NISE安全技术工程师培训VPN.ppt

NISE安全技术工程师培训—密码学应用之二VPN VPN技术 VPN概述 VPN的功能 VPN的工作原理 VPN的具体应用 什么是VPN VPN的优点 现有的VPN协议 利用VPN，可节省专用和拨号连接的成本 基于VPN技术，能够迅速建立和重构网络 简化了企业联网和广域网操作 提高了网络可靠性 VPN网络有很好的兼容性和可扩展性 企业可以利用 VPN 迅速开展新的服务和连接全球的设施 现有VPN协议 PPTP：1996年Microsoft 和Ascend等在PPP协议上开发的。 L2F：1996年Cisco开发的。 L2TP：1997年底，Microsoft 和Cisco共同开发。 IPSec：IETF正在完善，通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性。IPSec由IP认证头（AH）、IP安全载荷封装（ESP）和密钥管理协议（ISAKMP） 基于第二层的VPN PPTP/L2TP 优点： （1）对用Microsoft操作系统的用户很方便 （2）支持多种协议。 （3）支持流量控制，通过减少丢弃包来改善网络性能。 缺点： （1）安全性相对差。 （2）不对两个节点间的信息传输进行监视或控制。 （3）最多只能连接255个用户。 （4）端点用户需要在连接前手工建立加密信道。 VPN技术 VPN概述 VPN的功能 VPN的工作原理 VPN的具体应用 VPN的功能 数据机密性保护 数据完整性保护 数据源身份认证 重放攻击保护 数据机密性保护 数据完整性保护 数据源身份认证 重放攻击保护 VPN技术 VPN概述 VPN的功能 VPN的工作原理 VPN的具体应用 VPN的工作原理 隧道基本概念 IPSec协议栈组成 IPSec的工作模式 IPSecVPN的建立方式 隧道基本概念 隧道可在网络的任一层实现 最常用的是两层：数据链路层和网络层 数据链路层隧道：一个链路帧被放到了其它链路层的协议数据单元（PDU）中,该链路层还包括另外的链路帧，如：PPTP, L2F, L2TP 构成的VPN 网络层隧道：第三层的包被放到其它层或另外的第三层包中，如IPsec 的AH和ESP隧道模式； 封装：当某层的PDU被放到另外一个PDU中的有效载荷时，把这种处理方式叫做封装 隧道基本概念 隧道在VPN中的三大作用是什么？ 将一种协议封装到不同的协议是为了在IP基础设施中传输； 通过公共寻址设施路由私有地址包； 提供数据完整性和机密性服务。 IPSec 概念 IPSec 框架的组成 IPsec协议栈组成 IPsec由一系列协议组成： RFC2401(规定了IPsec的基本结构) RFC2402（验证头） RFC2406（封装安全载荷） RFC2407（用于Internet安全联盟和密钥管理协议 ISAKMP的Internet IP安全解释域） RFC2408（ISAKMP） RFC2409（Internet密钥交换，IKE） RFC2411（IP安全文档指南） RFC2412（OAKLEY密钥确定协议）等。 IPsec组件包括安全协议验证头（AH）和封装安全载荷（ESP）、安全关联（SA）、密钥交换（IKE）及加密和验证算法等。 传输模式 传输模式用于两台主机之间，保护传输层协议头，实现端到端的安全。 它所保护的数据包的通信终点也是IPsec终点。 实施点：当数据包从传输层递给网络层时，AH和ESP会进行“拦截”，在IP头与上层协议头之间需插入一个IPsec头（AH头或ESP头）。 实施顺序：当同时应用AH和ESP传输模式时，应先应用ESP，再应用AH，这样数据完整性可应用到ESP载荷。 隧道模式 实施场景：隧道模式用于主机与路由器或两部路由器之间，保护整个IP数据包。 处理：它将整个IP 数据包（称为内部IP头）进行封装，然后增加一个IP头（称为外部IP头），并在外部与内部IP头之间插入一个IPsec头。 该模式的通信终点由受保护的内部IP头指定，而IPsec终点则由外部IP头指定。如果IPsec终点为安全网关，则该网关会还原出内部IP包，再转发到最终的目的地。 IPsec支持嵌套隧道，即对已隧道化的数据包再进行隧道化处理。 认证头部（AH） 传输模式下的AH认证工作原理 隧道模式下的AH认证工作原理 负载安全封装（ESP） 传输模式下的ESP工作原理 隧道模式下的ESP工作原理 组合IPSec 协议 AH与ESP协议区别 VPN隧道的建立方式 Host to Host VPN Gateway to VPN Gateway Remote User to VPN Gateway 一个完整的VPN工作原理图 VPN技术 VPN概述 VPN的功能 VPN的工作原理 VPN的具体应用 VPN应用 用VPN连接分支机构