第9章节-VPN与网络互联安全.ppt

第9章 VPN与网络互联安全 重点和难点 VPN的基本功能特点 VPN的三种应用形式（LAN-LAN、WAN-LAN、VPDN）和实现方法 隧道的概念、链路层和网络层常用的隧道协议 掌握 VPN的三种应用形式和实现方法 Windows2000中VPN的一般配置结构 了解 VPN的基本概念和功能特点 隧道的概念及常用隧道协议 9.1 概 述 VPN（VPN，Virtual Private Networks）是一种利用公共网络来构建虚拟专用网的技术，用于构建VPN的公共网络可以是Internet，也可以是帧中继或ATM等。所谓“虚拟”是相对传统局域网的连接方式而言的。对于广域网连接，传统的组网方式是通过远程拨号技术实现的，而VPN是利用服务提供商所提供的公共网络来实现远程的广域连接。通过VPN，企业可以用较低的成本把远端的分支机构、业务合作单位以及出差人员等安全的互联在一起。 根据VPN的应用特点，可以将VPN划分为以下3种形式。 （1）局域网与局域网间的VPN（LAN-LAN VPN） 当一个公司想把总部的局域网络与在其它地方的分支机构的局域网络连在一起时，或一个大学想把分布在不同地区的几个二级学院的局域网络互联时，一个基于公网的VPN解决方案将是一个很好的选择。它可以在很大程度上节约开支，同时，可以保证在局域网间的数据通信的机密性和完整性，比传统的专线方式更经济、更灵活和更易扩展网络。 （3）远程局域网访问的虚拟专用拨号网络VPDN（RAS-LAN VPN） 和局域网与广域网间的VPN相似，可以使用公共交换电话网络（PSTN，Public Switched Telephone Network）把一个局域网络扩展到某个远程用户或移动用户。使这些用户可以通过虚拟专用拨号网络（VPDN，Virtual Private Dialup Networks）来远程拨号访问局域网，并通过数据加密和认证的方式来提高局域网络的安全性能。 使用VPN技术，不仅可以用较低的开支来扩充网络的覆盖范围和提高网络应用的灵活性，而且，更重要的是可以增强在公网上数据通信的保密性和完整性。 （2）局域网与广域网间的VPN（LAN-WAN VPN） 由于VPN是架设在公网之上的，所以很容易将一个局域网络扩展到其它网络上。例如，可以将局域网络扩展到某个合作单位的网络上，或扩展到某些客户网络。VPN访问也可以基于公网策略来进行分组，为不同利益的需求者设置不同的分组，进而形成一个较大的互联网络。这时需要考虑增加防火墙和入侵检测系统，以增强整个网络的安全性能。 在 Windows 2000 中有两种类型的 VPN 技术：一种是点对点隧道协议 (PPTP) 。对于数据加密，PPTP 使用用户级的点到点协议 (PPP) 身份验证方法及 Microsoft 点到点加密 (MPPE，Microsoft Point to Point Encryption)。另一种是带有 IP 协议安全 (IPSec) 的第二层隧道协议 (L2TP) 。L2TP 使用用户级 PPP 身份验证方法和带有 IPSec 数据加密的机器级证书。 从用户的角度讲，VPN 是一种在VPN 用户与VPN 服务器之间的点对点连接。 9.1.2 VPN的功能特点 VPN的基本功能是通过隧道(Tunnel)或虚电路(Virtual Circuit)实现网络互联，支持用户安全管理，提供不同类型的QOS，能够进行网络监控和故障诊断。 VPN的突出特点是投资低、见效快，易实现、易管理、易维护，组网灵活、安全可靠。 VPN采用以下主要技术措施保证信息安全： 1．基于公钥基础设施（PKI）的用户授权体系 PKI是一个包含数字证书、管理机构、证书管理、目录服务的安全系统。通过PKI技术和数字证书技术，可以有效地判别用户身份，同时也提高了基于PKI的应用系统的可用性。 2．身份验证和数据加密 VPN客户端采用基于PKI的数字证书技术，来完成VPN网关服务器和用户身份的双向验证。当用户通过VPN客户端访问VPN网关时，客户端首先验证用户的数字证书和相应的口令。如果验证通过，VPN网关服务器则产生对称会话密钥，并分发给用户。在用户与VPN网关服务器的通信过程中，使用该会话密钥对信息进行加密传输。 3．数据完整性保护 VPN系统对所有传输数据进行Hash摘要并对其进行加密，以实现数字签名，有效地保证了传输数据的完整性。 4．访问权限控制 VPN技术采用细粒度的访问权限列表模式（ACL，Access Control List），这使得管理员可方便地为每个VPN用户分配不同的访问权限。VPN系统的ACL是基于用户身份特征的，其管理与VPN系统的技术维护无关，