信息安全技术 第10章 虚拟专用网络（VPN）技术.pdf

第10章 虚拟专用网络（VPN ）技术 本章学习目标： 了解VPN概念及基本功能 掌握VPN的工作协议 了解VPN的分类 了解SSL VPN的概念与作用 10.1 VPN技术概述 10.1.1 VPN的概念 虚拟专用网（Virtual Private Network，VPN）被定 义为通过一个公用网络（通常是因特网）建立一个临时 的、安全的连接，是一条穿过混乱的公用网络的安全、稳 定的隧道。 VPN依靠ISP（Internet服务提供商）和其他NSP（网络 服务提供商），在公用网络中建立专用的数据通信网络的技 术。在虚拟专用网中，任意两个节点之间的连接并没有传统 专网所需的端到端的物理链路，而是利用某种公众网的资源 动态组成的。 VPN是对企业内部网的扩展。一般以IP为主要通讯协 议。 2 10.1 VPN技术概述 10.1.1 VPN的概念(续) VPN是在公网中形成的企业专用链路。采用“隧道”技 术，可以模仿点对点连接技术，依靠Internet服务提供商 (ISP)和其他的网络服务提供商(NSP)在公用网中建立自己 专用的“隧道”，让数据包通过这条隧道传输。对于不同的 信息来源，可分别给它们开出不同的隧道。 3 10.1 VPN技术概述 10.1.1 VPN的概念(续) 隧道是一种利用公网设施，在一个网络之中的“网络”上 传输数据的方法。隧道协议利用附加的报头封装帧，附加的 报头提供了路由信息，因此封装后的包能够通过中间的公 网。封装后的包所途经的公网的逻辑路径称为隧道。一旦封 装的帧到达了公网上的目的地，帧就会被解除封装并被继续 送到最终目的地。 隧 ①隧道开通器(TI)； 道 基 ②有路由能力的公用网络； 本 ③一个或多个隧道终止器(TT)； 要 素 ④必要时增加一个隧道交换机以增加灵活性。 4 10.1 VPN技术概述 10.1.2 VPN的基本功能 VPN的主要目的是保护传输数据，是保护从信道的一个 端点到另一端点传输的信息流。信道的端点之前和之后， VPN不提供任何的数据包保护。 VPN的基本功能至少应包括： 1）加密数据。以保证通过公网传输的信息即使被他人截获也不会泄 露。 2）信息验证和身份识别。保证信息的完整性、合理性，并能鉴别用户 的身份。 3）提供访问控制。不同的用户有不同的访问权限。 4）地址管理。VPN方案必须能够为用户分配专用网络上的地址并确保地 址的安全性。 5）密钥管理。VPN方案必须能够生成并更新客户端和服务器的加密密 钥。 6）多协议支持。VPN方案必须支持公共因特网络上普遍使用的基本协 5 10.1 VPN技术概述 10.1.3 VPN的特性 安全性 – 隧道、加密、密钥管理、数据包认证、用户认证、访问控制 可靠性 –硬件、软件、基础网络的可靠性 可管理性 –记帐、审核、日志的管理 –是否支持集中的安全控制策略 可扩展性 –成本的可扩展性，如使用令牌卡成本高 –性能，是否考虑采用硬件加速加解密速度 6 10.1 VPN技术概述 10.1.3 VPN的特性(续) 可用性 –系统对应用尽量透明 –对终端用户来说使用方便 互操作性 –尽量采用标准协议，与其他供应商的设备能互通 服务质量 QoS –通过Internet连接的VPN服务质量很大程度取决于Internet 的状况 多协议支持 7 10.2 VPN协议 10.2.1 VPN安全技术