hcna security安全v2by第8章技术简介v.pptx

第八章 VPN技术简介目标学完本课程后，您将能够:了解VPN概念了解VPN有哪些关键技术了解VPN分类及应用了解L2TP基本原理知识及基本配置方法掌握GRE VPN的基本原理及配置方法目录VPN技术简介VPN分类VPN技术应用VPN定义VPN虚拟专用网(Virtual Private Network)是一种“通过共享的公共网络建立私有的数据通道，将各个需要接入这张虚拟网的网络或终端通过通道连接起来，构成一个专用的、具有一定安全性和服务质量保证的网络 ”。虚拟 用户不再需要拥有实际的专用长途数据线路，而是利用Internet的长途数据线路建立自己的私有网络 。专用网络 用户可以为自己制定一个最符合自己需求的网络 。VPN常见技术VPN常见技术隧道技术分支机构Internet企业总部SOHO用户出差人员信息明文密钥C=En (K, P)信息密文加解密技术信息密码学加密：明文变密文密码服务完整性保密性加密服务 鉴别性抗抵赖性 Scytale凯撒密码双轨算法密码机加密技术发展史加密技术发展历程 加密技术分类对称加密加密、解密用同一个密钥非对称加密在加密和解密中使用两个不同的密钥，私钥用来保护数据，公钥则由同一系统的人公用，用来检验信息及其发送者的真实性和身份。密钥私钥公钥abcdefabcdef对称加密技术 密钥＝1010110101……共享密钥共享密钥ED*$@g)(!34*^hcftibf加密算法解密算法接收者发送者常见的对称加密算法流加密算法RC4分组加密算法DES3DESAESIDEARC2，RC5，RC6常见的对称加密算法流加密算法RC4分组加密算法DES3DESAESIDEARC2，RC5，RC6abcdefabcdef非对称加密技术 查找公钥库私钥＝1010110101……公钥＝1111010101……接收者公钥接受者私钥ED^(#!b%2(#c7(*@!Cs加密算法解密算法接收者发送者对称与非对称算法对比优点缺点加解密速度快密钥分发问题对称密钥算法加解密对速度敏感密钥安全性高非对称密钥算法密钥交换会话密钥明文密文明文tr09vi16vsk加密tr09vi16vskHuaweiHuawei1解密4传送接收者的私钥接收者的公钥会话密钥会话密钥加密解密23接收者发送者数据认证--散列算法散列算法：把任意长度的输入变换成固定长度的输出h=H(M)常见散列算法MD5SHA-1HuaweiHuaweiHuaweitr09vi16vsktr09vi16vsk哈希函数PGGjx%9$PGGjx%9$身份认证--数字签名接收者发送者没有篡改，是发送者发送的。相同明文7？哈希函数1= 新摘要6tr09vi16vsk 摘要发送者的私钥发送者的公钥452明文明文3数字签名数字签名 持有者：XXX公开密钥: 9f 0a 34 ...有效期: 5/5/2008-5/5/2009序列号: 123465颁发者: 根CA签名: CA 数字签名证书路径: 信任链身份认证--数字证书公钥的载体数字证书的格式X.509由受信任的机构颁发数字证书的存储持有者：XXX公开密钥: 9f 0a 34 ...有效期: 5/5/2008-5/5/2009序列号: 123465颁发者: 根CA签名: CA 数字签名证书路径: 信任链身份认证--数字证书公钥的载体数字证书的格式X.509由受信任的机构颁发数字证书的存储密钥管理技术密钥产生分配保存更换与销毁密钥管理系统一个完整的密钥管理系统应该做到：密钥难以被窃取和复制即使窃取了密钥也没有用，密钥有使用范围和时间的限制密钥的分配和更换过程对用户透明，用户不一定要亲自掌管密钥核心密钥一定要采用分割分责的方式保存密钥管理策略一个完整的密钥管理策略应该做到： 密码策略控制是否允许用户重新使用旧的密码（强制密码历史），在两次更改密码之间的时间（最大密码寿命以及最小密码寿命），最小密码长度以及用户是否必须混合使用大小写字母、数字和特殊字符（密码必须满足复杂性要求）。帐户锁定策略确定了在特定时间段内锁定帐户之前，系统能够接受多少次失败的登录尝试法律要求和服务合同目录VPN技术简介VPN分类VPN技术应用按业务用途划分(1)VPN管理系统企业数据中心总部移动办公人员VPDN网关Access VPN 企业的内部人员移动或远程办公需要，或者商家要提供B2C的安全访问服务。 按业务用途划分(2)VPN管理系统大中型分支机构网关到网关 企业数据中心总部中小型分支机构网关到网关 Intranet VPN 企业内部各分支机构的互联。 按业务用途划分(3)VPN管理系统客 户 企业数据中心总部供 应 商 Extranet VPN 提供B2B（Business to Business）之间的安全访问服务。 按实现层次划分I P S e cG R