vpn-1基础.pptVIP

为什么要用到VPN？ 窃听攻击： 窃听的工具 解决窃听攻击： 链路加密（PPP，HDLC） VPN加密（数据包负荷加密） 伪装攻击： ARP攻击 解决方法： pix授权（ASA自适应代码表） VPN散列函数（MD5和SHA） 中间人攻击： 会话回放攻击：捕捉双方的数据，加以回放！ UDP和ICMP植入 解决：PIX VPN:设备验证 数据包完整性检查 加密 什么是VPN？ 1.加密的隧道 2.使用的协议：GRE,IPSEC,PPTP,SSL,L2TP,MPLS 3.加密数据 4.保护internet流量 5.保护流量不被黑客攻击 VPN的模式 传输模式 隧道模式 传输模式以及他的特点 隧道加密 上面的加密是放到主机对服务器，或者服务器对主机，主机对主机 下面的这种加密是在pix，vpn3000，路由器来做的 VPN类型 Site to site Remote VPN Pix VPN User to user VPN的分类 1.intranet 企业内部网络LAN 2.extannet 公司的总部与分部之间的关系 3.internet 因特网内的VPN VPN的组件 1.验证 2.封装方法 3.数据加密 4.数据包的完整性 5.密钥管理 6.抗抵赖性 7.应用程序和协议的支持 8.地址的管理 验证 验证：设备验证 用户验证 设备验证：预共享密钥 数字签名或者证书 预共享密钥：双双互联，每增加一个互联体，增加一个密钥，手动添加，如果节点过多，不利用CPU的运算。 数字签名和证书本身不产生密钥，是通过密钥发放机构去提取证书或者密钥. 例子：网上银行的CA密钥卡或者u盾 用户验证：就是提供帐户和密码，一般设备验证和用户验证都是合并使用的。就是用设备去比较和教研，采用用户验证提供登录。 封装 应用层的封装 2层的封装 3层的封装 加密组件 对称加密和非对称加密 DES,3DES,AES,RSA,IDEA,SEAL,RC4 数据包的完整性 加密其实是一种对数据再处理再封装的一种过程，会消耗CPU的运算，如果说，被黑客所利用，转换为DOS攻击，洪流技术，让你不停去运算是否符合。 利用签名技术来完成数据包完整性的问题，必要的时候数据包要被切割。 密钥管理 动态密钥管理 静态密钥管理 抗抵御性 进一步的验证身份 例子：在vpn加密以后，再次进行CA的一种教研的模式，比如：银行卡的电子商务 应用程序与协议的支持 IP协议 IPX APPLETAKE 地址的管理 我们通过图形分析一下地址的分配： DHCP AAA VPN设计 连接类型： 点对点 网络对网络 全网互联 部分互联 冗余的考虑 VPN联网需要考虑的事情 1.被保护和非被保护的流量：用传递的信道的带宽来保护VPN的流量，对流量进行划分，著名的VPN分离隧道技术。 2.碎片（MTU+VPN要末分割数据，要末修改mtu的数值） 3.Https和SSL不需要保护 4.对那些流量可以进行保护 5. VPN冗余 VPN的实施 GRE IPSEC PPTP L2TP MPLS SSL GRE Cisco开发的，RFC1701 2784 对多种协议的支持，IP,IPX 只有CISCO设备可以用 缺少保护 IPSEC 只支持IP协议，3层的协议，IPSEC优势是提供了安全的保证 AH=头部验证 ESP=压缩校验 PPTP 微软发明，RFC2637 PPTP:PPP MPPE 微软的点对点的加密协议 支持多种协议 L2TP 链路层协议 Cisco L2F 微软的PPTP 用IPSEC做传输保证，也是他的2层协议 MPLS 多协议链路标签技术 他指明了一个数据包如何通过一种有效的方式送到一个目的地。 MPLS通过VC来传递VPN, 你可以把他理解为FR和ATM的核心。 MPLS可以分离流量，可以用IPSEC来加密MPLS。 主要作用是对IP进行标记 SSL 对web的一种加密技术 他是一个软件，你可以安装后，把他内嵌到我们的