7VPN安全技术与应用要点分析.pptVIP

第7章 VPN安全技术与应用 7．1 VPN技术基础 1. 什么是VPN VPN的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。顾名思义，虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路。VPN的核心就是在利用公共网络建立虚拟私有网。 V P N 2．VPN的功能 虚拟专用网（VPN）被定义为通过一个公用网络建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。 VPN 使用经过身份验证的链接以确保只有授权用户才可以连接到网络，而且可使用加密来确保其他人无法截获或使用通过 Internet 传送的数据。Windows XP 使用点对点隧道协议 (PPTP) 或第二层隧道协议 (L2TP) 实现此安全性。隧道协议是一项使 Internet 上从一台计算机到另一台计算机的信息传输更加安全的技术。 一个成功的VPN方案应具有以下方面的功能： 用户验证。VPN方案必须能够验证用户身份并严格控制只有授权用户才能访问VPN。另外，方案还必须能够提供审计和计费功能，显示何人在何时访问了何种信息。 地址管理。VPN方案必须能够为用户分配专用网络上的地址并确保地址的安全性。 数据加密。对通过公用网络传输的数据进行加密，确保网络其他未授权的用户无法读取该信息。 密钥管理。VPN方案必须能够生成并更新客户端和服务器的加密密钥。 多协议支持。VPN方案必须支持公用网络上普遍使用的基本协议。以PPTP或L2TP协议为基础的VPN方案既能够满足以上所有的基本要求，又能充分利用遍及世界各地的Internet优势。其它方案，包括IPSec，虽然不能满足上述全部要求，但是仍然适用于特定的环境。 3．VPN的特点 一般情况下，一个高效、可靠的VPN具备了以下特点： (1) 费用低。由于使用Internet进行传输相对于租用专线来说，费用低廉，所以VPN的出现使企业通过Internet既安全又经济地传输内部机密信息成为可能。 (2) 安全保障。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接的隧道。可以利用加密技术对经过隧道传输的数据进行加密，以保证数据只被指定的发送者和接收者了解，从而保证数据的机密性和安全性。 (3) 保证服务质量(QoS)。VPN应当为企业数据提供不同等级的服务质量(QoS)保证。 (4) 可扩充性和灵活性。VPN能够支持通过Intranet和Extranet的任何类型的数据流，方便增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。 (5) 可管理性。在VPN管理方面，VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网，甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成，企业自己仍需要完成许多网络管理任务。所以一个完善的VPN管理系统是必不可少的。VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理和QoS管理等内容。 4. VPN的连接 VPN支持以安全方式通过公用网络连接实现远程访问资源： (1) 通过Internet实现远程访问：VPN支持以安全的方式通过公用网络远程访问企业资源。VPN用户可拨通本地ISP的NAS，然后VPN软件利用与本地ISP建立的连接在拨号用户和企业VPN服务器之间创建一个跨越Internet或其它公用网络的VPN。 (2) 通过Internet实现网络互连：可以采用两种方式使用VPN连接远程局域网络，一种是使用专线连接分支机构和企业局域网，另一种是使用拨号线路连接分支机构和企业局域网 (3) 连接企业内部网络计算机 5.VPN关键技术 VPN可采用多种安全技术来保证安全。这些安全技术主要有隧道技术、加密/解密技术、密钥管理技术、身份认证技术和访问控制技术等 (1)隧道技术 隧道技术就是利用隧道协议对隧道两端的数据进行封装的技术，隧道协议通常分别是第2层或第3层隧道协议 第2层隧道协议 第二层隧道协议是先把各种网络协议封装到PPP中，再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。 第二层隧道协议有L2F、PPTP、L2TP等。L2F（La