网络安全运行与维护配套资源M6 实施VPN网关接入安全.pptVIP

任务实施 〖步骤3〗使用VPN网关实现Access VPN的安全 第4步：VPN隧道建立测试 ② 在管理设备上查看隧道信息。 总结 1．使用VPN网关实现远程接入VPN 2．使用VPN网关实现站点到站点的VPN * * * * * * * * * * * * * * * * * 《网络安全运行与维护》 模块六 网络安全设备配置 总体概述 拓维公司虽然前期在北京总部和天津分公司的网络连接上，实施了路由安全认证技术，但是公司希望进一步加强北京总部和分公司之间的通信安全。公司决定在保障路由安全的基础上，构建私有专用网络，实现企业网数据在Internet上的安全传输。 安装防火墙保护企业网安全。 部署VPN设备构建私有专用网络安全。 能力单元3 实施VPN网关接入安全 任务描述 在拓维的分公司，有很多业务数据需要通过Internet传输到北京总部，在前期网络接入时，通过路由安全认证技术保障了网络层协议的安全，但应用层的服务得不到很好的安全保障，这给公司的一些保密信息传输带来了安全隐患。 公司希望通过Internet构建北京总部和分公司之间的私有专用网络，保障公司的私有信息在Internet上安全传输。 任务分析 IPSec VPN技术通过隧道技术、加密技术、密钥管理技术和认证技术，有效地保证了数据在Internet上的安全传输。通过建立IPSec VPN的加密隧道，可以实现北京总公司和分公司之间的安全传输。 配置VPN网关设备。 使用VPN网关实现远程接入。 相关知识 VPN VPN（Virtual Private Network，VPN）是建立在Internet上的私有专用网络技术，企业内部的重要数据通过构建的“加密管道”，在Internet中安全传输。通过加密技术可以防止数据在Internet中传输时被窃听和篡改，可以验证数据的真实来源，具有成本低廉（相对于专线和长途拨号）、应用灵活、可扩展性好等多项特性，是实现企业网络跨地域安全互联的主要技术。 企业只需要租用本地的数据专线，或通过用户拨号方式连接到本地的公共信息网，就可以实现分散地点间的企业用户安全传输数据。 相关知识 VPN的基本功能 企业中的信息在通过Internet实现跨地域传输时，需要在企业间建立安全的数据专用通道，该通道应具备以下安全要素：保证数据的真实性、完整性和机密性；提供动态密钥交换功能和集中安全管理服务；提供安全防护措施和访问控制等。 相关知识 VPN常用术语 （1）隧道 隧道是网络中的虚拟点到点连接，它利用一种网络协议来传输另一种网络协议。 （2）加密/解密 加密技术是最常用的安全保密技术，是指利用技术手段把重要的数据变为乱码（加密）传送，到达目的地后再用相同的手段还原（解密）成明文。加密技术包括两个元素：算法和密钥。 相关知识 VPN常用术语 （3）散列算法 散列算法是一种数据完整性技术，使用一种公式或算法将变长的消息和共享密钥转换为长度固定的比特串，消息（或密钥）和散列值通过网络从信源传输到目的地，在目的地重新计算散列值以确保消息（或密钥）通过网络传输时没有被修改。 （4）身份验证 身份验证用来验证实体或对象的身份，包括确认信息的来源和完整性，如验证数字签名、用户或计算机的身份。 相关知识 VPN常用术语 （5）授权 授权是对通过身份验证的用户或进程，授予其访问计算机或网络连接资源的权利。 （6）密钥管理 密钥管理包括密钥产生到密钥销毁的各个方面，是管理和控制进程用于生成、存储、保护、传输、加载、使用和销毁密钥，主要表现于管理体制、管理协议和密钥的产生、分配、更换和注销等。 相关知识 VPN常用术语 （7）认证服务 认证服务是通过创建和授予加密数字证书，确保网络实体或用户之间通信安全的第三方服务。例如，CA认证可以确保证书中数据安全条款的约束力，还可以创建用户加密密钥。 （8）验证报头 验证报头（Authenticaton Header，AH）是IPSec协议的一种重要的数据封装方式，为IP数据包提供了数据完整性、数据源身份验证以及抗重放攻击服务，但不提供数据的机密性保护。 相关知识 VPN常用术语 （9）封装安全有效负载 封装安全有效负载（ESP）是一种安全协议，它通过对要保护的数据进行封装提供数据保密、数据完整性和保护服务，还可以提供数据来源验证和重发服务。 （10）互联网密钥交换 互联网密钥交换（Internet Key Exchange Protocol，IKE）是IPSec体系结构中的一种主要协议，它协同ISAKMP 提供密钥生成材料和其它安全体系。 相关知识 VPN常用术语 （11）安全联盟 SA是一组用于保护信息的策略和密钥，它使用Internet安全联盟和密钥管理协议来保护通信，是通信对等体共同使用的策略和密钥。 （12）远