第六章信息安全实用技术-VPN.pptVIP

西安电子科技大学经济管理学院 第六章 信息安全实用技术第二节 虚拟专用网（VPN） 一、VPN概述 随着信息时代的到来，企业内部和企业之间数据通信的数量在不断地增加，企业纷纷建立起自己的内部网络（Intranet ），甚至企业之间也建立起专用的外部网（Extranet）以方便信息交换。传统的Intranet在分支机构与中心网络的连接上，最早的方式是架设自己的专用线路，但是只是极少数企业能有这样的经济实力实现跨区域的远程连接。随着因特网的普及，主干网络速度越来越快，企业开始租用数据专线通过广域网实现连接，但租用专线的成本仍居高不下，而且总部与各分支机构都必须重用各自的专线才能实现连接和数据通信。因特网存在的安全问题同样会这样连接的Intranet产生影响。费用和安全因素成为限制企业Intranet发展的主要障碍。 1. VPN的概念 虚拟专用网（VPN）：是指以公用开放的网络（如Internet, ATM网络等）作为基本传输媒介，通过附加的多种技术而构建出的具有专用网络性能的逻辑网络。 它是一种逻辑上的专用网络，向用户提供一般专用网络所具有的功能，但本身却不是一个独立的物理网络。 典型VPN的构成 2. VPN的特点 （1）虚拟性 与传统的专用网不同，VPN并不是物理上专用的通信网络，它通过共享的而非独占的网络结构来传输数据。 VPN的通信端点之间的连接并没有传统专用网所需的点到点的物理链路，而是架构在公用网络服务商所提供的网络平台之上的逻辑网络，用户数据在逻辑链路中传输。 通过在共享的基础通信设施上采用隧道技术和特殊的配置技术措施，VPN为用户提供仿真的点到点的连接。 2. VPN的特点（续） （2）专用性 VPN作为一种“化公为私”的组网技术，其核心思想是将用户网络从公共网络中隔离出来，正是这种隔离特性提供了通信的保密性和私有性。 因此，虽然从物理上来说VPN并不是完全独占的网络，但是通过对公共通信网络的逻辑分割，用户可以认为是在自己所专有的排他性通信环境中进行通信。 很明显，VPN的“专用”是一个逻辑上的概念，它为用户虚拟出了一个独占的通信环境来保证其专用性。 3. VPN的优点 （1）显著的成本效益 VPN利用现有互联网络发达的网络构架组建企业专用网络，从而为企业节省了大量的投资成本及后续的运营维护成本。极为显著的成本效益也正是VPN引起广泛关注的关键所在。 （2）良好的扩展性 VPN使企业摆脱了固定的专用物理线路，可以通过公用网络方便地重构企业广域专用网络，加强与客户、合作伙伴之间的联系。与专线式架构相比，VPN具有更大的弹性，可以很容易地实现网络的扩充和网络架构的变更。 3. VPN的优点（续） （3）方便的管理和维护 由于通过公共网络连接企业用户，大量的网络管理工作由公共网络服务提供商来承担，从而减轻了企业内部网络的管理负担。较少的网络设备和线路使得网络的管理和维护更加容易。 （4）广阔的网络覆盖面 借助于分布广泛、全球化的公共网络，企业可以使业务得到最大范围的拓展。特别是利用Internet的广域特性，使得企业的业务范围不再受到地域的限制。 二、VPN的关键技术 安全隧道技术 认证技术 访问控制技术 1.安全隧道技术(Secure Tunneling Technology) 通过将待传输的原始信息经过加密和协议封装处理后再嵌套装入另一种协议的数据包送入网络中，像普通数据包一样进行传输。 经过这样的处理，只有源端和宿端的用户对隧道中的嵌套信息进行解释和处理，而对于其他用户而言则是无意义的信息。这里采用的是加密和信息结构变换相结合的方式，而非单纯的加密技术。 2.认证技术 在正式的隧道连接开始之前需要确认用户的身份，以便系统进一步实施资源访问控制或用户授权(Authorization)。 用户认证技术是相对比较成熟的一类技术。因此可以考虑对现有技术的集成。 3.访问控制技术 由VPN服务的提供者与最终网络信息资源的提供者共同协商确定特定用户对特定资源的访问权限，以此实现基于用户的细粒度访问控制，以实现对信息资源的最大限度的保护。 在VPN的关键技术中，最重要的是安全隧道技术。 三、VPN的分类 Intranet VPN（内部网VPN） 用于集团的总部和多个分支机构之间； 分支机构网络是