《计算机网络》课件_7网络安全.pptVIP

高层安全2、应用层安全性尽管各种安全服务技术取得了不少进展，但若将Internet推向以满足承载流媒体业务为主的全业务网，解决安全性问题、可管理性问题，仍然任重而道远。虚拟专用网什么是虚拟专用网目前，在七层OSI参考模型层次结构的基础上，主要有下列几种隧道协议用于构建VPN：点到点隧道协议(PPTP，Point-to-PointTunnelingProtocol)；第二层隧道协议(L2TP，Layer2TunnelProtocol)；IP安全协议(IPSec，IPSecurityProtocol)。虚拟专用网1、点到点隧道协议点到点隧道协议(PPTP)在第二层上可以支持封装IP协议及非IP协议(如IPX、AppleTalk等)。PPTP的工作原理是：网络协议将待发送的数据加上协议特定的控制信息组成数据报(DataPacket)进行交换。PPTP的工作对于用户来说是透明的，用户关心的只是需要传送的数据。虚拟专用网1、点到点隧道协议PPTP的工作方式是在TCP/IP数据报中封装原始分组，例如包括控制信息在内的整个IPX分组都将成为TCP/IP数据报中的“数据”区，然后通过因特网进行传输；另一端的软件分析收到的数据报，去除增加的PPTP控制信息，将其还原成IPX分组并发送给IPX协议进行常规处理。这一处理过程称为隧道(Tunneling)。虚拟专用网1、点到点隧道协议使用PPTP对于原有的网络安全性并没有大的影响，因为原有LAN的广泛的例行安全检查可以照样进行。客户端系统除了最底层通信接口模块外，通常不需要其他特殊软、硬件，可以提供平台独立性。另外，PPTP还可以通过对原始分组的压缩、数据加密等手段来保证网络通信的安全性。虚拟专用网2、第二层隧道协议第二层隧道协议(L2TP)工作原理虚拟专用网2、第二层隧道协议第二层隧道协议(L2TP)工作过程客户端(SOHO或移动用户)拨号到本地因特网服务运行商(ISP)的L2TP接入集中器的局端(POP，PointofPresence)，通过IP网的L2TP隧道连到L2TP网络服务器、远程鉴别用户拨入服务(RADIUS，RemoteAuthenticationDialInUserService)服务器上。RADIUS是一个维护用户配置文件的数据库，用来鉴定用户，包括口令和访问优先权。代理RADIUS功能允许在Internet服务提供者(ISP)的接入点(POP)设备上接入客户的RADIUS服务器，获得必要的用户配置文件信息。虚拟专用网3、IP安全协议什么是IP安全协议(IPSec)Internet工程任务组标准化的IP安全协议(IPSec，IPsecurityProtocol)是简化的端到端安全协议所具有的特定的安全机制。它在第三层执行对称或非对称加密，Layer3VPN在IP中封装了IP(IPoverIP)，并提供鉴别和检错。可在IPSec网络服务器上建立IPSec隧道，其工作原理如图所示：虚拟专用网3、IP安全协议IP安全协议的工作原理虚拟专用网3、IP安全协议IP安全协议(IPSec)使用两种机制保证通信安全头部鉴别(AH，AuthenticationHeader)：提供认证和数据完整性；封装安全净负荷(ESP，EncapsulationSecurityPayload)：实现保密通信。虚拟专用网3、IP安全协议IPSec是一种对IP数据包进行加密和鉴别的技术，因此必须有密钥的管理和交换功能。在用IPSec建立安全传输通路前，通信双方需要事先协商所要采用的安全策略，包括加密算法、密钥、密钥生存期等。协商完毕才表示双方已建立了一个安全关联(SA，SecurityAssociation)，已确定了IPSec要执行的处理。虚拟专用网3、IP安全协议IPSec协议分三个部分：封装安全净负荷(ESP，EncapstllationSecurityPayload)鉴别报头(AH，AuthenticationHeader)Internet密钥交换(IKE，InternetKeyExchange)虚拟专用网3、IP安全协议ESP协议主要用来处理对IP数据包的加密，并对鉴别提供某种程度的支持。AH只涉及鉴别，不涉及加密，它除了对IP的有效负载进行鉴别外，还可对IP报头实施鉴别。IKE协议主要是对密钥交换进行管理。IPSec的封装安全净载荷(ESP)允许选择数据加密标准(DES)或三重DES(3DES)作为密钥交换时的加密方法，这两种标准都提供了严格的保密性及强大的验证功能。虚拟专用网3、IP安全协议IP安全性的优点是它的透明性，即