第六 网络通信安全.pptxVIP

6.1 概述网络通信安全 链路层安全机制:PPTP、L2F、L2TP 网络层安全机制:IPSec 传输层安全机制:SSL 应用层安全机制:Http、S/MIME、SET基本安全服务 身份认证、数据保密性、数据完整性网络安全 第六章 网络通信安全使用IP机制仿真出一个私有的广域网，是通过私有的隧道技术在公共数据网络上仿真出一条点到点的专线技术网络安全 第六章 网络通信安全VPN应用背景远程用户的访问企业内部两个局域网的互连远程可信任网络的互连网络安全 第六章 网络通信安全VPN技术原理是指将物理上分布在不同地点的网络通过公用骨干网联接而成逻辑上的虚拟子网，这里的公用网主要指Internet。为了保障信息在Internet上传输的安全性，VPN技术采用了认证、存取控制、机密性、数据完整性等措施，以保证了信息在传输中不被偷看、篡改、复制。由于使用Internet进行传输，相对于租用专线来说，费用极为低廉。所以VPN的出现使企业通过Internet既安全又经济地传输私有的机密信息成为可能。 网络安全 第六章 网络通信安全VPN关键技术隧道技术第二层隧道：PPTP，L2F，L2TP第三层隧道：IPSecVPN的密码技术加解密，身份认证，密钥管理满足：机密性，完整性，可认证性，不可否认性。VPN的QoS机制带宽，反应时间，抖动，丢包率网络安全 第六章 网络通信安全VPN的实现Client – LAN（Access VPN）网络安全 第六章 网络通信安全VPN的实现LAN - LAN网络安全 第六章 网络通信安全VPN的分类根据作用分Vitural Private Dial NetworkIntranet VPNExtranet VPN网络安全 第六章 网络通信安全VPN的分类根据隧道封装协议及协议所在层次第二层VPNL2F/L2TP，PPTP第三层VPNGRE，IPSec其他VPNMPLS，SOCKS 5，SSL网络安全 第六章 网络通信安全VPN的分类根据拓扑分基于网络的VPN隧道两端是通信服务商提供的设备基于用户边缘的VPN隧道两端是用户提供的设备网络安全 第六章 网络通信安全6.2 链路层安全更接近于传统专用网络包括：虚拟网络连接多个VPN共享同一个网络基础设施，但彼此不可见。虚拟路由器对经过路由器本身的数据进行标记，以便将数据分组，与正确的VPN路由器的路由表进行匹配。链路层隧道基于远程拨号接入的隧道协议基于多协议标签交换的隧道技术建立隧道需要：认证技术和加密技术网络安全 第六章 网络通信安全拨号隧道技术PPTP（Point to Point Tunneling Protocol）微软设计定义了一种PPP分组的封装机制，通过使用扩展的通用路由封装协议（GRE）进行封装，使PPP分组在IP网络上传输。网络安全 第六章 网络通信安全拨号隧道技术PPTP（Point to Point Tunneling Protocol）在接入Internet的基础上，客户通过拨号建立到PPTP服务器的连接，该连接称为PPTP隧道。实质上是基于IP协议上的另一个PPP连接。其中的IP包可以封装多种协议数据，包括TCP/IP、IPX和NetBEUI。PPTP 采用了基于RSA公司RC4的数据加密方法，保证了虚拟连接通道的安 全性。PPTP把建立隧道的主动权交给了用户，但用户需要在其PC机上配置PPTP，这样做既增加 了用户的工作量又会造成网络安全隐患。另外PPTP只支持IP作为传输协议。网络安全 第六章 网络通信安全拨号隧道技术封装方法PPP帧的封装将初始PPP帧的有效载荷加密、添加PPP报头，封装成PPP帧。PPP帧再添加GRE报头，形成GRE报文。GRE报文的封装GRE报文外再添加IP报头数据链路层封装网络安全 第六章 网络通信安全拨号隧道技术L2F（Lay 2 Forwarding）由Cisco公司提出的可以在多种介质如ATM、帧中继、IP网上建立多协议的VPN的通信方式。术语NAS (Network Access Server)HGW (Home Gateway)封装和传输链路层封装PPP分组或SLIP分组网络安全 第六章 网络通信安全拨号隧道技术L2F（Lay 2 Forwarding）L2F远端用户能够通过任何拨号方式接入公共IP网络。首先，按常规方式拨号到ISP的接人服务器（NAS），建立PPP连接；NAS根据用户名等信息发起第二次连接，呼叫用户网络的服务器。这种方式下，隧道的配置和建立对用户是完全透明的。 L2F允许拨号服务器发送PPP帧，并通过WAN连接到L2F服务器。L2F服务器将包去封装后，把它们接入到企业自己的网络中。与PPTP和PPP所不同的是，L2F没有定义客户。主要缺陷是没有把标准加密方法包括在内，因此基本上已经成为一个过时