CIW(虚拟专用网)解读.ppt

* * * * 第二层协议仅仅保证隧道发起端和接受端进行认证和加密，隧道在公网中的传输过程并不能完全保证安全 * * * * * * * * * * * * * * * * @2006 VCampus Corporation All Rights Reserved. 第九单元 虚拟专用网（VPN） 内容 VPN是什么 VPN中主要四种技术类型 什么是隧道？ 隧道协议类型 SSL VPN SSL VPN产品 VPN是什么 VPN－－Virtual Private Network，虚拟专用网 依靠ISP（因特网服务提供商）和其他NSP（网络服务提供商），在公共的网络中建立的仅在逻辑上存在的专线网。 远程访问 互联网 内部网 合作伙伴 分支机构 虚拟私有网 虚拟私有网 虚拟私有网 VPN中主要四种技术类型 隧道技术 加解密技术 密钥管理技术 身份认证技术 什么是隧道？ 由支持VPN的设备建立的一条持续的逻辑连接，或者说逻辑专线 是指包括数据封装、传输和解包在内的全过程 IP隧道实现了信息的隐蔽和抽象。 公共网络 未加密数据包 解密后数据包 IP包头 原数据包 隧道 封装器 解包器 隧道协议类型 二层隧道协议－－数据链路层 PPTP 点对点隧道协议 L2TP 第二层隧道协议 三层隧道协议－－网络层 IPSec PPTP 微软力挺，Windows操作系统中内置 支持多种协议，如IPX、NetBEUI、AppleTalk等 仅仅限于IP网络使用 L2TP Cisco加微软， L2F(Layer Two Forwarding)加PPTP 可在IP、RF、ATM、X.25网络上使用 两个端点间可创建多个隧道（L2TP报文头中的Tunnel ID） IPSec 第三层（网络层） 也是IPV6环境中的标准 在任何两个VPN节点通信之前，都要协商一个安全联盟（SA），可以确保信息在整条隧道上的安全性 主要包括：AH、ESP、ISAKMP三个协议 IPSec运作模式 应用场景 Access VPN－－远程接入，针对“空中飞人” Intranet VPN－－企业内域网，针对“走向世界” Extranet VPN－－企业外域网，针对“合作伙伴” Access VPN 投入：VPN服务单元（组织内部），VPN客户端软件（远程终端） 效果：拥有权限的用户能够随时、随地，以方便的方式访问、提交组织内部信息资源。 优点：高度灵活；低成本；安全有保障 公共网络 VPN Remote Intranet VPN 投入：VPN网关（各个分支机构），高带宽 效果：构建世界范围内的Intranet VPN；避免过于复杂的组织网络总体设计工作；形成了灵活的拓补结构，便于业务拓展 优点：内域网属于自己，能够自主定义网络的权限、策略、服务质量、安全、可靠性等等。 VPN网关 VPN网关 VPN网关 Extranet VPN 投入：VPN服务器，相应的数字证书服务 效果：构建世界范围内的Extranet VPN，能够向客户、合作伙伴提供特定的信息、应用，同时保证自身安全。 优点：便于对外域网部署和管理，对不同的客户、合作伙伴定义不同的权限，开放不同的信息和应用 SSL VPN的六个关键特征 应用代理和协议转换 无客户端访问 远程访问 没有对站点到站点的支持 简单易用 支持Extranet 只提供对限定资源的访问 细粒度的访问控制 使用SSL保证通信安全 问题1 － 需要改变防火墙配置 IPSec VPN 问题 4 –整个网络暴漏在外 出差员工 企业伙伴 公司主管 在家上网 问题 2 –用户端需要安装客户端软件 IPSEC VPN Terminal/Citrix Server Web Application Servers Exchange Server Client Server Application AD/LDAP Radius File Server 问题3 –受网络环境以及用户端配置影响 SSL VPN 只需80/443端口即可 出差员工 合作伙伴 在家上网 不受任何网络配置影响 只需浏览器即可访问 根据角色分配/授权资源 避免暴漏过多信息 SSL VPN Terminal/Citrix Server Web Application Servers Exchange Server Client Server Application AD/LDAP Radius File Server SSL VPN and IPsec VPN技术对比 技术特征 SSL VPN IPsec VPN 代理和协议转换 需要 不需要 无客户端访问 需要浏览器 需要客户端，对OS有些要求 远程接入 仅用于远程接入 主要是站点到站点，也可用于远程接入 Extr