《工业控制系统信息安全技术与实践》教案 CH8-VPN技术

PAGEPAGE2第次课程教学方案备课时间备课教师教学时间年月日教学地点周次课时数4教学内容（章、节）模块/单元第八章VPN技术教学目标和要求了解VPN原理了解IPsecVPN掌握利用菲尼克斯的mGuard实现VPN的方法掌握本章实训教学重点VPN隧道技术IPsec的基本模块IPsec的封装模式IPsecVPN身份验证利用菲尼克斯的mGuard实现VPN教学难点IPsec的封装模式VPN安全通道协商过程教学方法理论讲解、课堂练习使用媒体资源R纸质材料R多媒体课件R网络资源□其他资源：使用教具、设备、设施等多媒体教学设备作业练习复习所学内容，完成课后作业；完成中国大学慕课MOOC上自主学习的内容和单元测试。课后记（空白不够可添加附页）教学内容（板书）教学步骤、方法及学生活动第8章VPN技术8.1VPN原理在使用公共的广域网（WAN）基础设施进行连接时，会带来一定的安全风险，应通过VPN保护传输的数据。8.1.1VPN概述1.VPN工作原理VPN网关一般采取双网卡结构，外网卡使用公有IP地址接入Internet。2.VPN的优点（1）节约成本（2）可扩展性（3）安全性8.1.2VPN分类VPN可以按几个标准进行分类划分：1.按接入类型分类1）站点间VPN教师讲解：简单介绍VPN的由来和作用。教师讲解：简单讲解VPN的工作原理和优点。教师讲解：重点讲解站点间VPN和远程访问VPN的作用、原理及应用场景，并比较它们的异同。要求学生牢记并能灵活应用。教学内容（板书）教学步骤、方法及学生活动2）远程访问VPN2.按VPN隧道协议分类VPN的隧道协议主要有PPTP、L2TP和IPsec三种PPTP和L2TP协议工作在OSI模型的第二层，又称为二层隧道协议；IPsec是第三层隧道协议。3.按所用的设备类型分类网络设备提供商针对不同客户的需求，开发出不同的VPN网络设备，主要有以下两种：（1）路由器式VPN：这种VPN部署较容易，只要在路由器上添加VPN服务即可。（2）交换机式VPN：主要应用于连接用户较少的VPN网络。4.按照实现原理分类（1）重叠VPN：此VPN需要用户自己建立端节点之间的VPN链路，主要包括GRE、L2TP、IPsec等众多技术。（2）对等VPN：由网络运营商在主干网上完成VPN通道的建立，主要包括MPLS、VPN技术。5.按照VPN的实现方式分类（1）VPN服务器：在大型局域网中，可以通过在网络中心搭建VPN服务器的方法实现VPN。（2）软件VPN：可以通过专用的软件实现VPN。（3）硬件VPN：可以通过专用的硬件实现VPN。（4）集成VPN：某些硬件设备，如路由器、防火墙等，都含有VPN功能，但是一般拥有VPN功能的硬件设备通常都比没有这一功能的要贵。8.1.3VPN隧道技术要创建VPN连接，隧道技术（Tunneling）是关键。隧道技术是指利用一种网络协议来传输另一种网络协议，主要利用隧道协议来实现。隧道的双方必须使用相同的隧道协议才能创建隧道。教师讲解：简单讲解其他分类方式，学生简单了解即可。教师讲解：重点讲解隧道技术的概念及原理。教学内容（板书）教学步骤、方法及学生活动目前常用的网络隧道协议有两种：一种是第2层隧道协议，用于传输二层网络协议，主要应用于构建远程访问VPN；另一种是第3层隧道协议，用于传输三层网络协议，主要应用于构建站点间VPN。8.2IPsecVPNIPsecVPN是目前VPN技术中应用最多的一种技术，能同时提供VPN和数据加密两项功能，IPsec是定义如何使用Internet协议安全地配置VPN的IETF标准。1.IPsec的特征不限于任何特定的加密、验证、安全算法或密钥技术。可保护网关与网关之间、主机与主机之间或网关与主机之间的路径。工作在网络层，保护和验证参与IPsec的设备间的IP数据包。可对第4层到第7层的数据实施保护，可保护任何应用流量。第2层协议的协议可以是以太网、ATM或帧中继等。2．IPsec的功能IPsec可提供以下四个重要功能：1）机密性2）完整性3）真实性4）反重播保护8.2.2IPsec的基本模块IPsec协议框架包含安全协议、加密、数字摘要、身份验证和对称密钥交换五个基本组成模块。教师讲解：讲解两种常用的网络隧道协议，并比较它们的异同。教师讲解：重点讲解IPsecVPN的特征、功能及应用场景。要求学生牢记并能灵活应用教师讲解：重点讲解IPsec协议框架的基本组成模块，以及各个模块的特征、功能及应用场景。要求学生牢记并能灵活选择教学内容（板书）教学步骤、方法及学生活动两种IPSec安全协议1）AH（AuthenticationHeader，验证头部）提供身份验证提供数据完整性提供防重放保护不提供数据加密2）ESP（EncapsulatedSecurityPayload，封装安全负载）提供身份验证提供数据完整性提供防重放保护提供数据加密8.2.3IPsec的封装模式1.传输模式（TransportMode）1）不使用新的IP头部，封装模式相对简单，传输效率较高2）通常用于主机与主机之间3）无法保护原来的IP包头2.隧道模式（TunnelMode）1）增加新的IP头2）通常用于私网与私网之间通过公网进行通信，适用于建立安全VPN隧道3）保护了原来的IP包头8.2.4IPsecVPN身份验证IPsecVPN可以通过预共享密钥（Pre-SharedKey，PSK）和X.509证书两种方式对通信伙伴进行身份验证。1、预共享密钥PSK预先协商密钥；人工秘密交换密钥；少数设备；直接，对称的过程教师讲解：重点讲解两种IPsec安全协议，并比较它们的异同。要求学生牢记并能灵活选择教师讲解：重点讲解IPsec的两种封装模式，比较它们的异同，引导学生理解其功能及应用场景。要求学生牢记并能灵活选择教师讲解：重点讲解IPsecVPN的两种身份验证方式，比较它们的异同，引导学生理解其功能和应用场景。要求学生牢记并能灵活选择教学内容（板书）教学步骤、方法及学生活动2、X.509证书特点每个证书包含一对密钥。用公钥加密过的数据只有对应的私钥才能解开，反之亦然。证书由共同信任的CA发布、分发和验证。X.509证书里含有公钥、身份信息和签名信息。如何获得证书商业证书颁发机构，如VeriSignMicrosoftCA服务器使用软件的自签名证书两种不同的证书格式PEM格式仅包含公钥必须将其导入到所有尝试与证书所属的设备建立VPN连接的每个设备中。PKCS＃12格式包含公共密钥和对应的私钥机器证书设备的身份证明文件作为某设备的唯一机器证书，导入到特定设备中。8.2.5VPN安全通道协商过程当需要保护的流量流经VPN网关时，就会触发VPN网关启动IPsecVPN相关的协商过程启动IKE（InternetKeyExchange，Internet密钥交换）阶段1，对通信双方进行身份认证，并在两端之间建立一条安全的通道；启动IKE阶段2，在上述安全通道上协商IPsec参数，并按协商好的IPsec参数对数据流进行加密、Hash等保护。1.IKE（Internet密钥交换）IKE（Internet密钥交换）解决了在不安全的网络环境（如Internet）中安全地建立、更新或共享密钥的问题。1）IKE的作用2）IKE的机制2.两个阶段的安全关联学生练习：要求学生利用XCA创建软件自签名证书。教师讲解：简单讲解IPsecVPN安全通道协商过程，引导学生理解两个阶段的安全关联。教学内容（板书）教学步骤、方法及学生活动8.3利用菲尼克斯的mGuard实现VPN配置过程可以分为如下几个步骤（若身份验证方式是预共享密钥PSK，前两个步骤可省略）：（1）生成X.509证书和密钥（2）导入X.509机器证书（3）配置IPsecVPN连接（4）查看IPsecVPN连接状态8.4本章实训工业现场的一台PLC需要进行远程配置，同时要保证传输的数据的安全性，此时可利用mGuard的VPN功能实现，将编写好的程序通过安全的VPN通道远程下载到PLC中。可将此实训分解成如下几个任务：（1）按照拓扑对各个设备进行配置，实现网络的连通性；（2）为mGuard1和mGuard2生成X.509证书和密钥；（3）为mGuard1和mGuard2导入X.509证书和密钥；（4）为mGuard1和mGuard2配置IPsecVPN连接；（5）测试VPN连接；（6）在PC3上用抓包软件验证VPN连接；（7）在PC2中将PLC程序通过VPN连接远程下载到P