使用VRRP提高网络稳定性 RCNP-VPN

网络安全设备与技术VPN2010提纲什么是VPN为什么使用VPNVPN的应用类型VPN的安全技术已有的VPN解决方案VPN的概念VPN能做什么VPN用在哪些环境下VPN采用的主要技术目前流行的VPN解决方案什么是VPNVPN（VirtualPrivateNetwork）技术也就是虚拟专用网技术，顾名思义，虚拟专用网不是真的专用网络，但却能够实现专用网络的功能。InternetLAN与LAN之间彼此孤立VPNTunnelVPNTunnelVPNTunnelLAN与LAN之间实现安全互访LAN与LAN通过VPN技术构建新的LAN虚拟专用网指的是依靠ISP（Internet服务提供商）和其它NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用Internet公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。IETF草案理解基于IP的VPN为：“使用IP机制仿真出一个私有的广域网”：是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。为什么使用VPN？用户的需求用户的需求是虚拟专用网技术诞生的直接原因随着Internet和电子商务的蓬勃发展，经济全球化的最佳途径是发展基于Internet的商务应用。随着商务活动的日益频繁，各企业开始允许其生意伙伴、供应商也能够访问本企业的局域网，从而大大简化信息交流的途径，增加信息交换速度。合作和联系是动态的，并依靠网络来维持和加强，于是各企业发现，这样的信息交流不但带来了网络的复杂性，还带来了管理和安全性的问题。因为Internet是一个全球性和开放性的、基于TCP/IP技术的、不可管理的国际互联网络，因此，基于Internet的商务活动就面临非善意的信息威胁和安全隐患。自身的的发展壮大与跨国化，企业的分支机构不仅越来越多，而且相互间的网络基础设施互不兼容也更为普遍。因此，用户的信息技术部门在连接分支机构方面也感到日益棘手。信息在传输中可能泄密数据被黑客窃听总部分支机构移动用户A黑客我的密码是CAF我的密码是CAFVPN的需求之一：数据机密性保护移动用户BInternet信息在传输中可能失真总部分支机构移动用户A黑客同意2000元成交VPN的需求之二：数据完整性保护移动用户BInternet黑客篡改数据同意

5000元成交信息的来源可能伪造的总部分支机构黑客交易服务器VPN的需求之三：数据源发性保护移动用户Internet谁是真的Bob？我是Bob，请求交易“我是Bob”，请求交易信息传输的成本可能很高移动用户APSTNPSTN长途拨号：010-163市话拨号：163上海的拨号服务器上海北京的拨号服务器10010010101010数据在公网传输不安全？长途拨号，成本太高？VPN的需求之四：降低远程传输成本Internet使用VPN的优势防止数据在公网传输中被窃听防止数据在公网传输中被篡改可以验证数据的真实来源成本低廉（相对于专线、长途拨号）应用灵活、可扩展性好VPN的工作原理数据机密性保护的实现数据完整性保护的实现数据源发性保护的实现重放攻击保护的实现数据机密性保护的实现1100111001010001010010101001000100100100000100000011001110010100010100101010010001001001000001000000明文加密解密明文保证数据在传输途中不被窃取发起方接受方密文·#￥^&(%#%$%^&*(!#$%*((_%$@#$%%^*&**)%$#@数据完整性保护的实现发起方接受方1001000101010010100001000000110110001010100010101001000101010010100001000000110110001010HashHash100010101001000101010010100001000000110110001010是否一样？防止数据被篡改100010101001000101010010100001000000110110001010数据源发性保护的实现BobAlice假冒的“Bob”假冒VPNInternet101011011110100110010100验证签名，证实数据来源私钥签名私钥签名101011011110100110010100重放攻击保护的实现VPN的应用类型？AccessVPN（远程访问虚拟网）AccessVPN最适用于公司内部经常有流动人员远程办公的情况。出差员工利用当地ISP提供的VPN服务，就可以和公司的VPN网关建立私有的隧道连接。CA中心或者Radius服务器可对员工进行身份授权和验证，保证连接的安全。VPN客户端企业总部VPNInternet移动用户移动用户移动用户移动用户VPN客户端VPN客户端VPN客户端IntranetVPN（企业内部虚拟网）企业的发展、机构网点的增加，使得网络的结构趋于复杂，链路费用昂贵。利用VPN特性，在Internet上组建世界范围内的IntranetVPN，保证信息在整个IntranetVPN上安全传输。企业拥有与专用网络的相同政策，包括安全、服务质量(QoS)、可管理性和可靠性。企业总部分支机构办事处InternetVPNVPNVPNExtranetVPN（企业扩展虚拟网）各个企业之间的合作关系也越来越多，信息交换日益频繁。利用VPN技术组建安全的Extranet，既可以向客户、合作伙伴提供有效的信息服务，又可以保证自身的内部网络的安全。Internet企业总部分支机构合作伙伴合作伙伴VPN的安全技术四项技术VPN主要采用四项技术来保证安全隧道技术（Tunneling）加解密技术（Encryption&Decryption）密钥管理技术（KeyManagement）认证技术（Authentication）隧道技术隧道技术的基本过程是在源局域网与公用网的接口处将局域网发送的数据(可以是ISO七层模型中的数据链路层或网络层数据)作为负载封装在一种可以在公用网上传输的数据格式中，在目的局域网与公用网的接口处将公用网的数据解封装后，取出负载即源局域网发送的数据向目的局域网传输。网络隧道技术指的是利用一种网络协议来传输另一种网络协议，利用网络隧道协议来实现这种功能。由于封装与解封装只在两个接口处由设备按照隧道协议配置进行，局域网中的其他设备将不会觉察到这一过程。被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。隧道技术-协议三层隧道协议主要有GenericRoutingEncapsulation（GRE）协议IPSec协议加解密技术1现代密码学中，加密算法被分为对称加密算法和非对称加密算法。对称加密算法采用同一个密钥进行加密和解密，优点是速度快，但密钥的分发与交换不便于管理。对称加密算法：国际数据加密算法（IDEA：InternationalDataEncryptionAlgorithm）：128位长密钥，把64位的明文块加密成64位的密文块。DES和3DES加密算法(TheDataEncryptionStandard):DES有64位长密钥,实际上只使用56位密钥。AES：Rijndial加密算法加解密技术2使用不对称加密算法加密时，通讯各方使用两个不同的密钥,一个是只有发送方知道的私有密钥，另一个则是对应的公开密钥，任何人都可以获得公开密钥。私有密钥和公开密钥在加密算法上相互关联，一个用于数据加密，另一个用于数据解密。由于不对称加密运算量大，一般用于加密对称加密算法中使用的密钥。不对称加密还有一个重要用途即数字签名。

密钥管理技术密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。

现行密钥管理技术又分为SKIP与ISAKMP两种。SKIP主要是利用Diffie-Hellman的演算法则，在网络上传输密钥；在ISAKMP中，双方都有两把密钥，分别用于公用、私用。

认证技术认证技术可以区分真实数据与伪造、被篡改过的数据。认证协议一般都要采用一种称为摘要的技术。摘要技术主要是采用HASH函数将一段长的报文通过函数变换，映射为一段短的报文即摘要。验证数据的完整性。发送方将数据报文和报文摘要一同发送,接收方通过计算报文摘要,与发来摘要比较,相同则说明报文未经修改。

用户认证。该功能实际上是上一种功能的延伸。当一方希望验证对方，但又不希望验证秘密在网络上传送，这时一方可以发送一段随机报文，要求对方将秘密信息连接上该报文作摘要后发回，接收方可以通过验证摘要是否正确来确定对方是否拥有秘密信息，从而达到验证对方的目的。常用的HASH函数有MD5，SHA-1等。

已有的VPN解决方案IP安全协议IPSec（IPSecurity）是一组开放协议的总称，特定的通信方之间在IP层通过加密与数据源验证，以保证数据包在Internet网上传输时的私有性、完整性和真实性。IPSec通过AH（AuthenticationHeader）和ESP（EncapsulatingSecurityPayload）这两个安全协议来实现。IPSecVPN网络层的VPN解决方案。网络层是可实现端到端安全通信的最低层，它为所有应用层数据提供透明的安全保护，用户无需修改应用层协议。IPSec的工作模式传输模式：只对IP数据包的有效负载进行加密或认证。此时，继续使用以前的IP头部，只对IP头部的部分域进行修改，而IPSec协议头部插入到IP头部和传输层头部之间隧道模式：对整个IP数据包进行加密或认证。此时，需要新产生一个IP头部，IPSec头部被放在新产生的IP头部和以前的IP数据包之间，从而组成一个新的IP头部。IPSec的工作模式隧道模式传输模式IPSec的三个主要协议

1）ESP（EncapsulatingSecurityPayload）。ESP协议主要用来处理对IP数据包的加密。ESP是与具体的加密算法相独立的，几乎支持各种对称密钥加密算法，默认为3DES和DES。2）AH(AuthenticationHeader)。AH只涉及到认证，不涉及到加密。3）IKE(InternetKeyExchange)。IKE协议主要是对密钥交换进行管理，它主要包括三个功能：①对使用的协议、加密算法和密钥进行协商；②方便的密钥交换机制(这可能需要周期性的进行)；③跟踪对以上这些约定的实施。AH(AuthenticationHeader)AH是一个用于提供IP数据包完整性和认证的机制。其完整性是保证数据报不被无意的或恶意的方式改变通过在整个IP数据报中实施一个消息文摘计算来提供完整性和认证服务提供反重放保护使用IP协议号51ESP提供IP数据报的完整性和可信性服务，ESP是在RFC2406中定义的。保证数据的完整性，使用散列算法，验证不包括IP头提供反重放保护使用IP协议号50ESP协议是设计以两种模式工作的：隧道（Tunneling）模式和传输（Transport）模式IPSec协议结构图IPSec安全体系ESP协议AH协议加密算法认证算法DOIIKE协议SSLVPN加密通道SSLVPN远程用户认证服务器IE浏览器SSLVPN的安全技术1．信息传输安全

1）通过浏览器对任何Internet可以连接的地方到远程应用或数据间的所有通信进行即时的SSL加密。

2）安全客户端检测，有效保护您的网络免受特洛伊、病毒、蠕虫或黑客的攻击。含防火墙、反病毒防护、Windows升级、Windows服务、文件数字签名、管理员选择注册表、IP地址等多方面的检测功能。2．用户认证与授权

1）认证。谁被允许登录系统，在远程用户被允许登录前进行身份确认。包括标准的用户名＋密码方式、智能卡、RSA，还可使用CA证书。

2）授权。按角色划分的权限访问应用程序、数据和其他一些资源，在服务器端通过划分组、角色和应用程序进行集中管理。

3）审计。随时了解用户做了什么访问。对每位用户的活动进行追踪、监视并记录日志。SSLVPN的功能与特点1．SSLVPN的基本功能

SSLVPN是一款专门针对B/S和C/S应用的SSLVPN产品，具有以下完善实用的功能：

1）提供了基于SSL协议和数字证书的强身份认证和安全传输通道。

2）提供了先进的基于URL的访问控制。

3）提供了SSL硬件加速的处理和后端应用服务的负载平衡。

4）提供了基于加固的系统平台和IDS技术的安全功能。2．SSLVPN系统协议

由SSL、HTTPS、SOCKS这3个协议相互协作共同实现。3．SSLVPN的特点

1）安装简单、易于操作，无需安装客户端软件。

2）具有认证加密、访问控制、安全信息备份、负载平衡等功能。

3）使用标准的HTTPS协议传输数据，可以穿越防火墙，不存在地址转换的问题，而且不改变用户网络结构，适合复杂应用环境。

SSLVPN的工作原理SSLVPN的工作原理可用以下几个步骤来描述：

1）SSLVPN生成自己的根证书和服务器操作证书。

2）客户端浏览器下载并导入SSLVPN的根证书。

3）通过管理界面对后端网站服务器设置访问控制。

4）客户端通过浏览器使用HTTPS协议访问网站时，SSLVPN接受请求，客户端实现对SSLVPN服务器的认证。

5）服务器端通过口令方式认证客户端。

6）客户端浏览器和SSLVPN服务器端之间所有通信建立了SSL安全通道。SSLVPN的应用模式及特点

SSLVPN的解决方案包括三种模式：◆Web浏览器模式◆SSLVPN客户端模式◆LAN到LAN模式

WEB浏览器模式是SSLVPN的最大优势，它充分利用了当前Web浏览器的内置功能，来保护远程接入的安全，配置和使用都非常方便。SSLVPN已逐渐成为远程接入的主要手段之一。SSLVPN的应用模式及特点1．Web浏览器模式的解决方案由于Web浏览器的广泛部署，而且Web浏览器内置了SSL协议，使得SSLVPN在这种模式下只要在SSLVPN服务器上集中配置安全策略，几乎不用为客户端做什么配置就可使用，大大减少了管理的工作量，方便用户的使用。缺点是仅能保护Web通信传输安全。远程计算机使用Web浏览器通过SSLVPN服务器来访问企业内部网中的资源。

这种模式目前已广泛使用于校园网、电子政务网中!SSLVPN的应用模式及特点2．SSLVPN客户端模式的解决方案SSLVPN客户端模式为远程访问提供安全保护，用户需要在客户端安装一个客户端软件，并做一些简单的配置即可使用，不需对系统做改动。这种模式的优点是支持所有建立在TCP/IP和UDP/IP上的应用通信传输的安全，Web浏览器也可以在这种模式下正常工作。这种模式的缺点是客户端需要额外的开销。

3．LAN到LAN模式的解决方案LAN到LAN模式对LAN（局域网）与LAN（局域网）间的通信传输进行安全保护。与基于IPSec协议的LAN到LAN的VPN相比，它的优点就是拥有更多的访问控制的方式,缺点是仅能保护应用数据的安全，并且性能较低。

PPTP/L2TPVPN基于第二层的VPN解决方案PPTP：点到点隧道协议L2TP：二层隧道协议L2TPRed-Giant(config)#l2tp-classl2tp-class-name 创建/配置指定名称的l2tp-class接口 Red-Giant(config)#nol2tp-classl2tp-class-name 删除指定名称的l2tp-class接口 其中l2tp-class-name是创建/设置的l2tp-class单元的名称，这里创建的l2tp-class可以被pseudowire-class按其名称引用。L2TPRed-Giant(config)#pseudowire-classpseudowire-class-name 创建/配置指定名称的pseudowire-class接口Red-Giant(config-pw-class)#encapsulationl2tpv2设置数据传输封装模式Red-Giant(config-pw-class)#iplocalinterfaceinterface-name指定通道的本地接口(地址)

L2TPRed-Giant(config)#protocoll2tpv2[l2tp-class-name]设置L2TP控制连接参数这里l2tpv2是遵循用RFC2661规范的L2TP协议来创建控制连接，这里使用参数l2tp-class-name来引用已经存在的l2tp-class来限制控制连接参数，如果没有这个参数就使用系统默认的L2TP控制连接参数。