虚拟私人网路VPN.pptVIP

第9章 虛擬私人網路VPN 大綱 VPN簡介 VPN服務類型 VPN建構方式 VPN實施技術 IP Sec協定 VPN簡介 VPN架構圖 VPN簡介 VPN特性 節省成本 具有彈性 具有擴充性 虛擬通道 通道私有性 VPN服務類型 Intranet VPN服務 VPN服務類型 VPDN服務 VPN服務類型 Extranet VPN服務 VPN服務類型 企業VPN網路架構 VPN建構方式 現有路由器升級 在伺服器與防火牆加裝VPN軟體 使用專屬VPN設備 VPN實施技術 通道技術(Tunneling) 加解密技術(Encryption and Decryption) 密鑰管理技術(Key management) 認證技術(Authentication) VPN實施技術 通道技術(Tunneling) VPN實施技術 加解密技術(Encryption and Decryption) 對稱式密碼學(Symmetric Cryptography) 又稱密鑰加密，其加解密均使用相同鑰匙，例如：DES、RC2。 非對稱式密碼學(Asymmetric Cryptography) 又稱公鑰加密，其加解密使用不同的鑰匙，例如：RSA。由於對稱式密碼技術之運算速度較非對稱式密碼技術快，因此目前加密標準均採用DES或Triple DES。 VPN實施技術 密鑰管理技術(Key management) SKIP (Simple Key Management for IP) 使用Difee-Hellman演算法提供四種獨立之網路安全服務，包括： 存取控制 加解密 確認資料完整性 金鑰與認證管理 ISAKMP/Oakley (Internet Security Agreement/Key Management Protocol/Oakley) 主要定義辨識、確認及分配密鑰的方法。 VPN實施技術 認證技術(Authentication) X.509憑證(Certification) PAP (Password Authentication Protocol) CHAP (Challenge Handshake Authentication Protocol) RADIUS (Remote Authentication Dial-in User Service) IP Sec協定 由IETF(Internet Engineering Task Force，網際網路工程工作小組)所制定之標準 提供Internet、Intranet、Extranet及Remote Access之加密及認證等安全保護 可防止IP被偽裝及或錯誤遞送封包，提高資料封包傳輸之可靠度 IPSec之設計主要達到「網路層」之安全通訊，其所能提供的安全服務包括 網路元件的存取控制 封包偵測 資訊加密 資料來源認證 IP Sec協定 IP Sec 架構圖 IP Sec協定 IP Sec 模式 認證標頭AH 傳送模式(Transport Mode) 通道模式(Tunnel Mode) 封裝安全負載ESP 傳送模式(Transport Mode) 通道模式(Tunnel Mode) IP Sec協定 AH 認證 IP Sec協定 ESP 協定 * VPN Internet Internet傳輸 Internet VPN連線 組織總部 分公司 VPN通道 透過ISP撥接 Internet VPN連線 組織總部 VPN通道 透過ISP撥接 業務員或行動用戶 Internet VPN連線 組織總部 合作夥伴 VPN通道 Internet 企業總部 分公司 合作夥伴 行動用戶 VPN通道 VPN通道 VPN通道 VPN通道 IPv4、IPv6 IP、IPX、AppleTalk等 適用協定 可 否 否 Internet使用 多點傳輸 多點傳輸 點對點傳輸 VPN功能 第三層 第二層 第二層 OSI協定層 IPSec L2TP PPTP IP Sec架構 ESP AH IKE 加密演算法 驗證演算法 IP Sec DOI IP 負載資料 (IP Payload) AH標頭 原始IP標頭 (IP Header) AH 傳輸模式 IP 負載資料 (IP Payload) 原始IP標頭 (IP Header) IP datagram 認證 IP 負載資料 (IP Payload) 原始IP標頭 (IP Header) AH標頭 (New IP Header) AH 通道模式 認證 *