信息安全概论 徐茂智 邹维 信息安全概论第18讲(下)新.ppt

第一部分 VPN介绍 VPN概述１－需求 信息数字化、网络化应用的发展，内部局域网Intranet依托Internet进行通信，而且： 1、出差人员需要随时随地访问单位的Intranet获得信息。 2、分布在各地的下属分支机构需要与总部的Intranet连接，互通信息。 3、合作伙伴、产品供应商等需要与企业的Intranet连接，互通信息。 VPN概述２－解决思路 早期 通过租用专线、建立拨号服务等方式解决上述需求，费用昂贵，而且扩展性不好，不能很好地满足机构规模扩大等的需要。 现在 使用的VPN（Virtual Private Network，虚拟专用网），它是指通过在一个公用网络（如Internet等）中建立一条安全、专用的虚拟通道，连接异地的两个网络，构成逻辑上的虚拟子网。通过VPN从异地连接到机构的Intranet，就像在本地Intranet上一样。 VPN概述３－含义 V（Virtual），是相对于传统的物理专线而言，VPN是通过公用网络建立一个逻辑上的、虚拟的专线，实现物理专线所具有的功效。 P（Private），顾名思义，是指私有专用的特性，一方面是只有经过授权的用户才能够建立或使用VPN通道；另一方面是通道内的数据进行了加密，不会被第三者获取利用。 N（Network），表明这是一种组网技术，也就是说为了应用VPN，需要有相应的设备、软件来支撑。 VPN因其安全可靠、容易部署、价格低廉等优点，已经被越来越广泛地应用： VPN概述４－价值 优点： 安全可靠 容易部署 价格低廉 应用： 已经被越来越广泛地应用 VPN概述４－优点细述 1、安全可靠 VPN对通信数据进行了加密认证，有效地保证了数据通过公用网络传输时的安全性，保证数据不会被未授权的人员篡改。 2、易于部署 VPN只是在节点部署VPN设备，然后通过公用网络建立起犹如置身于内部网络的安全连接。如果要与新的网络建立VPN通信，只需增加VPN设备，改变相关配置即可。 与专线连接相比较，特别是在需要安全连接的网络越来越多时，VPN的实施就要简单很多，费用也可以节约很多。 3、成本低廉 如果通过专线进行网络间的安全连接，租金昂贵。而VPN通过公共网络建立安全连接，只需一次性投入VPN设备，价格也比较便宜，大大节约了通信成本。 VPN工作原理１－关键技术 VPN是通过公用网络来传输企业内部数据，因此需要确保传输的数据不会被窃取、篡改，其安全性的保证主要通过 密码技术 身份鉴别技术 隧道技术 密钥管理技术 TCP/IP协议 VPN工作原理２－隧道技术 VPN工作原理２－隧道技术 所谓隧道，类似于点到点连接技术，在源节点对数据进行加密封装，然后通过在一个公用网络（如Internet）中建立一条数据通道——隧道，将数据传送到目标节点，目标节点对数据包进行反解，得到原始数据包。 VPN工作原理３－隧道分类 隧道类型： 链路层进行隧道处理的第二层隧道协议 把需要传输的协议包封装到PPP中，再把新生成的PPP包封装到隧道协议包中，然后通过第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等，其中L2TP是目前的IETF标准。 网络层进行隧道处理的第三层隧道协议 把需要传输的协议包直接封装到隧道协议包中，新生成的数据包通过第三层协议进行传输。第三层隧道协议有IPSec。 VPN工作原理４－隧道分类 隧道类型： 链路层进行隧道处理的第二层隧道协议 把需要传输的协议包封装到PPP中，再把新生成的PPP包封装到隧道协议包中，然后通过第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等，其中L2TP是目前的IETF标准。 网络层进行隧道处理的第三层隧道协议 把需要传输的协议包直接封装到隧道协议包中，新生成的数据包通过第三层协议进行传输。第三层隧道协议有IPSec。 第二部分 IPsec VPN IPSec VPN 介绍： IPSec（IP Security）是一个开放式的网络安全标准，由 IETF定义 它在TCP/IP协议栈中间位置的IP层实现 高层应用程序可以透明地使用IP层提供的安全服务和密钥管理安全机制 应用密码技术，提供传送、接收端的身份鉴别、完整性、访问控制、机密性服务。 特点： 对IP层级的所有通信进行加密与鉴别 有比较好的兼容性，比高层的安全协议更灵活，比底层协议更能够适应通信介质的多样性 透明性好，IP层以上的所有应用都不需要经过修改，即可获得安全保护 容易实现VPN IPSec 体系结构 2种基本服务： 数据完整 机密性 3个基本组件： 鉴别报头（Authentication Header，AH ）协议 封装安全载荷（Encapsulating Security Payload，ESP） 协议 密钥管理与交换协议（Interne