【网络通信安全管理员认证－中级】VPN.pptVIP

拨号客户的安全问题 拨号客户是通信的起点，其保护主要涉及物理安全 人的安全 拨号网段的安全问题 拨号网段把用户的数据送往ISP。如果数据是明文的(没有加密)，那么数据很容易被攻击者窃听，同时ISP也能看到这些敏感数据。 互联网的安全问题 在远程接入环境中，ISP需要构造一条隧道来扩展PPP连接，从而使通信连接可以到达远程ISP接入盒和安全网关。如果该隧道协议不具备强大的安全功能，一个恶意的ISP有可能创建一条伪造的假隧道，从而把用户数据发往一个伪造的网关 如图： 虚假隧道 互联网的安全问题 同样，当数据在隧道当中传输时，互联网中的路由器有可能查看或修改那些没有加密的用户数据包。在用户数据包经过的路径中还可能被别的主机窃听。 通过在互联网中实施链路加密可以有效抵御窃听，但是并不能让用户数据免遭恶意路由器攻击。因为在路由器处，它需要对用户数据包解密，然后依据IP协议头转发到下一个路由器。因此，IETF推荐使用IPSec协议保护隧道通信。 安全网关的安全问题 安全网关的主要用途就是强制访问控制策略(也就是说，只接受所希望进入的通信流，防止内部通信流离开企业内部网)。虽然防火墙或路由器通常受企业网络控制，但对于内部攻击者来说还是有很多的机会访问那些网关解密后，以明文方式在内联网中传输的数据包的。 VPN、防火墙和路由器 在很多应用环境中，IP分组过滤是通过防火墙和路由器来提供的。对于VPN连接需要穿越防火墙或者路由器的情况(如图所示)，防火墙或路由器的配置需要进行适当的修改以允许VPN通信流量通过防火墙或路由器。 VPN、防火墙和路由器 常见VPN应用环境 VPN通常用于以下三种商业网络环境。 1. 远程接入 2. LAN-LAN 通信（外联网接入） 3.可控的内联网接入 远程接入 企业VPN允许移动用户通过因特网拨号进入它们本地的因特网服务供应商(ISP)来接入企业LAN，通常使用远程接入隧道协议，如L2TP，PPTP或L2F。图中使用的是IPSec安全协议。 远程接入 LAN-LAN 通信 同企业LAN没有恒定WAN连接的小型子公司可以使用VPN来接入到本企业的内联网，如图所示。该种方式的内联网互连可以确保通信安全，且其费用相对专线连接要低得多。 LAN-LAN 通信 可控的内联网接入 企业LAN还可以利用VPN技术实现对保密网络当中的特定子网实施可控制接入，如图所示。在这种模式中，VPN客户端连接到一个VPN服务器，该服务器作为客户端和子网内主机的网关。这种VPN通常用于企业同其合作伙伴或供应商之间的安全通信。例如供应商内联网内的某工作站可以同企业内某特定服务器(或防火墙)建立一条VPN连接。由此，工作站和服务器(或防火墙)可以互相认证身份，同时确保通信信息是保密的。如果VPN隧道是在防火墙处终止，那么还可以在企业内联网的DMZ(非军事区，指内网和外网的安全过渡子网)中对通信信息进行额外的安全检查，如病毒查杀或内容过滤。 可控的内联网接入 VPN数据安全性 认证(Authentication) * 该要素确保所连接的远程设备的正确性。认证是通过VPN隧道双方事先配置好的共享秘密或者用户名和口令来完成的。 * 基于IPSec的VPN认证使用一个共享秘密和因特网密钥交换(Internet Key Exchange，IKE)协议来实现，如图所示。IKE利用共享秘密来产生一个密钥。 认证 认证 基于PPTP的VPN 认证使用一个用户名和口令。它使用以下几种协议来完成： ① PAP (Password Authentication Protocol)：口令认证协议 ② CHAP (Challenge Handshake Authentication Protocol)：挑战握手认证协议 ③ MS-CHAP (Microsoft Encrypted CHAP)：微软加密挑战握手认证协议 虚拟专用网 虚拟专用网概说 网络历史的回顾 近十年，Internet发展平静，唯一的最大变化应该是：用户数量的激增 但这一次，不是孤军奋战，带来了一个伙伴---虚拟专用网 1866-先兆 信息时代的开始：2700英里，海底电缆，纽芬兰和爱尔兰 电报：电池………………电话 无线通信：电缆通信36年之后，马可尼 加拿大-英格兰 计算机的出现 1945，20000个电子管、数千个继电器、数十万的电容、电阻、电感 ENIAC 炮弹弹道 UNIVAC-通用自动计算机，30万美元，人口普查 1951-雷明顿.兰特，1K-2M 蓝色巨人 阿姆斯壮、阿尔德林登上月球 计算机网络 苏联-比尔.盖茨 高级研究规划局（ARPA）-空间军备竞赛 核袭