使用VRRP提高網(wǎng)絡(luò)穩(wěn)定性 RCNP-VPN

網(wǎng)絡(luò)安全設(shè)備與技術(shù)VPN2010提綱什么是VPN為什么使用VPNVPN的應(yīng)用類型VPN的安全技術(shù)已有的VPN解決方案VPN的概念VPN能做什么VPN用在哪些環(huán)境下VPN采用的主要技術(shù)目前流行的VPN解決方案什么是VPNVPN（VirtualPrivateNetwork）技術(shù)也就是虛擬專用網(wǎng)技術(shù)，顧名思義，虛擬專用網(wǎng)不是真的專用網(wǎng)絡(luò)，但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。InternetLAN與LAN之間彼此孤立VPNTunnelVPNTunnelVPNTunnelLAN與LAN之間實(shí)現(xiàn)安全互訪LAN與LAN通過VPN技術(shù)構(gòu)建新的LAN虛擬專用網(wǎng)指的是依靠ISP（Internet服務(wù)提供商）和其它NSP（網(wǎng)絡(luò)服務(wù)提供商），在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在虛擬專用網(wǎng)中，任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組成的。所謂虛擬，是指用戶不再需要擁有實(shí)際的長途數(shù)據(jù)線路，而是使用Internet公眾數(shù)據(jù)網(wǎng)絡(luò)的長途數(shù)據(jù)線路。所謂專用網(wǎng)絡(luò)，是指用戶可以為自己制定一個(gè)最符合自己需求的網(wǎng)絡(luò)。IETF草案理解基于IP的VPN為：“使用IP機(jī)制仿真出一個(gè)私有的廣域網(wǎng)”：是通過私有的隧道技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點(diǎn)到點(diǎn)的專線技術(shù)。為什么使用VPN？用戶的需求用戶的需求是虛擬專用網(wǎng)技術(shù)誕生的直接原因隨著Internet和電子商務(wù)的蓬勃發(fā)展，經(jīng)濟(jì)全球化的最佳途徑是發(fā)展基于Internet的商務(wù)應(yīng)用。隨著商務(wù)活動(dòng)的日益頻繁，各企業(yè)開始允許其生意伙伴、供應(yīng)商也能夠訪問本企業(yè)的局域網(wǎng)，從而大大簡化信息交流的途徑，增加信息交換速度。合作和聯(lián)系是動(dòng)態(tài)的，并依靠網(wǎng)絡(luò)來維持和加強(qiáng)，于是各企業(yè)發(fā)現(xiàn)，這樣的信息交流不但帶來了網(wǎng)絡(luò)的復(fù)雜性，還帶來了管理和安全性的問題。因?yàn)镮nternet是一個(gè)全球性和開放性的、基于TCP/IP技術(shù)的、不可管理的國際互聯(lián)網(wǎng)絡(luò)，因此，基于Internet的商務(wù)活動(dòng)就面臨非善意的信息威脅和安全隱患。自身的的發(fā)展壯大與跨國化，企業(yè)的分支機(jī)構(gòu)不僅越來越多，而且相互間的網(wǎng)絡(luò)基礎(chǔ)設(shè)施互不兼容也更為普遍。因此，用戶的信息技術(shù)部門在連接分支機(jī)構(gòu)方面也感到日益棘手。信息在傳輸中可能泄密數(shù)據(jù)被黑客竊聽總部分支機(jī)構(gòu)移動(dòng)用戶A黑客我的密碼是CAF我的密碼是CAFVPN的需求之一：數(shù)據(jù)機(jī)密性保護(hù)移動(dòng)用戶BInternet信息在傳輸中可能失真總部分支機(jī)構(gòu)移動(dòng)用戶A黑客同意2000元成交VPN的需求之二：數(shù)據(jù)完整性保護(hù)移動(dòng)用戶BInternet黑客篡改數(shù)據(jù)同意

5000元成交信息的來源可能偽造的總部分支機(jī)構(gòu)黑客交易服務(wù)器VPN的需求之三：數(shù)據(jù)源發(fā)性保護(hù)移動(dòng)用戶Internet誰是真的Bob？我是Bob，請(qǐng)求交易“我是Bob”，請(qǐng)求交易信息傳輸?shù)某杀究赡芎芨咭苿?dòng)用戶APSTNPSTN長途撥號(hào)：010-163市話撥號(hào)：163上海的撥號(hào)服務(wù)器上海北京的撥號(hào)服務(wù)器10010010101010數(shù)據(jù)在公網(wǎng)傳輸不安全？長途撥號(hào)，成本太高？VPN的需求之四：降低遠(yuǎn)程傳輸成本Internet使用VPN的優(yōu)勢(shì)防止數(shù)據(jù)在公網(wǎng)傳輸中被竊聽防止數(shù)據(jù)在公網(wǎng)傳輸中被篡改可以驗(yàn)證數(shù)據(jù)的真實(shí)來源成本低廉（相對(duì)于專線、長途撥號(hào)）應(yīng)用靈活、可擴(kuò)展性好VPN的工作原理數(shù)據(jù)機(jī)密性保護(hù)的實(shí)現(xiàn)數(shù)據(jù)完整性保護(hù)的實(shí)現(xiàn)數(shù)據(jù)源發(fā)性保護(hù)的實(shí)現(xiàn)重放攻擊保護(hù)的實(shí)現(xiàn)數(shù)據(jù)機(jī)密性保護(hù)的實(shí)現(xiàn)1100111001010001010010101001000100100100000100000011001110010100010100101010010001001001000001000000明文加密解密明文保證數(shù)據(jù)在傳輸途中不被竊取發(fā)起方接受方密文·#￥^&(%#%$%^&*(!#$%*((_%$@#$%%^*&**)%$#@數(shù)據(jù)完整性保護(hù)的實(shí)現(xiàn)發(fā)起方接受方1001000101010010100001000000110110001010100010101001000101010010100001000000110110001010HashHash100010101001000101010010100001000000110110001010是否一樣？防止數(shù)據(jù)被篡改100010101001000101010010100001000000110110001010數(shù)據(jù)源發(fā)性保護(hù)的實(shí)現(xiàn)BobAlice假冒的“Bob”假冒VPNInternet101011011110100110010100驗(yàn)證簽名，證實(shí)數(shù)據(jù)來源私鑰簽名私鑰簽名101011011110100110010100重放攻擊保護(hù)的實(shí)現(xiàn)VPN的應(yīng)用類型？AccessVPN（遠(yuǎn)程訪問虛擬網(wǎng)）AccessVPN最適用于公司內(nèi)部經(jīng)常有流動(dòng)人員遠(yuǎn)程辦公的情況。出差員工利用當(dāng)?shù)豂SP提供的VPN服務(wù)，就可以和公司的VPN網(wǎng)關(guān)建立私有的隧道連接。CA中心或者Radius服務(wù)器可對(duì)員工進(jìn)行身份授權(quán)和驗(yàn)證，保證連接的安全。VPN客戶端企業(yè)總部VPNInternet移動(dòng)用戶移動(dòng)用戶移動(dòng)用戶移動(dòng)用戶VPN客戶端VPN客戶端VPN客戶端IntranetVPN（企業(yè)內(nèi)部虛擬網(wǎng)）企業(yè)的發(fā)展、機(jī)構(gòu)網(wǎng)點(diǎn)的增加，使得網(wǎng)絡(luò)的結(jié)構(gòu)趨于復(fù)雜，鏈路費(fèi)用昂貴。利用VPN特性，在Internet上組建世界范圍內(nèi)的IntranetVPN，保證信息在整個(gè)IntranetVPN上安全傳輸。企業(yè)擁有與專用網(wǎng)絡(luò)的相同政策，包括安全、服務(wù)質(zhì)量(QoS)、可管理性和可靠性。企業(yè)總部分支機(jī)構(gòu)辦事處InternetVPNVPNVPNExtranetVPN（企業(yè)擴(kuò)展虛擬網(wǎng)）各個(gè)企業(yè)之間的合作關(guān)系也越來越多，信息交換日益頻繁。利用VPN技術(shù)組建安全的Extranet，既可以向客戶、合作伙伴提供有效的信息服務(wù)，又可以保證自身的內(nèi)部網(wǎng)絡(luò)的安全。Internet企業(yè)總部分支機(jī)構(gòu)合作伙伴合作伙伴VPN的安全技術(shù)四項(xiàng)技術(shù)VPN主要采用四項(xiàng)技術(shù)來保證安全隧道技術(shù)（Tunneling）加解密技術(shù)（Encryption&Decryption）密鑰管理技術(shù)（KeyManagement）認(rèn)證技術(shù)（Authentication）隧道技術(shù)隧道技術(shù)的基本過程是在源局域網(wǎng)與公用網(wǎng)的接口處將局域網(wǎng)發(fā)送的數(shù)據(jù)(可以是ISO七層模型中的數(shù)據(jù)鏈路層或網(wǎng)絡(luò)層數(shù)據(jù))作為負(fù)載封裝在一種可以在公用網(wǎng)上傳輸?shù)臄?shù)據(jù)格式中，在目的局域網(wǎng)與公用網(wǎng)的接口處將公用網(wǎng)的數(shù)據(jù)解封裝后，取出負(fù)載即源局域網(wǎng)發(fā)送的數(shù)據(jù)向目的局域網(wǎng)傳輸。網(wǎng)絡(luò)隧道技術(shù)指的是利用一種網(wǎng)絡(luò)協(xié)議來傳輸另一種網(wǎng)絡(luò)協(xié)議，利用網(wǎng)絡(luò)隧道協(xié)議來實(shí)現(xiàn)這種功能。由于封裝與解封裝只在兩個(gè)接口處由設(shè)備按照隧道協(xié)議配置進(jìn)行，局域網(wǎng)中的其他設(shè)備將不會(huì)覺察到這一過程。被封裝的數(shù)據(jù)包在隧道的兩個(gè)端點(diǎn)之間通過公共互聯(lián)網(wǎng)絡(luò)進(jìn)行路由。被封裝的數(shù)據(jù)包在公共互聯(lián)網(wǎng)絡(luò)上傳遞時(shí)所經(jīng)過的邏輯路徑稱為隧道。隧道技術(shù)-協(xié)議三層隧道協(xié)議主要有GenericRoutingEncapsulation（GRE）協(xié)議IPSec協(xié)議加解密技術(shù)1現(xiàn)代密碼學(xué)中，加密算法被分為對(duì)稱加密算法和非對(duì)稱加密算法。對(duì)稱加密算法采用同一個(gè)密鑰進(jìn)行加密和解密，優(yōu)點(diǎn)是速度快，但密鑰的分發(fā)與交換不便于管理。對(duì)稱加密算法：國際數(shù)據(jù)加密算法（IDEA：InternationalDataEncryptionAlgorithm）：128位長密鑰，把64位的明文塊加密成64位的密文塊。DES和3DES加密算法(TheDataEncryptionStandard):DES有64位長密鑰,實(shí)際上只使用56位密鑰。AES：Rijndial加密算法加解密技術(shù)2使用不對(duì)稱加密算法加密時(shí)，通訊各方使用兩個(gè)不同的密鑰,一個(gè)是只有發(fā)送方知道的私有密鑰，另一個(gè)則是對(duì)應(yīng)的公開密鑰，任何人都可以獲得公開密鑰。私有密鑰和公開密鑰在加密算法上相互關(guān)聯(lián)，一個(gè)用于數(shù)據(jù)加密，另一個(gè)用于數(shù)據(jù)解密。由于不對(duì)稱加密運(yùn)算量大，一般用于加密對(duì)稱加密算法中使用的密鑰。不對(duì)稱加密還有一個(gè)重要用途即數(shù)字簽名。

密鑰管理技術(shù)密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取。

現(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMP兩種。SKIP主要是利用Diffie-Hellman的演算法則，在網(wǎng)絡(luò)上傳輸密鑰；在ISAKMP中，雙方都有兩把密鑰，分別用于公用、私用。

認(rèn)證技術(shù)認(rèn)證技術(shù)可以區(qū)分真實(shí)數(shù)據(jù)與偽造、被篡改過的數(shù)據(jù)。認(rèn)證協(xié)議一般都要采用一種稱為摘要的技術(shù)。摘要技術(shù)主要是采用HASH函數(shù)將一段長的報(bào)文通過函數(shù)變換，映射為一段短的報(bào)文即摘要。驗(yàn)證數(shù)據(jù)的完整性。發(fā)送方將數(shù)據(jù)報(bào)文和報(bào)文摘要一同發(fā)送,接收方通過計(jì)算報(bào)文摘要,與發(fā)來摘要比較,相同則說明報(bào)文未經(jīng)修改。

用戶認(rèn)證。該功能實(shí)際上是上一種功能的延伸。當(dāng)一方希望驗(yàn)證對(duì)方，但又不希望驗(yàn)證秘密在網(wǎng)絡(luò)上傳送，這時(shí)一方可以發(fā)送一段隨機(jī)報(bào)文，要求對(duì)方將秘密信息連接上該報(bào)文作摘要后發(fā)回，接收方可以通過驗(yàn)證摘要是否正確來確定對(duì)方是否擁有秘密信息，從而達(dá)到驗(yàn)證對(duì)方的目的。常用的HASH函數(shù)有MD5，SHA-1等。

已有的VPN解決方案IP安全協(xié)議IPSec（IPSecurity）是一組開放協(xié)議的總稱，特定的通信方之間在IP層通過加密與數(shù)據(jù)源驗(yàn)證，以保證數(shù)據(jù)包在Internet網(wǎng)上傳輸時(shí)的私有性、完整性和真實(shí)性。IPSec通過AH（AuthenticationHeader）和ESP（EncapsulatingSecurityPayload）這兩個(gè)安全協(xié)議來實(shí)現(xiàn)。IPSecVPN網(wǎng)絡(luò)層的VPN解決方案。網(wǎng)絡(luò)層是可實(shí)現(xiàn)端到端安全通信的最低層，它為所有應(yīng)用層數(shù)據(jù)提供透明的安全保護(hù)，用戶無需修改應(yīng)用層協(xié)議。IPSec的工作模式傳輸模式：只對(duì)IP數(shù)據(jù)包的有效負(fù)載進(jìn)行加密或認(rèn)證。此時(shí)，繼續(xù)使用以前的IP頭部，只對(duì)IP頭部的部分域進(jìn)行修改，而IPSec協(xié)議頭部插入到IP頭部和傳輸層頭部之間隧道模式：對(duì)整個(gè)IP數(shù)據(jù)包進(jìn)行加密或認(rèn)證。此時(shí)，需要新產(chǎn)生一個(gè)IP頭部，IPSec頭部被放在新產(chǎn)生的IP頭部和以前的IP數(shù)據(jù)包之間，從而組成一個(gè)新的IP頭部。IPSec的工作模式隧道模式傳輸模式IPSec的三個(gè)主要協(xié)議

1）ESP（EncapsulatingSecurityPayload）。ESP協(xié)議主要用來處理對(duì)IP數(shù)據(jù)包的加密。ESP是與具體的加密算法相獨(dú)立的，幾乎支持各種對(duì)稱密鑰加密算法，默認(rèn)為3DES和DES。2）AH(AuthenticationHeader)。AH只涉及到認(rèn)證，不涉及到加密。3）IKE(InternetKeyExchange)。IKE協(xié)議主要是對(duì)密鑰交換進(jìn)行管理，它主要包括三個(gè)功能：①對(duì)使用的協(xié)議、加密算法和密鑰進(jìn)行協(xié)商；②方便的密鑰交換機(jī)制(這可能需要周期性的進(jìn)行)；③跟蹤對(duì)以上這些約定的實(shí)施。AH(AuthenticationHeader)AH是一個(gè)用于提供IP數(shù)據(jù)包完整性和認(rèn)證的機(jī)制。其完整性是保證數(shù)據(jù)報(bào)不被無意的或惡意的方式改變通過在整個(gè)IP數(shù)據(jù)報(bào)中實(shí)施一個(gè)消息文摘計(jì)算來提供完整性和認(rèn)證服務(wù)提供反重放保護(hù)使用IP協(xié)議號(hào)51ESP提供IP數(shù)據(jù)報(bào)的完整性和可信性服務(wù)，ESP是在RFC2406中定義的。保證數(shù)據(jù)的完整性，使用散列算法，驗(yàn)證不包括IP頭提供反重放保護(hù)使用IP協(xié)議號(hào)50ESP協(xié)議是設(shè)計(jì)以兩種模式工作的：隧道（Tunneling）模式和傳輸（Transport）模式IPSec協(xié)議結(jié)構(gòu)圖IPSec安全體系ESP協(xié)議AH協(xié)議加密算法認(rèn)證算法DOIIKE協(xié)議SSLVPN加密通道SSLVPN遠(yuǎn)程用戶認(rèn)證服務(wù)器IE瀏覽器SSLVPN的安全技術(shù)1．信息傳輸安全

1）通過瀏覽器對(duì)任何Internet可以連接的地方到遠(yuǎn)程應(yīng)用或數(shù)據(jù)間的所有通信進(jìn)行即時(shí)的SSL加密。

2）安全客戶端檢測(cè)，有效保護(hù)您的網(wǎng)絡(luò)免受特洛伊、病毒、蠕蟲或黑客的攻擊。含防火墻、反病毒防護(hù)、Windows升級(jí)、Windows服務(wù)、文件數(shù)字簽名、管理員選擇注冊(cè)表、IP地址等多方面的檢測(cè)功能。2．用戶認(rèn)證與授權(quán)

1）認(rèn)證。誰被允許登錄系統(tǒng)，在遠(yuǎn)程用戶被允許登錄前進(jìn)行身份確認(rèn)。包括標(biāo)準(zhǔn)的用戶名＋密碼方式、智能卡、RSA，還可使用CA證書。

2）授權(quán)。按角色劃分的權(quán)限訪問應(yīng)用程序、數(shù)據(jù)和其他一些資源，在服務(wù)器端通過劃分組、角色和應(yīng)用程序進(jìn)行集中管理。

3）審計(jì)。隨時(shí)了解用戶做了什么訪問。對(duì)每位用戶的活動(dòng)進(jìn)行追蹤、監(jiān)視并記錄日志。SSLVPN的功能與特點(diǎn)1．SSLVPN的基本功能

SSLVPN是一款專門針對(duì)B/S和C/S應(yīng)用的SSLVPN產(chǎn)品，具有以下完善實(shí)用的功能：

1）提供了基于SSL協(xié)議和數(shù)字證書的強(qiáng)身份認(rèn)證和安全傳輸通道。

2）提供了先進(jìn)的基于URL的訪問控制。

3）提供了SSL硬件加速的處理和后端應(yīng)用服務(wù)的負(fù)載平衡。

4）提供了基于加固的系統(tǒng)平臺(tái)和IDS技術(shù)的安全功能。2．SSLVPN系統(tǒng)協(xié)議

由SSL、HTTPS、SOCKS這3個(gè)協(xié)議相互協(xié)作共同實(shí)現(xiàn)。3．SSLVPN的特點(diǎn)

1）安裝簡單、易于操作，無需安裝客戶端軟件。

2）具有認(rèn)證加密、訪問控制、安全信息備份、負(fù)載平衡等功能。

3）使用標(biāo)準(zhǔn)的HTTPS協(xié)議傳輸數(shù)據(jù)，可以穿越防火墻，不存在地址轉(zhuǎn)換的問題，而且不改變用戶網(wǎng)絡(luò)結(jié)構(gòu)，適合復(fù)雜應(yīng)用環(huán)境。

SSLVPN的工作原理SSLVPN的工作原理可用以下幾個(gè)步驟來描述：

1）SSLVPN生成自己的根證書和服務(wù)器操作證書。

2）客戶端瀏覽器下載并導(dǎo)入SSLVPN的根證書。

3）通過管理界面對(duì)后端網(wǎng)站服務(wù)器設(shè)置訪問控制。

4）客戶端通過瀏覽器使用HTTPS協(xié)議訪問網(wǎng)站時(shí)，SSLVPN接受請(qǐng)求，客戶端實(shí)現(xiàn)對(duì)SSLVPN服務(wù)器的認(rèn)證。

5）服務(wù)器端通過口令方式認(rèn)證客戶端。

6）客戶端瀏覽器和SSLVPN服務(wù)器端之間所有通信建立了SSL安全通道。SSLVPN的應(yīng)用模式及特點(diǎn)

SSLVPN的解決方案包括三種模式：◆Web瀏覽器模式◆SSLVPN客戶端模式◆LAN到LAN模式

WEB瀏覽器模式是SSLVPN的最大優(yōu)勢(shì)，它充分利用了當(dāng)前Web瀏覽器的內(nèi)置功能，來保護(hù)遠(yuǎn)程接入的安全，配置和使用都非常方便。SSLVPN已逐漸成為遠(yuǎn)程接入的主要手段之一。SSLVPN的應(yīng)用模式及特點(diǎn)1．Web瀏覽器模式的解決方案由于Web瀏覽器的廣泛部署，而且Web瀏覽器內(nèi)置了SSL協(xié)議，使得SSLVPN在這種模式下只要在SSLVPN服務(wù)器上集中配置安全策略，幾乎不用為客戶端做什么配置就可使用，大大減少了管理的工作量，方便用戶的使用。缺點(diǎn)是僅能保護(hù)Web通信傳輸安全。遠(yuǎn)程計(jì)算機(jī)使用Web瀏覽器通過SSLVPN服務(wù)器來訪問企業(yè)內(nèi)部網(wǎng)中的資源。

這種模式目前已廣泛使用于校園網(wǎng)、電子政務(wù)網(wǎng)中!SSLVPN的應(yīng)用模式及特點(diǎn)2．SSLVPN客戶端模式的解決方案SSLVPN客戶端模式為遠(yuǎn)程訪問提供安全保護(hù)，用戶需要在客戶端安裝一個(gè)客戶端軟件，并做一些簡單的配置即可使用，不需對(duì)系統(tǒng)做改動(dòng)。這種模式的優(yōu)點(diǎn)是支持所有建立在TCP/IP和UDP/IP上的應(yīng)用通信傳輸?shù)陌踩琖eb瀏覽器也可以在這種模式下正常工作。這種模式的缺點(diǎn)是客戶端需要額外的開銷。

3．LAN到LAN模式的解決方案LAN到LAN模式對(duì)LAN（局域網(wǎng)）與LAN（局域網(wǎng)）間的通信傳輸進(jìn)行安全保護(hù)。與基于IPSec協(xié)議的LAN到LAN的VPN相比，它的優(yōu)點(diǎn)就是擁有更多的訪問控制的方式,缺點(diǎn)是僅能保護(hù)應(yīng)用數(shù)據(jù)的安全，并且性能較低。

PPTP/L2TPVPN基于第二層的VPN解決方案PPTP：點(diǎn)到點(diǎn)隧道協(xié)議L2TP：二層隧道協(xié)議L2TPRed-Giant(config)#l2tp-classl2tp-class-name 創(chuàng)建/配置指定名稱的l2tp-class接口 Red-Giant(config)#nol2tp-classl2tp-class-name 刪除指定名稱的l2tp-class接口 其中l(wèi)2tp-class-name是創(chuàng)建/設(shè)置的l2tp-class單元的名稱，這里創(chuàng)建的l2tp-class可以被pseudowire-class按其名稱引用。L2TPRed-Giant(config)#pseudowire-classpseudowire-class-name 創(chuàng)建/配置指定名稱的pseudowire-class接口Red-Giant(config-pw-class)#encapsulationl2tpv2設(shè)置數(shù)據(jù)傳輸封裝模式Red-Giant(config-pw-class)#iplocalinterfaceinterface-name指定通道的本地接口(地址)

L2TPRed-Giant(config)#protocoll2tpv2[l2tp-class-name]設(shè)置L2TP控制連接參數(shù)這里l2tpv2是遵循用RFC2661規(guī)范的L2TP協(xié)議來創(chuàng)建控制連接，這里使用參數(shù)l2tp-class-name來引用已經(jīng)存在的l2tp-class來限制控制連接參數(shù)，如果沒有這個(gè)參數(shù)就使用系統(tǒng)默認(rèn)的L2TP控制連接參數(shù)。