《VPN专讲》公开课件（设计）.pptVIP

虚拟专用网络 ——VPN Virtual private network 内容提要 了解虚拟专用网络（VPN）概述 理解虚拟专用网协议 理解VPN功能 掌握虚拟专用的应用 理解Ipsec VPN 的工作原理 掌握ipsec vpn的实施和设置 了解SSL VPN 简介 （一） 虚拟专用网络概述 新业务的出现：电子商务、电子购物、网络银行 新业务的实现依赖于网络安全技术 虚拟专用网络（VPN,virtual private network）是构建安全网络的重要手段之一。 VPN(虚拟专用网络) VPN的特点 (一)成本低 (二)网络架构弹性大 (三)良好的安全性 (四)管理方便 (二) VPN应用分类 内部网VPN（IntranetVPN） 远程访问VPN（AccessVPN） 外联网VPN（ExtranetVPN） 因特网上数据泄漏的风险 现有VPN解决 PPTP：1996年Microsoft 和Ascend等在PPP协议上开发的。 L2F：1996年Cisco开发的。 L2TP：1997年底，Microsoft 和Cisco共同开发。 IPSec：IETF正在完善，通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性。IPSec由IP认证头（AH）、IP安全载荷封装（ESP）和密钥管理协议（ISAKMP）。 SSL：SSL VPN使用SSL和代理技术，向终端用户提供对超文本传送协议（HTTP）、客户/服务器和文件共享等应用授权安全访问的一种远程访问技术，因此不需要安装专门客户端软件。SSL协议是在网络传输层上提供的基于RSA加密算法和保密密钥的用于浏览器与Web服务器之间的安全连接技术。 基于第二层的VPN PPTP协议（point-to-point Tunneling Protocol）允许对IP、IPX或NetBEUI数据流进行加密，然后封装在IP包头中通过企业IP网络或公共因特网络发送。 L2TP协议( Layer 2 Tunneling Protocol)允许对IP，IPX或NetBEUI数据流进行加密，然后通过支持点对点数据报传递的任意网络发送，如IP，X.25，帧中继或ATM。 L2F协议（Layer 2 forwarding）第二层转发协议（L 2F）用于建立跨越公共网络（如因特网）的安全隧道来将 ISP POP 连接到企业内部网关。这个隧道建立了一个用户与企业客户网络间的虚拟点对点连接。  PPTP/L2TP 优点： （1）对用Microsoft操作系统的用户很方便 （2）支持多种协议。 （3）支持流量控制，通过减少丢弃包来改善网络性能。 缺点： （1）安全性相对差，通道一旦打开，源目的端无需身份认证。 （2）不对两个节点间的信息传输进行监视或控制。 （3）最多只能连接255个用户。 （4）端点用户需要在连接前手工建立加密信道。 （四）VPN的功能 数据机密性保护 数据完整性保护 数据源身份认证 重放攻击保护 数据机密性保护 数据完整性保护 数据源身份认证 重放攻击保护 （五）VPN的工作原理 隧道基本概念 IPSec协议栈组成 IPSec的工作模式 IPSecVPN的建立方式 隧道基本概念 隧道可在网络的任一层实现 最常用的是两层：数据链路层和网络层 数据链路层隧道：一个链路帧被放到了其它链路层的协议数据单元（PDU）中,该链路层还包括另外的链路帧，如：PPTP, L2F, L2TP 构成的VPN 网络层隧道：第三层的包被放到其它层或另外的第三层包中，如IPsec 的AH和ESP隧道模式； 封装：当某层的PDU被放到另外一个PDU中的有效载荷时，把这种处理方式叫做封装 隧道基本概念 隧道在VPN中的三大作用是什么？ 将一种协议封装到不同的协议是为了在IP基础设施中传输； 通过公共寻址设施路由私有地址包； 提供数据完整性和机密性服务。 IPSec 概念 IPSec 框架的组成 IPsec协议栈组成 IPsec由一系列协议组成： RFC2401(规定了IPsec的基本结构) RFC2402（验证头） RFC2406（封装安全载荷） RFC2407（用于Internet安全联盟和密钥管理协议 ISAKMP的Internet IP安全解释域） RFC2408（ISAKMP） RFC2409（Internet密钥交换，IKE） RFC2411（IP安全文档指南） RFC2412（OAKLEY密钥确定协议）等。 IPsec组件包括安全协议验证头（AH）和封装安全载荷（ESP）、安全关联（SA）、密钥交换（IKE）及加密和验证算法等。 传输模式 传输模式用于两台主机之间，保护传输层协议头，实现端到端的安全。 它所保护的数