《信息安全概論》課件-10虛擬專用網(wǎng)技術(shù)

第10章虛擬專用網(wǎng)技術(shù)概述本章簡要介紹了為了信息系統(tǒng)什么要引入虛擬專用網(wǎng)、虛擬專用網(wǎng)優(yōu)點(diǎn)和分類、虛擬專用網(wǎng)的工作原理、虛擬專用網(wǎng)技術(shù)原理、虛擬專用網(wǎng)使用舉例等。10.1虛擬專用網(wǎng)概述虛擬專用網(wǎng)VPN(VirtualPrivateNetwork)通常是通過一個公用的網(wǎng)絡(luò)（如Internet）建立一個臨時的、安全的、模擬的點(diǎn)對點(diǎn)連接。這是一條穿越公用網(wǎng)絡(luò)的安全信息隧道，信息可以通過這條隧道在公用網(wǎng)絡(luò)中安全地傳輸。 虛擬專用網(wǎng)依靠Internet服務(wù)提供商ISP(InternetServiceProvider)和其它網(wǎng)絡(luò)服務(wù)提供商N(yùn)SP(NetServiceProvider)，在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。10.1虛擬專用網(wǎng)概述10.1.1VPN的需求經(jīng)常很多時候需要在異地連接網(wǎng)絡(luò)。例如企業(yè)員工在外出差或在家里需要連接公司服務(wù)器；或者有第三方需要接入公司服務(wù)器(如電子商務(wù))；或者企業(yè)數(shù)據(jù)需要進(jìn)行異地災(zāi)備；還有的企業(yè)分支機(jī)構(gòu)需要連接總公司等，這時候最便宜最便捷的方式就是使用VPN技術(shù)。如圖10.1所示很多地方需要接入VPN。10.1虛擬專用網(wǎng)概述10.1.1VPN的需求

10.1虛擬專用網(wǎng)概述10.1.1VPN的需求虛擬專用網(wǎng)VPN是在公用絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。其之所以稱為虛擬網(wǎng)，主要是因?yàn)檎麄€VPN網(wǎng)絡(luò)的任意兩個節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)如Internet、ATM（異步傳輸模式）、FrameRelay（幀中繼）等之上的邏輯網(wǎng)絡(luò)，用戶數(shù)據(jù)在邏輯鏈路中傳輸。

10.1虛擬專用網(wǎng)概述10.1.2VPN的優(yōu)點(diǎn)企業(yè)使用VPN有許多優(yōu)點(diǎn)。具體來說虛擬專用網(wǎng)的提出就是來解決如下這些問題：(1)使用VPN可降低成本——通過公用網(wǎng)來建立VPN，就可以節(jié)省大量的通信費(fèi)用，而不必投入大量的人力和物力去安裝和維護(hù)WAN(廣域網(wǎng))設(shè)備和遠(yuǎn)程訪問設(shè)備。通常租用電信的專用網(wǎng)絡(luò)是很貴的。使用VPN可以降低企業(yè)使用網(wǎng)絡(luò)的成本，這是VPN最大的優(yōu)點(diǎn)。(2)傳輸數(shù)據(jù)安全可靠——虛擬專用網(wǎng)產(chǎn)品都是采用加密及身份驗(yàn)證等安全技術(shù)，保證連接用戶的可靠性及傳輸數(shù)據(jù)的安全和保密性。

10.1虛擬專用網(wǎng)概述10.1.2VPN的優(yōu)點(diǎn)(3)連接方便靈活——用戶如果想與合作伙伴聯(lián)網(wǎng)，如果沒有虛擬專用網(wǎng)，雙方的信息技術(shù)部門就必須協(xié)商如何在雙方之間建立租用線路或幀中繼線路，有了虛擬專用網(wǎng)之后，只需雙方配置安全連接信息即可。(4)完全控制——虛擬專用網(wǎng)使用戶可以利用ISP的設(shè)施和服務(wù)，同時又完全掌握著自己網(wǎng)絡(luò)的控制權(quán)。用戶只利用ISP提供的網(wǎng)絡(luò)資源，對于其它的安全設(shè)置、網(wǎng)絡(luò)管理變化可由自己管理。在企業(yè)內(nèi)部也可以自己建立虛擬專用網(wǎng)。

10.1虛擬專用網(wǎng)概述10.1.3VPN的分類(1)Client－LAN類型的VPN也稱為AccessVPN（遠(yuǎn)程接入VPN），即遠(yuǎn)程訪問方式的VPN。10.1虛擬專用網(wǎng)概述(2)LAN－LAN類型的VPN，也稱為IntranetVPN（內(nèi)聯(lián)網(wǎng)VPN），網(wǎng)關(guān)到網(wǎng)關(guān)，通過公司的網(wǎng)絡(luò)架構(gòu)連接來自同公司的資源。10.2VPN的工作原理VPN的工作流程如圖10.4所示。通常情況下，VPN網(wǎng)關(guān)采取雙網(wǎng)卡結(jié)構(gòu)，外網(wǎng)卡使用公網(wǎng)IP接入Internet。10.2VPN的工作原理1.網(wǎng)絡(luò)1(假定為公網(wǎng)internet)的終端A訪問網(wǎng)絡(luò)2(假定為公司內(nèi)網(wǎng))的終端B，其發(fā)出的訪問數(shù)據(jù)包的目標(biāo)地址為終端B的內(nèi)部IP地址。2.網(wǎng)絡(luò)1的VPN網(wǎng)關(guān)在接收到終端A發(fā)出的訪問數(shù)據(jù)包時對其目標(biāo)地址進(jìn)行檢查，如果目標(biāo)地址屬于網(wǎng)絡(luò)2的地址，則將該數(shù)據(jù)包進(jìn)行封裝，封裝的方式根據(jù)所采用的VPN技術(shù)不同而不同，同時VPN網(wǎng)關(guān)會構(gòu)造一個新VPN數(shù)據(jù)包，并將封裝后的原數(shù)據(jù)包作為VPN數(shù)據(jù)包的負(fù)載，VPN數(shù)據(jù)包的目標(biāo)地址為網(wǎng)絡(luò)2的VPN網(wǎng)關(guān)的外部地址。10.2VPN的工作原理3.網(wǎng)絡(luò)1的VPN網(wǎng)關(guān)將VPN數(shù)據(jù)包發(fā)送到Internet，由于VPN數(shù)據(jù)包的目標(biāo)地址是網(wǎng)絡(luò)2的VPN網(wǎng)關(guān)的外部地址，所以該數(shù)據(jù)包將被Internet中的路由正確地發(fā)送到網(wǎng)絡(luò)2的VPN網(wǎng)關(guān)。4.網(wǎng)絡(luò)2的VPN網(wǎng)關(guān)對接收到的數(shù)據(jù)包進(jìn)行檢查，如果發(fā)現(xiàn)該數(shù)據(jù)包是從網(wǎng)絡(luò)1的VPN網(wǎng)關(guān)發(fā)出的，即可判定該數(shù)據(jù)包為VPN數(shù)據(jù)包，并對該數(shù)據(jù)包進(jìn)行解包處理。解包的過程主要是先將VPN數(shù)據(jù)包的包頭剝離，再將數(shù)據(jù)包反向處理還原成原始的數(shù)據(jù)包。10.2VPN的工作原理5.網(wǎng)絡(luò)2的VPN網(wǎng)關(guān)將還原后的原始數(shù)據(jù)包發(fā)送至目標(biāo)終端B，由于原始數(shù)據(jù)包的目標(biāo)地址是終端B的IP，所以該數(shù)據(jù)包能夠被正確地發(fā)送到終端B。在終端B看來，它收到的數(shù)據(jù)包就和從終端A直接發(fā)過來的一樣。6.從終端B返回終端A的數(shù)據(jù)包處理過程和上述過程一樣，這樣兩個網(wǎng)絡(luò)內(nèi)的終端就可以相互通訊了。10.3VPN的技術(shù)原理10.3.1VPN使用的安全協(xié)議1.PPTP－PointtoPointTunnelProtocol(點(diǎn)對點(diǎn)隧道協(xié)議)

通過Internet的數(shù)據(jù)通信，需要對數(shù)據(jù)流進(jìn)行封裝和加密，PPTP就可以實(shí)現(xiàn)這兩個功能，從而可以通過Internet實(shí)現(xiàn)多功能通信。2.L2TP－Layer2TunnelingProtocol(第二層隧道協(xié)議)

PPTP和L2TP十分相似，因?yàn)長2TP有一部分就是采用PPTP協(xié)議，兩個協(xié)議都允許客戶通過其間的網(wǎng)絡(luò)建立隧道，L2TP還支持信道認(rèn)證。10.3VPN的技術(shù)原理3.IPSEC—InternetProtocolSecurity(因特網(wǎng)協(xié)議安全)

它用于確保網(wǎng)絡(luò)層之間的安全通信。4.SSL—SecureSocketLayer它是Netscape公司所研發(fā)，用以保障在Internet上數(shù)據(jù)傳輸之安全，利用數(shù)據(jù)加密技術(shù)，可確保數(shù)據(jù)在網(wǎng)絡(luò)上之傳輸過程中不會被截取及竊聽。SSL協(xié)議位于TCP/IP協(xié)議與各種應(yīng)用層協(xié)議之間，為數(shù)據(jù)通訊提供安全支持。10.3VPN的技術(shù)原理10.3.2VPN的實(shí)現(xiàn)由于傳輸?shù)氖撬接行畔?，VPN用戶對數(shù)據(jù)的安全性要求比較高。目前VPN主要采用四項(xiàng)技術(shù)來保證安全，這四項(xiàng)技術(shù)分別是隧道技術(shù)（Tunneling）、加解密技術(shù)（Encryption&Decryption)秘鑰管理技術(shù)(KeyManagement)用戶與設(shè)備身份認(rèn)證技術(shù)（Authentication）。10.3VPN的技術(shù)原理10.3.2VPN的實(shí)現(xiàn)

1.隧道技術(shù) 隧道技術(shù)是VPN的基本技術(shù)。類似于點(diǎn)對點(diǎn)連接技術(shù)，它在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過這條隧道傳輸。隧道是由隧道協(xié)議形成的，分為第二、三層隧道協(xié)議。10.3VPN的技術(shù)原理10.3.2VPN的實(shí)現(xiàn)第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)議裝到PPP中，再把整個數(shù)據(jù)包裝入隧道協(xié)議中。第二層隧道協(xié)議有L2F、PPTPL2T等。第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸。第三層隧道協(xié)議有VTP、IPSec等。IPSec（IPSecurity）是由一組RFC文檔組成，定義了一個系統(tǒng)來提供安全協(xié)議選擇、安全算法，確定服務(wù)所使等服務(wù)，從而在IP層提供安全保障。10.3VPN的技術(shù)原理10.3.2VPN的實(shí)現(xiàn)2.加解密技術(shù)加解密技術(shù)(對稱加密、公鑰加密等)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù)，VPN可直接利用現(xiàn)有技術(shù)。10.3VPN的技術(shù)原理10.3.2VPN的實(shí)現(xiàn)3.密鑰管理技術(shù)密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被偷聽、竊取。4.用戶與設(shè)備身份認(rèn)證技術(shù)用戶與設(shè)備身份認(rèn)證技術(shù)最常用的是用戶名與密碼或卡片式認(rèn)證等方式。10.3VPN的技術(shù)原理10.3.2VPN的實(shí)現(xiàn)除了以上幾種技術(shù)實(shí)現(xiàn)VPN以后，還有一種比較常用的VPN方式：SSLVPN，即SSL協(xié)議被使用于VPN中。這種方式經(jīng)常用于訪問銀行、金融、及機(jī)密系統(tǒng)。通過電腦使用銀行的網(wǎng)銀系統(tǒng)時使用的就是SSLVPN。它是將HTTP協(xié)議和SSL協(xié)議相結(jié)合形成的HTTPS(HyperTextTransferProtocoloverSecureSocketLayer)協(xié)議。10.3VPN的技術(shù)原理10.3.2VPN的實(shí)現(xiàn)除了10.3VPN的技術(shù)原理10.3.2VPN的實(shí)現(xiàn)如圖10.6所示為使用HTTPS協(xié)議訪問北京市自然基金系統(tǒng)。10.3VPN的技術(shù)原理10.3.2VPN的實(shí)現(xiàn)SSL協(xié)議提供了數(shù)據(jù)私密性、端點(diǎn)驗(yàn)證、信息完整性等特性。SSL置身于網(wǎng)絡(luò)結(jié)構(gòu)體系的傳輸層和應(yīng)用層之間，本身就被幾乎所有的Web瀏覽器支持。不需要為了支持SSL連接安裝額外的軟件。10.4虛擬專用網(wǎng)應(yīng)用舉例10.3.2VPN的實(shí)現(xiàn)以北京郵電大學(xué)虛擬專用網(wǎng)舉例。如圖10.8所示為沒有使用VPN時的網(wǎng)頁。這時通過校外的公有網(wǎng)絡(luò)是不能訪問北郵校內(nèi)資源的。10.4虛擬專用網(wǎng)應(yīng)用舉例10.3.2VPN的實(shí)現(xiàn)決方案是下載一個北郵VPN客戶端。登錄界面如圖10.9所示。10.4虛擬專用網(wǎng)應(yīng)用舉例10.3.2VPN的實(shí)現(xiàn)輸入用戶名和密碼后，就可以連接北郵校內(nèi)網(wǎng)絡(luò)資源了。如圖10.10所示成功連接到了北郵VPN。10.4虛擬專用網(wǎng)應(yīng)用舉例