使用VRRP提高網(wǎng)絡(luò)穩(wěn)定性 RCNP-VPN課件

網(wǎng)絡(luò)安全設(shè)備與技術(shù)VPN2010網(wǎng)絡(luò)安全設(shè)備與技術(shù)VPN2010提綱什么是VPN為什么使用VPNVPN的應(yīng)用類型VPN的安全技術(shù)已有的VPN解決方案VPN的概念VPN能做什么VPN用在哪些環(huán)境下VPN采用的主要技術(shù)目前流行的VPN解決方案提綱什么是VPNVPN的概念VPN能做什么VPN用在哪些什么是VPNVPN（VirtualPrivateNetwork）技術(shù)也就是虛擬專用網(wǎng)技術(shù)，顧名思義，虛擬專用網(wǎng)不是真的專用網(wǎng)絡(luò)，但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。InternetLAN與LAN之間彼此孤立VPNTunnelVPNTunnelVPNTunnelLAN與LAN之間實現(xiàn)安全互訪LAN與LAN通過VPN技術(shù)構(gòu)建新的LAN什么是VPNVPN（VirtualPrivateNetw虛擬專用網(wǎng)指的是依靠ISP（Internet服務(wù)提供商）和其它NSP（網(wǎng)絡(luò)服務(wù)提供商），在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在虛擬專用網(wǎng)中，任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動態(tài)組成的。所謂虛擬，是指用戶不再需要擁有實際的長途數(shù)據(jù)線路，而是使用Internet公眾數(shù)據(jù)網(wǎng)絡(luò)的長途數(shù)據(jù)線路。所謂專用網(wǎng)絡(luò)，是指用戶可以為自己制定一個最符合自己需求的網(wǎng)絡(luò)。IETF草案理解基于IP的VPN為：“使用IP機制仿真出一個私有的廣域網(wǎng)”：是通過私有的隧道技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點到點的專線技術(shù)。虛擬專用網(wǎng)指的是依靠ISP（Internet服務(wù)提供商）和其為什么使用VPN？為什么使用VPN？用戶的需求用戶的需求是虛擬專用網(wǎng)技術(shù)誕生的直接原因隨著Internet和電子商務(wù)的蓬勃發(fā)展，經(jīng)濟全球化的最佳途徑是發(fā)展基于Internet的商務(wù)應(yīng)用。隨著商務(wù)活動的日益頻繁，各企業(yè)開始允許其生意伙伴、供應(yīng)商也能夠訪問本企業(yè)的局域網(wǎng)，從而大大簡化信息交流的途徑，增加信息交換速度。合作和聯(lián)系是動態(tài)的，并依靠網(wǎng)絡(luò)來維持和加強，于是各企業(yè)發(fā)現(xiàn)，這樣的信息交流不但帶來了網(wǎng)絡(luò)的復(fù)雜性，還帶來了管理和安全性的問題。因為Internet是一個全球性和開放性的、基于TCP/IP技術(shù)的、不可管理的國際互聯(lián)網(wǎng)絡(luò)，因此，基于Internet的商務(wù)活動就面臨非善意的信息威脅和安全隱患。自身的的發(fā)展壯大與跨國化，企業(yè)的分支機構(gòu)不僅越來越多，而且相互間的網(wǎng)絡(luò)基礎(chǔ)設(shè)施互不兼容也更為普遍。因此，用戶的信息技術(shù)部門在連接分支機構(gòu)方面也感到日益棘手。用戶的需求用戶的需求是虛擬專用網(wǎng)技術(shù)誕生的直接原因信息在傳輸中可能泄密數(shù)據(jù)被黑客竊聽總部分支機構(gòu)移動用戶A黑客我的密碼是CAF我的密碼是CAFVPN的需求之一：數(shù)據(jù)機密性保護移動用戶BInternet信息在傳輸中可能泄密數(shù)據(jù)被黑客竊聽總部分支機構(gòu)移動用戶A黑信息在傳輸中可能失真總部分支機構(gòu)移動用戶A黑客同意2000元成交VPN的需求之二：數(shù)據(jù)完整性保護移動用戶BInternet黑客篡改數(shù)據(jù)同意

5000元成交信息在傳輸中可能失真總部分支機構(gòu)移動用戶A黑客同意200信息的來源可能偽造的總部分支機構(gòu)黑客交易服務(wù)器VPN的需求之三：數(shù)據(jù)源發(fā)性保護移動用戶Internet誰是真的Bob？我是Bob，請求交易“我是Bob”，請求交易信息的來源可能偽造的總部分支機構(gòu)黑客交易服務(wù)器VPN的需信息傳輸?shù)某杀究赡芎芨咭苿佑脩鬉PSTNPSTN長途撥號：010-163市話撥號：163上海的撥號服務(wù)器上海北京的撥號服務(wù)器10010010101010數(shù)據(jù)在公網(wǎng)傳輸不安全？長途撥號，成本太高？VPN的需求之四：降低遠程傳輸成本Internet信息傳輸?shù)某杀究赡芎芨咭苿佑脩鬉PSTNPSTN長途撥號：0使用VPN的優(yōu)勢防止數(shù)據(jù)在公網(wǎng)傳輸中被竊聽防止數(shù)據(jù)在公網(wǎng)傳輸中被篡改可以驗證數(shù)據(jù)的真實來源成本低廉（相對于專線、長途撥號）應(yīng)用靈活、可擴展性好使用VPN的優(yōu)勢防止數(shù)據(jù)在公網(wǎng)傳輸中被竊聽VPN的工作原理數(shù)據(jù)機密性保護的實現(xiàn)數(shù)據(jù)完整性保護的實現(xiàn)數(shù)據(jù)源發(fā)性保護的實現(xiàn)重放攻擊保護的實現(xiàn)VPN的工作原理數(shù)據(jù)機密性保護的實現(xiàn)數(shù)據(jù)機密性保護的實現(xiàn)1100111001010001010010101001000100100100000100000011001110010100010100101010010001001001000001000000明文加密解密明文保證數(shù)據(jù)在傳輸途中不被竊取發(fā)起方接受方密文·#￥^&(%#%$%^&*(!#$%*((_%$@#$%%^*&**)%$#@數(shù)據(jù)機密性保護的實現(xiàn)11001110011100111001數(shù)據(jù)完整性保護的實現(xiàn)發(fā)起方接受方1001000101010010100001000000110110001010100010101001000101010010100001000000110110001010HashHash100010101001000101010010100001000000110110001010是否一樣？防止數(shù)據(jù)被篡改100010101001000101010010100001000000110110001010數(shù)據(jù)完整性保護的實現(xiàn)發(fā)起方接受方10010001100010數(shù)據(jù)源發(fā)性保護的實現(xiàn)BobAlice假冒的“Bob”假冒VPNInternet101011011110100110010100驗證簽名，證實數(shù)據(jù)來源私鑰簽名私鑰簽名101011011110100110010100數(shù)據(jù)源發(fā)性保護的實現(xiàn)BobAlice假冒的“Bob”假冒VP重放攻擊保護的實現(xiàn)重放攻擊保護的實現(xiàn)VPN的應(yīng)用類型？VPN的應(yīng)用類型？AccessVPN（遠程訪問虛擬網(wǎng)）AccessVPN最適用于公司內(nèi)部經(jīng)常有流動人員遠程辦公的情況。出差員工利用當(dāng)?shù)豂SP提供的VPN服務(wù)，就可以和公司的VPN網(wǎng)關(guān)建立私有的隧道連接。CA中心或者Radius服務(wù)器可對員工進行身份授權(quán)和驗證，保證連接的安全。VPN客戶端企業(yè)總部VPNInternet移動用戶移動用戶移動用戶移動用戶VPN客戶端VPN客戶端VPN客戶端AccessVPN（遠程訪問虛擬網(wǎng)）AccessVPN最I(lǐng)ntranetVPN（企業(yè)內(nèi)部虛擬網(wǎng)）企業(yè)的發(fā)展、機構(gòu)網(wǎng)點的增加，使得網(wǎng)絡(luò)的結(jié)構(gòu)趨于復(fù)雜，鏈路費用昂貴。利用VPN特性，在Internet上組建世界范圍內(nèi)的IntranetVPN，保證信息在整個IntranetVPN上安全傳輸。企業(yè)擁有與專用網(wǎng)絡(luò)的相同政策，包括安全、服務(wù)質(zhì)量(QoS)、可管理性和可靠性。企業(yè)總部分支機構(gòu)辦事處InternetVPNVPNVPNIntranetVPN（企業(yè)內(nèi)部虛擬網(wǎng)）企業(yè)的發(fā)展、機構(gòu)網(wǎng)ExtranetVPN（企業(yè)擴展虛擬網(wǎng)）各個企業(yè)之間的合作關(guān)系也越來越多，信息交換日益頻繁。利用VPN技術(shù)組建安全的Extranet，既可以向客戶、合作伙伴提供有效的信息服務(wù)，又可以保證自身的內(nèi)部網(wǎng)絡(luò)的安全。Internet企業(yè)總部分支機構(gòu)合作伙伴合作伙伴ExtranetVPN（企業(yè)擴展虛擬網(wǎng)）各個企業(yè)之間的合作VPN的安全技術(shù)VPN的安全技術(shù)四項技術(shù)VPN主要采用四項技術(shù)來保證安全隧道技術(shù)（Tunneling）加解密技術(shù)（Encryption&Decryption）密鑰管理技術(shù)（KeyManagement）認(rèn)證技術(shù)（Authentication）四項技術(shù)VPN主要采用四項技術(shù)來保證安全隧道技術(shù)隧道技術(shù)的基本過程是在源局域網(wǎng)與公用網(wǎng)的接口處將局域網(wǎng)發(fā)送的數(shù)據(jù)(可以是ISO七層模型中的數(shù)據(jù)鏈路層或網(wǎng)絡(luò)層數(shù)據(jù))作為負(fù)載封裝在一種可以在公用網(wǎng)上傳輸?shù)臄?shù)據(jù)格式中，在目的局域網(wǎng)與公用網(wǎng)的接口處將公用網(wǎng)的數(shù)據(jù)解封裝后，取出負(fù)載即源局域網(wǎng)發(fā)送的數(shù)據(jù)向目的局域網(wǎng)傳輸。網(wǎng)絡(luò)隧道技術(shù)指的是利用一種網(wǎng)絡(luò)協(xié)議來傳輸另一種網(wǎng)絡(luò)協(xié)議，利用網(wǎng)絡(luò)隧道協(xié)議來實現(xiàn)這種功能。由于封裝與解封裝只在兩個接口處由設(shè)備按照隧道協(xié)議配置進行，局域網(wǎng)中的其他設(shè)備將不會覺察到這一過程。被封裝的數(shù)據(jù)包在隧道的兩個端點之間通過公共互聯(lián)網(wǎng)絡(luò)進行路由。被封裝的數(shù)據(jù)包在公共互聯(lián)網(wǎng)絡(luò)上傳遞時所經(jīng)過的邏輯路徑稱為隧道。隧道技術(shù)隧道技術(shù)的基本過程是在源局域網(wǎng)與公用網(wǎng)的接口處將局域隧道技術(shù)-協(xié)議三層隧道協(xié)議主要有GenericRoutingEncapsulation（GRE）協(xié)議IPSec協(xié)議隧道技術(shù)-協(xié)議三層隧道協(xié)議主要有加解密技術(shù)1現(xiàn)代密碼學(xué)中，加密算法被分為對稱加密算法和非對稱加密算法。對稱加密算法采用同一個密鑰進行加密和解密，優(yōu)點是速度快，但密鑰的分發(fā)與交換不便于管理。對稱加密算法：國際數(shù)據(jù)加密算法（IDEA：InternationalDataEncryptionAlgorithm）：128位長密鑰，把64位的明文塊加密成64位的密文塊。DES和3DES加密算法(TheDataEncryptionStandard):DES有64位長密鑰,實際上只使用56位密鑰。AES：Rijndial加密算法加解密技術(shù)1現(xiàn)代密碼學(xué)中，加密算法被分為對稱加密算法和非對加解密技術(shù)2使用不對稱加密算法加密時，通訊各方使用兩個不同的密鑰,一個是只有發(fā)送方知道的私有密鑰，另一個則是對應(yīng)的公開密鑰，任何人都可以獲得公開密鑰。私有密鑰和公開密鑰在加密算法上相互關(guān)聯(lián)，一個用于數(shù)據(jù)加密，另一個用于數(shù)據(jù)解密。由于不對稱加密運算量大，一般用于加密對稱加密算法中使用的密鑰。不對稱加密還有一個重要用途即數(shù)字簽名。

加解密技術(shù)2使用不對稱加密算法加密時，通訊各方使用兩個不同密鑰管理技術(shù)密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取。

現(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMP兩種。SKIP主要是利用Diffie-Hellman的演算法則，在網(wǎng)絡(luò)上傳輸密鑰；在ISAKMP中，雙方都有兩把密鑰，分別用于公用、私用。

密鑰管理技術(shù)密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地認(rèn)證技術(shù)認(rèn)證技術(shù)可以區(qū)分真實數(shù)據(jù)與偽造、被篡改過的數(shù)據(jù)。認(rèn)證協(xié)議一般都要采用一種稱為摘要的技術(shù)。摘要技術(shù)主要是采用HASH函數(shù)將一段長的報文通過函數(shù)變換，映射為一段短的報文即摘要。驗證數(shù)據(jù)的完整性。發(fā)送方將數(shù)據(jù)報文和報文摘要一同發(fā)送,接收方通過計算報文摘要,與發(fā)來摘要比較,相同則說明報文未經(jīng)修改。

用戶認(rèn)證。該功能實際上是上一種功能的延伸。當(dāng)一方希望驗證對方，但又不希望驗證秘密在網(wǎng)絡(luò)上傳送，這時一方可以發(fā)送一段隨機報文，要求對方將秘密信息連接上該報文作摘要后發(fā)回，接收方可以通過驗證摘要是否正確來確定對方是否擁有秘密信息，從而達到驗證對方的目的。常用的HASH函數(shù)有MD5，SHA-1等。

認(rèn)證技術(shù)認(rèn)證技術(shù)可以區(qū)分真實數(shù)據(jù)與偽造、被篡改過的數(shù)據(jù)。已有的VPN解決方案已有的VPN解決方案IP安全協(xié)議IPSec（IPSecurity）是一組開放協(xié)議的總稱，特定的通信方之間在IP層通過加密與數(shù)據(jù)源驗證，以保證數(shù)據(jù)包在Internet網(wǎng)上傳輸時的私有性、完整性和真實性。IPSec通過AH（AuthenticationHeader）和ESP（EncapsulatingSecurityPayload）這兩個安全協(xié)議來實現(xiàn)。IP安全協(xié)議IPSec（IPSecurity）IPSecVPN網(wǎng)絡(luò)層的VPN解決方案。網(wǎng)絡(luò)層是可實現(xiàn)端到端安全通信的最低層，它為所有應(yīng)用層數(shù)據(jù)提供透明的安全保護，用戶無需修改應(yīng)用層協(xié)議。IPSecVPN網(wǎng)絡(luò)層的VPN解決方案。網(wǎng)絡(luò)層是可實現(xiàn)端到IPSec的工作模式傳輸模式：只對IP數(shù)據(jù)包的有效負(fù)載進行加密或認(rèn)證。此時，繼續(xù)使用以前的IP頭部，只對IP頭部的部分域進行修改，而IPSec協(xié)議頭部插入到IP頭部和傳輸層頭部之間隧道模式：對整個IP數(shù)據(jù)包進行加密或認(rèn)證。此時，需要新產(chǎn)生一個IP頭部，IPSec頭部被放在新產(chǎn)生的IP頭部和以前的IP數(shù)據(jù)包之間，從而組成一個新的IP頭部。IPSec的工作模式傳輸模式：只對IP數(shù)據(jù)包的有效負(fù)載進IPSec的工作模式隧道模式傳輸模式IPSec的工作模式隧道模式傳輸模式使用VRRP提高網(wǎng)絡(luò)穩(wěn)定性RCNP-VPNIPSec的三個主要協(xié)議

1）ESP（EncapsulatingSecurityPayload）。ESP協(xié)議主要用來處理對IP數(shù)據(jù)包的加密。ESP是與具體的加密算法相獨立的，幾乎支持各種對稱密鑰加密算法，默認(rèn)為3DES和DES。2）AH(AuthenticationHeader)。AH只涉及到認(rèn)證，不涉及到加密。3）IKE(InternetKeyExchange)。IKE協(xié)議主要是對密鑰交換進行管理，它主要包括三個功能：①對使用的協(xié)議、加密算法和密鑰進行協(xié)商；②方便的密鑰交換機制(這可能需要周期性的進行)；③跟蹤對以上這些約定的實施。IPSec的三個主要協(xié)議

1）ESP（EncapsulatAH(AuthenticationHeader)AH是一個用于提供IP數(shù)據(jù)包完整性和認(rèn)證的機制。其完整性是保證數(shù)據(jù)報不被無意的或惡意的方式改變通過在整個IP數(shù)據(jù)報中實施一個消息文摘計算來提供完整性和認(rèn)證服務(wù)提供反重放保護使用IP協(xié)議號51AH(AuthenticationHeader)AH是一個ESP提供IP數(shù)據(jù)報的完整性和可信性服務(wù)，ESP是在RFC2406中定義的。保證數(shù)據(jù)的完整性，使用散列算法，驗證不包括IP頭提供反重放保護使用IP協(xié)議號50ESP協(xié)議是設(shè)計以兩種模式工作的：隧道（Tunneling）模式和傳輸（Transport）模式ESP提供IP數(shù)據(jù)報的完整性和可信性服務(wù)，ESP是在RFC2IPSec協(xié)議結(jié)構(gòu)圖IPSec安全體系ESP協(xié)議AH協(xié)議加密算法認(rèn)證算法DOIIKE協(xié)議IPSec協(xié)議結(jié)構(gòu)圖IPSec安全體系ESP協(xié)議AH協(xié)SSLVPN加密通道SSLVPN遠程用戶認(rèn)證服務(wù)器IE瀏覽器SSLVPN加密通道SSLVPN遠程用戶認(rèn)證服務(wù)器IE瀏SSLVPN的安全技術(shù)1．信息傳輸安全

1）通過瀏覽器對任何Internet可以連接的地方到遠程應(yīng)用或數(shù)據(jù)間的所有通信進行即時的SSL加密。

2）安全客戶端檢測，有效保護您的網(wǎng)絡(luò)免受特洛伊、病毒、蠕蟲或黑客的攻擊。含防火墻、反病毒防護、Windows升級、Windows服務(wù)、文件數(shù)字簽名、管理員選擇注冊表、IP地址等多方面的檢測功能。2．用戶認(rèn)證與授權(quán)

1）認(rèn)證。誰被允許登錄系統(tǒng)，在遠程用戶被允許登錄前進行身份確認(rèn)。包括標(biāo)準(zhǔn)的用戶名＋密碼方式、智能卡、RSA，還可使用CA證書。

2）授權(quán)。按角色劃分的權(quán)限訪問應(yīng)用程序、數(shù)據(jù)和其他一些資源，在服務(wù)器端通過劃分組、角色和應(yīng)用程序進行集中管理。

3）審計。隨時了解用戶做了什么訪問。對每位用戶的活動進行追蹤、監(jiān)視并記錄日志。SSLVPN的安全技術(shù)1．信息傳輸安全SSLVPN的功能與特點1．SSLVPN的基本功能

SSLVPN是一款專門針對B/S和C/S應(yīng)用的SSLVPN產(chǎn)品，具有以下完善實用的功能：

1）提供了基于SSL協(xié)議和數(shù)字證書的強身份認(rèn)證和安全傳輸通道。

2）提供了先進的基于URL的訪問控制。

3）提供了SSL硬件加速的處理和后端應(yīng)用服務(wù)的負(fù)載平衡。

4）提供了基于加固的系統(tǒng)平臺和IDS技術(shù)的安全功能。2．SSLVPN系統(tǒng)協(xié)議

由SSL、HTTPS、SOCKS這3個協(xié)議相互協(xié)作共同實現(xiàn)。3．SSLVPN的特點

1）安裝簡單、易于操作，無需安裝客戶端軟件。

2）具有認(rèn)證加密、訪問控制、安全信息備份、負(fù)載平衡等功能。

3）使用標(biāo)準(zhǔn)的HTTPS協(xié)議傳輸數(shù)據(jù)，可以穿越防火墻，不存在地址轉(zhuǎn)換的問題，而且不改變用戶網(wǎng)絡(luò)結(jié)構(gòu)，適合復(fù)雜應(yīng)用環(huán)境。

SSLVPN的功能與特點1．SSLVPN的基本功能2．SSLVPN的工作原理SSLVPN的工作原理可用以下幾個步驟來描述：

1）SSLVPN生成自己的根證書和服務(wù)器操作證書。

2）客戶端瀏覽器下載并導(dǎo)入SSLVPN的根證書。

3）通過管理界面對后端網(wǎng)站服務(wù)器設(shè)置訪問控制。

4）客戶端通過瀏覽器使用HTTPS協(xié)議訪問網(wǎng)站時，SSLVPN接受請求，客戶端實現(xiàn)對SSLVPN服務(wù)器的認(rèn)證。

5）服務(wù)器端通過口令方式認(rèn)證客戶端。

6）客戶端瀏覽器和SSLVPN服務(wù)器端之間所有通信建立了SSL安全通道。SSLVPN的工作原理SSLVPN的工作原理可用以下幾SSLVPN的應(yīng)用模式及特點

SSLVPN的解決方案包括三種模式：◆Web瀏覽器模式◆SSLVPN客戶端模式◆LAN到LAN模式

WEB瀏覽器模式是SSLVPN的最大優(yōu)勢，它充分利用了當(dāng)前Web瀏覽器的內(nèi)置功能，來保護遠程接入的安全，配置和使用都非常方便。SSLVPN已逐漸成為遠程接入的主要手段之一。SSLVPN的應(yīng)用模式及特點SSLVPN的解決SSLVPN的應(yīng)用模式及特點1．Web瀏覽器模式的解決方案由于Web瀏覽器的廣泛部署，而且Web瀏覽器內(nèi)置了SSL協(xié)議，使得SSLVPN在這種模式下只要在SSLVPN服務(wù)器上集中配置安全策略，幾乎不用為客戶端做什么配置就可使用，大大減少了管理的工作量，方便用戶的使用。缺點是僅能保護Web通信傳輸安全。遠程計算機使用Web瀏覽器通過SSLVPN服務(wù)器來訪問企業(yè)內(nèi)部網(wǎng)中的資源。

這種模式目前已廣泛使用于校園網(wǎng)、電子政務(wù)網(wǎng)中!SSLVPN的應(yīng)用模式及特點1．Web瀏覽器模式的解決方SSLVPN的應(yīng)用模式及特點2．SSLVPN客戶端模式的解決方案SSLVPN客戶端模式為遠程訪問提供安全保護，用戶需要在客戶端安裝一個客戶端軟件，并做一些簡單的配置即可使用，不需對系統(tǒng)做改動。這種模式的優(yōu)點是支持所有建立在TCP/IP和UDP/IP上的應(yīng)用通信傳輸?shù)陌踩琖eb瀏覽器也可以在這種模式下正常工作。這種模式的缺點是客戶端需要額外的開銷。

SSLVPN的應(yīng)用模式及特點2．SSLVPN客戶端模式3．LAN到LAN模式的解決方案LAN到LAN模式對LAN（局域網(wǎng)）與LAN（局域網(wǎng)）間的通信傳輸進行安全保護。與基于IPSec協(xié)議的LAN到LAN的VPN相比，它的優(yōu)點就是擁有更多的訪問控制的方式,缺點是僅能保護應(yīng)用數(shù)據(jù)的安全，并且性能較低。

3．LAN到LAN模式的解決方案LAN到LAN模式PPTP/L2TPVPN基于第二層的VPN解決方案PPTP/L2TPVPN基于第二層的VPN解決方案PPTP：點到點隧道協(xié)議PPTP：點到點隧道協(xié)議L2TP：二層隧道協(xié)議L2TP：二層隧道協(xié)議L2TPRed-Giant(config)#l2tp-classl2tp-class-name 創(chuàng)建/配置指定名稱的l2tp-class接口 Red-Giant(config)#nol2tp-classl2tp-class-name 刪除指定名稱的l2tp-class接口 其中l(wèi)2tp-class-name是創(chuàng)建/設(shè)置的l2tp-class單元的名稱，這里創(chuàng)建的l2tp-class可以被pseudowire-class按其名稱引用。L2TPRed-Giant(config)#l2tp-claL2TPRed-Giant(config)#pseudowire-classpseudowire-class-name 創(chuàng)建/配置指定名稱的pseudowire-class接口Red-Giant(config-pw-class)#encapsulationl2tpv2設(shè)置數(shù)據(jù)傳輸封裝模式Red-Giant(config-pw-class)#iplocalinterfaceinterface-name指定通道的本地接口(地址)

L2TPRed-Giant(config)#pseudowL2TPRed-Giant(config)#protocoll2tpv2[l2tp-class-name]設(shè)置L2TP控制連接參數(shù)這里l2tpv2是遵循用RFC2661規(guī)范的L2TP協(xié)議來創(chuàng)建控制連接，這里使用參數(shù)l2tp-class-name來引用已經(jīng)存在的l2tp-class來限制控制連接參數(shù)，如果沒有這個參數(shù)就使用系統(tǒng)默認(rèn)的L2TP控制連接參數(shù)。L2TPRed-Giant(config)#protocoL2TPRed-Giant(config)#interfacevirtual-pppnumber創(chuàng)建/配置指定的virtual-ppp接口Red-Giant(config-if)#pseudowirepeer-ip-addressvcid{encapsulationl2tpv2[pw-classpw-class-name]|pw-classpw-class-name}設(shè)置pseudowire規(guī)則L2TPRed-Giant(config)#interfacIPsec要配置使用IKE來建立安全聯(lián)盟的加密映射條目，請在開始的時候在全局配置模式下執(zhí)行以下命令： 第一步 Red-Giant(config)#cryptomapmap-nameseq-numipsec-isakmp 指定要創(chuàng)建或修改的加密映射條目，執(zhí)行此命令將進入加密映射配置模式。 第二步 Red-Giant(config-crypto-map)#matchaddressaccess-list-id 為加密映射列表指定一個訪問列表。這個訪問列表決定了哪些通信應(yīng)該受到IPSec的保護，哪些通信不應(yīng)該受到此加密映射條目中定義的IPSec安全性的保護。 IPsec要配置使用IKE來建立安全IPsec第三步 Red-Giant(config-crypto-map)#Setpeer{hostname|ip-address} 指定遠端IPSec對等體。受到IPSec保護的通信將被發(fā)往這個對等體?？梢耘渲枚鄠€peer。 第四步 Red-Giant(config-crypto-map)#Settransform-settransform-set-name1[transform-set-name2…transform-set-name6] 指定使用哪個變換集合，

IPsec第三步 Red-Giant(config-cry作業(yè)什么是VPN？請解釋隧道的概念。說明IPsec的三個主要部分的作用作業(yè)什么是VPN？請解釋隧道的概念。網(wǎng)絡(luò)安全設(shè)備與技術(shù)VPN2010網(wǎng)絡(luò)安全設(shè)備與技術(shù)VPN2010提綱什么是VPN為什么使用VPNVPN的應(yīng)用類型VPN的安全技術(shù)已有的VPN解決方案VPN的概念VPN能做什么VPN用在哪些環(huán)境下VPN采用的主要技術(shù)目前流行的VPN解決方案提綱什么是VPNVPN的概念VPN能做什么VPN用在哪些什么是VPNVPN（VirtualPrivateNetwork）技術(shù)也就是虛擬專用網(wǎng)技術(shù)，顧名思義，虛擬專用網(wǎng)不是真的專用網(wǎng)絡(luò)，但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。InternetLAN與LAN之間彼此孤立VPNTunnelVPNTunnelVPNTunnelLAN與LAN之間實現(xiàn)安全互訪LAN與LAN通過VPN技術(shù)構(gòu)建新的LAN什么是VPNVPN（VirtualPrivateNetw虛擬專用網(wǎng)指的是依靠ISP（Internet服務(wù)提供商）和其它NSP（網(wǎng)絡(luò)服務(wù)提供商），在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在虛擬專用網(wǎng)中，任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動態(tài)組成的。所謂虛擬，是指用戶不再需要擁有實際的長途數(shù)據(jù)線路，而是使用Internet公眾數(shù)據(jù)網(wǎng)絡(luò)的長途數(shù)據(jù)線路。所謂專用網(wǎng)絡(luò)，是指用戶可以為自己制定一個最符合自己需求的網(wǎng)絡(luò)。IETF草案理解基于IP的VPN為：“使用IP機制仿真出一個私有的廣域網(wǎng)”：是通過私有的隧道技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點到點的專線技術(shù)。虛擬專用網(wǎng)指的是依靠ISP（Internet服務(wù)提供商）和其為什么使用VPN？為什么使用VPN？用戶的需求用戶的需求是虛擬專用網(wǎng)技術(shù)誕生的直接原因隨著Internet和電子商務(wù)的蓬勃發(fā)展，經(jīng)濟全球化的最佳途徑是發(fā)展基于Internet的商務(wù)應(yīng)用。隨著商務(wù)活動的日益頻繁，各企業(yè)開始允許其生意伙伴、供應(yīng)商也能夠訪問本企業(yè)的局域網(wǎng)，從而大大簡化信息交流的途徑，增加信息交換速度。合作和聯(lián)系是動態(tài)的，并依靠網(wǎng)絡(luò)來維持和加強，于是各企業(yè)發(fā)現(xiàn)，這樣的信息交流不但帶來了網(wǎng)絡(luò)的復(fù)雜性，還帶來了管理和安全性的問題。因為Internet是一個全球性和開放性的、基于TCP/IP技術(shù)的、不可管理的國際互聯(lián)網(wǎng)絡(luò)，因此，基于Internet的商務(wù)活動就面臨非善意的信息威脅和安全隱患。自身的的發(fā)展壯大與跨國化，企業(yè)的分支機構(gòu)不僅越來越多，而且相互間的網(wǎng)絡(luò)基礎(chǔ)設(shè)施互不兼容也更為普遍。因此，用戶的信息技術(shù)部門在連接分支機構(gòu)方面也感到日益棘手。用戶的需求用戶的需求是虛擬專用網(wǎng)技術(shù)誕生的直接原因信息在傳輸中可能泄密數(shù)據(jù)被黑客竊聽總部分支機構(gòu)移動用戶A黑客我的密碼是CAF我的密碼是CAFVPN的需求之一：數(shù)據(jù)機密性保護移動用戶BInternet信息在傳輸中可能泄密數(shù)據(jù)被黑客竊聽總部分支機構(gòu)移動用戶A黑信息在傳輸中可能失真總部分支機構(gòu)移動用戶A黑客同意2000元成交VPN的需求之二：數(shù)據(jù)完整性保護移動用戶BInternet黑客篡改數(shù)據(jù)同意

5000元成交信息在傳輸中可能失真總部分支機構(gòu)移動用戶A黑客同意200信息的來源可能偽造的總部分支機構(gòu)黑客交易服務(wù)器VPN的需求之三：數(shù)據(jù)源發(fā)性保護移動用戶Internet誰是真的Bob？我是Bob，請求交易“我是Bob”，請求交易信息的來源可能偽造的總部分支機構(gòu)黑客交易服務(wù)器VPN的需信息傳輸?shù)某杀究赡芎芨咭苿佑脩鬉PSTNPSTN長途撥號：010-163市話撥號：163上海的撥號服務(wù)器上海北京的撥號服務(wù)器10010010101010數(shù)據(jù)在公網(wǎng)傳輸不安全？長途撥號，成本太高？VPN的需求之四：降低遠程傳輸成本Internet信息傳輸?shù)某杀究赡芎芨咭苿佑脩鬉PSTNPSTN長途撥號：0使用VPN的優(yōu)勢防止數(shù)據(jù)在公網(wǎng)傳輸中被竊聽防止數(shù)據(jù)在公網(wǎng)傳輸中被篡改可以驗證數(shù)據(jù)的真實來源成本低廉（相對于專線、長途撥號）應(yīng)用靈活、可擴展性好使用VPN的優(yōu)勢防止數(shù)據(jù)在公網(wǎng)傳輸中被竊聽VPN的工作原理數(shù)據(jù)機密性保護的實現(xiàn)數(shù)據(jù)完整性保護的實現(xiàn)數(shù)據(jù)源發(fā)性保護的實現(xiàn)重放攻擊保護的實現(xiàn)VPN的工作原理數(shù)據(jù)機密性保護的實現(xiàn)數(shù)據(jù)機密性保護的實現(xiàn)1100111001010001010010101001000100100100000100000011001110010100010100101010010001001001000001000000明文加密解密明文保證數(shù)據(jù)在傳輸途中不被竊取發(fā)起方接受方密文·#￥^&(%#%$%^&*(!#$%*((_%$@#$%%^*&**)%$#@數(shù)據(jù)機密性保護的實現(xiàn)11001110011100111001數(shù)據(jù)完整性保護的實現(xiàn)發(fā)起方接受方1001000101010010100001000000110110001010100010101001000101010010100001000000110110001010HashHash100010101001000101010010100001000000110110001010是否一樣？防止數(shù)據(jù)被篡改100010101001000101010010100001000000110110001010數(shù)據(jù)完整性保護的實現(xiàn)發(fā)起方接受方10010001100010數(shù)據(jù)源發(fā)性保護的實現(xiàn)BobAlice假冒的“Bob”假冒VPNInternet101011011110100110010100驗證簽名，證實數(shù)據(jù)來源私鑰簽名私鑰簽名101011011110100110010100數(shù)據(jù)源發(fā)性保護的實現(xiàn)BobAlice假冒的“Bob”假冒VP重放攻擊保護的實現(xiàn)重放攻擊保護的實現(xiàn)VPN的應(yīng)用類型？VPN的應(yīng)用類型？AccessVPN（遠程訪問虛擬網(wǎng)）AccessVPN最適用于公司內(nèi)部經(jīng)常有流動人員遠程辦公的情況。出差員工利用當(dāng)?shù)豂SP提供的VPN服務(wù)，就可以和公司的VPN網(wǎng)關(guān)建立私有的隧道連接。CA中心或者Radius服務(wù)器可對員工進行身份授權(quán)和驗證，保證連接的安全。VPN客戶端企業(yè)總部VPNInternet移動用戶移動用戶移動用戶移動用戶VPN客戶端VPN客戶端VPN客戶端AccessVPN（遠程訪問虛擬網(wǎng)）AccessVPN最I(lǐng)ntranetVPN（企業(yè)內(nèi)部虛擬網(wǎng)）企業(yè)的發(fā)展、機構(gòu)網(wǎng)點的增加，使得網(wǎng)絡(luò)的結(jié)構(gòu)趨于復(fù)雜，鏈路費用昂貴。利用VPN特性，在Internet上組建世界范圍內(nèi)的IntranetVPN，保證信息在整個IntranetVPN上安全傳輸。企業(yè)擁有與專用網(wǎng)絡(luò)的相同政策，包括安全、服務(wù)質(zhì)量(QoS)、可管理性和可靠性。企業(yè)總部分支機構(gòu)辦事處InternetVPNVPNVPNIntranetVPN（企業(yè)內(nèi)部虛擬網(wǎng)）企業(yè)的發(fā)展、機構(gòu)網(wǎng)ExtranetVPN（企業(yè)擴展虛擬網(wǎng)）各個企業(yè)之間的合作關(guān)系也越來越多，信息交換日益頻繁。利用VPN技術(shù)組建安全的Extranet，既可以向客戶、合作伙伴提供有效的信息服務(wù)，又可以保證自身的內(nèi)部網(wǎng)絡(luò)的安全。Internet企業(yè)總部分支機構(gòu)合作伙伴合作伙伴ExtranetVPN（企業(yè)擴展虛擬網(wǎng)）各個企業(yè)之間的合作VPN的安全技術(shù)VPN的安全技術(shù)四項技術(shù)VPN主要采用四項技術(shù)來保證安全隧道技術(shù)（Tunneling）加解密技術(shù)（Encryption&Decryption）密鑰管理技術(shù)（KeyManagement）認(rèn)證技術(shù)（Authentication）四項技術(shù)VPN主要采用四項技術(shù)來保證安全隧道技術(shù)隧道技術(shù)的基本過程是在源局域網(wǎng)與公用網(wǎng)的接口處將局域網(wǎng)發(fā)送的數(shù)據(jù)(可以是ISO七層模型中的數(shù)據(jù)鏈路層或網(wǎng)絡(luò)層數(shù)據(jù))作為負(fù)載封裝在一種可以在公用網(wǎng)上傳輸?shù)臄?shù)據(jù)格式中，在目的局域網(wǎng)與公用網(wǎng)的接口處將公用網(wǎng)的數(shù)據(jù)解封裝后，取出負(fù)載即源局域網(wǎng)發(fā)送的數(shù)據(jù)向目的局域網(wǎng)傳輸。網(wǎng)絡(luò)隧道技術(shù)指的是利用一種網(wǎng)絡(luò)協(xié)議來傳輸另一種網(wǎng)絡(luò)協(xié)議，利用網(wǎng)絡(luò)隧道協(xié)議來實現(xiàn)這種功能。由于封裝與解封裝只在兩個接口處由設(shè)備按照隧道協(xié)議配置進行，局域網(wǎng)中的其他設(shè)備將不會覺察到這一過程。被封裝的數(shù)據(jù)包在隧道的兩個端點之間通過公共互聯(lián)網(wǎng)絡(luò)進行路由。被封裝的數(shù)據(jù)包在公共互聯(lián)網(wǎng)絡(luò)上傳遞時所經(jīng)過的邏輯路徑稱為隧道。隧道技術(shù)隧道技術(shù)的基本過程是在源局域網(wǎng)與公用網(wǎng)的接口處將局域隧道技術(shù)-協(xié)議三層隧道協(xié)議主要有GenericRoutingEncapsulation（GRE）協(xié)議IPSec協(xié)議隧道技術(shù)-協(xié)議三層隧道協(xié)議主要有加解密技術(shù)1現(xiàn)代密碼學(xué)中，加密算法被分為對稱加密算法和非對稱加密算法。對稱加密算法采用同一個密鑰進行加密和解密，優(yōu)點是速度快，但密鑰的分發(fā)與交換不便于管理。對稱加密算法：國際數(shù)據(jù)加密算法（IDEA：InternationalDataEncryptionAlgorithm）：128位長密鑰，把64位的明文塊加密成64位的密文塊。DES和3DES加密算法(TheDataEncryptionStandard):DES有64位長密鑰,實際上只使用56位密鑰。AES：Rijndial加密算法加解密技術(shù)1現(xiàn)代密碼學(xué)中，加密算法被分為對稱加密算法和非對加解密技術(shù)2使用不對稱加密算法加密時，通訊各方使用兩個不同的密鑰,一個是只有發(fā)送方知道的私有密鑰，另一個則是對應(yīng)的公開密鑰，任何人都可以獲得公開密鑰。私有密鑰和公開密鑰在加密算法上相互關(guān)聯(lián)，一個用于數(shù)據(jù)加密，另一個用于數(shù)據(jù)解密。由于不對稱加密運算量大，一般用于加密對稱加密算法中使用的密鑰。不對稱加密還有一個重要用途即數(shù)字簽名。

加解密技術(shù)2使用不對稱加密算法加密時，通訊各方使用兩個不同密鑰管理技術(shù)密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取。

現(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMP兩種。SKIP主要是利用Diffie-Hellman的演算法則，在網(wǎng)絡(luò)上傳輸密鑰；在ISAKMP中，雙方都有兩把密鑰，分別用于公用、私用。

密鑰管理技術(shù)密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地認(rèn)證技術(shù)認(rèn)證技術(shù)可以區(qū)分真實數(shù)據(jù)與偽造、被篡改過的數(shù)據(jù)。認(rèn)證協(xié)議一般都要采用一種稱為摘要的技術(shù)。摘要技術(shù)主要是采用HASH函數(shù)將一段長的報文通過函數(shù)變換，映射為一段短的報文即摘要。驗證數(shù)據(jù)的完整性。發(fā)送方將數(shù)據(jù)報文和報文摘要一同發(fā)送,接收方通過計算報文摘要,與發(fā)來摘要比較,相同則說明報文未經(jīng)修改。

用戶認(rèn)證。該功能實際上是上一種功能的延伸。當(dāng)一方希望驗證對方，但又不希望驗證秘密在網(wǎng)絡(luò)上傳送，這時一方可以發(fā)送一段隨機報文，要求對方將秘密信息連接上該報文作摘要后發(fā)回，接收方可以通過驗證摘要是否正確來確定對方是否擁有秘密信息，從而達到驗證對方的目的。常用的HASH函數(shù)有MD5，SHA-1等。

認(rèn)證技術(shù)認(rèn)證技術(shù)可以區(qū)分真實數(shù)據(jù)與偽造、被篡改過的數(shù)據(jù)。已有的VPN解決方案已有的VPN解決方案IP安全協(xié)議IPSec（IPSecurity）是一組開放協(xié)議的總稱，特定的通信方之間在IP層通過加密與數(shù)據(jù)源驗證，以保證數(shù)據(jù)包在Internet網(wǎng)上傳輸時的私有性、完整性和真實性。IPSec通過AH（AuthenticationHeader）和ESP（EncapsulatingSecurityPayload）這兩個安全協(xié)議來實現(xiàn)。IP安全協(xié)議IPSec（IPSecurity）IPSecVPN網(wǎng)絡(luò)層的VPN解決方案。網(wǎng)絡(luò)層是可實現(xiàn)端到端安全通信的最低層，它為所有應(yīng)用層數(shù)據(jù)提供透明的安全保護，用戶無需修改應(yīng)用層協(xié)議。IPSecVPN網(wǎng)絡(luò)層的VPN解決方案。網(wǎng)絡(luò)層是可實現(xiàn)端到IPSec的工作模式傳輸模式：只對IP數(shù)據(jù)包的有效負(fù)載進行加密或認(rèn)證。此時，繼續(xù)使用以前的IP頭部，只對IP頭部的部分域進行修改，而IPSec協(xié)議頭部插入到IP頭部和傳輸層頭部之間隧道模式：對整個IP數(shù)據(jù)包進行加密或認(rèn)證。此時，需要新產(chǎn)生一個IP頭部，IPSec頭部被放在新產(chǎn)生的IP頭部和以前的IP數(shù)據(jù)包之間，從而組成一個新的IP頭部。IPSec的工作模式傳輸模式：只對IP數(shù)據(jù)包的有效負(fù)載進IPSec的工作模式隧道模式傳輸模式IPSec的工作模式隧道模式傳輸模式使用VRRP提高網(wǎng)絡(luò)穩(wěn)定性RCNP-VPNIPSec的三個主要協(xié)議

1）ESP（EncapsulatingSecurityPayload）。ESP協(xié)議主要用來處理對IP數(shù)據(jù)包的加密。ESP是與具體的加密算法相獨立的，幾乎支持各種對稱密鑰加密算法，默認(rèn)為3DES和DES。2）AH(AuthenticationHeader)。AH只涉及到認(rèn)證，不涉及到加密。3）IKE(InternetKeyExchange)。IKE協(xié)議主要是對密鑰交換進行管理，它主要包括三個功能：①對使用的協(xié)議、加密算法和密鑰進行協(xié)商；②方便的密鑰交換機制(這可能需要周期性的進行)；③跟蹤對以上這些約定的實施。IPSec的三個主要協(xié)議

1）ESP（EncapsulatAH(AuthenticationHeader)AH是一個用于提供IP數(shù)據(jù)包完整性和認(rèn)證的機制。其完整性是保證數(shù)據(jù)報不被無意的或惡意的方式改變通過在整個IP數(shù)據(jù)報中實施一個消息文摘計算來提供完整性和認(rèn)證服務(wù)提供反重放保護使用IP協(xié)議號51AH(AuthenticationHeader)AH是一個ESP提供IP數(shù)據(jù)報的完整性和可信性服務(wù)，ESP是在RFC2406中定義的。保證數(shù)據(jù)的完整性，使用散列算法，驗證不包括IP頭提供反重放保護使用IP協(xié)議號50ESP協(xié)議是設(shè)計以兩種模式工作的：隧道（Tunneling）模式和傳輸（Transport）模式ESP提供IP數(shù)據(jù)報的完整性和可信性服務(wù)，ESP是在RFC2IPSec協(xié)議結(jié)構(gòu)圖IPSec安全體系ESP協(xié)議AH協(xié)議加密算法認(rèn)證算法DOIIKE協(xié)議IPSec協(xié)議結(jié)構(gòu)圖IPSec安全體系ESP協(xié)議AH協(xié)SSLVPN加密通道SSLVPN遠程用戶認(rèn)證服務(wù)器IE瀏覽器SSLVPN加密通道SSLVPN遠程用戶認(rèn)證服務(wù)器IE瀏SSLVPN的安全技術(shù)1．信息傳輸安全

1）通過瀏覽器對任何Internet可以連接的地方到遠程應(yīng)用或數(shù)據(jù)間的所有通信進行即時的SSL加密。

2）安全客戶端檢測，有效保護您的網(wǎng)絡(luò)免受特洛伊、病毒、蠕蟲或黑客的攻擊。含防火墻、反病毒防護、Windows升級、Windows服務(wù)、文件數(shù)字簽名、管理員選擇注冊表、IP地址等多方面的檢測功能。2．用戶認(rèn)證與授權(quán)

1）認(rèn)證。誰被允許登錄系統(tǒng)，在遠程用戶被允許登錄前進行身份確認(rèn)。包括標(biāo)準(zhǔn)的用戶名＋密碼方式、智能卡、RSA，還可使用CA證書。

2）授權(quán)。按角色劃分的權(quán)限訪問應(yīng)用程序、數(shù)據(jù)和其他一些資源，在服務(wù)器端通過劃分組、角色和應(yīng)用程序進行集中管理。

3）審計。隨時了解用戶做了什么訪問。對每位用戶的活動進行追蹤、監(jiān)視并記錄日志。SSLVPN的安全技術(shù)1．信息傳輸安全SSLVPN的功能與特點1．SSLVPN的基本功能

SSLVPN是一款專門針對B/S和C/S應(yīng)用的SSLVPN產(chǎn)品，具有以下完善實用的功能：

1）提供了基于SSL協(xié)議和數(shù)字證書的強身份認(rèn)證和安全傳輸通道。

2）提供了先進的基于URL的訪問控制。

3）提供了SSL硬件加速的處理和后端應(yīng)用服務(wù)的負(fù)載平衡。

4）提供了基于加固的系統(tǒng)平臺和IDS技術(shù)的安全功能。2．SSLVPN系統(tǒng)協(xié)議

由SSL、HTTPS、SOCKS這3個協(xié)議相互協(xié)作共同實現(xiàn)。3．SSLVPN的特點

1）安裝簡單、易于操作，無需安裝客戶端軟件。

2）具有認(rèn)證加密、訪問控制、安全信息備份、負(fù)載平衡等功能。

3）使用標(biāo)準(zhǔn)的HTTPS協(xié)議傳輸數(shù)據(jù)，可以穿越防火墻，不存在地址轉(zhuǎn)換的問題，而且不改變用戶網(wǎng)絡(luò)結(jié)構(gòu)，適合復(fù)雜應(yīng)用環(huán)境。

SSLVPN的功能與特點1．SSLVPN的基本功能2．SSLVPN的工作原理SSLVPN的工作原理可用以下幾個步驟來描述：

1）SSLVPN生成自己的根證書和服務(wù)器操作證書。

2）客戶端瀏覽器下載并導(dǎo)入SSLVPN的根證書。

3）通過管理界面對后端網(wǎng)站服務(wù)器設(shè)置訪問控制。

4）客戶端通過瀏覽器使用HTTPS協(xié)議訪問網(wǎng)站時，SSLVPN接受請求，客戶端實現(xiàn)對SSLVPN服務(wù)器的認(rèn)證。

5）服務(wù)器端通過口令方式認(rèn)證客戶端。

6）客戶端瀏覽器和SSLVPN服務(wù)器端之間所有通信建立了SSL安全通道。SSLVPN的工作原理SSLVPN的工作原理可用以下幾SSLVPN的應(yīng)用模式及特點

SSLVPN的解決方案包括三種模式：◆Web瀏覽器模式◆SSLVPN客戶端模式◆LAN到LAN模式

WEB瀏覽器模式是SSLVPN的最大優(yōu)勢，它充分利用了當(dāng)前Web瀏覽器的內(nèi)置功能，來保護遠程接入的安全，配置和使用都非常方便。SSLVPN已逐漸成為遠程接入的主要手段之一。SSLVPN的應(yīng)用模式及特點SSLVPN的解決SSLVPN的應(yīng)用模式及特點1．Web瀏覽器模式的解決方案由于Web瀏覽器的廣泛部署，而且Web瀏覽器內(nèi)置了SSL協(xié)議，使得SSLVPN在這種模式下只要在SSLVPN服務(wù)器上集中配置安全策略，幾乎不用為客戶端做什么配置就可使用，大大減少了管理的工作量，方便用戶的使用。缺點是僅能保護Web通信傳輸安全。遠程計算機使用Web瀏覽器通過SSLVPN服務(wù)器來訪問企業(yè)內(nèi)部網(wǎng)中的資源。

這種模式目前已廣泛使用于校園網(wǎng)、電子政務(wù)網(wǎng)中!SSLVPN的應(yīng)用模式及特點1．Web瀏覽器模式的解決方SSLVPN的應(yīng)用模式及特點2．SSLVPN客戶端模式的解決方案SSLVPN客戶端模式為遠程訪問提供安全保護，用戶需要在客戶端安裝一個客戶端軟件，并做一些簡單的配置即可使用，不需對系統(tǒng)做改動。這種模式的優(yōu)點是支持所有建立在TCP/IP和UDP/IP上的應(yīng)用通信傳輸?shù)陌踩?，Web瀏覽器也可以在這種模式下正常工作。這種模式的缺點是客戶端需要額外的開銷。

SSLVPN的應(yīng)用模式及特點2．SSLVPN客戶端模式3．LAN到LAN模式的