【大學(xué)課件】信息安全技術(shù)----系講11.doc

第十一講: 虛擬專網(wǎng)（VPN）技術(shù)簡(jiǎn)介虛擬專用網(wǎng)被定義為通過(guò)一個(gè)公共網(wǎng)絡(luò)(通常是英特網(wǎng))建立一個(gè)臨時(shí)的、安全的連接，是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。通過(guò)將數(shù)據(jù)流轉(zhuǎn)移到低成本的IP網(wǎng)絡(luò)上，一個(gè)企業(yè)的虛擬專用網(wǎng)解決方案將大幅度地減少用戶花費(fèi)在城域網(wǎng)和遠(yuǎn)程網(wǎng)絡(luò)連接上的費(fèi)用。同時(shí)，這將簡(jiǎn)化網(wǎng)絡(luò)的設(shè)計(jì)和管理，加速連接新的用戶和網(wǎng)站。另外，虛擬專用網(wǎng)還可以保護(hù)現(xiàn)有的網(wǎng)絡(luò)投資。隨著用戶的商業(yè)服務(wù)不斷發(fā)展，企業(yè)的虛擬專用網(wǎng)解決方案可以使用戶將精力集中到自己的生意上，而不是網(wǎng)絡(luò)上。虛擬專用網(wǎng)可用于不斷增長(zhǎng)的移動(dòng)用戶的全球英特網(wǎng)接入, 以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效的連接到商業(yè)伙伴和用戶的安全外連網(wǎng)虛擬專用網(wǎng)。 虛擬專用網(wǎng)至少應(yīng)該能提供如下功能：l 加密數(shù)據(jù)，以保證通過(guò)公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會(huì)泄露。l 信息認(rèn)證和身份認(rèn)證，保證信息的完整性、合法性，并能鑒別用戶的身份。l 提供訪問(wèn)控制，不同的用戶有不同的訪問(wèn)權(quán)限。A: 虛擬專用網(wǎng)概述選擇一個(gè)合適的虛擬專用網(wǎng)解決方案或產(chǎn)品并不是一件容易的事情。每一種解決方案都可提供不同程度的安全性、可用性，并且都各有優(yōu)缺點(diǎn)。為了選擇一個(gè)合適的安全產(chǎn)品，決策者應(yīng)該首先明確他們公司的商業(yè)需求，例如，公司是需要將少數(shù)幾個(gè)可信的遠(yuǎn)地雇員連到公司總部，還是希望為每個(gè)分支機(jī)構(gòu)、合作伙伴、供應(yīng)商、顧客和遠(yuǎn)地雇員都建立一個(gè)安全連接通道等。如果選擇了適當(dāng)?shù)奶摂M專用網(wǎng)，便可以保護(hù)網(wǎng)絡(luò)免受病毒感染、防止欺騙、防商業(yè)間諜、增強(qiáng)訪問(wèn)控制、增強(qiáng)系統(tǒng)管理、加強(qiáng)認(rèn)證等。在虛擬專用網(wǎng)提供的功能中，認(rèn)證和加密是最重要的。而訪問(wèn)控制相對(duì)比較復(fù)雜，因?yàn)樗呐渲门c實(shí)施策略和所用的工具緊密相關(guān)。虛擬專用網(wǎng)的認(rèn)證、加密和訪問(wèn)控制這三種功能必須相互配合，才能保證真正的安全性。 在連到英特網(wǎng)之前，企業(yè)應(yīng)指定相應(yīng)的安全策略，清楚地說(shuō)明不同身份的用戶可以訪問(wèn)哪些資源。一個(gè)更安全的解決方案可能包括防火墻、路由器、代理服務(wù)器、虛擬專用網(wǎng)軟件或硬件。它們中的任何一種設(shè)備可能提供足夠的安全通信，但是采用何種設(shè)備取決于安全策略。 根據(jù)不同需要，可以構(gòu)造不同類(lèi)型的虛擬專用網(wǎng)，不同商業(yè)環(huán)境對(duì)虛擬專用網(wǎng)的要求和虛擬專用網(wǎng)所起的作用是不一樣的。以用途為標(biāo)準(zhǔn)，虛擬專用網(wǎng)可以分為三類(lèi)：l 在公司總部和它的分支機(jī)構(gòu)之間建立虛擬專用網(wǎng)，稱為“內(nèi)部網(wǎng)虛擬專用網(wǎng)”。l 在公司總部和遠(yuǎn)地雇員或旅行之中雇員之間建立虛擬專用網(wǎng)，稱為“遠(yuǎn)程訪問(wèn)虛擬專用網(wǎng)”。l 在公司與商業(yè)伙伴、顧客、供應(yīng)商、投資者之間建立虛擬專用網(wǎng)，稱為“外連網(wǎng)虛擬專用網(wǎng)”。下面分別對(duì)這三種虛擬專用網(wǎng)進(jìn)行簡(jiǎn)要介紹。B: 內(nèi)部網(wǎng)虛擬專用網(wǎng)內(nèi)部網(wǎng)是通過(guò)公共網(wǎng)絡(luò)將一個(gè)組織的各分支機(jī)構(gòu)的局域網(wǎng)連接而成的網(wǎng)絡(luò)。這種類(lèi)型的局域網(wǎng)到局域網(wǎng)的連接帶來(lái)的風(fēng)險(xiǎn)最小，因?yàn)楣就ǔＵJ(rèn)為他們的分支機(jī)構(gòu)是可信的，這種方式連接而成的網(wǎng)絡(luò)被稱為企業(yè)內(nèi)聯(lián)網(wǎng)，可把它作為公司網(wǎng)絡(luò)的擴(kuò)展。 當(dāng)一個(gè)數(shù)據(jù)傳輸通道的兩個(gè)端點(diǎn)被認(rèn)為是可信的時(shí)候，公司可以選擇“內(nèi)部網(wǎng)虛擬專用網(wǎng)”解決方案，安全性主要在于加強(qiáng)兩個(gè)虛擬專用網(wǎng)服務(wù)器之間加密和認(rèn)證手段上。大量的數(shù)據(jù)經(jīng)常需要通過(guò)虛擬專用網(wǎng)在局域網(wǎng)之間傳遞。通過(guò)把中心數(shù)據(jù)庫(kù)或其它計(jì)算資源連接起來(lái)的各個(gè)局域網(wǎng)可以看成是內(nèi)部網(wǎng)的一部分。 這里僅子公司中有一定訪問(wèn)權(quán)限的用戶才能通過(guò)“內(nèi)部網(wǎng)虛擬專用網(wǎng)”訪問(wèn)公司總部的資源，所有端點(diǎn)之間的數(shù)據(jù)傳輸都要經(jīng)過(guò)加密和身份鑒別。如果一個(gè)公司對(duì)分公司或個(gè)人有不同的可信程度，那么公司可以考慮基于認(rèn)證的虛擬專用網(wǎng)方案來(lái)保證信息的安全傳輸，而不是靠可信的通信子網(wǎng)。這種類(lèi)型的虛擬專用網(wǎng)的主要任務(wù)是保護(hù)公司的英特網(wǎng)不被外部入侵，同時(shí)保證公司的重要數(shù)據(jù)流經(jīng)英特網(wǎng)時(shí)的安全性。C: 遠(yuǎn)程訪問(wèn)虛擬專用網(wǎng) 通過(guò)英特網(wǎng)的遠(yuǎn)程撥號(hào)訪問(wèn)所帶來(lái)的好處越來(lái)越明顯。用英特網(wǎng)作為遠(yuǎn)程訪問(wèn)的骨干網(wǎng)比傳統(tǒng)的方案更容易實(shí)現(xiàn)，而且花錢(qián)更少。如果一個(gè)用戶無(wú)論是在家里還是在旅途之中，他想同公司的內(nèi)部網(wǎng)建立一個(gè)安全連接，則可以用“遠(yuǎn)程訪問(wèn)虛擬專用網(wǎng)”來(lái)實(shí)現(xiàn)。典型的遠(yuǎn)程訪問(wèn)虛擬專用網(wǎng)是用戶通過(guò)本地的信息服務(wù)提供商(ISP)登錄到英特網(wǎng)上，并在現(xiàn)在的辦公室和公司內(nèi)部網(wǎng)之間建立一條加密信道。遠(yuǎn)程訪問(wèn)虛擬專用網(wǎng)的客戶端應(yīng)盡量簡(jiǎn)單，因?yàn)槠胀ü蛦T一般都缺乏專門(mén)訓(xùn)練。客戶應(yīng)可以手工建立一條虛擬專用網(wǎng)信道，即當(dāng)客戶每次想建立一個(gè)安全通信信道時(shí)，只需安裝虛擬專用網(wǎng)軟件。在服務(wù)器端，因?yàn)橐O(jiān)視大量用戶，有時(shí)需要增加或刪除用戶，這樣可能造成混亂，并帶來(lái)安全風(fēng)險(xiǎn)，因此服務(wù)器應(yīng)集中并且管理要容易。公司往往制定一種“透明的訪問(wèn)策略”，即使在遠(yuǎn)處的雇員也能象他們坐在公司總部的辦公室一樣自由的訪問(wèn)公司的資源。因此首先要考慮的是所有端到端的數(shù)據(jù)都要加密，并且只有特定的接收者才能解密。大多數(shù)虛擬專用網(wǎng)除了加密以外還要考慮加密密碼的強(qiáng)度、認(rèn)證方法。這種虛擬專用網(wǎng)要對(duì)個(gè)人用戶的身份進(jìn)行認(rèn)證，而不僅認(rèn)證IP地址，這樣公司就會(huì)知道哪個(gè)用戶欲訪問(wèn)公司的網(wǎng)絡(luò)。認(rèn)證后決定是否允許用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)。認(rèn)證技術(shù)可以包括用一次口令、Kerberos認(rèn)證方案、令牌卡、智能卡、或者是指紋。一旦一個(gè)用戶同公司的虛擬專用網(wǎng)服務(wù)器進(jìn)行了認(rèn)證，根據(jù)他的訪問(wèn)權(quán)限表，他就有一定程度的訪問(wèn)權(quán)限。每個(gè)人的訪問(wèn)權(quán)限表由網(wǎng)絡(luò)管理員制定，并且要符合公司的安全策略。有較高安全度的遠(yuǎn)程訪問(wèn)虛擬專用網(wǎng)應(yīng)能截取到特定主機(jī)的信息流，有加密、身份驗(yàn)證、過(guò)濾等功能。D: 外連網(wǎng)虛擬專用網(wǎng) 外連網(wǎng)虛擬專用網(wǎng)為公司合作伙伴、顧客、供應(yīng)商和在遠(yuǎn)地的公司雇員提供安全性。它應(yīng)能保證包括TCP和UDP服務(wù)在內(nèi)的各種應(yīng)用服務(wù)的安全，例如Email、Http、FTP、Real Audio、數(shù)據(jù)庫(kù)的安全以及一些應(yīng)用程序如Java、Active X的安全。因?yàn)椴煌镜木W(wǎng)絡(luò)環(huán)境是不相同的，一個(gè)可行的外部網(wǎng)虛擬專用網(wǎng)方案應(yīng)能適用于各種操作平臺(tái)、協(xié)議、各種不同的認(rèn)證方案及加密算法。 外連網(wǎng)虛擬專用網(wǎng)的主要目標(biāo)是保證數(shù)據(jù)在傳輸過(guò)程中不被修改，保護(hù)網(wǎng)絡(luò)資源不受外部威脅。安全的外連網(wǎng)虛擬專用網(wǎng)要求公司在同它的顧客、合作伙伴及在外地的雇員之間經(jīng)英特網(wǎng)建立端到端的連接時(shí)，必須通過(guò)虛擬專用網(wǎng)服務(wù)器才能進(jìn)行。在這種系統(tǒng)上，網(wǎng)絡(luò)管理員可以為合作伙伴的職員指定特定的許可權(quán)，例如可以允許對(duì)方的銷(xiāo)售經(jīng)理訪問(wèn)一個(gè)受到保護(hù)的服務(wù)器上的銷(xiāo)售報(bào)告。 外連網(wǎng)虛擬專用網(wǎng)中應(yīng)是一個(gè)由加密、認(rèn)證和訪問(wèn)控制功能組成的集成系統(tǒng)。通常公司將虛擬專用網(wǎng)代理服務(wù)器放在一個(gè)不能穿透的防火墻隔離層之后，防火墻阻止所有來(lái)歷不明的信息傳輸。所有經(jīng)過(guò)過(guò)濾后的數(shù)據(jù)通過(guò)唯一個(gè)入口傳到虛擬專用網(wǎng)服務(wù)器，虛擬專用網(wǎng)服務(wù)器再根據(jù)安全策略來(lái)進(jìn)一步過(guò)濾。 虛擬專用網(wǎng)可以建立在網(wǎng)絡(luò)協(xié)議的上層，如應(yīng)用層；也可建立在較低的層次，如網(wǎng)絡(luò)層。在應(yīng)用層的虛擬專用網(wǎng)可以用一個(gè)代理服務(wù)器實(shí)現(xiàn)，這就是說(shuō)，不直接打開(kāi)任何到公司內(nèi)部網(wǎng)的連接，這樣有了虛擬專用網(wǎng)代理服務(wù)器之后，就可以防止IP地址欺騙。所有的訪問(wèn)都要經(jīng)過(guò)代理，這樣管理員就可以知道誰(shuí)曾企圖訪問(wèn)內(nèi)部網(wǎng)以及他作了多少次這種嘗試。外連網(wǎng)虛擬專用網(wǎng)并不假定連接的公司雙方之間存在雙向信任關(guān)系。外連網(wǎng)虛擬專用網(wǎng)在英特網(wǎng)內(nèi)打開(kāi)一條隧道，并保證經(jīng)包過(guò)濾后信息傳輸?shù)陌踩?。?dāng)公司將很多商業(yè)活動(dòng)都通過(guò)公共網(wǎng)絡(luò)進(jìn)行交易時(shí)，一個(gè)外部網(wǎng)虛擬專用網(wǎng)應(yīng)該用高強(qiáng)度的