国瑞办公自动化系统简介.ppt

与其他VPN协议的对比 L2TP、PPTP：主要用于客户端接入专用网络。本身的安全性比较弱，需要依靠IPSec来提供进一步的安全性。 MPLS：能够提供与传统的ATM，FR同等的安全性，但本身没有加密，认证机制，对数据的机密性等保证需要依靠IPSec来进一步保证。 IPSec是弥补其他VPN技术的安全性的有效保证。 实时入侵检测系统 VPN即虚拟专用网，是指一些节点通过一个公用网络（通常是因特网）建立的一个临时的、安全的连接，它们之间的通信的机密性和完整性可以通过某些安全机制的实施得到保证 特征 虚拟(V)：并不实际存在，而是利用现有网络，通过资源配置以及虚电路的建立而构成的虚拟网络 专用(P)：只有企业自己的用户才可以联入企业自己的网络 网络(N)：既可以让客户连接到公网所能够到达的任何地方，也可以方便地解决保密性、安全性、可管理性等问题，降低网络的使用成本 VPN（虚拟专用网络）是通过公共介质如Internet扩展公司的网络 VPN可以加密传输的数据，保障数据的机密性、完整性、真实性 防火墙是用来保证内部网络不被侵犯，相当于银行的门卫； 而VPN则是保证在网络上传输的数据不被窃取，相当于运钞车。 VPN的隧道协议 VPN的关键技术在于通信隧道的建立，数据包通过通信隧道进行封装后的传送以确保其机密性和完整性 通常使用的方法有： 使用点到点隧道协议PPTP、第二层隧道协议L2TP、第二层转发协议L2F等在数据链路层对数据实行封装 使用IP安全协议IPSec在网络层实现数据封装 使用介于第二层和第三层之间的隧道协议，如MPLS隧道协议 PPTP/ L2TP 1996年，Microsoft和Ascend等在PPP协议的基础上开发了PPTP，并将它集成于Windows NT Server4.0中，同时也提供了相应的客户端软件 PPTP可把数据包封装在PPP包中，再将整个报文封装在PPTP隧道协议包中，最后，再嵌入IP报文或帧中继或ATM中进行传输 PPTP提供流量控制, 采用MPPE加密算法 1996年，Cisco提出L2F（Layer 2 Forwarding）隧道协议 1997年底，Micorosoft和Cisco公司把PPTP协议和L2F协议的优点结合在一起，形成了L2TP协议 L2TP协议综合了PPTP协议和L2F（Layer 2 Forwarding）协议的优点,并且支持多路隧道，这样可以使用户同时访问Internet和企业网。 L2TP可以实现和企业原有非IP网的兼容，支持MP（Multilink Protocol），可以把多个物理通道捆绑为单一逻辑信道 PPTP/ L2TP 优点： 支持其他网络协议 （如Novell的IPX，NetBEUI和Apple Talk协议 ） 支持流量控制 缺点： 通道打开后，源和目的用户身份就不再进行认证，存在安全隐患 限制同时最多只能连接255个用户 端点用户需要在连接前手工建立加密信道，另外认证和加密受到限制，没有强加密和认证支持。 PPTP和L2TP最适合用于远程访问虚拟专用网。 IPSec VPN IPSec是一种由IETF设计的端到端的确保基于IP通讯的数据安全性的机制。IPSEC支持对数据加密，同时确保数据的完整性。 IPSEC使用验证包头（AH，在RFC 2402中定义）提供来源验证（source authentication），确保数据的可靠性； IPSec使用封装安全负载（ESP，在RFC 1827 中定义）进行加密，从而确保数据机密性。 在IPSec协议下，只有发送方和接受方知道秘密密钥。如果验证数据有效，接受方就可以知道数据来自真实的发送方，并且在传输过程中没有受到破坏。 IPSec有两种应用模式：传送模式和隧道模式 IPSec VPN 传输模式： 使用原始明文IP 头，并且只加密数据，包括它的TCP 和UDP 头。 这种模式适用于小型网络和移动客户端。 隧道模式： 隧道模式处理整个IP 数据包：包括全部TCP/IP 或UDP/IP 头和数据，它用自己的地址做为源地址加入到新的IP 头。 隧道模式被用在两端或是一端是安全网关的架构中，例如装有IPSec 的防火墙。使用了隧道模式，防火墙内很多主机不需要安装IPSec 也能安全地与外界通信，并且还可以提供更多的便利来隐藏内部服务器主机和客户机的地址。 IPSec VPN 优点： 可提供高强度的安全性（数据加密和身份验证） 对上层应用完全透明 支持网络与网络、用户与用户、网络与用户多种应用模式 缺点： 只支持IP协议 目前防火墙产品中集成的VPN多为使用IPSec 协议 ，在中国其发展处于蓬勃状态。 MPLS VPN 是在网络路由和交换设备上应用MPLS (Multiprotocol L