虚拟专用网络技术课件

虚拟专用网络技术第10章虚拟专用网络技术第10章基本内容互联网的普及使得远程网络互联的应用大为增加，特别是跨地区企业的内部网络应用、政府部门的纵向分级网络管理等。网络安全风险又使得这种应用存在严重的隐患。虚拟专用网络技术为这种应用保驾护航。基本内容互联网的普及使得远程网络互联的应用大为增加，特别是跨10.1VPN技术概述虚拟专用网（VirtualPrivateNetwork，VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。

10.1.1VPN的概念VPN依靠ISP（Internet服务提供商）和其他NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。

VPN是对企业内部网的扩展。一般以IP为主要通讯协议。

10.1VPN技术概述虚拟专用网（Virtua10.1VPN技术概述

VPN是在公网中形成的企业专用链路。采用“隧道”技术，可以模仿点对点连接技术，依靠Internet服务提供商(ISP)和其他的网络服务提供商(NSP)在公用网中建立自己专用的“隧道”，让数据包通过这条隧道传输。对于不同的信息来源，可分别给它们开出不同的隧道。

10.1.1VPN的概念(续)10.1VPN技术概述VPN是在公网中形成的企10.1VPN技术概述

隧道是一种利用公网设施，在一个网络之中的“网络”上传输数据的方法。隧道协议利用附加的报头封装帧，附加的报头提供了路由信息，因此封装后的包能够通过中间的公网。封装后的包所途经的公网的逻辑路径称为隧道。一旦封装的帧到达了公网上的目的地，帧就会被解除封装并被继续送到最终目的地。

10.1.1VPN的概念(续)①隧道开通器(TI)；②有路由能力的公用网络；③一个或多个隧道终止器(TT)；④必要时增加一个隧道交换机以增加灵活性。隧道基本要素10.1VPN技术概述隧道是一种利用公网设施，10.1VPN技术概述10.1.2VPN的基本功能VPN的主要目的是保护传输数据，是保护从信道的一个端点到另一端点传输的信息流。信道的端点之前和之后，VPN不提供任何的数据包保护。VPN的基本功能至少应包括：1）加密数据2）信息验证和身份识别3）提供访问控制4）地址管理5）密钥管理6）多协议支持10.1VPN技术概述10.1.2VPN的基本功能10.1VPN技术概述10.1.3VPN的特性安全性隧道、加密、密钥管理、数据包认证、用户认证、访问控制可靠性硬件、软件、基础网络的可靠性可管理性记帐、审核、日志的管理是否支持集中的安全控制策略可扩展性成本的可扩展性，如使用令牌卡成本高性能，是否考虑采用硬件加速加解密速度10.1VPN技术概述10.1.3VPN的特性安全性10.1VPN技术概述10.1.3VPN的特性(续)可用性系统对应用尽量透明对终端用户来说使用方便互操作性尽量采用标准协议，与其他供应商的设备能互通服务质量QoS通过Internet连接的VPN服务质量很大程度取决于Internet的状况多协议支持10.1VPN技术概述10.1.3VPN的特性(续)10.2VPN协议VPN主要采用以下四项技术来保证安全：◆隧道技术◆加解密技术

◆密钥管理技术◆使用者与设备身份认证技术10.2.1VPN安全技术

加解密技术、密钥管理技术、使用者与设备身份认证技术在第五章已作介绍，VPN只是对这几种技术的应用。下面重点介绍隧道技术10.2VPN协议VPN主要采用以下四项技术来10.2VPN协议10.2.2VPN的隧道协议

VPN中的隧道是由隧道协议形成的，VPN使用的隧道协议主要有三种：点到点隧道协议（PPTP）、第二层隧道协议（L2TP）以及IPSec。PPTP和L2TP集成在windows中，所以最常用。PPTP协议允许对IP、IPX或NetBEUI数据流进行加密，然后封装在IP包头中通过企业IP网络或公共因特网络发送。L2TP协议允许对IP，IPX或NetBEUI数据流进行加密，然后通过支持点对点数据报传递的任意网络发送，如IP，X.25，帧中继或ATM。IPSec隧道模式允许对IP负载数据进行加密，然后封装在IP包头中通过企业IP网络或公共IP因特网络如Internet发送。10.2VPN协议10.2.2VPN的隧道协议10.2VPN协议10.2.2VPN的隧道协议NSRC、NDST是隧道端点设备的IP地址公网上路由时仅仅考虑NSRC、NDST原始数据包的DST、SRC对公网透明DSTSRCDATANDSTNSRCDSTSRCDATA10.2VPN协议10.2.2VPN的隧道协议N10.2VPN协议10.2.2VPN的隧道协议Point-to-PointTunnelProtocol,2层协议，需要把网络协议包封装到PPP包，PPP数据依靠PPTP协议传输PPTP通信时，客户机和服务器间有2个通道，一个通道是tcp1723端口的控制连接，另一个通道是传输GREPPP数据包的IP隧道PPTP没有加密、认证等安全措施，安全的加强通过PPP协议的MPPE(MicrosoftPoint-to-PointEncryption)实现windows中集成了PPTPServer和Client，适合中小企业支持少量移动工作者如果有防火墙的存在或使用了地址转换，PPTP可能无法工作1．点到点隧道协议（PPTP）10.2VPN协议10.2.2VPN的隧道协议P10.2VPN协议10.2.2VPN的隧道协议把网络数据包封装在PPP协议中，PPP协议的数据包放到隧道中传输L2TPRFC2661定义在Cisco公司的L2F和PPTP的基础上开发windows中集成2．第二层隧道协议（L2TP）10.2VPN协议10.2.2VPN的隧道协议把10.2VPN协议10.2.2VPN的隧道协议3．IPSec协议3层协议，直接传输网络协议数据包基于TCP/IP的标准协议，集成到IPv6中，仅仅传输IP协议数据包提供了强大的安全、加密、认证和密钥管理功能适合大规模VPN使用，需要认证中心（CA）来进行身份认证和分发用户的公共密钥

IPSec数据包的格式

10.2VPN协议10.2.2VPN的隧道协议310.2VPN协议10.2.2VPN的隧道协议3．IPSec协议(续)

IPSec的工作模式传输模式：只对IP数据包的有效负载进行加密或认证。此时，继续使用以前的IP头部，只对IP头部的部分域进行修改，而IPSec协议头部插入到IP头部和传输层头部之间。隧道模式：对整个IP数据包进行加密或认证。此时，需要新产生一个IP头部，IPSec头部被放在新产生的IP头部和以前的IP数据包之间，从而组成一个新的IP头部。10.2VPN协议10.2.2VPN的隧道协议310.2VPN协议10.2.2VPN的隧道协议3．IPSec协议(续)

IPSec的三个主要协议SA(SecurltyAssociation安全关联)。所谓安全关联是指安全服务与它服务的载体之间的一个“连接”。AH和ESP都需要使用SA，而IKE的主要功能就是SA的建立和维护。只要实现AH和ESP都必须提供对SA的支持。

1）ESP（EncapsulatingSecurityPayload）。ESP协议主要用来处理对IP数据包的加密。ESP是与具体的加密算法相独立的，几乎支持各种对称密钥加密算法，默认为3DES和DES。

2）AH(AuthenticationHeader)。AH只涉及到认证，不涉及到加密。3）IKE(InternetKeyExchange)。IKE协议主要是对密钥交换进行管理，它主要包括三个功能：①对使用的协议、加密算法和密钥进行协商；②方便的密钥交换机制(这可能需要周期性的进行)；③跟踪对以上这些约定的实施。10.2VPN协议10.2.2VPN的隧道协议310.2VPN协议10.2.3IPSecVPN系统的组成

IPSecVPN的实现包含管理模块、密钥分配和生成模块、身份认证模块、数据加密/解密模块、数据分组封装/分解模块和加密函数库几部分组成。10.2VPN协议10.2.3IPSecVPN系统10.3VPN的类型

VPN的分类方法比较多，实际使用中，需要通过客户端与服务器端的交互实现认证与隧道建立。基于二层、三层的VPN，都需要安装专门的客户端系统（硬件或软件），完成VPN相关的工作。一个VPN解决方案不仅仅是一个经过加密的隧道，它包含访问控制、认证、加密、隧道传输、路由选择、过滤、高可用性、服务质量以及管理VPN系统大体分为4类专用的VPN硬件支持VPN的硬件或软件防火墙VPN软件VPN服务提供商10.3VPN的类型VPN的分类方法比较多，实10.3VPN的类型10.3.1按VPN的应用方式分类

VPN从应用的方式上分，有两种基本类型：拨号式VPN与专用式VPN。

拨号VPN分为两种：在用户PC机上或在服务提供商的网络访问服务器(NAS)上。

专用VPN有多种形式。IPVPN的发展促使骨干网建立VPN解决方案，形成了基于MPLS的IPVPN技术。MPLSVPN的优点是全网统一管理的能力很强，由于MPLSVPN是基于网络的，全部的VPN网络配置和VPN策略配置都在网络端完成，可以大大降低管理维护的开销。10.3VPN的类型10.3.1按VPN的应用方式10.3VPN的类型10.3.2按VPN的应用平台分类

VPN的应用平台分为三类：软件平台、专用硬件平台及辅助硬件平台。

(1)软件平台VPN

当对数据连接速率要求不高，对性能和安全性需求不强时，可以利用一些软件公司所提供的完全基于软件的VPN产品来实现简单的VPN功能。

(2)专用硬件平台VPN

使用专用硬件平台的VPN设备可以满足企业和个人用户对提高数据安全及通信性能的需求，尤其是从通信性能的角度来看，指定的硬件平台可以完成数据加密及数据乱码等对CPU处理能力需求很高的功能。提供这些平台的硬件厂商比较多，如川大能士、Nortel、Cisco、3Com等。

(3)辅助硬件平台VPN

这类VPN介于软件平台和指定硬件平台之间，辅助硬件平台的VPN主要是指以现有网络设备为基础，再增添适当的VPN软件以实现VPN的功能。10.3VPN的类型10.3.2按VPN的应用平台10.3VPN的类型10.3.3按VPN的协议分类

按VPN协议方面来分类主要是指构建VPN的隧道协议。VPN的隧道协议可分为第二层隧道协议、第三层隧道协议。第二层隧道协议最为典型的有PPTP、L2F、L2TP等，第三层隧道协议有GRE、IPSec等。

第二层隧道和第三层隧道的本质区别在于，在隧道里传输的用户数据包是被封装在哪一层的数据包中。第二层隧道协议和第三层隧道协议一般来说分别使用，但合理的运用两层协议，将具有更好的安全性。

10.3VPN的类型10.3.3按VPN的协议分类10.3VPN的类型10.3.4按VPN的服务类型分类

根据服务类型，VPN业务按用户需求定义以下三种：InternetVPN、AccessVPN与ExtranetVPN。1）InternetVPN（内部网VPN）。即企业的总部与分支机构间通过公网构筑的虚拟网。这种类型的连接带来的风险最小，因为公司通常认为他们的分支机构是可信的，并将它作为公司网络的扩展。内部网VPN的安全性取决于两个VPN服务器之间加密和验证手段上。10.3VPN的类型10.3.4按VPN的服务类型10.3VPN的类型10.3.4按VPN的服务类型分类

2）AccessVPN（远程访问VPN）

又称为拨号VPN(即VPDN)，是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网。典型的远程访问VPN是用户通过本地的信息服务提供商(ISP)登录到因特网上，并在现在的办公室和公司内部网之间建立一条加密信道。10.3VPN的类型10.3.4按VPN的服务类型10.3VPN的类型10.3.4按VPN的服务类型分类

3）ExtranetVPN（外联网VPN）

即企业间发生收购、兼并或企业间建立战略联盟后，使不同企业网通过公网来构筑的虚拟网。它能保证包括TCP和UDP服务在内的各种应用服务的安全，如Email、HTTP、FTP、RealAudio、数据库的安全以及一些应用程序如Java、ActiveX的安全。10.3VPN的类型10.3.4按VPN的服务类型10.3VPN的类型10.3.5按VPN的部署模式分类

VPN可以通过部署模式来区分，部署模式从本质上描述了VPN的通道是如何建立和终止的，一般有三种VPN部署模式。

(1)端到端(End-to-End)模式

是典型的由自建VPN的客户所采用的模式，最常见的隧道协议是IPSec和PPTP。

(2)供应商——企业(Provider-Enterprise)模式

隧道通常在VPN服务器或路由器中创建，在客户前端关闭。在该模式中，客户不需要购买专门的隧道软件，由服务商的设备来建立通道并验证。最常见的隧道协议有L2TP、L2F和PPTP。

(3)内部供应商(Intra-Provider)模式

服务商保持了对整个VPN设施的控制。在该模式中，通道的建立和终止都是在服务商的网络设施中实现的。客户不需要做任何实现VPN的工作。10.3VPN的类型10.3.5按VPN的部署模式10.4SSLVPN简介

SSLVPN使用SSL和代理技术，向终端用户提供对超文本传送协议（HTTP）、客户/服务器和文件共享等应用授权安全访问的一种远程访问技术，因此不需要安装专门客户端软件。SSL协议是在网络传输层上提供的基于RSA加密算法和保密密钥的用于浏览器与Web服务器之间的安全连接技术。

SSLVPN部署和管理费用低，在安全性和为用户提供更多便利性方面，明显优于传统IPSecVPN。SSLVPN是建立用户和服务器之间的一条专用通道，在这条通道中传输的数据是不公开的数据，因此必须要在安全的前提下进行远程连接。

SSLVPN其安全性包含三层含义：一是客户端接入的安全性；二是数据传输的安全性；三是内部资源访问的安全性。SSLVPN支持Web应用的远程连接，包括基于TCP协议的B/S和C/S应用，UDP应用。SSLVPN的关键技术有代理和转发技术、访问控制、身份验证、审计日志。10.4SSLVPN简介SSLVPN使用S10.4.1SSLVPN的安全技术1．信息传输安全

1）通过浏览器对任何Internet可以连接的地方到远程应用或数据间的所有通信进行即时的SSL加密。

2）安全客户端检测，有效保护您的网络免受特洛伊、病毒、蠕虫或黑客的攻击。含防火墙、反病毒防护、Windows升级、Windows服务、文件数字签名、管理员选择注册表、IP地址等多方面的检测功能。2．用户认证与授权

1）认证。谁被允许登录系统，在远程用户被允许登录前进行身份确认。包括标准的用户名＋密码方式、智能卡、RSA，还可使用CA证书。

2）授权。按角色划分的权限访问应用程序、数据和其他一些资源，在服务器端通过划分组、角色和应用程序进行集中管理。

3）审计。随时了解用户做了什么访问。对每位用户的活动进行追踪、监视并记录日志。10.4SSLVPN简介10.4.1SSLVPN的安全技术1．信息传输安全110.4.2SSLVPN的功能与特点1．SSLVPN的基本功能

SSLVPN是一款专门针对B/S和C/S应用的SSLVPN产品，具有以下完善实用的功能：

1）提供了基于SSL协议和数字证书的强身份认证和安全传输通道。

2）提供了先进的基于URL的访问控制。

3）提供了SSL硬件加速的处理和后端应用服务的负载平衡。

4）提供了基于加固的系统平台和IDS技术的安全功能。10.4SSLVPN简介2．SSLVPN系统协议

由SSL、HTTPS、SOCKS这3个协议相互协作共同实现。3．SSLVPN的特点

1）安装简单、易于操作，无需安装客户端软件。

2）具有认证加密、访问控制、安全信息备份、负载平衡等功能。

3）使用标准的HTTPS协议传输数据，可以穿越防火墙，不存在地址转换的问题，而且不改变用户网络结构，适合复杂应用环境。

10.4.2SSLVPN的功能与特点1．SSLVP10.4.3SSLVPN的工作原理SSLVPN的工作原理可用以下几个步骤来描述：

1）SSLVPN生成自己的根证书和服务器操作证书。

2）客户端浏览器下载并导入SSLVPN的根证书。

3）通过管理界面对后端网站服务器设置访问控制。

4）客户端通过浏览器使用HTTPS协议访问网站时，SSLVPN接受请求，客户端实现对SSLVPN服务器的认证。

5）服务器端通过口令方式认证客户端。

6）客户端浏览器和SSLVPN服务器端之间所有通信建立了SSL安全通道。10.4SSLVPN简介10.4.3SSLVPN的工作原理SSLVPN的工10.4.4SSLVPN的应用模式及特点

SSLVPN的解决方案包括三种模式：◆Web浏览器模式◆SSLVPN客户端模式◆LAN到LAN模式

WEB浏览器模式是SSLVPN的最大优势，它充分利用了当前Web浏览器的内置功能，来保护远程接入的安全，配置和使用都非常方便。SSLVPN已逐渐成为远程接入的主要手段之一。10.4SSLVPN简介10.4.4SSLVPN的应用模式及特点SS10.4.4SSLVPN的应用模式及特点10.4SSLVPN简介1．Web浏览器模式的解决方案由于Web浏览器的广泛部署，而且Web浏览器内置了SSL协议，使得SSLVPN在这种模式下只要在SSLVPN服务器上集中配置安全策略，几乎不用为客户端做什么配置就可使用，大大减少了管理的工作量，方便用户的使用。缺点是仅能保护Web通信传输安全。远程计算机使用Web浏览器通过SSLVPN服务器来访问企业内部网中的资源。

这种模式目前已广泛使用于校园网、电子政务网中!10.4.4SSLVPN的应用模式及特点10.410.4.4SSLVPN的应用模式及特点10.4SSLVPN简介2．SSLVPN客户端模式的解决方案SSLVPN客户端模式为远程访问提供安全保护，用户需要在客户端安装一个客户端软件，并做一些简单的配置即可使用，不需对系统做改动。这种模式的优点是支持所有建立在TCP/IP和UDP/IP上的应用通信传输的安全，Web浏览器也可以在这种模式下正常工作。这种模式的缺点是客户端需要额外的开销。

10.4.4SSLVPN的应用模式及特点10.410.4.4SSLVPN的应用模式及特点10.4SSLVPN简介3．LAN到LAN模式的解决方案LAN到LAN模式对LAN（局域网）与LAN（局域网）间的通信传输进行安全保护。与基于IPSec协议的LAN到LAN的VPN相比，它的优点就是拥有更多的访问控制的方式,缺点是仅能保护应用数据的安全，并且性能较低。

10.4.4SSLVPN的应用模式及特点10.410.5.1能士NesecSVPN的解决方案10.5应用案例某系统网络已建设完成，但因国家-省-市地-区县四级网络采用了不同的公网传输平台，又因区县地域管辖原因，该行业网络的部分区县LAN融合于当地的电子政务网中，也有部分区县与当地其他部门网络合作建设。存在问题：①各县局虽然能访问上级市局网络，却不能访问省局、国家局及其他省市局的网络资源；②各县局访问所在市的服务器因为借助于市政专网，通过路由器访问，其间并没有采取任何安全措施，因此安全性无法得到保障。这样的网络现状，不能实现互通，也就无法实现访问及其他应用。实际应用中，通过能士VPN特有的虚拟地址管理功能有效解决了所有问题。

10.5.1能士NesecSVPN的解决方案10.5虚拟专用网络技术能士RVPN特色功能10.5应用案例1）网络互联。支持星型网络通过Internet进行互联，网络由RVPN-H和RVPN-B(P)共同组成。2）远程接入。移动用户通过Internet接入总部网络。可分配虚拟IP。3）基于用户名密码的身份认证,RVPN内置RADIUS服务支持基于用户名密码的身份认证，目前仅支持静态密码。该功能又名用户管理。4）基于硬件绑定的身份证书认证,提供基于PC硬件序号的身份认证过程。使得只有指定计算机才能接入网络。该功能又名硬件ID鉴权。5）加密。寻址加密使用DES,数据传输使用DES或AES。6）穿透NAT,支持分支或移动穿透任何NAT设备。非直连Internet,支持总部安装在NAT设备以内。7）路由功能和动态寻址8）包过滤防火墙功能,支持基于封包过滤的防火墙功能。9）NAT功能,支持正向动态NAT，反向端口映射。10）Internet访问控制,基于用户的Internet访问控制，限制非法用户访问非授权服务。防止攻击类型：SYN和ICMP方式的DOS攻击、碎片攻击等。能士RVPN特色功能10.5应用案例1）网络10.5.2Microsoft的解决方案10.5应用案例

Microsoft的核心VPN技术是建立在PPTP的基础之上的，Windows2000/XP软件中已提供PPTP，可以用来在基于Windows环境下的TCP／IP网络中利用RAS和PPP来实现VPN。

在Windows环境下，有两种建立VPN的途径：

1）一般情况下，可以通过拨号网络连接到ISP，再通过Internet连接到一个连接Internet和远程网络的PPTP服务器(装有PPTP，协议的RAS服务器)。

2）一些ISP提供一种隧道连接服务，可以使用拨号网络直接连接到ISP的PPTP隧道服务器，然后使用PPTP隧道服务器建立与其他公共、企业局域网的隧道连接。

Microsoft解决方案的优点是实现比较方便，成本较低。

10.5.2Microsoft的解决方案10.5应虚拟专用网（VirtualPrivateNetwork，VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网不是真的专用网络，但却能够实现专用网络的功能。隧道是一种利用公网设施，在一个网络之中的“网络”上传输数据的方法，被传输的数据可以是另一种协议的数据帧。VPN中的隧道是由隧道协议形成的，VPN使用的隧道协议主要有三种：点到点隧道协议（PPTP）、第二层隧道协议（L2TP）以及IPSec。根据不同的需求，本章给出了多种VPN类型的划分法。IPSecVPN的组成。它与SSLVPN的区别。本章小结

虚拟专用网（VirtualPrivateNetw虚拟专用网络技术第10章虚拟专用网络技术第10章基本内容互联网的普及使得远程网络互联的应用大为增加，特别是跨地区企业的内部网络应用、政府部门的纵向分级网络管理等。网络安全风险又使得这种应用存在严重的隐患。虚拟专用网络技术为这种应用保驾护航。基本内容互联网的普及使得远程网络互联的应用大为增加，特别是跨10.1VPN技术概述虚拟专用网（VirtualPrivateNetwork，VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。

10.1.1VPN的概念VPN依靠ISP（Internet服务提供商）和其他NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。

VPN是对企业内部网的扩展。一般以IP为主要通讯协议。

10.1VPN技术概述虚拟专用网（Virtua10.1VPN技术概述

VPN是在公网中形成的企业专用链路。采用“隧道”技术，可以模仿点对点连接技术，依靠Internet服务提供商(ISP)和其他的网络服务提供商(NSP)在公用网中建立自己专用的“隧道”，让数据包通过这条隧道传输。对于不同的信息来源，可分别给它们开出不同的隧道。

10.1.1VPN的概念(续)10.1VPN技术概述VPN是在公网中形成的企10.1VPN技术概述

隧道是一种利用公网设施，在一个网络之中的“网络”上传输数据的方法。隧道协议利用附加的报头封装帧，附加的报头提供了路由信息，因此封装后的包能够通过中间的公网。封装后的包所途经的公网的逻辑路径称为隧道。一旦封装的帧到达了公网上的目的地，帧就会被解除封装并被继续送到最终目的地。

10.1.1VPN的概念(续)①隧道开通器(TI)；②有路由能力的公用网络；③一个或多个隧道终止器(TT)；④必要时增加一个隧道交换机以增加灵活性。隧道基本要素10.1VPN技术概述隧道是一种利用公网设施，10.1VPN技术概述10.1.2VPN的基本功能VPN的主要目的是保护传输数据，是保护从信道的一个端点到另一端点传输的信息流。信道的端点之前和之后，VPN不提供任何的数据包保护。VPN的基本功能至少应包括：1）加密数据2）信息验证和身份识别3）提供访问控制4）地址管理5）密钥管理6）多协议支持10.1VPN技术概述10.1.2VPN的基本功能10.1VPN技术概述10.1.3VPN的特性安全性隧道、加密、密钥管理、数据包认证、用户认证、访问控制可靠性硬件、软件、基础网络的可靠性可管理性记帐、审核、日志的管理是否支持集中的安全控制策略可扩展性成本的可扩展性，如使用令牌卡成本高性能，是否考虑采用硬件加速加解密速度10.1VPN技术概述10.1.3VPN的特性安全性10.1VPN技术概述10.1.3VPN的特性(续)可用性系统对应用尽量透明对终端用户来说使用方便互操作性尽量采用标准协议，与其他供应商的设备能互通服务质量QoS通过Internet连接的VPN服务质量很大程度取决于Internet的状况多协议支持10.1VPN技术概述10.1.3VPN的特性(续)10.2VPN协议VPN主要采用以下四项技术来保证安全：◆隧道技术◆加解密技术

◆密钥管理技术◆使用者与设备身份认证技术10.2.1VPN安全技术

加解密技术、密钥管理技术、使用者与设备身份认证技术在第五章已作介绍，VPN只是对这几种技术的应用。下面重点介绍隧道技术10.2VPN协议VPN主要采用以下四项技术来10.2VPN协议10.2.2VPN的隧道协议

VPN中的隧道是由隧道协议形成的，VPN使用的隧道协议主要有三种：点到点隧道协议（PPTP）、第二层隧道协议（L2TP）以及IPSec。PPTP和L2TP集成在windows中，所以最常用。PPTP协议允许对IP、IPX或NetBEUI数据流进行加密，然后封装在IP包头中通过企业IP网络或公共因特网络发送。L2TP协议允许对IP，IPX或NetBEUI数据流进行加密，然后通过支持点对点数据报传递的任意网络发送，如IP，X.25，帧中继或ATM。IPSec隧道模式允许对IP负载数据进行加密，然后封装在IP包头中通过企业IP网络或公共IP因特网络如Internet发送。10.2VPN协议10.2.2VPN的隧道协议10.2VPN协议10.2.2VPN的隧道协议NSRC、NDST是隧道端点设备的IP地址公网上路由时仅仅考虑NSRC、NDST原始数据包的DST、SRC对公网透明DSTSRCDATANDSTNSRCDSTSRCDATA10.2VPN协议10.2.2VPN的隧道协议N10.2VPN协议10.2.2VPN的隧道协议Point-to-PointTunnelProtocol,2层协议，需要把网络协议包封装到PPP包，PPP数据依靠PPTP协议传输PPTP通信时，客户机和服务器间有2个通道，一个通道是tcp1723端口的控制连接，另一个通道是传输GREPPP数据包的IP隧道PPTP没有加密、认证等安全措施，安全的加强通过PPP协议的MPPE(MicrosoftPoint-to-PointEncryption)实现windows中集成了PPTPServer和Client，适合中小企业支持少量移动工作者如果有防火墙的存在或使用了地址转换，PPTP可能无法工作1．点到点隧道协议（PPTP）10.2VPN协议10.2.2VPN的隧道协议P10.2VPN协议10.2.2VPN的隧道协议把网络数据包封装在PPP协议中，PPP协议的数据包放到隧道中传输L2TPRFC2661定义在Cisco公司的L2F和PPTP的基础上开发windows中集成2．第二层隧道协议（L2TP）10.2VPN协议10.2.2VPN的隧道协议把10.2VPN协议10.2.2VPN的隧道协议3．IPSec协议3层协议，直接传输网络协议数据包基于TCP/IP的标准协议，集成到IPv6中，仅仅传输IP协议数据包提供了强大的安全、加密、认证和密钥管理功能适合大规模VPN使用，需要认证中心（CA）来进行身份认证和分发用户的公共密钥

IPSec数据包的格式

10.2VPN协议10.2.2VPN的隧道协议310.2VPN协议10.2.2VPN的隧道协议3．IPSec协议(续)

IPSec的工作模式传输模式：只对IP数据包的有效负载进行加密或认证。此时，继续使用以前的IP头部，只对IP头部的部分域进行修改，而IPSec协议头部插入到IP头部和传输层头部之间。隧道模式：对整个IP数据包进行加密或认证。此时，需要新产生一个IP头部，IPSec头部被放在新产生的IP头部和以前的IP数据包之间，从而组成一个新的IP头部。10.2VPN协议10.2.2VPN的隧道协议310.2VPN协议10.2.2VPN的隧道协议3．IPSec协议(续)

IPSec的三个主要协议SA(SecurltyAssociation安全关联)。所谓安全关联是指安全服务与它服务的载体之间的一个“连接”。AH和ESP都需要使用SA，而IKE的主要功能就是SA的建立和维护。只要实现AH和ESP都必须提供对SA的支持。

1）ESP（EncapsulatingSecurityPayload）。ESP协议主要用来处理对IP数据包的加密。ESP是与具体的加密算法相独立的，几乎支持各种对称密钥加密算法，默认为3DES和DES。

2）AH(AuthenticationHeader)。AH只涉及到认证，不涉及到加密。3）IKE(InternetKeyExchange)。IKE协议主要是对密钥交换进行管理，它主要包括三个功能：①对使用的协议、加密算法和密钥进行协商；②方便的密钥交换机制(这可能需要周期性的进行)；③跟踪对以上这些约定的实施。10.2VPN协议10.2.2VPN的隧道协议310.2VPN协议10.2.3IPSecVPN系统的组成

IPSecVPN的实现包含管理模块、密钥分配和生成模块、身份认证模块、数据加密/解密模块、数据分组封装/分解模块和加密函数库几部分组成。10.2VPN协议10.2.3IPSecVPN系统10.3VPN的类型

VPN的分类方法比较多，实际使用中，需要通过客户端与服务器端的交互实现认证与隧道建立。基于二层、三层的VPN，都需要安装专门的客户端系统（硬件或软件），完成VPN相关的工作。一个VPN解决方案不仅仅是一个经过加密的隧道，它包含访问控制、认证、加密、隧道传输、路由选择、过滤、高可用性、服务质量以及管理VPN系统大体分为4类专用的VPN硬件支持VPN的硬件或软件防火墙VPN软件VPN服务提供商10.3VPN的类型VPN的分类方法比较多，实10.3VPN的类型10.3.1按VPN的应用方式分类

VPN从应用的方式上分，有两种基本类型：拨号式VPN与专用式VPN。

拨号VPN分为两种：在用户PC机上或在服务提供商的网络访问服务器(NAS)上。

专用VPN有多种形式。IPVPN的发展促使骨干网建立VPN解决方案，形成了基于MPLS的IPVPN技术。MPLSVPN的优点是全网统一管理的能力很强，由于MPLSVPN是基于网络的，全部的VPN网络配置和VPN策略配置都在网络端完成，可以大大降低管理维护的开销。10.3VPN的类型10.3.1按VPN的应用方式10.3VPN的类型10.3.2按VPN的应用平台分类

VPN的应用平台分为三类：软件平台、专用硬件平台及辅助硬件平台。

(1)软件平台VPN

当对数据连接速率要求不高，对性能和安全性需求不强时，可以利用一些软件公司所提供的完全基于软件的VPN产品来实现简单的VPN功能。

(2)专用硬件平台VPN

使用专用硬件平台的VPN设备可以满足企业和个人用户对提高数据安全及通信性能的需求，尤其是从通信性能的角度来看，指定的硬件平台可以完成数据加密及数据乱码等对CPU处理能力需求很高的功能。提供这些平台的硬件厂商比较多，如川大能士、Nortel、Cisco、3Com等。

(3)辅助硬件平台VPN

这类VPN介于软件平台和指定硬件平台之间，辅助硬件平台的VPN主要是指以现有网络设备为基础，再增添适当的VPN软件以实现VPN的功能。10.3VPN的类型10.3.2按VPN的应用平台10.3VPN的类型10.3.3按VPN的协议分类

按VPN协议方面来分类主要是指构建VPN的隧道协议。VPN的隧道协议可分为第二层隧道协议、第三层隧道协议。第二层隧道协议最为典型的有PPTP、L2F、L2TP等，第三层隧道协议有GRE、IPSec等。

第二层隧道和第三层隧道的本质区别在于，在隧道里传输的用户数据包是被封装在哪一层的数据包中。第二层隧道协议和第三层隧道协议一般来说分别使用，但合理的运用两层协议，将具有更好的安全性。

10.3VPN的类型10.3.3按VPN的协议分类10.3VPN的类型10.3.4按VPN的服务类型分类

根据服务类型，VPN业务按用户需求定义以下三种：InternetVPN、AccessVPN与ExtranetVPN。1）InternetVPN（内部网VPN）。即企业的总部与分支机构间通过公网构筑的虚拟网。这种类型的连接带来的风险最小，因为公司通常认为他们的分支机构是可信的，并将它作为公司网络的扩展。内部网VPN的安全性取决于两个VPN服务器之间加密和验证手段上。10.3VPN的类型10.3.4按VPN的服务类型10.3VPN的类型10.3.4按VPN的服务类型分类

2）AccessVPN（远程访问VPN）

又称为拨号VPN(即VPDN)，是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网。典型的远程访问VPN是用户通过本地的信息服务提供商(ISP)登录到因特网上，并在现在的办公室和公司内部网之间建立一条加密信道。10.3VPN的类型10.3.4按VPN的服务类型10.3VPN的类型10.3.4按VPN的服务类型分类

3）ExtranetVPN（外联网VPN）

即企业间发生收购、兼并或企业间建立战略联盟后，使不同企业网通过公网来构筑的虚拟网。它能保证包括TCP和UDP服务在内的各种应用服务的安全，如Email、HTTP、FTP、RealAudio、数据库的安全以及一些应用程序如Java、ActiveX的安全。10.3VPN的类型10.3.4按VPN的服务类型10.3VPN的类型10.3.5按VPN的部署模式分类

VPN可以通过部署模式来区分，部署模式从本质上描述了VPN的通道是如何建立和终止的，一般有三种VPN部署模式。

(1)端到端(End-to-End)模式

是典型的由自建VPN的客户所采用的模式，最常见的隧道协议是IPSec和PPTP。

(2)供应商——企业(Provider-Enterprise)模式

隧道通常在VPN服务器或路由器中创建，在客户前端关闭。在该模式中，客户不需要购买专门的隧道软件，由服务商的设备来建立通道并验证。最常见的隧道协议有L2TP、L2F和PPTP。

(3)内部供应商(Intra-Provider)模式

服务商保持了对整个VPN设施的控制。在该模式中，通道的建立和终止都是在服务商的网络设施中实现的。客户不需要做任何实现VPN的工作。10.3VPN的类型10.3.5按VPN的部署模式10.4SSLVPN简介

SSLVPN使用SSL和代理技术，向终端用户提供对超文本传送协议（HTTP）、客户/服务器和文件共享等应用授权安全访问的一种远程访问技术，因此不需要安装专门客户端软件。SSL协议是在网络传输层上提供的基于RSA加密算法和保密密钥的用于浏览器与Web服务器之间的安全连接技术。

SSLVPN部署和管理费用低，在安全性和为用户提供更多便利性方面，明显优于传统IPSecVPN。SSLVPN是建立用户和服务器之间的一条专用通道，在这条通道中传输的数据是不公开的数据，因此必须要在安全的前提下进行远程连接。

SSLVPN其安全性包含三层含义：一是客户端接入的安全性；二是数据传输的安全性；三是内部资源访问的安全性。SSLVPN支持Web应用的远程连接，包括基于TCP协议的B/S和C/S应用，UDP应用。SSLVPN的关键技术有代理和转发技术、访问控制、身份验证、审计日志。10.4SSLVPN简介SSLVPN使用S10.4.1SSLVPN的安全技术1．信息传输安全

1）通过浏览器对任何Internet可以连接的地方到远程应用或数据间的所有通信进行即时的SSL加密。

2）安全客户端检测，有效保护您的网络免受特洛伊、病毒、蠕虫或黑客的攻击。含防火墙、反病毒防护、Windows升级、Windows服务、文件数字签名、管理员选择注册表、IP地址等多方面的检测功能。2．用户认证与授权

1）认证。谁被允许登录系统，在远程用户被允许登录前进行身份确认。包括标准的用户名＋密码方式、智能卡、RSA，还可使用CA证书。

2）授权。按角色划分的权限访问应用程序、数据和其他一些资源，在服务器端通过划分组、角色和应用程序进行集中管理。

3）审计。随时了解用户做了什么访问。对每位用户的活动进行追踪、监视并记录日志。10.4SSLVPN简介10.4.1SSLVPN的安全技术1．信息传输安全110.4.2SSLVPN的功能与特点1．SSLVPN的基本功能

SSLVPN是一款专门针对B/S和C/S应用的SSLVPN产品，具有以下完善实用的功能：

1）提供了基于SSL协议和数字证书的强身份认证和安全传输通道。

2）提供了先进的基于URL的访问控制。

3）提供了SSL硬件加速的处理和后端应用服务的负载平衡。

4）提供了基于加固的系统平台和IDS技术的安全功能。10.4SSLVPN简介2．SSLVPN系统协议

由SSL、HTTPS、SOCKS这3个协议相互协作共同实现。3．SSLVPN的特点

1）安装简单、易于操作，无需安装客户端软件。

2）具有认证加密、访问控制、安全信息备份、负载平衡等功能。

3）使用标准的HTTPS协议传输数据，可以穿越防火墙，不存在地址转换的问题，而且不改变用户网络结构，适合复杂应用环境。

10.4.2SSLVPN的功能与特点1．SSLVP10.4.3SSLVPN的工作原理SSLVPN的工作原理可用以下几个步骤来描述：

1）SSLVPN生成自己的根证书和服务器操作证书。

2）客户端浏览器下载并导入SSLVPN的根证书。

3）通过管理界面对后端网站服务器设置访问控制。

4）客户端通过浏览器使用HTTPS协议访问网站时，SSLVPN接受请求，客户端实现对SSLVPN服务器的认证。

5）服务器端通过口令方式认证客户端。

6）客户端浏览器和SSLVPN服务器端之间所有通信建立了SSL安全通道。10.4SSLVPN简介10.4.3SSLVPN的工作原理SSLVPN的工10.4.4SSLVPN的应用模式及特点

SSLVPN的解决方案包括三种模式：◆Web浏览器模式◆SSLVPN客户端模式◆LAN到LAN模式

WEB浏览器模式是SSLVPN的最大优势，它充分利用了当前Web浏览器的内置功能，来保护远程接入的安全，配置和使用都非常方便。SSLVPN已逐渐成为远程接入的主要手段之一。10.4SSLVPN简介10.4.4SSLVPN的应用模式及特点SS10.4.4SSLVPN的应用模式及特点10.4SSLVPN简介1．Web浏览器模式的解决方案由于Web浏览器的广泛部署，而且Web浏览器内置了SSL协议，使得SSLVPN在这种模式下只要在SSLVPN服务器上集中配置安全策略，几乎不用为客户端做什么配置就可使用，大大减少了管理的工作量，方便用户的使用。缺点是仅能保护Web通信传输安全。远程计算机使用Web浏览器通过SSLVPN服务器来访问企业内部网中的资源。

这种模式目前已广泛使用于校园网、电子政务网中!10.4.4SSLVPN的应用模式及特点10.4