6.6虚拟专用网及其安全性.ppt

* 第6章 Internet的基础设施安全 6.6 虚拟专用网及其安全性 6.6.1 VPN简介 虚拟专用网（VPN）是平衡Internet的适用性和价格优势的最有前途的新兴通信手段之一。VPN被广泛接受的定义是：建立在公众网络上，并隔离给单独用户使用的任何网络。依这条定义来衡量，Frame Relay, X.25, ATM等都可以认为是VPN，这种VPN一般被认为是第二层的VPN。正在蓬勃发展的VPN模式，是建立在共享的IP骨干网上的网络，它被称为IP VPNs。利用这种共享的IP网建立VPN连接，可以使企业减少对昂贵租用线路和复杂远程访问方案的依赖性。据预测， 到2001年，VPN服务的市场数量将超过100亿美元，同时每年设备的市场数量将达到15亿美元。 与传统专用网相比，VPN给企业带来很多的好处，同时也给服务供应商特别是ISP带来很多机会。VPN给企业带来的好处主要有以下四点：  （1） 降低成本； （2） 易于扩展； （3） 可随意与合作伙伴联网； （4） 完全控制主动权。 VPN的解决方案根据应用环境的不同分为三类(如图6.7所示)： (1) Access VPN 主要提供给公司内部在外出差和在家中办公的人员与公司建立通信； (2) Intranet VPN 主要提供给公司内部各分支办公室与中心办公室之间建立通信；  (3) Extranet VPN 主要提供给合作伙伴和重要客户与本公司建立通信。 图 6.7 VPN解决方案分类 6.6.2 VPN协议 1. 协议分类 目前，两种既各具特点又具有一定互补性的VPN架构正逐渐推广应用。一种是二层隧道协议用于传输二层网络协议，它主要应用于构建Access VPN和Extranet VPN；另一种是三层隧道协议用于传输三层网络协议，它主要应用于构建Intranet VPN 和Extranet VPN。 二层隧道协议主要有三种：PPTP(Point to Point Tunneling Protocol)点对点隧道协议，L2F(Layer 2 Forwarding)二层转发协议和L2TP(Layer 2 Tunneling Protocol)二层隧道协议，其中L2TP 结合了前两个协议的优点，具有更优越的特性得到了越来越多的组织和公司的支持，也是使用最广泛的VPN二层隧道协议。  用于传输三层网络协议的隧道协议叫三层隧道协议。三层隧道协议并非是一种很新的技术，其实早已出现的GRE(Generic Routing Encapsulation, RFC 1701)协议就是一个三层隧道协议，此外还有IETF 的IPSec 协议，以及最新的MPLS。IPSec 和MPLS 方式是正在蓬勃发展的VPN模式，是建立在共享的IP骨干网上的网络，它被称为IP VPNs，发展前景十分广阔。 2. IPSec VPN IPSec IP Security 是一组开放协议的总称, 特定的通信方之间在IP 层通过加密与数据源验证, 以保证数据包在Internet 网上传输时的私有性完整性和真实性。 IPSec通过AH (Authentication Header)和ESP (Encapsulating Security Payload)这两个安全协议来实现。此实现不会对用户主机或其它Internet组件造成影响，用户还可以选择不同的硬件和软件加密算法，不会影响其它部分的实现。 传统VPN基于封装（隧道）技术以及加密模块技术，可在两个位置间安全地传输数据。IPSec协议是目前VPN中最常用的。 该类型的VPN是位于IP网络顶层的点对点隧道的覆盖，它位于另一种IP网络的上层。由于是一种覆盖，在每个站点之间必须建立一个隧道， 这就导致了网络的低效。 这里存在两种网络布局结构：中心辐射布局和全网络布局。 中心辐射布局是由一个中心站点同许多远程站点相连，这是IPSec网的最实用的布局，如图6.8所示。位于中心站点位置的用户前端设备(CPE, Client Premises Equipment)通常非常昂贵，其价格同相连的远程站点的数目有关。每个远程站点都会建立到中心站点的IPSec隧道。如果有20个远程站点， 那么就会建立20个到中心站点的IPSec隧道。 图 6.8 IPSec实际使用拓扑图 该模式对于远程到远程之间的通信不是最优的。任何数据包，如果从一个远程站点发送到另外一个远程站点，首先需要通过中心站点，需要中心站点实现解封、 解密