VPN防火墻企業(yè)管理知識培訓資料

系列防火墻技術資料部分2004年11月內容介紹基本概念二層隧道協議L2三層隧道協議+L2/+配置隧道典型應用實例概述什么是?()是通過公共網絡在局域網絡之間或單點之間安全地傳遞數據的技術

總部網絡遠程局域網絡總部分支機構單個用戶Internet可以省去專線租用費用或者長距離電話費用，大大降低成本可以充分利用公網資源，快速地建立起公司的廣域連接類型

按照構建方式和功能的不同可將分為以下3類基于加密和不加密的類型1:加密2:非加密基于模型分層的類型1:數據鏈路層2:網絡層3:應用層基于商業(yè)功能性的類型1:遠程接入()2:企業(yè)內聯網（）3:企業(yè)外聯網（）遠程接入（）（內聯網）（外聯網）應用范圍的基本目標無縫連接和保證中網絡交互的安全性為遠程、移動辦公的用戶提供對公司網絡資源的訪問使遠程辦公室與公司內聯網安全地進行連接控制商業(yè)伙伴、客戶和提供商對公司網絡資源的訪問的優(yōu)勢之間的廣域連接(專線方式對比方式)北京深圳沈陽上海傳統的專線方式北京深圳沈陽上海

單個用戶接入

(直接撥入方式對比方式)用戶專用公用電話網絡

本地本地長途節(jié)省資金(降低30-70%的網絡費用)免去長途費用降低建立私有專網的費用用戶不必設立自己的對于用戶來說，可以以任何技術任何地點訪問的容量完全可以隨著需求的增加而增長提供安全性強大的用戶認證機制數據的私有性以及完整性得以保障不必改變現有的應用程序、網絡架構以及用戶計算環(huán)境網絡現有的不用作任何修改現有的網絡應用完全可以正常運行對于最終用戶來說完全感覺不到任何變化的基本概念：隧道，加密以及認證隧道隧道是在公網上傳遞私有數據的一種方式a“”安全隧道是指在公網上幾方之間進行數據傳輸中，保證數據安全及完整的技術加密保證數據傳輸過程中的安全認證保證通訊方的身份確認及合法Internet的完整解決方案特性符合特性防火墻隧道機密性遠程管理第二層隧道協議L2L2概述是一種二層隧道協議，它擴展了的模型，通過二層隧道可以把會話的邏輯終點延伸到目的訪問網關。這樣，企業(yè)的本地局域網就可以為遠程撥號用戶分配一個企業(yè)內部網的地址，從邏輯上看，遠程出差員工的手提電腦已經通過一塊網卡直接連接到企業(yè)網絡，于是用戶數據包可以通過防火墻到達企業(yè)內部網，該員工可以訪問任何其有權使用的企業(yè)內部共享資源。此外，企業(yè)本地局域網也可以對遠程撥號用戶進行（認證、授權和計費）管理和會話監(jiān)控。約定術語解釋：2訪問集中器，進行處理以及L2處理，它將已成幀的分組進行適當的處理并封裝入L2之中，發(fā)送給。它是入站呼叫的發(fā)起者、出站呼叫的接收者，是L2協議的客戶/服務器模式的客戶端2的服務器端，在處，能進行L2封裝或解封，并能進行處理。又稱L2網絡服務器:挑戰(zhàn)握手鑒別協議，是一種通過協議交換鑒別信息的鑒別協議。該鑒別協議密鑰不被明文傳輸:口令鑒別協議。通過傳輸明文的用戶名和口令達到證明身份的目的。會話：當遠程撥號用戶和之間發(fā)起一次端到端的連接時，就形成了一條會話。隧道：一對和定義了一條或多條隧道。L2隧道類型強制隧道模式自愿隧道模式L2強制隧道模式L2自愿隧道模式L2的功能細節(jié)L2隧道的建立通過兩個階段協商階段1：在和之間建立一個控制會話階段2：建立實際傳輸數據的L2隧道（也可以稱為建立一個會話）提示:單個隧道可以承載多個會話，在同一和之間也可以擁有多個隧道建立控制連接

建立會話

檢測到的呼叫L2配置實例研究實現防火墻功能，并給撥號用戶提供遠程接入防火墻的解決方案。因此我們實現的是（L2網絡服務器）自愿隧道建立步驟客戶端發(fā)起到的L2隧道連接請求對客戶端進行認證認證通過后，客戶端與之間建立L2隧道連接客戶端再次發(fā)起到的連接請求利用認證來確認用戶，然后分配私網地址與客戶端之間的會話建立自愿隧道研究實例0:192.168.5.1/161:11.1.2.2/242:2.2.2.1/241:14.1.2.2/240:13.1.1.1/242000L2客戶端2.2.2.253/24503

13.1.1.2/24隧道自愿隧道的配置

2.2.2.25318132.2.2.25318122.2.2.1

17.1.1.1/1601800180060202.99.8.110.1.0.410.1.0.4l2

2.2.2.1606l217.1.1.1/1617.1.1.117.1.1.1017.1.1.100600017.1.1.2100的相關調試命令l2

l2l2

L2報文封裝格式L2強制隧道模式流程三層隧道協議密碼學簡介對稱密碼算法加密密鑰能夠從解密密鑰中推算出來，反過來也成立在大多數對稱密碼算法中，加/解密密鑰是相同的加密解密密文明文原始明文密鑰密鑰對稱密碼算法的特點1：同一個密鑰既用來加密也用于解密2：對稱加密速度快3：對稱加密得到的密文是緊湊的4：因為接受者需要對稱密鑰，所以對稱加密容易受到中途攔截竊聽的攻擊

典型的對稱密碼算法1：2：3非對稱密碼算法用作加密的密鑰不同于作解密的密鑰，而且解密的密鑰不能根據加密的密鑰計算出來

加密解密密文明文原始明文加密密鑰解密密鑰非對稱密碼算法的特點1：使用非對稱密碼技術時，用一個密鑰(公鑰或私鑰)加密的數據只能用另一個密鑰(私鑰或公鑰)來解密2:不必發(fā)送密鑰給接收者，所以非對稱加密不必擔心密鑰被中途攔截的問題3:非對稱加密速度較慢4:非對稱加密會導致得到的密文變長典型的非對稱密碼算法

散列函數：接受一大塊的數據并將其壓縮成最初數據的一個摘要()散列函數用于認證典型的散列函數 1：52：1概述

在層為對等體間(，需要對數據流進行處理的路由器或主機)提供了數據機密性、數據完整性和數據來源鑒別保護，可被用來在對等體間保護一種或多種數據流。有兩個基本目標：1）保護數據包安全2）為抵御網絡攻擊提供防護措施提示:并不是一個協議，而是一整套安全體系結構。的類型試圖解決的兩個主要設計問題1：為把兩個專用網絡組合成一個虛擬網絡的無縫連接2：將虛擬網絡擴展成允許遠程訪問用戶（）成為可信網絡的一部分基于兩個設計的基礎上，可以被分為兩類1:實現（也被稱為）2:遠程訪問客戶端實現

的組成結合了三個主要的協議從而組成了一個和諧的安全框架密鑰交換()協議提供協商安全參數和創(chuàng)建認證密鑰的框架(封裝安全載荷)提供加密、認證和保護數據的框架(鑒別頭)提供認證和保護數據的框架的兩種工作模式隧道模式（）可以對頭和數據進行加密認證，即協議使包通過隧道傳輸傳輸模式（）可以對數據進行加密認證，即協議為高層提供基本的保護提示:傳輸模式應用于端到端的會話，隧道模式被應用于任何其他情況下流量10.6.1.2/3210.8.1.2/32使用兩個路由器之間的隧道模式流量10.1.1.1/3210.1.2.1/32使用兩個路由器之間的傳輸模式Internet10.1.1.1/3210.1.2.1/3210.6.1.2/3210.8.1.2/32傳輸模式傳輸隧道模式模式和簡介（頭部認證）為對等體間傳送的數據報提供認證(鑒別)、完整性保護和抗重播服務這是通過對數據報應用帶密鑰的散列函數創(chuàng)建消息摘要而實現的（封裝安全負載）為對等體間傳送的數據報提供加密、認證、完整性保護和抗重播服務提示:和雖然都可以進行完整性認證，但是由于認證的區(qū)域不一樣所以二者不能相互替代。報文格式隧道模式的報文隧道模式的報文隧道模式的、混合報文簡介安全聯盟，是構成的基礎，是兩個通信實體經協商建立起來的一種協定，它決定了用來保護數據包安全的協議（或）、算法、密鑰以及密鑰的有效存在時間等是單方向的，在對等體A、B之間有兩條，一條A→B，另一條B→A。通過、工作方式、安全協議、數據流的目的地址唯一標示一條?？梢允止そ⒁部梢詣討B(tài)建立安全聯盟()的參數

目的地址192.168.2.1安全參數索引(SPI)7A390BC1IPSec變換AH,HMAC-MD5密鑰7572CA7890FF16其他SA屬性(例如，生命周期)3600秒或100MB參數示例外出方向::0x12345A變換：工作方式：加密圖：定時：()入方向::0x12345A變換：工作方式：加密圖：定時：()外出方向::0x67890B變換：工作方式：加密圖：定時：()入方向::0x67890B變換：工作方式：加密圖：定時：()概述在協議中負責以下內容協商協議參數交換公共密鑰對雙方進行認證在交換后對密鑰進行管理提示:或密鑰交換協議是負責在兩個對等體間協商一條隧道的協議的建立的建立分為兩個階段：（一階段）（二階段）第一階段，協商創(chuàng)建一個通信信道()，并對該信道進行驗證，為雙方進一步的通信提供機密性、消息完整性以及消息源驗證服務；第二階段，使用已建立的建立。提示:一個可以用于建立多個。策略參數參數可接受的值關鍵詞缺省值消息加密算法333消息完整性（散列）算法5155對等體鑒別方法預共享密鑰加密的隨機數簽名密鑰交換參數768102412768的存活時間可以是任何秒數無3600協商過程L2和的結合應用創(chuàng)建L2時可能遇到的主要安全威脅攻擊者試圖通過窺探數據分組獲得用戶標識攻擊者試圖修改分組（控制分組或是數據分組）攻擊者試圖截獲L2隧道或隧道中的連接攻擊者可以通過終止連接或是L2隧道發(fā)起的攻擊攻擊者試圖破壞協商以削弱或是消除機密保護攻擊者也可以破壞協商以削弱認證過程或竊取用戶密碼在自愿隧道模式中使用保護L2通信在強制隧道模式中使用保護L2通信

L2

11.1.2.214.1.1.2提示的配置：：10111.1.2.2170114.1.1.21701：10114.1.1.2170111.1.2.21701高可用性配置適用范圍：在鏈接上發(fā)送組播或廣播流量在鏈接上發(fā)送基于非協議的流量可以獲得高可用性使實現具有可擴展性提示：和常常一起被用于傳輸模式，因為可以提供隧道模式具有的隧道功能。因此，不使用隧道模式節(jié)省了分組的開銷總量12310.2.1.0/2410.3.1.0/2410.1.1.0/24172.18.45.1172.18.45.2172.18.31.1提示的配置過程：開始明文分組被協議封裝，然后，接管并加密分組。172.18.45.1172.18.45.25

102101172.18.45.1

101172.18.31.1172.18.45.1203102172.18.45.2

102172.18.31.1172.18.45.21的配置0210.4.1.1255.255.255.0172.18.31.1172.18.45.11111310.4.1.1255.255.255.0172.18.31.1172.18.45.2111典型應用實例1

1

1使用客戶端軟件的遠程用戶Internet/ISP場點2發(fā)生協商產生動態(tài)加密圖遠端對等體發(fā)起動態(tài)接入典型應用實例2典型應用實例3Internet多點ABCDEF典型應用實例4動態(tài)多點典型應用實例5轉換設備

穿越配置0:192.168.5.1/161:11.1.2.2/241:14.1.1.2/240:13.1.1.1/24

192.168.120.0/24503

13.1.1.0/2414.1.1.2/2411.1.2.1/24503步驟1：定義感興趣的數據流對于的使用，確定什么樣的數據流被認為是感興趣的，是安全策略設計的一部分。在防火墻中，訪問控制列表被用于確定要加密的數據流，將訪問控制列表()指派給策略后，其“”語句指明：所選的數據流必須被加密發(fā)送；其“”語句指明：所選的數據流必須不被加密(以明文方式)發(fā)送。當感興趣的數據流被產生或流過應用的路由器時，系統將啟動的下一步，協商()#101192.168.120.213.1.1.2()#10113.1.1.2192.168.120.2提示的配置：1：配置基于多條不同協議的2：配置基于多條不同端口號的

步驟2：階段1，協商1：使能()#２：配置方式的密鑰和對等體()<密鑰><對等體地址>3：配置()#<1-1000>序號越小，優(yōu)先級越高，意味著越先被比較執(zhí)行上述命令會進入模式()#模式命令如下： 指定加密算法 指定散列算法 指定算法使用的組步驟3：階段2，協商，建立通道1配置變換集()()#<變換集名><變換>變換可以在以下三個集合中任選：{5、}{5、}{3、128、256、、}但每個集合中只可以選一個元素提示：不能配置的空加密和空認證2配置加密圖()#<加密圖名><序號><加密圖類型>序號越小，優(yōu)先級越高，意味著越先選擇。加密圖類型有兩種：、。執(zhí)行上述命令，進入模式模式命令如下： 指定變換集 指定對等體地址指定的生命周期 指定感興趣的數據流 指定算法使用的組對于類型的加密圖還涉及： 指定入流量所需的密鑰 指定出流量所需的密鑰提示：算法規(guī)定，其中第8、16、......64位是奇偶校驗位，不參與運算。故實際可用位數便只有56位。因此的安全性是基于除了8，16，24，......64位外的其余56位的組合變化256才得以保證的。因此，手工配置中，應避開使用第8，16，24，......64位作為有效數據位，而使用其它的56位作為有效數據位，才能保證算法安全可靠地發(fā)揮作用完美向前保密(，)如果在中指定了，則在建立二階段時執(zhí)行一個新的交換，能夠提供強度更大的密鑰材料，因此對密碼分析攻擊的抵抗能力更強。但這是以犧牲性能為代價的，交換需要大量的乘冪運算，因此會增加對的占用并降低系統性能，使用時要慎重。3在對等體雙方接口綁定加密圖()#1()<加密圖名>()#1()<加密圖名>

:1,:1:"1":21:42:11.1.2.2:14.1.1.2:192.168.120.2/32:0:13.1.1.2/32:0::0x1001:0x1002:():3381/3400:0x5151E0D8:0x1B7E22:5::():3381/3400:0x5151E0D7:0x1751913:5:(02):0:0:步驟4：加密隧道當建立起之后，數據就通過對等體間的隧道進行傳送，數據被使用中所指定的加密算法和密鑰來加密和解密步驟5：隧道終止當被刪除或生命周期超時后，就中止了。當指定的時間過去或指定的字節(jié)數通過隧道后，就超時。當終結后，密鑰會被丟棄。當一個數據流需要后續(xù)的時，就協商新的和，一次成功的的協商會產生新的和密鑰。新的可以在現有的超時之前被建立，這樣可以不打斷數據流，這種機制稱為軟超時。手工配置加密圖在上創(chuàng)建名為,序列號為1的手工加密圖，設置認證算法為5加密算法為，進入配置模式下()#1()#14.1.1.2()#36901234567890123456789()#36998765432109876543210()#3690123456789()#3699876543210()#1()#101提示：中的與中的相同，中的與中的相同!!

配置配置動態(tài)可以不指定對端地址，它適用于對端地址不能確定