网络新技术专题课案.docx

网络新技术专题：VPN技术考试相关的题目：对比第二层VPN、MPLS VPN、IPSEC VPN、SSL VPN等四种VPN各自的优势及缺点，分别是由运营商设备实现还是用户端设备实现？各自的适合的应用范围是什么？基于第二层的VPN解决方案缺陷：仅对通道的终端实体进行身份认证，而不认证通道中流过的每一个数据报文，无法抵抗插入攻击、地址欺骗攻击。没有针对每个数据报文的完整性校验，就有可能进行拒绝服务攻击PPP协议不支持密钥的自动产生和自动刷新，因而监听的攻击者就可能最终破解密钥，从而得到所传输的数据。由运营商设备实现现在已经很少应用。2）MPLS VPN的特点：MPLS同其它VPN解决方案的区别是它的实现是由运营商网络完成的，用户端设备可以是路由器、防火墙、三层交换机甚至是一台PC，而这些设备都无需提供对MPLS的支持。MPLS VPN提供了灵活的地址管理。由于采用了单独的路由表，允许每个VPN使用单独的地址空间中，采用私有地址的用户不必再进行地址转换NAT。NAT只有在两个有冲突地址的用户需要建立Extranet进行通信时才需要。对于分支机构主要分部在较大城市的企业集团，MPLS VPN是一个较理想的选择。该方案能解决的问题：数据源身份认证数据完整性数据保密重放攻击保护自动的密钥管理和安全关联管理由网络运营商实现。3）基于IPSec的VPN解决方案4）SSL VPNSSL VPN是在应用层实现的VPN,基于HTTPS协议来访问受保护的应用。当客户端需要访问一应用服务器时,首先,客户端和SSL VPN网关通过证书互相验证双方;其次,客户端和SSL VPN网关之间建立SSL 通道;然后,SSL VPN 网关作为客户端的代理和应用服务器之间建立TCP 连接,在客户端和应用服务器之间转发数据。HTTPS使用TCP端口443。SSL VPN的特点零客户端是SSL VPN最大的优势。由于浏览器内嵌了SSL协议,可以随时作为SSL VPN的客户端在任何时间任何地点对应用资源进行访问,也就是说是基于B/S结构的业务时,可以直接使用浏览器完成SSL的VPN建立。SSL的低成本优势使得它迅速的得到了应用，但至少象视频会议这样的非B/S结构的业务是无法通过SSL VPN建立和开展的。由客户端实现。综述：由于第二层VPN技术在认证、数据完整性以及密钥管理等方面的不足，现在已经很少应用。MPLS VPN由运营商提供，适合分支机构位于较大城市的企业集团采用IPSEC VPN由于其较高的安全性、可实施性，得到了广泛的应用。SSL VPN的优势在于其零客户端的特点，SSL VPN可以适用于任何基于B/S的应用。在实际应用中，SSL VPN和IPSEC VPN两种方案往往结合实行，SSL VPN网关和IPSEC网关有时也被集成到一个设备内。VPN有哪几类应用？VPN的优势是什么？VPN的几类应用用VPN连接分支机构用VPN连接业务伙伴用VPN连接远程用户外联VPN，内联VPN，还有远程访问VPNVPN的优势：1.降低成本 VPN是利用了现有Internet或其他公共网络的基础设施为用户创建安全隧道，不需要使用专门的线路，只需要接入当地的ISP就可以安全地接入内部网络，这样就节省了线路费用。2. 易于扩展如果采用专线连接，在分部增多、内部网络节点越来越多时，网络结构趋于复杂，费用昂贵。如果采用VPN，只是在节点处架设VPN设备，就可以利用Internet建立安全连接。3. 保证安全 VPN技术利用可靠的加密认证技术，在内部网络之间建立隧道，能够保证通信数据的机密性和完整性，保证信息不被泄漏或暴露给未授权的实体，保证信息不被未授权的的实体改变、删除或替代。IPSEC VPN能解决哪些网络安全问题？数据机密性保护（加密）数据完整性保护（哈希）数据源身份认证（DSS）重放攻击保护（序列号）什么叫数据完整性，IPSEC VPN是怎样保证数据完整性的？数据完整性：一种用来检查数据再通信过程中是否被修改过的手段，通过它可以检查被篡改过或者通信错误的消息身份认证报头——AH协议提供数据源身份认证、数据完整性保护、重放攻击保护功能负载安全封装——ESP协议提供数据保密、数据源身份认证、数据完整性、重放攻击保护功能因特网安全关联和密钥管理协议——IKE(以前被叫ISAKMP/Oakley)提供自动建立安全关联和管理密钥的功能AH和ESP协议分别都能提供什么样的服务？ESP比AH多的最重要的功能是什么，为什么不能用ESP完全取代AH?画一个用IPSEC实现的VPN的实例图，其中要包括总部、远程分支机构、移动个人用户；要画出VPN网关等设备，最好画出总部和分支机构局域网的简单拓扑。常识：加密：将明文信息变换成不可读的密文形式以隐藏其中的含义解密：将密文信息还原成明文的过程