虛擬專用網(wǎng)絡(luò)技術(shù)課件

虛擬專用網(wǎng)絡(luò)技術(shù)第10章虛擬專用網(wǎng)絡(luò)技術(shù)第10章基本內(nèi)容互聯(lián)網(wǎng)的普及使得遠(yuǎn)程網(wǎng)絡(luò)互聯(lián)的應(yīng)用大為增加，特別是跨地區(qū)企業(yè)的內(nèi)部網(wǎng)絡(luò)應(yīng)用、政府部門的縱向分級網(wǎng)絡(luò)管理等。網(wǎng)絡(luò)安全風(fēng)險又使得這種應(yīng)用存在嚴(yán)重的隱患。虛擬專用網(wǎng)絡(luò)技術(shù)為這種應(yīng)用保駕護航?；緝?nèi)容互聯(lián)網(wǎng)的普及使得遠(yuǎn)程網(wǎng)絡(luò)互聯(lián)的應(yīng)用大為增加，特別是跨10.1VPN技術(shù)概述虛擬專用網(wǎng)（VirtualPrivateNetwork，VPN）被定義為通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。

10.1.1VPN的概念VPN依靠ISP（Internet服務(wù)提供商）和其他NSP（網(wǎng)絡(luò)服務(wù)提供商），在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在虛擬專用網(wǎng)中，任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動態(tài)組成的。

VPN是對企業(yè)內(nèi)部網(wǎng)的擴展。一般以IP為主要通訊協(xié)議。

10.1VPN技術(shù)概述虛擬專用網(wǎng)（Virtua10.1VPN技術(shù)概述

VPN是在公網(wǎng)中形成的企業(yè)專用鏈路。采用“隧道”技術(shù)，可以模仿點對點連接技術(shù)，依靠Internet服務(wù)提供商(ISP)和其他的網(wǎng)絡(luò)服務(wù)提供商(NSP)在公用網(wǎng)中建立自己專用的“隧道”，讓數(shù)據(jù)包通過這條隧道傳輸。對于不同的信息來源，可分別給它們開出不同的隧道。

10.1.1VPN的概念(續(xù))10.1VPN技術(shù)概述VPN是在公網(wǎng)中形成的企10.1VPN技術(shù)概述

隧道是一種利用公網(wǎng)設(shè)施，在一個網(wǎng)絡(luò)之中的“網(wǎng)絡(luò)”上傳輸數(shù)據(jù)的方法。隧道協(xié)議利用附加的報頭封裝幀，附加的報頭提供了路由信息，因此封裝后的包能夠通過中間的公網(wǎng)。封裝后的包所途經(jīng)的公網(wǎng)的邏輯路徑稱為隧道。一旦封裝的幀到達了公網(wǎng)上的目的地，幀就會被解除封裝并被繼續(xù)送到最終目的地。

10.1.1VPN的概念(續(xù))①隧道開通器(TI)；②有路由能力的公用網(wǎng)絡(luò)；③一個或多個隧道終止器(TT)；④必要時增加一個隧道交換機以增加靈活性。隧道基本要素10.1VPN技術(shù)概述隧道是一種利用公網(wǎng)設(shè)施，10.1VPN技術(shù)概述10.1.2VPN的基本功能VPN的主要目的是保護傳輸數(shù)據(jù)，是保護從信道的一個端點到另一端點傳輸?shù)男畔⒘?。信道的端點之前和之后，VPN不提供任何的數(shù)據(jù)包保護。VPN的基本功能至少應(yīng)包括：1）加密數(shù)據(jù)2）信息驗證和身份識別3）提供訪問控制4）地址管理5）密鑰管理6）多協(xié)議支持10.1VPN技術(shù)概述10.1.2VPN的基本功能10.1VPN技術(shù)概述10.1.3VPN的特性安全性隧道、加密、密鑰管理、數(shù)據(jù)包認(rèn)證、用戶認(rèn)證、訪問控制可靠性硬件、軟件、基礎(chǔ)網(wǎng)絡(luò)的可靠性可管理性記帳、審核、日志的管理是否支持集中的安全控制策略可擴展性成本的可擴展性，如使用令牌卡成本高性能，是否考慮采用硬件加速加解密速度10.1VPN技術(shù)概述10.1.3VPN的特性安全性10.1VPN技術(shù)概述10.1.3VPN的特性(續(xù))可用性系統(tǒng)對應(yīng)用盡量透明對終端用戶來說使用方便互操作性盡量采用標(biāo)準(zhǔn)協(xié)議，與其他供應(yīng)商的設(shè)備能互通服務(wù)質(zhì)量QoS通過Internet連接的VPN服務(wù)質(zhì)量很大程度取決于Internet的狀況多協(xié)議支持10.1VPN技術(shù)概述10.1.3VPN的特性(續(xù))10.2VPN協(xié)議VPN主要采用以下四項技術(shù)來保證安全：◆隧道技術(shù)◆加解密技術(shù)

◆密鑰管理技術(shù)◆使用者與設(shè)備身份認(rèn)證技術(shù)10.2.1VPN安全技術(shù)

加解密技術(shù)、密鑰管理技術(shù)、使用者與設(shè)備身份認(rèn)證技術(shù)在第五章已作介紹，VPN只是對這幾種技術(shù)的應(yīng)用。下面重點介紹隧道技術(shù)10.2VPN協(xié)議VPN主要采用以下四項技術(shù)來10.2VPN協(xié)議10.2.2VPN的隧道協(xié)議

VPN中的隧道是由隧道協(xié)議形成的，VPN使用的隧道協(xié)議主要有三種：點到點隧道協(xié)議（PPTP）、第二層隧道協(xié)議（L2TP）以及IPSec。PPTP和L2TP集成在windows中，所以最常用。PPTP協(xié)議允許對IP、IPX或NetBEUI數(shù)據(jù)流進行加密，然后封裝在IP包頭中通過企業(yè)IP網(wǎng)絡(luò)或公共因特網(wǎng)絡(luò)發(fā)送。L2TP協(xié)議允許對IP，IPX或NetBEUI數(shù)據(jù)流進行加密，然后通過支持點對點數(shù)據(jù)報傳遞的任意網(wǎng)絡(luò)發(fā)送，如IP，X.25，幀中繼或ATM。IPSec隧道模式允許對IP負(fù)載數(shù)據(jù)進行加密，然后封裝在IP包頭中通過企業(yè)IP網(wǎng)絡(luò)或公共IP因特網(wǎng)絡(luò)如Internet發(fā)送。10.2VPN協(xié)議10.2.2VPN的隧道協(xié)議10.2VPN協(xié)議10.2.2VPN的隧道協(xié)議NSRC、NDST是隧道端點設(shè)備的IP地址公網(wǎng)上路由時僅僅考慮NSRC、NDST原始數(shù)據(jù)包的DST、SRC對公網(wǎng)透明DSTSRCDATANDSTNSRCDSTSRCDATA10.2VPN協(xié)議10.2.2VPN的隧道協(xié)議N10.2VPN協(xié)議10.2.2VPN的隧道協(xié)議Point-to-PointTunnelProtocol,2層協(xié)議，需要把網(wǎng)絡(luò)協(xié)議包封裝到PPP包，PPP數(shù)據(jù)依靠PPTP協(xié)議傳輸PPTP通信時，客戶機和服務(wù)器間有2個通道，一個通道是tcp1723端口的控制連接，另一個通道是傳輸GREPPP數(shù)據(jù)包的IP隧道PPTP沒有加密、認(rèn)證等安全措施，安全的加強通過PPP協(xié)議的MPPE(MicrosoftPoint-to-PointEncryption)實現(xiàn)windows中集成了PPTPServer和Client，適合中小企業(yè)支持少量移動工作者如果有防火墻的存在或使用了地址轉(zhuǎn)換，PPTP可能無法工作1．點到點隧道協(xié)議（PPTP）10.2VPN協(xié)議10.2.2VPN的隧道協(xié)議P10.2VPN協(xié)議10.2.2VPN的隧道協(xié)議把網(wǎng)絡(luò)數(shù)據(jù)包封裝在PPP協(xié)議中，PPP協(xié)議的數(shù)據(jù)包放到隧道中傳輸L2TPRFC2661定義在Cisco公司的L2F和PPTP的基礎(chǔ)上開發(fā)windows中集成2．第二層隧道協(xié)議（L2TP）10.2VPN協(xié)議10.2.2VPN的隧道協(xié)議把10.2VPN協(xié)議10.2.2VPN的隧道協(xié)議3．IPSec協(xié)議3層協(xié)議，直接傳輸網(wǎng)絡(luò)協(xié)議數(shù)據(jù)包基于TCP/IP的標(biāo)準(zhǔn)協(xié)議，集成到IPv6中，僅僅傳輸IP協(xié)議數(shù)據(jù)包提供了強大的安全、加密、認(rèn)證和密鑰管理功能適合大規(guī)模VPN使用，需要認(rèn)證中心（CA）來進行身份認(rèn)證和分發(fā)用戶的公共密鑰

IPSec數(shù)據(jù)包的格式

10.2VPN協(xié)議10.2.2VPN的隧道協(xié)議310.2VPN協(xié)議10.2.2VPN的隧道協(xié)議3．IPSec協(xié)議(續(xù))

IPSec的工作模式傳輸模式：只對IP數(shù)據(jù)包的有效負(fù)載進行加密或認(rèn)證。此時，繼續(xù)使用以前的IP頭部，只對IP頭部的部分域進行修改，而IPSec協(xié)議頭部插入到IP頭部和傳輸層頭部之間。隧道模式：對整個IP數(shù)據(jù)包進行加密或認(rèn)證。此時，需要新產(chǎn)生一個IP頭部，IPSec頭部被放在新產(chǎn)生的IP頭部和以前的IP數(shù)據(jù)包之間，從而組成一個新的IP頭部。10.2VPN協(xié)議10.2.2VPN的隧道協(xié)議310.2VPN協(xié)議10.2.2VPN的隧道協(xié)議3．IPSec協(xié)議(續(xù))

IPSec的三個主要協(xié)議SA(SecurltyAssociation安全關(guān)聯(lián))。所謂安全關(guān)聯(lián)是指安全服務(wù)與它服務(wù)的載體之間的一個“連接”。AH和ESP都需要使用SA，而IKE的主要功能就是SA的建立和維護。只要實現(xiàn)AH和ESP都必須提供對SA的支持。

1）ESP（EncapsulatingSecurityPayload）。ESP協(xié)議主要用來處理對IP數(shù)據(jù)包的加密。ESP是與具體的加密算法相獨立的，幾乎支持各種對稱密鑰加密算法，默認(rèn)為3DES和DES。

2）AH(AuthenticationHeader)。AH只涉及到認(rèn)證，不涉及到加密。3）IKE(InternetKeyExchange)。IKE協(xié)議主要是對密鑰交換進行管理，它主要包括三個功能：①對使用的協(xié)議、加密算法和密鑰進行協(xié)商；②方便的密鑰交換機制(這可能需要周期性的進行)；③跟蹤對以上這些約定的實施。10.2VPN協(xié)議10.2.2VPN的隧道協(xié)議310.2VPN協(xié)議10.2.3IPSecVPN系統(tǒng)的組成

IPSecVPN的實現(xiàn)包含管理模塊、密鑰分配和生成模塊、身份認(rèn)證模塊、數(shù)據(jù)加密/解密模塊、數(shù)據(jù)分組封裝/分解模塊和加密函數(shù)庫幾部分組成。10.2VPN協(xié)議10.2.3IPSecVPN系統(tǒng)10.3VPN的類型

VPN的分類方法比較多，實際使用中，需要通過客戶端與服務(wù)器端的交互實現(xiàn)認(rèn)證與隧道建立?；诙印⑷龑拥腣PN，都需要安裝專門的客戶端系統(tǒng)（硬件或軟件），完成VPN相關(guān)的工作。一個VPN解決方案不僅僅是一個經(jīng)過加密的隧道，它包含訪問控制、認(rèn)證、加密、隧道傳輸、路由選擇、過濾、高可用性、服務(wù)質(zhì)量以及管理VPN系統(tǒng)大體分為4類專用的VPN硬件支持VPN的硬件或軟件防火墻VPN軟件VPN服務(wù)提供商10.3VPN的類型VPN的分類方法比較多，實10.3VPN的類型10.3.1按VPN的應(yīng)用方式分類

VPN從應(yīng)用的方式上分，有兩種基本類型：撥號式VPN與專用式VPN。

撥號VPN分為兩種：在用戶PC機上或在服務(wù)提供商的網(wǎng)絡(luò)訪問服務(wù)器(NAS)上。

專用VPN有多種形式。IPVPN的發(fā)展促使骨干網(wǎng)建立VPN解決方案，形成了基于MPLS的IPVPN技術(shù)。MPLSVPN的優(yōu)點是全網(wǎng)統(tǒng)一管理的能力很強，由于MPLSVPN是基于網(wǎng)絡(luò)的，全部的VPN網(wǎng)絡(luò)配置和VPN策略配置都在網(wǎng)絡(luò)端完成，可以大大降低管理維護的開銷。10.3VPN的類型10.3.1按VPN的應(yīng)用方式10.3VPN的類型10.3.2按VPN的應(yīng)用平臺分類

VPN的應(yīng)用平臺分為三類：軟件平臺、專用硬件平臺及輔助硬件平臺。

(1)軟件平臺VPN

當(dāng)對數(shù)據(jù)連接速率要求不高，對性能和安全性需求不強時，可以利用一些軟件公司所提供的完全基于軟件的VPN產(chǎn)品來實現(xiàn)簡單的VPN功能。

(2)專用硬件平臺VPN

使用專用硬件平臺的VPN設(shè)備可以滿足企業(yè)和個人用戶對提高數(shù)據(jù)安全及通信性能的需求，尤其是從通信性能的角度來看，指定的硬件平臺可以完成數(shù)據(jù)加密及數(shù)據(jù)亂碼等對CPU處理能力需求很高的功能。提供這些平臺的硬件廠商比較多，如川大能士、Nortel、Cisco、3Com等。

(3)輔助硬件平臺VPN

這類VPN介于軟件平臺和指定硬件平臺之間，輔助硬件平臺的VPN主要是指以現(xiàn)有網(wǎng)絡(luò)設(shè)備為基礎(chǔ)，再增添適當(dāng)?shù)腣PN軟件以實現(xiàn)VPN的功能。10.3VPN的類型10.3.2按VPN的應(yīng)用平臺10.3VPN的類型10.3.3按VPN的協(xié)議分類

按VPN協(xié)議方面來分類主要是指構(gòu)建VPN的隧道協(xié)議。VPN的隧道協(xié)議可分為第二層隧道協(xié)議、第三層隧道協(xié)議。第二層隧道協(xié)議最為典型的有PPTP、L2F、L2TP等，第三層隧道協(xié)議有GRE、IPSec等。

第二層隧道和第三層隧道的本質(zhì)區(qū)別在于，在隧道里傳輸?shù)挠脩魯?shù)據(jù)包是被封裝在哪一層的數(shù)據(jù)包中。第二層隧道協(xié)議和第三層隧道協(xié)議一般來說分別使用，但合理的運用兩層協(xié)議，將具有更好的安全性。

10.3VPN的類型10.3.3按VPN的協(xié)議分類10.3VPN的類型10.3.4按VPN的服務(wù)類型分類

根據(jù)服務(wù)類型，VPN業(yè)務(wù)按用戶需求定義以下三種：InternetVPN、AccessVPN與ExtranetVPN。1）InternetVPN（內(nèi)部網(wǎng)VPN）。即企業(yè)的總部與分支機構(gòu)間通過公網(wǎng)構(gòu)筑的虛擬網(wǎng)。這種類型的連接帶來的風(fēng)險最小，因為公司通常認(rèn)為他們的分支機構(gòu)是可信的，并將它作為公司網(wǎng)絡(luò)的擴展。內(nèi)部網(wǎng)VPN的安全性取決于兩個VPN服務(wù)器之間加密和驗證手段上。10.3VPN的類型10.3.4按VPN的服務(wù)類型10.3VPN的類型10.3.4按VPN的服務(wù)類型分類

2）AccessVPN（遠(yuǎn)程訪問VPN）

又稱為撥號VPN(即VPDN)，是指企業(yè)員工或企業(yè)的小分支機構(gòu)通過公網(wǎng)遠(yuǎn)程撥號的方式構(gòu)筑的虛擬網(wǎng)。典型的遠(yuǎn)程訪問VPN是用戶通過本地的信息服務(wù)提供商(ISP)登錄到因特網(wǎng)上，并在現(xiàn)在的辦公室和公司內(nèi)部網(wǎng)之間建立一條加密信道。10.3VPN的類型10.3.4按VPN的服務(wù)類型10.3VPN的類型10.3.4按VPN的服務(wù)類型分類

3）ExtranetVPN（外聯(lián)網(wǎng)VPN）

即企業(yè)間發(fā)生收購、兼并或企業(yè)間建立戰(zhàn)略聯(lián)盟后，使不同企業(yè)網(wǎng)通過公網(wǎng)來構(gòu)筑的虛擬網(wǎng)。它能保證包括TCP和UDP服務(wù)在內(nèi)的各種應(yīng)用服務(wù)的安全，如Email、HTTP、FTP、RealAudio、數(shù)據(jù)庫的安全以及一些應(yīng)用程序如Java、ActiveX的安全。10.3VPN的類型10.3.4按VPN的服務(wù)類型10.3VPN的類型10.3.5按VPN的部署模式分類

VPN可以通過部署模式來區(qū)分，部署模式從本質(zhì)上描述了VPN的通道是如何建立和終止的，一般有三種VPN部署模式。

(1)端到端(End-to-End)模式

是典型的由自建VPN的客戶所采用的模式，最常見的隧道協(xié)議是IPSec和PPTP。

(2)供應(yīng)商——企業(yè)(Provider-Enterprise)模式

隧道通常在VPN服務(wù)器或路由器中創(chuàng)建，在客戶前端關(guān)閉。在該模式中，客戶不需要購買專門的隧道軟件，由服務(wù)商的設(shè)備來建立通道并驗證。最常見的隧道協(xié)議有L2TP、L2F和PPTP。

(3)內(nèi)部供應(yīng)商(Intra-Provider)模式

服務(wù)商保持了對整個VPN設(shè)施的控制。在該模式中，通道的建立和終止都是在服務(wù)商的網(wǎng)絡(luò)設(shè)施中實現(xiàn)的?？蛻舨恍枰鋈魏螌崿F(xiàn)VPN的工作。10.3VPN的類型10.3.5按VPN的部署模式10.4SSLVPN簡介

SSLVPN使用SSL和代理技術(shù)，向終端用戶提供對超文本傳送協(xié)議（HTTP）、客戶/服務(wù)器和文件共享等應(yīng)用授權(quán)安全訪問的一種遠(yuǎn)程訪問技術(shù)，因此不需要安裝專門客戶端軟件。SSL協(xié)議是在網(wǎng)絡(luò)傳輸層上提供的基于RSA加密算法和保密密鑰的用于瀏覽器與Web服務(wù)器之間的安全連接技術(shù)。

SSLVPN部署和管理費用低，在安全性和為用戶提供更多便利性方面，明顯優(yōu)于傳統(tǒng)IPSecVPN。SSLVPN是建立用戶和服務(wù)器之間的一條專用通道，在這條通道中傳輸?shù)臄?shù)據(jù)是不公開的數(shù)據(jù)，因此必須要在安全的前提下進行遠(yuǎn)程連接。

SSLVPN其安全性包含三層含義：一是客戶端接入的安全性；二是數(shù)據(jù)傳輸?shù)陌踩?；三是?nèi)部資源訪問的安全性。SSLVPN支持Web應(yīng)用的遠(yuǎn)程連接，包括基于TCP協(xié)議的B/S和C/S應(yīng)用，UDP應(yīng)用。SSLVPN的關(guān)鍵技術(shù)有代理和轉(zhuǎn)發(fā)技術(shù)、訪問控制、身份驗證、審計日志。10.4SSLVPN簡介SSLVPN使用S10.4.1SSLVPN的安全技術(shù)1．信息傳輸安全

1）通過瀏覽器對任何Internet可以連接的地方到遠(yuǎn)程應(yīng)用或數(shù)據(jù)間的所有通信進行即時的SSL加密。

2）安全客戶端檢測，有效保護您的網(wǎng)絡(luò)免受特洛伊、病毒、蠕蟲或黑客的攻擊。含防火墻、反病毒防護、Windows升級、Windows服務(wù)、文件數(shù)字簽名、管理員選擇注冊表、IP地址等多方面的檢測功能。2．用戶認(rèn)證與授權(quán)

1）認(rèn)證。誰被允許登錄系統(tǒng)，在遠(yuǎn)程用戶被允許登錄前進行身份確認(rèn)。包括標(biāo)準(zhǔn)的用戶名＋密碼方式、智能卡、RSA，還可使用CA證書。

2）授權(quán)。按角色劃分的權(quán)限訪問應(yīng)用程序、數(shù)據(jù)和其他一些資源，在服務(wù)器端通過劃分組、角色和應(yīng)用程序進行集中管理。

3）審計。隨時了解用戶做了什么訪問。對每位用戶的活動進行追蹤、監(jiān)視并記錄日志。10.4SSLVPN簡介10.4.1SSLVPN的安全技術(shù)1．信息傳輸安全110.4.2SSLVPN的功能與特點1．SSLVPN的基本功能

SSLVPN是一款專門針對B/S和C/S應(yīng)用的SSLVPN產(chǎn)品，具有以下完善實用的功能：

1）提供了基于SSL協(xié)議和數(shù)字證書的強身份認(rèn)證和安全傳輸通道。

2）提供了先進的基于URL的訪問控制。

3）提供了SSL硬件加速的處理和后端應(yīng)用服務(wù)的負(fù)載平衡。

4）提供了基于加固的系統(tǒng)平臺和IDS技術(shù)的安全功能。10.4SSLVPN簡介2．SSLVPN系統(tǒng)協(xié)議

由SSL、HTTPS、SOCKS這3個協(xié)議相互協(xié)作共同實現(xiàn)。3．SSLVPN的特點

1）安裝簡單、易于操作，無需安裝客戶端軟件。

2）具有認(rèn)證加密、訪問控制、安全信息備份、負(fù)載平衡等功能。

3）使用標(biāo)準(zhǔn)的HTTPS協(xié)議傳輸數(shù)據(jù)，可以穿越防火墻，不存在地址轉(zhuǎn)換的問題，而且不改變用戶網(wǎng)絡(luò)結(jié)構(gòu)，適合復(fù)雜應(yīng)用環(huán)境。

10.4.2SSLVPN的功能與特點1．SSLVP10.4.3SSLVPN的工作原理SSLVPN的工作原理可用以下幾個步驟來描述：

1）SSLVPN生成自己的根證書和服務(wù)器操作證書。

2）客戶端瀏覽器下載并導(dǎo)入SSLVPN的根證書。

3）通過管理界面對后端網(wǎng)站服務(wù)器設(shè)置訪問控制。

4）客戶端通過瀏覽器使用HTTPS協(xié)議訪問網(wǎng)站時，SSLVPN接受請求，客戶端實現(xiàn)對SSLVPN服務(wù)器的認(rèn)證。

5）服務(wù)器端通過口令方式認(rèn)證客戶端。

6）客戶端瀏覽器和SSLVPN服務(wù)器端之間所有通信建立了SSL安全通道。10.4SSLVPN簡介10.4.3SSLVPN的工作原理SSLVPN的工10.4.4SSLVPN的應(yīng)用模式及特點

SSLVPN的解決方案包括三種模式：◆Web瀏覽器模式◆SSLVPN客戶端模式◆LAN到LAN模式

WEB瀏覽器模式是SSLVPN的最大優(yōu)勢，它充分利用了當(dāng)前Web瀏覽器的內(nèi)置功能，來保護遠(yuǎn)程接入的安全，配置和使用都非常方便。SSLVPN已逐漸成為遠(yuǎn)程接入的主要手段之一。10.4SSLVPN簡介10.4.4SSLVPN的應(yīng)用模式及特點SS10.4.4SSLVPN的應(yīng)用模式及特點10.4SSLVPN簡介1．Web瀏覽器模式的解決方案由于Web瀏覽器的廣泛部署，而且Web瀏覽器內(nèi)置了SSL協(xié)議，使得SSLVPN在這種模式下只要在SSLVPN服務(wù)器上集中配置安全策略，幾乎不用為客戶端做什么配置就可使用，大大減少了管理的工作量，方便用戶的使用。缺點是僅能保護Web通信傳輸安全。遠(yuǎn)程計算機使用Web瀏覽器通過SSLVPN服務(wù)器來訪問企業(yè)內(nèi)部網(wǎng)中的資源。

這種模式目前已廣泛使用于校園網(wǎng)、電子政務(wù)網(wǎng)中!10.4.4SSLVPN的應(yīng)用模式及特點10.410.4.4SSLVPN的應(yīng)用模式及特點10.4SSLVPN簡介2．SSLVPN客戶端模式的解決方案SSLVPN客戶端模式為遠(yuǎn)程訪問提供安全保護，用戶需要在客戶端安裝一個客戶端軟件，并做一些簡單的配置即可使用，不需對系統(tǒng)做改動。這種模式的優(yōu)點是支持所有建立在TCP/IP和UDP/IP上的應(yīng)用通信傳輸?shù)陌踩?，Web瀏覽器也可以在這種模式下正常工作。這種模式的缺點是客戶端需要額外的開銷。

10.4.4SSLVPN的應(yīng)用模式及特點10.410.4.4SSLVPN的應(yīng)用模式及特點10.4SSLVPN簡介3．LAN到LAN模式的解決方案LAN到LAN模式對LAN（局域網(wǎng)）與LAN（局域網(wǎng)）間的通信傳輸進行安全保護。與基于IPSec協(xié)議的LAN到LAN的VPN相比，它的優(yōu)點就是擁有更多的訪問控制的方式,缺點是僅能保護應(yīng)用數(shù)據(jù)的安全，并且性能較低。

10.4.4SSLVPN的應(yīng)用模式及特點10.410.5.1能士NesecSVPN的解決方案10.5應(yīng)用案例某系統(tǒng)網(wǎng)絡(luò)已建設(shè)完成，但因國家-省-市地-區(qū)縣四級網(wǎng)絡(luò)采用了不同的公網(wǎng)傳輸平臺，又因區(qū)縣地域管轄原因，該行業(yè)網(wǎng)絡(luò)的部分區(qū)縣LAN融合于當(dāng)?shù)氐碾娮诱?wù)網(wǎng)中，也有部分區(qū)縣與當(dāng)?shù)仄渌块T網(wǎng)絡(luò)合作建設(shè)。存在問題：①各縣局雖然能訪問上級市局網(wǎng)絡(luò)，卻不能訪問省局、國家局及其他省市局的網(wǎng)絡(luò)資源；②各縣局訪問所在市的服務(wù)器因為借助于市政專網(wǎng)，通過路由器訪問，其間并沒有采取任何安全措施，因此安全性無法得到保障。這樣的網(wǎng)絡(luò)現(xiàn)狀，不能實現(xiàn)互通，也就無法實現(xiàn)訪問及其他應(yīng)用。實際應(yīng)用中，通過能士VPN特有的虛擬地址管理功能有效解決了所有問題。

10.5.1能士NesecSVPN的解決方案10.5虛擬專用網(wǎng)絡(luò)技術(shù)能士RVPN特色功能10.5應(yīng)用案例1）網(wǎng)絡(luò)互聯(lián)。支持星型網(wǎng)絡(luò)通過Internet進行互聯(lián)，網(wǎng)絡(luò)由RVPN-H和RVPN-B(P)共同組成。2）遠(yuǎn)程接入。移動用戶通過Internet接入總部網(wǎng)絡(luò)?？煞峙涮摂MIP。3）基于用戶名密碼的身份認(rèn)證,RVPN內(nèi)置RADIUS服務(wù)支持基于用戶名密碼的身份認(rèn)證，目前僅支持靜態(tài)密碼。該功能又名用戶管理。4）基于硬件綁定的身份證書認(rèn)證,提供基于PC硬件序號的身份認(rèn)證過程。使得只有指定計算機才能接入網(wǎng)絡(luò)。該功能又名硬件ID鑒權(quán)。5）加密。尋址加密使用DES,數(shù)據(jù)傳輸使用DES或AES。6）穿透NAT,支持分支或移動穿透任何NAT設(shè)備。非直連Internet,支持總部安裝在NAT設(shè)備以內(nèi)。7）路由功能和動態(tài)尋址8）包過濾防火墻功能,支持基于封包過濾的防火墻功能。9）NAT功能,支持正向動態(tài)NAT，反向端口映射。10）Internet訪問控制,基于用戶的Internet訪問控制，限制非法用戶訪問非授權(quán)服務(wù)。防止攻擊類型：SYN和ICMP方式的DOS攻擊、碎片攻擊等。能士RVPN特色功能10.5應(yīng)用案例1）網(wǎng)絡(luò)10.5.2Microsoft的解決方案10.5應(yīng)用案例

Microsoft的核心VPN技術(shù)是建立在PPTP的基礎(chǔ)之上的，Windows2000/XP軟件中已提供PPTP，可以用來在基于Windows環(huán)境下的TCP／IP網(wǎng)絡(luò)中利用RAS和PPP來實現(xiàn)VPN。

在Windows環(huán)境下，有兩種建立VPN的途徑：

1）一般情況下，可以通過撥號網(wǎng)絡(luò)連接到ISP，再通過Internet連接到一個連接Internet和遠(yuǎn)程網(wǎng)絡(luò)的PPTP服務(wù)器(裝有PPTP，協(xié)議的RAS服務(wù)器)。

2）一些ISP提供一種隧道連接服務(wù)，可以使用撥號網(wǎng)絡(luò)直接連接到ISP的PPTP隧道服務(wù)器，然后使用PPTP隧道服務(wù)器建立與其他公共、企業(yè)局域網(wǎng)的隧道連接。

Microsoft解決方案的優(yōu)點是實現(xiàn)比較方便，成本較低。

10.5.2Microsoft的解決方案10.5應(yīng)虛擬專用網(wǎng)（VirtualPrivateNetwork，VPN）被定義為通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)不是真的專用網(wǎng)絡(luò)，但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。隧道是一種利用公網(wǎng)設(shè)施，在一個網(wǎng)絡(luò)之中的“網(wǎng)絡(luò)”上傳輸數(shù)據(jù)的方法，被傳輸?shù)臄?shù)據(jù)可以是另一種協(xié)議的數(shù)據(jù)幀。VPN中的隧道是由隧道協(xié)議形成的，VPN使用的隧道協(xié)議主要有三種：點到點隧道協(xié)議（PPTP）、第二層隧道協(xié)議（L2TP）以及IPSec。根據(jù)不同的需求，本章給出了多種VPN類型的劃分法。IPSecVPN的組成。它與SSLVPN的區(qū)別。本章小結(jié)

虛擬專用網(wǎng)（VirtualPrivateNetw虛擬專用網(wǎng)絡(luò)技術(shù)第10章虛擬專用網(wǎng)絡(luò)技術(shù)第10章基本內(nèi)容互聯(lián)網(wǎng)的普及使得遠(yuǎn)程網(wǎng)絡(luò)互聯(lián)的應(yīng)用大為增加，特別是跨地區(qū)企業(yè)的內(nèi)部網(wǎng)絡(luò)應(yīng)用、政府部門的縱向分級網(wǎng)絡(luò)管理等。網(wǎng)絡(luò)安全風(fēng)險又使得這種應(yīng)用存在嚴(yán)重的隱患。虛擬專用網(wǎng)絡(luò)技術(shù)為這種應(yīng)用保駕護航。基本內(nèi)容互聯(lián)網(wǎng)的普及使得遠(yuǎn)程網(wǎng)絡(luò)互聯(lián)的應(yīng)用大為增加，特別是跨10.1VPN技術(shù)概述虛擬專用網(wǎng)（VirtualPrivateNetwork，VPN）被定義為通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。

10.1.1VPN的概念VPN依靠ISP（Internet服務(wù)提供商）和其他NSP（網(wǎng)絡(luò)服務(wù)提供商），在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在虛擬專用網(wǎng)中，任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動態(tài)組成的。

VPN是對企業(yè)內(nèi)部網(wǎng)的擴展。一般以IP為主要通訊協(xié)議。

10.1VPN技術(shù)概述虛擬專用網(wǎng)（Virtua10.1VPN技術(shù)概述

VPN是在公網(wǎng)中形成的企業(yè)專用鏈路。采用“隧道”技術(shù)，可以模仿點對點連接技術(shù)，依靠Internet服務(wù)提供商(ISP)和其他的網(wǎng)絡(luò)服務(wù)提供商(NSP)在公用網(wǎng)中建立自己專用的“隧道”，讓數(shù)據(jù)包通過這條隧道傳輸。對于不同的信息來源，可分別給它們開出不同的隧道。

10.1.1VPN的概念(續(xù))10.1VPN技術(shù)概述VPN是在公網(wǎng)中形成的企10.1VPN技術(shù)概述

隧道是一種利用公網(wǎng)設(shè)施，在一個網(wǎng)絡(luò)之中的“網(wǎng)絡(luò)”上傳輸數(shù)據(jù)的方法。隧道協(xié)議利用附加的報頭封裝幀，附加的報頭提供了路由信息，因此封裝后的包能夠通過中間的公網(wǎng)。封裝后的包所途經(jīng)的公網(wǎng)的邏輯路徑稱為隧道。一旦封裝的幀到達了公網(wǎng)上的目的地，幀就會被解除封裝并被繼續(xù)送到最終目的地。

10.1.1VPN的概念(續(xù))①隧道開通器(TI)；②有路由能力的公用網(wǎng)絡(luò)；③一個或多個隧道終止器(TT)；④必要時增加一個隧道交換機以增加靈活性。隧道基本要素10.1VPN技術(shù)概述隧道是一種利用公網(wǎng)設(shè)施，10.1VPN技術(shù)概述10.1.2VPN的基本功能VPN的主要目的是保護傳輸數(shù)據(jù)，是保護從信道的一個端點到另一端點傳輸?shù)男畔⒘鳌Ｐ诺赖亩它c之前和之后，VPN不提供任何的數(shù)據(jù)包保護。VPN的基本功能至少應(yīng)包括：1）加密數(shù)據(jù)2）信息驗證和身份識別3）提供訪問控制4）地址管理5）密鑰管理6）多協(xié)議支持10.1VPN技術(shù)概述10.1.2VPN的基本功能10.1VPN技術(shù)概述10.1.3VPN的特性安全性隧道、加密、密鑰管理、數(shù)據(jù)包認(rèn)證、用戶認(rèn)證、訪問控制可靠性硬件、軟件、基礎(chǔ)網(wǎng)絡(luò)的可靠性可管理性記帳、審核、日志的管理是否支持集中的安全控制策略可擴展性成本的可擴展性，如使用令牌卡成本高性能，是否考慮采用硬件加速加解密速度10.1VPN技術(shù)概述10.1.3VPN的特性安全性10.1VPN技術(shù)概述10.1.3VPN的特性(續(xù))可用性系統(tǒng)對應(yīng)用盡量透明對終端用戶來說使用方便互操作性盡量采用標(biāo)準(zhǔn)協(xié)議，與其他供應(yīng)商的設(shè)備能互通服務(wù)質(zhì)量QoS通過Internet連接的VPN服務(wù)質(zhì)量很大程度取決于Internet的狀況多協(xié)議支持10.1VPN技術(shù)概述10.1.3VPN的特性(續(xù))10.2VPN協(xié)議VPN主要采用以下四項技術(shù)來保證安全：◆隧道技術(shù)◆加解密技術(shù)

◆密鑰管理技術(shù)◆使用者與設(shè)備身份認(rèn)證技術(shù)10.2.1VPN安全技術(shù)

加解密技術(shù)、密鑰管理技術(shù)、使用者與設(shè)備身份認(rèn)證技術(shù)在第五章已作介紹，VPN只是對這幾種技術(shù)的應(yīng)用。下面重點介紹隧道技術(shù)10.2VPN協(xié)議VPN主要采用以下四項技術(shù)來10.2VPN協(xié)議10.2.2VPN的隧道協(xié)議

VPN中的隧道是由隧道協(xié)議形成的，VPN使用的隧道協(xié)議主要有三種：點到點隧道協(xié)議（PPTP）、第二層隧道協(xié)議（L2TP）以及IPSec。PPTP和L2TP集成在windows中，所以最常用。PPTP協(xié)議允許對IP、IPX或NetBEUI數(shù)據(jù)流進行加密，然后封裝在IP包頭中通過企業(yè)IP網(wǎng)絡(luò)或公共因特網(wǎng)絡(luò)發(fā)送。L2TP協(xié)議允許對IP，IPX或NetBEUI數(shù)據(jù)流進行加密，然后通過支持點對點數(shù)據(jù)報傳遞的任意網(wǎng)絡(luò)發(fā)送，如IP，X.25，幀中繼或ATM。IPSec隧道模式允許對IP負(fù)載數(shù)據(jù)進行加密，然后封裝在IP包頭中通過企業(yè)IP網(wǎng)絡(luò)或公共IP因特網(wǎng)絡(luò)如Internet發(fā)送。10.2VPN協(xié)議10.2.2VPN的隧道協(xié)議10.2VPN協(xié)議10.2.2VPN的隧道協(xié)議NSRC、NDST是隧道端點設(shè)備的IP地址公網(wǎng)上路由時僅僅考慮NSRC、NDST原始數(shù)據(jù)包的DST、SRC對公網(wǎng)透明DSTSRCDATANDSTNSRCDSTSRCDATA10.2VPN協(xié)議10.2.2VPN的隧道協(xié)議N10.2VPN協(xié)議10.2.2VPN的隧道協(xié)議Point-to-PointTunnelProtocol,2層協(xié)議，需要把網(wǎng)絡(luò)協(xié)議包封裝到PPP包，PPP數(shù)據(jù)依靠PPTP協(xié)議傳輸PPTP通信時，客戶機和服務(wù)器間有2個通道，一個通道是tcp1723端口的控制連接，另一個通道是傳輸GREPPP數(shù)據(jù)包的IP隧道PPTP沒有加密、認(rèn)證等安全措施，安全的加強通過PPP協(xié)議的MPPE(MicrosoftPoint-to-PointEncryption)實現(xiàn)windows中集成了PPTPServer和Client，適合中小企業(yè)支持少量移動工作者如果有防火墻的存在或使用了地址轉(zhuǎn)換，PPTP可能無法工作1．點到點隧道協(xié)議（PPTP）10.2VPN協(xié)議10.2.2VPN的隧道協(xié)議P10.2VPN協(xié)議10.2.2VPN的隧道協(xié)議把網(wǎng)絡(luò)數(shù)據(jù)包封裝在PPP協(xié)議中，PPP協(xié)議的數(shù)據(jù)包放到隧道中傳輸L2TPRFC2661定義在Cisco公司的L2F和PPTP的基礎(chǔ)上開發(fā)windows中集成2．第二層隧道協(xié)議（L2TP）10.2VPN協(xié)議10.2.2VPN的隧道協(xié)議把10.2VPN協(xié)議10.2.2VPN的隧道協(xié)議3．IPSec協(xié)議3層協(xié)議，直接傳輸網(wǎng)絡(luò)協(xié)議數(shù)據(jù)包基于TCP/IP的標(biāo)準(zhǔn)協(xié)議，集成到IPv6中，僅僅傳輸IP協(xié)議數(shù)據(jù)包提供了強大的安全、加密、認(rèn)證和密鑰管理功能適合大規(guī)模VPN使用，需要認(rèn)證中心（CA）來進行身份認(rèn)證和分發(fā)用戶的公共密鑰

IPSec數(shù)據(jù)包的格式

10.2VPN協(xié)議10.2.2VPN的隧道協(xié)議310.2VPN協(xié)議10.2.2VPN的隧道協(xié)議3．IPSec協(xié)議(續(xù))

IPSec的工作模式傳輸模式：只對IP數(shù)據(jù)包的有效負(fù)載進行加密或認(rèn)證。此時，繼續(xù)使用以前的IP頭部，只對IP頭部的部分域進行修改，而IPSec協(xié)議頭部插入到IP頭部和傳輸層頭部之間。隧道模式：對整個IP數(shù)據(jù)包進行加密或認(rèn)證。此時，需要新產(chǎn)生一個IP頭部，IPSec頭部被放在新產(chǎn)生的IP頭部和以前的IP數(shù)據(jù)包之間，從而組成一個新的IP頭部。10.2VPN協(xié)議10.2.2VPN的隧道協(xié)議310.2VPN協(xié)議10.2.2VPN的隧道協(xié)議3．IPSec協(xié)議(續(xù))

IPSec的三個主要協(xié)議SA(SecurltyAssociation安全關(guān)聯(lián))。所謂安全關(guān)聯(lián)是指安全服務(wù)與它服務(wù)的載體之間的一個“連接”。AH和ESP都需要使用SA，而IKE的主要功能就是SA的建立和維護。只要實現(xiàn)AH和ESP都必須提供對SA的支持。

1）ESP（EncapsulatingSecurityPayload）。ESP協(xié)議主要用來處理對IP數(shù)據(jù)包的加密。ESP是與具體的加密算法相獨立的，幾乎支持各種對稱密鑰加密算法，默認(rèn)為3DES和DES。

2）AH(AuthenticationHeader)。AH只涉及到認(rèn)證，不涉及到加密。3）IKE(InternetKeyExchange)。IKE協(xié)議主要是對密鑰交換進行管理，它主要包括三個功能：①對使用的協(xié)議、加密算法和密鑰進行協(xié)商；②方便的密鑰交換機制(這可能需要周期性的進行)；③跟蹤對以上這些約定的實施。10.2VPN協(xié)議10.2.2VPN的隧道協(xié)議310.2VPN協(xié)議10.2.3IPSecVPN系統(tǒng)的組成

IPSecVPN的實現(xiàn)包含管理模塊、密鑰分配和生成模塊、身份認(rèn)證模塊、數(shù)據(jù)加密/解密模塊、數(shù)據(jù)分組封裝/分解模塊和加密函數(shù)庫幾部分組成。10.2VPN協(xié)議10.2.3IPSecVPN系統(tǒng)10.3VPN的類型

VPN的分類方法比較多，實際使用中，需要通過客戶端與服務(wù)器端的交互實現(xiàn)認(rèn)證與隧道建立?；诙?、三層的VPN，都需要安裝專門的客戶端系統(tǒng)（硬件或軟件），完成VPN相關(guān)的工作。一個VPN解決方案不僅僅是一個經(jīng)過加密的隧道，它包含訪問控制、認(rèn)證、加密、隧道傳輸、路由選擇、過濾、高可用性、服務(wù)質(zhì)量以及管理VPN系統(tǒng)大體分為4類專用的VPN硬件支持VPN的硬件或軟件防火墻VPN軟件VPN服務(wù)提供商10.3VPN的類型VPN的分類方法比較多，實10.3VPN的類型10.3.1按VPN的應(yīng)用方式分類

VPN從應(yīng)用的方式上分，有兩種基本類型：撥號式VPN與專用式VPN。

撥號VPN分為兩種：在用戶PC機上或在服務(wù)提供商的網(wǎng)絡(luò)訪問服務(wù)器(NAS)上。

專用VPN有多種形式。IPVPN的發(fā)展促使骨干網(wǎng)建立VPN解決方案，形成了基于MPLS的IPVPN技術(shù)。MPLSVPN的優(yōu)點是全網(wǎng)統(tǒng)一管理的能力很強，由于MPLSVPN是基于網(wǎng)絡(luò)的，全部的VPN網(wǎng)絡(luò)配置和VPN策略配置都在網(wǎng)絡(luò)端完成，可以大大降低管理維護的開銷。10.3VPN的類型10.3.1按VPN的應(yīng)用方式10.3VPN的類型10.3.2按VPN的應(yīng)用平臺分類

VPN的應(yīng)用平臺分為三類：軟件平臺、專用硬件平臺及輔助硬件平臺。

(1)軟件平臺VPN

當(dāng)對數(shù)據(jù)連接速率要求不高，對性能和安全性需求不強時，可以利用一些軟件公司所提供的完全基于軟件的VPN產(chǎn)品來實現(xiàn)簡單的VPN功能。

(2)專用硬件平臺VPN

使用專用硬件平臺的VPN設(shè)備可以滿足企業(yè)和個人用戶對提高數(shù)據(jù)安全及通信性能的需求，尤其是從通信性能的角度來看，指定的硬件平臺可以完成數(shù)據(jù)加密及數(shù)據(jù)亂碼等對CPU處理能力需求很高的功能。提供這些平臺的硬件廠商比較多，如川大能士、Nortel、Cisco、3Com等。

(3)輔助硬件平臺VPN

這類VPN介于軟件平臺和指定硬件平臺之間，輔助硬件平臺的VPN主要是指以現(xiàn)有網(wǎng)絡(luò)設(shè)備為基礎(chǔ)，再增添適當(dāng)?shù)腣PN軟件以實現(xiàn)VPN的功能。10.3VPN的類型10.3.2按VPN的應(yīng)用平臺10.3VPN的類型10.3.3按VPN的協(xié)議分類

按VPN協(xié)議方面來分類主要是指構(gòu)建VPN的隧道協(xié)議。VPN的隧道協(xié)議可分為第二層隧道協(xié)議、第三層隧道協(xié)議。第二層隧道協(xié)議最為典型的有PPTP、L2F、L2TP等，第三層隧道協(xié)議有GRE、IPSec等。

第二層隧道和第三層隧道的本質(zhì)區(qū)別在于，在隧道里傳輸?shù)挠脩魯?shù)據(jù)包是被封裝在哪一層的數(shù)據(jù)包中。第二層隧道協(xié)議和第三層隧道協(xié)議一般來說分別使用，但合理的運用兩層協(xié)議，將具有更好的安全性。

10.3VPN的類型10.3.3按VPN的協(xié)議分類10.3VPN的類型10.3.4按VPN的服務(wù)類型分類

根據(jù)服務(wù)類型，VPN業(yè)務(wù)按用戶需求定義以下三種：InternetVPN、AccessVPN與ExtranetVPN。1）InternetVPN（內(nèi)部網(wǎng)VPN）。即企業(yè)的總部與分支機構(gòu)間通過公網(wǎng)構(gòu)筑的虛擬網(wǎng)。這種類型的連接帶來的風(fēng)險最小，因為公司通常認(rèn)為他們的分支機構(gòu)是可信的，并將它作為公司網(wǎng)絡(luò)的擴展。內(nèi)部網(wǎng)VPN的安全性取決于兩個VPN服務(wù)器之間加密和驗證手段上。10.3VPN的類型10.3.4按VPN的服務(wù)類型10.3VPN的類型10.3.4按VPN的服務(wù)類型分類

2）AccessVPN（遠(yuǎn)程訪問VPN）

又稱為撥號VPN(即VPDN)，是指企業(yè)員工或企業(yè)的小分支機構(gòu)通過公網(wǎng)遠(yuǎn)程撥號的方式構(gòu)筑的虛擬網(wǎng)。典型的遠(yuǎn)程訪問VPN是用戶通過本地的信息服務(wù)提供商(ISP)登錄到因特網(wǎng)上，并在現(xiàn)在的辦公室和公司內(nèi)部網(wǎng)之間建立一條加密信道。10.3VPN的類型10.3.4按VPN的服務(wù)類型10.3VPN的類型10.3.4按VPN的服務(wù)類型分類

3）ExtranetVPN（外聯(lián)網(wǎng)VPN）

即企業(yè)間發(fā)生收購、兼并或企業(yè)間建立戰(zhàn)略聯(lián)盟后，使不同企業(yè)網(wǎng)通過公網(wǎng)來構(gòu)筑的虛擬網(wǎng)。它能保證包括TCP和UDP服務(wù)在內(nèi)的各種應(yīng)用服務(wù)的安全，如Email、HTTP、FTP、RealAudio、數(shù)據(jù)庫的安全以及一些應(yīng)用程序如Java、ActiveX的安全。10.3VPN的類型10.3.4按VPN的服務(wù)類型10.3VPN的類型10.3.5按VPN的部署模式分類

VPN可以通過部署模式來區(qū)分，部署模式從本質(zhì)上描述了VPN的通道是如何建立和終止的，一般有三種VPN部署模式。

(1)端到端(End-to-End)模式

是典型的由自建VPN的客戶所采用的模式，最常見的隧道協(xié)議是IPSec和PPTP。

(2)供應(yīng)商——企業(yè)(Provider-Enterprise)模式

隧道通常在VPN服務(wù)器或路由器中創(chuàng)建，在客戶前端關(guān)閉。在該模式中，客戶不需要購買專門的隧道軟件，由服務(wù)商的設(shè)備來建立通道并驗證。最常見的隧道協(xié)議有L2TP、L2F和PPTP。

(3)內(nèi)部供應(yīng)商(Intra-Provider)模式

服務(wù)商保持了對整個VPN設(shè)施的控制。在該模式中，通道的建立和終止都是在服務(wù)商的網(wǎng)絡(luò)設(shè)施中實現(xiàn)的?？蛻舨恍枰鋈魏螌崿F(xiàn)VPN的工作。10.3VPN的類型10.3.5按VPN的部署模式10.4SSLVPN簡介

SSLVPN使用SSL和代理技術(shù)，向終端用戶提供對超文本傳送協(xié)議（HTTP）、客戶/服務(wù)器和文件共享等應(yīng)用授權(quán)安全訪問的一種遠(yuǎn)程訪問技術(shù)，因此不需要安裝專門客戶端軟件。SSL協(xié)議是在網(wǎng)絡(luò)傳輸層上提供的基于RSA加密算法和保密密鑰的用于瀏覽器與Web服務(wù)器之間的安全連接技術(shù)。

SSLVPN部署和管理費用低，在安全性和為用戶提供更多便利性方面，明顯優(yōu)于傳統(tǒng)IPSecVPN。SSLVPN是建立用戶和服務(wù)器之間的一條專用通道，在這條通道中傳輸?shù)臄?shù)據(jù)是不公開的數(shù)據(jù)，因此必須要在安全的前提下進行遠(yuǎn)程連接。

SSLVPN其安全性包含三層含義：一是客戶端接入的安全性；二是數(shù)據(jù)傳輸?shù)陌踩裕蝗莾?nèi)部資源訪問的安全性。SSLVPN支持Web應(yīng)用的遠(yuǎn)程連接，包括基于TCP協(xié)議的B/S和C/S應(yīng)用，UDP應(yīng)用。SSLVPN的關(guān)鍵技術(shù)有代理和轉(zhuǎn)發(fā)技術(shù)、訪問控制、身份驗證、審計日志。10.4SSLVPN簡介SSLVPN使用S10.4.1SSLVPN的安全技術(shù)1．信息傳輸安全

1）通過瀏覽器對任何Internet可以連接的地方到遠(yuǎn)程應(yīng)用或數(shù)據(jù)間的所有通信進行即時的SSL加密。

2）安全客戶端檢測，有效保護您的網(wǎng)絡(luò)免受特洛伊、病毒、蠕蟲或黑客的攻擊。含防火墻、反病毒防護、Windows升級、Windows服務(wù)、文件數(shù)字簽名、管理員選擇注冊表、IP地址等多方面的檢測功能。2．用戶認(rèn)證與授權(quán)

1）認(rèn)證。誰被允許登錄系統(tǒng)，在遠(yuǎn)程用戶被允許登錄前進行身份確認(rèn)。包括標(biāo)準(zhǔn)的用戶名＋密碼方式、智能卡、RSA，還可使用CA證書。

2）授權(quán)。按角色劃分的權(quán)限訪問應(yīng)用程序、數(shù)據(jù)和其他一些資源，在服務(wù)器端通過劃分組、角色和應(yīng)用程序進行集中管理。

3）審計。隨時了解用戶做了什么訪問。對每位用戶的活動進行追蹤、監(jiān)視并記錄日志。10.4SSLVPN簡介10.4.1SSLVPN的安全技術(shù)1．信息傳輸安全110.4.2SSLVPN的功能與特點1．SSLVPN的基本功能

SSLVPN是一款專門針對B/S和C/S應(yīng)用的SSLVPN產(chǎn)品，具有以下完善實用的功能：

1）提供了基于SSL協(xié)議和數(shù)字證書的強身份認(rèn)證和安全傳輸通道。

2）提供了先進的基于URL的訪問控制。

3）提供了SSL硬件加速的處理和后端應(yīng)用服務(wù)的負(fù)載平衡。

4）提供了基于加固的系統(tǒng)平臺和IDS技術(shù)的安全功能。10.4SSLVPN簡介2．SSLVPN系統(tǒng)協(xié)議

由SSL、HTTPS、SOCKS這3個協(xié)議相互協(xié)作共同實現(xiàn)。3．SSLVPN的特點

1）安裝簡單、易于操作，無需安裝客戶端軟件。

2）具有認(rèn)證加密、訪問控制、安全信息備份、負(fù)載平衡等功能。

3）使用標(biāo)準(zhǔn)的HTTPS協(xié)議傳輸數(shù)據(jù)，可以穿越防火墻，不存在地址轉(zhuǎn)換的問題，而且不改變用戶網(wǎng)絡(luò)結(jié)構(gòu)，適合復(fù)雜應(yīng)用環(huán)境。

10.4.2SSLVPN的功能與特點1．SSLVP10.4.3SSLVPN的工作原理SSLVPN的工作原理可用以下幾個步驟來描述：

1）SSLVPN生成自己的根證書和服務(wù)器操作證書。

2）客戶端瀏覽器下載并導(dǎo)入SSLVPN的根證書。

3）通過管理界面對后端網(wǎng)站服務(wù)器設(shè)置訪問控制。

4）客戶端通過瀏覽器使用HTTPS協(xié)議訪問網(wǎng)站時，SSLVPN接受請求，客戶端實現(xiàn)對SSLVPN服務(wù)器的認(rèn)證。

5）服務(wù)器端通過口令方式認(rèn)證客戶端。

6）客戶端瀏覽器和SSLVPN服務(wù)器端之間所有通信建立了SSL安全通道。10.4SSLVPN簡介10.4.3SSLVPN的工作原理SSLVPN的工10.4.4SSLVPN的應(yīng)用模式及特點

SSLVPN的解決方案包括三種模式：◆Web瀏覽器模式◆SSLVPN客戶端模式◆LAN到LAN模式

WEB瀏覽器模式是SSLVPN的最大優(yōu)勢，它充分利用了當(dāng)前Web瀏覽器的內(nèi)置功能，來保護遠(yuǎn)程接入的安全，配置和使用都非常方便。SSLVPN已逐漸成為遠(yuǎn)程接入的主要手段之一。10.4SSLVPN簡介10.4.4SSLVPN的應(yīng)用模式及特點SS10.4.4SSLVPN的應(yīng)用模式及特點10.4SSLVPN簡介1．Web瀏覽器模式的解決方案由于Web瀏覽器的廣泛部署，而且Web瀏覽器內(nèi)置了SSL協(xié)議，使得SSLVPN在這種模式下只要在SSLVPN服務(wù)器上集中配置安全策略，幾乎不用為客戶端做什么配置就可使用，大大減少了管理的工作量，方便用戶的使用。缺點是僅能保護Web通信傳輸安全。遠(yuǎn)程計算機使用Web瀏覽器通過SSLVPN服務(wù)器來訪問企業(yè)內(nèi)部網(wǎng)中的資源。

這種模式目前已廣泛使用于校園網(wǎng)、電子政務(wù)網(wǎng)中!10.4.4SSLVPN的應(yīng)用模式及特點10.4