信息安全技术与应用（高学勤）课件 4.2 VPN技术与应用

第2节VPN技术与应用第4章目

录01VPN简介02VPN关键技术03VPN部署方式及应用01VPN简介总部出差用户VPN隧道VPN安全网关VPN安全网关分部什么是VPN？VPN（VirtualPrivateNetwork）是一种使用密码技术，在公共网络虚拟出的专用网络。VPN特点VPN是虚拟的连接，非物理的连接VPN能为使用者节约成本通过VPN能够安全传输数据VPN的概念专线费用高昂直接在网络上传输私有数据，安全得不到保证铺设/租用专线窃取数据分部上海总部北京VPN技术产生原因VPN的概念今天的晚餐真美味！明文今天的晚餐真美味！明文加密解密@#￥#@##%…………*&……%）（）@#！#@%￥&##@@@#@@@#@#@%密文发送方接收方VPNVPNVPN主要功能01.加密

网络传输分组之前，发送方可对其加密VPN的功能数据完整性

接收方可以检查数据在传输过程中是否被修改来源验证

接收方可以检查发送者的身份，确保信息来自正确的地方VPN的功能今天的晚餐真美味！明文今天的晚餐真美味！明文加密解密@#￥#@##%…………*&……%）（）@#！#@%￥&##@@@#@@@#@#@%密文发送方接收方VPNVPN数据完整性计算摘要计算并对比摘要VPN主要功能02.03.VPN的分类按协议类型二层隧道协议PPTP（PointtoPointTunnelingProtocol）点对点隧道协议（PPTP），通过PPTP控制连接来创建、维护、终止一条隧道。使用通用路由封装GRE（GenericRoutingEncapsulation）对PPP帧进行封装。PPP帧的有效载荷即有效传输数据必须经过加密、压缩或是两者的混合处理。PPTP协议假定在PPTP客户机和PPTP服务器之间有连通并且可用的IP网络。按协议类型二层隧道协议L2TP（Layer2TunnelingProtocol）VPN为用户和企业的服务器之间透明传输PPP报文。提供了对PPP链路层数据包的通道传输支持。结合了L2F和PPTP协议的各自优点，成为了IETF有关二层隧道协议的工业标准。L2TP协议主要用途：企业驻外机构和出差人员从公网通过虚拟隧道实现和公司内部网络连接。VPN的分类按协议类型三层隧道协议IPSec（InternetProtocolSecurity）VPNIPSec是IETF以RFC形式公布的一组安全IP协议集，是在IP层提供保护的安全协议标准，是虚拟专网的基础。IPSec将几种安全技术结合形成一个比较完整的安全体系结构，它通过在IP协议中增加两个基于密码的安全机制——认证头（AH）和封装安全载荷（ESP）来支持IP数据项的可认证性、完整性和机密性。IPSec工作涉及一个核心概念：安全关联（SA）VPN的分类按协议类型七层隧道协议SSL（SecuritySocketLayer）VPNSSLVPN指采用SSL协议来实现远程接入的一种新型VPN技术，是解决远程用户访问公司敏感数据最简单最安全的解决技术。任何安装浏览器的机器都可以使用SSLVPN。SSLVPN工作在应用层，SSL用公钥加密技术通过SSL连接传输数据。VPN的分类VPN隧道VPN安全网关总部远程接入VPN出差用户按应用分类远程接入VPN客户端到网关，利用公网传输数据，如：SSLVPN。内联网VPN网关到网关，利用公司网络架构连接来自同公司的资源。外联网VPN一个公司与另一个公司的资源进行连接。VPN的分类02VPN的关键技术VPN的关键技术VPN关键技术隧道技术在公用网建立一条专用数据通道，让数据包通过这条通道传输。加解密技术确保数据不被他人浏览、窃取和篡改。密钥管理技术身份认证技术私有地址被转换成合法的IP地址。用于确认使用者的身份。隧道协议新包头原数据VPN端点网关AVPN端点网关B原数据原数据封装解封装隧道技术其它协议数据帧重新封装在新的包头中发送新的包头提供路由信息，能够通过互联网传输到达网络终点，进行解包发送到最终目的地隧道通过隧道协议实现，报文前后经过封装与解封装VPN的关键技术新IP报头ESP报头原IP报头传输层报头应用程序数据ESP报尾ESP认证报尾加密部分ESP是IPSec体系下的封装安全载荷协议加解密技术数据包需要加密进行传输，到达对端后再进行解密加解密技术发展成熟，VPN可以直接使用采取何种加密技术，依赖于VPN服务器类型PPTP服务器采用微软点对点加密技术L2TP服务器使用IPSec机制对数据加密VPN的关键技术发起者cookie响应者cookie下一载荷消息IDISAKMP数据包格式IP头UDP头ISAKMP头载荷1……….密钥管理技术IKE（网络密钥交换协议）用于交换和管理在VPN中使用的加密密钥组成ISAKMP协议OAKLEY提供了一个多样化，多模式的应用SKEME提供了IKE交换密钥的算法，方式（因特网安全协商密钥管理协议）VPN的关键技术usernamepassword接入服务器用户数据库拨号者发起CHAP呼叫向拨号者发送挑战信息拨号者处理挑战信息，并发送挑战应答检查拨号者应答数据包，并发送认证结果usernamepassword远程用户身份认证技术链路层的认证PPP认证机制使用CHAP（PPP询问握手认证协议）认证协议，通过三次握手周期性校验对端身份。VPN的关键技术03VPN部署方式及应用VPN的部署方式常见终端到站点部署场景终端到站点部署可以实现终端到站点部署的VPN技术有PPTPVPNSSLVPNL2TPVPNL2TPoverIPSecVPN的部署案例SSLVPN部署案例OpenVPN是一个用于创建虚拟专用网络加密通道的软件。OpenVPN是一个基于OpenSSL库的应用层VPN实现。部署步骤STEP1STEP2制作OpenVPN证书安装OpenVPNSTEP5STEP4STEP3配置并启动OpenVPN服务端安装客户端客户端连接SSLVPN部署案例VPN的部署案例站点到站点部署可以实现站点到站点部署的VPN技术有IPSecVPN、GREoverIPSec下图为站点到站点部署场景场景描述：总部和分支都是单出口，总部和分支都有公网IPVPN的部署方式VPN的应用场景学校VPN部署解决方案及网络拓扑VPN的应用场景某市教育局VPN部署解决方案及网络拓扑本章对VPN进行了详细的分析，包括VPN的概念、VPN的功能和作用，以及VPN的分类等内容。VPN的