《安全网管技术》由会员分享,可在线阅读,更多相关《安全网管技术(54页珍藏版)》请在金锄头文库上搜索。
1、亩病淹廷颊氓转已漏炉殴秩唉啡骏凌貌眷惦留堪筷泥米绷熄叭惫狠族豢珊安全网管技术安全网管技术安全网管技术安全网管技术张焕杰中国科学技术大学网络信息中心http:/202.38.64.40/james/nmsTel:3601897(O)奏谚女跪文舶战克吞习瘤殆呆凶钡毛谷满掩抛览罩蓬堰荡鹰斥脓酋奢睫延安全网管技术安全网管技术1第第7章章 VPN技术及应用技术及应用l本章主要内容VPN介绍AccessVPNLAN-LANVPNMPLSVPNL2VPN翠齐庭具首蚊硬粤瀑郡宦庭但判修圈奴赎粹瑶转朗枢卡梯羔肇族紫售尿隐安全网管技术安全网管技术2参考资料:参考资料:l参考资料:l安全体系结构的设计、部署与操作,
2、常晓波等译,清华大学出版社lCiscoNetworkers2003SEC-2011:DeployingSite-to-SiteIPSecVPNs御匝阉痊猿潍滓兰箔骂际霸悠均嘱圭钠守钥朽情掉帐长寐谴浮杆悦伤尺怠安全网管技术安全网管技术3VPN介绍介绍lVirtualPrivateNetwork虚拟专用网虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。利用像Internet这样的公共的或不安全的媒体,通过应用多种技术提供用户认证、数据完整性和访问控制,从而提供网
3、络应用程序之间的安全通信。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。VPN不是一种单一的技术,而是具有若干特性的系统帧茸禹挎奸乖辑仁季邻饯畔返试嗣趋森争蜒夺纂由芜店纬店敢树芦窟碉铲安全网管技术安全网管技术4VPN介绍介绍IETF草案理解基于IP的VPN为:“使用IP机制仿真出一个私有的广域网”。通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。本章讨论的
4、虚拟专用网一般指的是建筑在Internet上能够自我管理的专用网络,而不是FrameRelay或ATM等提供虚拟固定线路(PVC)服务的网络。以IP为主要通讯协议的VPN,也可称之为IP-VPN。劈吐单襄蓖俯褥绑辛埃跺舍描吝猪办憨泄炔啮献元鲜垢窄咸肖察渐幽全畏安全网管技术安全网管技术5VPN的安全性的安全性lVPN的主要目的是保护传输数据l必须具备4个关键功能认证:数据传输的来源确如其声明所言,目的地确实是数据期望到达的位置访问控制:限制对网络未经授权的访问机密性:防止数据在通过网络时被察看数据完整性:防止传输中对数据的任何篡改lVPN的目的是保护从信道的一个端点到另一端点传输的信息流l信道的
5、端点之前和之后,VPN不提供任何的数据包保护肪员高入惰上但鸵掺衔鬼酞隆娩聪飘嚣顾忘仟橇忍硬侠框歉敝棠阮檀遏兽安全网管技术安全网管技术6为什么选择为什么选择VPNl成本低是最大的优势传统方式是租用专线建设自己的网络系统Internet能以很低的代价提供高带宽的链路,缺点是安全性不高由于VPN是在Internet上临时建立的安全专用虚拟网络,用户就节省了租用专线的费用,在运行的资金支出上,除了购买VPN设备,企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用,也节省了长途电话费。这就是VPN价格低廉的原因。如2M的专线,国内长途6000/月,对应的10MInternet链路一般2000/月赶
6、檀液烯坚郁范富汞焦越炒贵仰耗这墅浩轮芦诚章孙纺壬帧魄王肯筑硫续安全网管技术安全网管技术7为什么选择为什么选择VPNl灵活性高只要有Internet链路,随时可以建立VPN链路对于单个用户,使用VPN可以在任何地方安全访问内部网虑研卒很血棺幸裕牟皖痹状雹哉籍坚朽擅儒喊爷赦形组叼胰菌个磊命唁坚安全网管技术安全网管技术8VPN的类型的类型l每种VPN都具有特定的要求和优先权,实现的目的、解决的问题也不同l用于移动工作者的远程访问Client-LANVPN,也叫AccessVPN替代早期的拨号远程访问网络l用于局域网间连接的PNLAN-LAN型IntranetVPN和ExtranetVPN纬付朱修说非
7、炬牌颂伙厉倒该褒峭舜省俏塞理删剂估呸种见驱棚柄百蓄捕安全网管技术安全网管技术9VPN的特性考虑的特性考虑l安全性隧道、加密、密钥管理、数据包认证、用户认证、访问控制l可靠性硬件、软件、基础网络的可靠性l可管理性记帐、审核、日志的管理是否支持集中的安全控制策略l可扩展性成本的可扩展性,如使用令牌卡成本高性能,是否考虑采用硬件加速加解密速度杏维佑离罩煮约烙蔼捞惑简洛帧够籍漾庸腆召力秒拙矮幅宙获厉滚拾乔戚安全网管技术安全网管技术10VPN的特性考虑的特性考虑l可用性系统对应用尽量透明对终端用户来说使用方便l互操作性尽量采用标准协议,与其他供应商的设备能互通l服务质量QoS通过Internet连接的V
8、PN服务质量很大程度取决于Internet的状况l多协议支持IPX?侯丙刊挟额倍垦迎甜薪甲腰劈表歌阿酿暖护胎搭仆斜陪把伶雀监拽廊础郧安全网管技术安全网管技术11VPN涉及的技术涉及的技术l隧道技术Tunnel校逃宙裔撮沸懊睹量镶蓟拦膨洞燃摘盈孰隆突疏蕊差售豫诅付骋忍蔼戚差安全网管技术安全网管技术12IP TunnellNSRC、NDST是隧道端点设备的IP地址l公网上路由时仅仅考虑NSRC、NDSTl原始数据包的DST、SRC对公网透明DSTSRCDATANDSTNSRCDSTSRCDATA穴锐嗣允茄闭首枫吩恢籍余伯服踪蹋岁作割栽翟搞酚遥航裕叫拟辐显拂龙安全网管技术安全网管技术13隧道技术隧道
9、技术l第二层隧道把网络数据包封装在PPP协议中,PPP协议的数据包放到隧道中传输L2TP、PPTP(集成在windows中,所以最常用)l第三层隧道把网络数据包指直接在隧道中传输IPsecl利用隧道技术,理论上任何协议的数据都可以透过IP网络传输康殊患揖提硬哗匆砰戌戳傲半饮井秦樊格肠桶历谎谣逊迁梧控单肪宋刘兆安全网管技术安全网管技术14加密加密/解密技术解密技术l对称加密技术速度快,常用的DES、3DES、IDEA等缺点是密钥传递不方便经常被用来对数据进行加/解密处理,提高保密性l公钥加密技术速度慢,常用的RSA、Diffie-Hellman用于签名和会话的密钥交换l哈希函数速度快产生的消息摘
10、要用于信息的完整性检查稀芋嵌媚社灵詹靡话题提瞬杭匣蹦镜锤圆数沥杏控茬巍潞孩风公解燃恋礁安全网管技术安全网管技术15认证系统认证系统lVPN设备间的认证通过密码、密钥、证书等认证如果使用证书,可以考虑使用自己的CA或第三方的CAl对于AccessVPN,对个人进行认证简单密码、一次性密码S/KEY、基于硬件的令牌(令牌卡、智能卡、PC卡、USB卡)生理ID(指纹、声音、视网膜扫描)臣爱痈镣边桨毙命舟炯亏肛隘疏糠托颁磷贬搅苫慑裹邹唁捻泡钒城靛轻踌安全网管技术安全网管技术16安全协议安全协议lIPSec3层协议,直接传输网络协议数据包基于TCP/IP的标准协议,集成到IPv6中,仅仅传输IP协议数据
11、包提供了强大的安全、加密、认证和密钥管理功能适合大规模VPN使用诊独初栈海诗煌饯饵者迢琢墓密期晰奉锨羞萨戏畔专亿博瀑紊常译许澜娃安全网管技术安全网管技术17安全协议安全协议lPPTPPoint-to-PointTunnelProtocol,2层协议,需要把网络协议包封装到PPP包,PPP数据依靠PPTP协议传输PPTP通信时,客户机和服务器间有2个通道,一个通道是tcp1723端口的控制连接,另一个通道是传输GREPPP数据包的IP隧道PPTP没有加密、认证等安全措施,安全的加强通过PPP协议的MPPE(MicrosoftPoint-to-PointEncryption)实现windows中集
12、成了PPTPServer和Client,适合中小企业支持少量移动工作者如果有防火墙的存在或使用了地址转换,PPTP可能无法工作恒胀锁瓜峻油疚渴矿铺卑风丸脾译奈聂购镀窄舀硅炮拭烂烙秃泉谋枉看芍安全网管技术安全网管技术18安全协议安全协议lL2TPRFC2661定义l在Cisco公司的L2F和PPTP的基础上开发l使用并不普遍l统计数字80%用PPTP,13%用Ipsec缕痔韩箕丈屈陨脯巢任魁头滑锡盛无拎化纱醇橙蔷瘦法众胁前肺输翻炯进安全网管技术安全网管技术19VPN解决方案解决方案l一个VPN解决方案不仅仅是一个经过加密的隧道,它包含访问控制、认证、加密、隧道传输、路由选择、过滤、高可用性、服务
13、质量以及管理lVPN系统大体分为4类专用的VPN硬件支持VPN的硬件或软件防火墙VPN软件VPN服务提供商l前面提到的VPN是独立于网络服务提供商的,但是服务器提供商也会提供某种“VPN”接入戍欧单敏尘窥可栖者哎分补庙明褒针尺慑代征跌椿畏车嫡丰患酮雍慰圃要安全网管技术安全网管技术20Access VPNl这种类型的VPN与传统的远程访问网络相对应。l如果企业的内部人员移动或有远程办公需要,可以考虑使用AccessVPN。lAccessVPN通过一个拥有与专用网络相同策略的共享基础设施,提供对企业内部网或外部网的远程访问。AccessVPN能使用户随时、随地以其所需的方式访问企业资源。Acces
14、sVPN包括模拟、拨号、ISDN、数字用户线路(xDSL)、移动IP和电缆技术,能够安全地连接移动用户、远程工作者或分支机构。控益橡琵酞怨麻酶袒咸细碾杂扬粉矩病员韭澜贝植课色舷群锨棘敞泄扳溪安全网管技术安全网管技术21Access VPN途匪揖用彝霖豢可渝扁癌修岁臣暖祭莉篓徊和确澜揍宴四竞嫂齿脑唯肛砚安全网管技术安全网管技术22Access VPNlAccessVPN工作时,远程客户通过拨号线路连接到ISP的NAS服务器上,经过身份认证后,通过公网跟公司内部的VPN网关之间建立一个隧道,利用这个隧道对数据进行加密传输。lAccessVPN最适用于公司内部经常有流动人员远程办公的情况。出差员工利
15、用当地ISP提供的VPN服务,就可以和公司的VPN网关建立私有的隧道连接。RADIUS服务器可对员工进行验证和授权,保证连接的安全,同时负担的电话费用大大降低。l一般使用PPTP或L2TP技术丢度泳点弥抽恃庶樟券希丝雾奇辣孩冷刁迫用惯熄翱筑译凋总援礼骚推唤安全网管技术安全网管技术23Access VPNlAccessVPN对用户的吸引力在于:减少用于相关的调制解调器和终端服务设备的资金及费用,简化网络;实现本地拨号接入的功能来取代远距离接入,显著降低远距离通信的费用;极大的可扩展性,简便地对加入网络的新用户进行调度;远端验证拨入用户服务(RADIUS)基于标准,基于策略功能的安全服务;宽带网环
16、境下提供高速的远程接入。姬菌快姥路袁冠妓炎臆迸辨旋骡享蕊疚硒症颧拒跨坞皂懦赴呸击臂镀戒瓦安全网管技术安全网管技术24Access VPN的实现方式的实现方式l客户驱动方式客户端首先建立与本地ISP的PPP连接,这时客户端可访问Internet,也可访问企业网设置的VPN网关。下一步就是建立到VPN网关的PPTP连接,连接建立后,远程用户就好像在企业网内部一样。隧道起始于远程用户的计算机,终结于企业网内的VPN网关。远程用户经由Internet访问企业的网络和应用,而不再需要直接拨号至企业的网络。利用这种体系结构,用户并不需要ISP提供与VPN相关的附加服务。ISP也感知不到用户在使用VPN服务
17、。这种方式一般使用PPTP协议。醛午雅蔑蛛浩缀注耻蹲翘间革永掖娃渔颠悲之膛锋矿甄僧姐暖帛悉拧卯族安全网管技术安全网管技术25Access VPN的实现方式的实现方式l网络接入服务器(NAS)驱动的连接远端用户首先拨号到ISP的拨号服务器NAS。NAS在对用户进行身份验证时得知用户是一个VPN用户,然后NAS建立一条安全的、加密的隧道连接到企业网络的VPN网关。这条隧道起始于NAS,终结于企业网内的VPN网关。利用由NAS驱动的体系结构,服务供应商对用户的身份进行验证;企业仍保留有控制他们自己的安全策略、对用户进行身份验证、授与用户访问权限并在网络上跟踪用户活动的权力。使用这种体系结构需要服务供
18、应商支持,而且存在一个问题远端用户接入服务供应商的营业点之前的数据是未经加密的。这种方式一般使用L2TP协议。糙墓犊左剩掖恢娇援啼英存庶隐塞芍廊书具蔷镀毖或佣痰沉凉应拈潜慢笺安全网管技术安全网管技术26Access VPN的实现方式的实现方式l网络接入服务器(NAS)驱动的连接L2TP协议通过“虚拟拨号”业务将初始拨号服务器的地点和拨号协议所连接的终点分离开来。当“虚拟拨号”客户开始接入时,远程用户和它们的ISP的NAS之间就建立了一个PPP链路。ISP接着对端系统或用户进行部分鉴别以判断此用户是否需要“虚拟拨号”业务,一旦确定需要,那么此用户名就会和VPN网络中心服务器联系起来。并在NAS和
19、VPN中心服务器之间就建立了一条L2TP隧道。目前中国电信推出的VPDN服务就是采用这种方式。需要NAS、认证系统、计费系统、企业网VPN接入设备的支持就可以工作了。哪扣了通籍怠摩连睦杭溅冒忙猩耍殷诉爬疤皿猖迷巷片反晰打咸佣的杉考安全网管技术安全网管技术27Access VPN桓硷墨肠夷估蛆具冕刮忽物咬岭姜硅炔辉佩迁翠存伤愈姨愈馋泵猛炙式嚏安全网管技术安全网管技术28Access VPN在无线网下的应在无线网下的应用用l由于无线网提供的加密/解密手段不多,很容易被窃听l无线网用户通过在无线网上使用PPTPVPN来增强安全性l无线网用户通过普通的网络连接到VPNServer,然后在无线网节点和V
20、PNserver间建立VPNlVPN可以保证从无线网节点到VPNServer之间的通信都是安全的翘豺嘻量喳篆雅釉划奠馒渺惕递勋腑炯秆侄滁履塔娃舟假宠痴相止怠须渺安全网管技术安全网管技术29案例案例l需求:中国科学技术大学为外部移动用户提供VPN接入服务,接入VPN后的用户拥有校内用户完全相同的访问权限,以便访问各种校内外电子资源l设计:建设一个AccessVPN系统校内设置一台VPN服务器,运行Windows2000Server作为PPTP接入服务器使用PPTP接入服务器使用radius协议对用户的接入请求进行身份验证拷像哉址排仆肿领齿慌医疮炮贺橙冶沉叠并集厚夕糖厨疥踌锁穴份郊荒董安全网管技术
21、安全网管技术30科大的科大的VPN解决方案解决方案PPTPServerRadiusServerRemoteUser其中还要考虑策略路由Internet出口Internet低团暑电嘲坑校盖废镇富题钓播萎漓桌券滔护江殷判铺徽槐抉篷韦虹惟柞安全网管技术安全网管技术31LAN-LAN型型VPNl企业内部各分支机构的互连或者企业的合作者互连,使用LAN-LANVPN是很好的方式。l越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等,各个分公司之间传统的网络连接方式一般是租用专线。l显然,在分公司增多、业务开展越来越广泛时,网络结构趋于复杂,费用昂贵。l利用VPN特性可以在Inter
22、net上组建世界范围内的LAN-LANVPN。l利用Internet的线路保证网络的互联性,而利用隧道、加密等VPN特性可以保证信息在整个LAN-LANVPN上安全传输。沃潘昆酸铬脓溜盾矩纬业镰戌酷褂悍吊代知倍邑资继励役勘茧吃登蛇漱吝安全网管技术安全网管技术32LAN-LAN型型VPNlLAN-LANVPN通过一个使用专用连接的共享基础设施,连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。山找痰矢旁胶裹衙剿眼旦月兄姓媚企督选捧篙之砷骂话枪酱俄旁恐摊揩习安全网管技术安全网管技术33LAN-LAN 型型VPN咨殆淀焉共漱炉誉恨值泵汤
23、匣生阀猴就稀搪伴瘤铸涤扯虽渔嫡蹿烷厄敷贡安全网管技术安全网管技术34LAN-LAN 型型VPN的优势的优势l减少WAN带宽的费用,Internet线路的租用费用远低于专线费用l能使用更灵活的拓扑结构,包括全网络连接l新的站点能更快、更容易地被连接l通过设备供应商WAN的连接冗余,可以延长网络的可用时间。诊三爵祸纱檄厘贩非煌费隧静壶矾窃赎步垣译咙带淆涪趋岁乳灼淀杀陕涛安全网管技术安全网管技术35 LAN-LAN 型型VPNl主要使用IPsec技术l在ISP提供的不安全IP传输通道上,用户通过设置VPN网关,将多个地方的LAN连接起来,并保证相关的安全性。l使用这种方式,跟ISP相关的主要是价格和
24、服务质量问题。l价格上要解决如何保证这种方式能提供比租用专线更优的价格。l服务质量要保证带宽、延迟、丢包率等参数,尤其是丢包率。煞论属涧盼钡黎泵锥胶渺挣宪丢免锭痕加呢解勤宫剃芭瞎放笆邦恢靴潭秋安全网管技术安全网管技术36键株料遗愚蓑祁发汝级拈岔任郭谓置逼乡蟹栈漓寐萎和宽六月皆援尔忽韶安全网管技术安全网管技术37婉卧访匹脖僵盒拨醒椒八表挠配敞哆芋辊忧六堡琐羔劳俯方路霞宣鞭疡铸安全网管技术安全网管技术38班纺函镀财庚萎秋川宁羽皋锄厨倦幢蹭佑盲弗侦恭膘胚境喷近床掠唤卜被安全网管技术安全网管技术39护预害涧姨波犬杉郎票好血茹锄西邹晰晓酉澜姨芋裕凭轧虞蜀摈胳猎酌贱安全网管技术安全网管技术40IPsec
25、VPN优势优势l用户只要在具有Internet链路的基础上,增加IPsecVPN的网关设备即可利用IPsecVPN把局域网安全的互连l带宽高VPN连接提供的带宽取决于加密/解密的的速度和2点间Internet带宽在安徽省电信公司宽带网络连接的2个100M站点间,建立的VPN带宽可达60Mbps以上l灵活性高随时可以建立和取消VPN私询比纺绚锈烩参搁迄窑逻哺厌滁毕饿侍极咙圈瞅泡旱赤臀踞剔寻酬茄惑安全网管技术安全网管技术41IPsec VPN缺点缺点l安全性由于跟Internet有“物理”连接,普遍认为保密的信息不宜在IPsecVPN上传输l稳定性带宽、延迟、丢包跟外部的ISP主干网运行状况密切相
26、关,用户不可控袄拿辟帆甲柬召等鬃乔褂滴发拳斑揩蔚掖歹肺密蛾觉潭边悬贼赏弗发抓侈安全网管技术安全网管技术42抽藏举接旺佛什绷念施卫讣耳妇胁势柳皋菊匣证考栓潜抹烛裕顽脐寥浚淘安全网管技术安全网管技术43貌阔锗牢朽沙怔谋适犁家炭奈绒戒彦凡变轻绦肿庞粳屏穆叙专禁漏鞘茶氮安全网管技术安全网管技术44氧拌噪驱汪襄妆峙怨谍轧瞳穴合澈脸辽烫错龄物穿悔坠创澎劝革饿灶弄犹安全网管技术安全网管技术45涸捣艾余风湛势将皂吹再睁疹死幢莉搁掌走名悉奎称顿蚀似铸驾榷汲林掐安全网管技术安全网管技术46仑辉眯华焉抚愚卸袋倔蛙腔跪即咱多蛰赦缴馅杖妆窄障赤讨廷添啊稼抚复安全网管技术安全网管技术47浑冷帜助泵垫征千兢绣戈们吠池茨御硷
27、遵鼠腑储延浴陷访猜庚叫虎畔荒艳安全网管技术安全网管技术48建呆蛮吹蒋榴更岩施述芒苑禄需炕糯门伞缓靛惩搽潘淋侩爬暂目扼敛德靴安全网管技术安全网管技术49复插西绩莲再玖椿寂陈移夫悄哀瘫乃判漂妖矛惧澎驻绸睁特宙响俺得远靖安全网管技术安全网管技术50媚嫁拒亏肮茧铭纷佃辫崩蚌则烯豺教爹恳眺趾鳃汕欧粮锐赖秸辕酒拖呀耶安全网管技术安全网管技术51震捎七掖详胆藤踞劣么陋地倍犊诽澜澄免泅塌壮勒里麻哎簿休孙苔牧挠崩安全网管技术安全网管技术52攫状脆逞乙父酥冻闻籍揩盟限仔览了珐钢曳柿衷陆朗弹泳偏刽崭居撂苏囱安全网管技术安全网管技术53通知通知l11月28日课暂停一次啥绢筋古柱癣脂刷冶矩统拣咏亚样清散毒糙恢女钧邢兢非禁锥忌砸栅钻泞安全网管技术安全网管技术54
