課程08虛擬專(zhuān)用網(wǎng)絡(luò)技術(shù)課件

上傳人：塞*** IP屬地：貴州上傳時(shí)間：2022-12-10 格式：PPTX 頁(yè)數(shù)：116 大小：3.36MB 積分：25 舉報(bào) 版權(quán)申訴

課程08虛擬專(zhuān)用網(wǎng)絡(luò)技術(shù)課件_第2頁(yè)

課程08虛擬專(zhuān)用網(wǎng)絡(luò)技術(shù)課件_第3頁(yè)

課程08虛擬專(zhuān)用網(wǎng)絡(luò)技術(shù)課件_第4頁(yè)

課程08虛擬專(zhuān)用網(wǎng)絡(luò)技術(shù)課件_第5頁(yè)

已閱讀5頁(yè)，還剩111頁(yè)未讀，繼續(xù)免費(fèi)閱讀

版權(quán)說(shuō)明：本文檔由用戶提供并上傳，收益歸屬內(nèi)容提供方，若內(nèi)容存在侵權(quán)，請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

第八章虛擬專(zhuān)用網(wǎng)絡(luò)技術(shù)周蘇

教授Zs@QQ:81505050/zhousu58第八章虛擬專(zhuān)用網(wǎng)絡(luò)技術(shù)周蘇教授第8章虛擬專(zhuān)用網(wǎng)絡(luò)技術(shù)隨著因特網(wǎng)的服務(wù)焦點(diǎn)轉(zhuǎn)移到電子商務(wù)上，對(duì)于那些基于傳統(tǒng)信息系統(tǒng)的關(guān)鍵性商務(wù)應(yīng)用及數(shù)據(jù)，公司希望通過(guò)因特網(wǎng)來(lái)實(shí)現(xiàn)方便快捷的訪問(wèn)。通過(guò)安全虛擬專(zhuān)用網(wǎng)絡(luò)的實(shí)現(xiàn)，把公司的業(yè)務(wù)安全、有效地拓展到世界各地。第8章虛擬專(zhuān)用網(wǎng)絡(luò)技術(shù)隨著因特網(wǎng)的服務(wù)焦點(diǎn)轉(zhuǎn)移到電子商務(wù)第8章虛擬專(zhuān)用網(wǎng)絡(luò)技術(shù)虛擬專(zhuān)用網(wǎng)絡(luò)(VirtualPrivateNetwork，VPN)被定義為通過(guò)一個(gè)公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立的一個(gè)臨時(shí)的安全連接，是一條穿過(guò)公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。第8章虛擬專(zhuān)用網(wǎng)絡(luò)技術(shù)虛擬專(zhuān)用網(wǎng)絡(luò)(VirtualP第8章虛擬專(zhuān)用網(wǎng)絡(luò)技術(shù)VPN是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸，它通過(guò)安全的數(shù)據(jù)通道，幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商與公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸，構(gòu)成一個(gè)擴(kuò)展的公司企業(yè)網(wǎng)，如圖8.1所示。VPN可用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接，可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專(zhuān)用線路。第8章虛擬專(zhuān)用網(wǎng)絡(luò)技術(shù)VPN是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上圖8.1虛擬專(zhuān)用網(wǎng)絡(luò)圖8.1虛擬專(zhuān)用網(wǎng)絡(luò)第8章虛擬專(zhuān)用網(wǎng)絡(luò)技術(shù)說(shuō)得通俗一點(diǎn)，VPN實(shí)際上是“線路中的線路”，類(lèi)型于城市道路上的“公交專(zhuān)用線”，所不同的是，由VPN組成的“線路”并不是物理存在的，而是通過(guò)技術(shù)手段模擬出來(lái)，即是“虛擬”的。不過(guò)，這種虛擬的專(zhuān)用網(wǎng)絡(luò)技術(shù)卻可以在一條公用線路中為兩臺(tái)計(jì)算機(jī)建立一個(gè)邏輯上的專(zhuān)用“通道”，它具有良好的保密和不受干擾性，使雙方能進(jìn)行自由而安全的點(diǎn)對(duì)點(diǎn)連接，因此被網(wǎng)絡(luò)管理員們廣泛關(guān)注著。第8章虛擬專(zhuān)用網(wǎng)絡(luò)技術(shù)說(shuō)得通俗一點(diǎn)，VPN實(shí)際上是“線路第8章虛擬專(zhuān)用網(wǎng)絡(luò)技術(shù)因特網(wǎng)工程任務(wù)小組(IETF)已經(jīng)開(kāi)始為VPN技術(shù)制訂標(biāo)準(zhǔn)，基于這一標(biāo)準(zhǔn)的產(chǎn)品，將使各種應(yīng)用場(chǎng)合下的VPN有充分的互操作性和可擴(kuò)展性。第8章虛擬專(zhuān)用網(wǎng)絡(luò)技術(shù)因特網(wǎng)工程任務(wù)小組(IETF)第8章虛擬專(zhuān)用網(wǎng)絡(luò)技術(shù)VPN可以實(shí)現(xiàn)不同網(wǎng)絡(luò)組件和資源之間的相互連接，利用因特網(wǎng)或其他公共互連網(wǎng)絡(luò)的基礎(chǔ)設(shè)施為用戶創(chuàng)建隧道，并提供與專(zhuān)用網(wǎng)絡(luò)一樣的安全和功能保障。第8章虛擬專(zhuān)用網(wǎng)絡(luò)技術(shù)VPN可以實(shí)現(xiàn)不同網(wǎng)絡(luò)組件和資源之第8章虛擬專(zhuān)用網(wǎng)絡(luò)技術(shù)提高VPN效用的關(guān)鍵問(wèn)題在于當(dāng)用戶的業(yè)務(wù)需求發(fā)生變化時(shí)，用戶能很方便地調(diào)整他的VPN以適應(yīng)變化，并且能方便地升級(jí)到將來(lái)新的TCP/IP技術(shù)；而那些提供門(mén)類(lèi)齊全的軟、硬件VPN產(chǎn)品的供應(yīng)商，則能提供一些靈活的選擇以滿足用戶的要求。目前的VPN產(chǎn)品主要運(yùn)行在IPv4之上，但應(yīng)當(dāng)具備升級(jí)到IPv6的能力，同時(shí)要保持良好的互操作性。第8章虛擬專(zhuān)用網(wǎng)絡(luò)技術(shù)提高VPN效用的關(guān)鍵問(wèn)題在于當(dāng)用戶第8章虛擬專(zhuān)用網(wǎng)絡(luò)技術(shù)IPv6：現(xiàn)有的互聯(lián)網(wǎng)是在IPv4協(xié)議的基礎(chǔ)上運(yùn)行的。IPv6是下一版本的互聯(lián)網(wǎng)協(xié)議，它的提出最初是因?yàn)殡S著互聯(lián)網(wǎng)的迅速發(fā)展，IPv4定義的有限地址空間將被耗盡，地址空間的不足必將影響互聯(lián)網(wǎng)的進(jìn)一步發(fā)展。為了擴(kuò)大地址空間，擬通過(guò)IPv6重新定義地址空間。第8章虛擬專(zhuān)用網(wǎng)絡(luò)技術(shù)IPv6：現(xiàn)有的互聯(lián)網(wǎng)是在IPv4第8章虛擬專(zhuān)用網(wǎng)絡(luò)技術(shù)IPv4采用32位地址長(zhǎng)度，只有大約43億個(gè)地址，估計(jì)在2005～2010年間將被分配完畢，而IPv6采用128位地址長(zhǎng)度，幾乎可以不受限制地提供地址。除了一勞永逸地解決地址短缺問(wèn)題以外，IPv6的主要優(yōu)勢(shì)還體現(xiàn)在以下幾方面：提高網(wǎng)絡(luò)的整體吞吐量、改善服務(wù)質(zhì)量(QoS)、安全性有更好的保證、支持即插即用和移動(dòng)性、更好實(shí)現(xiàn)多播功能。第8章虛擬專(zhuān)用網(wǎng)絡(luò)技術(shù)IPv4采用32位地址長(zhǎng)度，只有大8.1VPN的安全性使用虛擬專(zhuān)用網(wǎng)絡(luò)涉及到一些傳統(tǒng)企業(yè)內(nèi)部網(wǎng)絡(luò)中不存在的安全問(wèn)題。在虛擬專(zhuān)用網(wǎng)絡(luò)中，一個(gè)典型的端到端的數(shù)據(jù)通路可能包含：1)數(shù)臺(tái)不在公司控制之下的機(jī)器(例如ISP的接入設(shè)備和因特網(wǎng)上的路由器)。2)介于內(nèi)部網(wǎng)(Intranet)和外部網(wǎng)之間的安全網(wǎng)關(guān)(可能是防火墻或者是路由器)。8.1VPN的安全性使用虛擬專(zhuān)用網(wǎng)絡(luò)涉及到一些傳統(tǒng)企業(yè)內(nèi)8.1VPN的安全性3)一個(gè)包含若干主機(jī)和路由器的內(nèi)部網(wǎng)。其中一些機(jī)器可能由惡意攻擊者操作，有的機(jī)器同時(shí)參與公司內(nèi)部的通信以及與公司外部的通信。4)一個(gè)外部公共網(wǎng)絡(luò)(因特網(wǎng))上面的數(shù)據(jù)通信來(lái)源不僅限于公司網(wǎng)絡(luò)。在這樣一個(gè)開(kāi)放的復(fù)雜環(huán)境下，很容易被竊聽(tīng)和篡改數(shù)據(jù)報(bào)文的內(nèi)容，很容易實(shí)施拒絕服務(wù)的攻擊或者是修改數(shù)據(jù)報(bào)文的目的地址的攻擊。8.1VPN的安全性3)一個(gè)包含若干主機(jī)和路由器的內(nèi)部8.2因特網(wǎng)的安全協(xié)議IPSec實(shí)現(xiàn)VPN通常用到的安全協(xié)議主要是SOCKSv5、IPSec和PPTP/L2TP。其中，PPTP/L2TP用于鏈路層，IPSec主要應(yīng)用于網(wǎng)絡(luò)層，SOCKSv5應(yīng)用于會(huì)話層。為了解決因特網(wǎng)所面臨的不安全因素的威脅，實(shí)現(xiàn)在不信任通道上的數(shù)據(jù)安全傳輸，使安全功能模塊能兼容IPv4和下一代網(wǎng)絡(luò)協(xié)議IPv6，IPSec協(xié)議將會(huì)是主要的實(shí)現(xiàn)VPN的協(xié)議。8.2因特網(wǎng)的安全協(xié)議IPSec實(shí)現(xiàn)VPN通常用到的安全8.2因特網(wǎng)的安全協(xié)議IPSecIPSec是IP與Security的簡(jiǎn)寫(xiě)。IPSec結(jié)合使用多種安全技術(shù)為IP數(shù)據(jù)包提供保密性、完整性和真實(shí)性。IPSec實(shí)際上指的是多個(gè)相關(guān)的協(xié)議，它們?cè)赗FC2401-2411和RFC2451中定義，規(guī)約已經(jīng)變得相當(dāng)復(fù)雜。8.2因特網(wǎng)的安全協(xié)議IPSecIPSec是IP與Sec8.2因特網(wǎng)的安全協(xié)議IPSecIPSec的主要設(shè)計(jì)目標(biāo)是良好的互操作性。如果得到正確的實(shí)現(xiàn)，IPSec對(duì)那些不支持它的主機(jī)和網(wǎng)絡(luò)不會(huì)產(chǎn)生任何負(fù)面影響，IPSec的體系結(jié)構(gòu)獨(dú)立于當(dāng)前的密碼算法，IPSec對(duì)于IPv6是必需的，而對(duì)IPv4是可選的。8.2因特網(wǎng)的安全協(xié)議IPSecIPSec的主要設(shè)計(jì)目標(biāo)8.2.1IPSec的體系結(jié)構(gòu)IPSec框架主要有兩個(gè)協(xié)議：一個(gè)是用于認(rèn)證的認(rèn)證首部(AuthenticationHeader，AH)協(xié)議和一個(gè)用于加密數(shù)據(jù)的安全封裝(EncapsulatingSecurityPayload，ESP)協(xié)議。這些安全特征都是作為主要的IP報(bào)文首部之后的擴(kuò)展首部來(lái)實(shí)現(xiàn)的。AH和ESP可以使用兩種模式，即傳輸模式和隧道模式。8.2.1IPSec的體系結(jié)構(gòu)IPSec框架主要有兩個(gè)協(xié)8.2.1IPSec的體系結(jié)構(gòu)(1)IPSec文檔IPSec文檔被劃分成7個(gè)組，如圖8.2所示。這是由IETF成立的IP安全協(xié)議工作組在做了大量的工作之后劃分的。8.2.1IPSec的體系結(jié)構(gòu)(1)IPSec文檔圖8.2IPSec文檔圖8.2IPSec文檔8.2.1IPSec的體系結(jié)構(gòu)體系結(jié)構(gòu)：覆蓋了定義IPSec技術(shù)的一般性概念、安全需求、定義和機(jī)制。ESP協(xié)議：覆蓋了使用ESP進(jìn)行分組加密(可選的認(rèn)證)的格式和一般問(wèn)題。AH協(xié)議：覆蓋了使用AH進(jìn)行分組認(rèn)證的格式和一般問(wèn)題。加密算法：描述了怎樣將不同的加密算法用于ESP中。8.2.1IPSec的體系結(jié)構(gòu)體系結(jié)構(gòu)：覆蓋了定義IPS8.2.1IPSec的體系結(jié)構(gòu)認(rèn)證算法：描述了怎樣將不同的認(rèn)證算法用于AH和ESP可選的認(rèn)證選項(xiàng)。解釋域(DOI)：包含了其他文檔需要的為了彼此間相互聯(lián)系的一些值。這些值包括經(jīng)過(guò)檢驗(yàn)的加密和認(rèn)證算法的標(biāo)識(shí)以及操作參數(shù)，例如密鑰的生存期。密鑰管理：描述密鑰管理機(jī)制的文檔，其中IKE(因特網(wǎng)密鑰交換協(xié)議)是默認(rèn)的密鑰自動(dòng)交換協(xié)議。8.2.1IPSec的體系結(jié)構(gòu)認(rèn)證算法：描述了怎樣將不同8.2.1IPSec的體系結(jié)構(gòu)(2)IPSec的服務(wù)IPSec在IP層提供下列安全服務(wù)：訪問(wèn)控制。無(wú)連接的完整性(對(duì)IP數(shù)據(jù)包自身的一種檢測(cè)方法)。數(shù)據(jù)源的認(rèn)證。拒絕重發(fā)的數(shù)據(jù)包(部分序列號(hào)完整性的一種形式)。保密性(加密)。有限的通信流保密性。表8.1總結(jié)了IPSec提供的服務(wù)。8.2.1IPSec的體系結(jié)構(gòu)(2)IPSec的服務(wù)8.2.2安全關(guān)聯(lián)安全關(guān)聯(lián)(SecurityAssociation，SA)是在發(fā)送者和接收者之間為進(jìn)出通信量提供安全服務(wù)的一種單向的關(guān)系，它是IPSec中的一個(gè)基本的概念。每一對(duì)使用IPSec的主機(jī)必須在它們之間建立一個(gè)SA。8.2.2安全關(guān)聯(lián)安全關(guān)聯(lián)(SecurityAsso8.2.2安全關(guān)聯(lián)SA數(shù)據(jù)庫(kù)定義了與每一個(gè)SA相關(guān)聯(lián)的參數(shù)，例如，通信使用何種保護(hù)類(lèi)型(是AH還是ESP)、使用的加密算法、密鑰、協(xié)議方式(隧道或傳輸)以及該SA的有效期等。SA在發(fā)送者和接收者之間建立一種單向的關(guān)系。如果需要進(jìn)行雙向通信，則需要第二個(gè)SA。8.2.2安全關(guān)聯(lián)SA數(shù)據(jù)庫(kù)定義了與每一個(gè)SA相關(guān)聯(lián)的參8.2.2安全關(guān)聯(lián)AH協(xié)議和ESP協(xié)議可以單獨(dú)使用，也可以組合使用，因?yàn)槊恳环N協(xié)議都有兩種使用模式，這樣組合使用就有多種可能的組合方式。但是在這么多可能的組合中只有幾個(gè)有實(shí)際意義的應(yīng)用。用SA束來(lái)實(shí)現(xiàn)IPSec的組合，定義了兩種組合SA的方式：傳輸鄰接和循環(huán)隧道。8.2.2安全關(guān)聯(lián)AH協(xié)議和ESP協(xié)議可以單獨(dú)使用，也可8.2.3傳輸模式與隧道模式IPsec有兩種使用模式：傳輸模式(transportmode)和隧道模式(tunnelmode)。在傳輸模式中，IPSec頭被直接插在IP頭的后面。IP頭中的Protocol域也被做了修改，以表明有一個(gè)IPSec頭緊跟在普通IP頭的后面(但是在TCP頭的前面)。IPsec頭包含了安全信息，主要有SA標(biāo)識(shí)符、一個(gè)新的序列號(hào)，可能還包括凈荷數(shù)據(jù)的完整性檢查信息。8.2.3傳輸模式與隧道模式IPsec有兩種使用模式：傳8.2.3傳輸模式與隧道模式在隧道模式中，整個(gè)IP分組，連同頭部和所有的數(shù)據(jù)一起被封裝到一個(gè)新的IP分組中，并且這個(gè)新的IP分組有一個(gè)全新的IP頭。當(dāng)隧道的終點(diǎn)并不是最終的目標(biāo)節(jié)點(diǎn)時(shí)，隧道模式將非常有用。8.2.3傳輸模式與隧道模式在隧道模式中，整個(gè)IP分組，8.2.3傳輸模式與隧道模式在有些情況下，隧道的終點(diǎn)是一臺(tái)安全網(wǎng)關(guān)機(jī)器，例如，公司的一個(gè)防火墻。在這種模式中，當(dāng)分組通過(guò)防火墻的時(shí)候，防火墻負(fù)責(zé)封裝分組，或者解除封裝。由于隧道終止于這臺(tái)安全的機(jī)器上，所以公司LAN上的機(jī)器不必知曉IPSec的存在。只有防火墻必須要知道IPSec。8.2.3傳輸模式與隧道模式在有些情況下，隧道的終點(diǎn)是一8.2.4AH協(xié)議AH協(xié)議為IP數(shù)據(jù)包提供了數(shù)據(jù)完整性服務(wù)和認(rèn)證服務(wù)，并使用一個(gè)帶密鑰的哈希函數(shù)以實(shí)現(xiàn)認(rèn)證服務(wù)。8.2.4AH協(xié)議AH協(xié)議為IP數(shù)據(jù)包提供了數(shù)據(jù)完整性服8.2.4AH協(xié)議(1)AH協(xié)議的原理AH協(xié)議可以保證IP分組的可靠性和數(shù)據(jù)的完整性。它的原理是發(fā)送方將IP分組頭、上層數(shù)據(jù)、共享密鑰這3部分通過(guò)MD5(或SHA-1)算法進(jìn)行計(jì)算，得出AH首部的認(rèn)證數(shù)據(jù)，并將AH首部加入IP分組中。8.2.4AH協(xié)議(1)AH協(xié)議的原理8.2.4AH協(xié)議當(dāng)數(shù)據(jù)傳輸?shù)浇邮辗綍r(shí)，接收方將收到的IP分組頭、數(shù)據(jù)部分和公共密鑰用相同的MD5(或SHA-1)算法運(yùn)算，并把得到的結(jié)果和收到的數(shù)據(jù)分組的AH首部進(jìn)行比較和認(rèn)證。但是，AH頭并不提供對(duì)數(shù)據(jù)的保密性保護(hù)，因此，當(dāng)數(shù)據(jù)通過(guò)網(wǎng)絡(luò)時(shí)，如果攻擊者使用協(xié)議分析器照樣能竊取敏感數(shù)據(jù)。8.2.4AH協(xié)議當(dāng)數(shù)據(jù)傳輸?shù)浇邮辗綍r(shí)，接收方將收到的I8.2.4AH協(xié)議(2)傳輸與隧道模式AH協(xié)議服務(wù)可以使用兩種模式：傳輸模式和隧道模式。見(jiàn)圖8.3。8.2.4AH協(xié)議(2)傳輸與隧道模式圖8.3AH的傳輸模式和隧道模式圖8.3AH的傳輸模式和隧道模式8.2.4AH協(xié)議在傳輸模式中，AH協(xié)議僅僅應(yīng)用從主機(jī)到主機(jī)的連接中，并且除了對(duì)選定的IP頭域之外還對(duì)上層協(xié)議提供保護(hù)。該模式通過(guò)傳輸安全關(guān)聯(lián)(SA)來(lái)提供。AH既可以用于主機(jī)，也可以用于安全網(wǎng)關(guān)。當(dāng)在一個(gè)安全網(wǎng)關(guān)中實(shí)現(xiàn)AH以保護(hù)傳輸?shù)耐ㄐ艜r(shí)，必須使用隧道模式。8.2.4AH協(xié)議在傳輸模式中，AH協(xié)議僅僅應(yīng)用從主機(jī)到8.2.4AH協(xié)議“隧道”技術(shù)是VPN的核心，它允許VPN的數(shù)據(jù)流被路由通過(guò)IP網(wǎng)絡(luò)，而不管生成數(shù)據(jù)流的是何種類(lèi)型的網(wǎng)絡(luò)或設(shè)備。隧道內(nèi)的數(shù)據(jù)流可以是IP、IPX、AppleTalk或其他類(lèi)型的數(shù)據(jù)包。8.2.4AH協(xié)議“隧道”技術(shù)是VPN的核心，它允許VP8.2.5ESP協(xié)議ESP協(xié)議為通過(guò)不可信網(wǎng)絡(luò)傳輸?shù)腎P數(shù)據(jù)提供保密性服務(wù)。另外，ESP協(xié)議還可以提供認(rèn)證服務(wù)。根據(jù)所使用的加密類(lèi)型和方式的不同，ESP的格式也會(huì)有所不同。在任何情況下，與加密關(guān)聯(lián)的密鑰都是使用SPI(安全參數(shù)索引)來(lái)選擇的。8.2.5ESP協(xié)議ESP協(xié)議為通過(guò)不可信網(wǎng)絡(luò)傳輸?shù)腎P8.2.5ESP協(xié)議(1)ESP協(xié)議的加密算法ESP協(xié)議兼容多種密碼算法。系統(tǒng)必須有使用密碼分組鏈接(CipherBlockChaining，CBC)模式DES算法：對(duì)于要求認(rèn)證的兼容系統(tǒng)則必須含有NULL算法。同時(shí)，也定義了ESP服務(wù)使用的其他加密算法：三重DES，RC5，IDEA，CAST，BLOWFISH，3IDEA。8.2.5ESP協(xié)議(1)ESP協(xié)議的加密算法8.2.5ESP協(xié)議(2)傳輸與隧道模式與AH相同，ESP也可以用于傳輸模式和隧道模式。這些模式的工作方式與它們?cè)贏H中的工作方式類(lèi)似。但是有一個(gè)例外：對(duì)ESP，在每一個(gè)數(shù)據(jù)之后將附加一個(gè)尾部(trailer)的數(shù)據(jù)(如圖8.4)。ESP傳輸模式只用于實(shí)現(xiàn)主機(jī)之間的加密(和可選的認(rèn)證)服務(wù)，為上層協(xié)議提供保護(hù)而不是IP頭本身。8.2.5ESP協(xié)議(2)傳輸與隧道模式圖8.4ESP的傳輸模式和隧道模式圖8.4ESP的傳輸模式和隧道模式8.2.5ESP協(xié)議ESP隧道模式既可以用于主機(jī)，也可以用于安全網(wǎng)關(guān)。當(dāng)在一個(gè)安全網(wǎng)關(guān)中實(shí)現(xiàn)ESP時(shí)(用于保護(hù)用戶傳輸通信流)，必須使用隧道模式，如圖8.5所示是一個(gè)由4個(gè)專(zhuān)用網(wǎng)通過(guò)因特網(wǎng)互相連接的隧道模式示例。內(nèi)部網(wǎng)絡(luò)上的主機(jī)使用因特網(wǎng)是為了傳輸數(shù)據(jù)，而不是同其他基于因特網(wǎng)的主機(jī)進(jìn)行交互。在每個(gè)內(nèi)部網(wǎng)絡(luò)上的安全網(wǎng)關(guān)用于終止隧道。8.2.5ESP協(xié)議ESP隧道模式既可以用于主機(jī)，也可以圖8.5ESP的隧道模式示例圖8.5ESP的隧道模式示例8.2.6安全管理IPSec包含兩個(gè)指定的數(shù)據(jù)庫(kù)：安全策略數(shù)據(jù)庫(kù)(SecurityPolicyDatabase，SPD)和安全關(guān)聯(lián)數(shù)據(jù)庫(kù)(SecurityAssociationDatabase，SAD)。SPD指定了決定所有輸入或者輸出的IP通信部署的策略；SAD包含有與當(dāng)前活動(dòng)的安全關(guān)聯(lián)相關(guān)的參數(shù)。8.2.6安全管理IPSec包含兩個(gè)指定的數(shù)據(jù)庫(kù)：安全策8.2.7密鑰管理當(dāng)使用IPSec時(shí)，與其他安全協(xié)議一樣，必須提供密鑰管理功能。例如，應(yīng)提供一種方法，用于與其他人協(xié)商協(xié)議、加密算法以及在數(shù)據(jù)交換中使用的密鑰。此外，IPSec需要知道實(shí)體之間的所有的這樣的協(xié)定。IETF的IPSec工作組已經(jīng)指定所有兼容的系統(tǒng)必須同時(shí)支持手工和自動(dòng)的SA和密鑰管理。8.2.7密鑰管理當(dāng)使用IPSec時(shí)，與其他安全協(xié)議一樣8.3VPN應(yīng)用IPSec提供了在局域網(wǎng)、專(zhuān)用和公用的廣域網(wǎng)(WAN)和因特網(wǎng)上安全通信的能力。8.3VPN應(yīng)用IPSec提供了在局域網(wǎng)、專(zhuān)用和公用的廣8.3.1通過(guò)因特網(wǎng)實(shí)現(xiàn)遠(yuǎn)程用戶訪問(wèn)一個(gè)系統(tǒng)中配備了IP安全協(xié)議的最終用戶，可以通過(guò)調(diào)用本地的因特網(wǎng)服務(wù)提供商(ISP)來(lái)獲得對(duì)一個(gè)公司網(wǎng)絡(luò)的安全訪問(wèn)，這為在外出差的雇員和遠(yuǎn)程的工作者減少了長(zhǎng)途通信費(fèi)用。8.3.1通過(guò)因特網(wǎng)實(shí)現(xiàn)遠(yuǎn)程用戶訪問(wèn)一個(gè)系統(tǒng)中配備了IP8.3.1通過(guò)因特網(wǎng)實(shí)現(xiàn)遠(yuǎn)程用戶訪問(wèn)客戶通過(guò)撥號(hào)到ISP來(lái)連接到因特網(wǎng)，然后和內(nèi)部網(wǎng)邊界上的安全網(wǎng)關(guān)建立一個(gè)經(jīng)認(rèn)證的、加密的安全通道。通過(guò)在遠(yuǎn)程和安全網(wǎng)關(guān)之間實(shí)行IPSec方式的認(rèn)證，內(nèi)部網(wǎng)可以免受那些不必要的或惡意的IP包攻擊。通過(guò)將遠(yuǎn)程主機(jī)與安全網(wǎng)關(guān)之間的數(shù)據(jù)流進(jìn)行加密，可以防止竊聽(tīng)。8.3.1通過(guò)因特網(wǎng)實(shí)現(xiàn)遠(yuǎn)程用戶訪問(wèn)客戶通過(guò)撥號(hào)到ISP8.3.1通過(guò)因特網(wǎng)實(shí)現(xiàn)遠(yuǎn)程用戶訪問(wèn)虛擬專(zhuān)用網(wǎng)絡(luò)支持以安全的方式通過(guò)公共互連網(wǎng)絡(luò)遠(yuǎn)程訪問(wèn)企業(yè)資源。與使用專(zhuān)線撥打長(zhǎng)途或電話連接企業(yè)的網(wǎng)絡(luò)接入服務(wù)器(NAS)不同，虛擬專(zhuān)用網(wǎng)絡(luò)用戶首先撥通本地ISP的NAS，然后VPN軟件利用與本地ISP建立的連接，在撥號(hào)用戶和企業(yè)VPN服務(wù)器之間，創(chuàng)建一個(gè)跨越因特網(wǎng)或其他公共互連網(wǎng)絡(luò)的虛擬專(zhuān)用網(wǎng)絡(luò)，如圖8.6所示。8.3.1通過(guò)因特網(wǎng)實(shí)現(xiàn)遠(yuǎn)程用戶訪問(wèn)虛擬專(zhuān)用網(wǎng)絡(luò)支持以安圖8.6遠(yuǎn)程訪問(wèn)網(wǎng)絡(luò)圖8.6遠(yuǎn)程訪問(wèn)網(wǎng)絡(luò)8.3.2通過(guò)因特網(wǎng)實(shí)現(xiàn)網(wǎng)絡(luò)互連一個(gè)公司可以在因特網(wǎng)或者公用的廣域網(wǎng)上建立安全的虛擬私有網(wǎng)絡(luò)。這可以使企業(yè)主要依賴因特網(wǎng)而減少它構(gòu)造專(zhuān)用網(wǎng)絡(luò)的需求，節(jié)省了費(fèi)用和網(wǎng)絡(luò)管理有負(fù)擔(dān)。8.3.2通過(guò)因特網(wǎng)實(shí)現(xiàn)網(wǎng)絡(luò)互連一個(gè)公司可以在因特網(wǎng)或者8.3.2通過(guò)因特網(wǎng)實(shí)現(xiàn)網(wǎng)絡(luò)互連通過(guò)因特網(wǎng)實(shí)現(xiàn)兩個(gè)相互信任的內(nèi)部網(wǎng)絡(luò)安全連接，在這種情況下，即要防范外部對(duì)內(nèi)部網(wǎng)絡(luò)的攻擊，又要保護(hù)在因特網(wǎng)上傳輸數(shù)據(jù)的安全。例如，一個(gè)公司的兩個(gè)分公司之間通過(guò)因特網(wǎng)建立分支機(jī)構(gòu)的VPN，需要滿足公司對(duì)通信、安全和成本的需求。8.3.2通過(guò)因特網(wǎng)實(shí)現(xiàn)網(wǎng)絡(luò)互連通過(guò)因特網(wǎng)實(shí)現(xiàn)兩個(gè)相互信8.3.2通過(guò)因特網(wǎng)實(shí)現(xiàn)網(wǎng)絡(luò)互連可以用以下兩種方式使用VPN來(lái)連接遠(yuǎn)程局域網(wǎng)絡(luò)：1)使用專(zhuān)線連接分支機(jī)構(gòu)和企業(yè)局域網(wǎng)。不需要使用價(jià)格昂貴的長(zhǎng)距離專(zhuān)用電路，分支機(jī)構(gòu)和企業(yè)端路由器可以使用各自本地的專(zhuān)用線路通過(guò)本地的ISP連通因特網(wǎng)。VPN軟件使用與本地ISP建立的連接和因特網(wǎng)，在分支機(jī)構(gòu)和企業(yè)端路由器之間創(chuàng)建一個(gè)虛擬專(zhuān)用網(wǎng)絡(luò)。8.3.2通過(guò)因特網(wǎng)實(shí)現(xiàn)網(wǎng)絡(luò)互連可以用以下兩種方式使用V8.3.2通過(guò)因特網(wǎng)實(shí)現(xiàn)網(wǎng)絡(luò)互連2)使用撥號(hào)線路連接分支機(jī)構(gòu)和企業(yè)局域網(wǎng)。不同于傳統(tǒng)的使用連接分支機(jī)構(gòu)路由器的專(zhuān)線撥打長(zhǎng)途或電話連接企業(yè)NAS(網(wǎng)絡(luò)接入服務(wù)器)的方式，分支機(jī)構(gòu)端的路由器可以通過(guò)撥號(hào)方式連接本地ISP。VPN軟件使用與本地ISP建立起的連接，在分支機(jī)構(gòu)和企業(yè)端路由器之間創(chuàng)建一個(gè)跨越因特網(wǎng)的虛擬專(zhuān)用網(wǎng)絡(luò)，如圖8.7所示。8.3.2通過(guò)因特網(wǎng)實(shí)現(xiàn)網(wǎng)絡(luò)互連2)使用撥號(hào)線路連接分圖8.7使用撥號(hào)線路連接分支機(jī)構(gòu)和企業(yè)局域網(wǎng)圖8.7使用撥號(hào)線路連接分支機(jī)構(gòu)和企業(yè)局域網(wǎng)8.3.2通過(guò)因特網(wǎng)實(shí)現(xiàn)網(wǎng)絡(luò)互連在以上兩種方式中，都是通過(guò)使用本地設(shè)備在分支機(jī)構(gòu)和企業(yè)部門(mén)與因特網(wǎng)之間建立連接。無(wú)論是在客戶端還是服務(wù)器端都是通過(guò)拔打本地接入電話建立連接，因此VPN可以大大節(jié)省連接的費(fèi)用。建議作為VPN服務(wù)器的企業(yè)端路由器使用專(zhuān)線連接本地ISP。VPN服務(wù)器必須一天24小時(shí)對(duì)VPN數(shù)據(jù)流進(jìn)行監(jiān)聽(tīng)。8.3.2通過(guò)因特網(wǎng)實(shí)現(xiàn)網(wǎng)絡(luò)互連在以上兩種方式中，都是通8.3.3連接企業(yè)內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)IPSec可以用于與其他組織之間的安全通信保證認(rèn)證和機(jī)密性，并提供密鑰交換機(jī)制。在企業(yè)的內(nèi)部網(wǎng)絡(luò)中，考慮到一些部門(mén)可能存儲(chǔ)有重要數(shù)據(jù)，為確保數(shù)據(jù)的安全性，傳統(tǒng)的方式只能是把這些部門(mén)同整個(gè)企業(yè)網(wǎng)絡(luò)斷開(kāi)，形成孤立的小網(wǎng)絡(luò)。這樣做雖然保護(hù)了部門(mén)的重要信息，但是由于物理上的中斷，使其他部門(mén)的用戶無(wú)法連接，造成通信上的困難。8.3.3連接企業(yè)內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)IPSec可以用于與其他8.3.3連接企業(yè)內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)采用VPN方案，通過(guò)使用一臺(tái)VPN服務(wù)器既能夠?qū)崿F(xiàn)與整個(gè)企業(yè)網(wǎng)絡(luò)的連接，又可以保證保密數(shù)據(jù)的安全性。路由器雖然也能夠?qū)崿F(xiàn)網(wǎng)絡(luò)之間的互連，但是并不能對(duì)流向敏感網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行限制。8.3.3連接企業(yè)內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)采用VPN方案，通過(guò)使用8.3.3連接企業(yè)內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)使用VPN服務(wù)器，企業(yè)網(wǎng)絡(luò)管理人員可通過(guò)指定只有符合特定身份要求的用戶才能連接VPN服務(wù)器獲得訪問(wèn)敏感信息的權(quán)利。此外，可以對(duì)所有VPN數(shù)據(jù)進(jìn)行加密，從而確保數(shù)據(jù)的安全性。沒(méi)有訪問(wèn)權(quán)利的用戶無(wú)法看到部門(mén)的局域網(wǎng)絡(luò)。8.3.3連接企業(yè)內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)使用VPN服務(wù)器，企業(yè)網(wǎng)實(shí)訓(xùn)與思考本節(jié)“實(shí)訓(xùn)與思考”的目的是：(1)熟悉虛擬專(zhuān)用網(wǎng)絡(luò)技術(shù)的基本概念，了解VPN的基本內(nèi)容。(2)通過(guò)因特網(wǎng)搜索與瀏覽，了解網(wǎng)絡(luò)環(huán)境中主流的虛擬專(zhuān)用網(wǎng)絡(luò)技術(shù)網(wǎng)站，掌握通過(guò)專(zhuān)業(yè)網(wǎng)站不斷豐富VPN技術(shù)最新知識(shí)的學(xué)習(xí)方法，嘗試通過(guò)專(zhuān)業(yè)網(wǎng)站的輔助與支持來(lái)開(kāi)展VPN技術(shù)應(yīng)用實(shí)踐。實(shí)訓(xùn)與思考本節(jié)“實(shí)訓(xùn)與思考”的目的是：第八章虛擬專(zhuān)用網(wǎng)絡(luò)技術(shù)周蘇

人人文庫(kù)> 全部分類(lèi)> 教育資料 > 輔導(dǎo)培訓(xùn)

溫馨提示

1. 本站所有資源如無(wú)特殊說(shuō)明，都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
2. 本站的文檔不包含任何第三方提供的附件圖紙等，如果需要附件，請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
3. 本站RAR壓縮包中若帶圖紙，網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽，若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間，僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理，對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯，并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容，請(qǐng)與我們聯(lián)系，我們立即糾正。
7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

課程08虛擬專(zhuān)用網(wǎng)絡(luò)技術(shù)課件

文檔簡(jiǎn)介

溫馨提示

最新文檔

評(píng)論

課程08虛擬專(zhuān)用網(wǎng)絡(luò)技術(shù)課件

文檔簡(jiǎn)介

溫馨提示

最新文檔

評(píng)論

相關(guān)文檔