网络管理与控制 网络安全技术-VPN

1VPN2本章目标•掌握VPN的概念•掌握建立VPN的两种方式•掌握客户VPN的建立及其优缺点•掌握企业VPN的建立及其优缺点•掌握标准VPN的主要组成部分3目前的网络状况窃听者4如何保证公司网络资源的安全?如何面对Internet通信的增加、新的应用服务和减少成本？如何共享和保护通过Internet,Extranets和Intranets的信息?如何在合作伙伴之间布置一个灵活和模块化的解决方案？如何有效的管理这一切？谁能提供这一切满足未来的需要？用户面临的挑战5传统远程通信连接方式企业总部外地分公司客户及供应商外地出差员工租用专用线路T1,帧中继ISDN,ATM当地电信局6专用网络的优点•信息被保留“在文件夹里”•远程站点可以立即交换信息•远程用户没有隔离感7专用网络的缺点•成本太高，不经济•超出预算，不现实$$VPN8应用VPN进行远程通信客户及供应商外地出差员工外地分公司企业总部InternetVPN隧道9使用VPN解决方案的优势•防止数据在公网传输中被窃听•防止数据在公网传输中被篡改•可以验证数据的真实来源•成本低廉（相对于专线、长途拨号）•应用灵活、可扩展性好104.1VPN的概念及特点•用户的需求保持通信数据的机密性减少对租用线路的依赖•区分自己与别人的通信数据使用加密KEY(A)Locked11VPN定义VPN（VirtualPrivateNetwork）中文名称一般称为虚拟专用网或虚拟私有网。它指的是以公用开放的网络(如Internet)作为基本传输媒体，通过加密和验证网络流量来保护在公共网络上传输的私有信息不会被窃取和篡改，从而向最终用户提供类似于私有网络(PrivateNetwork)性能的网络服务技术。12VPN的目的VPN通过一个私有的通道来创建一个安全的私有连接，将远程用户、公司分支机构、公司的业务伙伴等跟企业网连接起来，形成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在，仿佛所有的主机都处于一个网络之中。13VPN的特点将通信数据加密是为了防止窃听远程站点必须经过认证在VPN上支持多种协议连接是点对点的14VPN的特点－加密数据加密数据防止窃听加密算法要足够复杂DES3DESAES密钥要有过期机制15VPN的特点－认证认证对象单向：用户向中央服务器双向：VPN的两端相互认证认证机制双重认证动态密码认证双向认证方法事先共享的秘密数字证书16VPN的特点－支持多协议用户计算机文件服务器邮件服务器VPN通道，包括SMTP和NetBIOS通信数据SMTP通信数据NetBIOS通信数据VPN服务器17VPN的特点－点对点在VPN的两个端点设置唯一的信道一个端点可以同时与另一个端口开放几个VPN每个VPN的数据通过加密来彼此区别18VPN分类客户VPN企业VPN194.2客户VPN定义：客户VPN是个人计算机与企业站点之间的虚拟专用网络，客户VPN一般由旅行或在家工作的员工使用，VPN服务器可以是机构的防火墙或单独的VPN服务器。用户通过本地ISP拨号、DSL线路或调制解调器连接到Internet，并通过Internet与公司企业站点建立一个VPN。20客户VPN在家旅行中企业总部企业内部网VPN隧道Internet21客户VPN的特点－1公司企业的站点需要用户认证客户VPN可以让机构限制远程用户能够访问的系统或文件22客户VPN的配置TCP/IP协议栈用户计算机VPN服务器内部网络VPN软件其他Internet通信数据内部网络InternetVPN通道234.2.1客户VPN的优点对于外出旅行的员工而言，无论他们位于何处，都可以访问电子邮件、文件和内部系统，而无需使用昂贵的长途电话连接拨号服务器。在家工作的员工可以像在企业的办公室中工作的员工一样访问网络服务，而无需使用昂贵的租用线路。节约成本244.3企业VPN定义企业使用企业VPN来连接远程的站点，或者连接两个希望进行商业通信的企业，而无需使用昂贵的租用线路。25跨Internet的站点到站点的VPNVPN机构内部网络远程站点内部网络Internet主要站点防火墙远程站点防火墙26企业VPN类型总公司到分公司本公司到其他有合作关系的公司27企业VPN类型－1分公司公司总部企业内部网络VPN通道远程局域网Internet28企业VPN类型－2网络电子购物食品供应商连锁超市外部网服务器InternetVPN通道29使用企业VPN的特性启动连接时，一个站点会试图向另一个站点发送通信数据，在两个VPN端启动VPN两个端点协商连接参数VPN两端进行认证可以使用企业VPN作为租用线路的备份304.3.1企业VPN的优点节约成本性价比较高可以严格限制对内部网络和计算机系统的访问31VPN设计原则－安全性原则隧道与加密数据验证用户识别与设备验证入侵检测，网络接入控制32隧道与加密应用和业务服务器总部网络中心分支机构合作伙伴secpointAAA服务器出差员工L2TP隧道协议最适合移动用户的VPN接入GRE隧道协议最适合站点到站点的VPN接入，支持动态路由协议IPSEC提供数据加密和数据完整性33L2TP是在ATM网络、帧中继网络或因特网上用来传送PPP（点对点协议）会话的隧道协议。L2TP可以为经常通过远程链接拨入企业网络的用户减少远程拨号网络费用oL2TP通常被称为“虚拟拨号协议”，因为它扩展了因特网上的拨号PPP会话。通用路由封装(GRE)协议结合使用点对点隧道协议(PPTP)用于创建虚拟专用网络(vpn)客户端之间或客户端和服务器之间。34数据验证IPSEC协议提供特定的通信双方之间在IP层通过加密与数据源验证，以保证数据包在Internet网上传输时的私有性、完整性和真实性。用在VPN上IPSEC协议族与其他隧道协议相配合完成VPN数据报文的加密和验证。IPSEC35用户识别与设备验证VPN可使合法用户访问他们所需的企业资源，同时还要禁止未授权用户的非法访问。这一点对于AccessVPN和ExtranetVPN具有尤为重要的意义。建立VPN连接的设备之间进行验证可以确保VPN隧道的安全可靠。设备验证SecurID数字证书SecKey认证服务器用户识别36入侵检测，网络接入控制网络入侵检测系统需要同VPN设备进行配合，通过分析源自或送至VPN设备的信息流，避免通过VPN连接使内部网络受到攻击。一般来讲VPN接入的用户可以访问内部网络中大部分资源，可以考虑对VPN接入用户进行分级和控制，确保内部网络的运行安全。37VPN设计原则－QoS保障构建VPN的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。VPN网络中的QoS需要考虑如下问题：QoS需要在数据通过的整个路径包含的各个设备上进行部署VPN隧道技术对原始数据进行了再次封装，QoS策略中的特征值需要进行额外映射QoS中的流分类动作必须在数据进行VPN封装前完成38L2TP连接方式选择L2TPVPN适用于移动办公用户的VPN接入，可以提供严格的用户验证功能，确保VPN接入用户的合法性。L2TPVPN的连接方式分为两种：PC直接发起连接和LAC设备发起连接。两种方式适用于不同企业对于VPN接入控制和管理的不同要求。39L2TP认证方式选择L2TPVPN可以提供LAC侧的用户接入验证和LNS侧的用户再次验证，可以提供比较安全的VPN接入功能。LACClientLNSHOSTHomeLANInternetL2TPTUNNEL40L2TP安全性考虑L2TPVPN本身虽然提供较为严格的接入用户的认证功能，但不提供VPN数据的加密功能，如果需要对数据进行安全加密可以同IPSEC协议进行配合。LAC(位置区码)ClientLNSHOSTHomeLANInternetL2TPOVERIPSEC41L2TP多实例L2TP协议上加入多实例技术，让L2TP支持在一台设备将不同的用户划分在不同的VPN，各个VPN之内的数据可以互通，且在LNS两个不同VPN之间的数据不能互相访问，即使L2TP接入是同一个设备。VPN1总部ClientLNSHOSTInternetL2TPTUNNELClientVPN2总部VPN1HOSTVPN210.1.1.*10.1.1.*10.1.2.*10.1.2.*42移动办公用户IPSECVPN接入病毒蠕虫黑客入侵核心机构IPSECTUNNEL移动办公用户接入IPSECVPN的考虑笔记本电脑软件防火墙，防病毒软件的安装硬件防火墙同VPN网关相互配合使用防火墙和VPN网关功能相互融合的设备43IPSECVPN中的INTERNET通讯远程VPN站点可以通过两种方式访问INTERNET集中式：访问INTERNET的流量统一由总部的VPN节点进行转发分布式：访问INTERNET的流量由本地的VPN节点进行转发VPN流量和上网流量都需要由总部统一进行转发集中式分布式只有VPN流量由总部进行转发444.6案例分析ABC公司需要建立VPN来保护敏感的数据及应用监控、管理、日志记录及后端系统的集成多种访问技术拨号无线xDSL45案例结构图VPN客户端VPN客户端POPPOP拨号连接DSLDSLInternet专用宽带网络IT宽带提供商IPSec隧道Internet上的IPSec隧道ABC公司远程访问ABC北美ABC欧洲T3T3VPN1VPN2VPN1VPN2内部网络RADLUSSecureIDVPN管理VPN客户端VPN客户端46案例中考虑的问题加密问题防火墙不能扫描经过加密的数据VPN网关与防火墙要正确部署将VPN网关与现有网关平行放置在VPN网关之内额外部署一个防火墙网关认证问题共享密钥数字证书474.7当前主流产品介绍许多的网络设备厂商所生产的路由器和防火墙都支持VPNCisco的路由器和PIX防火墙系列生产专门的VPN设备Cisco的Concentrator系列CheckPoint的VPN-1Net48Cisco的Concentrator系列5000以上的VPN隧道,基于HTML的管理49CheckPoint的产品50国内产品方正方通VPN北京天创安联VPN51校园网VPN用户使用指南客户端设置：在“网络连接”中，双击“新建连接向导”。52校园网VPN用户使用指南在“新建连接向导”中，点“下一步”。53校园网VPN用户使用指南在“网络连接类型”中，选择“连接到我的工作场所的网络”，点“下一步”。54校园网VPN用户使用指南在“网络连接”中，选择“虚拟专用网络连接”，点“下一步”。55校园网VPN用户使用指南在“连接名”中，填入公司名：西安邮电学院，点“下一步”。56校园网VPN用户使用指南在“公用网络”中，选择“不拔入初始连接”，点“下一步”。57校园网VPN用户使用指南在“VPN服务器选择”中，填入主机名或IP地址：211.70.144.8（例如），点“下一步”。58校园网VPN用户使用指南在“可用连接”中，一般选择“只是我使用”，点“下一步”。59校园网VPN用户使用指南选择“在我的桌面上添加一个到此连接的快捷方式”，点“完成”。60校园网VPN用户使用指南双击桌面上新建的连接图标，出现登录窗口，填入你的用户名和密码，先点击“属性”按钮。61校园网VPN用户使用指南出现“安徽工业大学属性”窗口，“常规”选项卡如下图，然后点“安全”选项卡。62校园网VPN用户使用指南在安全选项中，选择“高级”，点“设置”按钮。63校园网VPN用户使用指南在数据加密中，选择“不允许加密”，登录安全措施选“允许这些协议”中的“CHAP”和“MS-CHAP”两项。64校园网VPN用户使用指南在“网络”选项卡中，选“TCP/IP协议”，“属性”，点“高级”按钮，出现右图，默认选“在远程网络上使用默认网关”。65校园网VPN用户使用指南在IE的“Internet选项”中“连接”选项卡如下图所示。66