linux网络管理及应用.pptVIP

Linux网络管理及应用 第10章 VPN 服务器的配置与应用 目标 了解网络安全相关的概念 了解TCP Wrappers的概念 掌握配置tcpd服务进行主机登录的限制 了解SSH基本概念与起源 掌握OpenSSH的安装配置及应用 了解VPN的基本概念与实现种类 掌握使用FreeS/WAN配置VPN的方法 TCP Wrappers TCPD的概念 hosts.deny和hosts.allow TCPD的概念 tcpd TCPD的概念（Cont.） xinetd TCPD的概念（Cont.） tcpd在xinetd中的使用 xinetd必须编译libwrapper库的支持 改变xinetd中监听到连接请求后启动的程序 hosts.deny和hosts.allow 语法 daemon_list : client_list [ : shell_command] 访问控制列表的访问 hosts.deny和hosts.allow（Cont.） 配置访问控制列表 1、拒绝所有的访问请求（/etc/hosts.deny） 2、配置允许访问的主机和服务 SSH SSH的起源与原理 OpenSSH的基本配置 OpenSSH的基本应用 SSH的起源与原理 传统网络服务的安全问题 网络窃听 中间人攻击 SSH的起源与原理（Cont.） SSH（Secure Shell） 传送加密数据 密钥验证登录 信息 SSH的起源与原理（Cont.） SSH框架结构 SSH的起源与原理（Cont.） 两种认证方式 基于口令的安全验证 基于密钥的安全认证 OpenSSH的基本应用 取代传统的网络应用程序 提供加密通道扩展传统网络应用程序的安全性能 OpenSSH的基本配置 安装 RPM安装 rpm -ivh openssh-3.5p1-6.i386.rpm rpm -ivh openssh-server-3.5p1-6.i386.rpm rpm -ivh openssh-clients-3.5p1-6.i386.rpm rpm -ivh openssh-askpass-3.5p1-6.i386.rpm rpm -ivh openssh-askpass-gnome-3.5p1-6.i386.rpm 源代码包安装 OpenSSH的基本配置（Cont.） 启动 基于口令的验证访问 ssh -l [在服务器上的用户帐户] 服务器地址 OpenSSH的基本配置（Cont.） 基于密钥的验证访问 OpenSSH的基本配置（Cont.） 创建密钥 ssh-keygen 发布公钥 密钥验证登录 OpenSSH的基本应用 ssh OpenSSH客户端（远程登录程序） 语法 使用 OpenSSH的基本应用（Cont.） scp 远程文件安全拷贝工具 语法 使用 OpenSSH的基本应用（Cont.） sftp 安全文件传输程序 语法 使用 OpenSSH的基本应用（Cont.） rsync 快速灵活的远程文件拷贝工具 语法 rsync -e ssh user@sshhost:src des 使用 OpenSSH的基本应用（Cont.） 加密通道 VPN VPN的基础 VPN的几种实现 使用FreeS/WAN配置VPN VPN的使用与调试 VPN的基础 VPN的概念：将物理上分布在不同地点的网络通过公用骨干网联接而成逻辑上的虚拟子网，使在虚拟子网内具有本地网络的一切访问特性 VPN的基础（Cont.） VPN的功能 加密数据 信息认证和身份认证 访问控制 多协议支持 VPN的基础（Cont.） VPN实现技术 隧道技术 IPSec、PPTP、L2F、L2TP… 加解密技术 密钥管理 使用者与设备身份认证技术 隧道的建立 用户验证 令牌卡支持 动态地址分配 数据压缩 数据加密 密钥管理 多协议支持 VPN的几种实现 基于IPSec的VPN 基于PPTP的VPN 基于L2F的VPN 基于L2TP的VPN 基于SSL的VPN IPsec IPsec安全策略 协商安全关联（Negotiated Security Association） 验证报头 (AH) 封装安全报头 IPsec特点 只支持IP数据流 应用程序和高层协议可以继承IPsec的行为 由一个安全策略（一整套过滤机制）进行控制 使用FreeS/WAN配置VPN FreeS/WAN 基于IPsec的VPN实现 官方网站 下载 ftp://ftp.xs4all.nl/pub/crypto/freeswan/ 安装 编译Linux内核，测试内核的启动 应用freeswan的补丁到内核，编译内核和freeswan，安装freeswan 安装新的