网络安全技术VPN.pptVIP

第9章 VPN技术及应用 9.1 VPN技术概述 9.1.1 VPN的概念 VPN（Virtual Private Network，虚拟专用网）是利用Internet等公共网络的基础设施，通过隧道技术，为用户提供一条与专用网络具有相同通信功能的安全数据通道，实现不同网络之间以及用户与网络之间的相互连接。IETF草案对基于IP网络的VPN的定义为：使用IP机制仿真出一个私有的广域网。如图9-1（a）所示的是VPN的物理拓扑，其功能等价于9-1（b）所示的逻辑拓扑。 9.1.2 VPN的基本类型及应用 1．内联网VPN 内联网VPN（Intranet VPN）的组网方式如图9-2所示。这是一种最常使用的VPN连接方式，它将位于不同地址位置的两个内部网络（LAN1和LAN2）通过公共网络（主要为Internet）连接起来，形成一个逻辑上的局域网。位于不同物理网络中的用户在通信时，就像在同一局域网中一样。 2．外联网VPN 外联网VPN（Extranet VPN）的组网方式如图9-3所示。与内联网VPN相似，外联网VPN也是一种网关对网关的结构。在内联网VPN中位于LAN1和LAN2中的主机是平等的，可以实现彼此之间的通信。但在外联网VPN中，位于不同内部网络（LAN1、LAN2和LAN3）的主机在功能上是不平等的。 3．远程接入VPN 远程接入VPN（Access VPN）的组网方式如图9-4所示。远程接入VPN也称为移动VPN，即为移动用户提供一种访问单位内部网络资源的方式，主要应用于单位内部人员在外（非内部网络）访问单位内部网络资源的情况下，或为家庭办公的用户提供远程接入单位内部网络的服务。 9.1.3 VPN的实现技术 1． 隧道技术 隧道（Tunneling）技术是VPN的核心技术，它是利用Internet等公共网络已有的数据通信方式，在隧道的一端将数据进行封装，然后通过已建立的虚拟通道（隧道）进行传输。在隧道的另一端，进行解封装操作，将得到的原始数据交给对端设备。 在进行数据封装时，根据在OSI参考模型中位置的不同，可以分为第二层隧道技术和第三层隧道技术两种类型。其中，第二层隧道技术是在数据链路层使用隧道协议对数据进行封装，然后再把封装后的数据作为数据链路层的原始数据，并通过数据链路层的协议进行传输。 第二层隧道协议主要有： · L2F（Layer 2 Forwarding，主要在RFC 2341文档中进行了定义） · PPTP（Point-to-Point Tunneling Protocol，主要在RFC 2637文档中进行了定义） · L2TP（Layer 2 Tunneling Protocol，主要在RFC 2661文档中进行了定义） 第三层隧道技术是在网络层进行数据封装，即利用网络层的隧道协议将数据进行封装，封装后的数据再通过网络层的协议（如IP）进行传输。第三层隧道协议主要有： · IPSec（IP Security，主要在RFC 2401文档中进行了定义） · GRE（Generic Routing Encapsulation，主要在RFC 2784文档中进行了定义） 2． 加密技术 在VPN解决方案中最普遍使用的对称加密算法主要有DES、3DES、AES、RC4、RC5、IDEA等，算法。使用的非对称加密算法主要有RSA、Diffie-Hellman、椭圆曲线等。 3． 身份认证技术 目前采用的身份认证技术主要分为非PKI体系和PKI体系两类，其中非PKI体系主要用于用户身份认证，而PKI体系主要用于信息认证。 其中非PKI体系一般采用“用户ID+密码”的模式，目前在VPN系统中采用的非PKI体系的认证方式主要有： （1） PAP（Password Authentication Protocol，密码认证协议）。 （2） CHAP（Challenge-Handshake Authentication Protocol，询问握手认证协议）。 （3） EAP（Extensible Authentication Protocol，扩展身份认证协议）。 （4） MS-CHAP（Microsoft Challenge Handshake Authentication Protocol，微软询问握手认证协议）。 （5） SPAP（Shiva Password Authentication Protocol，Shiva密码认证协议）。 （6） RADIUS（Remote Authentication Dial In User