《网络安全技术与实践》课件 清华 第8章 VPN技术.pptx

第8章 VPN技术;;01;;;8.1.2 VPN的分类;8.1.2 VPN的分类;8.1.2 VPN的分类;8.1.2 VPN的分类;;8.1.3 实现VPN隧道技术;8.1.3 实现VPN隧道技术;8.1.3 实现VPN隧道技术;02;;8.2.1 GRE VPN概述;8.2.1 GRE VPN概述;8.2.1 GRE VPN概述;8.2.1 GRE VPN概述;8.2.1 GRE VPN概述; 课业任务： Bob为WYL公司的安全运维工程师，根据网络安全的要求，总公司访问分公司的服务器时需要对数据流进行加密传输，经该公司网络部门决定使用GRE VPN来实现，拓扑如下图所示。;03;;8.3.1 IPSec VPN概述;8.3.1 IPSec VPN概述;8.3.1 IPSec VPN概述;1．IPSec的安全性;8.3.1 IPSec VPN概述;8.3.1 IPSec VPN概述;8.3.1 IPSec VPN概述;8.3.1 IPSec VPN概述;8.3.1 IPSec VPN概述;8.3.1 IPSec VPN概述;3．AH、ESP与IKE协议;AH协议的在隧道模式下封装如下图所示。;ESP（Encapsulating Security Payload）是封装安全负载协议，ESP协议将用户数据进行加密后封装到IP包中，以保证数据的私有性。同时作为可选项，用户可以选择使用带密钥的哈希算法保证报文的完整性和真实性。ESP的隧道模式提供了对于报文路径信息的隐藏。 在ESP协议方式下，可以通过散列算法获得验证数据字段，可选的算法同样是MD5和SHA1。与AH协议不同的是，在ESP协议中还可以选择加密算法，一般常见的是DES、3DES等加密算法。加密算法要从SA中获得密钥，对参加ESP加密的整个数据的内容进行加密运算，得到一段新的“数据”。完成之后，ESP将在新的“数据”前面加上SPI字段、序列号字段，在数据后面加上一个验证字段和填充字段等。;ESP协议在隧道模式下封装如下图所示。;IKE（Internet Key Exchange）是因特网密钥交换协议，为IPSec提供了自动协商交换密钥、建立安全联盟的服务，能够简化IPSec的使用和管理，大大简化IPSec的配置和维护工作。IKE不是在网络上直接传送密钥，而是通过一系列数据的交换，最终计算出双方共享的密钥，并且即使第三者截获了双方用于计算密钥的所有交换数据，也不足以计算出真正的密钥。IKE具有一套自保护机制，可以在不安全的网络上安全的分发密钥，验证身份，建立IPSec安全联盟。;阶段一，又被称为Main Mode，在网络上建立IKE SA，为其它协议的协商（阶段二）提供保护和快速协商。通过协商创建一个通信信道，并对该信道进行认证???为双方进一步的IKE通信提供机密性、消息完整性以及消息源认证服务，是主模式； 阶段二，又被称为Quick Mode，在IKE SA的保护下完成IPSec的协商。; 课业任务： Bob为WYL公司的安全运维工程师，根据网络安全的要求，实现Bob所在的公司总部与Alice所在的公司分部之间建立站点到站点的VPN，如此以来，就可以通过IPSec的ESP协议保证Alice与Bob之间在互联网上频繁传送公司机密文件时的安全性，拓扑如下图所示。;04;8.4 本章综合案例;8.4 本章综合案例;8.4 本章综合案例;8.4 本章综合案例;8.4 本章综合案例;8.4 本章综合案例;8.4 本章综合案例;8.4 本章综合案例;8.4 本章综合案例;8.4 本章综合案例;8.4 本章综合案例;8.4 本章综合案例;8.4 本章综合案例;8.4 本章综合案例;8.4 本章综合案例;8.4 本章综合案例;8.4 本章综合案例;8.4 本章综合案例;8.4 本章综合案例;8.4 本章综合案例;8.4 本章综合案例;8.4 本章综合案例;8.4 本章综合案例;;;;;;感谢您的观看