网络安全技术期末作业

资源描述

《网络安全技术期末作业》由会员分享，可在线阅读，更多相关《网络安全技术期末作业（9页珍藏版）》请在金锄头文库上搜索。

1、网络安全技术期末报告网络安全技术期末报告1网络安全技术期末报告网络安全技术期末报告 -虚拟专用网络技术虚拟专用网络技术2010 级信息管理与信息系统级信息管理与信息系统严卫鹏严卫鹏 20103287网络安全技术期末报告网络安全技术期末报告2目录目录1.VPN 产生的背景概述.3 2.VPN 概述.3 2.1.VPN 简介.3 2.2.VPN 的基本原理.4 2.3.VPN 的优点.5 3.VPN 的关键技术.5 3.1.VPN 的隧道技术.5 3.2. VPN 的密码技术.6 3.3. VPN 的服务质量保证体制(QoS).6 4.VPN 使用的隧道协议.6 5.VPN 的分类.7 6.小结

2、.9网络安全技术期末报告网络安全技术期末报告31.VPN 产生的背景概述产生的背景概述近些年，随着经济全球化的不断推进，一些企业的规模越来越大，特别是跨国公司的出现，使得公司分支机构越来越多。这促进了公司企业对安全的信息交换技术的需求。要实现分布在不同地点的分支机构之间实现信息的交流和共享，实现统一的管理和决策，尤其是要在当今存在许多网络攻击的环境下，必须要有一个比较安全的交换方式。直接使用开放的互连网将企业和各个分支机构连接在一起，通过端到端的数据通路实现不同地点分支机构之间的信息的交流和共享的方式是完全无法保证信息安全的。经典的端到端传输的弊端有以下几个方面

3、：在拨入段，攻击者可以很容易的在拨入链路上实施监听；ISP 很容易检查用户的数据；可以通过链路加密来防止被动的监听，但无法防范恶意窃取数据的 ISP, 因为 ISP 接入设备需要解密报文选择路由信息，然后再重新加密发送。在外部段，数据在到达终点之前要经过许多路由器，明文传输的报文很容易在路由器上被查看和修改；监听者可以在其中任一段链路上监听数据；链路加密不能防范在路由器上查看报文，因为路由器需要解密报文选择路由信息，然后再重新加密发送；恶意的ISP 可以修改通道的终点到一台假冒的网关。在内部段，数据在安全网关中是明文的，因而网关管理员可以直接查看机密数据；网关本身可能会受

4、到攻击，一旦被攻破，流经安全网关的数据将面临风险；内部员工可以监听、篡改、重定向企业内部网的数据报文。可以通过租用专用网络解决以上问题，但是，租用专用网络费用昂贵、利用不充分、同时企业还需要对所建立的专用网进行维护和管理。网络硬件 (如 ISDN 交换机和 Modem)和网络应用软件也需要升级换代，企业会为此付出大量的人、财、物力。因此，传统的租用专线的方式或拨号网络越来越不适合。为了解决传统专用网络的弊端，减少成本，VPN 技术应运而生。2.VPN 概述概述2.1.VPN 简介简介虚拟专用网络（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是

5、一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网不是真的专用网络，但却能够实现专用网络的功能。虚拟专用网指的是依靠 ISP（Internet 服务提供商）和其他 NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的链接并没有传统专网所需的端到端的物理链路，而是利用某种公众的资源动态组成的。网络安全技术期末报告网络安全技术期末报告4虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球互联网接入

6、，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。所以，虚拟专用网一般指的是建筑在Internet 上能够自我管理的专用网络，而不是 FrameRelay 或 ATM 等提供虚拟固定线路（ PVC）服务的网络。以 IP 为主要通信协议的 VPN，也可以称之为 IP-VPN。2.2.VPN 的基本原理的基本原理一般来说两台具有独立 IP 并连接上互联网的计算机只要知道对方的 IP 地址，是可以直接同通信的。但是位于这两台计算机之后的网络是不能直接互联的，原因是这些私有的网络和公用网络使用了不同的地址空间或协议，即私

7、有网络和公用网络之间是不兼容的。 VPN 的原理就是在这两台直接和公用连接的计算机之间建立一个条专用通道。私有网络之间的通信内容经过这两台计算机或设备打包通过公用网络的专用通道进行传输，然后在对端解包，还原成私有网络的通信内容转发到私有网络中。这样对于两个私有网络来说公用网络就像普通的通信电缆，而接在公用网络上的两台计算机或设备则相当于两个特殊的线路接头。由于 VPN 连接的特点，私有网络的通信内容会在公用网络上传输，出于安全和效率的考虑一般通信内容需要加密或压缩。而通信过程的打包和解包工作则必须通过一个双方协商好的协议进行，这样在两个私有网络之间建立 VPN 通道是需要一个

8、专门的过程，依赖于一系列不同的协议。这些设备和相关的设备和协议组成了一个 VPN 系统。一个完整的 VPN 系统一般包括以下三个单元：VPN 服务器端。一台计算机或设备用来接收和验证VPN 连接的请求，处理数据打包和解包工作。 VPN 服务器端操作系统可以是 WinNT 4.0/Win2000/WinXP/Win2003；相关组件为系统自带；要求 VPN 服务器已经连入 Internet，并且拥有一个独立的公网 IP。VPN 客户端。一台计算机或设备用来发起VPN 连接的请求，也处理数据的打包和解包工作。 VPN 客户机端操作系统可以是 Win98/WinNT 4.0/Win2000/W

9、inXP/Win2003；相关组件为系统自带；要求 VPN 客户机已经连入 Internet。VPN 数据通道。一条建立在公用网络上的数据连接。其实，所谓的服务器和客户端在 VPN 连接建立之后在通信的角色是一样的，服务器和客户端的区别在于连接是由谁发起的而已。网络安全技术期末报告网络安全技术期末报告52.3.VPN 的优点的优点1.降低费用首先远程用户可以通过向当地的 ISP 申请账户登陆到 Internet，以 Internet 作为隧道与企业内部专用网络相连，通信费用大幅度降低；其次企业可以节省购买和维护通讯设备的费用。 2.增强安全性VPN 通过使用点到点协议用户级身份验证的方法

10、进行验证，对于敏感的数据，可以使用 VPN 连接通过 VPN 服务器将高度敏感的数据地址物理地进行分隔，只有企业 Intranet 上拥有适当权限的用户才能通过远程访问建立与 VPN 服务器的 VPN 连接，并且可以访问敏感部门网络中受到保护的资源。所有的流量均经过加密和压缩后在网络中传输，为用户信息提供了最高的安全性保护。 3.高度灵活性用户不论是在家中、在出差途中、或是在其他任何环境中，只要该用户能够接入 Internet，便能够安全地接入企业网内部。既不受地域限制，也不受接入方式限制。 4.带宽用户可以选择使用本地服务供应商所能够提供的任何宽带接入技术，不论是 ADSL、

11、Cable Modem，还是在信息化小区或酒店中使用以太网接入。 5.网络协议支持VPN 支持最常用的网络协议，基于 IP、IPX 和 NetBEUI 协议，网络中的客户机都可以很容易得使用 VPN。这意味着通过 VPN 连接可以远程运行依赖于特殊网络协议的应用程序。 6.IP 地址安全因为 VPN 是加密的， VPN 数据包在 Internet 中传输时， Internet 上的用户只看到公用的 IP 地址，看不到 VPN 使用的协议。因此，利用 Internet 作为传输载体，采用 VPN 技术，实现企业网宽带远程访问是一个非常理想的企业网远程宽带访问解决方案。3.VPN 的关键技术的关键技术3.1.VPN 的隧道技术的隧道技术所谓隧道，实际上就是一种数据封装技术，将一种协议封装在另一个协议中传输，从而保持被封装协议的安全性。为了透明传输网络层不同协议的数据包，可以采取两种办法：把网络层协议 (如 IP，IPX 等)封装到数据链路层的点对点协议 PPP 数据帧里，在把 PPP 数据帧封装到隧道协议里，这种封装方法封装的是数据链路层的数据包，称为 “第二层隧道 ” ，第二层隧道协议里以 Microsoft 公司、3COM 公司在 PPP 基础上开发的点对点隧道协议 PPTP 比较典型。网络安

展开阅读全文