虚拟专用网络技术

《计算机网络与信息安全技术》教学课件V08.081虚拟专用网络技术第10章2基本内容互联网的普及使得远程网络互联的应用大为增加，特别是跨地区企业的内部网络应用、政府部门的纵向分级网络管理等。网络安全风险又使得这种应用存在严重的隐患。虚拟专用网络技术为这种应用保驾护航。310.1VPN技术概述虚拟专用网（VirtualPrivateNetwork，VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。10.1.1VPN的概念VPN依靠ISP（Internet服务提供商）和其他NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。VPN是对企业内部网的扩展。一般以IP为主要通讯协议。410.1VPN技术概述VPN是在公网中形成的企业专用链路。采用“隧道”技术，可以模仿点对点连接技术，依靠Internet服务提供商(ISP)和其他的网络服务提供商(NSP)在公用网中建立自己专用的“隧道”，让数据包通过这条隧道传输。对于不同的信息来源，可分别给它们开出不同的隧道。10.1.1VPN的概念(续)公共传输网络隧道一般连接通道510.1VPN技术概述隧道是一种利用公网设施，在一个网络之中的“网络”上传输数据的方法。隧道协议利用附加的报头封装帧，附加的报头提供了路由信息，因此封装后的包能够通过中间的公网。封装后的包所途经的公网的逻辑路径称为隧道。一旦封装的帧到达了公网上的目的地，帧就会被解除封装并被继续送到最终目的地。10.1.1VPN的概念(续)①隧道开通器(TI)；②有路由能力的公用网络；③一个或多个隧道终止器(TT)；④必要时增加一个隧道交换机以增加灵活性。隧道基本要素610.1VPN技术概述10.1.2VPN的基本功能VPN的主要目的是保护传输数据，是保护从信道的一个端点到另一端点传输的信息流。信道的端点之前和之后，VPN不提供任何的数据包保护。VPN的基本功能至少应包括：1）加密数据2）信息验证和身份识别3）提供访问控制4）地址管理5）密钥管理6）多协议支持710.1VPN技术概述10.1.3VPN的特性安全性–隧道、加密、密钥管理、数据包认证、用户认证、访问控制可靠性–硬件、软件、基础网络的可靠性可管理性–记帐、审核、日志的管理–是否支持集中的安全控制策略可扩展性–成本的可扩展性，如使用令牌卡成本高–性能，是否考虑采用硬件加速加解密速度810.1VPN技术概述10.1.3VPN的特性(续)可用性–系统对应用尽量透明–对终端用户来说使用方便互操作性–尽量采用标准协议，与其他供应商的设备能互通服务质量QoS–通过Internet连接的VPN服务质量很大程度取决于Internet的状况多协议支持910.2VPN协议VPN主要采用以下四项技术来保证安全：◆隧道技术◆加解密技术◆密钥管理技术◆使用者与设备身份认证技术10.2.1VPN安全技术加解密技术、密钥管理技术、使用者与设备身份认证技术在第五章已作介绍，VPN只是对这几种技术的应用。下面重点介绍隧道技术1010.2VPN协议10.2.2VPN的隧道协议VPN中的隧道是由隧道协议形成的，VPN使用的隧道协议主要有三种：点到点隧道协议（PPTP）、第二层隧道协议（L2TP）以及IPSec。PPTP和L2TP集成在windows中，所以最常用。PPTP协议允许对IP、IPX或NetBEUI数据流进行加密，然后封装在IP包头中通过企业IP网络或公共因特网络发送。L2TP协议允许对IP，IPX或NetBEUI数据流进行加密，然后通过支持点对点数据报传递的任意网络发送，如IP，X.25，帧中继或ATM。IPSec隧道模式允许对IP负载数据进行加密，然后封装在IP包头中通过企业IP网络或公共IP因特网络如Internet发送。1110.2VPN协议10.2.2VPN的隧道协议NSRC、NDST是隧道端点设备的IP地址公网上路由时仅仅考虑NSRC、NDST原始数据包的DST、SRC对公网透明DSTSRCDATANDSTNSRCDSTSRCDATA1210.2VPN协议10.2.2VPN的隧道协议Point-to-PointTunnelProtocol,2层协议，需要把网络协议包封装到PPP包，PPP数据依靠PPTP协议传输PPTP通信时，客户机和服务器间有2个通道，一个通道是tcp1723端口的控制连接，另一个通道是传输GREPPP数据包的IP隧道PPTP没有加密、认证等安全措施，安全的加强通过PPP协议的MPPE(MicrosoftPoint-to-PointEncryption)实现windows中集成了PPTPServer和Client，适合中小企业支持少量移动工作者如果有防火墙的存在或使用了地址转换，PPTP可能无法工作1．点到点隧道协议（PPTP）1310.2VPN协议10.2.2VPN的隧道协议把网络数据包封装在PPP协议中，PPP协议的数据包放到隧道中传输L2TPRFC2661定义在Cisco公司的L2F和PPTP的基础上开发windows中集成2．第二层隧道协议（L2TP）1410.2VPN协议10.2.2VPN的隧道协议3．IPSec协议–3层协议，直接传输网络协议数据包–基于TCP/IP的标准协议，集成到IPv6中，仅仅传输IP协议数据包–提供了强大的安全、加密、认证和密钥管理功能–适合大规模VPN使用，需要认证中心（CA）来进行身份认证和分发用户的公共密钥IPSec数据包的格式IP包头AH包头ESP包头上层协议(数据)1510.2VPN协议10.2.2VPN的隧道协议3．IPSec协议(续)IPSec的工作模式传输模式：只对IP数据包的有效负载进行加密或认证。此时，继续使用以前的IP头部，只对IP头部的部分域进行修改，而IPSec协议头部插入到IP头部和传输层头部之间。隧道模式：对整个IP数据包进行加密或认证。此时，需要新产生一个IP头部，IPSec头部被放在新产生的IP头部和以前的IP数据包之间，从而组成一个新的IP头部。IP包头AH包头ESP包头上层协议(数据)IP包头上层协议(数据)IP包头AH包头ESP包头上层协议(数据)IP包头上层协议(数据)安全网关IP包头1610.2VPN协议10.2.2VPN的隧道协议3．IPSec协议(续)IPSec的三个主要协议SA(SecurltyAssociation安全关联)。所谓安全关联是指安全服务与它服务的载体之间的一个“连接”。AH和ESP都需要使用SA，而IKE的主要功能就是SA的建立和维护。只要实现AH和ESP都必须提供对SA的支持。1）ESP（EncapsulatingSecurityPayload）。ESP协议主要用来处理对IP数据包的加密。ESP是与具体的加密算法相独立的，几乎支持各种对称密钥加密算法，默认为3DES和DES。2）AH(AuthenticationHeader)。AH只涉及到认证，不涉及到加密。3）IKE(InternetKeyExchange)。IKE协议主要是对密钥交换进行管理，它主要包括三个功能：①对使用的协议、加密算法和密钥进行协商；②方便的密钥交换机制(这可能需要周期性的进行)；③跟踪对以上这些约定的实施。1710.2VPN协议10.2.3IPSecVPN系统的组成IPSecVPN的实现包含管理模块、密钥分配和生成模块、身份认证模块、数据加密/解密模块、数据分组封装/分解模块和加密函数库几部分组成。Intranet用户网络管理员管理模块Telnet加密函数库数据分组封装/分解模块密钥分配和生成模块身份认证模块数据加密/解密模块1810.3VPN的类型VPN的分类方法比较多，实际使用中，需要通过客户端与服务器端的交互实现认证与隧道建立。基于二层、三层的VPN，都需要安装专门的客户端系统（硬件或软件），完成VPN相关的工作。一个VPN解决方案不仅仅是一个经过加密的隧道，它包含–访问控制、认证、加密、隧道传输、路由选择、过滤、高可用性、服务质量以及管理VPN系统大体分为4类–专用的VPN硬件–支持VPN的硬件或软件防火墙–VPN软件–VPN服务提供商1910.3VPN的类型10.3.1按VPN的应用方式分类VPN从应用的方式上分，有两种基本类型：拨号式VPN与专用式VPN。拨号VPN分为两种：在用户PC机上或在服务提供商的网络访问服务器(NAS)上。专用VPN有多种形式。IPVPN的发展促使骨干网建立VPN解决方案，形成了基于MPLS的IPVPN技术。MPLSVPN的优点是全网统一管理的能力很强，由于MPLSVPN是基于网络的，全部的VPN网络配置和VPN策略配置都在网络端完成，可以大大降低管理维护的开销。2010.3VPN的类型10.3.2按VPN的应用平台分类VPN的应用平台分为三类：软件平台、专用硬件平台及辅助硬件平台。(1)软件平台VPN当对数据连接速率要求不高，对性能和安全性需求不强时，可以利用一些软件公司所提供的完全基于软件的VPN产品来实现简单的VPN功能。(2)专用硬件平台VPN使用专用硬件平台的VPN设备可以满足企业和个人用户对提高数据安全及通信性能的需求，尤其是从通信性能的角度来看，指定的硬件平台可以完成数据加密及数据乱码等对CPU处理能力需求很高的功能。提供这些平台的硬件厂商比较多，如川大能士、Nortel、Cisco、3Com等。(3)辅助硬件平台VPN这类VPN介于软件平台和指定硬件平台之间，辅助硬件平台的VPN主要是指以现有网络设备为基础，再增添适当的VPN软件以实现VPN的功能。2110.3VPN的类型10.3.3按VPN的协议分类按VPN协议方面来分类主要是指构建VPN的隧道协议。VPN的隧道协议可分为第二层隧道协议、第三层隧道协议。第二层隧道协议最为典型的有PPTP、L2F、L2TP等，第三层隧道协议有GRE、IPSec等。第二层隧道和第三层隧道的本质区别在于，在隧道里传输的用户数据包是被封装在哪一层的数据包中。第二层隧道协议和第三层隧道协议一般来说分别使用，但合理的运用两层协议，将具有更好的安全性。2210.3VPN的类型10.3.4按VPN的服务类型分类根据服务类型，VPN业务按用户需求定义以下三种：InternetVPN、AccessVPN与ExtranetVPN。1）InternetVPN（内部网VPN）。即企业的总部与分支机构间通过公网构筑的虚拟网。这种类型的连接带来的风险最小，因为公司通常认为他们的分支机构是可信的，并将它作为公司网络的扩展。内部网VPN的安全性取决于两个VPN服务器之间加密和验证手段上。VPN服务器VPN服务器总部LAN分支机构LAN因特网路由器路由器加密信道2310.3VPN的类型10.3.4按VPN的服务类型分类2）AccessVPN（远程访问VPN）又称为拨号VPN(即VPDN)，是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网。典型的远程访问VPN是用户通过本地的信息服务提供商(ISP)登录到因特网上，并在现在的办公室和公司内部网之间建立一条加密信道。VPN服务器总部LAN因特网加密信道移动用户移动用户防火墙公共服务器2410.3VPN的类型10.3.4按VPN的服务类型分类3）ExtranetVPN（外联网VPN）即企业间发生收购、兼并或企业间建立战略联盟后，使不同企业网通过公网来构筑的虚拟网。它能保证包括TCP和UDP服务在内的各种应用服务的安全，如Email、HTTP、FTP、RealAudio、数据库的安全以及一些应用程序如Java、ActiveX的安全。VPN服务器总部LAN因特网加密信道防火墙公共服务器防火墙VPN服务器合作伙伴LAN2510.3VPN的类型10.3.5按VPN的部署模式分类VPN可以通过部署模式来区分，部署模式从本质上描述了VPN的通