VPN基础知识。.pptVIP

Vpn VPN远程服务 VPN概念 ??? VPN即虚拟专用网(Virtal Private Network),是一条穿过混乱的公用网络的安全稳定的隧道。通过对网络数据的封包和加密传输，在一个公用网络（通常是因特网）建立一个临时的、安全的连接，从而实现在公网上传输私有数据、达到私有网络的安全级别。 VPN是企业网在因特网等公共网络上的延伸，VPN通过一个私有的通道来创建一个安全的私有连接，将远程用户、公司分支机构、公司的业务伙伴等跟企业网连接起来，形成一个扩展的公司企业网，虽然VPN通讯建立在公共互联网络的基础上，但是用户在使用VPN时感觉如同在使用专用网络进行通讯，所以得名虚拟专用网络。 VPN远程服务 VPN远程服务 VPN的隧道技术 所谓隧道，实际上就是一种数据封装技术，将一种协议封装在另一个协议中传输，从而保持被封装协议的安全性。为了透明传输网络层不同协议的数据包，可以采取两种办法： A）把网络层协议(如IP，IPX等)封装到数据链路层的点对点协议PPP数据帧里，在把PPP数据帧封装到隧道协议里，这种封装方法封装的是数据链路层的数据包，称为“第二层隧道”，第二层隧道协议里以Microsoft公司、3COM公司在PPP基础上开发的点对点隧道协议PPTP比较典型。 B）把网络层协议(如IP，IPX等)直接封装到隧道协议中，这种封装方法封装的是网络层协议的数据包，称为“第三层隧道”，第三层隧道协议里以Microsoft公司开发的IP层安全协议IPSec应用最为广泛，是事实上网络层安全的业界标准，同时符合IPV4和IPV6环境。 VPN远程服务 VPN远程服务 VPN远程服务 VPN远程服务 IPSec通过使用两种通信安全协议：身份认证报头AH、载荷安全封装ESP实现安全性、通过使用因特网安全关联和密钥管理协议IKE提供自动建立安全关联和管理密钥的功能。 AH协议定义了认证的应用方法，提供数据源认证、完整性保证和防重放保护服务。但AH不提供任何保密性服务。 ESP协议定义了加密和可选认证的应用方法，实际上ESP提供和AH类似的服务，但是增加了两个额外的服务：数据保密和有限的数据流保密服务。 在实际进行IP通信时，可以根据实际安全需求同时使用这两种协议或选择使用其中的一种。 下表给出了AH协议和ESP协议所提供的服务。 VPN远程服务 VPN远程服务 AH协议为IP通信提供数据源认证、数据完整性和反重播保证，它能保护通信免受篡改，但不能防止窃听，适合用于传输非机密数据。AH的工作原理是在每一个数据包上添加一个身份验证报头。此报头包含一个带密钥的hash散列，可以将其当作数字签名，此hash散列对整个数据包中的数据进行计算，因此对数据的任何更改将致使散列值无效--这样就提供了完整性保护。 VPN远程服务 AH的使用模式有两种：传输模式和隧道模式 传输模式：传输模式用于两台主机或者双方网关支持IPsec协议的端－端的通信。在这种情况下是把AH插到IP数据报的报头后面。 VPN远程服务 VPN远程服务 隧道模式：该模式要求具有安全关联的双方具有支持IPsec协议的网关，同时网关为IPsec封装的数据添加一个新的IP头 VPN远程服务 VPN远程服务 ESP提供和AH类似的服务，但是增加了两个额外的服务：数据保密和有限数据流保密服务。保密服务由通过使用密码算法加密IP数据报的相关部分来实现。 ESP中用来加密数据报的密码算法都毫无例外地使用了对称密钥体制。公钥密码算法采用计算量非常大的大整数模指数运算，而对称密码算法主要使用初级操作(异或、逐位与等)，无论以软件还是硬件方式执行都非常有效，ESP的缺省算法是56比特的DES。该加密算法必须被实施，以保证IPSec设备间的互操作性。 VPN远程服务 ESP的使用模式有两种：传输模式和隧道模式 传输模式：传输模式用于两台主机或者双方网关支持IPsec协议的端－端的通信。在这种情况下是把ESP插到IP数据报的报头后面，而ESP报尾和认证部分放在数据的后面。 VPN远程服务 VPN远程服务 隧道模式：该模式要求具有安全关联的双方具有支持IPsec协议的网关，同时网关为IPsec封装的数据添加一个新的IP头 VPN远程服务 VPN远程服务 安全联盟(SA) SA是构成IPSec的基础，它提供给AH和ESP协议对承载的IP数据流提供安全服务所需要的算法、密钥等参数。它由以下三元组唯一确定的： 1.安全参数索引(SPI)：确定接受系统对收到的数据包选择在哪个SA下进行处理，SPI仅对本地有意义。 2.目的IP地址(Destination IP)：支持IPSec协议的终点 3.安全协