计算机网络与通信第12周1.ppt

虚拟专用网VPN 虚拟专用网VPN，就是建立在公共网络上的私有专用网。它是一个利用基于公众基础架构的网络，例如Internet，来建立一个安全的、可靠的和可管理的企业间通信的通道。 安全性、可靠性和可管理性这三点要求对于在今天这样一个复杂的计算环境中建立一个虚拟专用网VPN都是最基本的要求，而不是一般公认的虚拟专用网VPN仅仅包括加密和认证。 虚拟专用网VPN的三个关键 安全：包括访问控制、认证和加密技术以保证网络连接的安全、用户的真实和数据通信的隐秘和完整； 通信控制：包括带宽管理和服务质量管理以保证VPN的可靠和高速； 管理：保证VPN和企业安全策略的集成，近程或远程集成的管理和解决方案的可伸缩性。 虚拟专用网VPN的工作定义 隧道、加密、鉴别以及存取控制技术的综合体，和在Internet、IP网或ISP的主干网上管理通信传输的服务器软件。 安全 访问控制 认证 加密 访问控制 访问控制指示了一个虚拟专用网VPN用户的访问自由度，并且控制合作者、雇员和其他外界用户对应用程序和网络不同部分进行访问的访问权限。 一个没有访问控制的虚拟专用网VPN仅仅当数据穿过传输媒介时能够保证数据传输的安全，而没有保证网络本身的安全。 访问控制不仅仅保护数据，也保护企业的整个知识财富和信息，确保虚拟专用网VPN用户能够被授权访问他们所需要的程序和信息，同时有效控制他们访问其他资源。即在保障必需的信息共享的同时，还要保障系统的安全和数据的保密控制。 认证 虚拟专用网VPN实现中有两类认证：用户认证和数据认证。 用户认证是对发送者身份进行确认的过程，数据认证则确保消息从发出到接受未经修改。 一个全面的虚拟专用网VPN解决方案必须同时具有数据和用户认证以确保数据传输。这样的两要素认证方案对传统的“用户名/密码”系统提供最大限度的安全保障，因为它需要两个要素来验证一个用户的身份（通常是一个电子令牌和一个PIN号码）。 加密 加密技术把数据弄乱，只有拥有读懂这个信息的密钥的人才能将其解密。当一个用户被认为合法了，他所传送的数据必须也同时被保护起来。 密钥，就好比一个人的身份证号码，对于认证和加密功能是非常需要的。他们被融入安全处理中，没有密钥不可能解密数据。通常说来，一个密钥越是长，它的加密强度也越高。 密钥管理 一旦选好并实现了加密的密钥长度，下一步是确保密钥通过一个密钥管理系统来保护。 密钥管理是一个分配密钥的过程，定期更新它们或是在必要的时候将它们作废。密钥更新间隔和数据交换之间必须保持一个平衡。过短的间隔将会使虚拟专用网VPN服务器不停地产生新的密钥。而另一方面，过长的间隔会使过多的数据使用同一个密钥。 密钥管理过程必须是自动的，以便保护密钥的完整，因为当一个企业逐渐复杂庞大时，密钥的数量也由此而增长。 通信控制 保证虚拟专用网VPN的性能也是非常关键的，否则VPN将不能按照计划进行工作。作为企业网的扩展，一个VPN自然会增加网络的通信，并且会影响网络的性能。因此，一个虚拟专用网VPN解决方案尽可能保证用户能够有效地访问网络资源，同时了必须尽量少对网络本身产生影响。 一个虚拟专用网VPN解决方案必须保证服务的可靠性和质量，可以让用户来定义企业间的通信管理策略。这个策略能够依据相对优先或相对重要原则，灵活调节由外及内和由内往外的通信的带宽，从而保证关键任务和高度优先的应用程序的性能。 管理 虚拟专用网VPN就像其他安全部件一样，同在一个综合的企业管理控制之中。这样企业就可以为整个网络定义一个独立的，全局的安全策略。这种管理方式有很多优点：转换迅速，容易添加新用户、新部门和新应用程序，而且适合企业策略的变化。 VPN的技术原理 虚拟专用网VPN系统使分布在不同地方的专用网络在不可信任的公共网络上安全地通信。它采用复杂的算法来加密传输的信息，使得敏感的数据不会被窃听。 处理流程： （1）某需要安全保护的主机发送明文信息到连接公共网络的虚拟专用网VPN设备； （2）虚拟专用网VPN设备根据网络管理员设置的规则，确定是否需要对数据进行加密或让数据直接通过； （3）对需要加密的数据，虚拟专用网VPN设备对整个数据（包括要传送的数据、源IP地址和目标IP地址）进行加密和附上数字签名（鉴别）； VPN的技术原理 （4）虚拟专用网VPN设备加上新的数据报头，其中包括目的地虚拟专用网VPN设备需要的安全信息和一些初始化参数； （5）虚拟专用网VPN设备对加密后数据、鉴别包以及源IP地址、目标VPN设备IP地址进行重新封装，重新封装后数据包通过虚拟通道在公网上传输； （6）当数据包到达目标VPN设备时，数据包被解封装，数字签名被核对无误后数据包被解密。 VPN结构（图7-5） 多个Intranet（内部网）通过公网连接起来，各个Intranet位于VPN设备的后