信息安全技術(shù)（HCIA-Security）（微課版）（第2版） 課件 第12章 VPN技術(shù)應(yīng)用

加密技術(shù)應(yīng)用維護(hù)網(wǎng)絡(luò)安全不應(yīng)有雙重標(biāo)準(zhǔn)，不能一個(gè)國(guó)家安全而其他國(guó)家不安全,一部分國(guó)家安全而另—部分國(guó)家不安全,更不能以犧牲別國(guó)安全謀求自身所謂的“絕對(duì)安全”。文字學(xué)習(xí)“中國(guó)衛(wèi)星之父”孫家棟，國(guó)家需要，我就去做！拓展主題愛(ài)國(guó)主義、科技強(qiáng)國(guó)、技能強(qiáng)國(guó)通過(guò)加密技術(shù)，可以保證網(wǎng)絡(luò)中數(shù)據(jù)傳輸?shù)陌踩?，?shù)據(jù)不會(huì)被篡改和窺探；通過(guò)簽名技術(shù)，可以保證數(shù)據(jù)的完整性，證明了數(shù)據(jù)發(fā)送方的身份；通過(guò)PKI證書(shū)認(rèn)證技術(shù)，可以驗(yàn)證公鑰的合法性，從而可以保證用戶接入到安全、合法的網(wǎng)絡(luò)中。通過(guò)使用這些技術(shù)，企業(yè)可以防止非法用戶接入企業(yè)網(wǎng)絡(luò)中。企業(yè)分支之間可以建立安全通道，保證企業(yè)數(shù)據(jù)的安全性。學(xué)完本課程后，您將能夠：描述加密技術(shù)的應(yīng)用場(chǎng)景掌握不同VPN技術(shù)的配置方法加密學(xué)的應(yīng)用VPN簡(jiǎn)介VPN配置密碼學(xué)應(yīng)用密碼學(xué)的應(yīng)用主要有數(shù)字信封、數(shù)字簽名和數(shù)字證書(shū)。數(shù)字信封：結(jié)合對(duì)稱(chēng)和非對(duì)稱(chēng)加密，從而保證數(shù)據(jù)傳輸?shù)臋C(jī)密性。數(shù)字簽名：采用散列算法，從而保證數(shù)據(jù)傳輸?shù)耐暾?。?shù)字證書(shū)：通過(guò)第三方機(jī)構(gòu)（CA）對(duì)公鑰進(jìn)行公證，從而保證數(shù)據(jù)傳輸?shù)牟豢煞裾J(rèn)性。應(yīng)用場(chǎng)景結(jié)合到實(shí)際的網(wǎng)絡(luò)應(yīng)用場(chǎng)景，數(shù)字信封、數(shù)字簽名和數(shù)字證書(shū)又有對(duì)應(yīng)場(chǎng)景的應(yīng)用。VPNIPv6HTTPS登錄系統(tǒng)登錄授權(quán)加密學(xué)的應(yīng)用VPN簡(jiǎn)介VPN配置VPN定義虛擬專(zhuān)用網(wǎng)VPN(VirtualPrivateNetwork)是一種“通過(guò)共享的公共網(wǎng)絡(luò)建立私有的數(shù)據(jù)通道，將各個(gè)需要接入這張?zhí)摂M網(wǎng)的網(wǎng)絡(luò)或終端通過(guò)通道連接起來(lái)，構(gòu)成一個(gè)專(zhuān)用的、具有一定安全性和服務(wù)質(zhì)量保證的網(wǎng)絡(luò)”。虛擬：用戶不再需要擁有實(shí)際的專(zhuān)用長(zhǎng)途數(shù)據(jù)線路，而是利用Internet的長(zhǎng)途數(shù)據(jù)線路建立自己的私有網(wǎng)絡(luò)。專(zhuān)用網(wǎng)絡(luò)：用戶可以為自己制定一個(gè)最符合自己需求的網(wǎng)絡(luò)。VPN分類(lèi)數(shù)據(jù)鏈路層網(wǎng)絡(luò)層L3VPNL2VPNGREIPSecL2TPPPTPL2F傳輸層SSLVPNVPN的應(yīng)用場(chǎng)景Site-to-SiteVPN用于兩個(gè)局域網(wǎng)之間建立連接?？刹捎玫腣PN技術(shù)：IPSec、L2TP、L2TPoverIPSec、GREoverIPSec、IPSecoverGRE。Client-to-SiteVPN用于客戶端與企業(yè)內(nèi)網(wǎng)之間建立連接?？刹捎玫腣PN技術(shù)：SSL、IPSec、L2TP、L2TPoverIPSec。L2TPVPN簡(jiǎn)介L(zhǎng)2TP(LayerTwoTunnelingProtocol)二層隧道協(xié)議為在用戶和企業(yè)的服務(wù)器之間透明傳輸PPP報(bào)文而設(shè)置的隧道協(xié)議。提供了對(duì)PPP鏈路層數(shù)據(jù)包的通道（Tunnel）傳輸支持。L2TPVPN主要有三種使用場(chǎng)景NAS-InitiatedVPNLAC自動(dòng)撥號(hào)Client-InitiatedVPNClient-InitiatedVPN方式L2TPVPN一般用于出差員工使用PC、手機(jī)等移動(dòng)設(shè)備接入總部服務(wù)器，實(shí)現(xiàn)移動(dòng)辦公的場(chǎng)景，也是最為常用L2TP撥號(hào)方式。Client-InitiatedVPN隧道和會(huì)話建立過(guò)程GREVPN簡(jiǎn)介GeneralRoutingEncapsulation，簡(jiǎn)稱(chēng)GRE，是一種三層VPN封裝技術(shù)。GRE可以對(duì)某些網(wǎng)絡(luò)層協(xié)議（如IPX、AppleTalk、IP等）的報(bào)文進(jìn)行封裝，使封裝后的報(bào)文能夠在另一種網(wǎng)絡(luò)中（如IPv4）傳輸，從而解決了跨越異種網(wǎng)絡(luò)的報(bào)文傳輸問(wèn)題。異種報(bào)文傳輸?shù)耐ǖ婪Q(chēng)為T(mén)unnel（隧道）。GRE報(bào)文處理過(guò)程GRE安全策略PC_A發(fā)出的原始報(bào)文進(jìn)入Tunnel接口這個(gè)過(guò)程中，報(bào)文經(jīng)過(guò)的安全域間是Trust—>DMZ；原始報(bào)文被GRE封裝后，F(xiàn)W_A在轉(zhuǎn)發(fā)這個(gè)報(bào)文時(shí)，報(bào)文經(jīng)過(guò)的安全域間是Local—>Untrust當(dāng)報(bào)文到達(dá)FW_B時(shí)，F(xiàn)W_B會(huì)進(jìn)行解封裝。在此過(guò)程中，報(bào)文經(jīng)過(guò)的安全域間是Untrust—>Local；GRE報(bào)文被解封裝后，F(xiàn)W_B在轉(zhuǎn)發(fā)原始報(bào)文時(shí)，報(bào)文經(jīng)過(guò)的安全域間是DMZ—>Trust。IPSecVPN簡(jiǎn)介IPSec（IPSecurity）協(xié)議族是IETF制定的一系列安全協(xié)議，它為端到端IP報(bào)文交互提供了基于密碼學(xué)的、可互操作的、高質(zhì)量的安全保護(hù)機(jī)制。IPSecVPN是利用IPSec隧道建立的網(wǎng)絡(luò)層VPN。IPSec協(xié)議體系IPSec通過(guò)驗(yàn)證頭AH（AuthenticationHeader）和封裝安全載荷ESP（EncapsulatingSecurityPayload）兩個(gè)安全協(xié)議實(shí)現(xiàn)IP報(bào)文的安全保護(hù)。IPSec安全聯(lián)盟IPSec安全傳輸數(shù)據(jù)的前提是在IPSec對(duì)等體（即運(yùn)行IPSec協(xié)議的兩個(gè)端點(diǎn)）之間成功建立安全聯(lián)盟SA（SecurityAssociation）。SA是通信的IPSec對(duì)等體間對(duì)某些要素的約定。封裝模式-

傳輸模式在傳輸模式中，AH頭或ESP頭被插入到IP頭與傳輸層協(xié)議頭之間，保護(hù)TCP/UDP/ICMP負(fù)載。封裝模式-

隧道模式在隧道模式下，AH頭或ESP頭被插到原始IP頭之前，另外生成一個(gè)新的報(bào)文頭放到AH頭或ESP頭之前，保護(hù)IP頭和負(fù)載。IKESAIKE

SA是為IPSecSA服務(wù)的，為IPSec提供了自動(dòng)協(xié)商密鑰、建立IPSec安全聯(lián)盟的服務(wù)。IPSec加解密及驗(yàn)證過(guò)程SSLVPN簡(jiǎn)介SSL是一個(gè)安全協(xié)議，為基于TCP的應(yīng)用層協(xié)議提供安全連接。IPTCPHTTPSSLNotSecureSecureIPTCPHTTPSSLVPN主要功能SVN安全接入網(wǎng)關(guān)網(wǎng)絡(luò)擴(kuò)展端口轉(zhuǎn)發(fā)用戶認(rèn)證Web代理可靠性文件共享USG系列設(shè)備加密學(xué)的應(yīng)用VPN簡(jiǎn)介VPN配置Client-Initialized方式L2TP應(yīng)用場(chǎng)景描述組網(wǎng)需求某公司建有自己的VPN網(wǎng)絡(luò)，在公司總部的公網(wǎng)出口處，放置了一臺(tái)VPN網(wǎng)關(guān)，即USG防火墻。要求出差人員能夠通過(guò)L2TP隧道與公司內(nèi)部業(yè)務(wù)服務(wù)器進(jìn)行通信。L2TPVPN配置流程開(kāi)啟L2TP功能選擇“網(wǎng)絡(luò)>L2TP>L2TP”，在“配置L2TP”中，選中L2TP后的“啟用”，單擊“應(yīng)用”。配置L2TP參數(shù)在“L2TP組列表”中，點(diǎn)擊新建，設(shè)置L2TP組的參數(shù)。設(shè)置撥號(hào)用戶信息選擇“對(duì)象>用戶”。選中“default”認(rèn)證域，在“用戶管理”中，單擊“新建”，并選擇“新建用戶”，配置撥號(hào)用戶名和密碼。VPN客戶端設(shè)置及驗(yàn)證GRE應(yīng)用場(chǎng)景描述需求描述運(yùn)行IP協(xié)議的兩個(gè)子網(wǎng)網(wǎng)絡(luò)1和網(wǎng)絡(luò)2，通過(guò)在防火墻A和防火墻B之間建立的GRE隧道實(shí)現(xiàn)互訪。GREVPN配置流程GRE接口配置-FWA選擇“網(wǎng)絡(luò)>GRE>GRE”。單擊“新建”，配置GRE接口的各項(xiàng)參數(shù)。路由配置-FWA選擇“網(wǎng)絡(luò)>路由>靜態(tài)路由”。單擊“新建”,配置到網(wǎng)絡(luò)2的靜態(tài)路由。結(jié)果驗(yàn)證網(wǎng)絡(luò)1中的PC與網(wǎng)絡(luò)2中的PC能夠相互ping通。查看FWA“網(wǎng)絡(luò)>路由>路由表”可以看到目的地址為/24，出接口為T(mén)unnel1的路由。點(diǎn)到點(diǎn)IPSecVPN應(yīng)用場(chǎng)景描述需求描述網(wǎng)絡(luò)A和網(wǎng)絡(luò)B通過(guò)防火墻A和B之間建立的IPSec隧道互聯(lián)互通IPSec和IKE提議參數(shù)采用默認(rèn)值采用IKE方式建立IPSec隧道IPSecVPN配置流程路由配置設(shè)置到達(dá)對(duì)端的路由，以FW_A為例，下一跳設(shè)置為FW_B的地址。域間安全策略IPSecFW_AFW_B允許網(wǎng)絡(luò)A和網(wǎng)絡(luò)B互訪ipsec1方向：trsut>untrust源地址：/24目的地址：/24動(dòng)作：允許方向：trsut>untrust源地址：/24目的地址：/24動(dòng)作：允許ipsec2方向：untrsut>trust源地址：/24目的地址：/24動(dòng)作：允許方向：untrsut>trust源地址：/24目的地址：/24動(dòng)作：允許允許IKE協(xié)商報(bào)文通過(guò)ipsec3方向：local>untrust源地址：/24目的地址：/24動(dòng)作：允許方向：local>untrust源地址：/24目的地址：/24動(dòng)作：允許ipsec4方向：untrust>local源地址：/24目的地址：/24動(dòng)作：允許方向：untrust>local源地址：/24目的地址：/24動(dòng)作：允許IPSec策略參數(shù)配置-FW_A加密數(shù)據(jù)流配置應(yīng)用IPSec策略配置結(jié)束后單擊配置界面最下方的“應(yīng)用