《網(wǎng)絡安全技術》課件第10章

第10章VPN技術10.1VPN概述10.2VPN隧道協(xié)議10.3VPN集成10.4VPN應用實例習題

10.1VPN概述

VPN是將不同物理位置的組織和個人通過已有的公共網(wǎng)絡建立一條點到點的虛擬鏈路，模擬專用網(wǎng)進行安全數(shù)據(jù)通信的網(wǎng)絡技術，其基本原理是通過一定的技術將互聯(lián)網(wǎng)上每個VPN用戶的數(shù)據(jù)與其他數(shù)據(jù)加以區(qū)別，避免未經(jīng)授權的訪問，從而確保數(shù)據(jù)的安全。通過利用共享的公共網(wǎng)絡設施實現(xiàn)VPN，能夠以極低的費用為遠程用戶提供性能和專用網(wǎng)絡相媲美的保密通信服務。

1.隧道技術

隧道技術(Tunneling)是目前構建VPN的基本方式。隧道技術是指把一種類型的報文封裝在另一種報文中在網(wǎng)絡上進行傳輸，如圖10.1所示。兩個網(wǎng)絡通過VPN接入設備的一個端口，即一個VPN端點，建立的虛擬鏈路就叫隧道。發(fā)送給遠程網(wǎng)絡的數(shù)據(jù)要進行一定的封裝處理，從發(fā)送方網(wǎng)絡的一個VPN端點進入VPN，經(jīng)相關隧道穿越VPN(物理上穿越不安全的互聯(lián)網(wǎng))，到達接收方網(wǎng)絡的另一個VPN端點，再經(jīng)過解封裝處理，便得到原始數(shù)據(jù)，并且把加密后的原始數(shù)據(jù)發(fā)給目的主機。圖10.1VPN隧道模式封裝的數(shù)據(jù)在傳送中，不僅遵循指定的路徑，避免經(jīng)過不信任的節(jié)點而到達未授權接收方，而且封裝處理使得傳送的中間節(jié)點不必也不會解析原始數(shù)據(jù)，這在一定程度上防止了數(shù)據(jù)泄密。對主機來說，不管是發(fā)送主機還是接收主機，都不知道數(shù)據(jù)曾經(jīng)被封裝過，也不知道數(shù)據(jù)是在Internet網(wǎng)絡上進行傳輸?shù)?，它只需要提供要傳輸?shù)臄?shù)據(jù)，而不需要特殊的軟件或配置，所有傳送過程都由VPN設備來處理。僅僅通過隧道技術還不能建立適合所有安全要求的VPN，因為一般的隧道技術只能夠滿足在單個運營商網(wǎng)絡上進行數(shù)據(jù)安全傳輸?shù)男枨?。用戶?shù)據(jù)要跨越多個運營商網(wǎng)絡時，在兩個獨立網(wǎng)絡節(jié)點的封裝數(shù)據(jù)要先解封處理后再封裝，可能在此過程中造成信息泄漏，因此，必須結(jié)合加密技術和密鑰管理等技術保證數(shù)據(jù)傳輸?shù)臋C密性。同時，身份認證及訪問控制等技術可以支持遠程接入或動態(tài)建立隧道的VPN，通過對訪問者身份的確認及對其訪問資源的控制來保證信息安全。所以，VPN通信具有與專用網(wǎng)同等的通信安全性。VPN的簡單通信過程如下：(1)客戶機向VPN服務器發(fā)出請求。

(2)

VPN服務器響應請求，并要求客戶進行身份認證。

(3)客戶機將加密的用戶身份認證響應信息發(fā)給服務器。

(4)

VPN服務器收到客戶的認證響應信息，確認該帳戶是否有效，是否具有遠程訪問權限。如果有訪問權限，則接收此連接。

(5)

VPN服務器利用在認證過程中產(chǎn)生的客戶機和服務器的公有密鑰對數(shù)據(jù)進行加密，然后通過VPN隧道技術進行封裝、加密、傳輸?shù)侥康膬?nèi)部網(wǎng)絡。

總之，VPN可以通過隧道技術、密碼技術、身份認證及訪問控制技術等在共享的互聯(lián)網(wǎng)上實現(xiàn)低成本的安全數(shù)據(jù)傳輸。

2.

VPN的優(yōu)點

VPN的優(yōu)點如下：

1)費用低廉

這是使用VPN的最主要的好處。通過使用VPN，我們可以在公共網(wǎng)絡上盡可能安全地傳輸數(shù)據(jù)，而不需要再租用專線來組網(wǎng)。并且，多數(shù)VPN都可以提供可靠的遠程撥號服務，如此便減少了管理、維護和操作撥號網(wǎng)絡的人力成本，節(jié)約了相關費用。2)安全可靠

VPN為數(shù)據(jù)安全傳輸提供了許多安全保證，可以保證傳輸數(shù)據(jù)的機密性、完整性和對發(fā)送/接收者的認證。

3)部署簡單

VPN使用的是已有的基礎設施，因此可以利用現(xiàn)有的基礎設施快速建立VPN，從而降低工作量，節(jié)省時間，減少施工費用。

3.

VPN的缺點

VPN有如上所述的許多優(yōu)點，但同時也有一些缺點：

1)增加了處理開銷

為了保證數(shù)據(jù)傳輸安全，通常對傳輸?shù)拿恳粋€報文都進行加密，如此便增加了VPN處理壓力。雖然可以采取硬件技術來解決，但同時也增加了構建VPN的成本。同時，由于VPN對發(fā)送的報文進行了封裝，或者在原始報文上增加額外報文信息，這些都增加了處理開銷，對網(wǎng)絡性能構成一定的影響。2)實現(xiàn)問題

由于現(xiàn)有的網(wǎng)絡基礎情況一般比較復雜，因此VPN在設計的時候必須考慮到實現(xiàn)的問題，包括VPN通過、網(wǎng)絡地址轉(zhuǎn)換、最大傳輸單元大小等問題。3)故障診斷和控制問題

由于VPN上傳輸?shù)臄?shù)據(jù)都進行了封裝處理，真實數(shù)據(jù)只能等解封后才能看見，因此一旦發(fā)生故障，很難進行診斷。同時，如果遠程用戶通過VPN接入的話，必須要考慮對其實施控制。因為此時的遠程接入客戶作為進入網(wǎng)絡的入口，由于其自身主機的安全問題，可能會帶來安全隱患。并且，VPN畢竟是構建在公共基礎設施上，而一旦這些基礎設施出現(xiàn)問題則會導致Internet服務故障，從而使VPN的通信出現(xiàn)問題。

10.2VPN隧道協(xié)議

按照用戶數(shù)據(jù)是在網(wǎng)絡協(xié)議棧的第幾層被封裝，即隧道協(xié)議是工作在第二層數(shù)據(jù)鏈路層、第三層網(wǎng)絡層，還是第四層應用層，可以將VPN協(xié)議劃分成第二層隧道協(xié)議、第三層隧道協(xié)議和第四層隧道協(xié)議。

第二層隧道協(xié)議：主要包括點到點隧道協(xié)議(Point-to-PointTunnelingProtocol，PPTP)、第二層轉(zhuǎn)發(fā)協(xié)議(Layer2Forwarding，L2F)，第二層隧道協(xié)議(Layer2TunnelingProtocol，L2TP)、多協(xié)議標記交換(Multi-ProtocolLabelSwitching，MPLS)等，主要應用于構建接入VPN。

第三層隧道協(xié)議：主要包括通用路由封裝協(xié)議(GenericRoutingEncapsulation，GRE)和IPSec，它主要應用于構建內(nèi)聯(lián)網(wǎng)VPN和外聯(lián)網(wǎng)VPN。

第四層隧道協(xié)議：如SSLVPN。SSLVPN與IPSecVPN都是實現(xiàn)VPN的兩大實現(xiàn)技術。其中，IPSecVPN工作在網(wǎng)絡層，因此與上層的應用程序無關。采用隧道運行模式的IPSec對原始的IP數(shù)據(jù)包進行封裝，從而隱藏了所有的應用協(xié)議信息，因此可以實現(xiàn)各種應用類型的一對多的連接，如Web、電子郵件、文件傳輸、VoIP等連接。與SSL相比，IPSec只在一個客戶程序和遠程VPN網(wǎng)關或主機之間建立一條連接，所有應用程序的流量都通過該連接建立的隧道進行傳輸。而SSLVPN工作在應用層，對每一個附加的應用程序都不得不建立額外的連接和隧道。不過，SSL除了具備與IPSecVPN相當?shù)陌踩酝?，還增加了訪問控制機制。而且客戶端只需要擁有支持SSL的瀏覽器即可，配置方便，使用簡單，非常適合遠程用戶訪問企業(yè)內(nèi)部網(wǎng)。因此，現(xiàn)在第四層隧道協(xié)議最著名的便是SSL。

關于SSL和IPSec的技術原理與應用請參考9.4節(jié)與9.5節(jié)，本章內(nèi)容將重點討論其他幾種VPN協(xié)議。10.2.1PPTP

在了解點到點隧道協(xié)議(Point-to-PointTunnelingProtocol，PPTP)協(xié)議之前，必須先要了解PPP和GRE兩個協(xié)議。

1)點到點協(xié)議(Point-to-PointProtocol，PPP)

PPP協(xié)議主要是為通過撥號或?qū)＞€方式建立點對點連接的同等單元之間傳輸數(shù)據(jù)包而設計的鏈路層協(xié)議。PPP協(xié)議將IP、IPX和NETBEUI包封裝在PP幀內(nèi)通過點對點的鏈路發(fā)送，主要應用于撥號連接用戶和NAS。2)

GRE協(xié)議

GRE協(xié)議由Cisco和NetSmiths等公司提交給IETF的數(shù)據(jù)封裝協(xié)議，它規(guī)定了如何用一種網(wǎng)絡協(xié)議去封裝另一種網(wǎng)絡協(xié)議的方法，由RFC1701和RFC1702詳細定義。目前多數(shù)廠商的網(wǎng)絡設備均支持GER隧道協(xié)議。

GER協(xié)議允許用戶使用IP包封裝IP、

IPX、

AppleTalk包，并支持全部的路由協(xié)議(如RIP2、OSPF等)。不過，GER協(xié)議只提供了數(shù)據(jù)包封裝功能而沒有加密功能，所以在實際環(huán)境中為了保證用戶數(shù)據(jù)安全，GER協(xié)議經(jīng)常與IPSec結(jié)合使用，由IPSec提供用戶數(shù)據(jù)的加密。PPTP是由微軟、Ascend、3COM等公司支持的基于IP的點對點隧道協(xié)議，它采用隧道技術，使用IP數(shù)據(jù)包通過Internet傳送PPP數(shù)據(jù)幀，在RFC2367中有詳細定義。該協(xié)議使用兩種不同類型的數(shù)據(jù)包來管理隧道和發(fā)送數(shù)據(jù)包。PPTP通過TCP端口1723建立TCP連接并發(fā)送和接收所有控制命令。對于數(shù)據(jù)傳輸，PPTP先使用PPP封裝，再將PPP封裝到一個IP類型為47的GRE數(shù)據(jù)包中，最后GRE數(shù)據(jù)包再被封裝到一個IP數(shù)據(jù)包中通過隧道傳輸。如圖10.2所示。圖10.2PPTP數(shù)據(jù)包格式PPTP協(xié)議的實現(xiàn)由PPTP接入集中器(PPTPAccessConcentrator，PAC)和PPTP網(wǎng)絡服務器(PPTPNetworkServer，PNS)來分別執(zhí)行，從而實現(xiàn)因特網(wǎng)上的VPN。其中，ISP的NAS將執(zhí)行PPTP協(xié)議中指定的PAC的功能，企業(yè)VPN中心服務器將執(zhí)行PNS的功能。如圖10.3所示，遠程撥號用戶(如遠程用戶1)首先采用撥號方式接入到ISP的NAS(PAC)建立PPP連接，然后接入Internet，通過企業(yè)VPN服務器(PNS)訪問企業(yè)的網(wǎng)絡和應用，而不再需要直接撥號至企業(yè)的網(wǎng)絡。這樣，由GRE將PPP報文封裝成的IP報文就可以在PAC－PNS之間經(jīng)由因特網(wǎng)傳遞，即在PAC和PNS之間為用戶的PPP會話建立了一條PPTP隧道(如PPTP隧道1)。由于所有的通信都將在IP包內(nèi)通過隧道，因此PAC只起著通過PPP連接進因特網(wǎng)的入口點的作用。對于直接連接到Internet上的客戶(如遠程用戶2)，可以直接與企業(yè)VPN服務器建立虛擬通道(如PPTP隧道2)而不需要與ISP建立PPP連接。圖10.3PPTP實現(xiàn)過程PPTP具有兩種不同的工作模式，即被動模式和主動模式。

被動模式的PPTP：ISP為用戶提供其撥號連接到ISP過程中所有的服務和幫助，而客戶端則不需要安裝任何與PPTP相關的軟件。此模式的好處是降低了對客戶的要求，缺點是限制了客戶對因特網(wǎng)其他部分的訪問。

主動模式的PPTP：由客戶建立一個與企業(yè)網(wǎng)絡服務器直接連接的PPTP隧道，ISP只提供透明的傳輸通道而并不參與隧道的建立。此模式的優(yōu)點是客戶擁有對PPTP的絕對控制，缺點是對用戶的要求較高，并需要在客戶端安裝支持PPTP的相應軟件。從安全性上來說，對于加密，PPTP使用Microsoft點對點加密算法(MicrosoftPoint-to-PointEncryption，MPPE)，采用RC4加密程序。對于認證，PPTP使用Microsoft挑戰(zhàn)握手認證協(xié)議(MicrosoftChallengeHandshakeAuthenticationProtocol，MS-CHAP)、口令認證協(xié)議(PasswordAuthenticationProtocol，PAP)、挑戰(zhàn)握手認證協(xié)議(Challenge-HandshakeAuthenticationProtocol，CHAP)或可擴展認證協(xié)議(ExtensibleAuthenticationProtocol，EAP)來實現(xiàn)用戶認證功能。但是，由于MS-CHAP是不安全的，因此大都認為PPTP不安全。后來，Microsoft在PPTP實現(xiàn)中采用了MS-CHAPV2，解決了其存在的安全問題。10.2.2L2TP

第二層隧道協(xié)議(Layer2TunnelingProtocol，L2TP)是IETF起草，微軟、Ascend、Cisco、3COM等公司參與的協(xié)議，在RFC2661中對其進行了詳細定義。該協(xié)議由PPTP與二層轉(zhuǎn)發(fā)協(xié)議(Layer2Forwarding，L2F)的融合而形成，結(jié)合了兩個協(xié)議的優(yōu)點，是目前IETF的標準。其中，L2F是由Cisco公司提出的可以在多種傳輸網(wǎng)絡(如ATM、幀中繼、IP網(wǎng))上建立多協(xié)議的安全虛擬專用網(wǎng)的通信方式，主要用于Cisco的路由器和撥號訪問服務器，能夠?qū)㈡溌穼拥膮f(xié)議(如HDLC、PPP等)封裝起來傳送。和PPTP一樣，L2TP通過對數(shù)據(jù)加密和對目的地址加密隱藏，在Internet網(wǎng)絡上建立隧道，從而創(chuàng)建一種安全的連接來傳送信息。L2TP消息可以分為兩種類型，一種是控制信息，另一種是數(shù)據(jù)信息?？刂菩畔⒂糜谒淼篮秃艚械慕ⅰ⒕S護與清除。數(shù)據(jù)信息用于封裝隧道傳輸?shù)腜PP數(shù)據(jù)幀?？刂菩畔⒗肔2TP內(nèi)部可靠的控制通道來保證傳輸，而數(shù)據(jù)信息一旦數(shù)據(jù)包丟失則不再重傳。如圖10.4所示。L2TP在IP網(wǎng)絡上的隧道控制信息以及數(shù)據(jù)使用相類似，通過UDP的1701端口承載于TCP/IP之上進行傳輸。

結(jié)合IPSec技術進行數(shù)據(jù)安全傳輸?shù)腖2TP數(shù)據(jù)包格式如圖10.5所示。圖10.4L2TP協(xié)議結(jié)構圖10.5L2TP數(shù)據(jù)包格式與PPTP類似，L2TP協(xié)議的實現(xiàn)也由兩個設備來執(zhí)行：一個是L2TP訪問集中器(L2TPAccessConcentrator，LAC)，另一個是L2TP網(wǎng)絡服務器(L2TPNetworkServer，LNS)。L2TP將隧道連接定義為一個LNS和LAC對，其中LAC用于發(fā)起呼叫、接收呼叫和建立隧道，而LNS是遠程系統(tǒng)通過L2TP建立的隧道傳送PPP會話的邏輯終點。如圖10.6所示。圖10.6L2TP實現(xiàn)過程

1.

L2TP的建立過程

(1)遠程用戶通過PSTN或ISDN撥號至本地接入服務器LAC(LAC是連接的終點)；

(2)

LAC接收呼叫，認證用戶是否合法，通過Internet、幀中繼或ATM網(wǎng)絡建立一個通向內(nèi)部網(wǎng)(HomeLAN)LNS的VPN隧道；

(3)在隧道上傳輸PPP數(shù)據(jù)到達內(nèi)部網(wǎng)絡。

在以上過程中，內(nèi)部網(wǎng)提供地址分配、認證、計費等管理。LAC客戶端(運行L2TP的主機)可以直接接入內(nèi)部網(wǎng)而不需要另外的LAC。在這種情況下，包含LAC客戶端軟件的主機必須已經(jīng)連接到公網(wǎng)上，然后建立一個“虛擬”PPP連接，使本機L2TPLAC客戶端與LNS之間建立一個隧道。其地址分配、認證、授權和計費都由目標網(wǎng)絡的管理域提供。LAC和LNS功能一般由為用戶通過PSTN/ISDN撥入網(wǎng)絡提供服務的網(wǎng)絡接入服務器NAS(NetworkAccessServer)提供。

2.

L2TP協(xié)議的特性

(1)擴展性。為了在互通的基礎上具有最大化擴展性，L2TP使用了統(tǒng)一的格式來對消息的類型和主體(body)進行編碼，用AVP值對(AttributeValuePair)來表示。

(2)可靠性。L2TP在控制信息的傳輸過程中，應用消息丟失重傳和定時檢測通道連通性等機制來保證傳輸?shù)目煽啃?。而其?shù)據(jù)消息的傳輸由于不采用重傳機制，所以它無法保證傳輸?shù)目煽啃?，但這一點可以通過上層協(xié)議如TCP等得到保證。另外，L2TP在所有的控制信息中都采用序號來保證可靠傳輸，而數(shù)據(jù)信息可用序號來進行數(shù)據(jù)包的重排或用來檢測丟失的數(shù)據(jù)包。(3)身份認證及保密性。L2TP繼承了PPP的所有安全特性，不僅可以選擇多種身份認證機制(CHAP、PAP等)，還可以對隧道端點進行認證。L2TP定義了控制包的加密傳輸，對每個隧道生成一個獨一無二的隨機密鑰，以抵御欺騙性的攻擊，但是它對傳輸中的數(shù)據(jù)不加密。根據(jù)特定的網(wǎng)絡安全要求可以方便地在L2TP之上采用隧道加密、端對端數(shù)據(jù)加密或應用層數(shù)據(jù)加密等方案來提高數(shù)據(jù)的安全性。

3.

L2TP與PPTP的區(qū)別

雖然L2TP是由PPTP發(fā)展起來的，都使用PPP協(xié)議對數(shù)據(jù)進行封裝，然后添加附加報頭用于數(shù)據(jù)在互聯(lián)網(wǎng)絡上的傳輸，但兩者間仍有一定的區(qū)別：

(1)從網(wǎng)絡運行環(huán)境上來看，PPTP要求互聯(lián)網(wǎng)絡為IP網(wǎng)絡，而L2TP可以在IP、幀中繼、ATM等網(wǎng)絡上使用。

(2)從建立隧道的模式來看，PPTP只能在兩端點間建立單一隧道，而L2TP支持在兩端點間使用多隧道。因此，用戶可以針對不同的服務質(zhì)量使用L2TP創(chuàng)建不同的隧道。(3)從認證方式來看，L2TP可以提供隧道認證，而PPTP則不支持隧道認證。但是當L2TP或PPTP與IPSec共同使用時，可以由IPSec提供隧道驗證，而不需要在第二層協(xié)議上驗證隧道。

(4)從數(shù)據(jù)包傳輸效率來看，L2TP合并了控制通道和數(shù)據(jù)通道，使用UDP協(xié)議來傳輸所有信息，因此，相對采用TCP協(xié)議傳輸數(shù)據(jù)的PPTP來說，效率更高，更容易通過防火墻。另一方面，PPTP支持通過NAT防火墻的操作，而L2TP則不能支持。10.2.3MPLS

多協(xié)議標記交換(Multi-ProtocolLabelSwitching，MPLS)吸收了ATM的VPI/VCI交換思想，無縫集成了IP路由技術的靈活性和兩層交換的簡捷性，在面向無連接的IP網(wǎng)絡中增加了MPLS這種面向連接的屬性。通過采用MPLS建立“虛連接”的方法，為IP網(wǎng)增加了一些管理和運營的手段。隨著網(wǎng)絡技術的迅速發(fā)展，MPLS應用也逐步轉(zhuǎn)向MPLS流量工程和MPLSVPN等應用。本節(jié)重點介紹MPLSVPN技術。MPLS的主要原理是為每個IP數(shù)據(jù)包提供一個標記，并由此標記決定數(shù)據(jù)包的路徑以及優(yōu)先級，使與MPLS兼容的路由器在將數(shù)據(jù)包轉(zhuǎn)送到其路徑之前，只需讀取數(shù)據(jù)包標記，而無需讀取每個數(shù)據(jù)包的IP地址和標頭，然后將所傳送的數(shù)據(jù)包置于幀中繼或ATM的虛擬電路上，從而將數(shù)據(jù)包快速傳送至終點路由器，減少了數(shù)據(jù)包的延遲，增加了網(wǎng)絡傳輸?shù)乃俣?。同時由幀中繼及ATM交換器所提供的服務質(zhì)量(QualityofService，QoS)對所傳送的數(shù)據(jù)包加以分級，因而大幅提升網(wǎng)絡服務品質(zhì)及提供更多樣化的服務。因此，MPLS技術適合用于遠程互聯(lián)的大中型企業(yè)專用網(wǎng)絡等對QoS、服務級別(ClassofService，CoS)、網(wǎng)絡帶寬、可靠性等要求高的VPN業(yè)務。

10.3VPN集成

VPN在網(wǎng)絡中的集成有很多方式，最常見的有路由器集成VPN、防火墻集成VPN和專用VPN設備三種方式。

1.路由器集成VPN

現(xiàn)在一些路由器中已經(jīng)配備了VPN模塊，即路由器集成VPN，如圖10.7所示。圖10.7路由器集成VPN邊緣路由器上集成VPN，訪問過程如下：

遠程用戶建立VPN到路由器。

路由器將請求轉(zhuǎn)發(fā)給NAS。

NAS認證遠程用戶是否合法，若合法，則授權用戶訪問內(nèi)部網(wǎng)。

路由器集成VPN的設備僅適合小型網(wǎng)絡而不適合大型網(wǎng)絡，因為路由器本身的性能有限，若再加上加密/解密VPN信息帶來的負擔，則會使路由器超負荷。因此，一般對企業(yè)用戶來說，路由器集成VPN并不是一個很好的選擇。

2.防火墻集成VPN

防火墻集成VPN是應用廣泛的模式。許多廠家的防火墻產(chǎn)品都具有VPN功能。由于防火墻本身具備較完善的記錄功能，因此，在此基礎上增加VPN記錄不會給防火墻帶來太大的額外負擔。另外，防火墻也是網(wǎng)絡的入口點，在此增加VPN功能將使用戶能夠訪問網(wǎng)絡而不用開放防火墻規(guī)則，以免增加安全漏洞。

防火墻集成VPN如圖10.8所示。圖10.8防火墻集成VPN防火墻集成VPN訪問過程與路由器集成VPN類似：

遠程用戶建立VPN到防火墻。

防火墻將認證請求轉(zhuǎn)發(fā)給NAS。

NAS認證遠程用戶是否合法，若合法，則防火墻授權用戶訪問內(nèi)部網(wǎng)。防火墻集成VPN的模式可以獲得設備中由防火墻部件提供的健壯的訪問控制功能，給網(wǎng)絡管理員提供了更多的控制權，使用戶能夠訪問的網(wǎng)絡資源部分被限定。但與路由器集成VPN一樣，處理VPN加密/解密信息需要占用大量系統(tǒng)資源，如果防火墻本身負荷已經(jīng)很重，則不適合選擇此種模式。而且，防火墻集成VPN方案還有一個缺陷，就是在優(yōu)化配置虛擬網(wǎng)和防火墻部件方面，選擇余地非常小，因為最適合業(yè)務需要的防火墻產(chǎn)品可能與虛擬專用網(wǎng)不匹配。同時，集成方案還會使VPN和防火墻部件限制在一套系統(tǒng)上，使得配置方案不靈活。

3.專用VPN設備

專用VPN設備最主要的優(yōu)點就是減輕了路由器和防火墻管理VPN的負擔，即使有再多的連接甚至過載，也不會影響網(wǎng)絡的其他部分。專用VPN設備的另一個優(yōu)點是增強了VPN訪問的安全性，即使VPN被攻破，也可以使攻擊者引起的破壞降到最低，相比路由器和防火墻集成VPN而言，增強了網(wǎng)絡安全性。

專用VPN設備如圖10.9所示。圖10.9專用VPN設備專用VPN設備訪問過程如下：

遠程用戶建立VPN到專用設備。

專用設備處理用戶認證請求，或?qū)⒄埱筠D(zhuǎn)發(fā)給NAS。

如果認證成功，則授權用戶訪問內(nèi)部網(wǎng)，并且管理員還能夠限定用戶訪問網(wǎng)絡的哪部分資源。專用VPN設備與防火墻的組合主要有三種結(jié)構：

1)

VPN設備在非軍事區(qū)內(nèi)，位于防火墻和路由器之間

此種模式最大的問題就是網(wǎng)絡地址轉(zhuǎn)換(NAT)。例如，用戶發(fā)出的報文使用了IPSec的AH進行認證，在報文到達目標網(wǎng)絡虛擬網(wǎng)設備時，由于還沒通過防火墻進行地址轉(zhuǎn)換，因此不能通過目標網(wǎng)絡VPN的完整性校驗。這是因為在發(fā)送端的NAT設備在對報文處理時修改了報文的源地址，從而導致接收端的VPN連接不能通過消息摘要認證。2)

VPN設備在防火墻之后，位于屏蔽子網(wǎng)或網(wǎng)絡內(nèi)部

此種模式的問題是地址管理，有些虛擬專用網(wǎng)規(guī)范要求給虛擬專用網(wǎng)設備配置一個合法的IP地址，如果IP地址被NAT改寫后，可能會引起IPSec的IKE階段失敗。

3)

VPN設備在防火墻之前，更靠近Internet一些

此種模式可以避免潛在的網(wǎng)絡地址轉(zhuǎn)換和地址管理上出現(xiàn)的問題，但由于不能得到防火墻的保護，如果VPN端點的系統(tǒng)受到損害，可能使攻擊者訪問到應該受VPN保護的

信息?？傊?，專用VPN設備為穩(wěn)固和可升級方案的實現(xiàn)提供了很好的解決方法，而且不影響網(wǎng)絡的其他部分，具備許多優(yōu)點。但是專用VPN也有一些缺點，因為它是額外的網(wǎng)絡設備，所以也需要對它進行管理和監(jiān)控。另外，VPN設備及軟件的管理和漏洞也要加強防范，同時還要防止由于在防火墻中要通過VPN而創(chuàng)建的連接可能引起的安全問題。最后，專用VPN設備的使用也會使網(wǎng)絡成本提高。因此，選擇哪一種VPN端接方式需要對所有的方案及網(wǎng)絡潛在流量進行徹底的評估，才能找到最適合的解決方案。

10.4VPN應用實例

【實驗背景】

PPTP協(xié)議是最常用的VPN技術之一，它能夠在通信的雙方之間建立一個安全隧道，保證信息的安全傳輸，Windows系統(tǒng)中提供了構建PPTP安全應用的所有組件。

【實驗目的】

掌握PPTPVPN技術，保證信息的傳輸安全?！緦嶒灄l件】

(1)基于WindowsServer2003的PC機一臺；

(2)基于Windows的PC機兩臺。

【實驗任務】

(1)實現(xiàn)PPTPVPN服務器端配置；

(2)實現(xiàn)PPTPVPN客戶端配置；

(3)利用PPTPVPN技術實現(xiàn)客戶端和服務器端安全訪問。

【實驗內(nèi)容】

首先配置網(wǎng)絡環(huán)境：

1.各主機IP地址配置

VPN服務器：WindowsServer2003，配置兩塊網(wǎng)卡，或一塊網(wǎng)卡配兩個IP地址。其中外網(wǎng)IP為/8，內(nèi)網(wǎng)IP為/24。

外網(wǎng)主機：Windows2000/XP/2003，IP為/8。

內(nèi)網(wǎng)主機：Windows2000/XP/2003，IP為/24。

2.域的建立

(1)將VPN服務器配置成域服務器，域名自己定義。本實驗指導以建立的域名為例。

(2)在域服務器上建立一個域用戶，并賦予撥入權限，本文以建立的vpn_client1用戶為例，其配置如圖10.10所示。圖10.10域用戶撥入權限設置

3.?VPN服務器配置

(1)單擊“開始”按鈕→“所有程序”→“管理工具”→“路由和遠程訪問”，打開【路由和訪問控制】窗口。

(2)右擊【路由和訪問控制】窗口中的機器名→選擇“配置并啟用路由和遠程訪問”。

(3)在【歡迎使用路由和遠程訪問服務器安裝向?qū)А看翱谥袉螕簟跋乱徊健卑粹o。

(4)在【配置】窗口中選擇“自定義配置”，單擊“下一步”按鈕。

(5)在【自定義配置】窗口中選擇“VPN訪問(V)”，單擊“下一步”按鈕。

(6)在【正在完成路由和遠程訪問服務器安裝向?qū)А看翱谥袉螕簟巴瓿伞卑粹o。

(7)在【路由和遠程訪問】提示開始服務窗口中單擊“是”按鈕，開始啟動路由和遠程訪問服務。

(8)雙擊計算機名，高亮顯示“端口”，可以看到該向?qū)ё詣觿?chuàng)建了VPN端口，包括PPTP端口和L2TP端口，如圖10.11所示。圖10.11VPN端口列表

4.客戶端配置

(1)首先檢查客戶端網(wǎng)卡設置，為一外網(wǎng)靜態(tài)網(wǎng)卡/24，并用Ping命令測試其與IAS是否連通。

(2)在“網(wǎng)絡和撥號連接”中新建一個網(wǎng)絡連接(以Windows