1、“十二五”职业教育国家规划教材(经全国职业教育教材审定委员会审定)高等职业教育精品示范教材(信息安全系列)网络安全产品调试与部署网络安全产品调试与部署重庆电子工程职业学院 计算机学院第1章 防火墙产品调试与部署 知识目标 了解防火墙的定义和作用 掌握防火墙的工作原理及性能指标 掌握防火墙的架构和应用 理解防火墙的局限性 技能目标 能够根据项目进行方案设计 能够对防火墙进行部署、配置 能够对防火墙进行安全策略应用与测试项目引导项目背景项目引导需求分析目前网络存在的安全隐患:(1)缺乏对已知病毒的查杀能力(2)无法防范来自教科网的网络攻击(3)网络资源滥用严重(4)缺乏学生上网行为监控手段亟需完成
2、以下安全建设:(1)建立一套完善的安全组织、管理机构(2)建立一套完善安全管理制度(3)基层学校安全管理人员技术水平有待提高(4)需建立安全事故应急预案机制项目引导方案设计 网络安全系统是整体的、动态的,要真正实现一个系统的安全,就需要建立一个从保护、检测、响应到恢复的一套全方位的安全保障体系,它集防火墙、入侵检测、安全扫描系统、内网安全保密及审计系统、基于等级保护的综合安全管理与预警平台、网络防病毒系统等于一体,将多种网络安全技术和优秀网络安全产品在技术上有机集成,实现安全产品之间的互通与联动,将是一个统一的、可扩展的安全体系平台。项目引导方案设计 安全防范的第一步:部署防火墙1.1 防火墙
3、概述 概念 防火墙(Firewall)是一种位于内部网络与外部网络之间、专用网与公用网之间的网络安全系统,是设置在被保护网络和另外网络之间的一道屏障,实现网络的安全保护,以防止发生不可预测的、潜在破坏性的入侵,通常是由软件和硬件设备组合而成。作用 保护内网,防范由外而内的攻击。1.1 防火墙概述1.1 防火墙概述 防火墙是第一道网络安全屏障 基本特性 防火墙必须部署在网络关键节点(阻塞点、控制点)只有符合安全策略的数据流才能通过防火墙 防火墙自身不能被攻破 应用层防火墙需具备更细致的防护能力1.1 防火墙概述 主要功能 执行访问控制,强化网络安全策略 进行日志记录,管理和监控网络访问 进行路由
4、交换和NAT网络地址转换,缓解地址空间短缺的问题,同时隐藏内部网络结构的细节 实现数据库安全的实时防护 支持和建立虚拟专用网络1.1 防火墙概述-分类 按照防火墙的组成组件的不同 软件防火墙 硬件防火墙 根据防火墙技术的实现平台的不同 Windows防火墙 Unix防火墙 Linux防火墙 根据防火墙保护对象的不同 主机防火墙 网络防火墙1.1 防火墙概述-分类 根据防火墙的体系结构 包过滤型防火墙 双宿网关防火墙 屏蔽主机防火墙 屏蔽子网防火墙 实现技术 包过滤防火墙 应用代理(网关)防火墙 状态(检测)防火墙1.1 防火墙概述 硬件防火墙的性能指标 1.吞吐量 2.延时 3.丢包率 4.T
5、CP并发连接数1.1 防火墙概述 防火墙和杀毒软件 杀毒软件主要用来防病毒,防火墙软件用来防攻击 杀毒软件和防火墙软件本身定位不同 防范对象的表现形式不同,病毒为可执行代码,黑客攻击为网络数据流 病毒都是自动触发、自动执行、无人指使,黑客攻击是有意识、有目的的 病毒主要利用系统功能,黑客更注重系统漏洞 杀毒软件不防攻击,传统防火墙不杀病毒1.1 防火墙概述 防火墙的局限性 防火墙不能防范不通过它的连接 不能防范来自内部的攻击 不能防范所有的威胁 不能防止传送已感染病毒的软件或文件 无法防范数据驱动型的攻击 可能会限制有用的网络服务1.2 关键技术 访问控制 访问控制是网络安全防范和保护的主要策
6、略,它的主要任务是保证网络资源不被非法使用和访问。访问控制列表(Access Control Lists,ACL)ACL是应用在路由器接口的指令列表,最早在Cisco路由器上应用,之后得到推广。这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。路由器也有包过滤防火墙的作用 筛选路由器1.2 关键技术v网络地址转换网络地址转换NAT 把内部私有网络地址(IP地址)翻译成合法网络IP地址的技术 NAT有三种类型 静态地址转换(Static NAT)动态地址转换(Dynamic Nat)网络地址端
7、口转换NAPT1.2 关键技术 包过滤技术 对进出内部网络的所有信息进行分析,并按照一定的安全策略信息过滤规则对进出内部网络的信息进行限制,允许授权信息通过,拒绝非授权信息通过。1.2 关键技术 代理服务技术 运行应用代理程序,内部网用户可以通过应用网关安全地使用Internet服务,而对于非法用户的请求将予拒绝。1.2 关键技术 状态监测技术 状态检测是在网络层检查引擎截获数据包并抽取出与应用层状态有关的信息,并以此为依据决定对该连接是接受还是拒绝。在防火墙的核心部分建立状态连接表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每一个会话状态。1.3 防火墙结构 包过滤型结构 也被称为筛
8、选路由器结构,是最基本的一种结构,只使用一台路由器就可以实现1.3 防火墙结构 双宿/多宿网关结构1.3 防火墙结构 屏蔽主机结构1.3 防火墙结构 屏蔽子网结构1.4 硬件防火墙系统部署 路由模式1.4 硬件防火墙系统部署 透明模式1.4 硬件防火墙系统部署 混合模式1.5 项目实训 网络拓扑图1.5 项目实训 任务1:认识硬件及基础操作方法 在一般的防火墙的配置里,常见配置步骤为:防火墙初步认识-防火墙初始化配置-网络接口配置-部署方式配置-访问控制规则配置-设备关机1.5 项目实训1.5 项目实训 防火墙初始参数网口IP地址掩码备注LAN1192.168.0.1255.255.255.0
9、默认管理口LAN2无无可配置口LAN3无无可配置口LAN4无 无可配置口1.5 项目实训 利用浏览器登陆防火墙管理界面 将PC机与防火墙的LAN1网口连接起来 客户端IP设置到192.168.0.0网段 使用ping命令测试防火墙和管理PC间是否能互通 打开IE浏览器,输入管理地址http:/192.168.0.1:81 或https:/192.168.0.1:441 在防火墙的欢迎界面输入用户名和密码,默认用户名和密码为admin/8888881.5 项目实训 防火墙配置的基本操作 网络地址、子网和端口的概念 添加描述帮助管理者识别 创建、编辑、删除规则1.5 项目实训 防火墙配置的基本操作
10、 网络配置 进入网口配置界面,选择“网络设置”-“网口设置”-“网口”,即可进行网络设置1.5 项目实训 防火墙配置的基本操作 设备关闭、重启1.5 项目实训 任务2:防火墙部署 配置SNAT(1)防火墙接入(2)检验接入防火墙后网络状况(3)配置LAN口(4)配置WAN口(5)配置SNAT模式(6)测试1.5 项目实训 任务2:防火墙部署 配置DNAT(1)检验网络状况(2)配置DNAT模式(3)测试1.5 项目实训 任务3:防火墙策略配置 访问策略配置 内网办公区域PC机(192.168.10.2/24),无法访问服务器区域(也可称为DMZ区域)中Web服务器(IP:192.168.0.1
11、00),在防火墙的LAN-LAN策略中,配置内部策略为默认拒绝1.5 项目实训 任务3:防火墙策略配置 访问策略配置 只允许访问web服务器的应用配置1.5 项目实训 任务3:防火墙策略配置 高级策略配置 首先配置允许策略,让办公机器(IP:192.168.10.2)能访问服务器区域网的web服务器(IP:192.168.0.100)的应用服务1.5 项目实训 任务3:防火墙策略配置 高级策略配置1.5 项目实训 任务3:防火墙策略配置 高级策略配置 然后配置默认拒绝策略,使除了刚才做的策略之外其他的都拒绝1.6 项目实施与测试 任务1:防火墙规划 1.接口规划接口规划 2.路由规划路由规划
12、任务2:网络割接与防火墙实施 1.割接前准备割接前准备 2.网络割接网络割接 3.测试测试 4.实施时间表实施时间表 5.回退回退Thanks for your attention!第2章 入侵检测产品调试与部署 知识目标 知道入侵检测的特点及优势 掌握入侵检测的基本概念及分类 掌握入侵检测的关键技术 了解入侵检测的应用和发展趋势 技能目标 能根据用户的网络状况进行的安全需求分析 能够根据项目需求进行方案设计 合理选择入侵检测产品并能够正确部署 能够对入侵检测产品进行调试,正确配置安全策略 掌握入侵检测产品和防火墙联动的方法项目引导项目背景项目引导需求分析 网络仅部署了防火墙系统,而防火墙系统
13、有明显的缺陷 只能防范已知攻击 只能防范来自外部的攻击 只能被动防范,无法主动防御 防火墙对很多入侵方式都无能为力,如:针对Ping命令的攻击-ICMP攻击;针对配置错误的攻击IPC$攻击;针对应用漏洞的攻击unicode;缓冲区溢出攻击;ARP欺骗;拒绝服务攻击syn flood;针对弱口令的攻击口令破解;社会工程学攻击等项目引导方案设计 为了防范来自内部和外部攻击,入侵检测技术可以通过从计算机网络系统中若干关键节点收集信息并加以分析,监控网络中是否有违反安全策略的行为或者是否存在入侵行为,它能提供安全审计、监视、攻击识别和反攻击等多项功能,并采取相应的行动如断开网络连接、记录攻击过程、跟踪
14、攻击源、紧急告警等,是安全防御体系的一个重要组成部分,能与防火墙联动,增强网络防御能力。项目引导方案设计2.1 入侵检测概述 网络入侵的过程和手段 1.信息探测信息探测 2.攻击尝试攻击尝试 3.权限提升权限提升 4.深入攻击深入攻击 5.拒绝服务拒绝服务2.1 入侵检测概述 相关概念 攻击攻击:攻击者利用工具,出于某种动机,对目标系统采取的行动,其后果是获取、破坏、篡改目标系统的数据或访问权限。事件事件:在攻击过程中发生的可以识别的行动或行动造成的后果,称为事件。入侵入侵:入侵是指在非授权的情况下,试图存取信息、处理信息或破坏系统以使系统不可靠、不可用的故意行为。入侵检测入侵检测:入侵检测(
15、Intrusion Detection)是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。2.1 入侵检测概述 入侵检测系统 入侵检测系统(Intrusion Detection System,简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。在不影响网络性能的情况下能对网络进行监测,提供对内部攻击、外部攻击和误操作的实时保护,IDS是一种积极主动的安全防护技术。防火墙为网络提供了第一道防线,入侵检测系统被认
16、为是防火墙之后的第二道安全闸门。2.1 入侵检测概述 入侵检测系统2.1 入侵检测概述 入侵检测系统2.1 入侵检测概述 入侵检测系统的功能 事前报警:入侵检测系统能够在入侵攻击对网络系统造成危害前,及时检测到入侵攻击的发生,并进行报警;事中防御:入侵攻击发生时,入侵检测系统可以通过与防火墙联动、TCP Killer等方式进行报警及动态防御;事后取证:被入侵攻击后,入侵检测系统可以提供详细攻击信息,便于取证分析。2.1 入侵检测概述 入侵检测发展历史 1980年,James P.Anderson,计算机安全威胁监控与监视,第一次阐述入侵检测的概念。1984年到1986年,实时入侵检测系统模型I
17、DES(Intrusion Detection Expert Systems,入侵检测专家系统 1988年,Morris蠕虫事件,基于主机的IDS的开发,如IDES、Haystack等。1989年,A Network Security Monitor,网络入侵检测从此诞生。1990年,第一个基于网络的IDS:NSM(Network Security Monitor)2.1 入侵检测概述 入侵检测发展历史 90年代以后,不断有新的思想提出,如将信息检索、人工智能、神经网络、模糊理论、证据理论、分布计算技术等引入IDS。1999年,出现商业化产品,如Cisco Secure IDS,ISS Rea
18、l Secure等。2000年2月,对Yahoo!、Amazon、CNN等大型网站的DDOS攻击引发了对IDS系统的新一轮研究热潮,由此出现分布式入侵检测系统,是IDS发展史上的一个里程碑。2.2 入侵检测的技术实现 入侵检测的模型 Intrusion Detection Working Group(IDWG)和Common Intrusion Detection Framework(CIDF)2.2 入侵检测的技术实现 入侵检测的步骤 入侵检测过程分为三个步骤(1)信息收集:入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为。(2)信息分析:收集到的有关系统、网络
19、、数据及用户活动的状态和行为等信息,进行分析。(3)结果处理:控制台按照告警采取预先定义的响应措施,可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性,也可以只是简单的告警。2.2 入侵检测的技术实现 入侵检测的原理 异常检测异常检测 根据系统或者用户的非正常行为和使用计算机资源的非正常情况来检测入侵行为。这种检测方法的基本思想是:攻击行为是异常行为的子集。将不同于正常行为的的异常行为纳入攻击。2.2 入侵检测的技术实现 入侵检测的原理 异常检测异常检测的要点和难点的要点和难点 用户轮廓的提取、修正 阈值的设置和修正 主要技术方法主要技术方法 统计异常检测方法 特征选择异常检测方法
20、 基于贝叶斯推理异常的检测方法 基于贝叶斯网络异常检测方法 基于模式预测异常检测方法2.2 入侵检测的技术实现 入侵检测的原理 误用检测误用检测 误用检测也称为基于知识或基于签名的入侵检测。误用检测IDS根据已知攻击的知识建立攻击特征库,通过用户或系统行为与特征库中各种攻击模式的比较确定是否发生入侵。2.2 入侵检测的技术实现 入侵检测的原理 误用检测方法误用检测方法 基于专家系统的检测方法 基于状态转移分析的检测方法 基于模型误用检测方法 误用检测技术的关键问题关键问题是:攻击签名的正确表示。误用检测是根据攻击签名来判断入侵的,如何用特定的模式语言来表示这种攻击行为,是该方法的关键所在。2.
21、2 入侵检测的技术实现 入侵检测的原理 异常检测和误用检测技术的不同异常检测和误用检测技术的不同 误用检测是根据已知的攻击方法和技术总结构成特征库的,所以对新的攻击方法无法检测到;而异常检测是根据假设划定系统合理的行为范围(阀值)来定义特征库,实时检测系统的状态和行为是否在合理范围内,所以能检测到未知的攻击。误用检测针对具体的行为进行推理和判断入侵攻击;而异常检测根据使用者的行为和资源的使用情况来判断。异常检测误报高,而误用检测准确率较高,但对于新型的攻击漏报率也较高。误用检测对系统依赖性高,异常检测依赖性低,移植性好。2.3 入侵检测系统的分类 基于主机的入侵检测系统(HIDS)HIDS对多
22、种来源的系统和事件日志进行监控,发现可疑活动。基于主机的入侵检测系统也叫做主机IDS,最适合于检测那些可以信赖的内部人员的误用以及已经避开了传统的检测方法而渗透到网络中的活动。HIDS的主要优点有:性价比高;更加细腻,能够监视特定的系统活动;误报率较低;适用于交换和加密环境;对网络流量不敏感;能够确定攻击是否成功。2.3 入侵检测系统的分类 基于主机的入侵检测系统(HIDS)2.3 入侵检测系统的分类 基于网络的入侵检测系统(NIDS)基于网络的入侵检测系统对所有流经监测代理的网络通信量进行监控,对可疑的异常活动和包含攻击特征的活动作出反应。在比较重要的网段安装探测器,往往是将一台机器(网络传
23、感器)的一个网卡设于混杂模式(Promisc Mode),监听本网段内的所有数据包并进行事件收集和分析、执行响应策略以及与控制台通信,来监测和保护整个网段,它不会增加网络中主机的负载。NIDS的主要优点有:隐蔽性好;实时检测和响应;攻击者不易转移证据;不影响业务系统;可较全面发现入侵;能够检测未成功的攻击企图。2.3 入侵检测系统的分类 HIDS与NIDS比较2.3 入侵检测系统的分类 混合型入侵检测系统(Hybrid IDS)在新一代的入侵检测系统中将把现在的基于网络和基于主机这两种检测技术很好地集成起来,提供集成化的攻击签名检测报告和事件关联功能。虽然这种解决方案覆盖面极大,但同时要考虑到
24、由此引起的巨大数据量和费用。许多网络只为非常关键的服务器保留混合IDS。2.4 端口镜像技术 端口镜像技术(Port Mirroring)是把交换机一个或多个端口(VLAN)的数据镜像到一个或多个端口的方法。端口镜像又称端口映射,是网络通信协议的一种方式。它既可以实现一个VLAN中若干个源端口向一个监控端口镜像数据,也可以从若干个VLAN向一个监控端口镜像数据。例如,源端口的5号端口(或所有端口)上流转的所有数据流均可被镜像至10号监控端口,而入侵检测系统通过监控10号端口接收了所有来自5号端口(或所有端口)的数据流。值得注意的是,源端口和镜像端口必须位于同一台交换机上;而且端口镜像并不会影响
25、源端口的数据交换,它只是将源端口发送或接收的数据包副本发送到监控端口。2.5 NIDS系统部署 NIDS分为两大部分:探测引擎和控制中心。前者用于监听原始网络数据和产生事件;后者用于显示和分析事件以及策略定制等工作。2.5 NIDS系统部署 引擎采用旁路方式全面侦听网上信息流,实时分析,然后将分析结果与探测器上运行的策略集相匹配。执行报警、阻断、日志等功能,完成对控制中心指令的接收和响应工作。它是由策略驱动的网络监听和分析系统。采用旁路方式不需要更改现有网络结构,不会影响业务系统运行,而且部署简单、方便2.6 入侵检测软件Snort Snort是一个功能强大、跨平台、轻量级的网络入侵检测系统,
26、从入侵检测分类上来看,Snort是个基于网络和误用检测的入侵检测软件。Snort的网站是http:/www.snort.org。用户可以登陆网站,下载在Linux和Windows环境下的安装的可执行文件,并可以下载描述入侵特征的规则文件。在http:/www.snort.org/start/requirements页面可以查看到在Linux和Windows两个平台所需要的所有软件及其下载链接。2.7 IDS与防火墙的联动 入侵检测系统与防火墙的联动是指入侵检测系统在捕捉到某一攻击事件后,按策略进行检查,如果策略中对该攻击事件设置了防火墙阻断,那么入侵检测系统就会发给防火墙一个相应的动态阻断策略
27、,防火墙根据该动态策略中的设置进行相应的阻断,阻断的时间、阻断时间间隔、源端口、目的端口、源IP和目的IP等信息,完全依照入侵检测系统发出的动态策略来执行。2.7 IDS与防火墙的联动2.8 项目实训2.8 项目实训 如图所示,在交换机上旁路接入一台入侵检测设备。该设备具备4个的标准网络接口,将其中2个口分别连接到交换机上,2个口各有用处,LAN2做管理口,以便内部网络,主要是安全管理员进行管理、访问;LAN3做监控口,必须连接到交换机的镜像口。根据实际需要,在入侵检测上配置相应的规则,使之能检测到内部子网区域、DMZ区域之间ICMP包攻击的数据,及时的对攻击进行处理。配置入侵检测的规则,开启
28、引擎服务,查看相关入侵日志。2.8 项目实训 任务1:认识入侵检测系统并进行基本配置 1了解入侵检测系统硬件 2.利用浏览器登陆IDS管理界面(1)将PC机与IDS的LAN1网口连接起来(2)客户端IP设置,IP必须设置在与LAN1相同地址段上(端口LAN1的IP是192.168.0.145)(3)使用ping命令测试IDS和管理PC间是否能互通(4)打开IE浏览器,输入管理地址https:/192.168.0.145,进入欢迎界面,默认用户名和密码为admin/888888,点击“登录”进入入侵检测管理系统。2.8 项目实训 3.入侵检测的基本配置(1)依次点击“网络设置”“外线口设置”“W
29、AN设定”,将LAN2的IP配置为172.16.2.252,子网掩码为255.255.255.0,默认网关为172.16.2.254(请根据具体情况设置)。点击保存并连接。(将LAN2口做为管理口,用于管理设备)(2)依次点击“系统”“管理设置”“管理界面访问设定”,“网口”选择“LAN2”,其余选项缺省(3)依次点击“网络设置”“镜像口设置”“镜像设定”,将LAN3口配置为监控口(这里又叫镜像网口),用于监听经过交换机的所有信息。2.8 项目实训 4.入侵检测的设备管理配置(1)依次点击“系统”“管理设置”“密码”,按图2-23所示配置管理员用户,不启用USBKEY。(2)增加一个低权限用户
30、,即只允许浏览IDS,不允许进行操作(3)依次点击“系统”“管理设置”“用户安全设置”,进行用户安全设置。2.8 项目实训 任务2:入侵检测规则配置 使用系统自带检测规则,“入侵检测”“检测规则”,该页面显示所有入侵检测系统自带检测规则,用户可以查看已经勾选的规则库,或进行规则库的选择。系统会定时自动下载更新规则库,以使用户得到及时的保护。用户也可上传自定义补丁更新规则库。2.8 项目实训 任务3:入侵检测测试 1、查看网络连通情况 2、查看入侵日志Thanks for your attention!第3章 VPN产品调试与部署 知识目标 了解VPN的定义及作用 掌握VPN的关键技术 掌握VP
31、N的架构和应用 技能目标 能够根据项目需求进行方案设计 掌握项目中VPN部署、基本配置、隧道技术应用 能够对VPN进行部署和配置项目引导项目背景项目引导需求分析 根据该大型企业目前的网络现状其具体需求分根据该大型企业目前的网络现状其具体需求分析如下:析如下:需要实现企业分布在各地的分支机构和办事处与企业总部的互联;需要能为移动办公提供高效、安全、便捷的网络接入方式;所提供网络和设备,需保证企业业务的实时性要求;需要采用VPN加密技术,对网络中传输的数据进行加密,保证数据传输的安全;所提供的设备均需能进行集中管理,便于维护和部署,同时各设备均需提供日志审计功能;所提供的方案,需保证一定的扩展性,
32、为今后网络应用扩展提供支持。项目引导方案设计 在内部构建一套VPN专网,使得布局分散的分支机构、办事处以及移动办公人员,通过VPN的方式连入中心网络,增强用户接入的安全性,数据全程进行加密传输,实现内部OA、内部应用系统等的数据共享和远程应用,同时保证信息网络的安全。项目引导方案设计3.1 VPN概述 VPN的定义 虚拟专用网(Virtual Private Network,VPN),是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。V即Virtual,表示VPN有别于传统的专用网络,它并不是一种物理的网络,而是虚拟的或者逻辑的 P即Pr
33、ivate,表示这种网络具有很强的私有性 N即Network,表示这是一种专门组网技术和服务3.1 VPN概述 VPN的分类 1.按照用户的使用情况和应用环境进行分类按照用户的使用情况和应用环境进行分类 Access VPN远程接入VPN,移动客户端到公司总部或者分支机构的网关,使用公网作为骨干网在设备之间传输VPN的数据流量。Intranet VPN内联网VPN,公司总部的网关到其分支机构或者驻外办事处的网关,通过公司的网络架构连接和访问来自公司内部的资源。Extranet VPN外联网VPN,是在供应商、商业合作伙伴的LAN和公司的LAN之间的VPN。3.1 VPN概述 VPN的分类 2.
34、按照连接方式进行分类按照连接方式进行分类 远程 VPN远程访问VPN是指总部和所属同一个公司的小型或家庭办公室(Small office Home office 简称 SOHO)以及外出员工之间所建立的VPN。站点到站点 VPN站点到站点VPN指的是公司内部各部门之间,以及公司总部与其分支机构和驻外的办事处之间建立的VPN。Intranet VPN是传统广域网的一种扩展方式。3.1 VPN概述 VPN的分类 3.根据隧道协议进行分类根据隧道协议进行分类 根据VPN的协议,可以将VPN分为:PPTP、L2F、L2TP、MPLS、IPSec和SSL。3.1 VPN概述 VPN的功能要求 数据加密。
35、完整性。身份识别。防抵赖。访问控制。多协议支持。3.1 VPN概述 VPN关键性能指标 1.最大新建连接速率 2.最大并发连接数 3.VPN吞吐量 4.最大并发用户数 5.传输时延3.2VPN的关键技术 隧道技术 隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据(或负载)可以是不同协议的数据帧或数据包。隧道协议将这些其它协议的数据帧或包重新封装在新的包头中发送。1.自愿隧道(Voluntary Tunnel)2.强制隧道(Compulsory Tunnel)3.2VPN的关键技术v身份认证技术身份认证技术 身份认证是指计算机及网络系统确认操作者身份的过程。身
36、份认证技术从是否使用硬件来看,可以分为软件认证和硬件认证;从认证需要验证的条件来看,可以分为单因子认证、双因子认证及多因子认证;从认证信息来看,可以分为静态认证和动态认证。常用的身份认证方式 1.用户名/密码方式 2.IC智能卡认证 3.动态口令技术 4.生物特征认证 5.USB Key认证 3.2VPN的关键技术v加解密技术加解密技术 加解密技术是保障信息安全的核心技术。数据加密技术主要分为数据传输加密和数据存储加密。数据传输加密技术主要是对传输中的数据流进行加密,常用的有链路加密、节点加密和端到端加密三种方式。3.2VPN的关键技术v密钥管理密钥管理 密钥管理是在授权各方之间实现密钥关系的
37、建立和维护的一整套技术和程序;密钥管理负责密钥的生成、存储、分配、使用、备份/恢复、更新、撤销和销毁等。现代密码系统的安全性并不取决于对密码算法的保密或者是对加密设备等的保护,一切秘密寓于密钥之中。因此,有效地进行密钥管理对实现VPN至关重要。3.3 VPN隧道技术 创建隧道的过程类似于在双方之间建立会话;隧道的两个端点必须同意创建隧道并协商隧道各种配置变量,如地址分配,加密或压缩等参数。隧道维护协议被用来作为管理隧道的机制。隧道一旦建立,数据就可以通过隧道发送。目前主流的VPN协议包括PPTP协议、L2TP协议、IPSEC协议、GRE协议、SSL协议和MPLS协议等。3.3 VPN隧道技术
38、点对点隧道协议(PPTP协议)点对点隧道协议(PPTP,Point to Point Tunneling Protocol)最早是微软为安全的远程访问连接开发的,是点到点协议(PPP)的延伸。1.PPTP 的特性的特性 压缩:数据压缩通常是由微软的点对点压缩(MPPC)协议对 PPP 的有效负载进行处理。加密:数据加密是由微软的点对点加密(MPPE)协议对 PPP 的有效负载进行处理。用户验证:用户验证是通过使用PPP的验证方法实现的 数据传递:数据使用 PPP 打包,接着被封装进 PPTP/L2TP 的包中 客户端编址:使用 PPP 的网络控制协议 NCP3.3 VPN隧道技术 点对点隧道协
39、议(PPTP协议)2.PPTP 工作的四个阶段工作的四个阶段 阶段 1:链路控制协议 LCP 用于发起连接,这包括协商第 2 层参数,如验证的使用、使用 MPPC 做压缩、使用 MPPE 做加密、协议和其它的 PPP 特性实际的加密和压缩在第 4 阶段协商。阶段 2:用户被服务验证,PPP 支持 4 种类型的验证,分别为:PAP、CHAP、MS-CHAPv1、MS-CHAPv2。阶段3:这是一个可选阶段 阶段4:在此阶段,会调用在阶段 1 协商的用于数据连接的协议,这些协议包括 IP、IPX、数据压缩算法、加密算法和其他协议,阶段 4 完成,数据现在可以通过 PPP 连接发送。3.3 VPN隧
40、道技术 第二层隧道协议(L2TP)第二层隧道协议(L2TP,Layer2 Tunneling Protocol)是 PPTP和L2F(第二层转发协议)的组合,其定义在RFC2661和3428里。L2TP就像PPTP一样,将用户的数据封装到PPP帧中,然后把这些帧通过一个IP骨干网传输,与PPTP不同的是,L2TP对隧道维护和用户数据都使用UDP作为封装方法。L2TP 的数据包是被 IPSEC的ESP使用传输模式保护,合并了IPSEC的安全性优点和用户验证、隧道地址分配和配置,及PPP的多协议支持这些好处。使用L2TP,有两种隧道类型:Voluntary(自愿的)和Compulsory(强制的)
41、。3.3 VPN隧道技术 IPSEC协议 IPSEC协议(Internet安全协议)是一个工业标准网络安全协议,为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,可以有效抵御网络攻击,同时保持易用性。IPSEC 协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协议 Authentication Header(AH)、封装安全载荷协议Encapsulating Security Payload(ESP)、密钥管理协议Internet Key Exchange(IKE)和用于网络认证及加密的一些算法等。3.3 VPN隧道技术 IPSEC协
42、议 IPSEC提供的安全服务提供的安全服务 存取控制;无连接传输的数据完整性;数据源验证;抗重复攻击(Anti-Replay);数据加密;有限的数据流机密性。3.3 VPN隧道技术 IPSEC协议 IPSEC的组成(1)安全协议:)安全协议:验证头(AH)协议:进行身份验证和数据完整性验证。AH协议为IP通信提供数据源认证、数据完整性和反重播保证,它能保护通信免受篡改,但不能防止窃听,适合用于传输非机密数据。封装安全载荷(ESP):进行身份验证、数据完整性验证和数据加密。ESP为IP数据包提供完整性检查、认证和加密,可以看作是“超级AH”,因为它提供机密性并可防止篡改。ESP服务依据建立的安全
43、关联(SA)是可选的。3.3 VPN隧道技术 IPSEC协议 IPSEC的组成(2)安全关联()安全关联(SA-Security Associations):):可看作一个单向逻辑连接,它用于指明如何保护在该连接上传输的IP报文。SA安全关联是单向的,在两个使用 IPSEC的实体(主机或路由器)间建立的逻辑连接,定义了实体间如何使用安全服务(如加密)进行通信。它由下列元素组成:1)安全参数索引SPI;2)IP目的地址;3)安全协议。3.3 VPN隧道技术 IPSEC协议 IPSEC的组成(3)密钥管理:)密钥管理:进行Internet密钥交换(IKE The Internet Key Exch
44、ange)。IKE用于通信双方动态建立SA,包括相互身份验证、协商具体的加密和散列算法以及共享的密钥组等。IKE基于Internet安全关联和密钥管理协议(ISAKMP),而后者基于UDP实现(端口500);(4)加密算法和验证算法)加密算法和验证算法:具体负责加解密和验证。3.3 VPN隧道技术 IPSEC协议 IPSEC下的IP报文格式3.3 VPN隧道技术 GRE协议 GRE报文格式3.3 VPN隧道技术 SSL协议 安全套接字层协议(SSL,Secure Sockets Layer)保护着Internet上的数据传输,在很多情形下我们依赖SSL验证服务器并保护通讯信息的隐私。SSL加密
45、特点 身份验证:基于数字证书实现客户端与服务器之间单向或双向身份验证。通常是由客户端通过请求Web服务器的数字证书来验证Web服务器身份。保密性:采用对称加密算法实现客户端与服务器之间数据的加密。消息完整性:采用HMAC算法对传输数据进行完整性的验证。3.3 VPN隧道技术 SSL协议 SSL协议位于TCP/IP协议模型的传输层和应用层之间,使用TCP来提供一种可靠的端到端的安全服务。SSL协议在应用层通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作,在此之后应用层协议所传送的数据都被加密。SSL实际上是由共同工作的两层协议组成,如表3-1所示。从体系结构表可以看出SSL安全协议实
46、际是由SSL握手协议、SSL修改密文协议、SSL警告协议和SSL记录协议组成的一个协议族。3.3 VPN隧道技术 MPLS协议 多协议标记交换(MPLS,Multi-Protocol Label Switching),是一种可提供高性价比和多业务能力的交换技术,它解决了传统IP分组交换的局限性,在业界受到了广泛的重视,并在中国网通、中国铁通全国骨干网等网络建设中得到了实践部署。MPLS是一种第三层路由结合第二层属性的交换技术,引入了基于标签的机制,它把路由选择和数据转发分开,由标签来规定一个分组通过网络的路径。3.3 VPN隧道技术 MPLS 的优点 MPLS的最大的优点便是它是标准化的交换技
47、术。目前已被众多的网络厂商所接收。Explicit 路由技术较传统的IP的Source 路由技术有更高的效率。更好地支持虚拟专网(VPN),MPLS可以轻松地将不同业务分隔开来(即便在MPLS网络内部),从而能轻松地构筑VPN。多种协议和多连接的支持,在MPLS网络中,标记交换并不指定由特定的网络层来完成。如在MPLS网络可以支持IP和IPX两种网络协议。域内路由:MPLS标记交换为将MPLS网络视为内部域,将传统的网络分隔开来,从而大大的提高网络的可升级性。3.3 VPN隧道技术 MPLS VPN MPLS VPN是一种基于MPLS技术的IP-VPN,根据PE(Provider Edge)设
48、备是否参与VPN路由处理又细分为二层VPN和三层VPN,一般而言,MPLS/BGP VPN指的是三层VPN。在MPLS/BGP VPN的模型中,网络由运营商的骨干网与用户的各个Site组成,所谓VPN就是对Site集合的划分,一个VPN就对应一个由若干Site组成的集合。PE:Provider Edge Router,骨干网边缘路由器,是MPLS L3VPN的主要实现者;CE:Custom Edge Router,用户网边缘路由器;P router:Provider Router,骨干网核心路由器,负责MPLS转发;VPN用户站点(Site):VPN中的一个孤立的IP网络3.4系统部署 VPN
49、系统可以使用两种部署方式,网关模式和旁路模式。通常使用网关模式。采用这种模式,无需使用昂贵的专线,而且这种模式本身具有防火墙功能,可以减少其他网关设备的投入。需要说明的是,在实际应用中,很少部署单一的VPN系统,很多时候是将VPN与防火墙做在一个硬件设备上,减少设备成本。3.4系统部署 网关接入模式3.4系统部署 旁路接入模式3.5 项目实训 网络拓扑图3.5 项目实训 任务1:认识VPN设备并进行基本配置 了解VPN的初始配置参数,如表3-5所示为VPN出厂配置参数。3.5 项目实训 任务1:认识VPN设备并进行基本配置 利用浏览器登陆VPN管理界面,默认用户名和密码为admin/admin
50、3.5 项目实训 任务1:认识VPN设备并进行基本配置 VPN的基本配置的基本配置(1)依次点击“网络设置”“接口设置”“物理接口”,在该页面点击“编辑”,配置网口LAN2和LAN3口IP地址。(2)打开“网络设置”“静态路由”页面,点击“添加静态路由”按钮对静态路由进行设置(3)按“保存”按钮对配置信息进行保存,得到路由列表(4)添加IP地址池。打开“策略管理”“映射策略”“IP地址池”页面,单击“添加IP地址池”按钮进入添加页面3.5 项目实训 任务1:认识VPN设备并进行基本配置 VPN的基本配置的基本配置(5)点击“保存”按钮,完成此次记录的添加(6)添加映射策略(SNAT)打开“策略
