计算机网络安全第14章VPN技术.ppt

IPSecVPN的缺陷 IPSec VPN通信性能低。由于IPSec VPN在安全性方面比较高，影响了它的通信性能 IPSec VPN需要客户端软件，可能带来了与其他系统软件之间兼容性问题的风险 安装和维护困难 实际全面支持的系统比较少，很少有能运行在其它PC系统平台的，如Mac、Linux、Solaris 等 不易解决网络地址转换(NAT)和穿越防火墙的问题 SSLVPN的特点 SSL VPN可在NAT代理装置上以透明模式工作； SSL VPN不会受到安装在客户端与服务器之间的防火墙等NAT设备的影响，穿透能力强； SSL VPN将远程安全接入延伸到IPSec VPN扩展不到的地方，降低了部署和支持费用 ； 客户端安全检查和授权访问等操作，实现起来更加方便。 SSL VPN可以在任何地点，利用任何设备，连接到相应的网络资源上。 可以说从功能上讲，SSL VPN是企业远程安全接入的最佳选择。 TLS/SSL 概述 SSL（Secure Socket Layer）安全套接层是一种运行在两台机器之间的安全通道协议；也可以运行在SSL代理和PC之间； 功能：保护传输数据（加密），识别通信机器（认证）； SSL提供的安全通道是透明的，几乎所有基于TCP的协议稍加改动就可以直接运行于SSL之上； 目前，IETF将SSL作了标准化 ，推出TLS传输层安全协议（RFC 2246）整合取代，它工作在TCP之上。TLS1.0与SSL3.0的差别非常微小。 SSL在协议栈的位置 SSL协议组成 握手协议： 对服务器进行认证； 确立用于保护数据传输的加密密钥； 记录协议： 传输数据； 告警协议 SSL连接分为两个阶段，即握手和数据传输阶段；传输任何应用数据之前必须先完成握手。 SSL体系结构 SSL握手协议的握手过程 无客户端认证的全握手过程 会话恢复过程 有客户端认证的全握手过程 SSL记录层的工作流程 SSLVPN的分类 按照SSLVPN的实现方式，可以分为以下三类： 基于Web代理的SSLVPN 基于端口转发的SSLVPN 基于隧道的SSLVPN 基于Web代理的SSLVPN 无须安装任何客户端，真正的跨平台方案 仅支持基于Web方式的访问 非Web应用需要进行应用转换，将基于C/S的Email、FTP、SSH等应用以Web的形式重新实现，实现起来复杂 对于Web页面中的链接，需要进行URL替换 优点：可以用于任何客户端，兼容各种平台访问，智能终端能无缝支持 缺点：支持的应用少，需要为新的应用进行Web转化 基于Web代理的SSLVPN举例 内网服务器链接： https://sslvpnip/http/serverip/path/xx.html 需要将该页面中的所有的链接全部替换为类似的链接，包括静态链接、动态链接等 存在问题：性能影响较大； 由于Web技术繁多，替换不完全 基于端口转发的SSLVPN 对于FTP、EMAIL、OA、TELNET、远程桌面、数据库等用户经常使用的C/S应用，如果采用Web应用转换，对每一种应用单独处理，工作量很大；此外，也改变了用户的使用习惯，不为用户所接受 对于这些应用，采用端口转发技术，客户端需要运行一个较小的ActiveX插件或Java applet程序，在本地端口监听；访问企业内网的应用数据发送到该监听端口，该程序将收到的数据通过浏览器的SSL连接传输到网关，网关再转发给内网服务器。 支持多种TCP应用 端口转发原理 基于隧道的SSLVPN 采用跟IPSecVPN类似的技术，需要安装客户端软件，以及虚拟网卡 到内网服务器的IP报文（虚拟IP?内网服务器）会被客户端软件进行SSL协议封装（真实IP?SSLVPN网关地址），到对端的SSLVPN网关设备再解密解封装，还原为原始IP报文，交给内网服务器 能支持基于TCP、UDP、ICMP协议的各种应用 因工作在套接字层，无IPSecVPN的NAT穿越问题 缺点：平台兼容性不够好 开源代码：OpenVPN PPTP与L2TP PPTP和L2TP都使用PPP协议对数据进行封装，然后添加附加包头用于数据在互联网络上的传输。　　???? PPTP要求互联网络为IP网络。L2TP只要求隧道媒介提供面向数据包的点对点的连接。L2TP可以在IP（使用UDP），桢中继永久虚拟电路（PVCs),X.25虚拟电路（VCs）或ATM VCs网络上使用。 PPTP只能在两端点间建立单一隧道。L2TP支持在两端点间使用多隧道。使用L2TP，用户可以针对不同的服务质量创建不同的隧道。 L2TP可以提供包头压缩。当压缩包头时，系统开销（overhead）占用4个字节，而PPTP协议下要占用6个字节。 L2TP可以提供隧道验证，而PPT