安全网管技术.pptVIP

计算机网络安全基础 计算机网络安全基础 计算机网络安全基础 安全网管技术 张焕杰 中国科学技术大学网络信息中心 james@ 0/~james/nms Tel: 3601897(O) 第7章 VPN技术及应用 本章主要内容 VPN介绍 Access VPN LAN-LAN VPN MPLS VPN L2VPN 参考资料： 参考资料： 安全体系结构的设计、部署与操作，常晓波等译，清华大学出版社 Cisco Networkers 2003 SEC-2011: Deploying Site-to-Site IPSec VPNs VPN介绍 Virtual Private Network 虚拟专用网 虚拟专用网不是真的专用网络，但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP（Internet服务提供商）和其它NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。 利用像Internet这样的公共的或不安全的媒体，通过应用多种技术提供用户认证、数据完整性和访问控制，从而提供网络应用程序之间的安全通信。 在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。 VPN不是一种单一的技术，而是具有若干特性的系统 VPN介绍 IETF草案理解基于IP的VPN为：“使用IP机制仿真出一个私有的广域网”。通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。 所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用Internet公众数据网络的长途数据线路。 所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。 本章讨论的虚拟专用网一般指的是建筑在Internet上能够自我管理的专用网络，而不是Frame Relay或ATM等提供虚拟固定线路（PVC）服务的网络。以IP为主要通讯协议的VPN，也可称之为IP-VPN。 VPN的安全性 VPN的主要目的是保护传输数据 必须具备4个关键功能 认证：数据传输的来源确如其声明所言，目的地确实是数据期望到达的位置 访问控制：限制对网络未经授权的访问 机密性：防止数据在通过网络时被察看 数据完整性：防止传输中对数据的任何篡改 VPN的目的是保护从信道的一个端点到另一端点传输的信息流 信道的端点之前和之后，VPN不提供任何的数据包保护 为什么选择VPN 成本低是最大的优势 传统方式是租用专线建设自己的网络系统 Internet能以很低的代价提供高带宽的链路，缺点是安全性不高 由于VPN是在Internet上临时建立的安全专用虚拟网络，用户就节省了租用专线的费用，在运行的资金支出上，除了购买VPN设备，企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用，也节省了长途电话费。这就是VPN价格低廉的原因。 如2M的专线，国内长途6000/月，对应的10M Internet链路一般2000/月 为什么选择VPN 灵活性高 只要有Internet链路，随时可以建立VPN链路 对于单个用户，使用VPN可以在任何地方安全访问内部网 VPN的类型 每种VPN都具有特定的要求和优先权，实现的目的、解决的问题也不同 用于移动工作者的远程访问 Client-LAN VPN，也叫 Access VPN 替代早期的拨号远程访问网络 用于局域网间连接的PN LAN-LAN型 IntranetVPN和ExtranetVPN VPN的特性考虑 安全性 隧道、加密、密钥管理、数据包认证、用户认证、访问控制 可靠性 硬件、软件、基础网络的可靠性 可管理性 记帐、审核、日志的管理 是否支持集中的安全控制策略 可扩展性 成本的可扩展性，如使用令牌卡成本高 性能，是否考虑采用硬件加速加解密速度 VPN的特性考虑 可用性 系统对应用尽量透明 对终端用户来说使用方便 互操作性 尽量采用标准协议，与其他供应商的设备能互通 服务质量 QoS 通过Internet连接的VPN服务质量很大程度取决于Internet的状况 多协议支持 IPX? VPN涉及的技术 隧道技术 Tunnel IP Tunnel NSRC、NDST是隧道端点设备的IP地址 公网上路由时仅仅考虑NSRC、NDST 原始数据包的DST、SRC对公网透明 隧道技术 第二层隧道 把网络数据包封装在PPP协议中，PPP协议的数据包放到隧道中传输 L2TP、PPTP（集成在windows中，所以最常用） 第三层隧道 把网络数据包指直接在隧道中传输 IPsec 利用隧道技术，理论上任何协议的数据都可以透过IP网络传输 加密/解密技术 对称加密技术 速度快，常用的DES、3DES、IDEA等 缺点是密钥传递不方便 经常被用来对数据进行加/解密处理，提高保密性 公钥加密技术 速度慢，