7.天融信svpn文档.ppt

;目录：;原理篇 VPN概述 VPN功能 VPN原理 SSL 原理 SSL VPN应用 SSL VPN工作原理;原理篇 VPN概述与原理 SSL 原理 SSL VPN应用 SSL VPN工作原理 ;IETF定义了许多VPN协议，如下所示： 点对点隧道协议PPTP，Ponit-to-Point Tunneling Protocol 第2层转发L2F，Layer 2 Forwarding 第2层隧道协议L2TP，Layer 2 Tunneling Protocol 通用路由选择封装GRE，Generic Routing Encapsulation 多协议标记交换MPLS，Multiprotocol Label Switching VPN Internet协议安全IPSec，Internet Protocol Security 安全套接字层VPN（SSL VPN）;VPN协议可以明确的分为以下两组： 站点到站点协议 远程访问协议 IPSec、GRE和MPLS VPN都是常用的站点到站点VPN协议。 常用的远程访问VPN协议有SSL VPN、IPSec、L2TP、基于IPSec的L2TP和PPTP。 IPSec既可作为站点到站点的访问协议又可作为远程访问协议。;IPSec介绍;IPSec两个阶段的作用（ISAKMP）;L2TP介绍;基于IPSec的L2TP;基于IPSec的L2TP协商过程;用户与服务提供商访问路由器建立一个PPP会话，并获得一个动态的公共ip地址。如果工作站已有一个ip地址并能够向Internet发送流量，那么这一步是可选的。 用户发起一个配置为使用IPSec来保护数据安全的L2TP客户端。 客户端工作站发起一个会话并协商一条安全信道用于交换密钥（IKE第1阶段协商）。 在第一阶段成功建立后，客户端再建立两条安全信道用于数据加密和验证（IKE第2阶段协商）。此数据信道用于加密去往UDP1701端口的L2TP流量。 当IPSec建立后，客户端在IPSec内发起一个L2TP会话。 指定用户的验证证书，用于验证L2TP会话。任何PPP或L2TP的属性均在成功验证用户后进行协商。 当L2TP会话建立后，用户工作站发送封装在L2TP中的数据流量。这些L2TP分组由IPSec加密并通过Internet被发送到隧道的另一端。;注意： 如果在基于IPSec的L2TP客户端和网关之间存在一道防火墙，那么用户应允许IP协议50和UDP端口500能够通过。L2TP分组（UDP1701端口）被封装在ESP中。一些基于IPSec的L2TP提供商将流量封装进UDP4500端口以实现NAT透明度（NAT-T，NAT transparency）;PPTP介绍;PPTP连接协商过程;GRE是Internet协议47。如果在客户端与服务器之间存在防火墙，用户应确定允许TCP 1723和GRE协议能够通过此防火墙。 与L2TP类似，使用Microsoft点??点加密（MPPE，Microsoft Point-to-Point Encryption）提供40~128bit的加密，以实现数据机密性。;远程VPN技术总结;VPN历史;组网方式;Internet;VPN概述;远程访问;远程访问;VPN的安全性;数据在拨入段泄漏风险;Internet;Internet; Host 对 Host Host 对 VPN 网关 VPN 对 VPN 网关;远程接入需要VPN技术;VPN接入方式;远程接入的需求;两种常见的远程接入方式;两种方式的对比;SSL VPN与IPsec VPN比;对比结论;SSL和TLS的历史;OSI层布局和TCP/IP协议支持;基于SSL的HTTP：保护网页是最初设计SSL的主要动力，而HTTP是由SSL保护的第一个应用层协议。 HTTPS在TCP端口443上操作，而HTTP则默认在TCP端口80上操作。 基于SSL的电子邮件：与基于SSL的HTTP类似，电子邮件协议，如SMTP、邮局协议3（POP3，Post Office Protocol 3）和Internet消息访问协议（IMAP，Internet Message Access Protocol）均可由SSL支持。; 一个SSL连接的建立需要经过两个阶段。在握手阶段（阶段1）协商加密算法、验证服务器并建立用于数据加密和MAC的密钥。安全数据传输阶段（阶段2）处于已建立的SSL连接的保护之下。 SSL是一个分层协议，在最低层的是SSL记录协议，记录协议由几种执行不同任务的消息类型或协议组成。;记录协议主要是一个封装协议，用于传输各种高层协议和应用数据。记录协议主要接收来自上层客户端协议的信息；执行一些必须的工作，如分片、压缩、应用MAC和加密，