VPN技術(shù)的學(xué)習(xí)總結(jié)

VPN技術(shù)的學(xué)習(xí)總結(jié)VPN技術(shù)是目前安全通信中VPN技術(shù)做深入一些的學(xué)習(xí)和整理。網(wǎng)絡(luò)安全的根本概念資源的安全性。而其安全性包括計算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)受到統(tǒng)能連續(xù)正常運行，網(wǎng)絡(luò)效勞不中斷。規(guī)律炸彈，后門和隱蔽通道等。在網(wǎng)絡(luò)信息傳輸?shù)倪^程中，信息的安全特性包括：機(jī)密性，完整性，可用性，不行否認(rèn)性，可控性，可審查性，可恢復(fù)性。只有在滿足特性，網(wǎng)絡(luò)安全效勞需要做到的有：認(rèn)證效勞，訪問掌握效勞，數(shù)據(jù)機(jī)密性效勞，數(shù)據(jù)完整性效勞，不行否認(rèn)效勞。在認(rèn)證效勞中，需要供給某個實體〔人或系統(tǒng)〕的身份保證，確假冒攻擊的有效方法；〔如計算資源、通信資源或信息資源能訪問授權(quán)的資源。訪問掌握直接支持機(jī)密性、完整性、可用性以及,可供給機(jī)密性和戶賜予其工作范圍之外的任何權(quán)力。這一信息的實體〔人或組織，確保授權(quán)實體才能理解受保護(hù)的信息，防止傳輸?shù)臄?shù)據(jù)遭到竊聽、流量分析等被動攻擊。機(jī)密性效勞是通過加密機(jī)制來實現(xiàn)的，目前已有多種加密算法來保護(hù)數(shù)據(jù)的安全，統(tǒng)之間的通信進(jìn)展保護(hù)，可在網(wǎng)絡(luò)層加密。有時也可依據(jù)多個需求，在多個層次上供給加密。AH協(xié)議，ESP協(xié)議，MAC算法等來保證。書和時間戳可以保證信息發(fā)送方對發(fā)出的消息不能抵賴。虛擬專用網(wǎng)VPN技術(shù)VPN〔VirtualPrivateNetwork〕技術(shù)是在公共傳輸網(wǎng)不少本錢。VPN可實現(xiàn)數(shù)據(jù)公網(wǎng)傳輸?shù)臋C(jī)密性、完整性，對通信雙VPN可工作在很多IPIPSECVPN，GRESSLVPN等。VPN系統(tǒng)的組成VPN系統(tǒng)由以下七個局部組成，VPNVPN客戶機(jī)的連接懇求。VPN客戶機(jī)：終端計算機(jī)或者路由器。隧道：數(shù)據(jù)傳輸通道，其中傳輸?shù)臄?shù)據(jù)必需經(jīng)過封裝。隧道協(xié)議：封裝數(shù)據(jù)、治理VPNVPN傳輸數(shù)據(jù)：經(jīng)過封裝、加密后在隧道上傳輸?shù)臄?shù)據(jù)。公共網(wǎng)絡(luò)：如InternetVPN系統(tǒng)的組成。圖一VPN系統(tǒng)的組成VPN系統(tǒng)通信流程與功能VPNVPN設(shè)備依據(jù)治理員設(shè)置的規(guī)章,確定是對數(shù)據(jù)加密還是直接傳送。假設(shè)是需要加密的數(shù)據(jù),VPN設(shè)備將其整個數(shù)據(jù)包進(jìn)展加密和簽名,加上的數(shù)據(jù)報頭(包括目的地VPN設(shè)備需要的安全信息和初始化參數(shù))重封裝;封裝后的數(shù)據(jù)包通過隧道在公網(wǎng)上傳輸;然后數(shù)據(jù)包到達(dá)目的VPN設(shè)備,VPN設(shè)備將數(shù)據(jù)包解封,核對簽名后,將數(shù)據(jù)包解密。有不同的訪問權(quán)限；地址治理：為每個客戶安排一個地址，并保證地VPN的客戶和VPN必需能夠處理公共網(wǎng)IP、IPX等等；VPN系統(tǒng)的分類IntranetVPN：用于集團(tuán)的總部和多個分支機(jī)構(gòu)之間；分支機(jī)構(gòu)網(wǎng)絡(luò)是集團(tuán)總部網(wǎng)絡(luò)的牢靠延長；ExtranetVPN：為集團(tuán)的供貨商、重要客戶和消費者等商業(yè)伙伴ExtranetVPN的一種特別形式；AccessVPN：為移動用戶遠(yuǎn)程訪問集團(tuán)總部網(wǎng)絡(luò)供給效勞；關(guān)鍵技術(shù)隧道技術(shù)：VPN的核心技術(shù)，它在公用網(wǎng)建立一條數(shù)據(jù)通道(隧23層隧道協(xié)議。密碼技術(shù)〔由下面三項技術(shù)組成〕加解密技術(shù)：將認(rèn)證信息、通信數(shù)據(jù)等轉(zhuǎn)換為密文的相關(guān)技術(shù)，其牢靠性主要取決于加解密的算法及強度。密鑰治理技術(shù)：如何在公用網(wǎng)上安全地傳遞密鑰而不被竊取。以便系統(tǒng)進(jìn)一步實施資源訪問掌握或用戶授權(quán)。身份認(rèn)證方法〔dnl：是一種簡潔的明文用戶名/口令認(rèn)證方式?！瞖enl詢問握手身份驗證協(xié)議PPP(MODEMADSL撥號)中普遍使用的認(rèn)證協(xié)議。戶密碼和數(shù)據(jù)。RADIUS〔RemoteAuthenticationDialInUserService，遠(yuǎn)程用戶撥號認(rèn)證系統(tǒng)：最初是由n公司提出的，原先的目的是為撥計費協(xié)議。具體通信協(xié)議與方法〔PPTP〕年Microsoft和Ascend等在PPP協(xié)議上開發(fā)的支持Client-to-LAN類型的VPN連接。PPTP 使用PPP撥號連接通過對PPP分組的封裝傳輸將PPP鏈接規(guī)律地延長到遠(yuǎn)程用戶與企業(yè)總部的PPTP效勞器之間，從而借用PPP協(xié)議成熟的機(jī)制對用戶進(jìn)展身份鑒別、訪問授權(quán)以及網(wǎng)絡(luò)配置，同時，通過PPTP封裝傳輸，也使得使用企業(yè)內(nèi)部地址的分組，能成功地穿越IP異構(gòu)網(wǎng)絡(luò)，到達(dá)企業(yè)總部，以此到達(dá)資源共享。PPTP只能在兩端點間建立單一隧道。PPTP工作模式分為被動和主動兩種模式。被動模式中，PPTP會ISPPPTP軟件，ISPInternetPPTPISP的參與，不需位ISP處的前端處理器，ISP只供給透亮的傳輸通道。這種方式的優(yōu)PPTP有確定的掌握。PPTP隧道機(jī)制的特點有，PPTP不供給數(shù)據(jù)安全性保證，它必需借助P的加密機(jī)制，如Ew自帶，或者與其它安全I(xiàn)Psec〕結(jié)合使用，才能為隧道通信供給安全保護(hù)；由于PPPIDPPTP通過GREPPTP協(xié)議的系統(tǒng)開銷PPTPQoS保障。PPP/SLIP〔ATMIP網(wǎng)絡(luò)〕中傳輸。其標(biāo)準(zhǔn)于1998IETFRFC2341。L2FL2F封裝頭,L2FL2F分組可在任何能供給點到點鏈接的底層媒體上發(fā)送。當(dāng)L2FIP網(wǎng)絡(luò)上發(fā)送時，L2F分UDPUDP報文，經(jīng)過IP協(xié)議發(fā)送。L2F協(xié)議的實現(xiàn)：圖二L2F協(xié)議的典型實現(xiàn)ISDN/PSTNNASPPP連接。VPN客戶VPNNASHGW的VPN連接。NAS依據(jù)用戶名稱等信息向HGW發(fā)送隧道建立連接懇求，HGWIPL2F隧道，總部局域網(wǎng)通過HGWNAS之間建立一條PPPNASHGWL2FHGW。2層隧道協(xié)議〔L2TP〕因特網(wǎng)工程任務(wù)組〔IETF〕期望統(tǒng)一虛擬撥號的標(biāo)準(zhǔn)，由此產(chǎn)生了〔r2g、3COMPPTPL2F兩種協(xié)議的優(yōu)點，成為IETFRFC2661。L2TP是典型的被動式隧道協(xié)議，可讓用戶從客VPN連接。L2TPL2TP封裝頭，L2FL2TP分組可在任何能供給點到IP網(wǎng)、ATML2TPIP網(wǎng)上進(jìn)展發(fā)送時，L2TPUDPIP協(xié)議進(jìn)展發(fā)送。L2TPPSTNISDN網(wǎng)，向P發(fā)起PP的呈現(xiàn)點PC承受此連接，建立遠(yuǎn)程用戶到LAC的PPPLAC互換LCP配置信息，CHAP身份鑒別信息的局部交換；ISPLACCHAP應(yīng)答中的名字信息，確定是否對此遠(yuǎn)程用LNS；LACLNSQoS效勞LAC向LNSTunnelIDIDCallID。LACLNSLAC對遠(yuǎn)程用LNSLNSL2TP隧道的終LACL2TP虛擬接口；LNSIP地址。LNSIP地址由LACLNSIP地址。從遠(yuǎn)程用戶發(fā)送的P幀到達(dá)CC上的P虛擬接口將L2TP分組之中，在特定的傳輸媒體上發(fā)送。當(dāng)L2TP分組到LNS端后，L2TPPPPSLIP分組將與正常進(jìn)入的分組一樣被送入相應(yīng)的接口進(jìn)展處理。LNS發(fā)送到遠(yuǎn)程用戶的數(shù)據(jù)的處理過程與此完全相像。IP安全協(xié)議〔IPSec〕SSLVPNVPNIETFIPSecIPSec協(xié)議是目前工業(yè)界IPVPN標(biāo)準(zhǔn)，安全性明顯優(yōu)于其它隧道協(xié)議,以IPSec協(xié)議構(gòu)建虛擬專用網(wǎng)已成為主流?；贗PSec構(gòu)建IPVPN是指利用實現(xiàn)IPsec協(xié)議的安全網(wǎng)關(guān)網(wǎng)上內(nèi)部網(wǎng)絡(luò)的“虛擬”專線互聯(lián)等。對VPN網(wǎng)關(guān)，VPNVPN網(wǎng)關(guān)，RemoteUserVPN網(wǎng)關(guān)。SSLVPNWeb效勞、文件效勞〔FTP效勞、Windows網(wǎng)上鄰居效勞、可轉(zhuǎn)化為Web〔Webmail)C/SSSL應(yīng)用LANLAN模式。在bLN效勞器使用s和s〔實。SSLVPNSSLVPN效勞器間使sSSLVPN協(xié)議。C/SSSLVPN效勞器下載控件。該控件是一個效勞監(jiān)聽程序，用于將客戶端的C/S數(shù)據(jù)SSLVPN效勞器它所承受的通信協(xié)議〔TCP/UDP〕及訪問的目的效勞地址和端口?？蛻舳丝豐SLVPN效勞器建立安全通道后，在本機(jī)接收客戶端數(shù)據(jù)包后，SSLSSLVPN效勞器。SSLVPN效勞器解密數(shù)據(jù)后轉(zhuǎn)發(fā)給內(nèi)部網(wǎng)絡(luò)的目的效勞器。SSLVPN效勞器接收到內(nèi)部網(wǎng)絡(luò)的效勞SSL后轉(zhuǎn)發(fā)給客戶端應(yīng)用程序