《vpn种类(环境应用)》由会员分享,可在线阅读,更多相关《vpn种类(环境应用)(24页珍藏版)》请在金锄头文库上搜索。
1、VPNItroductionOutlinenIntroductionnVPN種類(環境應用)nVPN技術nVPN建構方式nReference2024/9/62IntroductionofVPNn定義q架構在網際網路上的企業網路n分類(以建立技術分別)q利用InternetIP技術的IPVPNq利用FrameRelay/ATM技術的FR/ATMVPNn以傳輸方式與內容區分qDataVPN、VoiceVPN、整合的VPN2024/9/63IntroductionofVPN(cont.)n現在的虛擬私有網路(VPN)指的是建構在Internet上,使用密道及加密建立一個虛擬的、安全的、方便的及擁有自
2、主權的私人數據網路n非X.25,FrameRelay或ATM等提供虛擬固接線路(PVC)服務的網路。我們也可稱它為IPVPN(以IP為主要通訊協定)。公眾的網路上透過這個虛擬的安全網路,可以用來傳輸公司或是企業內部的資料而不怕被竊取。2024/9/64IPVPN相較於傳統VPN技術的不同n其和FrameRelay與ATM所提供的固定虛擬線路(PermanentVirtualCircuit,PVC)最大的不同:qPVC所有設定權掌握在電信單位q連結的單位越多,相關的終端通訊設備成本越高q管理與設定也很繁瑣qPVC也無法立即與世界上任何一個使用Internet的單位連結n相反地,運用VPN技術可以
3、在Internet上立即擁有屬於自己的私有數據網路,所以近一代的VPN是指建立在Internet上的IPVPN。2024/9/65IPVPN相較於傳統VPN技術的優勢n網路管理簡易網路管理簡易n網路涵蓋範圍廣泛網路涵蓋範圍廣泛n網路使用成本低網路使用成本低n應用整合性更佳應用整合性更佳2024/9/66VPN種類-環境應用n(1)IntranetVPNq適用於企業的總公司及較大的分公司。n(2)ExtranetVPNq適用於諸如汽車業、零件廠商與產險業的整合服務、金融業之間的轉帳與交易、製造業與供應商的生產流程網路、代工行業(OEM)與客戶間的生產與訂單網路.等n(3)VPDN(Virtual
4、PrivateDialupNetwork)/(RemoteAccess)q適用於企業較小的據點及經常出差到各地的業務人員2024/9/67VPN種類2024/9/68VPN技術nVVirtualTunnelPPTP(software)L2TP(hardware)IPSec(hardware)nPPrivateSecurePrivacyIntegrityAuthenticitynNNetworkInternetIntranetExtranet2024/9/69VPN主要採用四項技術n穿隧技術(Tunneling);qPPTP、L2TP、IPSecn加解密技術(Encryption&Decrypt
5、ion)qSymmetric、Asymmetriccryptographyn密鑰管理技術(Keymanagement)qSKIP、IKEn使用者與設備身份認證技術(Authentication)qPAP、CHAP、X.5092024/9/610PPTP應用技術(Point-to-PointTunnelingProtocol)n由Microsoft、3COM、U.S.Robotics、Ascend、ECI等企業所聯合發展。n由於Microsoft的全力支援,在Windows的作業系統中都內建PPTP,對於撥接市場有相當大影響力。nPPTP支援Multi-Protocol因此可等說是它相當大的優點
6、如IP、IPX、NetBEUI、AppleTalk。n透過Internet來傳遞PPP以取代傳統電話連線(PSTN)長途撥接的高額成本2024/9/611PPTP運作模式nPPTPTunneling建立的方式有Client-initiated經由客戶端撥接至ISP,並和ISP,再由客戶端啟動PPTP的Session和欲建立的另一端PPTPServer建立通道。nISP-initiated客戶端和ISP的AccessServer建立PPP連線後,經由ISP的AccessServer和目的端PPTPServer建立通道,客戶端不需安裝PPTPClient完全由ISP-PPTP-enable。nLA
7、N-to-LANtunneling在PPTPServer兩端建立PPTPtunneling,如在NTServer上加裝Microsoft的RoutingandRemoteAccessService(R&RAS)。2024/9/612L2TP應用技術(Layer2TunnelingProtocol)nL2TP是經由Cisco的L2F(LayerTwoForwarding)和Microsoft的PPTP合作並在IETF的規範下發展而成。n利用PPP支援Multi-Protocol的特性,間接使L2TP支援多重通訊協定如IP、IPX、NetBUIT等。nL2TP的傳輸介面為UDP封包、與下層介面無關
8、。實質傳輸介面(PhysicalLayer)的改變,只要不影響UDP封包傳輸,並不會影響L2TP封包的運送n透過Internet來傳遞PPP以取代傳統電話連線(PSTN)長途撥接的高額成本。2024/9/613L2TP運作模式n遠端使用者先和ISP端建立普通的PPP連線。n遠端使用者透過ISP和遠端L2TPServer進行協調。n遠端使用者透過ISP和遠端L2TPServer建立自願性通道。2024/9/614IPSec應用技術(InternetProtocolSecurity)nIPsec為第三層的穿隧技術,專門為IP所設計,不但符合現有IPv4的環境,同時也是IPv6的標準,它也是IEIF
9、所制定的業界標準,目前IETF從1995年起,陸續公佈許多網路安全之相關技術標準。這些標準統稱為IPSec(IPSecurity,RFC18251829,RFC1851,RFC2085,RFC2104)。2024/9/615IPSec運作模式nESP(EncapsulationSecurityPayload)q提供認證和加密nAH(AuthenticationHeader)q只提供認證的動作,通常是靠MD5、SHA1來確認使用者的身分nISAKMP(IPSecurityAssociationKeyManagementProtocol)q使交換鑰匙的動作自動化且安全2024/9/616IPSec
10、運作模式(cont.)2024/9/617IPsec、PPTP、L2TP三者的不同nIPsec、PPTP、L2TP三者,最大的不同在於,運用IPsec的技術,使用者可以同時使用Internet與VPN的多點傳輸功能(包括Internet/Intranet/Extranet/Remote Access 等)n而PPTP及L2TP只能執行點對點VPN的功能,無法同時執行Internet的應用,使用時較不方便。2024/9/618加解密技術(Encryption&Decryption)n對稱式密碼學(Symmetriccryptography),又稱密鑰式密碼學(Secret-keycryptogr
11、aphy)n對稱式的加解密技術,加密與解密均使用同一把鑰匙。大家所熟知的DES/3DES,RC4即為對稱式的加密技術n由於對稱式密碼演算法的運算速度較非對稱式密碼演算法快(約差1001000倍),所以對稱式的加解密技術都使用在實際資訊傳遞加密上。n現行之VPN設備一般會支援採用標準DES或3DES做為加解密所用的演算法。n對稱式加密技術的缺點是,如何安全傳遞密錀到另一方。以及當加密傳輸的對象增加時,不同對象使用不同密錀管理上的問題2024/9/619加解密技術(Encryption&Decryption)n非對稱式密碼學(Asymmetriccryptography)n又稱公用鑰匙密碼學(Pu
12、blic-keycryptography)n非對稱式的加解密技術,也就是說加密與解密使用不同的鑰匙。非對稱式密碼學解決了密錀傳遞上的問題,n事實上,使用者可將他的公用密錀(PublicKey),公開式的發出給其他使用者知道。讓其他的使用者利用其公用密錀,傳遞加密資料給使用者。在密錀的管理上,使用者只有維護一對公用密錀及私有密錀n非對稱式密碼演算法由於在運算速度較慢,所以多被採用在加密傳遞對稱式密錀,而非實際的資料加密上。2024/9/620密鑰管理技術(Keymanagement)nSKIP(SimpleKeymanagementforIP),q由SUN所發展的技術,主要是利用Diffie-H
13、ellman的演算法則,在網路上傳輸密鑰的一種技術。qSKIP提供四種獨立網路安全服務n1.存取控制:保護資料避免非授權使用n2.加密及解密:確保機密性n3.確認:確保資料完整性n4.金鑰及認證管理:安全政策的有效管理nISAKMP/Oakley(又稱為IKE)qISAKMP/Oakley亦是利用Diffie-Hellman的演算法則,在網路上傳輸密鑰的一種技術。Oakley定義如何分辨及確認密鑰,ISAKMP定義分配密鑰的方法。將來會整合在IPv6中,成為IPv6的標準之一。2024/9/621使用者與設備身份認證技術(Authentication)nPre-SharedKey:較脆弱nX.509數位憑證:較安全q目前數位憑證標準格式以ITU-T(CCITT)所定義的X.509國際標準最為通用2024/9/622VPN建構方式n以現有Router昇級為VPNRoutern在伺服器與FireWall中加裝VPN軟體n專屬VPN設備2024/9/623Referencen虛擬私人網路 第2版OREILLY2024/9/624
