网络安全技术与应用-VN

网络安全技术与应用VPN（VirtualPrivateNetwork）内容主要VPN技术介绍VPN概述什么是VPN合作伙伴出差员工隧道专线办事处总部分支机构异地办事处Internet什么是VPNVPN（VirtualPrivateNetwork，虚拟私有网）以共享的公共网络为基础，构建私有的专用网络以虚拟的连接，而非以物理连接贯通网络处于私有的管理策略之下，具有独立的地址和路由规划有所通，有所不通RFC2764描述了基于IP的VPN体系结构VPN的优势可以快速构建网络，减小布署周期与私有网络一样提供安全性，可靠性和可管理性可利用Internet，无处不连通，处处可接入提高基础资源利用率于客户可节约使用开销于运营商可以有效利用基础设施，提供大量、多种业务VPN的分类分类方法按照业务用途分类：AccessVPN，IntranetVPN，ExtranetVPN按照运营模式：CPE-BasedVPN，Network-BasedVPN按照组网模型：VPDN，VPRN，VLL，VPLS按照网络层次：Layer1VPN，Layer2VPN，Layer3VPN，传输层VPN，应用层VPNVPN的分类_按业务用途POPPOP用户直接发起连接POPISP发起连接总部隧道AccessVPNVPN的分类_按业务用途总部研究所办事处分支机构IntranetVPNVPN的分类_按业务用途总部合作伙伴异地办事处分支机构ExtranetVPNVP缺N的遗分类阴_按贵运营纯模式隧道总部研究所办事处分支机构Internet/ISP网络CP冈E-捏Ba撇se浸d男VP欣NVP女N的秋分类挑_按拴运营间模式隧道总部研究所办事处分支机构Internet/ISP网络Ne头tw穗or慈k-猾Ba钱se歌d醉VP净NVP讯N的蜜分类暂_按嫩组网任模型总部研究所办事处分支机构DLCI500DLCI600DLCI700DLCI600/601/602Internet/ISP网络VL蹈L（未Vi训rt用ua撒l潮Le俭as默ed伙L南in效e）虚拟浙租用句线路VP堤N的贴分类静_按迹组网祖模型隧道研究所办事处分支机构网络层报文Internet/ISP网络VP华RN版（V辫ir妈tu帮al剪P梁ri博va妨te彩R银ou灾te此d临Ne哨tw傅or颂ks绘）虚拟鸡专用兰路由锯网络VP波N的集分类册_按隔组网车模型POPPOP用户直接发起连接POPISP发起连接总部隧道VP安DN敞（V某ir绘tu薪al它P葵ri燃va派te适D景ia楼l-轰up获N腐et购wo雕rk羞）虚拟倡专用黄拨号骑网络VP句N的橡分类寨_按稠组网伏模型VP希LS赠（V吵ir绣tu椒al丑P维ri娱va梯te泪L乎an踢S竭er桐vi集ce烤）虚拟协专用晶局域娱网业醒务ISP网络虚拟的LAN连接研究所办事处分支机构LAN帧VP犁N的貌分类汤_按圈网络逃层次NetworkInterface(DataLink)IP(Internetwork)TCP/UDP(Transport)IP腐Se盘c凑(I周SA麻KM到P)SO篇CK贡SSS故LIP训Se将c车(A问H,正ES索P)GR棍EPP炕TPL2北TPAp勾pl亭ic龙at崇io括nMP昌LSVP点N的庸功能数据洋机密酸性（冶Co蓄nf坛id却en垄ti影al僻it治y）床保护拨号服务器InternetIn文te姐rn胳et区域内部急工作彼子网管理子网一般子网内部WWW重点子网下属机构WWWMailDNS密文积传输明文殃传输明文弱传输边界窜路由崖器VP聚N的浅功能数据秧完整外性（贡In碍te读gr断it恋y）特保护抓（下肺例实嘱为机送密性股+完租整性哄保护绕）内部嫩工作票子网管理子网一般子网内部WWW重点子网下属机构原始罗数据订包对原漠始数挤据包封进行Ha字sh加密后的数据包摘要Ha召sh摘要对原听始数导据包催进行夺加密加密酬后的征数据葬包加密加密后的数据包摘要加密喘后的循数据辛包摘要摘要解密原始刃数据蔬包Ha锯sh原始鱼数据按包与原驴摘要过进行升比较逗，验情证数龄据的洲完整炸性VP东N的扣功能数据刃源身工份认坝证（点Au他th广en盟ti经ca秀ti愁on军）内部闹工作体子网管理子网一般子网内部WWW重点子网下属机构原始君数据腿包对原全始数针据包索进行Ha盼shHa势sh摘要加密摘要摘要取出DS话S原始增数据眠包Ha俗sh原始峡数据旬包两摘柔要相睛比较私钥原始数据包DSSDS子S将数美字签陶名附口在原稿始包涨后面您供对镇方验均证签甘名得到植数字役签名原始数据包DSS原始数据包DSSDS逆S解密相等阻吗？验证糠通过VP亡N的舒关键侍技术隧道令技术员（T抖un哀ne吃li矮ng院）加密稼技术还（E简nc吓ry龙pt约io捏n）认证塌技术翁（A热ut娱he主nt厅ic庭at汤io悲n）VP蜂N安晨全隧炸道技膝术为了匆在公蚀网上贼传输演私有牙数据糖而发校展出姑来的鹅“信王息封召装”跌（E碍nc左ap穴su袜la益ti疼on哈）方近式在I铺nt史er贷ne划t上股传输这的加炉密数汽据包碍中，铲只有铸VP嚷N端冬口或找网关妻的I园P地吗址暴夜露在贯外面通过抬隧道吉技术越在公这共网慌络上攻仿真绿一条征点到遵点的睬专线晚。Internet安全渐隧道VP政N安狭全隧捆道技挪术隧道研是利腐用一永种协兰议来丛传输鱼另外箱一种顷协议套的技索术，本共涉俯及三阀种协耕议，零包括兼：乘叔客协帜议、南隧道狗协议鄙和承妹载协煎议。被封水装的手原始IP包新增功加的IP头IP站Se让c头乘客矩协议隧道耳协议承载逃协议原始IP包经过IP叹Se赢c封装辈后内容主要VP非N技术改介绍VP美N概述L2荐TP零V短PNL2惧TP扑封装晌的乘荐客协坑议是葡位于谋第二练层的丽PP六P协掏议。L2阴TP久没有衔对数绞据进寄行加岛密。原始已数据股包新增卸加的IP头L2闯TP头可以赔是IP、IP强X和Ap顶pl谊eT话al模kPP层P封装原始胜数据迫包PP鸽P头L2姜TP封装原始叠数据秒包PP篮P头可以喝是IP、AT球M和帧交中继L2片TP纪V竞PNL2卖TP临的典检型应单用—路—V忙PD未N用户摊发起病PP抵P连雁接到骡接入碌服务讽器LA律C封幸装用疲户的扇PP凤P会胖话到在L2礼TP忽隧道巾，L初2T慌P隧绸道穿贺过公废共I扛P网迈络，骆终止牙于电油信V承PD书N机匹房的组LN抓S用户贴的P潜PP圆s夜es巴si骄on胖经企过业内箱部的商认证豪服务税器认竭证通录过后荒即可缘瑞访问味企业状内部耕网络脱资源用户1BRASLNSA8010认证服务器用户2用户3FirewallPSTN公用IP网络宽带接入网企业网关ServerSe像rv队er（LA问C)（LA申C)电信VP巧DN机房企业朱内部范网LA演C（L2酿TP按A畜cc沫es武s丽Co勇nc合en馋tr解at鉴or）LN怀S（L2妇TP毛N母et荷wo虹rk早S专er题ve喊r）IP瞒Se套c滥VP鞋NRT键ART哗BIPIP斤XIP寇X站点A站点B普通报文加密报文IP桑Se劈燕c传批输模跨式（概端到料端）IP啊Se允c兆VP抓NRT调ART解BIPIP旁XIP永XIP替Se次c鼓Tu嫩nn纽奉el站点A站点B普通报文加密报文IP踪蝶Se默c隧淘道模拍式（绵站点屿到站榨点）IP袜Se割c撇VP华NESPAHDES3DESAESMD5SHADH1DH2IPSec框架可选择的算法IPSec安全协议加密数据摘要对称密钥交换IP号Se汁c框猎架结际构IP电Se虽c缘瑞VP瞧NInternet负载IP头Ho类st门AHo刮st串BVP铅N网关允1VP丙N网关百2负载IP头经过IP摩Se壁c核心恭处理惑以后经过IP咏Se愈c核心射处理馆以后SourceIP=VPN网关1DestinationIP=VPN网关2SourceIP=HostADestinationIP=HostB内IP头ESP尾负载ESP头AH头外IP头内IP头ESP尾负载ESP头AH头外IP头内IP头ESP尾负载ESP头AH头外IP头IP科Se涌c喊VP舒NAHAH简介AH颗（A牙ut吹he赶nt嘴ic踩at悟io仁n配He雹ad眯er盟）RF夕C啦24绞02数据悦的完福整性疼校验开和源盗验证有限烧的抗碗重播秒能力不能禾提供泽数据侨加密归功能IP欢Se语c悼VP率N载荷腔数据TC继P原始IP头载荷爆数据原始IP头TC逐PAH头Au置th精en戒ti笛ca道ti包on劈燕D镜at血a密钥AH头单向聪散列绑函数载荷娃数据TC代P原始IP头原始IP包AH处理骑后的匀包传输民模式鹿AH响封装IP旷Se饥c傻VP响N载荷微数据TC聋P原始IP头Au语th口en莲ti酱ca秘ti且on伸D徒at幼a密钥AH头单向帆散列占函数新IP头载荷谅数据TC嘴P原始IP头AH头新IP头载荷勺数据TC锣P原始IP头原始IP包AH处理痰后的放包隧道谜模式常AH拥封装IP济Se秋c忙VP倘NES迫PES蜘P简介ES拴P（把En籍ca尺ps活ul剥at秧in甚g充Se萍cu察ri档ty刃P糖ay锻lo游ad徒）RF舌C冠24屈06保证辰数据矮的机鼠密性数据静的完砍整性脉校验国和源翻验证一定骡的抗月重播知能力IP宣Se纺c监VP陷NAu打th策en保ti颈ca语ti鹅on扣D洽at耕a加密耳密钥加密壤算法载荷含数据TC庆P原始IP头ES拣P尾ES剩P哀Au闷th密文ES里P尾ES刘P头密文验证鸡密钥ES傻P头密文载荷宋数据TC更P原始IP头原始IP包验证脖算法传输袭模式么ES丝式P封性装IP逝Se裂c国VP弦NAu氧th售en陕ti枕ca趣ti浊on蛛D差at笨a加密匠密钥加密翁算法载荷舌数据TC拣P原始IP头新IP头ES邻P尾ES碌P锻Au费th密文ES量P尾ES痒P头密文验证臭密钥ES窝P头密文载荷输数据TC光P原始IP头原始IP包验证叔算法隧道尸模式悔ES猴P封姑装IP耳Se句c垄VP班NDi暑ff挥ie宿-H样el性lm回an息密钥馒交换图算法浓：在一宫个非蹈安全原的通曲道上祝安全茂地建烦立一破个共凝享密怎钥Internet事先柳双方前协商扔两个卖公共畏数值禽，昼非常文大的螺素数m和整递数g做计浇算X=逢gamo届d鸭m发送X=gamodm产生艘一个各很大衡的数b产生旋一个全很大握的数a做计薄算Y=断gbmo厕d颈m发送Y=gbmodmKA=Yamo东d惜m=露gabmo壁d特mKB=Xbmo在d害m=居gabmo炼d斜m两者摸相等得出馅共享轿密钥Ke蒜y=gabmo娇d雷mHo要st居AHo键st姜BMP涌LS晓V饶PNMP服LS甜V脆PN舱的基唐本概僚念MP剩LS皂V葵PN闯是一地种基免于M劈燕PL蔽S锈(M牙ul坝ti检-P勇ro隆to共co剥l嚼La惊be袖l馒Sw龄it孙ch牛in尊g，诱多协苍议标短记交穷换钢)技凉术的便IP峰V姐PN读，是热在网茧络路粥由和拾交换亮设备悟上应谋用多稀协议狭标记狠交换怕技术津，简配化核颈心路俩由器荒的路染由选盗择方斤式，肚从而息构成笋企业苍通信鞋网络浆的一粮种产研品。MP奇LS退V笔PN剪属于演2.尝5层蹄的隧沿道协芒议三层供包头MP抽LS标签二层掀包头MP努LS轧V逗PN在入星口边行缘路括由器至为每陵个包衰加上孙MP央LS驰标签美，核铸心路丑由器诊根据芽标签蛮值进妙行转应发，从出口肉边缘走路由薄器再棵去掉液标签绕，恢奴复原你来的坛IP汗包躬。MP储LS网P1P2PE汗1PE毁2CE预1CE琴2MP歉LS标签MP茫LS下V榜PNMP杀LS即V牛PN泽中的哄角色CE钟(开Cu逮st贵om痰E队dg北e据Ro泰ut屈er标)，爽用户瓶边缘伸路由挣器，撑直接河与运促营商货网络侵相连PE堂(稼Pr回ov愚id苦er宅E泡dg肆e档Ro胆ut泡er交)，殿运营掌商边隔缘路均由器煌，与哀CE包相连沈，主钢要负津责V株PN畅业务无的接它入。P迈(P犯ro爽vi换de洲r气Ro挠ut唉er令)：仿运营抢商核窄心路粒由器鸽，主采要完唱成路岔由和臭快速疏转发秘功能设。AS杂BR万P牺E(妻Au羡to济no形my舟Sy次st叔em安Bo莫rd第er满Ro股ut止er需P改E)侦：与真其它炸MP孤LS唯域互艳联路枕由器赴，作炮为域抽间对费接路桐由器稿，一视般不捕用于坐用户斥接入腔。Si底te浇：一衔般以猫业务染接入踢线为械一个掏Si欧te洒。Si矿te使I厕GPBG仁P糖Ba待ck绍bo拿neCE下r伤ou脑te阀rPE折r机ou哥te胶rSi咸te督I泡GPSi页te滥I鸭GPPE勉r摇ou出te劳r其它MP岂LS域AS链BR硬P搭E腐ro棋ut敏erP桥ro绿ut蓄erMP叫LS常V流PNIP剂Se期c热VP虹N扭vsMP语LS抽V威PNIP刃Se描c豆VP总NIP电Se周c隧道鬼在C犯E与旧CE祸之间彼建立长，需年要用锐户自泡己创伯建并站维护脏VP比NIP睛Se龄c说VP渔N的贞创建待以及甲相关紧用户钥路由瓦的配苦置等丹都需摘要手输工完秆成扩展闻不方革便，谊如果足用户梦VP齐N网哀络中泰新增荷一个缎节点垦，需福要完位成以辞下工逝作：在这厉个新君增结瓣点上老建立粘与所流有已越存在笋的N险个结线点的挪隧道迅及相篮关的纽奉路由盗；对于率已存乏在的恰N个卧结点债，需射要在嘴每个腿结点麻上都饮建立姑一个去与新介增结沃点之接间的圣隧道棉及相装关的皇路由略。CECECEPEPEPPVP部N_研AVP俯N_葬AVP符N_仇BVP跟N_台BIP熊Se滴c孕VP各N长tu暂nn教elVPN_AMP还LS伯V肤PNMP络LS跨V苏PN隧道愤在P愁E与故PE辈之间跨建立誓，用浴户不呈需要屈自己嚷维护广VP深N把V绵PN套隧道朝的部怨署及已路由张发布维变为殿动态席实现CECECECEPEPEPPVP修N_捏AVP江N_宜AVP们N_破BVP旬N_贱BVP挽N虫tu蜻nn雕elMP无LS闯V固PNMP亲LS摄V李PN姑与传昌统V杏PN回网在未概念绩上的得差别众（见耀下页聋图）传统负VP羊N是粉以点态对点淹的链睡路的动概念桌，分燥A端较和Z饶端的再两点础。MP等LS艰V部PN昌只存剃在接萌入线评的概廉念。抛在接巩入M膝PL部S精VP炉N网约络后瓜，可龙以逻勇辑认首为各是条接巡寿入线绳都接塌在接叼在同液一台驻交换阅机上巩，只卸需对学PE愤设备臭进行恼相应衣的配侄置就消可以罚达到绕全连两接或器星形松的网布络连欢接效谈果。MP盲LS朋V横PNSe揭rv扮ic爷e盼Pr拥ov苦id顺er耕N辅et吸wo熟rkCe浓nt普ra职l伟Si痒te(H幅ub映)Re钞mo高te练S蜂it棵e逆(S就po扮ke杀)Re害mo懒te施S涝it判e幼(S州po绸ke背)Re招mo卡te紧S域it的e探(S妨po众ke束)Ce照nt舰ra券l掌Si垄teRo磁ut鲁erRe熄mo进te线S语it港e编(S而po厚ke厌)Se砖rv分ic昏e茫Pr鱼ov德id业er列N捞et勤wo牲rkCe贪nt嘱ra五l展Si衬te(H骑ub膝)Re卫mo植te议S刮it纠e幻玉(S遮po月ke性)Re帮mo济te桑S龄it缓e昼(S渣po打ke狼)Re艺mo芬te弱S扬it吐e浆(S笋po俭ke急)Ce的nt汉ra柔l仔Si输teRo途ut璃erRe禽mo僵te旱S庙it瞒e阅(S滔po苍ke立)逻辑赤交换颤机PEPEPE传统VP胶NMP耽LS有V胸PNSS浇L施VP狂N只需丙要开飘放4闻43陵/8海0端款口In近tr匪an沾etExchange主機FileServerMo砌bi快le白E献mp雾lo泳ye笼ePa而rt滔ne载rsCo浓rp兽or诵at砌e阀Ex荡ec缸ut嫌iv稿esSS旬L世VP翻NinternetWebAppsServerApplicationServerTerminalServicesPeopleSoftLotusNotesOtherhostsSS铃L佩VP求N洋优势SS锈L塞VP拔N无客环户端颜、一菊切基嫁于浏际览器In棉tr燃an抬etExchangeServerFileServerMo拦bi惧le冠E孩mp患lo械ye描ePa火rt威ne管rsCo洲rp榴or它at腿e削Ex记ec怖ut汪iv贡esinternetWebAppsServerApplicationServerTerminalServicesPeopleSoftLotusNotesOtherhostsSS期L啦VP椒NSS铲L尊VP荒N圾优势Pa村rt嫩ne席rsSS缎L蔽VP术NIn惩tr皮an巴etExchange主機FileServerMo效bi由le言E让mp妈lo估ye推eCo宣rp省or谣at押e棕Ex肺ec棍ut末iv姥esWebAppsServerTerminalServicesPeopleSoftLotusNotesOtherhostsinternetApplicationServer可以跟针对院应用咬层权春限进称行管护理SS四L捆VP土NSS左L鹅VP部N猜优势SS证L些VP悲NPa希rt下ne驰rsCo殿rp你or检at轨e糠Ex昏ec孕ut洒iv唇esCorporateNetworkExchangeFileServerSSL-VPNWebAppsServerApplicationsServer/DataTerminalServicesPeopleSoftLotusNotesNetworkedMachinesNAT不再是SSLVPN的障碍HomeHotelinternetMobileEmployeeSS伞L要VP慎N臣优势SS氧L咱VP笋N蠕虫病毒无法透过SSLVPN传播IntranetExchangeServerFileServerMobileEmployeePartnersCorporateExecutivesinternetWebAppsServerApplicationServerTerminalServicesPeopleSoftLotusNotesOtherhostsSSLVPNSS肢L翁VP骡N右优势SS咏L国VP奏NSS晴L抛VP坚N网关认证炎服务均器应用疫服务调器In条te虚rn呀et企业替网络SS酷L别VP尖N网关缸作为衬企业雕网络津的出谷口，碍跨接斥在内隆网和榴外网缸之间训，可输以全袜面保慈护内箭网。此时系需要SS趴L葛VP源N网关事具有以较强危的抗遥攻击欣能力永，需赔要启龄动防烟火墙扯的保集护功垒能。SS祸