VPN技术ppt课件.ppt

1、 VPN技术1VPN概述 VPN是通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。 2VPN类型1.远程访问虚拟专用网 通过一个拥有与专用网络相同策略的共享基础设施，提供对企业内部网或外部网的远程访问。32.企业内部虚拟专用网 通过一个使用专用链接的共享基础设施，连接企业总部、远程办事处和分支机构。企业

2、拥有与专用网络的相同策略、包括安全、服务质量（QoS）、可管理性和可靠性。43.企业扩展虚拟专用网 通过一个使用专用链接的共享基础设施，将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策，包括安全、服务质量（QoS）、可管理性和可靠性。5VPN实现的关键问题1.集中化策略管理2.强大的安全与认证3.全面集成4.符合标准5.多个认证中心（CA）支持6.硬件加速加密7.扩充能力6VPN技术1.隧道技术71.IP网络上的SNA隧道技术2.IP网络上的Novell NetWare IPX隧道技术8隧道类型1.自愿隧道2.强制隧道92.加解密技术（1）PPTP服务器采用MP

3、PE加密技术。（2）L2TP服务器使用IPSec机制对数据进行加密。103.密钥管理技术（1）SKIP（2）ISAKMP/OAKLEY11隧道协议要求1.用户验证2.令牌卡3.动态地址分配4.数据压缩5.数据加密6.密钥管理7.多协议支持124.使用者与设备身份认证技术（1）CHAP（2）MS-CHAP（3）MS-CHAP v2（4）EAP13VPN常用协议 IPSec : IPsec(缩写IP Security)是保护IP协议安全通信的标准，它主要对IP协议分组进行加密和认证。 PPTP: Point to Point Tunneling Protocol - 点到点隧道协议。在因特网上建立

4、IP虚拟专用网（VPN）隧道的协议，主要内容是在因特网上建立多协议安全虚拟专用网的通信方式。 L2F: Layer 2 Forwarding - 第二层转发协议 L2TP: Layer 2 Tunneling Protocol -第二层隧道协议 GRE：VPN的第三层隧道协议 OpenVPN:OpenVPN使用OpenSSL库加密数据与控制信息：它使用了OpenSSL的加密以及验证功能，意味着，它能够使用任何OpenSSL支持的算法。它提供了可选的数据包HMAC功能以提高连接的安全性。此外，OpenSSL的硬件加速也能提高它的性能。 MPLS VPN：集隧道技术和路由技术于一身，吸取基于虚电路

5、的VPN的QoS保证的优点，并克服了它们未能解决的缺点。MPLS组网具有极好的灵活性、扩展性，用户只需一条线路接入MPLS网，便可以实现任何节点之间的直接通信，可实现用户节点之间的星型、全网状以及其他任何形式的逻辑拓扑 14PPP协议英文全名Point to Point Protocol,中文译名点对点协议。是在点对点连接上传输多协议数据包提供了一个标准方法。组成：1.封装2.链路控制协议3.网络控制协议4.配置15PPP协议结构标志 地址控制 协议信息帧校验序列8162440Variable16-32 bits16PPP工作原理1.创建PPP链路2.用户验证3.PPP回叫控制4.调用网络层协

6、议17PPTP功能：1.PPTP是一种支持多协议虚拟专用网络的网络技术2.PPTP可以用于在IP网络上建立PPP会话隧道3.PPTP只能通过PAC和PNS来实施，其他系统没必要知道PPTP4.PPTP使用GRE的扩展版本来传输用户PPP包18L2TP功能：1.L2TP是用来整合多协议拨号服务至现有的Internet服务提供商点2.L2TP扩展了PPP模型，允许第二层和PPP终点处于不同的由包交换网络相互连接的设备3.第二层连接可以在一个本地电路及中期上终止4.L2TP使用以下两种信息类型，即控制信息和数据信息19PPTP与L2TP的区别1.PPTP要求因特网为IP网络，L2TP只要求隧道媒介提

7、供面向数据包的点对点的连接2.PPTP只能在两端点建立单一隧道，L2TP支持在两端点间使用多隧道3.L2TP可以提供包头压缩4.L2TP可以提供隧道验证，而PPTP则不支持隧道验证20基于SSL算法工作原理21SSLVPN特性一、安全的协议1.SSL VPN采用了SSL协议，介于HTTP层及TCP层。2.通过SSL VPN是接入企业内部的应用，而不是企业的整个网络。没有控制的联入整个企业的网络是非常危险的。3.采用SSL安全协议在网络中加密传输，对于gateway上的防火墙来讲，只需要打开有限的安全端口即可，不需要将所有对应应用的端口开放给公网用户，这样大大降低了整个网络被公网来的攻击的可能性

8、。4.数据加密的安全性有加密算法来保证，这个各家公司的算法可能都不一样，有标准的算法比如DES，3DES，RSA等等也有自己的加密算法。黑客想要窃听网络中的数据，就要能够解开这些加密算法后的数据包。5.Session保护功能：在绘画停止一段时间以后自动结束回话，如果需要继续访问则要重新登录，通过对Session的保护来起到数据被窃听后伪装访问的攻击。22二、产品起到的安全功能1.首先由于SSL VPN一般在GATEWAY上或者在防火墙后面，把企业内部需要被授权外部访问的内部应用注册到SSL VPN上，这样对于GATEWAY来讲，只需要开通443端口到SSL VPN即可，而不需要开通所有内部的应

9、用的端口，如果有黑客发起攻击也只能到SSL VPN这里，攻击不到内部的实际应用。2.不改变防病毒策略：如果您采用了IPSEC VPN的产品，当客户端一台电脑通过VPN连入内部网络并不受原来公司的防病毒策略的保护，二SSL VPN就没有这个问题。3.不改变防火墙策略：基本原理同防火墙。还是从IPSEC的角度来讲，如果当客户端有一台电脑通过VPN联入网络后，如果该电脑被黑客攻击安装了木马，这个电脑将成为攻击内部网络的跳板，二SSL VPN就没有这个问题。23MPLS1.MPLS的历史2.MPLS和ATM3.MPLS的优势4.MPLS的工作流程5.MPLS要素24MPLS概念多协议标签交换介于2层与

10、三层之间“一次路由多次交换”25多层交换的历史1.IP交换技术：Ipsilon2.标签交换：Cisco3.ARIS:IBM4.CSR：Toshiba5.MPLS:IETF MPLS工作组/199726MPLS和ATM MPLS在ATM交换机上增加了IP路由控制功能 ATM交换机直接支持IP协议，避免了复杂的协议转换272829MPLS要素1.FEC2.Lable3.LDP3031PPP工作步骤Step1：创建PPP链路Step2：用户验证Step3：PPP回叫控制Step4：调用网络层协议32VPN发展趋势1.自建与外包 大型企业自建VPN 中小型企业外包VPN2.外包是趋势 外包给企业带来的好处 外包给服务供应商带来的好处33