1、虛擬專用網(wǎng)VPN技術概述目錄理解VPN的概念、分類和功能理解IPSec VPN的工作原理和特點理解SSL VPN的工作原理和特點2網(wǎng)絡存在的典型安全隱患3網(wǎng)絡否認傳送竊聽 冒名傳送篡改用戶甲用戶乙假冒？ 1.1你是誰?RickMaryInternet/Intranet應用系統(tǒng)1.2怎么確認你就是你?信息安全要素舉例1.1我是Rick.1.2 口令是1234.授權機密性完整性防抵賴2. 我能干什么?2.你能干這個,不能干那個.3.如何讓別人無法偷聽?3. 我有密鑰?5.我偷了機密文件,我不承認.5.我有你的罪證.4.如何保證不能被篡改?4.別怕,我有數(shù)字簽名.4鑒別應用系統(tǒng)安全性需求和典型攻擊機

2、密性數(shù)據(jù)傳輸、存儲加密竊聽、業(yè)務流分析完整性數(shù)據(jù)和系統(tǒng)未被未授權篡改或者損壞篡改、重放、旁路、木馬可鑒別性數(shù)據(jù)信息和用戶、進程、系統(tǒng)等實體的鑒別偽造、冒充、假冒5應用系統(tǒng)安全性需求和典型攻擊不可否認性防止源點或終點的抵賴，自身獨有、無法偽造的抵賴、否認授權設置應用、資源細粒度訪問權限越權訪問、破壞資源6為什么使用VPN分布在各地的組織機構需要用專用網(wǎng)絡來保證數(shù)據(jù)傳輸安全安全性好、價格昂貴、難擴展、不靈活TCP/IP采用分組交換方式傳遞數(shù)據(jù)，其特點安全性差、價格便宜、易擴展，普遍使用將專用網(wǎng)的安全特性和分組交換網(wǎng)的廉價和易于擴展的特性結(jié)合？利用共享的互聯(lián)網(wǎng)設施，模擬“專用”廣域網(wǎng)。最終以極低的費

3、用為遠程用戶提供能和專用網(wǎng)絡相媲美的保密通信服務7加密數(shù)據(jù)：保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會泄露。信息認證和身份認證：保證信息的完整性、合法性，并能鑒別用戶的身份。提供訪問控制：不同的用戶有不同的訪問權限?？怪胤牛悍乐箶?shù)據(jù)包被捕捉后重新投放到網(wǎng)上VPN安全功能8VPN的類型按協(xié)議層次可以分為二層VPN，三層VPN、四層VPN和應用層VPN。按應用范圍遠程訪問VPN、內(nèi)聯(lián)網(wǎng)VPN和外聯(lián)網(wǎng)VPN 按體系結(jié)構網(wǎng)關到網(wǎng)關VPN、主機到網(wǎng)關VPN和主機到主機VPN9按協(xié)議層次分類的VPN數(shù)據(jù)鏈路層VPN可以用于各種網(wǎng)絡協(xié)議，比如IP、IPX、AppleTalk等網(wǎng)絡層VPN可以適用于所有應用（

4、即不是應用特定的）傳輸層VPN常用于保護單獨的HTTP應用通信的安全，并且也可以保護其它應用的通信每個應用服務器必須支持該協(xié)議目前主要的web瀏覽器默認支持該協(xié)議應用層VPN保護單個應用的部分或全部通信10按協(xié)議層次分類內(nèi)聯(lián)網(wǎng)VPN分支機構VPN網(wǎng)關AVPN網(wǎng)關B總部通道只需定義在兩邊的網(wǎng)關上Gateway 必須支持IPSec數(shù)據(jù)在這一段是認證的數(shù)據(jù)在這一段是加密的ISPISP11內(nèi)聯(lián)網(wǎng)VPN連接分支機構按協(xié)議層次分類外聯(lián)網(wǎng)VPN12Internet業(yè)務伙伴VPN網(wǎng)關AVPN網(wǎng)關B公司A主機必須支持IPSec主機必須支持IPSec通道建立在兩邊的主機之間，因為業(yè)務伙伴內(nèi)的主機不是都可以信任的數(shù)

5、據(jù)在這一段是加密的數(shù)據(jù)在這一段是認證的數(shù)據(jù)在這一段是認證的數(shù)據(jù)在這一段是加密的數(shù)據(jù)在這一段是認證的數(shù)據(jù)在這一段是加密的ISPISP外聯(lián)網(wǎng)VPN連接合作伙伴按協(xié)議層次分類遠程訪問VPN13Internet公司BISP接入服務器VPN網(wǎng)關B主機必須支持IPSecGateway 必須支持IPSecPSTN數(shù)據(jù)在這一段是加密的數(shù)據(jù)在這一段是認證的數(shù)據(jù)在這一段是加密的數(shù)據(jù)在這一段是認證的通道建立在移動用戶與公司內(nèi)部網(wǎng)的網(wǎng)關處遠程訪問VPN連接遠程用戶按體系結(jié)構分類的VPN網(wǎng)關到網(wǎng)關體系結(jié)構示例主機到主機體系結(jié)構示例主機到網(wǎng)關體系結(jié)構示例14VPN的使用方式自構VPN：也稱為基于用戶設備的VPN。用戶自己

6、添置設備，利用互聯(lián)網(wǎng)連接遠程網(wǎng)絡。此時互聯(lián)網(wǎng)僅用作IP分組的傳送平臺，VPN的安全功能由用戶網(wǎng)絡設備實現(xiàn)。適合于那些有遠程安全通信需求、卻又不信任VPN服務供應商提供的安全服務的用戶。外購VPN：也稱為基于網(wǎng)絡的VPN。將自有遠程網(wǎng)絡按VPN服務供應商的要求連接到服務商提供的VPN邊緣路由器。VPN的安全功能由VPN服務供應商提供?？梢允∪ゴ罅縑PN網(wǎng)絡設備和維護的費用。15本質(zhì)區(qū)別在于用戶在隧道中傳輸?shù)臄?shù)據(jù)包是被封裝在哪種數(shù)據(jù)包中。隧道技術按其拓撲結(jié)構分為點對點隧道和點對多隧道，而VPN主要采用點對點隧道。目前存在多種VPN 隧道，包括L2TP、PPTP、IPSec、MPLS、SSLVPN隧

7、道技術16InternetVPN網(wǎng)關B公司AAH4258ESP4259ESP5257AH5256Sec. ProtocolDst. AddressSPI5公司BSPD中的數(shù)據(jù)項類似于防火墻的配置規(guī)則45Src. Address.Others 繞過、丟棄安全Sec. Service54Dst. Address雙方使用ISAKMP/Oakley密鑰交換協(xié)議建立安全關聯(lián)，產(chǎn)生或者刷新密鑰內(nèi)IP頭ESP尾負 載ESP頭AH頭外IP頭負 載IP 頭4SAD中包含每一個SA的參數(shù)信息，如算法、密鑰等ESPAHESPAHSec. ProtocolOthers 110001101010Key 加密SHA-12

8、583DES CBC259DES CBC 4257加密MD5256Algorithm SPI負 載IP 頭VPN網(wǎng)關A查找SPD數(shù)據(jù)庫決定為流入的IP數(shù)據(jù)提供那些安全服務查找對應SA的參數(shù)要求建立安全相應的關聯(lián)對原有數(shù)據(jù)包進行相應的安全處理建立SAD建立相應的SA完整的VPN工作原理圖二層隧道協(xié)議 IPSec協(xié)議SSL協(xié)議VPN有關協(xié)議的工作原理18二層隧道協(xié)議主要有三種:PPTP：微軟、Ascend、3COM 等公司支持。L2F：Cisco、北方電信等公司支持，在 Cisco路由器中有支持。L2TP：由 IETF 起草，微軟、 Ascend 、Cisco、3COM 等公司參與，結(jié)合了上面兩個

9、協(xié)議的優(yōu)點，成為 有關二層隧道協(xié)議的的工業(yè)標準。二層隧道協(xié)議19IPSec協(xié)議ESP協(xié)議AH協(xié)議密鑰管理協(xié)議加密算法解釋域（DOI）認證算法IPsec協(xié)議20IPSec協(xié)議實際上是一個協(xié)議包安全加密數(shù)據(jù)，加密公網(wǎng)傳輸?shù)男畔⑼暾院涂设b別性算法對稱、非對稱、摘要、HMACAH主要提供數(shù)據(jù)來源認證、數(shù)據(jù)完整性驗證和防報文回放攻擊功能。包含兩種模式：傳輸模式和隧道模式。IPsec協(xié)議AH認證頭部21AH隧道模式包AH傳輸模式包除了AH協(xié)議的功能外，ESP還提供對IP報文的加密功能。包括兩種模式：隧道模式和傳輸模式。IPsec協(xié)議ESP負載安全封裝22SSL (Secure socket Layer)

10、，安全套接層協(xié)議，由netscape公司提出。TLS（Transport Layer Security），是IETF的TLS工作組在SSL3.0基礎之上提出的安全通信標準。使用公開密鑰體制和X.509數(shù)字證書技術保護信息傳輸?shù)臋C密性和完整性，適用于點對點之間的信息傳輸，常用Web Server方式。 位于TCP層之上、應用層之下，為上層應用在網(wǎng)絡間建立一條安全通道。提供：服務器認證、客戶認證（可選）、鏈路上的數(shù)據(jù)完整性和數(shù)據(jù)保密性等保護功能。 SSL協(xié)議23SSL協(xié)議主要過程24SSL協(xié)議SSL Handshake Protocol鑒別、協(xié)商加密算法和密鑰提供連接安全性身份鑒別，單向/雙向鑒別協(xié)商過程可靠，防中間人攻擊協(xié)商密鑰安全，SSL Record Protocol在TCP之上，用來封裝更高層的協(xié)議提供連接安全性保密性，使用了對稱加密算法完整性，使用HMAC算法保密性對于每個連接都有唯一的會話密鑰采用對稱密碼體制加密會話數(shù)據(jù)。完整性保障傳輸數(shù)據(jù)完整性采用HMAC可鑒別性使用非對稱算法，支持使用數(shù)字證書鑒別單向、雙向鑒別SSL協(xié)議安全性26HTTPSHTTPS保護WEB通信項目IPSec VPNSSL VPN身份驗證雙向/數(shù)字證書單/雙向/數(shù)字證書加密依靠執(zhí)行加密基于web瀏覽器