虚拟专用网络技术

虚拟专用网络技术第10章基本内容互联网的普及使得远程网络互联的应用大为增加，特别是跨地区企业的内部网络应用、政府部门的纵向分级网络管理等。网络安全风险又使得这种应用存在严重的隐患。虚拟专用网络技术为这种应用保驾护航。10.1VPN技术概述虚拟专用网（VirtualPrivateNetwork，VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。

10.1.1VPN的概念VPN依靠ISP（Internet服务提供商）和其他NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。

VPN是对企业内部网的扩展。一般以IP为主要通讯协议。

10.1VPN技术概述

VPN是在公网中形成的企业专用链路。采用“隧道”技术，可以模仿点对点连接技术，依靠Internet服务提供商(ISP)和其他的网络服务提供商(NSP)在公用网中建立自己专用的“隧道”，让数据包通过这条隧道传输。对于不同的信息来源，可分别给它们开出不同的隧道。

10.1.1VPN的概念(续)10.1VPN技术概述

隧道是一种利用公网设施，在一个网络之中的“网络”上传输数据的方法。隧道协议利用附加的报头封装帧，附加的报头提供了路由信息，因此封装后的包能够通过中间的公网。封装后的包所途经的公网的逻辑路径称为隧道。一旦封装的帧到达了公网上的目的地，帧就会被解除封装并被继续送到最终目的地。

10.1.1VPN的概念(续)①隧道开通器(TI)；②有路由能力的公用网络；③一个或多个隧道终止器(TT)；④必要时增加一个隧道交换机以增加灵活性。隧道基本要素10.1VPN技术概述10.1.2VPN的基本功能VPN的主要目的是保护传输数据，是保护从信道的一个端点到另一端点传输的信息流。信道的端点之前和之后，VPN不提供任何的数据包保护。VPN的基本功能至少应包括：1）加密数据2）信息验证和身份识别3）提供访问控制4）地址管理5）密钥管理6）多协议支持10.1VPN技术概述10.1.3VPN的特性安全性隧道、加密、密钥管理、数据包认证、用户认证、访问控制可靠性硬件、软件、基础网络的可靠性可管理性记帐、审核、日志的管理是否支持集中的安全控制策略可扩展性成本的可扩展性，如使用令牌卡成本高性能，是否考虑采用硬件加速加解密速度10.1VPN技术概述10.1.3VPN的特性(续)可用性系统对应用尽量透明对终端用户来说使用方便互操作性尽量采用标准协议，与其他供应商的设备能互通服务质量QoS通过Internet连接的VPN服务质量很大程度取决于Internet的状况多协议支持10.2VPN协议VPN主要采用以下四项技术来保证安全：◆隧道技术◆加解密技术

◆密钥管理技术◆使用者与设备身份认证技术10.2.1VPN安全技术

加解密技术、密钥管理技术、使用者与设备身份认证技术在第五章已作介绍，VPN只是对这几种技术的应用。下面重点介绍隧道技术10.2VPN协议10.2.2VPN的隧道协议

VPN中的隧道是由隧道协议形成的，VPN使用的隧道协议主要有三种：点到点隧道协议（PPTP）、第二层隧道协议（L2TP）以及IPSec。PPTP和L2TP集成在windows中，所以最常用。PPTP协议允许对IP、IPX或NetBEUI数据流进行加密，然后封装在IP包头中通过企业IP网络或公共因特网络发送。L2TP协议允许对IP，IPX或NetBEUI数据流进行加密，然后通过支持点对点数据报传递的任意网络发送，如IP，X.25，帧中继或ATM。IPSec隧道模式允许对IP负载数据进行加密，然后封装在IP包头中通过企业IP网络或公共IP因特网络如Internet发送。10.2VPN协议10.2.2VPN的隧隧道协议NSRC、、NDST是隧道端端点设备的的IP地址址公网上路由由时仅仅考考虑NSRC、NDST原始数据包包的DST、SRC对公网透透明DSTSRCDATANDSTNSRCDSTSRCDATA10.2VPN协议10.2.2VPN的隧隧道协议Point-to-PointTunnelProtocol,2层协议，，需要把网网络协议包包封装到PPP包，，PPP数数据依靠PPTP协协议传输PPTP通通信时，客客户机和服服务器间有有2个通道道，一个通通道是tcp1723端口口的控制连连接，另一一个通道是是传输GREPPP数据包包的IP隧隧道PPTP没没有加密、、认证等安安全措施，，安全的加加强通过PPP协议议的MPPE(MicrosoftPoint-to-PointEncryption)实现现windows中集集成了PPTPServer和Client，适合中中小企业支支持少量移移动工作者者如果有防火火墙的存在在或使用了了地址转换换，PPTP可能无无法工作1．点到点点隧道协议议（PPTP）10.2VPN协议10.2.2VPN的隧隧道协议把网络数据据包封装在在PPP协协议中，PPP协议议的数据包包放到隧道道中传输L2TPRFC2661定义在Cisco公司的的L2F和和PPTP的基础上上开发windows中集集成2．第二层隧隧道协议（（L2TP）10.2VPN协议10.2.2VPN的隧隧道协议3．IPSec协议3层协议，，直接传输输网络协议议数据包基于TCP/IP的的标准协议议，集成到到IPv6中，仅仅仅传输IP协议数据据包提供了强大大的安全、、加密、认认证和密钥钥管理功能能适合大规模模VPN使使用，需要认证中中心（CA）来进行行身份认证证和分发用用户的公共共密钥IPSec数据包的的格式10.2VPN协议10.2.2VPN的隧隧道协议3．IPSec协议(续)IPSec的工作模模式传输模式：只对IP数据包的的有效负载载进行加密密或认证。。此时，继继续使用以以前的IP头部，只只对IP头头部的部分分域进行修修改，而IPSec协议头部部插入到IP头部和和传输层头头部之间。。隧道模式：对整个IP数据包包进行加密密或认证。。此时，需需要新产生生一个IP头部，IPSec头部被放放在新产生生的IP头头部和以前前的IP数数据包之间间，从而组组成一个新新的IP头头部。10.2VPN协议10.2.2VPN的隧隧道协议3．IPSec协议(续)IPSec的三个主主要协议SA(SecurltyAssociation安全全关联)。所谓安全全关联是指指安全服务务与它服务务的载体之之间的一个个“连接””。AH和和ESP都都需要使用用SA，而而IKE的的主要功能能就是SA的建立和和维护。只只要实现AH和ESP都必须须提供对SA的支持持。1）ESP（EncapsulatingSecurityPayload））。ESP协议主要要用来处理理对IP数数据包的加加密。ESP是与具具体的加密密算法相独独立的，几几乎支持各各种对称密密钥加密算算法，默认认为3DES和DES。2）AH(AuthenticationHeader)。AH只涉及及到认证，，不涉及到到加密。3）IKE(InternetKeyExchange)。。IKE协协议主要是是对密钥交交换进行管管理，它主主要包括三三个功能：：①对使用用的协议、、加密算法法和密钥进进行协商；；②方便的的密钥交换换机制(这这可能需要要周期性的的进行)；；③跟踪对对以上这些些约定的实实施。10.2VPN协议系系统的组成成IPSecVPN的的实现包含含管理模块块、密钥分分配和生成成模块、身身份认证模模块、数据据加密/解解密模块、、数据分组组封装/分分解模块和和加密函数数库几部分分组成。10.3VPN的类型VPN的分分类方法比比较多，实实际使用中中，需要通通过客户端端与服务器器端的交互互实现认证证与隧道建建立。基于于二层、三三层的VPN，都需需要安装专专门的客户户端系统（（硬件或软软件），完完成VPN相关的工工作。一个VPN解决方案案不仅仅是是一个经过过加密的隧隧道，它包包含访问控制、、认证、加加密、隧道道传输、路路由选择、、过滤、高高可用性、、服务质量量以及管理理VPN系统统大体分为为4类专用的VPN硬件支持VPN的硬件或或软件防火火墙VPN软件件VPN服务务提供商10.3VPN的类型按按VPN的的应用方式式分类VPN从应应用的方式式上分，有有两种基本本类型：拨拨号式VPN与专用用式VPN。拨号VPN分为两种种：在用户户PC机上上或在服务务提供商的的网络访问问服务器(NAS)上。专用VPN有多种形形式。IPVPN的发展展促使骨干干网建立VPN解决决方案，形形成了基于于MPLS的IPVPN技技术。MPLSVPN的优优点是全网网统一管理理的能力很很强，由于于MPLSVPN是基于网网络的，全全部的VPN网络配配置和VPN策略配配置都在网网络端完成成，可以大大大降低管管理维护的的开销。10.3VPN的类型按按VPN的的应用平台台分类VPN的应应用平台分分为三类：：软件平台台、专用硬硬件平台及及辅助硬件件平台。(1)软件件平台VPN当对数据连连接速率要要求不高，，对性能和和安全性需需求不强时时，可以利利用一些软软件公司所所提供的完完全基于软软件的VPN产品来来实现简单单的VPN功能。(2)专用用硬件平台台VPN使用专用硬硬件平台的的VPN设设备可以满满足企业和和个人用户户对提高数数据安全及及通信性能能的需求，，尤其是从从通信性能能的角度来来看，指定定的硬件平平台可以完完成数据加加密及数据据乱码等对对CPU处处理能力需需求很高的的功能。提提供这些平平台的硬件件厂商比较较多，如川川大能士、、Nortel、Cisco、3Com等。(3)辅助助硬件平台台VPN这类VPN介于软件件平台和指指定硬件平平台之间，，辅助硬件件平台的VPN主要要是指以现现有网络设设备为基础础，再增添添适当的VPN软件件以实现VPN的功功能。10.3VPN的类型按按VPN的的协议分类类按VPN协协议方面来来分类主要要是指构建建VPN的的隧道协议议。VPN的隧道协协议可分为为第二层隧隧道协议、、第三层隧隧道协议。。第二层隧隧道协议最最为典型的的有PPTP、L2F、L2TP等，，第三层隧隧道协议有有GRE、、IPSec等。第二层隧隧道和第第三层隧隧道的本本质区别别在于，，在隧道道里传输输的用户户数据包包是被封封装在哪哪一层的的数据包包中。第第二层隧隧道协议议和第三三层隧道道协议一一般来说说分别使使用，但但合理的的运用两两层协议议，将具具有更好好的安全全性。10.3VPN的的类型按按VPN的的服务类类型分类类根据服务务类型，，VPN业务按用户需求求定义以下三种种：InternetVPN、、AccessVPN与ExtranetVPN。1）InternetVPN（内部部网VPN）。即企业业的总部部与分支支机构间间通过公公网构筑筑的虚拟拟网。这这种类型型的连接接带来的的风险最最小，因因为公司司通常认认为他们们的分支支机构是是可信的的，并将将它作为为公司网网络的扩扩展。内内部网VPN的的安全性性取决于于两个VPN服服务器之之间加密密和验证证手段上上。10.3VPN的的类型按按VPN的的服务类类型分类类2）AccessVPN（远远程访问问VPN）又称为拨拨号VPN(即即VPDN)，，是指企企业员工工或企业业的小分分支机构构通过公公网远程程拨号的的方式构构筑的虚虚拟网。。典型的的远程访访问VPN是用用户通过过本地的的信息服服务提供供商(ISP)登录到到因特网网上，并并在现在在的办公公室和公公司内部部网之间间建立一一条加密密信道。。10.3VPN的类类型10.3.4按VPN的服务类类型分类3）ExtranetVPN（外联联网VPN））即企业间发生生收购、兼并并或企业间建建立战略联盟盟后，使不同同企业网通过过公网来构筑筑的虚拟网。。它能保证包包括TCP和和UDP服务务在内的各种种应用服务的的安全，如Email、、HTTP、、FTP、RealAudio、数数据库的安全全以及一些应应用程序如Java、ActiveX的安全。。10.3VPN的类类型10.3.5按VPN的部署模模式分类VPN可以通通过部署模式式来区分，部部署模式从本本质上描述了了VPN的通通道是如何建建立和终止的的，一般有三三种VPN部部署模式。(1)端到端端(End-to-End)模式是典型的由自自建VPN的的客户所采用用的模式，最常见的隧道道协议是IPSec和PPTP。(2)供应商商——企业(Provider-Enterprise)模式隧道通常在VPN服务器器或路由器中中创建，在客客户前端关闭闭。在该模式式中，客户不不需要购买专专门的隧道软软件，由服务务商的设备来来建立通道并并验证。最常常见的隧道协协议有L2TP、L2F和PPTP。(3)内部供供应商(Intra-Provider)模式式服务商保持了了对整个VPN设施的控控制。在该模模式中，通道道的建立和终终止都是在服服务商的网络络设施中实现现的。客户不不需要做任何何实现VPN的工作。10.4SSLVPN简介SSLVPN使用SSL和代理技技术，向终端端用户提供对对超文本传送送协议（HTTP）、客客户/服务器器和文件共享享等应用授权权安全访问的的一种远程访访问技术，因因此不需要安安装专门客户户端软件。SSL协议是是在网络传输输层上提供的的基于RSA加密算法和和保密密钥的的用于浏览器器与Web服服务器之间的的安全连接技技术。SSLVPN部署和管管理费用低，，在安全性和和为用户提供供更多便利性性方面，明显显优于传统IPSecVPN。SSLVPN是建立用户户和服务器之之间的一条专专用通道，在在这条通道中中传输的数据据是不公开的的数据，因此此必须要在安安全的前提下下进行远程连连接。SSLVPN其安全性性包含三层含含义：一是客户端接接入的安全性性；二是数据传输输的安全性；三是内部资源源访问的安全全性。SSLVPN支持Web应用的远远程连接，包包括基于TCP协议的B/S和C/S应用，UDP应用。。SSLVPN的关键键技术有代理理和转发技术术、访问控制制、身份验证证、审计日志志。10.4.1SSLVPN的的安全技术1．信息传输输安全1）通过浏览览器对任何Internet可以连连接的地方到到远程应用或或数据间的所所有通信进行行即时的SSL加密。2）安全客户户端检测，有有效保护您的的网络免受特特洛伊、病毒毒、蠕虫或黑黑客的攻击。。含防火墙、、反病毒防护护、Windows升级级、Windows服务务、文件数字字签名、管理理员选择注册册表、IP地地址等多方面的检测测功能。2．用户认证证与授权1）认证。谁谁被允许登录录系统，在远远程用户被允允许登录前进进行身份确认认。包括标准准的用户名＋＋密码方式、、智能卡、RSA，还可可使用CA证证书。2）授权。按按角色划分的的权限访问应应用程序、数数据和其他一一些资源，在在服务器端通通过划分组、、角色和应用用程序进行集集中管理。3）审计。随随时了解用户户做了什么访访问。对每位位用户的活动动进行追踪、、监视并记录录日志。10.4SSLVPN简介10.4.2SSLVPN的的功能与特点点1．SSLVPN的基基本功能SSLVPN是一款专专门针对B/S和C/S应用的SSLVPN产品，具具有以下完善善实用的功能能：1）提供了基基于SSL协协议和数字证证书的强身份份认证和安全全传输通道。。2）提供了先先进的基于URL的访问问控制。3）提供了SSL硬件加加速的处理和和后端应用服服务的负载平平衡。4）提供了基基于加固的系系统平台和IDS技术的的安全功能。。10.4SSLVPN简介2．SSLVPN系统统协议由SSL、HTTPS、、SOCKS这3个个协议相互协协作共同实现现。3．SSLVPN的特特点1）安装简单单、易于操作作，无需安装装客户端软件件。2）具有认证证加密、访问问控制、安全全信息备份、、负载平衡等等功能。3）使用标准准的HTTPS协议传输输数据，可以以穿越防火墙墙，不存在地地址转换的问问题，而且不不改变用户网网络结构，适适合复杂应用用环境。10.4.3SSLVPN的的工作原理SSLVPN的工作原原理可用以下下几个步骤来来描述：1）SSLVPN生成成自己的根证证书和服务器器操作证书。。2）客户端浏浏览器下载并并导入SSLVPN的的根证书。3）通过管理理界面对后端端网站服务器器设置访问控控制。4）客户端通通过浏览器使使用HTTPS协议访访问网站时，，SSLVPN接受请请求，客户端端实现对SSLVPN服务器的认认证。5）服务器端端通过口令方方式认证客户户端。6）客户端浏浏览器和SSLVPN服务器端之之间所有通信信建立了SSL安全通道道。10.4SSLVPN简介10.4.4SSLVPN的的应用模式及及特点SSLVPN的解决方方案包括三种种模式：◆Web浏览器器模式◆SSLVPN客户端模模式◆LAN到LAN模式式WEB浏览器器模式是SSLVPN的最大优势势，它充分利利用了当前Web浏览器器的内置功能能，来保护远远程接入的安安全，配置和和使用都非常常方便。SSLVPN已逐渐成为为远程接入的的主要手段之之一。10.4SSLVPN简介10.4.4SSLVPN的的应用模式及及特点10.4SSLVPN简介1．Web浏浏览器模式的的解决方案由于Web浏浏览器的广泛泛部署，而且且Web浏览览器内置了SSL协议，，使得SSLVPN在在这种模式下下只要在SSLVPN服务器上集集中配置安全全策略，几乎乎不用为客户户端做什么配配置就可使用用，大大减少少了管理的工工作量，方便便用户的使用用。缺点是仅仅能保护Web通信传输输安全。远程计算机使使用Web浏浏览器通过SSLVPN服务器器来访问企业业内部网中的的资源。这种模式目前前已广泛使用用于校园网、、电子政务网网中!10.4.4SSLVPN的的应用模式及及特点10.4SSLVPN简介2．SSLVPN客户端端模式的解决决方案SSLVPN客户端模模式为远程访访问提供安全全保护，用户需要在客客户端安装一一个客户端软软件，并做一些简简单的配置即即可使用，不不需对系统做做改动。这种种模式的优点点是支持所有有建立在TCP/IP和和UDP/IP上的应用用通信传输的的安全，Web浏览器也也可以在这种种模式下正常常工作。这种种模式的缺点点是客户端需需要额外的开开销。10.4.4SSLVPN的的应用模式及及特点10.4SSLVPN简简介介3．．LAN到到LAN模模式式的的解解决决方方案案LAN到到LAN模模式式对对LAN（（局局域域网网））与与LAN（（局局域域网网））间间的的通通信信传传输输进进行行安安全全保保护护。。与与基基于于IPSec协协议议的的LAN到到LAN的的VPN相相比比，，它它的的优点点就就是是拥拥有有更更多多的的访访问问控控制制的的方方式式,缺缺点点是是仅仅能能保保护护应应用用数数据据的的安安全全，，并并且且性性能能较较低低。能能士士NesecSVPN的的解解决决方方案案10.5应应用用案案例例某系系统统网网络络已已建建设设完完成成，，但但因因国国家家-省省-市市地地-区区县县四四级级网网络络采采用用了了不不同同的的公公网网传传输输平平台台，，又又因因区区县县地地域域管管辖辖原原因因，，该该行行业业网网络络的的部部分分区区县县LAN融融合合于于当当地地的的电电子子政政务务网网中中，，也也有有部部分分区区县县与与当当地地其其他他部部门门网网络络合合作作建建设设。。存在在问问题题：：①①各各县县局局虽虽然然能能访访问问上上级级市市局局网网络络，，却却不不能能访访问问省省局局、、国国家家局局及及其其他他省省市市局局的的网网络络资资源源；；②②各各县县局局访访问问所所在在市市的的服服务务器器因因为为借借助助于于市市政政专专网网，，通通过过路路由由器器访访问问，，其其间间并并没没有有采采取取任任何何安安全全措措施施，，因因此此安安全全性性无无法法得得到到保保障障。。这样样的的网网络络现现状状，，不不能能实实现现互互通通，，也也就就无无法法实实现现访访问问及及其其他他应应用用。。实实际际应应用用中中，，通通过过能能士士VPN特特有有的的虚虚拟拟地地址址管管理理功功能能有有效效解解决决了了所所有有问问题题。。能士士RVPN特特色色功功能能10.5应应用用案案例例1））网网络络互互联联。。支支持持星星型型网网络络通通过过Internet进进行行互互联联，，网网络络由由RVPN-H和和RVPN-B(P)共共同同组组成成。。2））远远程程接接入入。。移移动动用用户户通通过过Internet接接入入总总部部网网络络。。可可分分配配虚虚拟拟IP。。3））基基于于用用户户名名密密码码的的身身份份认认证证,RVPN内内置置RADIUS服服务务支支持持基基于于用用户户名名密密码码的的身身份份认认证证，，目目前前仅仅支支持持静静态态密密码码。。该该功功能能又又名名用用户户管管理理。。4））基基于于硬硬件件绑绑定定的的身身份份证证书书认认证证,提提供供基基于于PC硬硬件件序序号号的的身身份份认认证证过过程程。。使使得得只只有有指指定定计计算算机机才才能能接接入入网网络络。。该该功功能能又又名名硬硬件件ID鉴鉴权权。。5））加加密密。。寻寻址址加加密密使使用用DES,数数据据传传输输使使用用DES或或AES。。6））穿穿透透NAT,支支持持分分支支或或移移动动穿穿透透任任何何NAT设设备备。。非非直直连连Internet,支支持持总总部部安安装装在在NAT设设备备以以内内。。7））路路由由功功能能和和动动态态寻寻址址8））包包过过滤滤防防火火墙墙功功能能,支支持持基基于于封封包包过过滤滤的的防防火火墙墙功功能能。。9））NAT功功能能,支支持持正正向向动动态态NAT，，反反向向端端口口映映射射。。10））Internet访访问问控控制制,基基于于用用户户的的Internet访访问问控控制制，，限限制制非非法法用用户户访访问问非非授授权权服服务务。。防防止止攻攻击击类类型型：：SYN和和ICMP方方式式的的DOS攻攻击击、、碎碎片片攻攻击击等等。。的的解解决决方方案案10.5应应用用案案例例Microsoft的的核核心心VPN技技术术是是建建立立在在PPTP的的基基础础之之上上的的，，Windows2000/X