《虚拟专用网_VPN--》由会员分享,可在线阅读,更多相关《虚拟专用网_VPN--(102页珍藏版)》请在金锄头文库上搜索。
1、虚拟专用网计算机与网络安全虚拟专用网 VPN 本地地址仅在机构内部使用的 IP 地 址,可以由本机构自行分配,而不需要 向因特网的管理机构申请。 全球地址全球惟一的IP地址,必须 向因特网的管理机构申请。 RFC 1918指明的专用地址 (private address) 10.0.0.0 到 10.255.255.255 172.16.0.0 到 172.31.255.255 192.168.0.0 到 192.168.255.255 这些地址只能用于一个机构的内部通信,而不 能用于和因特网上的主机通信。 专用地址只能用作本地地址而不能用作全球地 址。在因特网中的所有路由器对目的地址是专 用
2、地址的数据报一律不进行转发。 虚拟专用网VPN VPN Virtual:利用公共网络资源和设备建立一个逻 辑上的专用通道,提供和专用网络同样的功能 Private:只有经过授权的用户才可以使用;传 输的数据经过了加密和认证,使得通信内容既 不能被第三者修改,也无法被第三者了解,保 证了传输内容的机密性和完整性 Network:专门的组网技术和服务X 10.1.0.1用隧道技术实现虚拟专用网 部门 A因特网部门 B R1R2隧道125.1.2.3194.4.5.6Y 10.2.0.3使用隧道技术本地地址本地地址全球地址X 10.1.0.1用隧道技术实现虚拟专用网 部门 A因特网部门 B R1R2
3、隧道125.1.2.3194.4.5.6Y 10.2.0.3使用隧道技术加密的从 X 到 Y 的内部数据报外部数据报的数据部分源地址:125.1.2.3 目的地址:194.4.5.6数据报首部部门 A部门 BXYR1R2125.1.2.3194.4.5.610.1.0.110.2.0.3虚拟专用网 VPN网络地址转换 NAT(Network Address Translation) 网络地址转换 NAT 方法于1994年提出。 是一种将私有(保留)地址转化为合法IP地址的转 换技术,它被广泛应用于各种类型Internet接入方 式和各种类型的网络中 需要在专用网连接到因特网的路由器上安装 NA
4、T 软件。装有 NAT 软件的路由器叫做 NAT路由器 ,它至少有一个有效的外部全球地址 IPG。 所有使用本地地址的主机在和外界通信时都要在 NAT 路由器上将其本地地址转换成 IPG 才能和 因特网连接。 网络地址转换的过程 内部主机 X 用本地地址 IPX 和因特网上主机 Y 通 信所发送的数据报必须经过 NAT 路由器。 NAT 路由器将数据报的源地址 IPX 转换成全球地 址 IPG,但目的地址 IPY 保持不变,然后发送到 因特网。 NAT 路由器收到主机 Y 发回的数据报时,知道 数据报中的源地址是 IPY 而目的地址是 IPG。 根据 NAT 转换表,NAT 路由器将目的地址
5、IPG 转换为 IPX,转发给最终的内部主机 X。 NAT 网络地址翻译(Network Address Translation,NAT)提供了一种利用较少的 IP地址满足多数主机上网的方法。 NAT分类 静态NAT 动态地址NAT 端口多路复用地址转换VPN是在公网中形成的企业专业专 用链链路。采用“隧 道”技术术,可以模仿点对对点连连接技术术,依靠 Internet服务务提供商(ISP)和其他的网络络服务务提供商 (NSP)在公用网中建立自己专专用的“隧道”,让让数据 包通过这过这 条隧道传输传输 。对对于不同的信息来源,可分 别给别给 它们们开出不同的隧道。 VPN技术术概述 VPN技术
6、术概述 隧道是一种利用公网设设施,在一个网络络之中的“网络络 ”上传输传输 数据的方法。隧道协议协议 利用附加的报头报头 封装帧帧, 附加的报头报头 提供了路由信息,因此封装后的包能够够通过过中 间间的公网。封装后的包所途经经的公网的逻辑逻辑 路径称为为隧道 。一旦封装的帧帧到达了公网上的目的地,帧帧就会被解除封 装并被继续继续 送到最终终目的地。 隧道开通器(TI);有路由能力的公用网络络;一个或多个隧道终终止器(TT);必要时时增加一个隧道交换换机以增加灵活性。隧 道 基 本 要 素VPN技术术概述 VPN的基本功能 VPN的主要目的是保护传输数据,是保护从信道的一个 端点到另一端点传输的
7、信息流。信道的端点之前和之后, VPN不提供任何的数据包保护。 VPN的基本功能至少应包括: 1)加密数据。以保证通过公网传输的信息即使被他人截获也不会泄露 。 2)信息验证和身份识别。保证信息的完整性、合理性,并能鉴别用户 的身份。 3)提供访问控制。不同的用户有不同的访问权限。 4)地址管理。VPN方案必须能够为用户分配专用网络上的地址并确保地 址的安全性。 5)密钥管理。VPN方案必须能够生成并更新客户端和服务器的加密密钥 。 6)多协议支持。VPN方案必须支持公共因特网络上普遍使用的基本协议 ,包括IP、IPX等。VPN的三種類別 Access VPN: 适用于企业内部人员流动频繁或远
8、程办公情况 透過Internet為個人提供中央網路服務遠端存取能力, 可採用ISDN線路、DSL、Cable Modem做暫時性的網 路連接。一般而言,遠端使用者撥入一個Local POP, 然後建立一個安全的連接,經由Internet到達中央閘道 。 Intranet VPN: 透過Internet將遠端和分支辦公室鏈結到中央Intranet服 務。連接可以是暫時的撥接或是永久的專線。 Extranet VPN: 透過Internet將客戶、供應商、夥伴及其他使用者鏈結 到中央Intranet的特定部份VPN优点 降低成本 使用现有的公共网络基础设施为用户创建安全隧道, 不需要使用专门的线路
9、,节省了租金 如果使用远程拨号进入内部网络,还需要支付长途电 话费,而采用VPN只需要连入本地ISP,节省了线路话 费 易于扩展 专线难于扩展,分部增多、内部网络节点增多的情况 下,费用更加昂贵 如果有新的网络想加入安全连接,VPN只需在节点处 架设VPN设备,就可以利用公共网络建立连接 安全性 采用了加密和认证技术,在内部网络之间建立隧道, 能够保证机密性和完整性隧道技术 隧道技术通过对数据进行封装,在公共网络上建 立一条数据通道(隧道),让数据包通过这条隧 道传输。 隧道的功能就是在两个网络节点之间提供一条通 路,使数据报能够在这个通路上透传输 VPN 隧道一般是指在VPN 节点之间或VP
10、N 节点 与用户节点之间建立的用来传输VPN 数据的虚拟 连接。 隧道是构建VPN 不可或缺的部分,用于把VPN 数 据从一个VPN 节点透明传送到另一个上。隧道协议 隧道通过隧道协议实现。目前已存在不少隧 道协议 第二层隧道协议:把各种网络协议封装到PPP包 中,再把整个数据包装入到隧道协议中,这种经 过两层封装的数据包由数据链路层协议进行传输 L2TP、PPTP、L2F 第三层隧道协议:把各种网络协议直接装入隧道 协议中,形成的数据包依靠网络层协议进行传输 IPSec、GRE隧道协议 隧道协议通过在隧道的一端给数据加上隧 道协议头,即进行封装,使这些被封装的 数据能都在某网络中传输;并在隧
11、道的另 一端去掉该数据携带的隧道协议头,即进 行解封装。 报文在隧道中传输前后都要通过封装和解 封装两个过程。第二层隧道协议 第二层隧道协议将整个数据帧封装在隧道中。主 要包括: 点到点隧道协议 PPTP(Point-to-Point Tunneling Protocol):由微软、Ascend 和3COM 等公司支持, 在Windows NT 4.0 以上版本中提供。该协议支持PPP 在IP网络上的隧道封装。 二层转发协议 L2F(Layer 2 Forwarding):Cisco、 Nortel等公司支持,对更高级协议链路层的隧道封装, 实现拨号服务器和拨号协议连接在物理位置上的分离 。
12、二层隧道协议 L2TP(Layer 2 Tunneling Protocol): 结合上述两个协议的优点,既可用于拨号VPN 业务, 也可用于专线VPN 业务。由IETF起草,并由微软、 Ascend 和3COM 等公司参与制定,成为工业标准第二、三层隧道协议的比较 第三层隧道与第二层隧道相比,优势在于它的安全 性、可扩展性与可靠性。 从安全性的角度看,第二层隧道一般终止在用户侧 设备上,对用户网的安全及防火墙技术要求很高; 而第三层隧道一般终止在ISP 网关,通常不会对用 户网的安全提出较高要求。 从可扩展性的角度看,第二层隧道内封装了整个 PPP 帧,可能产生传输效率问题;PPP 会话贯穿
13、 整个隧道并终止在用户侧设备上,导致用户侧网关 需要保存大量PPP 会话状态与信息,对系统负荷 产生较大的影响,也影响到系统的扩展性;第二、三层隧道协议的比较 此外,由于PPP 的LCP 及NCP 协商对时间敏感, 隧道效率降低会造成PPP 会话超时等问题。而第 三层隧道终止在ISP 的网关内,PPP 会话终止在 NAS 处,用户侧网关无需管理和维护每个PPP 会 话的状态,从而减轻了系统负荷。 多数情况下,第二层隧道协议和第三层隧道协议都 是独立使用的如果合理地将这两层协议结合起来, 将可能为用户提供更好的安全性和更佳的性能。隧道协议的基本概念 乘客协议 封装协议 传输协议自愿隧道与强制隧道
14、 根据隧道的端点分类 用户计算机:自愿隧道(voluntary Tunnel) 客户端计算机可以通过发送VPN请求来配置和创建 一条自愿隧道 必须安装隧道客户端软件 创建道目标隧道服务的虚拟连接 是最普遍使用的隧道类型客户机可以通过使用拨号方式连接Internet建立IP传输,这 只是为创建隧道所做的初步准备,本身并不属于隧道协议自愿隧道与强制隧道 根据隧道的端点分类 拨号接入服务器:强制隧道(compulsory Tunnel) 由支持VPN服务的拨号接入服务器(如支持PPTP的 FEP前端处理器)创建 因为客户端只能使用由FEP创建的隧道,所以成为强 制隧道 可以配置FEP为所有的拨号客户
15、创建到指定隧道服务 器的隧道,也可以配置FEP基于不同的用户名或目的 地创建不同的隧道。自愿隧道与强制隧道 自愿隧道为每个客户创建独立的隧道 强制隧道中FEP和隧道服务器之间建立的隧 道可以被多个客户共享 强制隧道的一条隧道中可能会传递多个客 户的数据信息,而只有在最后一个隧道用 户断开连接之后才会中止这条隧道。补充知识:Data Link 面向比特的链路控制规程HDLC 面向字符的点对点协议PPPHDLC 协议概述 对于经常产生误码的实际链路,只要加 上合适的控制规程,就可以变的可靠 这些规程都是数据链路层的协议 ARPANET的IMP-IMP规程 IBM的BSC规程 面向字符从比特流中区分
16、数据帧首位方法 字符计数法 带字符填充的首尾界符法 带位填充的首尾标志法 物理层编码违例法字符计数法 在帧的头部用一个字段来表明帧的字 符数,当接收方的数据链路层看到字符计数值时,就 可以知道该帧的长度和结束位置了。 字符计数法带字符填充的首尾界符法带字符填充的首尾界符法 采用ASCII码字符序列,用 DLE STX 表示帧的头部,用 DLE ETX 表示帧的帧尾,作 为帧边界的控制符来确定数据帧的开始和结束。 带字符填充的首尾界符法 为了不使数据信息位中出现的与特定字符相同的字符被误 判为帧的首尾定界符,可以在这种数据字符前填充一个转 义控制字符(DLE)以示区别,从而达到数据的透明性。 以下数据碎片出现在数据流的中间,在数据流中
