5VPN技术研讨.pptVIP

计算机网络安全技术 NETWORK SECURITY 第三部分 安全技术与产品 第十三章 VPN技术 第一节基本概念 VPN的出现 以前，要想实现两个远地网络的互联，主要是采用专线连接方式。这种方式虽然安全性高，也有一定的效率，成本太高。 虚拟专用网VPN（Virtual Private Network是一种在公用网络Internet中实现专用网络功能的技术 属于远程访问技术，利用公网链路架设私有网络。 VPN VPN VPN利用不可靠的公用互联网络作为信息传输媒介，通过附加的安全隧道、用户认证和访问控制等技术实现与专用网络相类似的安全性能，从而实现对重要信息的安全传输。 成本低，还克服了Internet 不安全的弱点 VPN 技术的优势 采用VPN 技术的公司可提前支付购买和支持整个企业远程访问基础结构的全部费用 利用无处不在的互联网通过单一网络结构为职员和商业伙伴提供无缝和安全的连接 对于企业，基于拨号VPN的Extranet能加强与用户、商业伙伴和供应商的联系 （1）安全保障 　　VPN通过建立一个隧道，利用加密技术对传输数据进行加密，以保证数据的私有和安全性。 （2）服务质量保证 　　VPN可以为不同要求提供不同等级的服务质量保证。 （3）可扩充、灵活性 　　VPN支持通过Internet和Extranet的任何类型的数据流。 （4）可管理性 　　VPN可以从用户和运营商角度方便进行管理。 VPN的分类 1. 按VPN的协议分类 VPN的隧道协议主要有三种，PPTP，L2TP和IPSec，其中PPTP和L2TP协议工作在OSI模型的第二层，又称为二层隧道协议；IPSec是第三层隧道协议，也是最常见的协议。 2. 按VPN的应用分类 　 　1) Access VPN（远程接入VPN）：客户端到网关，使用公网作为骨干网在设备之间传输VPN的数据流量 　2)Intranet VPN（内联网VPN）：网关到网关，通过公司的网络架构连接来自同公司的资源 　　3) Extranet VPN（外联网VPN）：与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接 3. 按所用的设备类型进行分类 1）路由器式VPN：路由器式VPN部署较容易，只要在路由器上添加VPN服务即可 2）交换机式VPN：主要应用于连接用户较少的VPN网络 　　 3）防火墙式VPN：防火墙式VPN是最常见的一种VPN的实现方式，许多厂商都提供这种配置类型 第二节VPN的应用领域 VPN的应用领域 传统的远程访问网络 企业内部各分支机构Intranet的互联 企业网和相关合作伙伴的企业网所构成的Extranet互联 与此相应的三种解决方案：远程访问虚拟网（AccessVPN）、企业内部虚拟网（IntranetVPN）和企业扩展虚拟网（ExtranetVPN） AccessVPN 需求：企业的内部人员移动或有远程办公需要，或者商家要提供B2C的安全访问服务 AccessVPN能使用户随时、随地以其所需的方式访问企业资源 AccessVPN AccessVPN对用户的吸引力 减少用于相关的调制解调器和终端服务设备的资金及费用，简化网络 实现本地拨号接入的功能来取代远距离接入或800电话接入，这样能显著降低远距离通信的费用 极大的可扩展性，简便地对加入网络的新用户进行调度 远端验证拨入用户服务（RADIUS）基于标准，基于策略功能的安全服务 将工作重心从管理和保留运作拨号网络的工作人员转到公司的核心业务上来 Intranet VPN 如果要进行企业内部各分支机构的互联，使用Intranet VPN是很好的方式 IntranetVPN对用户的吸引力 减少WAN带宽的费用 能使用灵活的拓扑结构，包括全网络连接 新的站点能更快、更容易地被连接 通过设备供应商WAN的连接冗余，可以延长网络的可用时间 ExtranetVPN 如果是提供业务合作伙伴或供应商之间的安全访问服务，则可以考虑ExtranetVPN ExtranetVPN对用户的吸引力 能容易地对外部网进行部署和管理，外部网的连接可以使用与部署内部网和远端访问VPN相同的架构和协议进行部署。主要的不同是接入许可，外部网的用户被许可只有一次机会连接到其合作人的网络。 第三节VPN的组件与关键安全技术 VPN的组件 VPN 服务器 VPN 客户 隧道 VPN 连接 隧道数据 传输互联网络 VPN的关键安全技术 隧道技术（Tunneling） 加解密技术（Encryption Decryption） 密钥管理技术（Key Management） 使用者与设备身份认证技术（Authentication） 访问控制技术(Acce