【大學(xué)課件】信息安全技術(shù)----系講11.doc

第十一講: 虛擬專網(wǎng)（VPN）技術(shù)簡介虛擬專用網(wǎng)被定義為通過一個公共網(wǎng)絡(luò)(通常是英特網(wǎng))建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。通過將數(shù)據(jù)流轉(zhuǎn)移到低成本的IP網(wǎng)絡(luò)上，一個企業(yè)的虛擬專用網(wǎng)解決方案將大幅度地減少用戶花費在城域網(wǎng)和遠(yuǎn)程網(wǎng)絡(luò)連接上的費用。同時，這將簡化網(wǎng)絡(luò)的設(shè)計和管理，加速連接新的用戶和網(wǎng)站。另外，虛擬專用網(wǎng)還可以保護現(xiàn)有的網(wǎng)絡(luò)投資。隨著用戶的商業(yè)服務(wù)不斷發(fā)展，企業(yè)的虛擬專用網(wǎng)解決方案可以使用戶將精力集中到自己的生意上，而不是網(wǎng)絡(luò)上。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球英特網(wǎng)接入, 以實現(xiàn)安全連接；可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟有效的連接到商業(yè)伙伴和用戶的安全外連網(wǎng)虛擬專用網(wǎng)。 虛擬專用網(wǎng)至少應(yīng)該能提供如下功能：l 加密數(shù)據(jù)，以保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會泄露。l 信息認(rèn)證和身份認(rèn)證，保證信息的完整性、合法性，并能鑒別用戶的身份。l 提供訪問控制，不同的用戶有不同的訪問權(quán)限。A: 虛擬專用網(wǎng)概述選擇一個合適的虛擬專用網(wǎng)解決方案或產(chǎn)品并不是一件容易的事情。每一種解決方案都可提供不同程度的安全性、可用性，并且都各有優(yōu)缺點。為了選擇一個合適的安全產(chǎn)品，決策者應(yīng)該首先明確他們公司的商業(yè)需求，例如，公司是需要將少數(shù)幾個可信的遠(yuǎn)地雇員連到公司總部，還是希望為每個分支機構(gòu)、合作伙伴、供應(yīng)商、顧客和遠(yuǎn)地雇員都建立一個安全連接通道等。如果選擇了適當(dāng)?shù)奶摂M專用網(wǎng)，便可以保護網(wǎng)絡(luò)免受病毒感染、防止欺騙、防商業(yè)間諜、增強訪問控制、增強系統(tǒng)管理、加強認(rèn)證等。在虛擬專用網(wǎng)提供的功能中，認(rèn)證和加密是最重要的。而訪問控制相對比較復(fù)雜，因為它的配置與實施策略和所用的工具緊密相關(guān)。虛擬專用網(wǎng)的認(rèn)證、加密和訪問控制這三種功能必須相互配合，才能保證真正的安全性。 在連到英特網(wǎng)之前，企業(yè)應(yīng)指定相應(yīng)的安全策略，清楚地說明不同身份的用戶可以訪問哪些資源。一個更安全的解決方案可能包括防火墻、路由器、代理服務(wù)器、虛擬專用網(wǎng)軟件或硬件。它們中的任何一種設(shè)備可能提供足夠的安全通信，但是采用何種設(shè)備取決于安全策略。 根據(jù)不同需要，可以構(gòu)造不同類型的虛擬專用網(wǎng)，不同商業(yè)環(huán)境對虛擬專用網(wǎng)的要求和虛擬專用網(wǎng)所起的作用是不一樣的。以用途為標(biāo)準(zhǔn)，虛擬專用網(wǎng)可以分為三類：l 在公司總部和它的分支機構(gòu)之間建立虛擬專用網(wǎng)，稱為“內(nèi)部網(wǎng)虛擬專用網(wǎng)”。l 在公司總部和遠(yuǎn)地雇員或旅行之中雇員之間建立虛擬專用網(wǎng)，稱為“遠(yuǎn)程訪問虛擬專用網(wǎng)”。l 在公司與商業(yè)伙伴、顧客、供應(yīng)商、投資者之間建立虛擬專用網(wǎng)，稱為“外連網(wǎng)虛擬專用網(wǎng)”。下面分別對這三種虛擬專用網(wǎng)進(jìn)行簡要介紹。B: 內(nèi)部網(wǎng)虛擬專用網(wǎng)內(nèi)部網(wǎng)是通過公共網(wǎng)絡(luò)將一個組織的各分支機構(gòu)的局域網(wǎng)連接而成的網(wǎng)絡(luò)。這種類型的局域網(wǎng)到局域網(wǎng)的連接帶來的風(fēng)險最小，因為公司通常認(rèn)為他們的分支機構(gòu)是可信的，這種方式連接而成的網(wǎng)絡(luò)被稱為企業(yè)內(nèi)聯(lián)網(wǎng)，可把它作為公司網(wǎng)絡(luò)的擴展。 當(dāng)一個數(shù)據(jù)傳輸通道的兩個端點被認(rèn)為是可信的時候，公司可以選擇“內(nèi)部網(wǎng)虛擬專用網(wǎng)”解決方案，安全性主要在于加強兩個虛擬專用網(wǎng)服務(wù)器之間加密和認(rèn)證手段上。大量的數(shù)據(jù)經(jīng)常需要通過虛擬專用網(wǎng)在局域網(wǎng)之間傳遞。通過把中心數(shù)據(jù)庫或其它計算資源連接起來的各個局域網(wǎng)可以看成是內(nèi)部網(wǎng)的一部分。 這里僅子公司中有一定訪問權(quán)限的用戶才能通過“內(nèi)部網(wǎng)虛擬專用網(wǎng)”訪問公司總部的資源，所有端點之間的數(shù)據(jù)傳輸都要經(jīng)過加密和身份鑒別。如果一個公司對分公司或個人有不同的可信程度，那么公司可以考慮基于認(rèn)證的虛擬專用網(wǎng)方案來保證信息的安全傳輸，而不是靠可信的通信子網(wǎng)。這種類型的虛擬專用網(wǎng)的主要任務(wù)是保護公司的英特網(wǎng)不被外部入侵，同時保證公司的重要數(shù)據(jù)流經(jīng)英特網(wǎng)時的安全性。C: 遠(yuǎn)程訪問虛擬專用網(wǎng) 通過英特網(wǎng)的遠(yuǎn)程撥號訪問所帶來的好處越來越明顯。用英特網(wǎng)作為遠(yuǎn)程訪問的骨干網(wǎng)比傳統(tǒng)的方案更容易實現(xiàn)，而且花錢更少。如果一個用戶無論是在家里還是在旅途之中，他想同公司的內(nèi)部網(wǎng)建立一個安全連接，則可以用“遠(yuǎn)程訪問虛擬專用網(wǎng)”來實現(xiàn)。典型的遠(yuǎn)程訪問虛擬專用網(wǎng)是用戶通過本地的信息服務(wù)提供商(ISP)登錄到英特網(wǎng)上，并在現(xiàn)在的辦公室和公司內(nèi)部網(wǎng)之間建立一條加密信道。遠(yuǎn)程訪問虛擬專用網(wǎng)的客戶端應(yīng)盡量簡單，因為普通雇員一般都缺乏專門訓(xùn)練。客戶應(yīng)可以手工建立一條虛擬專用網(wǎng)信道，即當(dāng)客戶每次想建立一個安全通信信道時，只需安裝虛擬專用網(wǎng)軟件。在服務(wù)器端，因為要監(jiān)視大量用戶，有時需要增加或刪除用戶，這樣可能造成混亂，并帶來安全風(fēng)險，因此服務(wù)器應(yīng)集中并且管理要容易。公司往往制定一種“透明的訪問策略”，即使在遠(yuǎn)處的雇員也能象他們坐在公司總部的辦公室一樣自由的訪問公司的資源。因此首先要考慮的是所有端到端的數(shù)據(jù)都要加密，并且只有特定的接收者才能解密。大多數(shù)虛擬專用網(wǎng)除了加密以外還要考慮加密密碼的強度、認(rèn)證方法。這種虛擬專用網(wǎng)要對個人用戶的身份進(jìn)行認(rèn)證，而不僅認(rèn)證IP地址，這樣公司就會知道哪個用戶欲訪問公司的網(wǎng)絡(luò)。認(rèn)證后決定是否允許用戶對網(wǎng)絡(luò)資源的訪問。認(rèn)證技術(shù)可以包括用一次口令、Kerberos認(rèn)證方案、令牌卡、智能卡、或者是指紋。一旦一個用戶同公司的虛擬專用網(wǎng)服務(wù)器進(jìn)行了認(rèn)證，根據(jù)他的訪問權(quán)限表，他就有一定程度的訪問權(quán)限。每個人的訪問權(quán)限表由網(wǎng)絡(luò)管理員制定，并且要符合公司的安全策略。有較高安全度的遠(yuǎn)程訪問虛擬專用網(wǎng)應(yīng)能截取到特定主機的信息流，有加密、身份驗證、過濾等功能。D: 外連網(wǎng)虛擬專用網(wǎng) 外連網(wǎng)虛擬專用網(wǎng)為公司合作伙伴、顧客、供應(yīng)商和在遠(yuǎn)地的公司雇員提供安全性。它應(yīng)能保證包括TCP和UDP服務(wù)在內(nèi)的各種應(yīng)用服務(wù)的安全，例如Email、Http、FTP、Real Audio、數(shù)據(jù)庫的安全以及一些應(yīng)用程序如Java、Active X的安全。因為不同公司的網(wǎng)絡(luò)環(huán)境是不相同的，一個可行的外部網(wǎng)虛擬專用網(wǎng)方案應(yīng)能適用于各種操作平臺、協(xié)議、各種不同的認(rèn)證方案及加密算法。 外連網(wǎng)虛擬專用網(wǎng)的主要目標(biāo)是保證數(shù)據(jù)在傳輸過程中不被修改，保護網(wǎng)絡(luò)資源不受外部威脅。安全的外連網(wǎng)虛擬專用網(wǎng)要求公司在同它的顧客、合作伙伴及在外地的雇員之間經(jīng)英特網(wǎng)建立端到端的連接時，必須通過虛擬專用網(wǎng)服務(wù)器才能進(jìn)行。在這種系統(tǒng)上，網(wǎng)絡(luò)管理員可以為合作伙伴的職員指定特定的許可權(quán)，例如可以允許對方的銷售經(jīng)理訪問一個受到保護的服務(wù)器上的銷售報告。 外連網(wǎng)虛擬專用網(wǎng)中應(yīng)是一個由加密、認(rèn)證和訪問控制功能組成的集成系統(tǒng)。通常公司將虛擬專用網(wǎng)代理服務(wù)器放在一個不能穿透的防火墻隔離層之后，防火墻阻止所有來歷不明的信息傳輸。所有經(jīng)過過濾后的數(shù)據(jù)通過唯一個入口傳到虛擬專用網(wǎng)服務(wù)器，虛擬專用網(wǎng)服務(wù)器再根據(jù)安全策略來進(jìn)一步過濾。 虛擬專用網(wǎng)可以建立在網(wǎng)絡(luò)協(xié)議的上層，如應(yīng)用層；也可建立在較低的層次，如網(wǎng)絡(luò)層。在應(yīng)用層的虛擬專用網(wǎng)可以用一個代理服務(wù)器實現(xiàn)，這就是說，不直接打開任何到公司內(nèi)部網(wǎng)的連接，這樣有了虛擬專用網(wǎng)代理服務(wù)器之后，就可以防止IP地址欺騙。所有的訪問都要經(jīng)過代理，這樣管理員就可以知道誰曾企圖訪問內(nèi)部網(wǎng)以及他作了多少次這種嘗試。外連網(wǎng)虛擬專用網(wǎng)并不假定連接的公司雙方之間存在雙向信任關(guān)系。外連網(wǎng)虛擬專用網(wǎng)在英特網(wǎng)內(nèi)打開一條隧道，并保證經(jīng)包過濾后信息傳輸?shù)陌踩?。?dāng)公司將很多商業(yè)活動都通過公共網(wǎng)絡(luò)進(jìn)行交易時，一個外部網(wǎng)虛擬專用網(wǎng)應(yīng)該用高強度的