课程虚拟专用网络技术

第八章虚拟公用网络技术周苏教授Zs@mail.hz.zj:81505050blog.sina/zhousu58第8章虚拟公用网络技术随着因特网的效力焦点转移到电子商务上，对于那些基于传统信息系统的关键性商务运用及数据，公司希望经过因特网来实现方便快捷的访问。经过平安虚拟公用网络的实现，把公司的业务平安、有效地拓展到世界各地。第8章虚拟公用网络技术虚拟公用网络(VirtualPrivateNetwork，VPN)被定义为经过一个公用网络(通常是因特网)建立的一个暂时的平安衔接，是一条穿过公用网络的平安、稳定的隧道。第8章虚拟公用网络技术VPN是企业网在因特网等公共网络上的延伸，它经过平安的数据通道，协助远程用户、公司分支机构、商业同伴及供应商与公司的内部网建立可信的平安衔接，并保证数据的平安传输，构成一个扩展的公司企业网，如图8.1所示。VPN可用于不断增长的挪动用户的全球因特网接入，以实现平安衔接，可用于实现企业网站之间平安通讯的虚拟公用线路。图8.1虚拟公用网络第8章虚拟公用网络技术说得通俗一点，VPN实践上是“线路中的线路〞，类型于城市道路上的“公交公用线〞，所不同的是，由VPN组成的“线路〞并不是物理存在的，而是经过技术手段模拟出来，即是“虚拟〞的。不过，这种虚拟的公用网络技术却可以在一条公用线路中为两台计算机建立一个逻辑上的公用“通道〞，它具有良好的严密和不受干扰性，使双方能进展自在而平安的点对点衔接，因此被网络管理员们广泛关注着。第8章虚拟公用网络技术因特网工程义务小组(IETF)曾经开场为VPN技术制定规范，基于这一规范的产品，将使各种运用场所下的VPN有充分的互操作性和可扩展性。第8章虚拟公用网络技术VPN可以实现不同网络组件和资源之间的相互衔接，利用因特网或其他公共互连网络的根底设备为用户创建隧道，并提供与公用网络一样的平安和功能保证。第8章虚拟公用网络技术提高VPN成效的关键问题在于当用户的业务需求发生变化时，用户能很方便地调整他的VPN以顺应变化，并且能方便地晋级到未来新的TCP/IP技术；而那些提供门类齐全的软、硬件VPN产品的供应商，那么能提供一些灵敏的选择以满足用户的要求。目前的VPN产品主要运转在IPv4之上，但该当具备晋级到IPv6的才干，同时要坚持良好的互操作性。第8章虚拟公用网络技术IPv6：现有的互联网是在IPv4协议的根底上运转的。IPv6是下一版本的互联网协议，它的提出最初是由于随着互联网的迅速开展，IPv4定义的有限地址空间将被耗尽，地址空间的缺乏必将影响互联网的进一步开展。为了扩展地址空间，拟经过IPv6重新定义地址空间。第8章虚拟公用网络技术IPv4采用32位地址长度，只需大约43亿个地址，估计在2005～2021年间将被分配终了，而IPv6采用128位地址长度，几乎可以不受限制地提供地址。除了一劳永逸地处理地址短缺问题以外，IPv6的主要优势还表达在以下几方面：提高网络的整体吞吐量、改善效力质量(QoS)、平安性有更好的保证、支持即插即用和挪动性、更好实现多播功能。8.1VPN的平安性运用虚拟公用网络涉及到一些传统企业内部网络中不存在的平安问题。在虚拟公用网络中，一个典型的端到端的数据通路能够包含：1)数台不在公司控制之下的机器(例如ISP的接入设备和因特网上的路由器)。2)介于内部网(Intranet)和外部网之间的平安网关(能够是防火墙或者是路由器)。8.1VPN的平安性3)一个包含假设干主机和路由器的内部网。其中一些机器能够由恶意攻击者操作，有的机器同时参与公司内部的通讯以及与公司外部的通讯。4)一个外部公共网络(因特网)上面的数据通讯来源不仅限于公司网络。在这样一个开放的复杂环境下，很容易被窃听和篡改数据报文的内容，很容易实施回绝效力的攻击或者是修正数据报文的目的地址的攻击。8.2因特网的平安协议IPSec实现VPN通常用到的平安协议主要是SOCKSv5、IPSec和PPTP/L2TP。其中，PPTP/L2TP用于链路层，IPSec主要运用于网络层，SOCKSv5运用于会话层。为理处理因特网所面临的不平安要素的要挟，实如今不信任通道上的数据平安传输，使平安功能模块能兼容IPv4和下一代网络协议IPv6，IPSec协议将会是主要的实现VPN的协议。8.2因特网的平安协议IPSecIPSec是IP与Security的简写。IPSec结合运用多种平安技术为IP数据包提供严密性、完好性和真实性。IPSec实践上指的是多个相关的协议，它们在RFC2401-2411和RFC2451中定义，规约曾经变得相当复杂。8.2因特网的平安协议IPSecIPSec的主要设计目的是良好的互操作性。假设得到正确的实现，IPSec对那些不支持它的主机和网络不会产生任何负面影响，IPSec的体系构造独立于当前的密码算法，IPSec对于IPv6是必需的，而对IPv4是可选的。8.2.1IPSec的体系构造IPSec框架主要有两个协议：一个是用于认证的认证首部(AuthenticationHeader，AH)协议和一个用于加密数据的平安封装(EncapsulatingSecurityPayload，ESP)协议。这些平安特征都是作为主要的IP报文首部之后的扩展首部来实现的。AH和ESP可以运用两种方式，即传输方式和隧道方式。8.2.1IPSec的体系构造(1)IPSec文档IPSec文档被划分成7个组，如图8.2所示。这是由IETF成立的IP平安协议任务组在做了大量的任务之后划分的。图8.2IPSec文档8.2.1IPSec的体系构造体系构造：覆盖了定义IPSec技术的普通性概念、平安需求、定义和机制。ESP协议：覆盖了运用ESP进展分组加密(可选的认证)的格式和普通问题。AH协议：覆盖了运用AH进展分组认证的格式和普通问题。加密算法：描画了怎样将不同的加密算法用于ESP中。8.2.1IPSec的体系构造认证算法：描画了怎样将不同的认证算法用于AH和ESP可选的认证选项。解释域(DOI)：包含了其他文档需求的为了彼此间相互联络的一些值。这些值包括经过检验的加密和认证算法的标识以及操作参数，例如密钥的生存期。密钥管理：描画密钥管理机制的文档，其中IKE(因特网密钥交换协议)是默许的密钥自动交换协议。8.2.1IPSec的体系构造(2)IPSec的效力IPSec在IP层提供以下平安效力：访问控制。无衔接的完好性(对IP数据包本身的一种检测方法)。数据源的认证。回绝重发的数据包(部分序列号完好性的一种方式)。严密性(加密)。有限的通讯流严密性。表8.1总结了IPSec提供的效力。8.2.2平安关联平安关联(SecurityAssociation，SA)是在发送者和接纳者之间为进出通讯量提供平安效力的一种单向的关系，它是IPSec中的一个根本的概念。每一对运用IPSec的主机必需在它们之间建立一个SA。8.2.2平安关联SA数据库定义了与每一个SA相关联的参数，例如，通讯运用何种维护类型(是AH还是ESP)、运用的加密算法、密钥、协议方式(隧道或传输)以及该SA的有效期等。SA在发送者和接纳者之间建立一种单向的关系。假设需求进展双向通讯，那么需求第二个SA。8.2.2平安关联AH协议和ESP协议可以单独运用，也可以组合运用，由于每一种协议都有两种运用方式，这样组合运用就有多种能够的组合方式。但是在这么多能够的组合中只需几个有实践意义的运用。用SA束来实现IPSec的组合，定义了两种组合SA的方式：传输邻接和循环隧道。8.2.3传输方式与隧道方式IPsec有两种运用方式：传输方式(transportmode)和隧道方式(tunnelmode)。在传输方式中，IPSec头被直接插在IP头的后面。IP头中的Protocol域也被做了修正，以阐明有一个IPSec头紧跟在普通IP头的后面(但是在TCP头的前面)。IPsec头包含了平安信息，主要有SA标识符、一个新的序列号，能够还包括净荷数据的完好性检查信息。8.2.3传输方式与隧道方式在隧道方式中，整个IP分组，连同头部和一切的数据一同被封装到一个新的IP分组中，并且这个新的IP分组有一个全新的IP头。当隧道的终点并不是最终的目的节点时，隧道方式将非常有用。8.2.3传输方式与隧道方式在有些情况下，隧道的终点是一台平安网关机器，例如，公司的一个防火墙。在这种方式中，当分组经过防火墙的时候，防火墙担任封装分组，或者解除封装。由于隧道终止于这台平安的机器上，所以公司LAN上的机器不用知晓IPSec的存在。只需防火墙必需求知道IPSec。8.2.4AH协议AH协议为IP数据包提供了数据完好性效力和认证效力，并运用一个带密钥的哈希函数以实现认证效力。8.2.4AH协议(1)AH协议的原理AH协议可以保证IP分组的可靠性和数据的完好性。它的原理是发送方将IP分组头、上层数据、共享密钥这3部分经过MD5(或SHA-1)算法进展计算，得出AH首部的认证数据，并将AH首部参与IP分组中。8.2.4AH协议当数据传输到接纳方时，接纳方将收到的IP分组头、数据部分和公共密钥用一样的MD5(或SHA-1)算法运算，并把得到的结果和收到的数据分组的AH首部进展比较和认证。但是，AH头并不提供对数据的严密性维护，因此，当数据经过网络时，假设攻击者运用协议分析器照样能窃取敏感数据。8.2.4AH协议(2)传输与隧道方式AH协议效力可以运用两种方式：传输方式和隧道方式。见图8.3。图8.3AH的传输方式和隧道方式8.2.4AH协议在传输方式中，AH协议仅仅运用从主机到主机的衔接中，并且除了对选定的IP头域之外还对上层协议提供维护。该方式经过传输平安关联(SA)来提供。AH既可以用于主机，也可以用于平安网关。当在一个平安网关中实现AH以维护传输的通讯时，必需运用隧道方式。8.2.4AH协议“隧道〞技术是VPN的中心，它允许VPN的数据流被路由经过IP网络，而不论生成数据流的是何种类型的网络或设备。隧道内的数据流可以是IP、IPX、AppleTalk或其他类型的数据包。8.2.5ESP协议ESP协议为经过不可信网络传输的IP数据提供严密性效力。另外，ESP协议还可以提招认证效力。根据所运用的加密类型和方式的不同，ESP的格式也会有所不同。在任何情况下，与加密关联的密钥都是运用SPI(平安参数索引)来选择的。8.2.5ESP协议(1)ESP协议的加密算法ESP协议兼容多种密码算法。系统必需有运用密码分组链接(CipherBlockChaining，CBC)方式DES算法：对于要求认证的兼容系统那么必需含有NULL算法。同时，也定义了ESP效力运用的其他加密算法：三重DES，RC5，IDEA，CAST，BLOWFISH，3IDEA。8.2.5ESP协议(2)传输与隧道方式与AH一样，ESP也可以用于传输方式和隧道方式。这些方式的任务方式与它们在AH中的任务方式类似。但是有一个例外：对ESP，在每一个数据之后将附加一个尾部(trailer)的数据(如图8.4)。ESP传输方式只用于实现主机之间的加密(和可选的认证)效力，为上层协议提供维护而不是IP头本身。图8.4ESP的传输方式和隧道方式8.2.5ESP协议ESP隧道方式既可以用于主机，也可以用于平安网关。当在一个平安网关中实现ESP时(用于维护用户传输通讯流)，必需运用隧道方式，如图8.5所示是一个由4个公用网经过因特网相互衔接的隧道方式例如。内部网络上的主机运用因特网是为了传输数据，而不是同其他基于因特网的主机进展交互。在每个内部网络上的平安网关用于终止隧道。图8.5ESP的隧道方式例如8.2.6平安管理IPSec包含两个指定的数据库：平安战略数据库(SecurityPolicyDatabase，SPD)和平安关联数据库(SecurityAssociationDatabase，SAD)。SPD指定了决议一切输入或者输出的IP通讯部署的战略；SAD包含有与当前活动的平安关联相关的参数。8.2.7密钥管理当运用IPSec时，与其他平安协议一样，必需提供密钥管理功能。例如，应提供一种方法，用于与其他人协商协议、加密算法以及在数据交换中运用的密钥。此外，IPSec需求知道实体之间的一切的这样的协定。IETF的IPSec任务组曾经指定一切兼容的系统必需同时支持手工和自动的SA和密钥管理。8.3VPN运用IPSec提供了在局域网、公用和公用的广域网(WAN)和因特网上平安通讯的才干。8.3.1经过因特网实现远程用户访问一个系统中配备了IP平安协议的最终用户，可以经过调用本地的因特网效力提供商(ISP)来获得对一个公司网络的平安访问，这为在外出差的雇员和远程的任务者减少了长途通讯费用。8.3.1经过因特网实现远程用户访问客户经过拨号到ISP来衔接到因特网，然后和内部网边境上的平安网关建立一个经认证的、加密的平安通道。经过在远程和平安网关之间实行IPSec方式的认证，内部网可以免受那些不用要的或恶意的IP包攻击。经过将远程主机与平安网关之间的数据流进展加密，可以防止窃听。8.3.1经过因特网实现远程用户访问虚拟公用网络支持以平安的方式经过公共互连网络远程访问企业资源。与运用专线拨打长途或衔接企业的网络接入效力器(NAS)不同，虚拟公用网络用户首先拨通本地ISP的NAS，然后VPN软件利用与本地ISP建立的衔接，在拨号用户和企业VPN效力器之间，创建一个跨越因特网或其他公共互连网络的虚拟公用网络，如图8.6所示。图8.6远程访问网络8.3.2经过因特网实现网络互连一个公司可以在因特网或者公用的广域网上建立平安的虚拟私有网络。这可以使企业主要依赖因特网而减少它构造公用网络的需求，节省了费用和网络管理有负担。8.3.2经过因特网实现网络互连经过因特网实现两个互置信任的内部网络平安衔接，在这种情况下，即要防备外部对内部网络的攻击，又要维护在因特网上传输数据的平安。例如，一个公司的两个分公司之间经过因特网建立分支机构的VPN，需求满足公司对通讯、平安和本钱的需求。8.3.2经过因特网实现网络互连可以用以下两种方式运用VPN来衔接远程局域网络：1)运用专线衔接分支机构和企业局域网。不需求运用价钱昂贵的长间隔公用电路，分支机构和企业端路由器可以运用各自本地的公用线路经过本地的ISP连通因特网。VPN软件运用与本地ISP建立的衔接和因特网，在分支机构和企业端路由器之间创建一个虚拟公用网络。8.3.2经过因特网实现网络互连2)运用拨号线路衔接分支机构和企业局域网。不同于传统的运用衔接分支机构路由器的专线拨打长途或衔接企业NAS(网络接入效力器)的方式，分支机构端的路由器可以经过拨号方式衔接本地ISP。VPN软件运用与本地ISP建立起的衔接，在分支机构和企业端路由器之间创建一个跨越因特网的虚拟公用网络，如图8.7所示。图8.7运用拨号线路衔接分支机构和企业局