互联网网络管理与控制互联网网络安全技术-VPN.pptVIP

本章目标 掌握VPN的概念 掌握建立VPN的两种方式 掌握客户VPN的建立及其优缺点 掌握企业VPN的建立及其优缺点 掌握标准VPN的主要组成部分 目前的网络状况 用户面临的挑战 传统远程通信连接方式 专用网络的优点 信息被保留“在文件夹里” 远程站点可以立即交换信息 远程用户没有隔离感 专用网络的缺点 成本太高，不经济 超出预算，不现实 应用VPN进行远程通信 使用VPN解决方案的优势 防止数据在公网传输中被窃听 防止数据在公网传输中被篡改 可以验证数据的真实来源 成本低廉（相对于专线、长途拨号） 应用灵活、可扩展性好 4.1 VPN的概念及特点 用户的需求 保持通信数据的机密性 减少对租用线路的依赖 区分自己与别人的通信数据 使用加密 VPN定义 VPN（Virtual Private Network）中文名称一般称为虚拟专用网或虚拟私有网。它指的是以公用开放的网络(如Internet)作为基本传输媒体，通过加密和验证网络流量来保护在公共网络上传输的私有信息不会被窃取和篡改，从而向最终用户提供类似于私有网络(Private Network)性能的网络服务技术。 VPN的目的 VPN通过一个私有的通道来创建一个安全的私有连接，将远程用户、公司分支机构、公司的业务伙伴等跟企业网连接起来，形成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在，仿佛所有的主机都处于一个网络之中。 VPN的特点 将通信数据加密是为了防止窃听 远程站点必须经过认证 在VPN上支持多种协议 连接是点对点的 VPN的特点－加密数据 加密数据防止窃听 加密算法要足够复杂 DES 3DES AES 密钥要有过期机制 VPN的特点－认证 认证对象 单向：用户向中央服务器 双向：VPN的两端相互认证 认证机制 双重认证 动态密码认证 双向认证方法 事先共享的秘密 数字证书 VPN的特点－支持多协议 VPN的特点－点对点 在VPN的两个端点设置唯一的信道 一个端点可以同时与另一个端口开放几个VPN 每个VPN的数据通过加密来彼此区别 VPN分类 客户VPN 企业VPN 4.2 客户VPN 定义： 客户VPN是个人计算机与企业站点之间的虚拟专用网络，客户VPN一般由旅行或在家工作的员工使用，VPN服务器可以是机构的防火墙或单独的VPN服务器。用户通过本地ISP拨号、DSL线路或调制解调器连接到Internet，并通过Internet与公司企业站点建立一个VPN。 客户VPN 客户VPN的特点－1 公司企业的站点需要用户认证 客户VPN可以让机构限制远程用户能够访问的系统或文件 客户VPN的配置 4.2.1 客户VPN的优点 对于外出旅行的员工而言，无论他们位于何处，都可以访问电子邮件、文件和内部系统，而无需使用昂贵的长途电话连接拨号服务器。 在家工作的员工可以像在企业的办公室中工作的员工一样访问网络服务，而无需使用昂贵的租用线路。 4.3 企业VPN 定义 企业使用企业VPN来连接远程的站点，或者连接两个希望进行商业通信的企业，而无需使用昂贵的租用线路。 跨Internet的站点到站点的VPN 企业VPN类型 总公司到分公司 本公司到其他有合作关系的公司 企业VPN类型－1 企业VPN类型－2 使用企业VPN的特性 启动连接时，一个站点会试图向另一个站点发送通信数据 ，在两个VPN端启动VPN 两个端点协商连接参数 VPN两端进行认证 可以使用企业VPN作为租用线路的备份 4.3.1 企业VPN的优点 节约成本 性价比较高 可以严格限制对内部网络和计算机系统的访问 VPN设计原则－安全性原则 隧道与加密 　L2TP是在ATM网络、帧中继网络或因特网上用来传送PPP（点对点协议）会话的隧道协议。L2TP可以为经常通过远程链接拨入企业网络的用户减少远程拨号网络费用oL2TP通常被称为“虚拟拨号协议”，因为它扩展了因特网上的拨号PPP会话。 通用路由封装 (GRE) 协议结合使用点对点隧道协议 (PPTP) 用于创建虚拟专用网络 (vpn) 客户端之间或客户端和服务器之间。 数据验证 用户识别与设备验证 入侵检测，网络接入控制 网络入侵检测系统需要同VPN设备进行配合，通过分析源自或送至VPN设备的信息流，避免通过VPN连接使内部网络受到攻击。 一般来讲VPN接入的用户可以访问内部网络中大部分资源，可以考虑对VPN接入用户进行分级和控制，确保内部网络的运行安全。 VPN设计原则－QoS保障 构建VPN的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。VPN网络中的QoS需要考虑如下问题： QoS需要在数据通过的整个路径包含的各个设备上进行部署 VPN隧道技术对原始数据进行了