《华盾IPSecVPN讲义》由会员分享,可在线阅读,更多相关《华盾IPSecVPN讲义(139页珍藏版)》请在金锄头文库上搜索。
1、,华盾VPN技术培训,主讲人:马慧平,北京江南天安科技有限公司Mail: ,华盾 IPSec VPN讲义,二、华盾全线VPN产品综述,四、华盾IPSec VPN典型解决方案,三、华盾IPSec VPN系列产品组成,一、VPN技术原理与应用,第一章,VPN技术原理与应用,企业信息化建设需求:构建跨地域的统一信息处理平台,企业总部,分公司,办事处,合作伙伴,移动用户,在经济全球化的今天,越来越多的公司、企业开始在各地建立分支机构,移动办公人员的数量也随之剧增。在这样的背景下,总部与各分公司、办事处、移动办公人员、合作伙伴以及客户之间必须建立远程网络连接,以确保信息的及时传递。,企业信息化建设需要解
2、决的问题,如何实现远程网络互连?如何确保信息在远程传输过程中的安全?,计算机广域网络互联途径,1、特殊单位自己架线建设专用广域网络系统如:军队、电力、铁路、电信等。但是:移动办公呢?关键是:一般企业不具备自架广域线路的资格和能力。,计算机广域网络互联途径,2、传统组网方式:租用电信专线构建专用网络(如:租用电信的SDH、DDN、PSTN、FR、X.25等),网络使用费高 专线租用(LANLAN)、长途拨号(PCLAN)费用高 固定IP地址租用费用高网络通信速率低 一般的DDN的速率只有64、128Kbps。 远程拨号的速率只有56Kbps。网络访问的局限性 NAT网络地址转换,只能由内部主机主
3、动发起连接,限制了网络的访问。数据传输过程中缺乏安全防护 明文传输,敏感数据有可能被非法窃取、篡改或假冒。,计算机广域网络互联途径,3、新型组网方式:基于Internet、利用隧道协议构建“虚拟专用网络(VPN)” 基于公共通信基础设施,使用隧道封装、认证技术、密码技术、访问控制手段实现“虚拟专用网络”,保证数据传输的私密性、完整性、真实性和可用性,是当今流行于各行各业的计算机广域联网潮流方式。,建网快速方便,降低建网投资;节约使用成本,节省大量的通信费用;利用 Internet 的无处不在性;网络安全可靠,简化用户对网络的维护及管理工作。,构建可信赖的VPN虚拟专网,企业总部,分公司,移动用
4、户,VPN,VPN,办事处,VPN,VPN客户端,合作伙伴,VPN,基于Internet基础设施、利用VPN技术构建企业虚拟专网,是解决传统组网方式缺限的首选方案。,VPN的定义,VPN(Virtual Private Network:虚拟专用网) 是一种以公用网络,尤其是Internet为基础通道,综合运用隧道封装、认证、加密、访问控制等多种网络和安全技术,实现企业总部、分支机构、合作伙伴及远程和移动办公人员之间互连互通和资源共享的方法。,VPN技术解决了什么问题,利用VPN技术可以建立一种灵活的、低成本的、易于扩展的网络互连手段,从而替代传统的长途租用专线连接和远程拨号连接;同时由于VPN
5、需要借道公用网络,就必须解决因此而带来的网络安全问题。因此,概括地说VPN技术能够为企业解决的问题就是:实现低成本的安全互连!,VPN的应用领域,组建企业内联网(Intranet)组建企业外联网(Extranet)完成远程用户访问(Remote Access),VPN面临的难题,通过因特网组建企业私有网络面临的两个主要问题:1、互通性 Internet合法IP地址资源是有限的,如何实现私有IP地址之间的互通。2、安全性 因特网是一个开放、平等的网络环境,其本身不提供任何安全防范措施,同时由于因特网上一个特殊用户群体黑客的存在,使得因特网被公认为是一个不安全的网络环境。,VPN采用的关键技术,隧
6、道技术认证技术加解密技术密钥管理技术,VPN的关键技术,1、隧道技术 IETF规定了三个私有IP地址范围:192.168.0.0/1610.0.0.0/8172.16.0.0/16-172.31.0.0/16 这三个网段的IP地址用于用户组建内部网络,不同的用户网络允许使用相同网段的IP地址,它们在因特网上是不可路由的。,IPSEC协议的隧道封装示意:,VPN的关键技术,隧道技术,VPN的关键技术,2、认证技术认证可以确定所接收的数据与所发送的数据是一致的,同时可以确定申请发送者在实际上是真实发送者,而不是伪装的。即认证技术可以防止数据的伪造和被篡改。通常采用一种称为“摘要”的技术。“摘要”技
7、术主要采用HASH函数将一段长的报文通过函数变换,映射为一段短的报文即摘要。由于HASH函数的特性,两个不同的报文具有相同的摘要几乎不可能。该特性使得摘要技术在VPN中有两个用途:验证数据的完整性、用户认证。,VPN的关键技术,3、密码技术 密码技术能提供多种安全服务,是保证信息系统安全的最重要手段:,VPN的关键技术,数据私密性 数据完整性 数据真实性(证实身份、不可否认性),密码学是研究编制密码和破译密码的技术科学。研究密码变化的客观规律,应用于编制密码以保守通信秘密的,称为编码学;应用于破译密码以获取通信情报的,称为破译学,总称密码学。 密码是通信双方按约定的法则进行信息特殊变换的一种重
8、要保密手段。依照这些法则,变明文为密文,称为加密变换;变密文为明文,称为脱密变换。密码在早期仅对文字或数码进行加、脱密变换,随着通信技术的发展,对语音、图像、数据等都可实施加、脱密变换。,VPN的关键技术,对称密钥算法: 在对称密钥算法中,发端S和收端R共享同一个密钥: S产生一个与明文M相对应的密文,其中K是密钥,E是依赖于K的加密变换,R从密文恢复明文,其中D是依赖于K的解密变换。,VPN的关键技术,非对称密钥算法: 某一用户A有一加密密钥不同于解密密钥,可将加密密钥公开(公钥),解密密钥保密(私钥),当然要求公钥的公开不至于影响私钥的安全。若B要向A保密传送明文m,可查A的公钥,并用其加
9、密得密文: A收到C后,用只有A才掌握的私钥对C进行解密得:,VPN的关键技术,摘要算法(哈希算法): 某一用户A有一明文M,采用摘要算法H对明文进行运算,得到明文摘要: C = H ( M ) 摘要C的长度是固定的,而且对于不同的明文,经过运算必然会得到不同的摘要。,VPN的关键技术,各种算法的比较与应用: 对称密钥算法:保证数据的私密性,DES、3DES、AES 非对称密钥算法:身份认证和不可否认,RSA、D-H 摘要算法:验证数据的完整性,MD5、SHA1,VPN的关键技术,4、密钥交换和管理 VPN 中密钥的分发与管理非常重要。密钥的分发有两种方法:一种是通过手工配置的方式,另一种采用
10、密钥交换协议动态分发。手工配置的方法由于密钥更新困难,只适合于简单网络的情况。密钥交换协议采用软件方式动态生成密钥,适合于复杂网络的情况且密钥可自动更新,可以显著提高VPN 的安全性。目前主要的密钥交换与管理标准有IKE (互联网密钥交换)、SKIP (互联网简单密钥管理)和Oakley。,VPN的关键技术,VPN技术小结,VPN和虚拟隧道模型,VPN主流技术分类,二层VPN技术L2TP/PPTP三层VPN技术IPSEC(企业DIY)多协议标记交换MPLS(ISP提供)SSL VPN技术,VPN主流技术之间的比价,IPSec VPN,IPSec VPN,IPSec(IP Security)是一
11、系列基于IP网络的由IETF正式定制的开放性IP安全标准,是虚拟专网的基础,已经相当成熟可靠。 IPSec可以保证局域网、专用或公用的广域网及Internet上信息传输的安全。 IPSec可以对所有IP级的通信进行加密和认证:使用IPSec可以确保包括远程登录、客户/服务器、电子邮件、文件传输、Web浏览、ERP、视频会议、IP电话等在内的各种应用程序的安全。,IPSec的优势,工作于网络层(IP层),已标准化与上层应用无关,对用户透明与下层链路协议无关,适用于各种广域线路可实现LANLAN和PCLAN的连接,IPSec安全特性,数据私密性 数据在发送端加密,在接收端解密。保证在传输过程中,即
12、使数据包遭窃听,信息也无法读取。数据完整性 防止传输过程中数据被篡改,确保发出数据和接收数据的一致性。利用Hash函数为每个数据包产生一个加密检查和,接收方在打开包前先计算检查和,若包遭篡改导致检查和不相符,数据包即被丢弃。 认证 数据源发送信任状,由接收方验证信任状的合法性,只有通过认证的设备或用户才可以建立通信连接。 可使用电子证书认证或预共享密钥认证。,IPSec安全特性,数据真实性 通过使用公私钥技术,可以证实消息发送方是唯一可能的发送者,发送者也不能否认发送过消息。 发送方用私钥产生一个数字签名随消息一起发送,接收方用发送者的公钥来验证数字签名。由于在理论上只有发送者才唯一拥有私钥,
13、也只有发送者才可能产生该数字签名,所以只要数字签名通过验证,就可以确定是真实发送者,发送者也不能抵赖曾发送过该消息。反重播性 确保每个IP包的唯一性,保证信息万一被截取复制后,不能再被重新利用、重新传输到目的地址。该特性可以防止攻击者截取破译信息后,再用相同的信息包冒取非法访问权。,IPSec安全协议,IPSec三个主要安全协议:认证协议头(AH):认证、校验封装安全载荷(ESP):认证、校验、加密,常用互联网密钥交换协议(IKE):密钥交换管理AH和ESP可以通过单独或组合使用来达到所希望的保护等级,IPSec中算法的应用,在IPSec协议中各种算法的应用:IKE:非对称密钥算法 D-H:密
14、钥协商ESP:对称密钥算法DES/3DES:数据私密性AH:摘要算法MD5/SHA1:数据完整性,IPSec工作模式,IPSec提供两种工作模式:传输模式 将原数据包的载荷部分封装起来,IP报头不变。隧道模式 整个原数据包被当作有效载荷封装起来,外面附上新的IP报头。可以将私有 IP地址封装为公网IP地址,同时原数据包中源地址、目的地址受到加密隐藏,更有助于保护隧道通信中数据的安全性。因此隧道模式更为常用。,IPSec ESP传输模式封装,ESP报头字段包括:Security Parameters Index (SPI,安全参数索引):为数据包识别安全关联。Sequence Number(序列
15、号):从1开始的32位单增序列号,不允许重复,唯一地标识了每一个发送数据包,为安全关联提供反重播保护。接收端校验序列号为该字段值的数据包是否已经被接收过,若是,则拒收该数据包。,IPSec ESP传输模式封装,ESP报尾字段包括:Padding(扩展位):0-255个字节。DH算法要求数据长度(以位为单位)模512为448,若应用数据长度不足,则用扩展位填充。Padding Length(扩展位长度):接收端根据该字段长度去除数据中扩展位。Next Header(下一个报头):识别下一个使用IP协议号的报头,如TCP或UDP。,IPSec ESP传输模式封装,ESP认证报尾字段 :Authentication Data(AD,认证数据): 包含完整性检查和。完整性检查部分包括ESP报头、有效载荷(应用程序数据)和ESP报尾。,
