收藏
下载资源

保密安全与密码技术讲义_2

上传人:F****n 文档编号:97483852 上传时间:2019-09-04 格式:PPT 页数:59 大小:2.18MB
返回 下载 相关 举报
保密安全与密码技术讲义_2_第1页
第1页 / 共59页
保密安全与密码技术讲义_2_第2页
第2页 / 共59页
保密安全与密码技术讲义_2_第3页
第3页 / 共59页
保密安全与密码技术讲义_2_第4页
第4页 / 共59页
保密安全与密码技术讲义_2_第5页
第5页 / 共59页
点击查看更多>>
资源描述

《保密安全与密码技术讲义_2》由会员分享,可在线阅读,更多相关《保密安全与密码技术讲义_2(59页珍藏版)》请在金锄头文库上搜索。

1、保密安全与密码技术,第四讲 虚拟专用网VPN技术,VPN 的定义和发展概况 VPN的需求和设计原则 VPN 的相关技术 几种常见的VPN,课程目标,Virtual Private Network 虚拟“virtual” 指没有物理的连接存在于2个网络间;事实上,连接是通过Internet的路由完成的; 专用“private” 指传输的数据是保密的 (通过加密和安全隧道); 网络“network” 指利用各种网络(私有、公用、有线无线等等)构成的通信手段。,VPN定义,VPN定义,虚拟专用网络可以实现不同网络的组件和资源之间的相互连接。虚拟专用网络能够利用Internet或其它公共互联网络的基础

2、设施为用户创建隧道,并提供与专用网络一样的安全和功能保障。 在虚拟专网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。 是通过隧道技术在公共数据网络上虚拟出一条点到点的专线技术。,Tunneling through the Internet,为什么要VPN,资源访问限制于某些IP地址 通过防火墙不能访问资源 内部人员需要在外面访问内部网络 雇员可能在外地,需要访问内部网络 专有网太贵 外地的雇员也可能不是定点的,VPN的发展,业务需求的变化导致了此业务的产生和发展 1970年PN L1 -1990年FR(帧中继)的出现是VPN的首次出现(L2

3、)-IP VPN的提出 外包模式促进了CPE-based VPN - Network based VPN的转化,VPN 的定义和发展概况 VPN的需求和设计原则 VPN 的相关技术 几种常见的VPN,课程目标,对VPN的需求,安全保障 VPN应保证通过公用网络平台传输数据的专用性和安全性,这是目前公共Internet所无法提供的功能 服务质量(QoS)保证 对不同的用户提供不同的服务质量,如带宽、延时等保证,这取决于广域网上是否提供QoS保证 可扩充性和灵活性 便于增加新的节点,支持多种类型的传输媒体 可管理性 易于维护和管理,VPN设计原则安全性原则,隧道与加密 数据验证 用户识别与设备验证

4、 入侵检测,网络接入控制,隧道与加密,应用和业务服务器,总部网络中心,分支机构,合作伙伴,secpoint,AAA服务器,出差员工,IPSEC+L2TP,IPSEC+GRE,L2TP隧道协议最适合移动用户的VPN接入 GRE隧道协议最适合站点到站点的VPN接入,支持动态路由协议 IPSEC提供数据加密和数据完整性,数据验证,IPSEC协议提供特定的通信双方之间在IP层通过加密与数据源验证,以保证数据包在Internet网上传输时的私有性、完整性和真实性。用在VPN上IPSEC协议族与其他隧道协议相配合完成VPN数据报文的加密和验证。,IPSEC,用户识别与设备验证,VPN可使合法用户访问他们所

5、需的企业资源,同时还要禁止未授权用户的非法访问。这一点对于Access VPN和Extranet VPN具有尤为重要的意义。建立VPN连接的设备之间进行验证可以确保VPN隧道的安全可靠。,设备验证,SecurID,数字证书,SecKey,认证服务器,用户识别,入侵检测,网络接入控制,网络入侵检测系统需要同VPN设备进行配合,通过分析源自或送至VPN设备的信息流,避免通过VPN连接使内部网络受到攻击。 一般来讲VPN接入的用户可以访问内部网络中大部分资源,可以考虑对VPN接入用户进行分级和控制,确保内部网络的运行安全。,VPN设计原则QoS保障,构建VPN的另一重要需求是充分有效地利用有限的广域

6、网资源,为重要数据提供可靠的带宽。VPN网络中的QoS需要考虑如下问题: QoS需要在数据通过的整个路径包含的各个设备上进行部署 VPN隧道技术对原始数据进行了再次封装,QoS策略中的特征值需要进行额外映射 QoS中的流分类动作必须在数据进行VPN封装前完成,VPN 的定义和发展概况 VPN的需求和设计原则 VPN 的相关技术 几种常见的VPN,课程目标,建立VPN所需的安全技术,VPN主要采用四项技术来保证安全,这四项技术分别为 隧道技术(Tunneling) 加解密技术(Encryption & Decryption) 密钥管理技术(Key Management) 认证技术(Authent

7、ication),隧道技术,隧道技术就是利用隧道协议对隧道两端的数据进行封装的技术,隧道协议通常分别是第2层或第3层隧道协议 第3层隧道协议 IPSEC:本身不是隧道协议,但由于其提供的认证、加密功能适用于建立VPN环境,它既能提供LAN间VPN,也能提供远程访问型VPN,隧道技术,第2层隧道协议 第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。 第二层隧道协议有L2F、PPTP、L2TP等。L2F(Layer 2 Forwarding)/ PPTP(Point-to-Point Tunneling Protoco

8、l )/ L2TP(Layer 2 Tunneling Protocol) 都是远程访问VPN的协议, L2TP协议是目前IETF的标准, 是在L2F和PPTP基础上进行综合,其格式是基于L2F,信令是基于PPTP。,隧道技术,不同隧道实现技术比较,第2层隧道协议,L2F(Layer 2 Forwarding):1998年标准化的远程访问VPN的协议。它是基于ISP的由若干远程接入服务器(remote access server)提供VPN功能的协议。 PPTP(Point to Point Tunneling Protocol)也是为实现基于ISP的远程访问VPN而制订的协议。在分组和封装化

9、头标中采用了扩展GRE(Generic Routing Encapsulation:通用寻路封装)。在Windows微机中将GRE作为标准功能提供,是当前最易于使用的VPN协议。 L2TP(Layer 2 Tunneling Protocol)是远程访问型VPN今后的标准协议。它将PPTP和L2F综合,以便扩展功能。其格式基于L2F,信令(signaling)基于PPTP。,L2F,Cisco在1998年5月发表标题为“Cisco的2层发送(协议)L2F”的RFC2341。 L2F主要强调的是将物理层协议移到链路层,并允许通过Internet光缆的链路层和较高层协议的传输。物理层协议仍然保持在

10、对该ISP的拨号连接中。 L2F还解决IP写地址和记帐的问题; 初始连接:使用标准PPP。 验证:使用标准CHAP或者做某些修改。 封装:在L2F数据报中封装整个PPP或SLIP包所需要的协议。,点到点隧道协议(PPTP),PPTP协议基础: 点到点协议(PPP, Point-to-Point Protocol ), RFC1171; 口令验证协议(PAP, Password Authentication Protocol ),RFC1172; 通用路由选择封装协议(GRE, Generic Routing Encapsulation ),RFC1701; PPP挑战握手验证协议(CHAP,

11、Challenge Handshake Authentication Protocol ),RFC1994; PPTP体系结构使用三个过程: PPP连接和通信。 PPTP控制连接,它建立到Internet的PPTP服务器上的连接,并建立一个虚拟隧道。 PPTP数据隧道,在隧道中PPTP协议建立包含加密的PPP包的IP数据报,这些数据报通过PPTP隧道进行发送。,L2TP,尽管技术上是相同的,但厂商和用户都会察觉PPTP和L2F有明显的不同。PPTP受到Microsoft的关爱,它拥有世界上绝大多数的桌面电脑,而L2F受到Cisco的关注,它主要用于Internet。 尽管PPTP和L2F都使用

12、封装和加密,但它们互相不兼容。 IETF建议将PPTP和L2F的最优秀的部分组成一个工业标准,并称为第2层隧道协议(L2TP)。,L2TP,L2TP是连接型的隧道封装协议,适用于通过Internet接纳远程用户的远程访问型VPN。 特点: 接纳移动用户(指拔号上网),每次连接都进行用户认证 支持多协议(因为L2TP协议封装在PPP之外,PPP具有支持多种网络协议的功能) 组成: LAC:L2TP接入集中器(L2TP Access Concentrator),是接在公网上的用户拔号设备,通常配置在ISP接入点的接入服务器具有LAC功能 LNS:L2TP网络服务器(L2TP Network Ser

13、ver),管理隧道,通常安装在企业网内,基于服务器的认证方式-RADIUS,RADIUS(Remote Authentication Dial In User Service)由朗讯开发,1997年1月公布在RFC2058,用于AAA(Authentication、Authorization and Accounting)认证,基于客户/服务器方式,VPN 的定义和发展概况 VPN的需求和设计原则 VPN 的相关技术 几种常见的VPN,课程目标,VPN类型,按技术分类 基于第二层隧道技术的VPN IPSec VPN MPLS VPN SSL VPN 按应用分类 远程访问型 LAN间互连,层2发

14、送协议(L2F) 层2隧道协议(L2TP) 点到点隧道协议(PPTP),L2TP VPN 的设计 IPSec VPN 的设计 MPLS VPN 的设计 几种常见VPN的比较,几种常见的VPN,L2TP 连接方式选择,L2TP VPN适用于移动办公用户的VPN接入,可以提供严格的用户验证功能,确保VPN接入用户的合法性。 L2TP VPN的连接方式分为两种:PC直接发起连接和LAC设备发起连接。两种方式适用于不同企业对于VPN接入控制和管理的不同要求。,L2TP 安全性考虑,L2TP VPN本身虽然提供较为严格的接入用户的认证功能,但不提供VPN数据的加密功能,如果需要对数据进行安全加密可以同I

15、PSEC协议进行配合。,LAC,Client,LNS,HOST,Home LAN,Internet,L2TP OVER IPSEC,L2TP客户端功能,扩展了标准的L2TP功能,支持LAC客户端功能,不仅可以为PPP用户提供接入,而且也可以为其他连接方式的用户提供接入,例如以太网接入。并且可以适用动态路由协议进行路由选路,增强了可扩展性。,Client,LNS,HOST,Home LAN,Internet,L2TP TUNNEL,PUB:1.1.1.1,PUB:1.1.1.2,LAC,VT:192.168.0.1,VT:192.168.0.2,L2TP中的NAT问题,LAC,Client,LN

16、S,HOST,Home LAN,Internet,NAT,PUB:202.38.1.1,PUB:202.38.1.2,Pri:1.1.1.1,Pri:1.1.1.2,L2TP OVER IPSEC,LAC在同位于NAT之后的LNS建立连接时可能会出现问题,L2TP多实例,L2TP协议上加入多实例技术,让L2TP支持在一台设备将不同的用户划分在不同的VPN,各个VPN之内的数据可以互通,且在LNS两个不同VPN之间的数据不能互相访问,即使L2TP接入是同一个设备。,VPN 1 总部,Client,LNS,HOST,Internet,L2TP TUNNEL,Client,VPN 2总部,VPN 1,HOST,VPN 2,10.1.1.*,10.1.1.*,10.1.2.*,10.1.2.*,L2TP VPN 的设计 IPSec VPN 的设计 MPLS

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > PPT模板库 > PPT素材/模板

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号