第9章创建虚拟专用网-Read.pptVIP

第9章 创建虚拟专用网 1）理解VPN的组件和核心操作 2）描述VPN的不同类型 3）创建VPN设置，例如mesh（网状）或集中星形 4）为VPN选择合适的隧道协议 5）使用户能够通过VPN进行安全的远程访问 6）遵守有效配置和维护VPN的良好习惯 9.1 VPN的组件和操作 电子商务和电信业务对于VPN的需求正变得越来越大。许多电信企业都提供IP VPN服务。VPN可以使用装用的软件或者是包含VPN功能的防火墙软件来设置。许多防火墙以单个硬件或软件包的形式内置了VPN系统，因为对VPN应用的规则是所有存在的防火墙安全策略中的一部分。如果设置正确，VPN是企业边界安全配置中的一个关键组件。 应用VPN的目的是为业务联系和将远程雇员连接到办公网络提供一种安全且性价比高的方式。 国际型大企业可能非常需要连接到各个国家的分部，VPN提供了一种理想的通信手段。 9.1.1 VPN内部组件 VPN包括两个不同类型的组件：硬件设备和执行相关安全活动的软件。 硬件描述： 1）VPN可以拥有两个端点或终端。端点是特定的硬件或软件设备，它们通过加密来保证数据安全，通过身份验证来保证请求数据的主机是经过批准的VPN用户，以及通过封装来保护被发送信息完整性的。 2）VPN可以使用隧道。隧道指由VPN使用的安全信道，从Internet的一个端点连接到另一个端点。 VPN使用的隧道并没有一条专用的电缆将两个端点连接在一起，使用的是虚拟隧道，该隧道是一系列的端点之间的连接，利用Internet的主机和服务器，它就像任何其他TCP/IP数据传输一样逐步的转发数据。 构成VPN终端的设备可能是以下几种： 1）运行隧道协议的一台服务器。 2）一个VPN设备，专门用来创建VPN通信的硬件设备。 3）防火墙/VPN组合，许多高级的防火墙程序将支持VPN建立作为其内置特征 4）基于路由器的VPN，支持IPSec的路由器可以被放置在需要连接的局域网的边界上。 9.1.2 VPN的核心活动 1）IP封装 VPN通过执行IP封装来保护数据包，其过程是将数据包包含到另一个拥有不同IP源和目标信息的数据包中，以提供更高级别的保护。好处是实际数据包的源和目标信息被完全隐藏。VPN将实际的数据包封装在使用VPN网关的地址作为源和目标地址的数据包中。 2）有效的数据加密 使用VPN最大的好处是它们会对通过的数据包中的数据进行加密，但它们不会加密报头中的信息，只加密有效数据，有两种方式： （1）传输方式：主机产生通信数据流时对其加密，加密数据包中的数据，而不加密头信息 （2）隧道方式：通信数据流在传输中进行加密和解密，可能发生在产生数据包的源计算机和目标计算机之间的某个位置，数据包的头和数据部分都加密。 3）经过加密的身份验证 9.1.3 VPN的优点和缺点 使用VPN最主要的好处是要比专线便宜。另一个好处是控制。 缺点：非常复杂，如果配置不当，会使网络非常容易受攻击；另一个问题是身份验证。 9.1.4 VPN扩展了网络边界 1）使用两种或更多的身份验证工具来辨别用户： 多种身份验证要求用户需拥有更多的凭证。例如：令牌或智能卡。 2）集成病毒保护 3）设置使用限制：所有的VPN使用者，一旦完成VPN会话就马上结束。 9.2 VPN的类型 两种： 一个是：site-to-site（站点到站点）VPN，它将两个或更多的网络连接起来 第二个：client-to-site（客户机到站点）VPN，它可以使网络能被需要拨号的远程用户访问到。 9.2 VPN器件 创建VPN的一种方法是使用硬件设备。 一种是享有盛誉的VPN设备是SonicWALL系列VPN硬件设备 另一种是Symantec Firewall/VPN设备 9.2.2 软件VPN系统 软件VPN比硬件系统便宜，并且它们对于快速增长的网络也提供了更好的扩展性。 一种流行的软件VPN产品是F-Secure VPN+ 另一种是Novell BorderManger VPN服务 9.2.3 组合了硬件和软件的VPN 9.2.4 结合使用不同供应商产品的VPN 9.3 VPN 设置 mesh配置 在mesh配置中，VPN中的每个参与者（即网络、路由器或计算机）和其他的每个参与者之间拥有一种称为SA（安全关联）的已认可的关系。配置VPN的过程中，需要特别将每个参与者从其他使用VPN的每个参与者中分辨出来。初始化一个连接前，每个VPN硬件或软件终端会检查他的路由表或SA表来查看其他的参与者是否和它存在SA关系。 9.4 VPN使用的隧道协议 9.4.1 IPSec/IKE IPSec是由IETF开发的安全加密通信标准。 IKE用来交换公私密钥。 9.4.2 PPTP 点对点隧道协议通常用于需要使用拨号调制解调器连接到网络的远程用户。