通讯与网络第十一节.pptVIP

类型与技术 在一个公司内部各部门和支机构之间的企业虚拟专用网VPN中，主要的技术需要是：为Intranet间的高速连接提供快速而可靠的加密，确保诸如金融/财务系统、核心数据管理、机密文档交流等关键应用程序的优先权及其数据加密的高度可靠性。 * 类型与技术 供一个企业和它的移动雇员间的远程访问的虚拟专用网VPN的要求则有所不同。服务的可靠性和质量在这种情况下显得相当重要，因为雇员访问VPN的方法通常局限于低速的调制解调器。另外，对于雇员的身份进行确认的一个高效的认证系统也是至关重要的。在管理这一边，远程访问VPN既需要集中式管理，也需要有高度的弹性，以便当大量移动雇员在同时访问VPN时能够处理足够多的连接。 * 类型与技术 一个企业组织和它的战略伙伴、顾客、供应商之间的扩展的虚拟专用网VPN则需要一个开放的、具有统一标准的解决方案，以确保各商业伙伴间的各种实现方案的互用性。同时要进行完善的通信控制，以除去网络访问的瓶颈，保证重要数据优先权以得到迅捷和快速的响应。 * VPN的PPTP实现方案（图7-9 ） 虚拟专用网VPN的一种最简单的实现方案。 首先通过PPTN软件产品设置好PPTN服务器和客户机，然后将位于不同地理位置的客户机和专用网络通过Internet连接起来，组成一个虚拟专用网VPN。 可以通过在分公司安装一个PPTP客户机连接到总公司，然后用这个PPTP客户机作为分公司的代理服务器负责整个分公司的总公司网络之间的通信联系。 也可以通过路由器负责整个分公司的总公司网络之间的通信联系，目前已有多个厂家提供具有建立PPTP虚拟通道的路由器产品。 * 防火墙VPN实现方案（图7-10） 利用防火墙实现虚拟专用网VPN可以不受网络设备，如路由器和网络服务器的限制，它可以快速地在网络可到达的地方设置。 通过安装防火墙的网关负责整个分公司的总公司网络之间的通信联系。总公司的系统管理员通过终端进行安全规则和VPN配置；防火墙对分公司的总公司网络之间的通信进行封装和加密；移动客户通过安装VPN客户端软件，建立与总公司网络之间的通信。在分公司的客户第一次访问总公司网络之前，防火墙需要验证用户身份，并在客户端软件和防火墙之间建立加密隧道。 在用户环境比较恶劣，潜在敌意用户时，防火墙VPN实现方案是最佳选择。 * 虚拟专用网VPN 虚拟专用网VPN，就是建立在公共网络上的私有专用网。它是一个利用基于公众基础架构的网络，例如Internet，来建立一个安全的、可靠的和可管理的企业间通信的通道。 安全性、可靠性和可管理性这三点要求对于在今天这样一个复杂的计算环境中建立一个虚拟专用网VPN都是最基本的要求，而不是一般公认的虚拟专用网VPN仅仅包括加密和认证。 * 虚拟专用网VPN的三个关键 安全：包括访问控制、认证和加密技术以保证网络连接的安全、用户的真实和数据通信的隐秘和完整； 通信控制：包括带宽管理和服务质量管理以保证VPN的可靠和高速； 管理：保证VPN和企业安全策略的集成，近程或远程集成的管理和解决方案的可伸缩性。 * 虚拟专用网VPN的工作定义 隧道、加密、鉴别以及存取控制技术的综合体，和在Internet、IP网或ISP的主干网上管理通信传输的服务器软件。 * 安全 访问控制 认证 加密 * 访问控制 访问控制指示了一个虚拟专用网VPN用户的访问自由度，并且控制合作者、雇员和其他外界用户对应用程序和网络不同部分进行访问的访问权限。 一个没有访问控制的虚拟专用网VPN仅仅当数据穿过传输媒介时能够保证数据传输的安全，而没有保证网络本身的安全。 访问控制不仅仅保护数据，也保护企业的整个知识财富和信息，确保虚拟专用网VPN用户能够被授权访问他们所需要的程序和信息，同时有效控制他们访问其他资源。即在保障必需的信息共享的同时，还要保障系统的安全和数据的保密控制。 * 认证 虚拟专用网VPN实现中有两类认证：用户认证和数据认证。 用户认证是对发送者身份进行确认的过程，数据认证则确保消息从发出到接受未经修改。 一个全面的虚拟专用网VPN解决方案必须同时具有数据和用户认证以确保数据传输。这样的两要素认证方案对传统的“用户名/密码”系统提供最大限度的安全保障，因为它需要两个要素来验证一个用户的身份（通常是一个电子令牌和一个PIN号码）。 * 加密 加密技术把数据弄乱，只有拥有读懂这个信息的密钥的人才能将其解密。当一个用户被认为合法了，他所传送的数据必须也同时被保护起来。 密钥，就好比一个人的身份证号码，对于认证和加密功能是非常需要的。他们被融入安全处理中，没有密钥不可能解密数据。通常说来，一个密钥越是长，它的加密强度也越高。 * 密钥管理 一旦选好并实现了加密的密钥长度，下一步是确保密钥通过一个密钥管理系统来保护。 密钥管理是一个分配密钥的过程，定期更