虚拟专用网络技术资料精要.ppt

第 8 讲 虚拟专用网络技术 (4) 安全关联 安全关联 (SA) 是在发送者和接收者之间为进出通信量提供安全服务的一种单向的关系，它是IPSec中的一个基本的概念。每一对使用IPSec的主机必须在它们之间建立一个SA。SA数据库定义了与每一个SA相关联的参数，例如，通信使用何种保护类型 (是AH还是ESP) 、使用的加密算法、密钥、协议方式 (隧道或传输) 以及该SA的有效期等。SA在发送者和接收者之间建立一种单向的关系。如果需要进行双向通信，则需要第二个SA。 第 8 讲 虚拟专用网络技术 AH协议和ESP协议可以单独使用，也可以组合使用，因为每一种协议都有两种使用模式，这样组合使用就有多种可能的组合方式。但是在这么多可能的组合中只有几个有实际意义的应用。用SA束来实现IPSec的组合，定义了两种组合SA的方式：传输邻接和循环隧道。 第 8 讲 虚拟专用网络技术 (5) 安全管理 IPSec包含两个指定的数据库：安全策略数据库 (Security Policy Database，SPD)和安全关联数据库 (Security Association Database，SAD) 。SPD指定了决定所有输入或者输出的IP通信部署的策略；SAD包含有与当前活动的安全关联相关的参数。 第 8 讲 虚拟专用网络技术 (6) 密钥管理 当使用IPSec时，与其他安全协议一样，必须提供密钥管理功能。例如，应提供一种方法，用于与其他人协商协议、加密算法以及在数据交换中使用的密钥。此外，IPSec需要知道实体之间的所有的这样的协定。IETF的IPSec工作组已经指定所有兼容的系统必须同时支持手工和自动的SA和密钥管理。 第 8 讲 虚拟专用网络技术 3. VPN应用 IPSec提供了在局域网、专用和公用的广域网 (WAN) 和因特网上安全通信的能力。 第 8 讲 虚拟专用网络技术 (1) 通过因特网实现远程用户访问 一个系统中配备了IP安全协议的最终用户，可以通过调用本地的因特网服务提供商 (ISP) 来获得对一个公司网络的安全访问，这为在外出差的雇员和远程的工作者减少了长途通信费用。 第 8 讲 虚拟专用网络技术 虚拟专用网络支持以安全的方式通过公共互连网络远程访问企业资源。与使用专线拨打长途或电话连接企业的网络接入服务器 (NAS) 不同，虚拟专用网络用户首先拨通本地ISP的NAS，然后VPN软件利用与本地ISP建立的连接，在拨号用户和企业VPN服务器之间，创建一个跨越因特网或其他公共互连网络的虚拟专用网络，如图8.4所示。 第 8 讲 虚拟专用网络技术 客户通过拨号到ISP来连接到因特网，然后和内部网边界上的安全网关建立一个经认证的、加密的安全通道。通过在远程和安全网关之间实行IPSec方式的认证，内部网可以免受那些不必要的或恶意的IP包攻击。通过将远程主机与安全网关之间的数据流进行加密，可以防止窃听。 第 8 讲 虚拟专用网络技术 (2) 通过因特网实现网络互连 一个公司可以在因特网或者公用的广域网上建立安全的虚拟私有网络。这可以使企业主要依赖因特网而减少它构造专用网络的需求，节省了费用和网络管理有负担。 通过因特网实现两个相互信任的内部网络安全连接，在这种情况下，即要防范外部对内部网络的攻击，又要保护在因特网上传输数据的安全。例如，一个公司的两个分公司之间通过因特网建立分支机构的VPN，需要满足公司对通信、安全和成本的需求。 第 8 讲 虚拟专用网络技术 可以用以下两种方式使用VPN来连接远程局域网络： 1) 使用专线连接分支机构和企业局域网。不需要使用价格昂贵的长距离专用电路，分支机构和企业端路由器可以使用各自本地的专用线路通过本地的ISP连通因特网。VPN软件使用与本地ISP建立的连接和因特网在分支机构和企业端路由器之间创建一个虚拟专用网络。 第 8 讲 虚拟专用网络技术 2) 使用拨号线路连接分支机构和企业局域网。不同于传统的使用连接分支机构路由器的专线拨打长途或电话连接企业NAS (网络接入服务器) 的方式，分支机构端的路由器可以通过拨号方式连接本地ISP。VPN软件使用与本地ISP建立起的连接在分支机构和企业端路由器之间创建一个跨越因特网的虚拟专用网络，如图8.5所示。 第 8 讲 虚拟专用网络技术 在以上两种方式中，都是通过使用本地设备在分支机构和企业部门与因特网之间建立连接。无论是在客户端还是服务器端都是通过拔打本地接入电话建立连接，因此VPN可以大大节省连接的费用。建议作为VPN服务器的企业端路由器使用专线连接本地ISP。VPN服务器必须一天24小时对VPN数据流进行监听。 第 8 讲 虚拟专用网络技术 (3) 连接企业内部网络计算机 IPSec可以用于与其他组织之间的安全通信保证认证和机密