大连理工大学(城市学院)网络安全技术期末知识点第八章

第八章：VPN技术什么是虚拟专用网？随着企业网应用的不断扩大，企业网的范围也不断扩大，从本地到跨地区、跨城市，甚至是跨国家的网络。但采用传统的广域网建立企业专网，往往需要租用昂贵的跨地区数字专线。同时公众信息网(Internet)已遍布各地，物理上各地的公众信息网都是连通的，但公众信息网是对社会开放的，如果企业的信息要通过公众信息网进行传输，在安全性上存在着很多问题。那么，该如何利用现有的公众信息网建立安全的企业专有网络呢？为了解决上述问题，人们提出了虚拟专用网(VPN，VirtualPrivateNetwork)的概念。为什么要VPN资源访问限制于某些IP地址通过防火墙不能访问资源内部人员需要在外面访问内部网络雇员可能在外地，需要访问内部网络专有网太贵外地的雇员也可能不是定点的基本功能（1）保证数据的真实性，通信主机必须是经过授权的，要有抵抗地址冒认(IPSpoofing)的能力。（2）保证数据的完整性，接收到的数据必须与发送时的一致，要有抵抗不法分子篡改数据的能力。（3）保证通道的机密性，提供强有力的加密手段，必须使偷听者不能破解拦截到的通道数据。（4）提供动态密钥交换功能，提供密钥中心管理服务器，必须具备防止数据重演的功能，保证通道不能被重演。（5）提供安全防护措施和访问控制，要有抵抗黑客通过VPN通道攻击企业网络的能力，并且可以对VPN通道进行访问控制。商业优势VPN业务的开展将为企业节省长途专线租用成本的20%～47%,节省远程拨号费用的60%～80%。根据InfonetResearchInc.Sanuose的统计报告发现：在北美，VPN产品、系统集成和服务的市场以每年超过100%的增长率发展，从1997年的2.05亿美元到2001年的119亿美元。VPN的基本概念VPN技术是指在公共网络中建立专用网络，数据通过安全的“加密管道”在公共网络中传播。建立VPN所需的安全技术VPN主要采用四项技术来保证安全，这四项技术分别为隧道技术加解密技术密钥管理技术认证技术隧道与加密隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据（或负载）可以是不同协议的数据帧或包。隧道协议将其它协议的数据帧或包重新封装然后通过隧道发送。新的帧头提供路由信息，以便通过互联网传递被封装的负载数据。通过隧道的建立，可实现：①将数据流强制送到特定的地址②隐藏私有的网络地址③在IP网上传递非IP数据包④提供数据安全支持第二层隧道技术：PPTP(点到点隧道协议)------Microsoftcorp.L2TP(第二层隧道协议)------Microsoftcorp.&Ciscocorp.便于远程拨号用户与企业网关之间建立VPN隧道，协议成熟，但安全强度和灵活性有欠缺。第三层隧道技术IPSecprotocolsuite业界发展趋势，扩展性好，安全强度高。IPSec的好处•在防火墙或路由器中实现时，可以对所有跨越周界的流量实施强安全性。而公司内部或工作组不必招致与安全相关处理的负担。•在防火墙中实现IPSec可以防止IP旁路。•IPSec是在传输层(TCP,UDP)之下，因此对应用透明。不必改变用户或服务器系统上的软件。•IPSec可以对最终用户透明。无须训练用户。•需要时IPSec可以提供个人安全性。这对非现场工作人员以及在一个组织内为一个敏感应用建立一个安全的虚拟子网是有用的。第三层隧道协议IPSec协议套件可在主机之间、安全网关之间、主机和安全网关之间搭建起安全的可信任的通信隧道。协议套件中，包括两种具体的封装处理协议：封装安全载荷（ESP）和验证头（AH）。与密钥管理协议IKE协同工作。基于IPSec协议的VPN体系结构密钥分发和管理VPN中密钥的分发与管理非常重要。密钥的分发有两种方法：一种是通过手工配置的方式，另一种采用密钥交换协议动态分发。手工配置的方法由于密钥更新困难，只适合于简单网络的情况。密钥交换协议采用软件方式动态生成密钥，适合于复杂网络的情况且密钥可快速更新，可以显著提高VPN的安全性。身份认证技术认证技术防止数据的伪造和被篡改，它采用一种称为“摘要”的技术。“摘要”技术主要采用HASH函数将一段长的报文通过函数变换，映射为一段短的报文即摘要。由于HASH函数的特性，两个不同的报文具有相同的摘要几乎不可能。该特性使得摘要技术在VPN中有两个用途：验证数据的完整性、用户认证。VPN的分类根据不同的需要，可以构造不同类型的VPN。不同商业环境对VPN的要求和VPN所起的作用不同。这里分三种情况说明VPN的用途。a.内部VPN：指在公司总部和其分支机构之间建立的VPN；b.远程访问VPN：指在公司总部和远地雇员之间建立的VPN；c.外联网VPN：指公司与商业伙伴、客户之间建立的VPN。VPN的分类及用途内部网VPN——用VPN连接公司总部和其分支机构.远程访问VPN——用VPN连接公司总部和远程用户.外联网VPN——用VPN连接公司和其业务伙伴.内部网VPN内部网是通过公共网络将某一个组织的各个分支机构的LAN联结而成的网络。这种类型的LAN到LAN的联结所带来的风险最小，因为公司通常认为他们的分支机构是可信的，这种方式联结而成的网络被称为Intranet，可看作是公司网络的扩展。当一个数据传输通道的两个端点被认为是可信的时候，可以选择内部网VPN解决方案。安全性主要在于加强两个VPN服务器之间加密和认证的手段。内部网VPN远程访问VPN典型的远程访问VPN是用户通过本地的信息提供商(ISP)登陆到Internet上，并在现在的办公室和公司内部网之间建立一条加密通道。有较高安全度的远程访问VPN应能截获特定主机的信息流，有加密、身份认证和过滤等功能。远程访问VPN外联网VPN外联网VPN为公司商业伙伴、客户和在远地的雇员提供安全性。外联网VPN的主要目标是保证数据在传输过程中不被修改，保护网络资源不受外部威胁。外联网VPN应是一个由加密、认证和访问控制功能组成的集成系统。通常将公司的VPN代理服务器放在一个不能穿透的防火墙之后，防火墙阻止来历不明的信息传输。所有经过过滤后的数据通过一个唯一的入口传到VPN服务器，VPN在根据安全策略进一步过滤.外联网VPN用户识别与设备验证VPN常用的协议VPN常用的协议有SOCKv5、IPSec、PPTP以及L2TP等。这些协议对应的OSI层次结构如下：SSL(SecureSocketLayer)SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。SSL协议可分为两层：SSL记录协议，建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议，建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。SSL协议提供的服务①认证用户和服务器，确保数据发送到正确的客户机和服务器；②加密数据以防止数据中途被窃取；③维护数据的完整性，确保数据在传输过程中不被改变。SSL协议的工作流程①客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接。②服务器根据客户的信息确定是否需要生成新的主密钥，如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息。③客户根据收到的服务器响应信息，产生一个主密钥，并用服务器的公开密钥加密后传给服务器。④服务器恢复该主密钥，并返回给客户一个用主密钥认证的信息，以此让客户认证服务器。⑤经认证的服务器发送一个提问给客户，客户则返回（数字）签名后的提问和其公开密钥，从而向服务器提供认证。HTTPS（SecureHypertextTransferProtocol）安全超文本传输协议它是由Netscape开发并内置于其浏览器中，用于对数据进行压缩和解压操作，并返回网络上传送回的结果。HTTPS实际上应用了Netscape的完全套接字层（SSL）作为HTTP应用层的子层（HTTPS默认使用端口443）。SSL使用40位关键字作为RC4流加密算法，这对于商业信息的加密是合适的。HTTPS和SSL支持使用X.509数字认证，如果需要的话用户可以确认发送者是谁。HTTPS是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，HTTPS的安全基础是SSL。也就是说它的主要作用可以分为两种：一种是建立一个信息安全通道，来保证数据传输的安全；另一种就是确认网站的真实性。大连理工大学校园网VPN技术要求1、身份验证。由于已经有了自己的统一身份认证系统，故在VPN方案中，对用户的身份认证必须使用已经存在的用户信息数据，或是直接与该校统一身份认证系统对接进行认证。2、加密保护。要求能对VPN隧道建立和用户通信都能进行加密，支持预共享密钥、数字证书的身份认证，提供动态密钥交换功能，支持IPSecESPAH的隧道模式封装和传输模式封装，支持多种加密认证算法。加密速度快，能达到千兆通信，VPN转发能达到200Mbps以上。3、方便安全的管理。要求在管理上能有多种方式。提供本地网络管理、telnet管理，远程管理等多种管理方式，在以上方式中能对VPN安全策略、访问控制策略等进行调整。4、DHCP支持。要求能给每一个接入VPN的用户动态分配一个校内IP地址，地址池能在2000个IP以上。并且可以该得到的地址与校内资源进行通讯。5、多种用户环境支持。支持专线宽带接入、小区宽带接入、ADSL宽带接入、CABLEMODEM宽带接入、ISDN拨号接入、普通电话拨号接入、GPRS接入、CDMA接入等多种因特网接入方式。6、VPN星型互联。由于我校有多个校区，且各校区可能有自己的VPN，（或者本校区建不止一个VPN），本次VPN建设中希望能将各VPN互联，用户可拨入一VPN而共享可控制访问其它校区资源。7、本地网络和VPN网络智能判断。能根据客户端的访问请求，自动选择使用客户本地连接还是使用VPN连接。同时，该校有部份资源实际放在校外，但必须以是该校IP地址才能访问.8、联通性要求。VPN接入用户之间、VPN接入用户和远程网络中的用户间都可以通过虚拟得到的IP地址互相通信。9、应用范围广。可在VPN用户与远程局域网之间应用多种业务。如：语音、图像和数据库、游戏等应用，也可通过共享等方式访问其它计算机资源。11、符全国家相关法律、标准和安全要求。各VPN设备必须符合我国的技术标准和安全标准。12、系统可升级性。可以通过对VPN系统升级来适应新的网络应用或是VPN上相关协议或标准的升级。大连理工大学校园网VPN使用指南首先登录VPN服务网站，使用本人学校邮箱（以@dlut.edu.cn后缀结尾）用户名及密码，获取当日VPN密码。当日该密码只在当天有效，如忘记可到VPN服务网站按照上述方法操作，将提示当日密码。第二天（以0点为准）需重新生成当日密码，用新密码连接。HTTPS是使用以下哪种协议的HTTP（）A．SSLB．SSHC．SecurityD．TCP属于第二层的VPN隧道协议有（）。A．IPSecB．PPTPC．GRED．HTTP以下哪项不是建立VPN所需的安全技术（）A．隧道技术B．加解密技术C．编码技术D．认证技术知识点总结1.VPN的基本功能2.建立VPN所需的安全技术3.IPSec的好处4.VPN的分类5.SSL协议的工作流程