防火墙与VPN技术.pptVIP

* 5.2 VPN技术 * 5.2 VPN技术 第3层隧道协议 IPSec(Internet Protocol Security)，由IETF RFC 2401-2409定义，是一个与互联网密钥交换IKE(Internet Key Exchange)有关的框架协议，主要用于基于防火墙的VPN系统 GRE(Generic Routing Encapsulation)，由IETF RFC 1701/1702定义，规定了怎样用一种网络层协议去封装另一种网络层协议的方法 * 5.2 VPN技术 隧道的基本组成 一个隧道启动器 一个路由网络(Internet) 一个可选的隧道交换机 一个或多个隧道终结器 * 5.2 VPN技术 场点到场点VPN VPN应用实例1 * 5.2 VPN技术 L2TP+IPSEC VPN VPN应用实例2 * 5.2 VPN技术 IPSec IPSEC 协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，包括以下主要协议： AH（Authentication Header）：认证头标 ---为IP通信提供数据源认证、数据完整性和防重播保证，它能保护通信免受篡改，但不能防止窃听，适合用于传输非机密数据。 ESP（Encapsulating Security Payload）：封装安全净载 ---ESP为IP数据包提供完整性检查、认证和加密，可以看作是“超级AH”， 因为它提供机密性并可防止篡改。 IKE（Internet Key Exchange）：Internet密钥交换协议 ---负责协商安全关联和建立隧道 * 5.2 VPN技术 IPSec有两种工作模式： 隧道模式（Tunnel） 可以对IP头和IP数据进行加密认证，即协议使IP包通过隧道传输。 传输模式（Transport） 可以对IP数据进行加密认证，即协议为高层数据提供基本的保护。 * 5.2 VPN技术 选择VPN解决方案： 认证方法：PKI 支持的加密算法：三重DES、AES 支持的认证算法：MD5、SHA1 支持的IP压缩算法：DEFI、ATE、LZS 易于部署 兼容分布式或个人防火墙的可用性 * 5.2 VPN技术 VPN的适用范围： 位置众多，特别是单个用户和远程办公室站点多 用户/站点分布范围广，彼此距离远 带宽和时延要求相对不高 对线路保密性和可用性有一定要求 VPN不适用的范围： 非常重视传输数据的安全性 性能第一位 采用不常见的专用协议，不能在IP隧道中传送 实时的多媒体通信 * 5.2 VPN技术 VPN的分类： 1.按VPN的部署模式分类： 端到端(end to end)模式 供应商——企业(Provider-Enterprise)模式 内部供应商(Intra-Provider)模式 2.按VPN的服务类型分类： 远程接入VPN （Access VPN） 企业内联网VPN （Intranet VPN） 企业外联网VPN （Extranet VPN） * Access VPN 流动员工、远程办公人员使用Access VPN通过公用网络与企业的内部网络建立专用的网络连接 * Intranet VPN 通过公用网络、使用专用连接把企业总部和各远程分部（或分支）连接到内部网络 注意：它只允许企业内部员工访问 * Extranet VPN 通过公用网络、使用专用连接把外部客户、合作伙伴等连接到企业的内部网络 注意：它允许企业之外的用户访问 * 5.2 VPN技术 组建VPN应该遵循的设计原则： 安全性：VPN直接构建在Internet公用网上 网络优化：充分利用有限的广域网资源 VPN管理：网管功能无缝地延伸到公用网 VPN应用的前景 客观因素：Internet带宽和服务质量 主观因素： 用户数据在Internet上传输的安全性 用户自身的业务应用的多少 谢谢指导！ 汇报完毕 电子商务安全导论 电子商务安全导论 电子商务安全导论 第5章 防火墙与VPN技术 * 第5章 防火墙与VPN技术 5.1 防火墙 5.2 VPN技术 * 5.1 防火墙 什么是防火墙？ 防火墙是一类防范措施的总称，它使得内部网络与Internet之间或者与其它外部网络互相隔离、限制网络互访，用来保护内部网络。 设置防火墙的目的： 在内部网和外部网之间设立唯一通道 提供内、外两个网络间的访问控制 通过一定的安全策略防止发生网络安全事件引起的危害 * 5.1 防火墙 防火墙的应用示意图： Internet 企业内部网络（如Intranet) 防火墙系统 （堡垒主机+路由器等） 非安全网络 安全网络 * 5.1 防火墙 Internet