《[工学]虚拟专网》由会员分享,可在线阅读,更多相关《[工学]虚拟专网(55页珍藏版)》请在金锄头文库上搜索。
1、虚拟专用网络大纲VPN概述IPSec与VPN实现VPN的安全性VPN的发展前景VPN概述VPN定义VPN关键技术VPN的分类传统的企业网络什么是VPN什么是VPN企业、组织、商家等对专用网的需求。高性能、高速度和高安全性是专用网明显的优势。但传统的通过租用专线或拨号网络的方式越来越不适用。(廉价、安全)IP协议本身的局限性,不能保证信息直接传输的保密性。VPN(虚拟专用网络,Virtual Private Network)是指将物理上分布在不同地点的网络通过公用网络连接成逻辑上的虚拟子网,并采用认证、访问控制、保密性、数据完整性等在公用网络上构建专用网络的技术,使得数据通过安全的“加密管道”在
2、公用网络中传输。(公用网通常指Internet)什么是VPN虚拟:用户不再需要拥有实际的长途数据线路,而是使用公共网络资源。但它建立的只是一种临时的逻辑连接,一旦通信会话结束,这种连接就断开了。专用:用户可以定制最符合自身需求的网络。VPN使得企业通过互联网既安全又经济地传输私有的机密信息成为可能。VPN的特点安全保障:在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接,称为建立一个隧道。可以利用加密技术对经过隧道传输的数据进行加密,以保证数据只被指定的发送者和接受者了解,从而保证数据的私有性和安全性。费用低服务质量保证(QoS):VPN应当为企业数据提供不同等级的服务质量保证。(连接、
3、覆盖性、稳定性、网络时延、误码率等)VPN的特点网络优化:充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。通过流量预测与流量控制策略实现带宽管理。可扩充性和灵活性可管理性:安全管理、设备管理、配置管理、访问控制列表管理和QoS管理等。VPN系统组成VPN系统组成VPN服务器:接受来自VPN客户机的连接请求;VPN客户机:可以是终端计算机,也可以是路由器;隧道:数据传输通道,在其中传输的数据必须经过封装;VPN连接:在VPN连接中,数据必须经过加密;隧道协议:封装数据、管理隧道的通信标准传输数据:经过封装、加密后在隧道上传输的数据;公共网络:如Internet,也可以是其他共享型网络。
4、VPN关键技术RFC(Request For Comments):“请求注解”,包含了关于Internet的几乎所有重要的文字资料。RFC 2194:第一个VPN RFC,1997年9月14日发布。自1999年4月17日之后,有10个RFC直接涉及VPN。有80多个RFC涉及隧道。VPN关键技术隧道技术:VPN的基本技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。 隧道由隧道协议形成,常用的有第2、3层隧道协议。密码技术: 加解密技术:在VPN应用中将认证信息、通信数据等由明文转换为密文的相关技术,其可靠性主要取决于加解密的算法及强度。 身份认证技术:在正式的隧道连接开始之
5、前需要确认用户的身份,以便系统进一步实施资源访问控制或用户授权。 密钥管理技术:如何在公用数据网上安全地传递密钥而不被窃取。QoS技术:保证VPN的性能稳定,在管理上满足企业的要求。(连接,稳定性,网络时延,误码率)VPN的隧道技术对通过隧道的数据进行处理的两个基本过程:加密和封装。加密:保证VPN的“私有性”;通信双方数据的加密涉及到:加密方法的选择、密钥的交换、密钥的管理等。封装:构建隧道的基本手段;使得隧道能够实现信息的隐蔽和信息的抽象。将一种协议封装在另一种协议中传输,从而实现被封装协议对封装协议的透明性,保持被封装协议的安全特性。用户数据经过协议栈的封装过程VPN的隧道技术安全协议:
6、就是构建隧道的“隧道协议”。IP隧道协议:使用IP协议作为封装协议的隧道协议。第二层隧道协议:首先把各种网络协议封装到数据链路层的PPP帧中,再把整个PPP帧装入隧道协议中。这种双层封装方法形成的数据包依靠第二层协议进行传输。如:PPTP(点到点隧道协议,Point-to-Point Tunneling Protocol)、L2F(第二层转发协议,Layer Two Forwarding)和L2TP(第二层隧道协议,Layer Two Tunneling Protocol)等;VPN的隧道技术第三层隧道协议:把各种网络协议直接装入隧道协议中,封装的是网络层协议数据包。如:GRE(通用路由封装协
7、议,Generic Routing Encapsulation)和IPSec(IP层安全协议,Internet Protocol Security)IPSec的应用最为广泛,是事实上的网络层安全标准。不同协议层次的隧道协议各有优缺点,可考虑将其结合以构建虚拟专用网的完整解决方案。VPN的QoS机制应该在VPN建立隧道的网段实行QoS,才能建立一条性能符合用户要求的隧道。不同应用对网络通信的不同要求体现在:带宽:网络提供给用户的传输率;反应时间:用户所能容忍的数据包传输延时;抖动:延时的变化;丢包率:数据包丢失的比率。QoS机制具有:通信处理机制以及供应和配置机制VPN的QoS机制网络管理员通常
8、基于一定的策略机制(策略数据、策略决定点、策略加强点以及策略协议)进行QoS配置。SNMP(简单网络管理协议,Simple Network Management Protocol):常用的策略协议。QoS机制相互作用可使网络资源得到最大化利用,同时向用户提供性能良好的网络服务。VPN的分类根据VPN的组网方式、连接方式、访问方式、隧道协议、工作的层次(OSI模型或TCP/IP模型)等的不通,可以有多种分类方式。结合当前主要应用,VPN主要有两种类型:1. 远程访问/移动用户的VPN连接/Access VPN实现用户安全的远程访问(企业内部人员的移动、远程办公需要,或商家提供B2C的安全访问服务
9、)VPN的分类2. 网关-网关的VPN连接组建安全的内联网或企业外联网核心技术:主要使用IPSec协议(第三层隧道技术)来建立加密传输数据的隧道Intranet VPN:用于构建内联网(企业内部各分支机构互联)Extranet VPN:用于企业的合作者之间互联IPv4的缺陷缺乏对通信双方身份真实性的鉴别能力缺乏对传输数据的完整性和机密性保护的机制由于IP地址可软件配置以及基于源IP地址的鉴别机制,IP层存在:业务流被监听和捕获、IP地址欺骗、信息泄漏和数据项窜改等攻击。IPSec与VPN实现IPSec架构IPSec安全协议IPSec密钥管理IPSec架构IPSec是提供网络层通信安全的一套协议
10、簇IPSec只是一个开放的结构,通过在主IP报头后面接续扩展报头,为目前流行的数据加密或认证算法的实现提供统一的数据结构需求:身份认证、数据完整性和保密性IPSec在IPv6中是强制的,在IPv4中是可选的IPSec的历史1994年IETF专门成立IP安全协议工作组,来制定和推动一套称为IPSec的IP安全协议标准。1995年8月公布了一系列关于IPSec的建议标准。1996年,IETF公布下一代IP的标准IPv6,把鉴别和加密作为必要的特征,IPSec成为其必要的组成部分。1999年底,IETF安全工作组完成了IPSec的扩展,在IPSec协议中加上ISAKMP(因特网安全关联和密钥管理协议
11、),IKE(密钥交换协议)、Oakley(密钥确定协议)。ISAKMP/IKE/Oakley支持自动建立加密、鉴别信道,以及密钥的自动安全分发和更新。幸运的是,IPv4也可以实现这些安全特性。IPSec的应用方式端到端(endend):主机到主机的安全通信端到路由(endrouter):主机到路由设备之间的安全通信路由到路由(routerrouter):路由设备之间的安全通信,常用于在两个网络之间建立虚拟专用网IPSec的好处对应用和最终用户透明在防火墙或路由器中实现时,可以防止IP旁路。可以对所有跨越周界的流量实施强安全性。而公司内部或工作组不必承担与安全相关处理的负担。需要时IPSec可以
12、提供个人安全性弥补IPv4在协议设计时缺乏安全性考虑的不足IPSec的内容协议部分,分为:AH(认证头,Authentication Header): 提供完整性保护和抗重放攻击;ESP(封装安全载荷,Encapsulating Security Payload) :提供机密性、完整性保护和抗重放攻击;密钥管理(Key Management)SA(Security Association)ISAKMP定义了密钥管理框架IKE是目前正式确定用于IPSec的密钥交换协议IPSec安全体系结构与IPSec相关的标准IPSec安全协议ESPESP机制通过将整个IP分组或上层协议部分(即传输层协议数据)
13、封装到一个ESP载荷之中,然后对此载荷进行相应的安全处理,如加密处理、认证处理等,实现对通信的机密性或/和完整性保护。加密算法和认证算法由SA指定。根据ESP封装的载荷内容不同,将ESP分为两种模式:传输(transport)模式:将上层协议部分封装到ESP载荷之中;隧道(tunnel)模式:将整个IP分组封装到ESP载荷之中。ESP传输模式ESP传输模式封装示意图ESP传输模式优点:内网的其他用户也不能理解通信主机之间的通信内容。分担了网关的IPSec处理负荷。缺点:不具备对端用户的透明性,用户为获得ESP提供的安全服务,必须付出内存、处理时间等代价。不能使用私有IP地址。暴露了子网的内部拓
14、扑。ESP隧道模式ESP隧道模式封装示意图ESP隧道模式优点:保护子网中的所有用户都可以透明地享受由安全网关提供的安全保护。子网内部可以使用私有IP地址。子网内部的拓扑结构受到保护。缺点:增大了安全网关的处理负荷,容易形成通信瓶颈。IPSec安全协议AH为IP包提供数据完整性、数据源身份认证和抗重放攻击服务;利用MAC码实现认证,双方必须共享一个密钥认证算法由SA指定认证的范围:整个包两种认证模式:传输模式:不改变IP地址,插入一个AH;隧道模式:生成一个新的IP头,把AH和原来的整个IP 包放到新IP包的净荷数据中。AH两种模式封装示意图AH和ESP联合使用传输邻接使用两个捆绑的传输SA,内
15、部是ESP SA(没有认证选项),外部是AH SA。AH和ESP联合使用传输隧道束内部的AH传输SA外部的ESP隧道SAIPSec密钥管理完成安全参数的协商和管理。 通过安全联盟(SA,Security Association)描述IPSec数据封装的安全参数。SA创建方式:手工的 自动的: 互联网密钥交换协议( IKE , Internet Key Exchange)作用:在IPSec通信双方之间通过协商建立起共享安全参数及验证过的密钥,IKE代表IPSec对SA 进行协商,并对SADB进行填充。安全关联SASA是IP认证和保密机制中最关键的概念。一个关联就是发送与接收者之间的一个单向关系,
16、是与给定的一个网络连接或一组网络连接相关联的安全信息参数集合。如果需要一个对等关系,即双向安全交换,则需要两个SA。每个SA通过三个参数来标识安全参数索引SPI(Security Parameters Index)是AH或ESP中的一个字段,用来标识数据包对应的SA 目的IP地址安全协议标识: ESP或AH安全关联SASA所提供的安全服务由所选择的安全协议、协议模式、SA终端通信实体类型以及在安全协议内所选择的安全服务来决定。SA与IPSec系统中实现的两个数据库有关安全策略数据库(SPD):定义了进出主机或安全网关的IP数据流的处理策略(丢弃数据包;绕过IPSec;应用IPSec);安全关联数据库(SAD):定义了与每一个SA相关的参数。Internet密钥交换I
