同需求各企業(yè)網(wǎng)對靈活性提出了很高的要求，同時要求數(shù)據(jù)的安全傳輸，但對實時性一般要求不高；各政府網(wǎng)、司局網(wǎng)對實時性要求不高，對安全性、靈活性提出了比較高的要求。銀行、證券對實時性、安全性要求很高，對靈活性幾乎不作要求。4.6.1企業(yè)VPN解決方案明確遠(yuǎn)程訪問的需求。注重管理。確定最佳的產(chǎn)品組合。需求分析分支機構(gòu)彼此分布不同地點。需要共享大量的商業(yè)數(shù)據(jù)，對接入帶寬有一定的要求。必須保證數(shù)據(jù)在傳輸過程中的安全性。解決方案低成本。4.6.2政府VPN解決方案供內(nèi)部與上級使用和交流的內(nèi)部網(wǎng)、做到政府職能上網(wǎng)的外網(wǎng)、當(dāng)?shù)卣畽M向聯(lián)系的專網(wǎng)、以及后端一個共享的數(shù)據(jù)庫。政府部門的網(wǎng)絡(luò)既需要有對外通信和開辦對外窗口、又有內(nèi)部辦公信息化的需求。電子政務(wù)網(wǎng)絡(luò)安全風(fēng)險分析物理層安全風(fēng)險：數(shù)據(jù)傳輸風(fēng)險。重要數(shù)據(jù)被破壞。網(wǎng)絡(luò)邊界風(fēng)險。網(wǎng)絡(luò)設(shè)備的安全風(fēng)險。系統(tǒng)層安全風(fēng)險主要針對電子政務(wù)專用網(wǎng)絡(luò)采用的操作系統(tǒng)、數(shù)據(jù)庫、及相關(guān)商用產(chǎn)品的安全漏洞和病毒威脅。電子政務(wù)專用網(wǎng)絡(luò)通常采用的主流操作系統(tǒng)本身在安全方面考慮較少，服務(wù)器、數(shù)據(jù)庫的安全級別較低，存在一些安全隱患。應(yīng)用層安全風(fēng)險對政務(wù)系統(tǒng)的非法訪問；用戶提交的業(yè)務(wù)信息被監(jiān)聽或修改；用戶對成功提交的業(yè)務(wù)進行事后抵賴；服務(wù)系統(tǒng)偽裝，騙取用戶口令。由于電子政務(wù)專用網(wǎng)絡(luò)對外提供WWW服務(wù)、E-MAIL服務(wù)、DNS服務(wù)等，因此存在外網(wǎng)非法用戶對服務(wù)器攻擊。管理層安全風(fēng)險責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險。要求必須對站點的訪問活動進行多層次的記錄，及時發(fā)現(xiàn)非法入侵行為。最可行的做法是管理制度和管理解決方案的結(jié)合。解決方案4.6.3銀行VPN解決方案銀行的業(yè)務(wù)性質(zhì)決定了它機構(gòu)林立，分布在不同區(qū)域。不同分（支）行、儲蓄所與本部之間，需要頻繁的信息交換，信息實時傳輸成為日常工作的基礎(chǔ)。銀行本部充當(dāng)所有接入機構(gòu)的ISP，出差人員需要接入銀行內(nèi)部網(wǎng)，以進行安全的數(shù)據(jù)傳輸。數(shù)據(jù)傳輸過程中的風(fēng)險泄露。數(shù)據(jù)在公網(wǎng)上傳輸如果不采取加密措施，就成為明文傳輸。篡改。一是內(nèi)容的篡改，二是傳輸通道的篡改。假冒。在密文傳輸?shù)臋C制下，假冒用戶成為最大的安全風(fēng)險。VPN集中管理

通過在管理中心設(shè)一套安全管理系統(tǒng)SCM（SecurityCentralManager），在VPN客戶端安裝VRC（VPNRemoteClient），方便靈活地實現(xiàn)遠(yuǎn)程集中管理。節(jié)點配置更靈活。策略管理更方便。安全更全面。【5】VPN產(chǎn)品介紹一些國內(nèi)外在VPN領(lǐng)域的主流產(chǎn)品，提供一個實際工作中設(shè)備選型的參考，使用戶在購買虛擬專用網(wǎng)的產(chǎn)品的時候能夠有章可循，。5.1國外主流產(chǎn)品CISCO在VPN方面的產(chǎn)品

IPSecVPN服務(wù)模塊VPN3000集中器系列SecurePIX535防火墻AvayaVPN及解決方案VPN防火墻AvayaVPN解決方案3ComVPN設(shè)備PathBuilderS500隧道交換機3ComSuperStack3防火墻1.5朗訊的VPN產(chǎn)品SuperPipe95/155多業(yè)務(wù)接入路由器LucentVPN方案Alcatel公司在VPN方面的產(chǎn)品Alcatel5020軟交換IPVPN應(yīng)用設(shè)備Alcatel1355虛擬專用網(wǎng)管理器Alcatel7130安全VPN網(wǎng)關(guān)系列產(chǎn)品Nokia網(wǎng)絡(luò)安全產(chǎn)品NokiaIP系列安全網(wǎng)關(guān)NokiaHorizonManager國內(nèi)主流產(chǎn)品

聯(lián)想網(wǎng)絡(luò)安全產(chǎn)品。網(wǎng)御VPN加密網(wǎng)關(guān)（SJW44）網(wǎng)御VPN客戶端安全策略管理中心（SMC）北京天融信VPN客戶端，VRCSCM自動部署系統(tǒng)ADSSCM（SecurityCentralManager）上海冰峰網(wǎng)絡(luò)ICEFLOWENTERPRISEROUTER5000EICEFLOWVPNCENTERC6500華為QuidwayEudemon1000（守護神）防火墻QuidwayR1760模塊化路由器。Quidway?R2610/R2611模塊化路由器。【6】VPN的維護1虛擬專用網(wǎng)的維護。維護工作系統(tǒng)的可以分為監(jiān)測、管理、故障排除三個主要部分。監(jiān)測主要是監(jiān)測系統(tǒng)中關(guān)鍵部位的數(shù)據(jù)傳輸量；管理工作主要集中在添加刪除用戶、用戶組，用戶的口令管理以及維護網(wǎng)絡(luò)整體性能等；故障排除，在虛擬專用網(wǎng)搭建起來以后的正常運轉(zhuǎn)期間，解決出現(xiàn)的問題。1.1虛擬專用網(wǎng)的性能評估準(zhǔn)則如果要判斷出虛擬專用網(wǎng)出現(xiàn)異常的工作狀態(tài)，作為參照標(biāo)準(zhǔn)要先知道什么樣的狀態(tài)屬于正常狀態(tài)，正常狀態(tài)的網(wǎng)絡(luò)各種參數(shù)的取值范圍。1.2監(jiān)測網(wǎng)絡(luò)狀態(tài)

需要通過監(jiān)測由VPN隧道服務(wù)器使用的網(wǎng)絡(luò)接口來建立評估準(zhǔn)則：兩個VPN協(xié)議通用的常規(guī)信息使用的隧道協(xié)議專有的信息1.3如何獲取統(tǒng)計信息比較好的VPN協(xié)議分析設(shè)備。協(xié)議分析軟件。1.4評估準(zhǔn)則的更新和使用VPN的操作會因操作用戶和時間的變化而變化，尤其值得注意的是VPN的實體INTERNET操作每天都會發(fā)生變化，因此評估準(zhǔn)則需要不斷的變化。1.5日常維護任務(wù)的計劃每天的任務(wù)每周的任務(wù)每月的任務(wù)1.6虛擬專用網(wǎng)的維護任務(wù)

監(jiān)測并統(tǒng)計的信息：發(fā)送出的數(shù)據(jù)包總數(shù)接收到的數(shù)據(jù)包總數(shù)錯誤包的數(shù)量總的應(yīng)用程序吞吐量某個特定數(shù)據(jù)包通過Internet的典型路由1.7虛擬專用網(wǎng)的用戶管理對VPN成員的管理，主要包括用戶連接的認(rèn)證、授權(quán)、計費管理以及內(nèi)部IP地址分配，VPN“隧道”建立，數(shù)據(jù)加密，用戶訪問權(quán)限管理等多個重要功能。在選擇VPN技術(shù)時，必須要考慮到管理上的要求。管理措施用戶認(rèn)證用戶監(jiān)控密鑰管理用戶地址管理數(shù)據(jù)加密1.8網(wǎng)絡(luò)層地址管理網(wǎng)絡(luò)層地址管理(NLAM)是指撥號VPN建立遠(yuǎn)端節(jié)點的網(wǎng)絡(luò)層有關(guān)協(xié)議配置(濾波器,路由協(xié)議,子網(wǎng)屏蔽等)和域名登記的能力.具有適當(dāng)容量的VPN結(jié)構(gòu)能夠支持以下服務(wù):遠(yuǎn)端授權(quán)撥號上網(wǎng)用戶服務(wù)(RADIUS,要有廠商的正確配置)、動態(tài)主機控制協(xié)議（DHCP或功能相同的協(xié)議）和域名服務(wù)（DNS）。1.9隧道管理隧道管理定義各個用戶網(wǎng)絡(luò)的驗證服務(wù)器地址、需要接入服務(wù)器設(shè)置的撥號用戶的隧道參數(shù)、隧道用戶的計費信息維護。VPN的設(shè)備生產(chǎn)商或者系統(tǒng)集成商一般會給用戶提供詳盡的VPN隧道管理軟件。對于用戶來說更多的時候VPN的隧道管理是體現(xiàn)在隧道管理的策略上的。1.10VPN的管理思想—集中管理聯(lián)想提出動態(tài)VPN方案，將網(wǎng)關(guān)與管理中心、動態(tài)域名解析方式進行整體設(shè)計，完全解決了各種情況下的端對端的安全問題。所謂動態(tài)VPN，有兩層含義，一層是作為VPN節(jié)點的VPN網(wǎng)關(guān)或VPN客戶端的IP地址的動態(tài)性（如ADSL接入地址就是動態(tài)的）；另外一層含義是訪問控制策略的動態(tài)性，與VPN所保護的業(yè)務(wù)動態(tài)性相對應(yīng)。2排除VPN的故障排除VPN的故障和排除普通網(wǎng)絡(luò)故障類似，可以參照排除一般網(wǎng)絡(luò)故障