大学课程《互联网金融信息安全》PPT教学课件：3.11 虚拟专用网防御技术.pptxVIP

网络防御技术3.23.2.4虚拟专用网防御技术

虚拟专用网（VirtualPrivateNetworkVPN），是指在公用网络上建立一个临时、安全且稳定的隧道，保证数据的安全传输。这里的公共网络主要指互联网。顾名思义，VPN不是真的网络，但能够实现专用网络的功能。VPN是依靠ISP（互联网服务供应商）和其他NSP（网络服务供应商），在公用网络中建立专用的数据通信网络的技术。在VPN中，任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。IETF草案理解基于IP的VPN为：使用IP机制仿真出一个私有的广域网是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。3.2.4虚拟专用网防御技术3.2.4.1虚拟专用网安全技术

目前VPN主要采用以下四项技术来保证安全，分别包括隧道技术、加密解密技术、密钥管理技术、Qos技术和身份认证技术。3.2.4虚拟专用网防御技术

1.隧道技术隧道技术是VPN的基本技术，类似于点对点的连接技术，它就是在公用网络上建立一条数据通道（隧道），让数据包通过这条隧道安全传输。隧道是由隧道协议形成的，分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中，再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议主要有L2F、PPTP、L2TP等。目前IETF的标准是L2TP协议，它由PPTP与L2F两种协议融合而成。第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输。第三层隧道协议主要包括VTP、IPSec等。IPSec在第3.2.2.1节已经介绍过。3.2.4虚拟专用网防御技术

2.加密解密技术数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息，使非授权者不能了解被保护信息的内容。加密技术可以在协议栈的任意层进行，可以对数据或报文头进行加密。在网络层中的加密标准是IPSec。网络层加密实现有两种方法，第一种是从终端到终端进行加密，这是最安全的加密方法；另一种是隧道模式，即加密只在路由器中进行，而终端与第一条路由之间不加密。但是这种方法不太安全，因为数据从终端系统到第一条路由时可能被截取而危及数据安全。第一种加密方法中，VPN安全粒度可以达到个人终端系统的标准；第二种方法中，VPN安全粒度只能达到子网标准。但是目前还没有统一的加密标准，取决于生厂厂家和客户的要求。3.2.4虚拟专用网防御技术

3.密钥管理技术密钥管理技术的主要目的是确保在公用数据网上传递的密钥不被攻击者窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要利用Diffic-Hellman的演算法则，在网络上传输密钥；在ISAKMP/OAKLEY中，双方都有两把密钥，分别用于公用网络和个人网络。3.2.4虚拟专用网防御技术

4.QoS技术通过隧道技术和加密技术，虽然已经能够建立一个具有安全性、互操作性的VPN，但是该VPN缺乏稳定性。这时，就需要QoS技术了。实行QoS技术，可以确保在主机网络建立一条安全、稳定且符合用户要求的隧道。网络资源是有限的，有时用户要求的网络资源得不到满足，通过QoS机制对用户的网络资源分配进行控制以满足应用的要求。网络管理员基于一定的政策进行QoS机制配置。政策组成包括：政策数据，如用户名；有权使用的网络资源；政策决定点；政策加强点以及它们之间的协议。5.身份认证技术身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。3.2.4虚拟专用网防御技术

1.VPN与Windows防火墙防火墙能够在可信任的内部网络和不可信任的外部网络之间架构一道安全屏障，只允许被授权的用户或数据通过，而非授权用户或非法数据将会被拒之门外。可以有两种方法在VPN服务器上使用防火墙。3.2.4虚拟专用网防御技术3.2.4.2VPN综合应用

（1）VPN服务器位于防火墙之前。这时，用户就需要在互联网接口上添加一个报文过滤器，只允许那些到达或者来自互联网VPN服务器接口IP地址的VPN流量流动。对于输入流量，隧道数据被VPN服务器解密之后将被转发给防火墙，防火墙再利用过滤器来允许流量转发给内部网中的资源。（2）VPN服务器在防火墙之后。这是较为常见的方式，防火墙直接连接到互联网上，而VPN服务器则连接到非敏感区（DemilitarizedZoneDMZ）的另一个内部网资源上。3.2.4虚拟专用网防御技术3.2.4.2VPN综合应用

2.VPN与网络地址翻译器网络地址翻译器（Network