信息安全技术第7章虚拟专用网.ppt

第7章 虚拟专用网 本章概要 7.1 虚拟专用网的基本概念 7.1.1 什么是虚拟专用网？ VPN技术是指在公共网络中建立专用网络，数据通过安全的“加密管道”在公共网络中传播。企业只需要租用本地的数据专线，连接上本地的公众信息网，各地的机构就可以互相传递信息;同时，企业还可以利用公众信息网的拨号接入设备，让自己的用户拨号到公众信息网上。就可以连接进入企业网中。一使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处，是企业网络发展的趋势。 7.1.2VPN的功能. 7.1.3 VPN的分类 内部网VPN 内部网是通过公共网络将某一个组织的各个分支机构的LAN联结而成的网络。这种类型的LAN到LAN的联结所带来的风险最小，因为公司通常认为他们的分支机构是可信的，这种方式联结而成的网络被称为Intranet，可看作是公司网络的扩展。 当一个数据传输通道的两个端点被认为是可信的时候，可以选择内部网VPN解决方案。安全性主要在于加强两个VPN服务器之间加密和认证的手段。 内部网VPN参见下页图7.3： 远程访问VPN 典型的远程访问VPN是用户通过本地的信息提供商(ISP)登陆到Internet上，并在现在的办公室和公司内部网之间建立一条加密通道。 有较高安全度的远程访问VPN应能截获特定主机的信息流，有加密、身份认证和过滤等功能。 远程访问VPN参见下页图7.4： 外联网VPN 外联网VPN为公司商业伙伴、客户和在远地的雇员提供安全性。外联网VPN的主要目标是保证数据在传输过程中不被修改，保护网络资源不受外部威胁。 外联网VPN应是一个由加密、认证和访问控制功能组成的集成系统。通常将公司的VPN代理服务器放在一个不能穿透的防火墙之后，防火墙阻止来历不明的信息传输。所有经过过滤后的数据通过一个唯一的入口传到VPN服务器，VPN在根据安全策略进一步过滤。 外联网VPN参见下页图7.5： 7.2.1 SOCK v5 e. SOCK v5同防火墙一起使用，防止防火墙的漏洞。 f. SOCK v5能为认证、加密和密钥管理提供“插件”模块。 g. SOCK v5可根据规则过滤数据包。 2.缺点 因SOCKv5通过代理服务器来增加一层安全性，因此性能比低层协议差，需要比低层协议制订更为安全的管理策略。 总体来说，SOCKv5协议的优势在于更细致的访问控制，因此适合于安全性要求很高的VPN。 7.2.2 IPSec e.可确保运行在TCP/IP协议上的VPN之间的互操作性。 2.缺点 a. 不太适合动态IP地址分配(DHCP) b. 除TCP/lP协议外，不支持其他协议。 c. 除包过滤外，没有指定其他访问控制方法。 IPSec主要用于： 认证：用于对主机和端点进行身份鉴别； 完整性检查：保证数据在经过网络传输时没有被修改； 加密：加密IP地址和数据以保证私有性。 7.2.3 PPTP / L2TP 1.优点 a. 不但支持微软操作系统，还支持其他网络协议。 b. 通过减少丢弃包来改善网络性能，可减少重传。 2.缺点 a. 将不安全的IP包封装在安全的IP包内。＿ b. 不对两个节点间的信息传输进行监视和控制。 c. 并发连接最多255个用户。 d. 用户需要在连接前手工建立加密信道。 e. 认证和加密受到限制，没有加密和认证支持。 7.3 基于IPSec协议的VPN体系结构 7.4VPN产品 Cisco客户可以在众多的VPN3000集中器中选择最适合自己需求和应用的具体型号，这些型号支持各种企业客户，包括从只有不到100个远程访问用户的小公司到有多达10000名同时远程用户的大型机构。思科VPN3000集中器的任何一种版本，都可以在不增加更多费用的情况下提供CiscoVPN客户机，并给予不受限制的安装许可证。思科VPN3000集中器提供非冗余和冗余两种配置，允许客户构建最稳健、最可靠和经济高效的网络。另外，还提供高级路由功能，如OSPF、RIP和网络地址转换(NAT)。 有关VPN产品的新特性。请参考相关VPN厂商的网站。 第7章结束！ 内 部