网络安全12-VPN.ppt

网络安全 罗 敏 武汉大学计算机学院 第11章 入侵检测技术 重点回顾 入侵检测技术概述 入侵检测分类与评估 入侵检测产品 第12章 VPN技术 VPN是一种新型的网络安全传输技术。本章介绍VPN的概念、VPN的协议及VPN的应用。 第12章 VPN技术 12.1 VPN概述 12.2 VPN的分类 12.3 VPN使用的协议与实现 12.1 VPN概述 VPN的概念 VPN即虚拟专用网 它是依靠ISP(Internet服务提供商)和其他NSP(网络服务提供商)，在公用网络中建立专用的数据通信网络的技术 12.1 VPN概述 12.1 VPN概述 VPN的概念 在该网中的主机将不会觉察到公共网络的存在，仿佛所有的主机都处于一个网络之中。公共网络仿佛是只由本网络在独占使用 VPN使用户节省了租用专线的费用。除了购买VPN设备外，企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用，也节省了长途电话费 12.1 VPN概述 VPN的组成 12.2 VPN的分类 远程访问虚拟网（Access VPN） 企业内部虚拟网（Intranet VPN） 企业扩展虚拟网（Extranet VPN） 12.2 VPN的分类 远程访问虚拟网（Access VPN） 12.2 VPN的分类 企业内部虚拟网（Intranet VPN） 12.2 VPN的分类 企业扩展虚拟网（Extranet VPN） 利用VPN技术可以组建安全的Extranet，既可以向客户、合作伙伴提供有效的信息服务，又可以保证自身的内部网络的安全 此种类型与Intranet VPN没有本质的区别，但它涉及的是不同公司的网络间的通信，所以它要更多的考虑设备的互联、地址的协调、安全策略的协商等问题 12.2 VPN的分类 VPN网关应用 12.3 VPN使用的协议与实现 VPN使用三个方面的技术保证了通信的安全性 身份验证 隧道协议 数据加密 12.3 VPN使用的协议与实现 VPN的一般验证流程 客户机向VPN服务器发出请求，VPN服务器响应请求并向客户机发出身份质询 客户机将加密的响应信息发送到VPN服务器 如果账户有效，VPN服务器将检查该用户是否具有远程访问权限 如果该用户拥有远程访问的权限，VPN服务器接受此连接 在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密 12.3 VPN使用的协议与实现 隧道 VPN的核心是被称为“隧道”的技术 隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式 使用隧道传递的数据（或负载）可以是不同协议的数据帧或包，隧道协议将这些其它协议的数据帧或包重新封装在新的包头中发送 被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道 12.3 VPN使用的协议与实现 隧道 12.3 VPN使用的协议与实现 隧道协议 点对点隧道协议 PPTP，Point-to Point Tunneling Protocol 第2层隧道协议 L2TP, Layer 2 Tunneling Protocol IP安全协议 IPSec 12.3 VPN使用的协议与实现 PPTP 由3Com公司和Microsoft公司合作开发 Windows、Linux、Solaris 12.3 VPN使用的协议与实现 PPTP PPP Point to Point Protocol 点对点通信协议 IPX、TCP/IP、NetBEUI和AppleTalk 12.3 VPN使用的协议与实现 PPP工作流程 在远程计算机和服务器之间建立帧传输规则，通过该规则的建立，才允许进行连续的通信(通常称为“帧传输”) 远程访问服务器通过使用PPP协议中的身份验证协议(如：MS-CHAP、EAP、CHAP、SPAP、PAP等)，来验证远程用户的身份 身份验证完毕后，如果用户启用了回拨，则远程访问服务器将挂断并呼叫远程访问客户机，实现服务器回拨 “网络控制协议”(NCP)启用并配置远程客户机，使得所用的LAN协议与服务器端进行PPP通信连接 12.3 VPN使用的协议与实现 PPTP协议概述 PPTP协议是PPP协议的扩展 增强了PPP协议的认证、压缩和加密功能 增加了一个新的安全等级，并且可以通过因特网进行多协议通信 12.3 VPN使用的协议与实现 基于PPTP的VPN 封装服务 使用一般路由封装(GRE)头文件和IP报头数据包装PPP帧(包含一个IP数据包或一个IPX数据包) 12.3 VPN使用的协议与实现 基于PPTP的VPN 加密服务 通过使用从PPP协议的MS-CHAP或EAP-TLS身份验证过程中生成的密钥 PPP帧以MPPE方式进行加密 PPTP只是对先前加密了的PPP帧进行封装 12.3 VPN使用的协议与实现 P