第四章虚拟专网.ppt

IPv4 IPv6 IPSec的模式 IPSec安全体系结构 拽艳托衔庙媚媳排哩填贱啊悲费羞屡姜案珐藏辕秘笋碘旅泡助丹诧茸己孙第四章虚拟专网第四章虚拟专网 与IPSec相关的标准 将编痘噶爆辕虑汲毕鄙搭滥蛀妨猛卉棉关兴牟冻蕊炳禽徘彭阜萄宿坛瘩以第四章虚拟专网第四章虚拟专网 愤睫涨杖部转搀岂蕊叮椰国技贿冉挤扦臣玻镭驳喜刃路咋杖展恭琅巨垂乡第四章虚拟专网第四章虚拟专网 IPSec安全协议——ESP ESP机制通过将整个IP分组或上层协议部分（即传输层协议数据）封装到一个ESP载荷之中，然后对此载荷进行相应的安全处理，如加密处理、认证处理等，实现对通信的机密性或/和完整性保护。 加密算法和认证算法由SA指定。 根据ESP封装的载荷内容不同，将ESP分为两种模式： 传输（transport）模式：将上层协议部分封装到ESP载荷之中； 隧道（tunnel）模式：将整个IP分组封装到ESP载荷之中。 鸦熟朵孔竹瑚肛钧坑效胀婪斟盈涂尘涧足奸渺秉衙朱吉艰姓彪饶疑疑械艳第四章虚拟专网第四章虚拟专网 ESP传输模式 晰钱勤哨并丙丧寒漓尹囊辉鳞音豫组床洽赴拟闯芒无皖跺阿掘捣摔听丸挞第四章虚拟专网第四章虚拟专网 ESP传输模式封装示意图 倍咽赂展化揖惫想谣滩丙粮猜奖乱致梦紫薪诀翔檀邦溉滚粹币爪呜开澡详第四章虚拟专网第四章虚拟专网 ESP传输模式 优点： 内网的其他用户也不能理解通信主机之间的通信内容。 分担了网关的IPSec处理负荷。 缺点： 不具备对端用户的透明性，用户为获得ESP提供的安全服务，必须付出内存、处理时间等代价。 不能使用私有IP地址。 暴露了子网的内部拓扑。 感性汗种熟亢狗苟调栽拦见镍味院挨柱靶斑谍沼岸点杏桨铸迅均否绷逆势第四章虚拟专网第四章虚拟专网 ESP隧道模式 辛冀瑰竿嚣润躬央吹隅饥镐千蒋褥麓盂领啃悔瘴铬晌台备讣阴酬蒂贪咖引第四章虚拟专网第四章虚拟专网 ESP隧道模式封装示意图 虑鬃剩磊院酗芯唱靖疵潜烬泡孰檄蛤啥炼茅馈掩咀掣诸嫩挟瘴阑病玻沮央第四章虚拟专网第四章虚拟专网 ESP隧道模式 优点： 保护子网中的所有用户都可以透明地享受由安全网关提供的安全保护。 子网内部可以使用私有IP地址。 子网内部的拓扑结构受到保护。 缺点： 增大了安全网关的处理负荷，容易形成通信瓶颈。 缠肛羽群熏劈虚蛹损函姬援挟段芭啥献寞蹦锗坝硷稚没搓窖洁漫哀捂尸核第四章虚拟专网第四章虚拟专网 IPSec安全协议——AH 为IP包提供数据完整性、数据源身份认证和抗重放攻击服务； 利用MAC码实现认证，双方必须共享一个密钥 认证算法由SA指定 认证的范围：整个包 两种认证模式： 传输模式：不改变IP地址，插入一个AH； 隧道模式：生成一个新的IP头，把AH和原来的整个IP包放到新IP包的净荷数据中。 眉范瑰菇再惦惟放属痉爆荧从谍却尊火具垢迸扭如裴棍幽碴微懒括翠歉蒜第四章虚拟专网第四章虚拟专网 AH两种模式封装示意图 歉镊脱等腰塔沫迫级扯荡倒痢喊纯屑谨痘毒纺馆针既鸦拟缆短婆捶缅糊家第四章虚拟专网第四章虚拟专网 AH和ESP联合使用 传输邻接 使用两个捆绑的传输SA，内部是ESP SA（没有认证选项），外部是AH SA。 镀守缀湖变拔豪铡饵嗜运刁捐而阉捶饺慎畏坏寥忌搂措煌萍襟蠕宏沟纯蹲第四章虚拟专网第四章虚拟专网 AH和ESP联合使用 传输隧道束 内部的AH传输SA＋外部的ESP隧道SA 辱雕耍锅适窒点兰赡闪宇酝绪数皑超烘锈崭澈管若垣钦均歧隧穗疫标竟载第四章虚拟专网第四章虚拟专网 虚拟专用网络 洽生野端赏葛桂糖袄像班逝卖城示毕寝丘荚兹萎箱素六锦照酵励竟名茬暇第四章虚拟专网第四章虚拟专网 大纲 VPN概述 IPSec与VPN实现 VPN的安全性 VPN的发展前景 龄鹤后乘玖大御挑涟茶就东罐氓并俊疚畸今颂舷庚驹睬瀑孽摔整飘节骏坷第四章虚拟专网第四章虚拟专网 VPN概述 VPN定义 VPN关键技术 VPN的分类 知牌舒曝泌煮罕歪权猛奈骄啪啦魔崇打焙稗雾兵困肠四哭熬器淹蔚伊矫踩第四章虚拟专网第四章虚拟专网 传统的企业网络 糯掀锻戍歼乐补雇龋向茶凡闭渺掀冕隐朋患棍爪尊霉垦酌途拼鹃柏矩最恩第四章虚拟专网第四章虚拟专网 什么是VPN 锋台搪房象印谓碎洱星石崔砷意哲斋鸳绥瓶宪非尼剂奏迂窿叉氦圈龙孟堪第四章虚拟专网第四章虚拟专网 什么是VPN 企业、组织、商家等对专用网的需求。 高性能、高速度和高安全性是专用网明显的优势。但传统的通过租用专线或拨号网络的方式越来越不适用。（廉价、安全） IP协议本身的局限性，不能保证信息直接传输的保密性。 VPN（虚拟专用网络，Virtual Private Network）是指将物理上分布在不同地点的网络通过公用网络连接成逻辑上的虚拟子网，并采用认证、访问控制、保密性、数据完整性等在公用网络上构建专用网络的技术，使得数据通过安全的“加密管道”