新计算机网络安全教程 教学课件 978 7 302 26962 5 第11章.ppt

四、VPN 按VPN的应用平台分类，可分为软件平台VPN、专用硬件平台VPN，以及辅助硬件平台VPN。 ●软件平台VPN用于对数据连接速率要求不高，对性能和安全性需求不强时。可以利用一些软件公司所提供的完全基于软件的VPN产品来实现简单的VPN功能。 ●使用专用硬件平台的VPN设备可以满足企业和个人用户对提高数据安全及通信性能的需求，尤其是从通信性能的角度来看，指定的硬件平台可以完成数据加密等对CPU处理能力需求较高的功能。提供这些平台的硬件厂商比较多，如Nortel、Cisco等。 ●辅助硬件平台VPN介于软件平台和专用硬件平台之间，辅助硬件平台的VPN主要是指以现有网络设备为基础，再增添适当的VPN软件以实现VPN的功能。 3、VPN的分类 四、VPN 按构建VPN的隧道协议，可将VPN分为二层VPN、三层VPN。 ●VPN的隧道协议可分为第二层隧道协议、第三层隧道协议。第二层隧道协议最为典型的有PPTP、L2F、L2TP等，第三层隧道协议有GRE、IPSec等。 ●第二层隧协议道和第三层隧道协议的本质区别在于，在隧道里传输的用户数据包是被封装在哪一层的数据包中。第二层隧道协议和第三层隧道协议一般来说分别使用，但合理的运用两层协议，将具有更好的安全性。 因实际使用中，需要通过客户端与服务器端的交互实现认证与隧道建立，故基于二层、三层的VPN，都需要安装专门的客户端系统（硬件或软件），完成VPN相关的工作。 3、VPN的分类 四、VPN 根据服务类型，VPN业务按用户需求分为三种：Intranet VPN、Access VPN与Extranet VPN。 ●Intranet VPN（内部网VPN）。即企业的总部与分支机构间通过公网构筑的虚拟网。这种类型的连接带来的风险最小，因为公司通常认为他们的分支机构是可信的，并将它作为公司网络的扩展。内部网VPN的安全性取决于两个VPN服务器之间加密和验证手段上。Intranet VPN结构图如下图。 3、VPN的分类 四、VPN 根据服务类型，VPN业务按用户需求分为三种：Intranet VPN、Access VPN与Extranet VPN。 ●Access VPN（远程访问VPN），又称为拨号VPN(即VPDN)，是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的VPN。典型的远程访问VPN是用户通过本地的Internet服务提供商（Internet Service Provider，ISP）登录到Internte上，并在现在的办公室和公司内部网之间建立一条加密信道。Access VPN结构如下图。 3、VPN的分类 * 计算机网络安全教程 在线教务辅导网： 教材其余课件及动画素材请查阅在线教务辅导网 QQ:349134187 或者直接输入下面地址： 重点内容： 链路加密与端到端加密 防火墙功能及分类 入侵检测习题模型、分类及部署 VPN类型、工作原理 第11章 网络安全技术 一、网络数据加密 链路加密可用于任何类型的数据通信链路。因为链路加密须要对通过这条链路的所有数据进行加密，通常在物理层或数据链路层实施加密机制。链路加密方式如下图所示。 链路加密的工作原理是，数据报P（明文）经发送端的加密设备处理后（加密动作为E，使用密钥K1）变成C1（密文），发送到链路l上传输，到达中间节点1。在中间节点1内，首先由解密设备将C1进行解密操作（解密动作为D，密钥使用K1），恢复为P，再进行相关处理。在发送到链路2之前，再由加密设备对P进行加密（使用密钥K2）。在中间节点2和接收端也采取类似的处理过程。 1、链路加密 一、网络数据加密 链路加密的优点： 对用户透明，能提供流量保密性，密钥管理简单，提供主机鉴别，加密和解密都是在线进行的。 链路加密的缺点： 数据仅在传输线路上是加密的，在发送主机和中问节点上都是暴露的明文形式，容易受到攻击。 1、链路加密 一、网络数据加密 端到端加密是指数据在发送端被加密后，通过网络传输，到达接收端后才被解密。端到端加密方式如下图所示。 在端到端加密方式中，数据在发送端被加密后，一直保持加密状态在网络中传输。 这样做有两个好处，一是避免了每段链路的加密解密开销，二是不用担心数据在中间节点被暴露。 2、端到端加密 一、网络数据加密 端到端加密方式中，加密机制可放置在不同的位置，如应用层、网络层或数据链路层.端到端加密方式通常采用软件来实现。端到端加密方式的主要优点是，在发送端和中间节点上数，据都是加密的，安全性好。这种方式提供了更灵活的保护