计算机网络安全_08虚拟专用网(VPN)讲课.ppt

第八章虚拟专用网（VPN） * 本章导言 ? 知 识 点： ● 虚拟专用网VPN定义 ● VPN的配置与实现 ? 难 点： ● VPN的应用类型 ● VPN的配置与实现 ◆ 要 求 熟练掌握以下内容： ●熟知VPN定义与应用分类 ● 熟练掌握VPN的配置过程 了解以下内容： ●了解VPN的功能 * 8.1 VPN概述 1. VPN基本概念 VPN的定义 VPN的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。顾名思义，虚拟专用网络可以把它理解成是虚拟出来的企业内部专线。 VPN的功能 VPN可以提供的功能： 防火墙功能、认证、加密、隧道化。 * * 2. VPN的应用领域 虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。通过将数据流转移到低成本的压网络上，一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时，这将简化网络的设计和管理，加速连接新的用户和网站。另外，虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展，企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上，而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。 * (1) 远程访问虚拟网 远程访问即远程移动用户通过VPN技术可以在任何时间任何地点采用拨号、ISDN、DSL、移动IP以及电缆技术等与公司总部、公司内联网的VPN设备建立隧道连接，实现访问链接，此时的远程终端用户设备上必须加装相应的VPN软件。之后，远程用户就可以与任何一台主机或网络在相同策略下利用公共通信网络基础设施实现远程VPN访问。结构如图8-2所示，这种类型也叫做Access VPN。 * * (2)组建内联网 如果要进行企业内部异地分支结构的互联，可以使用组建内联网方式。它是解决内联网结构安全和连接安全、传输安全的一种模式，也叫做Intranet VPN，就是所谓的网关对网关的VPN结构。其结构如图8-3所示。 * * (3)组建外联网 如果一个企业希望将客户、供应商、合作伙伴或者兴趣群体连接到企业内部网，可以使用Extranet VPN。它是解决外联网结构安全和连接安全、传输安全的主要方法。当外联网VPN的连接和传输中使用了密码技术时，必须解决其中的密码分发和管理一致性问题。其结构如图8-4所示。 * * 3. VPN的优缺点 1．VPN的优点 （1）降低成本。 （2）便于扩展。 （3）保证安全。 2．VPN的缺点 （1）因为VPN扩展了机构的安全边界，将远程站点甚至是远程机构包含在内。 （2）VPN的验证也存在许多问题。 （3）VPN服务器负载大。 （4）寻址问题检查。 * VPN的配置实现 Windows中的VPN配置 * 8.2 VPN的配置实现 VPN技术指支持在公共通信基础设施上构成虚拟专用连接或者虚拟专用网络的技术。具体包括配置管理技术、隧道技术、协议封装技术和密码技术等，它们可以用在TCP/IP协议链路层、IP层、TCP层和应用层。 VPN由于在公共信道上传输私有信息，因此必须有密码技术、密钥管理技术、隧道技术和身份认证技术等。其中，IPSec（IP Security）是当前三层隧道技术最常见的协议。 * 1 .Windows中的VPN配置 * VPN服务器的配置过程 VPN服务器可基于Windows NT或Windows 2003 Server建立起来。在此采用Windows 2003 Server建立VPN服务器。该VPN服务器配置了双网卡，其Internet连接网卡使用的IP地址设为10.0.0.2，子网掩码设为255.255.255.0，内网网卡IP地址设为192.168.1.10，子网掩码设为255.255.255.0。具体配置过程如下： * （1）依次进入“开始”→“程序”→“管理工具”，单击“路由和远程访问”打开其控制台； （2）在左边框架中“SERVER（本地）”（“SERVER”为服务器名）处单击右键，选择“配置并启用路由和远程访问”打开“路由和远程访问安装向导”窗口； （3）单击“下一步”，在“公共设置”选择“虚拟专用网络（VPN）访问和NAT”，单击“下一步”继续； （4）在“VPN连接”一步需要指定服务器所使用的连接。由于本服务器使用了双网卡，选择Internet连接使用的网卡（IP地址为10.0.0.2），单击“下一步”； （5）在“IP地址指定”一步需要选择为远程VPN客户端指定IP地址的方法。由于本机没有配置DHCP服务器，因此需要改选为“来自一个