信息安全技術(shù)與應(yīng)用（高學勤）課件 4.2 VPN技術(shù)與應(yīng)用

第2節(jié)VPN技術(shù)與應(yīng)用第4章目

錄01VPN簡介02VPN關(guān)鍵技術(shù)03VPN部署方式及應(yīng)用01VPN簡介總部出差用戶VPN隧道VPN安全網(wǎng)關(guān)VPN安全網(wǎng)關(guān)分部什么是VPN？VPN（VirtualPrivateNetwork）是一種使用密碼技術(shù)，在公共網(wǎng)絡(luò)虛擬出的專用網(wǎng)絡(luò)。VPN特點VPN是虛擬的連接，非物理的連接VPN能為使用者節(jié)約成本通過VPN能夠安全傳輸數(shù)據(jù)VPN的概念專線費用高昂直接在網(wǎng)絡(luò)上傳輸私有數(shù)據(jù)，安全得不到保證鋪設(shè)/租用專線竊取數(shù)據(jù)分部上?？偛勘本￢PN技術(shù)產(chǎn)生原因VPN的概念今天的晚餐真美味！明文今天的晚餐真美味！明文加密解密@#￥#@##%…………*&……%）（）@#！#@%￥&##@@@#@@@#@#@%密文發(fā)送方接收方VPNVPNVPN主要功能01.加密

網(wǎng)絡(luò)傳輸分組之前，發(fā)送方可對其加密VPN的功能數(shù)據(jù)完整性

接收方可以檢查數(shù)據(jù)在傳輸過程中是否被修改來源驗證

接收方可以檢查發(fā)送者的身份，確保信息來自正確的地方VPN的功能今天的晚餐真美味！明文今天的晚餐真美味！明文加密解密@#￥#@##%…………*&……%）（）@#！#@%￥&##@@@#@@@#@#@%密文發(fā)送方接收方VPNVPN數(shù)據(jù)完整性計算摘要計算并對比摘要VPN主要功能02.03.VPN的分類按協(xié)議類型二層隧道協(xié)議PPTP（PointtoPointTunnelingProtocol）點對點隧道協(xié)議（PPTP），通過PPTP控制連接來創(chuàng)建、維護、終止一條隧道。使用通用路由封裝GRE（GenericRoutingEncapsulation）對PPP幀進行封裝。PPP幀的有效載荷即有效傳輸數(shù)據(jù)必須經(jīng)過加密、壓縮或是兩者的混合處理。PPTP協(xié)議假定在PPTP客戶機和PPTP服務(wù)器之間有連通并且可用的IP網(wǎng)絡(luò)。按協(xié)議類型二層隧道協(xié)議L2TP（Layer2TunnelingProtocol）VPN為用戶和企業(yè)的服務(wù)器之間透明傳輸PPP報文。提供了對PPP鏈路層數(shù)據(jù)包的通道傳輸支持。結(jié)合了L2F和PPTP協(xié)議的各自優(yōu)點，成為了IETF有關(guān)二層隧道協(xié)議的工業(yè)標準。L2TP協(xié)議主要用途：企業(yè)駐外機構(gòu)和出差人員從公網(wǎng)通過虛擬隧道實現(xiàn)和公司內(nèi)部網(wǎng)絡(luò)連接。VPN的分類按協(xié)議類型三層隧道協(xié)議IPSec（InternetProtocolSecurity）VPNIPSec是IETF以RFC形式公布的一組安全IP協(xié)議集，是在IP層提供保護的安全協(xié)議標準，是虛擬專網(wǎng)的基礎(chǔ)。IPSec將幾種安全技術(shù)結(jié)合形成一個比較完整的安全體系結(jié)構(gòu)，它通過在IP協(xié)議中增加兩個基于密碼的安全機制——認證頭（AH）和封裝安全載荷（ESP）來支持IP數(shù)據(jù)項的可認證性、完整性和機密性。IPSec工作涉及一個核心概念：安全關(guān)聯(lián)（SA）VPN的分類按協(xié)議類型七層隧道協(xié)議SSL（SecuritySocketLayer）VPNSSLVPN指采用SSL協(xié)議來實現(xiàn)遠程接入的一種新型VPN技術(shù)，是解決遠程用戶訪問公司敏感數(shù)據(jù)最簡單最安全的解決技術(shù)。任何安裝瀏覽器的機器都可以使用SSLVPN。SSLVPN工作在應(yīng)用層，SSL用公鑰加密技術(shù)通過SSL連接傳輸數(shù)據(jù)。VPN的分類VPN隧道VPN安全網(wǎng)關(guān)總部遠程接入VPN出差用戶按應(yīng)用分類遠程接入VPN客戶端到網(wǎng)關(guān)，利用公網(wǎng)傳輸數(shù)據(jù)，如：SSLVPN。內(nèi)聯(lián)網(wǎng)VPN網(wǎng)關(guān)到網(wǎng)關(guān)，利用公司網(wǎng)絡(luò)架構(gòu)連接來自同公司的資源。外聯(lián)網(wǎng)VPN一個公司與另一個公司的資源進行連接。VPN的分類02VPN的關(guān)鍵技術(shù)VPN的關(guān)鍵技術(shù)VPN關(guān)鍵技術(shù)隧道技術(shù)在公用網(wǎng)建立一條專用數(shù)據(jù)通道，讓數(shù)據(jù)包通過這條通道傳輸。加解密技術(shù)確保數(shù)據(jù)不被他人瀏覽、竊取和篡改。密鑰管理技術(shù)身份認證技術(shù)私有地址被轉(zhuǎn)換成合法的IP地址。用于確認使用者的身份。隧道協(xié)議新包頭原數(shù)據(jù)VPN端點網(wǎng)關(guān)AVPN端點網(wǎng)關(guān)B原數(shù)據(jù)原數(shù)據(jù)封裝解封裝隧道技術(shù)其它協(xié)議數(shù)據(jù)幀重新封裝在新的包頭中發(fā)送新的包頭提供路由信息，能夠通過互聯(lián)網(wǎng)傳輸?shù)竭_網(wǎng)絡(luò)終點，進行解包發(fā)送到最終目的地隧道通過隧道協(xié)議實現(xiàn)，報文前后經(jīng)過封裝與解封裝VPN的關(guān)鍵技術(shù)新IP報頭ESP報頭原IP報頭傳輸層報頭應(yīng)用程序數(shù)據(jù)ESP報尾ESP認證報尾加密部分ESP是IPSec體系下的封裝安全載荷協(xié)議加解密技術(shù)數(shù)據(jù)包需要加密進行傳輸，到達對端后再進行解密加解密技術(shù)發(fā)展成熟，VPN可以直接使用采取何種加密技術(shù)，依賴于VPN服務(wù)器類型PPTP服務(wù)器采用微軟點對點加密技術(shù)L2TP服務(wù)器使用IPSec機制對數(shù)據(jù)加密VPN的關(guān)鍵技術(shù)發(fā)起者cookie響應(yīng)者cookie下一載荷消息IDISAKMP數(shù)據(jù)包格式IP頭UDP頭ISAKMP頭載荷1……….密鑰管理技術(shù)IKE（網(wǎng)絡(luò)密鑰交換協(xié)議）用于交換和管理在VPN中使用的加密密鑰組成ISAKMP協(xié)議OAKLEY提供了一個多樣化，多模式的應(yīng)用SKEME提供了IKE交換密鑰的算法，方式（因特網(wǎng)安全協(xié)商密鑰管理協(xié)議）VPN的關(guān)鍵技術(shù)usernamepassword接入服務(wù)器用戶數(shù)據(jù)庫撥號者發(fā)起CHAP呼叫向撥號者發(fā)送挑戰(zhàn)信息撥號者處理挑戰(zhàn)信息，并發(fā)送挑戰(zhàn)應(yīng)答檢查撥號者應(yīng)答數(shù)據(jù)包，并發(fā)送認證結(jié)果usernamepassword遠程用戶身份認證技術(shù)鏈路層的認證PPP認證機制使用CHAP（PPP詢問握手認證協(xié)議）認證協(xié)議，通過三次握手周期性校驗對端身份。VPN的關(guān)鍵技術(shù)03VPN部署方式及應(yīng)用VPN的部署方式常見終端到站點部署場景終端到站點部署可以實現(xiàn)終端到站點部署的VPN技術(shù)有PPTPVPNSSLVPNL2TPVPNL2TPoverIPSecVPN的部署案例SSLVPN部署案例OpenVPN是一個用于創(chuàng)建虛擬專用網(wǎng)絡(luò)加密通道的軟件。OpenVPN是一個基于OpenSSL庫的應(yīng)用層VPN實現(xiàn)。部署步驟STEP1STEP2制作OpenVPN證書安裝OpenVPNSTEP5STEP4STEP3配置并啟動OpenVPN服務(wù)端安裝客戶端客戶端連接SSLVPN部署案例VPN的部署案例站點到站點部署可以實現(xiàn)站點到站點部署的VPN技術(shù)有IPSecVPN、GREoverIPSec下圖為站點到站點部署場景場景描述：總部和分支都是單出口，總部和分支都有公網(wǎng)IPVPN的部署方式VPN的應(yīng)用場景學校VPN部署解決方案及網(wǎng)絡(luò)拓撲VPN的應(yīng)用場景某市教育局VPN部署解決方案及網(wǎng)絡(luò)拓撲本章對VPN進行了詳細的分析，包括VPN的概念、VPN的功能和作用，以及VPN的分類等內(nèi)容。VPN的