网络安全讲义第10章节.pptVIP

信息技术系 第10章 VPN技术 10.1 VPN的基本概念 10.2 VPN的系统特征 10.3 VPN的原理与协议 10.4 VPN典型应用需求 10.5 企业构建VPN的解决方案与相关设备 教学目标：熟悉VPN概念、作用和系统特征、VPN隧道技术和实现方法以及采用的协议、windows2000系统的VPN协议 10.1 VPN的基本概念 VPN（Virtual Private Network）：虚拟专用网。是在公用网络上构建私人专用网络。VPN技术实现了内部网络信息在公众信息网中的传输，如同在广域网中为用户拉出一条专线。 具体讲是：将物理上分布在不同地点的网络通过公用网络连接成逻辑上的虚拟子网，并采用认证、访问控制、机密性、数据完整性等在公用网络上构建专用网络的技术，使得数据通过安全的“加密管道”在公用网络中传播。 10.2 VPN的系统特征 1 安全保障 所有VPN都要保证通过公用网络平台传输数据的专用性和安全性。利用隧道加密实现。（Extranet VPN） 2 服务质量保障（QoS） VPN应为企业数据提供不同等级的服务质量保障。针对不同的用户和业务提供不同的服务质量保证；充分有效地利用广域网资源，为重要的数据提供可靠的带宽（通过流量预测和流量控制策略实现）。 3 可扩充性和灵活性 VPN必须能够支持通过Intranet和Extranet的任何类型的数据流，方便增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。 4 可管理性 从用户和运营商角度应可以方便地进行管理、维护。包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等 5 降低成本 使用Internet进行传输相对于租用专线，费用低廉。 10.3 VPN的原理与协议 10.3.1 实现VPN的隧道技术 隧道技术：利用一种网络协议传输另一种网络协议，即将原始信息进行再次封装，并在两个端点之间通过公共互联网进行路由，从而保证网络信息传输的安全性。 利用隧道协议实现，包括第二层隧道协议和第三层隧道协议； 第二层隧道协议：用于传输二层网络协议的隧道协议叫二层隧道协议，在数据链路层进行。首先把各种网络协议封装到PPP包中，再把整个数据包装入隧道协议中。把经过双层封装形成的数据包依靠第二层协议进行传输。 第二层协议常见到的有：PPTP（点对点隧道协议）、L2F（第二层转发协议）、L2TP（第二层隧道协议）等 第三层隧道协议：用于传输三层网络协议的隧道协议叫三层隧道协议。在网络层进行，把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输。有Ipsec（IP安全）、GRE（通用路由封装） 隧道技术包括数据封装、传输和解包三个过程。 数据封装：是构建隧道的基本手段，它使得IP隧道实现了信息隐藏和抽象。封装器建立封装报头，追加到纯数据包的前面，当封装的数据包到达解包器时，封装报头被转换成纯报头，数据包被传送到目的地。 隧道封装的特点： 1）源实体和目的实体不知道隧道的存在 2）在隧道的两个端点使用封装、解封过程，需要封装器和解包器两个新的实体 3）封装器和解包器要相互知晓，但无须知道网络上的细节 10.3.2 PPTP协议 点对点隧道协议，是对PPP的扩展，PPTP将PPP帧封装成IP数据包，使其可以在基于IP的网上传输。 通过该协议，远程用户能够通过 Microsoft Windows NT 工作站、Windows 98 等操作系统以及其它装有点对点协议的系统访问公司网络，并能拨号连入本地 ISP，通过 Internet 链接到公司网络。但安全性差。 10.3.3 L2F协议（略） 10.3.4 L2TP 协议（略） 10.3.5 IPSec协议 IPSec是一个第三层VPN协议标准，在 IP 层提供安全服务，它使系统能按需选择安全协议，决定服务所使用的算法及放置需求服务所需密钥到相应位置。IPsec 用来保护一条或多条主机与主机间、安全网关与安全网关间、安全网关与主机间的路径。 IPSec 协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，它包括认证头 Authentication Header (AH) 协议和 封装安全载荷Encapsulating Security Payload (ESP)协议、密钥交换Internet Key Exchange (IKE)协议和用于网络验证及加密的一些算法等。 IPsec 能提供的安全服务集包括访问控制、无连接的完整性、数据源认证、抗重放保护、保密性等。因为这些服务均在 IP 层提供，所以任何高层协议均能使用它们，例如 TCP、UDP、ICMP等。 IPSec在通信开始前，要在两个VPN节点或网关之间协商一个