【大学课件】信息安全技术----系讲11.doc

第十一讲: 虚拟专网（VPN）技术简介虚拟专用网被定义为通过一个公共网络(通常是英特网)建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。通过将数据流转移到低成本的IP网络上，一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时，这将简化网络的设计和管理，加速连接新的用户和网站。另外，虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展，企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上，而不是网络上。虚拟专用网可用于不断增长的移动用户的全球英特网接入, 以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效的连接到商业伙伴和用户的安全外连网虚拟专用网。 虚拟专用网至少应该能提供如下功能：l 加密数据，以保证通过公网传输的信息即使被他人截获也不会泄露。l 信息认证和身份认证，保证信息的完整性、合法性，并能鉴别用户的身份。l 提供访问控制，不同的用户有不同的访问权限。A: 虚拟专用网概述选择一个合适的虚拟专用网解决方案或产品并不是一件容易的事情。每一种解决方案都可提供不同程度的安全性、可用性，并且都各有优缺点。为了选择一个合适的安全产品，决策者应该首先明确他们公司的商业需求，例如，公司是需要将少数几个可信的远地雇员连到公司总部，还是希望为每个分支机构、合作伙伴、供应商、顾客和远地雇员都建立一个安全连接通道等。如果选择了适当的虚拟专用网，便可以保护网络免受病毒感染、防止欺骗、防商业间谍、增强访问控制、增强系统管理、加强认证等。在虚拟专用网提供的功能中，认证和加密是最重要的。而访问控制相对比较复杂，因为它的配置与实施策略和所用的工具紧密相关。虚拟专用网的认证、加密和访问控制这三种功能必须相互配合，才能保证真正的安全性。 在连到英特网之前，企业应指定相应的安全策略，清楚地说明不同身份的用户可以访问哪些资源。一个更安全的解决方案可能包括防火墙、路由器、代理服务器、虚拟专用网软件或硬件。它们中的任何一种设备可能提供足够的安全通信，但是采用何种设备取决于安全策略。 根据不同需要，可以构造不同类型的虚拟专用网，不同商业环境对虚拟专用网的要求和虚拟专用网所起的作用是不一样的。以用途为标准，虚拟专用网可以分为三类：l 在公司总部和它的分支机构之间建立虚拟专用网，称为“内部网虚拟专用网”。l 在公司总部和远地雇员或旅行之中雇员之间建立虚拟专用网，称为“远程访问虚拟专用网”。l 在公司与商业伙伴、顾客、供应商、投资者之间建立虚拟专用网，称为“外连网虚拟专用网”。下面分别对这三种虚拟专用网进行简要介绍。B: 内部网虚拟专用网内部网是通过公共网络将一个组织的各分支机构的局域网连接而成的网络。这种类型的局域网到局域网的连接带来的风险最小，因为公司通常认为他们的分支机构是可信的，这种方式连接而成的网络被称为企业内联网，可把它作为公司网络的扩展。 当一个数据传输通道的两个端点被认为是可信的时候，公司可以选择“内部网虚拟专用网”解决方案，安全性主要在于加强两个虚拟专用网服务器之间加密和认证手段上。大量的数据经常需要通过虚拟专用网在局域网之间传递。通过把中心数据库或其它计算资源连接起来的各个局域网可以看成是内部网的一部分。 这里仅子公司中有一定访问权限的用户才能通过“内部网虚拟专用网”访问公司总部的资源，所有端点之间的数据传输都要经过加密和身份鉴别。如果一个公司对分公司或个人有不同的可信程度，那么公司可以考虑基于认证的虚拟专用网方案来保证信息的安全传输，而不是靠可信的通信子网。这种类型的虚拟专用网的主要任务是保护公司的英特网不被外部入侵，同时保证公司的重要数据流经英特网时的安全性。C: 远程访问虚拟专用网 通过英特网的远程拨号访问所带来的好处越来越明显。用英特网作为远程访问的骨干网比传统的方案更容易实现，而且花钱更少。如果一个用户无论是在家里还是在旅途之中，他想同公司的内部网建立一个安全连接，则可以用“远程访问虚拟专用网”来实现。典型的远程访问虚拟专用网是用户通过本地的信息服务提供商(ISP)登录到英特网上，并在现在的办公室和公司内部网之间建立一条加密信道。远程访问虚拟专用网的客户端应尽量简单，因为普通雇员一般都缺乏专门训练。客户应可以手工建立一条虚拟专用网信道，即当客户每次想建立一个安全通信信道时，只需安装虚拟专用网软件。在服务器端，因为要监视大量用户，有时需要增加或删除用户，这样可能造成混乱，并带来安全风险，因此服务器应集中并且管理要容易。公司往往制定一种“透明的访问策略”，即使在远处的雇员也能象他们坐在公司总部的办公室一样自由的访问公司的资源。因此首先要考虑的是所有端到端的数据都要加密，并且只有特定的接收者才能解密。大多数虚拟专用网除了加密以外还要考虑加密密码的强度、认证方法。这种虚拟专用网要对个人用户的身份进行认证，而不仅认证IP地址，这样公司就会知道哪个用户欲访问公司的网络。认证后决定是否允许用户对网络资源的访问。认证技术可以包括用一次口令、Kerberos认证方案、令牌卡、智能卡、或者是指纹。一旦一个用户同公司的虚拟专用网服务器进行了认证，根据他的访问权限表，他就有一定程度的访问权限。每个人的访问权限表由网络管理员制定，并且要符合公司的安全策略。有较高安全度的远程访问虚拟专用网应能截取到特定主机的信息流，有加密、身份验证、过滤等功能。D: 外连网虚拟专用网 外连网虚拟专用网为公司合作伙伴、顾客、供应商和在远地的公司雇员提供安全性。它应能保证包括TCP和UDP服务在内的各种应用服务的安全，例如Email、Http、FTP、Real Audio、数据库的安全以及一些应用程序如Java、Active X的安全。因为不同公司的网络环境是不相同的，一个可行的外部网虚拟专用网方案应能适用于各种操作平台、协议、各种不同的认证方案及加密算法。 外连网虚拟专用网的主要目标是保证数据在传输过程中不被修改，保护网络资源不受外部威胁。安全的外连网虚拟专用网要求公司在同它的顾客、合作伙伴及在外地的雇员之间经英特网建立端到端的连接时，必须通过虚拟专用网服务器才能进行。在这种系统上，网络管理员可以为合作伙伴的职员指定特定的许可权，例如可以允许对方的销售经理访问一个受到保护的服务器上的销售报告。 外连网虚拟专用网中应是一个由加密、认证和访问控制功能组成的集成系统。通常公司将虚拟专用网代理服务器放在一个不能穿透的防火墙隔离层之后，防火墙阻止所有来历不明的信息传输。所有经过过滤后的数据通过唯一个入口传到虚拟专用网服务器，虚拟专用网服务器再根据安全策略来进一步过滤。 虚拟专用网可以建立在网络协议的上层，如应用层；也可建立在较低的层次，如网络层。在应用层的虚拟专用网可以用一个代理服务器实现，这就是说，不直接打开任何到公司内部网的连接，这样有了虚拟专用网代理服务器之后，就可以防止IP地址欺骗。所有的访问都要经过代理，这样管理员就可以知道谁曾企图访问内部网以及他作了多少次这种尝试。外连网虚拟专用网并不假定连接的公司双方之间存在双向信任关系。外连网虚拟专用网在英特网内打开一条隧道，并保证经包过滤后信息传输的安全。当公司将很多商业活动都通过公共网络进行交易时，一个外部网虚拟专用网应该用高强度的