《04第四讲 计算机网络安全 第2课》.pdf

河海大学郑峋如 电子商务安全与风险管理讲稿 20 10-05 第四讲 计算机网络安全 （第2 课） 目录 第四讲 计算机网络安全 1 4.3 虚拟专用网(VPN) 1 4.3.1 VPN 简介 1 4.3.2 VPN 协议5 4.3.3 VPN 的安全性6 第四讲 计算机网络安全 4.3 虚拟专用网(VPN) 虚拟专用网（virtual private network ，VPN ）是企业内部网在Internet 上的延 伸，通过一个专用的通道来创建一个安全的专用连接，从而可将远程用户、企业 分支机构、公司的业务合作伙伴等与公司的内部网联结起来，构成一个扩展的企 业内部网。 虚拟专用网是企业常用的一种安全解决方案，虚拟专用网是利用不可靠的 公用互联网作为信息传输媒介，通过附加的安全隧道，用户认证和访问控制等技 术，实现与专用网相类似的安全性能。 对于商务网站来说，它是一种理想的性价比较高的安全防护手段，既可以 为企业提供类似专用网的安全性，同时又可以为企业节约成本。 通过VPN ，网络服务提供商（network service provider ，NSP ）或因特网服 务提供商（Internet service provider ，ISP ）可使用因特网或服务商自己的IP 主干 网向企业提供远程访问和分支机构互联等业务，从而扩大了自己网络的地域范围， 增加了商业服务机会。 对企业来说可很大程度地降低自己的费用，减少对网络管理和支持终端用 户的需求、并可使自己的安全规则更为灵活。 4.3.1 VPN 简介 VPN 是在共享网络上建立的专用连接，连接技术称为隧道，数据的传输是 公共网络（如因特网或其他商用网）中的一条模拟点到点连接的专用隧道中进行。 这种技术可使从不同数据源发出的数据流在同一设施中的不同隧道中传输，允许 网络协议在各个互不兼容的网络设备上执行。 这种技术还可对从各数据源发出的数据流加以区分，从而可为每一特定的 数据流指定特定的服务等级并将其发往特定的目的地。隧道的基本组成（见图 4.3.1-9 ）有：隧道启动器；路由网络；可选的隧道交换机；一个或多个隧道终结 器。 第 1 页 共 8 页 河海大学郑峋如 电子商务安全与风险管理讲稿 20 10-05 隧道启动器可以是NSP （或ISP ）存在点（point of presence ，POP ）上的一 个适用于VPN 的接入集线器，也可以是公司分支机构或办公局域网上的一个适 用于VPN 的接入集线器，还可以是装有模拟PC 调制解调卡和适用于VPN 的拨 号软件的便携式电脑。隧道的终结可以是 NSP （或ISP ）网络接入路由器上的 VPN 网关，或者是企业网上的终结器或交换机。此外，通常还有一个或多个安 全服务器。 VPN 除了能提供防火墙和地址转换等常规功能外，还能提供数据的加密、 认证和授权等功能，这些功能是通过隧道设备和安全服务器之间的通信来执行的。 服务器通常还提供有关带宽、隧道端点等信息，有些情况下还提供网络规则信息 和服务等级信息。 VPN 的功能可以通过对软件或插件板的升级而加到现有的网络设备上。 VPN 可通过提供远程访问网络、虚拟专线网络和虚拟存在点，为企业扩展自己 的网络地域范围，从而增加企业的利润。 1. 远程访问网络 无论是在家中还是在旅途中，远程用户都希望能够安全高效地访问自己公 司的内部网，而各个企业已意识到这种远程访问可使自己在削减线路和设备费用、 无需为远程用户提供本公司技术支持的同时，可获得成规模的、可管理的业务解 决方案。 在这种类别的VPN 中，NSP （或ISP ）的POP 处的接入集线器是隧道的启 动器。远程用户使用适用于VPN 的路由器连接到NSP （或ISP ），再通过隧道将 该连接延伸到企业