第十七章网络安全.ppt

第十七章 网络安全 主讲人：刘正华 认识VPN技术 认识VPN技术 认识VPN技术 传统解决方案的不足 实现：对于广域网连接，传统的组网方式是通过远程拨号连接来实现的，利用传统的WAN组建技术，彼此之间要有专线相连才可以达到同样的目的。 不足： 1）租用的帧中继（Frame Relay）与ATM等数据网络提供固定虚拟线路（PVC-Permanent Virtual Circuit）来连接需要通讯的单位，所有的权限掌握在别人的手中 2）两端的终端设备不但价格昂贵，而且管理也需要一定的专业技术人员，无疑增加了成本。 3）帧中继、ATM数据网络也不会像Internet那样，可立即与世界上任何一个使用Internet网络的单位连接。传统的Internet只提供浏览、电子邮件等单一服务,没有服务质量保证,没有权限和安全机制,界面复杂不易掌握。 VPN的优势 VPN是利用服务提供商所提供的公共网络来实现远程的广域连接。通过VPN，企业可以以明显更低的成本连接它们的远地办事机构、出差工作人员以及业务合作伙伴、企业内部资源享用者只需连入本地ISP的POP（Point Of Presence，接入服务提供点）即可相互通信；。 接入服务器的用户身份认证服务器支持漫游，甚至不必拥有本地ISP的上网权限。这对于流动性很大的出差员工和分布广泛的客户与合作伙伴来说是很有意义的。并且企业开设VPN服务所需的设备很少，只需在资源共享处放置一台VPN服务器就可以了。 VPN的优势 服务提供商来说，在通过向企业提供VPN这种增值服务，ISP可以与企业建立更加紧密的长期合作关系，同时充分利用现有网络资源，提高业务量。 对于企业而言，利用Internet组建私有网，将大笔的专线费用缩减为少量的市话费用和Internet费用。据报道，局域网互联费用可降低20～40％，而远程接入费用更可减少60～80％， VPN的优势 VPN大大降低了网络复杂度、VPN用户的网络地址可以由企业内部进行统一分配、VPN组网的灵活方便等特性简化了企业的网络管理，另一方面，企业甚至可以不必建立自己的广域网和接入网维护系统，而将这一繁重的任务交由专业的ISP来完成； VPN提高了整个企业网的互联性，同时良好的扩展性使得企业更好、更快地适应Internet经济的发展，把握商机； VPN的优势 在VPN应用中，通过远端用户验证以及隧道数据加密等技术保证了通过公用网络传输私有数据的安全性。 17.1 虚拟专用网VPN技术 虚拟专用网（VPN）定义：指的是依靠ISP（Internet服务提供商）和其他NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。 虚拟专用网（VPN）特点： 从定义上看，VPN首先是虚拟的，也就是说VPN并不是某个公司专有的封闭线路或者是租用某个网络服务商提供的封闭线路。但VPN同时又具有专线的数据传输功能，虽然VPN通讯建立在公共互联网络的基础上，但是用户在使用VPN时感觉如同在使用专用网络进行通信，所以称为虚拟专用网络。 17.1 虚拟专用网VPN技术 VPN的模型由以下部分组成： （1）VPN客户：将VPN连接初始化为VPN服务器的计算机 （2）隧道：连接中封装数据的部分。 （3）VPN连接：连接中加密数据的部分。 （4）隧道协议：用来管理隧道及压缩专用数据的协议。包括PPTP和L2TP隧道协议。 （5）隧道数据：数据经常在专用点对点的链接间发送 （6）传输互联网络：压缩数据所通过的共享的或公共的网络，通常是IP网络。 17.1 虚拟专用网VPN技术 基于建立的对象，VPN可分为企业内部VPN和企业外部VPN： （1）内部VPN：在敏感部门的网络和企业主网络之间建立的VPN连接，这种VPN在通过验证机制提供安全性的同时，还保证了连通性。该验证机制是在管理网络连接的VPN服务器上实现的。 （2）企业外部VPN：企业外部VPN连接的是公司网络和商业伙伴，供应商或者客户所属的外部网络。 17.1 虚拟专用网VPN技术 基于建立通信的方法，VPN又可分为路由器到路由器VPN和远程访问VPN： （1）路由器到路由器VPN：客户端与一个路由器相连，而路由器再和VPN服务器相连。这种连接只有在客户端和服务器互相验证时才能建立。 （2）远程访问VPN：VPN客户端不需要使用路由器就可以和远程访问VPN服务器直接建立一个连接，远程访问VPN服务器验证该客户端。客户端被验证后，才被允许访问网络以及远程访问服务器管理的资源。 VPN的基本要求 1）用户验证：验证用户的身份、控制只有授权用户才能访问VPN、提供审计和计费功能、显示何人何时访问何种信息。 2）地址管理：为用户分配专用网