1、1 网络安全技术 冶金工业出版社第第4章章 虚拟专用网络(虚拟专用网络(VPN)2 网络安全技术 冶金工业出版社内容概览内容概览 VPN简介简介 基于数据链路层的基于数据链路层的VPN技术技术 网络层隧道技术网络层隧道技术 VPN综合应用综合应用 小结小结3 网络安全技术 冶金工业出版社 虚拟专用网(虚拟专用网(VPN)被定义为通过一个)被定义为通过一个公用网络(通常是因特网)建立一个临时的、公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。安全、稳定的隧道。4 网络安全技术 冶金工业出版社虚拟专用网虚拟专用网
2、5 网络安全技术 冶金工业出版社5.1 VPN简介简介 VPN的定义的定义 VPN的特点的特点 VPN的应用领域的应用领域 VPN安全技术安全技术 VPN远程访问的安全问题远程访问的安全问题6 网络安全技术 冶金工业出版社4.1.1 VPN的定义的定义 VPN是一种通信环境,在这种环境中,存是一种通信环境,在这种环境中,存取受到控制,目的在于只允许被确定为同一取受到控制,目的在于只允许被确定为同一个共同体的内部层连接。个共同体的内部层连接。VPN又是一种网络又是一种网络技术。技术。VPN通过共享通信基础设施为用户提通过共享通信基础设施为用户提供定制的网络连接,这种定制的连接要求用供定制的网络连
3、接,这种定制的连接要求用户共享相同的安全性,优先级服务,可靠性户共享相同的安全性,优先级服务,可靠性和可管理性策略,在共享的基础通信设施上和可管理性策略,在共享的基础通信设施上采用隧道技术和特殊配置技术措施,仿真点采用隧道技术和特殊配置技术措施,仿真点到点的连接。到点的连接。7 网络安全技术 冶金工业出版社4.1.2 VPN的特点的特点 安全保障安全保障 服务质量保证(服务质量保证(QoS)可扩充性和灵活性可扩充性和灵活性 可管理性可管理性 8 网络安全技术 冶金工业出版社4.1.3 VPN的应用领域的应用领域VPN有以下几种应用领域:有以下几种应用领域:远程访问远程访问 组建内联网组建内联网
4、组建外联网组建外联网 9 网络安全技术 冶金工业出版社4.1.4 VPN安全技术安全技术 目前目前VPN主要采用四项技术来保证安全,分主要采用四项技术来保证安全,分别是:别是:隧道技术(隧道技术(Tunneling)加解密技术(加解密技术(Encryption&Decryption)密钥管理技术(密钥管理技术(Key Management)使用者与设备身份认证技术使用者与设备身份认证技术(Authentication)。)。10 网络安全技术 冶金工业出版社 隧道技术隧道技术 隧道技术是隧道技术是VPN的基本技术,类似于点对点的基本技术,类似于点对点连接技术,它在公用网建立一条数据通道(隧连接
5、技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、三层隧道是由隧道协议形成的,分为第二、三层隧道协议。隧道协议。两个设备之间的逻辑连接称为隧道,它提供两个设备之间的逻辑连接称为隧道,它提供了了VPN的的“模拟模拟”组件。组件。VPN隧道类型这个短语隧道类型这个短语指指3种设备之同的隧道类型:种设备之同的隧道类型:VPN用户、用户、VPN启启动器和动器和VPN服务器。服务器。11 网络安全技术 冶金工业出版社 主动隧道的主动隧道的VPN12 网络安全技术 冶金工业出版社强制隧道的强制隧道的VPN13 网络安全技术
6、 冶金工业出版社 加密解密技术加密解密技术 数据加密的基本思想是通过变换网络数据加密的基本思想是通过变换网络的表示形式来伪装需要保护的敏感网络,的表示形式来伪装需要保护的敏感网络,使非受权者不能了解被保护网络的内容。使非受权者不能了解被保护网络的内容。加密技术可以在协议栈的任意层进行;可加密技术可以在协议栈的任意层进行;可以对数据或报文头进行加密。以对数据或报文头进行加密。14 网络安全技术 冶金工业出版社 密钥管理技术密钥管理技术 密钥管理技术的主要任务是如何在公密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为现行
7、密钥管理技术又分为SKIP与与ISAKMP/OAKLEY两种。两种。SKIP主要是利主要是利用用Diffie-Hellman的演算法则,在网络上的演算法则,在网络上传输密钥;在传输密钥;在ISAKMP中,双方都有两中,双方都有两把密钥,分别用于公用、私用。把密钥,分别用于公用、私用。15 网络安全技术 冶金工业出版社 QoS技术技术QoS可用如下参数给予体现:可用如下参数给予体现:带宽:网络提供给用户的传输率。带宽:网络提供给用户的传输率。反应时间:用户所能容忍的数据报传递延时。反应时间:用户所能容忍的数据报传递延时。抖动:延时的变化。抖动:延时的变化。丢失率:数据包丢失的比率。丢失率:数据包
8、丢失的比率。16 网络安全技术 冶金工业出版社 身份认证技术身份认证技术 身份认证技术最常用的是使用者名称与身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。密码或卡片式认证等方式。17 网络安全技术 冶金工业出版社4.1.5 VPN远程访问的安全问题远程访问的安全问题 安全问题是安全问题是VPN的核心问题。的核心问题。VPN的安全保证主要是通过防火墙的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议技术、路由器配以隧道技术、加密协议和安全密钥来实现的,可以保证企业员和安全密钥来实现的,可以保证企业员工安全地访问公司网络。工安全地访问公司网络。18 网络安全技术 冶金工业出版
9、社4.2 基于数据链路层的基于数据链路层的VPN技术技术 PPTP协议协议 L2TP协议协议19 网络安全技术 冶金工业出版社4.2.1 PPTP协议协议 PPTP协议是一个最流行的协议是一个最流行的Internet协议,它提供协议,它提供PPTP客户机与客户机与PPTP服务服务器之间的加密通信,它允许公司使用专用器之间的加密通信,它允许公司使用专用的的“隧道隧道”,通过公共,通过公共Internet来扩展公来扩展公司的网络。通过司的网络。通过Internet的数据通信,需的数据通信,需要对数据流进行封装和加密,要对数据流进行封装和加密,PPTP就可就可以实现这两个功能,从而可以通过以实现这两
10、个功能,从而可以通过Internet实现多功能通信。实现多功能通信。20 网络安全技术 冶金工业出版社 PPTP体系结构概述体系结构概述 PPTP控制消息以及数据隧道控制消息以及数据隧道 PPTP鉴别鉴别 点到点加密点到点加密 建立建立PPTP连接连接 PPTP安全配置实例研究安全配置实例研究21 网络安全技术 冶金工业出版社 PPTP体系结构概述体系结构概述 PPTP是由许多公司共同开发的是由许多公司共同开发的,PPTP当前是由当前是由RFC 2637定义的。它的目的就是要定义的。它的目的就是要指定一种能够在指定一种能够在IP分组内封装分组内封装PPP分组的协分组的协议。议。PPTP能够分成
11、两个不同的组成部分:能够分成两个不同的组成部分:传输工具和加密。传输工具构成虚拟连接,传输工具和加密。传输工具构成虚拟连接,而加密部分使其成为专用连接。而加密部分使其成为专用连接。22 网络安全技术 冶金工业出版社 PPTP控制消息以及数据隧道控制消息以及数据隧道 PPTP使用两种不同类型的消息,使用两种不同类型的消息,一个用于一个用于PPTP控制连接,而另外一个控制连接,而另外一个用于用于PPTP数据隧道。每种消息都具有数据隧道。每种消息都具有不同的帧格式,并且使用不同的标识不同的帧格式,并且使用不同的标识符,当通过访问列表或者防火墙定义符,当通过访问列表或者防火墙定义网络安全性时,必须要考
12、虑以上这些网络安全性时,必须要考虑以上这些因素。因素。23 网络安全技术 冶金工业出版社 PPTP鉴别鉴别 PPTP鉴别具有两种形式:用户鉴别鉴别具有两种形式:用户鉴别和数据鉴别。用户鉴别要求交换口令和数据鉴别。用户鉴别要求交换口令(PAP)或散列()或散列(CHAP)。数据鉴别通)。数据鉴别通过使用加密的检验和来实现,这种检验和过使用加密的检验和来实现,这种检验和是基于一个只有发送者和接受者才知道的是基于一个只有发送者和接受者才知道的加密密钥的。加密密钥的。24 网络安全技术 冶金工业出版社 建立建立PPTP连接连接 建立建立PPTP连接的过程连接的过程25 网络安全技术 冶金工业出版社4.
13、2.2 L2TP协议协议 L2TP的广泛用途的广泛用途L2TP技术简介技术简介 L2TP控制消息和数据隧道控制消息和数据隧道建立隧道建立隧道建立建立L2TP会话会话26 网络安全技术 冶金工业出版社 L2TP的广泛用途的广泛用途L2TP强制隧道强制隧道27 网络安全技术 冶金工业出版社L2TP控制消息和数据隧道控制消息和数据隧道信息分类信息分类信息类型信息类型隧道建立隧道建立SCCRQ、SCCRP、SCCCN、StopCCN进入连接(用户建立)进入连接(用户建立)ICRQ、ICRP、ICCN输出连接(输出连接(LNS建立)建立)OCRQ、OCRP、OCCN多种信息多种信息Hello、CDN、W
14、EN、SLIL2TP控制消息类型和分类控制消息类型和分类28 网络安全技术 冶金工业出版社建立隧道建立隧道 建立建立L2TP隧道过程隧道过程29 网络安全技术 冶金工业出版社建立隧道分为三个步骤:建立隧道分为三个步骤:LAC向向LNS发送开始控制连接请求发送开始控制连接请求 LNS向向LAC发送开始控制连接回复发送开始控制连接回复 LAC向向LNS发送开始控制连接已经被连接发送开始控制连接已经被连接30 网络安全技术 冶金工业出版社 建立建立L2TP会话会话31 网络安全技术 冶金工业出版社4.3 网络层隧道技术网络层隧道技术GRE协议协议IPSec协议协议IPSec L2TP协调实施协调实施
15、32 网络安全技术 冶金工业出版社4.3.1 GRE协议协议 GRE封装格式封装格式 GRE分组转发分组转发 33 网络安全技术 冶金工业出版社GRE封装格式封装格式GRE隧道利用隧道利用IP端口端口47由下列三个不同部分组成:由下列三个不同部分组成:传递数据头传递数据头 GRE数据头数据头 有效负载分组有效负载分组 34 网络安全技术 冶金工业出版社GRE分组转发分组转发PPP帧的封装帧的封装GRE报文封装报文封装数据链路层封装数据链路层封装PPTP隧道数据的处理隧道数据的处理35 网络安全技术 冶金工业出版社4.3.2 IPSec协议协议 IPSec介绍介绍 IPSec协议类型协议类型36
16、 网络安全技术 冶金工业出版社IPSec介绍介绍 IPSec是网络安全的长期指导。它是网络安全的长期指导。它提供了防止专用网络及提供了防止专用网络及Internet受攻击受攻击的主线,平衡安全性和易使用性。的主线,平衡安全性和易使用性。IPSec有两个目标:有两个目标:保护保护IP包包 提供网络攻击保护提供网络攻击保护 37 网络安全技术 冶金工业出版社IPSec协议类型协议类型 验证头:为整个包(在包中的验证头:为整个包(在包中的IP头及包头及包中携带的数据载荷)提供验证、完整性及中携带的数据载荷)提供验证、完整性及反重播。它不提供保密性。反重播。它不提供保密性。安全负载封装:除验证、完整性
17、、反重安全负载封装:除验证、完整性、反重播外,还提供了保密。播外,还提供了保密。38 网络安全技术 冶金工业出版社4.4.3 IPSec L2TP协调实施协调实施利用利用IPSec L2TP进行用户验证进行用户验证利用利用IPSec L2TP进行加密进行加密 IPSec L2TP数据验证与数据完整性数据验证与数据完整性 IPSec L2TP报文过滤报文过滤39 网络安全技术 冶金工业出版社利用利用IPSec L2TP进行用户验证进行用户验证IPSec计算机验证计算机验证L2TP用户级验证用户级验证L2TP隧道验证隧道验证40 网络安全技术 冶金工业出版社利用利用IPSec L2TP进行加密进行
18、加密 加密方法是由加密方法是由IPSec SA的建立过程的建立过程所决定的。所决定的。目前可用的加密算法有:带有目前可用的加密算法有:带有56位关位关键字的键字的DES算法和算法和3重重DES(Triple DES)算法。)算法。41 网络安全技术 冶金工业出版社4.4 VPN综合应用综合应用VPN与与Windows防火墙防火墙VPN与网络地址翻译器与网络地址翻译器42 网络安全技术 冶金工业出版社4.4.1 VPN与与Windows防火墙防火墙可以有两种方法在可以有两种方法在VPN服务器上使用防火墙:服务器上使用防火墙:VPN服务器在服务器在Internet上,而防火墙位于上,而防火墙位于V
19、PN服服务器与内部网之间。务器与内部网之间。防火墙在防火墙在Internet上,上,VPN服务器位于防火墙与服务器位于防火墙与内部网之间。内部网之间。43 网络安全技术 冶金工业出版社4.4.2 VPN与网络地址翻译器与网络地址翻译器NAT(Network Address Translator,网络,网络地址翻译器)是一种具有对报文的地址翻译器)是一种具有对报文的IP地址与地址与TCP/UDP端口号进行翻译能力的端口号进行翻译能力的IP路由器。路由器。44 网络安全技术 冶金工业出版社 PPTP流量:它包括进行隧道维护的流量:它包括进行隧道维护的TCP连接以及隧道数据的连接以及隧道数据的GRE
20、封装结果。封装结果。IPSec L2TP流量:它不可被流量:它不可被NAT所翻所翻译,这是因为译,这是因为UDP端口号被加密了,并端口号被加密了,并且对它的值受校验和的保护。且对它的值受校验和的保护。45 网络安全技术 冶金工业出版社小结小结 本章讲述了专用虚拟网络(本章讲述了专用虚拟网络(VPN),),VPN专指在公共通信基础设施上构建的虚拟专指在公共通信基础设施上构建的虚拟“专用或私有专用或私有”网络,可以被认为是一种从网络,可以被认为是一种从公共中隔离出来的网络。公共中隔离出来的网络。VPN的隔离特性提的隔离特性提供了某种程度的通信隐秘性和虚拟性。供了某种程度的通信隐秘性和虚拟性。46
21、网络安全技术 冶金工业出版社 由于由于VPN对于安全性能要求比较高,所以在对于安全性能要求比较高,所以在设计设计VPN网络时,应该把安全性能放在比较重网络时,应该把安全性能放在比较重要的位置。要的位置。本章始终都围绕着如何构建一个安全性能较本章始终都围绕着如何构建一个安全性能较高的高的VPN网络进行讲述,首先介绍了网络进行讲述,首先介绍了VPN的定的定义、特点和应用领域,还简单地介绍了实现义、特点和应用领域,还简单地介绍了实现VPN的各种技术。之后这种讲述了在数据链路的各种技术。之后这种讲述了在数据链路层和网络层如何实现层和网络层如何实现VPN,其中主要分析了,其中主要分析了PPTP协议、协议、L2TP协议、协议、GRE协议和基于协议和基于IPSec的的VPN。在最后还讲述了在构建在最后还讲述了在构建VPN时的一些综合应时的一些综合应用和应该注意的问题。用和应该注意的问题。