CISP-07-密码技术应用（VPNSSL）信息安全培训 .docxVIP

密码技术应用（VPN/SSL）

中国信息安全测评中心

目录

一．虚拟专用网（VPN）概述二．VPN工作原理三．VPN设计原则四．VPN有关协议的基本原理五．VPN的解决方案

课程目标

?了解VPN基本概念?了解VPN的类型?掌握VPN有关协议的基本工作原理

一、虚拟专用网（VPN）概述

目录

一．虚拟专用网（VPN）概述二．VPN工作原理三．VPN设计原则四．VPN有关协议的基本原理五．VPN的解决方案

1虚拟专用网概述

?1.1为什么使用VPN?1.2VPN的基本功能?1.3VPN的类型?1.4 VPN的使用方式?1.5 VPN的发展

1.1 为什么使用VPN

1、没使用VPN时，分布在各地的组织机构需要

用专用网络来保证数据传输安全。其特点

1）安全性好2）价格昂贵3）难扩展、不灵活

2、TCP/IP采用分组交换方式传递数据，其特点1）安全性差

2）价格便宜3）易扩展，普遍使用

1.1 为什么使用VPN（cont.）

图1非VPN远程访问设置

1.1 为什么使用VPN（cont.）

1、将专用网的安全特性和分组交换网的廉价和易于扩展的特性结合在一起，这就是VPN的动机。

2、其本质是利用共享的互联网设施，模拟“专用”广域网，最终以极低的费用为远程用户提供能和专用网络相媲美的保密通信服务。

1.1 为什么使用VPN（cont.）

?与传统专用网相比，VPN给企业带来很多的好处，同时也给服务供应商特别是ISP带来很多机会。

?如:VPN给企业带来的好处主要有以下四点：

?（1）降低成本?（2）易于扩展

?（3）可随意与合作伙伴联网?（4）完全控制主动权

1.2 VPN的基本功能

?加密数据，以保证通过公网传输的信息即使被他人截获也不会泄露。

?信息认证和身份认证，保证信息的完整性、合法性，并能鉴别用户的身份。

?提供访问控制，不同的用户有不同的访问权限。

1.3 VPN的类型

?按协议层次

?可以分为二层VPN，三层VPN、四层VPN和应用层VPN。

?按应用范围

?远程访问VPN、内联网VPN和外联网VPN

?按体系结构

?网关到网关VPN、主机到网关VPN和主机到主机VPN

按协议层次分类的VPN

?数据链路层VPN

?可以用于各种网络协议，比如IP、IPX、AppleTalk等。?网络层VPN

?可以适用于所有应用（即不是应用特定的）。?传输层VPN

?常用于保护单独的HTTP应用通信的安全，并且也可以保护其它应用的通信。

?每个应用服务器必须支持该协议。

?目前主要的web浏览器默认支持该协议。

?应用层VPN

?保护单个应用的部分或全部通信。

按体系结构分类的VPN

网关到网关体系结构示例

主机到网关体系结构示例

主机到主机体系结构示例

用户自己添置设备，利用互联网连接远程网络。此时互联网1.4VPN的使用方式

用户自己添置设备，利用互联网连接远程网络。此时互联网

?自构VPN：也称为基于用户设备的VPN。

?仅用作IP分组的传送平台，VPN的安全功能由用户网络设备

实现。

?适合于那些有远程安全通信需求、却又不信任VPN服务供应

商提供的安全服务的用户。

?外购VPN：也称为基于网络的VPN。

?将的V自P有N远边程缘网路络由按器V。PN服务供应商的要求连接到服务商提供?VPN的安全功能由VPN服务供应商提供。

?可以省去大量VPN网络设备和维护的费用。

二、VPN工作原理

目录

一．虚拟专用网（VPN）概述二．VPN工作原理三．VPN设计原则四．VPN有关协议的基本原理五．VPN的解决方案

2.1VPN关键技术

?隧道技术

?加解密技术

?密钥管理技术

?使用者与设备身份认证技术

?访问控制技术

隧道技术

?本质区别在于用户在隧道中传输的数据包是被封装在哪种数据包中。

?隧道技术按其拓扑结构分为点对点隧道和点对多隧道，而VPN主要采用点对点隧道。

?目前存在多种VPN隧道，包括L2TP、PPTP、IPSec、MPLS、SSL

Address负载IP头负

Address

负

载

IP头

负

载

IP头

SPD

IP

查找对应

SA

5

公司A

Source5

4

DestinationAddress4

5

SecureService Others安全……

绕过、丢弃 ……

4

公司B

SPD中的数据项类似于防火墙的配置规则

的查找 SPI DestinationAddress SecurityProtocol

数据提供那些安全服务256 5 AH

257 5 ESP

数据库决定为流入258