虛擬專用網(wǎng)絡(luò)技術(shù)第10章基本內(nèi)容互聯(lián)網(wǎng)的普及使得遠程網(wǎng)絡(luò)互聯(lián)的應(yīng)用大為增加，特別是跨地區(qū)企業(yè)的內(nèi)部網(wǎng)絡(luò)應(yīng)用、政府部門的縱向分級網(wǎng)絡(luò)管理等。網(wǎng)絡(luò)安全風(fēng)險又使得這種應(yīng)用存在嚴重的隱患。虛擬專用網(wǎng)絡(luò)技術(shù)為這種應(yīng)用保駕護航。10.1VPN技術(shù)概述虛擬專用網(wǎng)（VirtualPrivateNetwork，VPN）被定義為通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。

10.1.1VPN的概念VPN依靠ISP（Internet服務(wù)提供商）和其他NSP（網(wǎng)絡(luò)服務(wù)提供商），在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在虛擬專用網(wǎng)中，任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動態(tài)組成的。

VPN是對企業(yè)內(nèi)部網(wǎng)的擴展。一般以IP為主要通訊協(xié)議。

10.1VPN技術(shù)概述

VPN是在公網(wǎng)中形成的企業(yè)專用鏈路。采用“隧道”技術(shù)，可以模仿點對點連接技術(shù)，依靠Internet服務(wù)提供商(ISP)和其他的網(wǎng)絡(luò)服務(wù)提供商(NSP)在公用網(wǎng)中建立自己專用的“隧道”，讓數(shù)據(jù)包通過這條隧道傳輸。對于不同的信息來源，可分別給它們開出不同的隧道。

10.1.1VPN的概念(續(xù))10.1VPN技術(shù)概述

隧道是一種利用公網(wǎng)設(shè)施，在一個網(wǎng)絡(luò)之中的“網(wǎng)絡(luò)”上傳輸數(shù)據(jù)的方法。隧道協(xié)議利用附加的報頭封裝幀，附加的報頭提供了路由信息，因此封裝后的包能夠通過中間的公網(wǎng)。封裝后的包所途經(jīng)的公網(wǎng)的邏輯路徑稱為隧道。一旦封裝的幀到達了公網(wǎng)上的目的地，幀就會被解除封裝并被繼續(xù)送到最終目的地。

10.1.1VPN的概念(續(xù))①隧道開通器(TI)；②有路由能力的公用網(wǎng)絡(luò)；③一個或多個隧道終止器(TT)；④必要時增加一個隧道交換機以增加靈活性。隧道基本要素10.1VPN技術(shù)概述10.1.2VPN的基本功能VPN的主要目的是保護傳輸數(shù)據(jù)，是保護從信道的一個端點到另一端點傳輸?shù)男畔⒘?。信道的端點之前和之后，VPN不提供任何的數(shù)據(jù)包保護。VPN的基本功能至少應(yīng)包括：1）加密數(shù)據(jù)2）信息驗證和身份識別3）提供訪問控制4）地址管理5）密鑰管理6）多協(xié)議支持10.1VPN技術(shù)概述10.1.3VPN的特性安全性隧道、加密、密鑰管理、數(shù)據(jù)包認證、用戶認證、訪問控制可靠性硬件、軟件、基礎(chǔ)網(wǎng)絡(luò)的可靠性可管理性記帳、審核、日志的管理是否支持集中的安全控制策略可擴展性成本的可擴展性，如使用令牌卡成本高性能，是否考慮采用硬件加速加解密速度10.1VPN技術(shù)概述10.1.3VPN的特性(續(xù))可用性系統(tǒng)對應(yīng)用盡量透明對終端用戶來說使用方便互操作性盡量采用標(biāo)準協(xié)議，與其他供應(yīng)商的設(shè)備能互通服務(wù)質(zhì)量QoS通過Internet連接的VPN服務(wù)質(zhì)量很大程度取決于Internet的狀況多協(xié)議支持10.2VPN協(xié)議VPN主要采用以下四項技術(shù)來保證安全：◆隧道技術(shù)◆加解密技術(shù)

◆密鑰管理技術(shù)◆使用者與設(shè)備身份認證技術(shù)10.2.1VPN安全技術(shù)

加解密技術(shù)、密鑰管理技術(shù)、使用者與設(shè)備身份認證技術(shù)在第五章已作介紹，VPN只是對這幾種技術(shù)的應(yīng)用。下面重點介紹隧道技術(shù)10.2VPN協(xié)議10.2.2VPN的隧道協(xié)議

VPN中的隧道是由隧道協(xié)議形成的，VPN使用的隧道協(xié)議主要有三種：點到點隧道協(xié)議（PPTP）、第二層隧道協(xié)議（L2TP）以及IPSec。PPTP和L2TP集成在windows中，所以最常用。PPTP協(xié)議允許對IP、IPX或NetBEUI數(shù)據(jù)流進行加密，然后封裝在IP包頭中通過企業(yè)IP網(wǎng)絡(luò)或公共因特網(wǎng)絡(luò)發(fā)送。L2TP協(xié)議允許對IP，IPX或NetBEUI數(shù)據(jù)流進行加密，然后通過支持點對點數(shù)據(jù)報傳遞的任意網(wǎng)絡(luò)發(fā)送，如IP，X.25，幀中繼或ATM。IPSec隧道模式允許對IP負載數(shù)據(jù)進行加密，然后封裝在IP包頭中通過企業(yè)IP網(wǎng)絡(luò)或公共IP因特網(wǎng)絡(luò)如Internet發(fā)送。10.2VPN協(xié)議10.2.2VPN的隧隧道協(xié)議NSRC、、NDST是隧道端端點設(shè)備的的IP地址址公網(wǎng)上路由由時僅僅考考慮NSRC、NDST原始數(shù)據(jù)包包的DST、SRC對公網(wǎng)透透明DSTSRCDATANDSTNSRCDSTSRCDATA10.2VPN協(xié)議10.2.2VPN的隧隧道協(xié)議Point-to-PointTunnelProtocol,2層協(xié)議，，需要把網(wǎng)網(wǎng)絡(luò)協(xié)議包包封裝到PPP包，，PPP數(shù)數(shù)據(jù)依靠PPTP協(xié)協(xié)議傳輸PPTP通通信時，客客戶機和服服務(wù)器間有有2個通道道，一個通通道是tcp1723端口口的控制連連接，另一一個通道是是傳輸GREPPP數(shù)據(jù)包包的IP隧隧道PPTP沒沒有加密、、認證等安安全措施，，安全的加加強通過PPP協(xié)議議的MPPE(MicrosoftPoint-to-PointEncryption)實現(xiàn)現(xiàn)windows中集集成了PPTPServer和Client，適合中中小企業(yè)支支持少量移移動工作者者如果有防火火墻的存在在或使用了了地址轉(zhuǎn)換換，PPTP可能無無法工作1．點到點點隧道協(xié)議議（PPTP）10.2VPN協(xié)議10.2.2VPN的隧隧道協(xié)議把網(wǎng)絡(luò)數(shù)據(jù)據(jù)包封裝在在PPP協(xié)協(xié)議中，PPP協(xié)議議的數(shù)據(jù)包包放到隧道道中傳輸L2TPRFC2661定義在Cisco公司的的L2F和和PPTP的基礎(chǔ)上上開發(fā)windows中集集成2．第二層隧隧道協(xié)議（（L2TP）10.2VPN協(xié)議10.2.2VPN的隧隧道協(xié)議3．IPSec協(xié)議3層協(xié)議，，直接傳輸輸網(wǎng)絡(luò)協(xié)議議數(shù)據(jù)包基于TCP/IP的的標(biāo)準協(xié)議議，集成到到IPv6中，僅僅僅傳輸IP協(xié)議數(shù)據(jù)據(jù)包提供了強大大的安全、、加密、認認證和密鑰鑰管理功能能適合大規(guī)模模VPN使使用，需要認證中中心（CA）來進行行身份認證證和分發(fā)用用戶的公共共密鑰IPSec數(shù)據(jù)包的的格式10.2VPN協(xié)議10.2.2VPN的隧隧道協(xié)議3．IPSec協(xié)議(續(xù))IPSec的工作模模式傳輸模式：只對IP數(shù)據(jù)包的的有效負載載進行加密密或認證。。此時，繼繼續(xù)使用以以前的IP頭部，只只對IP頭頭部的部分分域進行修修改，而IPSec協(xié)議頭部部插入到IP頭部和和傳輸層頭頭部之間。。隧道模式：對整個IP數(shù)據(jù)包包進行加密密或認證。。此時，需需要新產(chǎn)生生一個IP頭部，IPSec頭部被放放在新產(chǎn)生生的IP頭頭部和以前前的IP數(shù)數(shù)據(jù)包之間間，從而組組成一個新新的IP頭頭部。10.2VPN協(xié)議10.2.2VPN的隧隧道協(xié)議3．IPSec協(xié)議(續(xù))IPSec的三個主主要協(xié)議SA(SecurltyAssociation安全全關(guān)聯(lián))。所謂安全全關(guān)聯(lián)是指指安全服務(wù)務(wù)與它服務(wù)務(wù)的載體之之間的一個個“連接””。AH和和ESP都都需要使用用SA，而而IKE的的主要功能能就是SA的建立和和維護。只只要實現(xiàn)AH和ESP都必須須提供對SA的支持持。1）ESP（EncapsulatingSecurityPayload））。ESP協(xié)議主要要用來處理理對IP數(shù)數(shù)據(jù)包的加加密。ESP是與具具體的加密密算法相獨獨立的，幾幾乎支持各各種對稱密密鑰加密算算法，默認認為3DES和DES。2）AH(AuthenticationHeader)。AH只涉及及到認證，，不涉及到到加密。3）IKE(InternetKeyExchange)。。IKE協(xié)協(xié)議主要是是對密鑰交交換進行管管理，它主主要包括三三個功能：：①對使用用的協(xié)議、、加密算法法和密鑰進進行協(xié)商；；②方便的的密鑰交換換機制(這這可能需要要周期性的的進行)；；③跟蹤對對以上這些些約定的實實施。10.2VPN協(xié)議系系統(tǒng)的組成成IPSecVPN的的實現(xiàn)包含含管理模塊塊、密鑰分分配和生成成模塊、身身份認證模模塊、數(shù)據(jù)據(jù)加密/解解密模塊、、數(shù)據(jù)分組組封裝/分分解模塊和和加密函數(shù)數(shù)庫幾部分分組成。10.3VPN的類型VPN的分分類方法比比較多，實實際使用中中，需要通通過客戶端端與服務(wù)器器端的交互互實現(xiàn)認證證與隧道建建立?；谟诙印⑷龑拥腣PN，都需需要安裝專專門的客戶戶端系統(tǒng)（（硬件或軟軟件），完完成VPN相關(guān)的工工作。一個VPN解決方案案不僅僅是是一個經(jīng)過過加密的隧隧道，它包包含訪問控制、、認證、加加密、隧道道傳輸、路路由選擇、、過濾、高高可用性、、服務(wù)質(zhì)量量以及管理理VPN系統(tǒng)統(tǒng)大體分為為4類專用的VPN硬件支持VPN的硬件或或軟件防火火墻VPN軟件件VPN服務(wù)務(wù)提供商10.3VPN的類型按按VPN的的應(yīng)用方式式分類VPN從應(yīng)應(yīng)用的方式式上分，有有兩種基本本類型：撥撥號式VPN與專用用式VPN。撥號VPN分為兩種種：在用戶戶PC機上上或在服務(wù)務(wù)提供商的的網(wǎng)絡(luò)訪問問服務(wù)器(NAS)上。專用VPN有多種形形式。IPVPN的發(fā)展展促使骨干干網(wǎng)建立VPN解決決方案，形形成了基于于MPLS的IPVPN技技術(shù)。MPLSVPN的優(yōu)優(yōu)點是全網(wǎng)網(wǎng)統(tǒng)一管理理的能力很很強，由于于MPLSVPN是基于網(wǎng)網(wǎng)絡(luò)的，全全部的VPN網(wǎng)絡(luò)配配置和VPN策略配配置都在網(wǎng)網(wǎng)絡(luò)端完成成，可以大大大降低管管理維護的的開銷。10.3VPN的類型按按VPN的的應(yīng)用平臺臺分類VPN的應(yīng)應(yīng)用平臺分分為三類：：軟件平臺臺、專用硬硬件平臺及及輔助硬件件平臺。(1)軟件件平臺VPN當(dāng)對數(shù)據(jù)連連接速率要要求不高，，對性能和和安全性需需求不強時時，可以利利用一些軟軟件公司所所提供的完完全基于軟軟件的VPN產(chǎn)品來來實現(xiàn)簡單單的VPN功能。(2)專用用硬件平臺臺VPN使用專用硬硬件平臺的的VPN設(shè)設(shè)備可以滿滿足企業(yè)和和個人用戶戶對提高數(shù)數(shù)據(jù)安全及及通信性能能的需求，，尤其是從從通信性能能的角度來來看，指定定的硬件平平臺可以完完成數(shù)據(jù)加加密及數(shù)據(jù)據(jù)亂碼等對對CPU處處理能力需需求很高的的功能。提提供這些平平臺的硬件件廠商比較較多，如川川大能士、、Nortel、Cisco、3Com等。(3)輔助助硬件平臺臺VPN這類VPN介于軟件件平臺和指指定硬件平平臺之間，，輔助硬件件平臺的VPN主要要是指以現(xiàn)現(xiàn)有網(wǎng)絡(luò)設(shè)設(shè)備為基礎(chǔ)礎(chǔ)，再增添添適當(dāng)?shù)腣PN軟件件以實現(xiàn)VPN的功功能。10.3VPN的類型按按VPN的的協(xié)議分類類按VPN協(xié)協(xié)議方面來來分類主要要是指構(gòu)建建VPN的的隧道協(xié)議議。VPN的隧道協(xié)協(xié)議可分為為第二層隧隧道協(xié)議、、第三層隧隧道協(xié)議。。第二層隧隧道協(xié)議最最為典型的的有PPTP、L2F、L2TP等，，第三層隧隧道協(xié)議有有GRE、、IPSec等。第二層隧隧道和第第三層隧隧道的本本質(zhì)區(qū)別別在于，，在隧道道里傳輸輸?shù)挠脩魬魯?shù)據(jù)包包是被封封裝在哪哪一層的的數(shù)據(jù)包包中。第第二層隧隧道協(xié)議議和第三三層隧道道協(xié)議一一般來說說分別使使用，但但合理的的運用兩兩層協(xié)議議，將具具有更好好的安全全性。10.3VPN的的類型按按VPN的的服務(wù)類類型分類類根據(jù)服務(wù)務(wù)類型，，VPN業(yè)務(wù)按用戶需求求定義以下三種種：InternetVPN、、AccessVPN與ExtranetVPN。1）InternetVPN（內(nèi)部部網(wǎng)VPN）。即企業(yè)業(yè)的總部部與分支支機構(gòu)間間通過公公網(wǎng)構(gòu)筑筑的虛擬擬網(wǎng)。這這種類型型的連接接帶來的的風(fēng)險最最小，因因為公司司通常認認為他們們的分支支機構(gòu)是是可信的的，并將將它作為為公司網(wǎng)網(wǎng)絡(luò)的擴擴展。內(nèi)內(nèi)部網(wǎng)VPN的的安全性性取決于于兩個VPN服服務(wù)器之之間加密密和驗證證手段上上。10.3VPN的的類型按按VPN的的服務(wù)類類型分類類2）AccessVPN（遠遠程訪問問VPN）又稱為撥撥號VPN(即即VPDN)，，是指企企業(yè)員工工或企業(yè)業(yè)的小分分支機構(gòu)構(gòu)通過公公網(wǎng)遠程程撥號的的方式構(gòu)構(gòu)筑的虛虛擬網(wǎng)。。典型的的遠程訪訪問VPN是用用戶通過過本地的的信息服服務(wù)提供供商(ISP)登錄到到因特網(wǎng)網(wǎng)上，并并在現(xiàn)在在的辦公公室和公公司內(nèi)部部網(wǎng)之間間建立一一條加密密信道。。10.3VPN的類類型10.3.4按VPN的服務(wù)類類型分類3）ExtranetVPN（外聯(lián)聯(lián)網(wǎng)VPN））即企業(yè)間發(fā)生生收購、兼并并或企業(yè)間建建立戰(zhàn)略聯(lián)盟盟后，使不同同企業(yè)網(wǎng)通過過公網(wǎng)來構(gòu)筑筑的虛擬網(wǎng)。。它能保證包包括TCP和和UDP服務(wù)務(wù)在內(nèi)的各種種應(yīng)用服務(wù)的的安全，如Email、、HTTP、、FTP、RealAudio、數(shù)數(shù)據(jù)庫的安全全以及一些應(yīng)應(yīng)用程序如Java、ActiveX的安全。。10.3VPN的類類型10.3.5按VPN的部署模模式分類VPN可以通通過部署模式式來區(qū)分，部部署模式從本本質(zhì)上描述了了VPN的通通道是如何建建立和終止的的，一般有三三種VPN部部署模式。(1)端到端端(End-to-End)模式是典型的由自自建VPN的的客戶所采用用的模式，最常見的隧道道協(xié)議是IPSec和PPTP。(2)供應(yīng)商商——企業(yè)(Provider-Enterprise)模式隧道通常在VPN服務(wù)器器或路由器中中創(chuàng)建，在客客戶前端關(guān)閉閉。在該模式式中，客戶不不需要購買專專門的隧道軟軟件，由服務(wù)務(wù)商的設(shè)備來來建立通道并并驗證。最常常見的隧道協(xié)協(xié)議有L2TP、L2F和PPTP。(3)內(nèi)部供供應(yīng)商(Intra-Provider)模式式服務(wù)商保持了了對整個VPN設(shè)施的控控制。在該模模式中，通道道的建立和終終止都是在服服務(wù)商的網(wǎng)絡(luò)絡(luò)設(shè)施中實現(xiàn)現(xiàn)的。客戶不不需要做任何何實現(xiàn)VPN的工作。10.4SSLVPN簡介SSLVPN使用SSL和代理技技術(shù)，向終端端用戶提供對對超文本傳送送協(xié)議（HTTP）、客客戶/服務(wù)器器和文件共享享等應(yīng)用授權(quán)權(quán)安全訪問的的一種遠程訪訪問技術(shù)，因因此不需要安安裝專門客戶戶端軟件。SSL協(xié)議是是在網(wǎng)絡(luò)傳輸輸層上提供的的基于RSA加密算法和和保密密鑰的的用于瀏覽器器與Web服服務(wù)器之間的的安全連接技技術(shù)。SSLVPN部署和管管理費用低，，在安全性和和為用戶提供供更多便利性性方面，明顯顯優(yōu)于傳統(tǒng)IPSecVPN。SSLVPN是建立用戶戶和服務(wù)器之之間的一條專專用通道，在在這條通道中中傳輸?shù)臄?shù)據(jù)據(jù)是不公開的的數(shù)據(jù)，因此此必須要在安安全的前提下下進行遠程連連接。SSLVPN其安全性性包含三層含含義：一是客戶端接接入的安全性性；二是數(shù)據(jù)傳輸輸?shù)陌踩裕蝗莾?nèi)部資源源訪問的安全全性。SSLVPN支持Web應(yīng)用的遠遠程連接，包包括基于TCP協(xié)議的B/S和C/S應(yīng)用，UDP應(yīng)用。。SSLVPN的關(guān)鍵鍵技術(shù)有代理理和轉(zhuǎn)發(fā)技術(shù)術(shù)、訪問控制制、身份驗證證、審計日志志。10.4.1SSLVPN的的安全技術(shù)1．信息傳輸輸安全1）通過瀏覽覽器對任何Internet可以連連接的地方到到遠程應(yīng)用或或數(shù)據(jù)間的所所有通信進行行即時的SSL加密。2）安全客戶戶端檢測，有有效保護您的的網(wǎng)絡(luò)免受特特洛伊、病毒毒、蠕蟲或黑黑客的攻擊。。含防火墻、、反病毒防護護、Windows升級級、Windows服務(wù)務(wù)、文件數(shù)字字簽名、管理理員選擇注冊冊表、IP地地址等多方面的檢測測功能。2．用戶認證證與授權(quán)1）認證。誰誰被允許登錄錄系統(tǒng)，在遠遠程用戶被允允許登錄前進進行身份確認認。包括標(biāo)準準的用戶名＋＋密碼方式、、智能卡、RSA，還可可使用CA證證書。2）授權(quán)。按按角色劃分的的權(quán)限訪問應(yīng)應(yīng)用程序、數(shù)數(shù)據(jù)和其他一一些資源，在在服務(wù)器端通通過劃分組、、角色和應(yīng)用用程序進行集集中管理。3）審計。隨隨時了解用戶戶做了什么訪訪問。對每位位用戶的活動動進行追蹤、、監(jiān)視并記錄錄日志。10.4SSLVPN簡介10.4.2SSLVPN的的功能與特點點1．SSLVPN的基基本功能SSLVPN是一款專專門針對B/S和C/S應(yīng)用的SSLVPN產(chǎn)品，具具有以下完善善實用的功能能：1）提供了基基于SSL協(xié)協(xié)議和數(shù)字證證書的強身份份認證和安全全傳輸通道。。2）提供了先先進的基于URL的訪問問控制。3）提供了SSL硬件加加速的處理和和后端應(yīng)用服服務(wù)的負載平平衡。4）提供了基基于加固的系系統(tǒng)平臺和IDS技術(shù)的的安全功能。。10.4SSLVPN簡介2．SSLVPN系統(tǒng)統(tǒng)協(xié)議由SSL、HTTPS、、SOCKS這3個個協(xié)議相互協(xié)協(xié)作共同實現(xiàn)現(xiàn)。3．SSLVPN的特特點1）安裝簡單單、易于操作作，無需安裝裝客戶端軟件件。2）具有認證證加密、訪問問控制、安全全信息備份、、負載平衡等等功能。3）使用標(biāo)準準的HTTPS協(xié)議傳輸輸數(shù)據(jù)，可以以穿越防火墻墻，不存在地地址轉(zhuǎn)換的問問題，而且不不改變用戶網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)，適適合復(fù)雜應(yīng)用用環(huán)境。10.4.3SSLVPN的的工作原理SSLVPN的工作原原理可用以下下幾個步驟來來描述：1）SSLVPN生成成自己的根證證書和服務(wù)器器操作證書。。2）客戶端瀏瀏覽器下載并并導(dǎo)入SSLVPN的的根證書。3）通過管理理界面對后端端網(wǎng)站服務(wù)器器設(shè)置訪問控控制。4）客戶端通通過瀏覽器使使用HTTPS協(xié)議訪訪問網(wǎng)站時，，SSLVPN接受請請求，客戶端端實現(xiàn)對SSLVPN服務(wù)器的認認證。5）服務(wù)器端端通過口令方方式認證客戶戶端。6）客戶端瀏瀏覽器和SSLVPN服務(wù)器端之之間所有通信信建立了SSL安全通道道。10.4SSLVPN簡介10.4.4SSLVPN的的應(yīng)用模式及及特點SSLVPN的解決方方案包括三種種模式：◆Web瀏覽器器模式◆SSLVPN客戶端模模式◆LAN到LAN模式式WEB瀏覽器器模式是SSLVPN的最大優(yōu)勢勢，它充分利利用了當(dāng)前Web瀏覽器器的內(nèi)置功能能，來保護遠遠程接入的安安全，配置和和使用都非常常方便。SSLVPN已逐漸成為為遠程接入的的主要手段之之一。10.4SSLVPN簡介10.4.4SSLVPN的的應(yīng)用模式及及特點10.4SSLVPN簡介1．Web瀏瀏覽器模式的的解決方案由于Web瀏瀏覽器的廣泛泛部署，而且且Web瀏覽覽器內(nèi)置了SSL協(xié)議，，使得SSLVPN在在這種模式下下只要在SSLVPN服務(wù)器上集集中配置安全全策略，幾乎乎不用為客戶戶端做什么配配置就可使用用，大大減少少了管理的工工作量，方便便用戶的使用用。缺點是僅僅能保護Web通信傳輸輸安全。遠程計算機使使用Web瀏瀏覽器通過SSLVPN服務(wù)器器來訪問企業(yè)業(yè)內(nèi)部網(wǎng)中的的資源。這種模式目前前已廣泛使用用于校園網(wǎng)、、電子政務(wù)網(wǎng)網(wǎng)中!10.4.4SSLVPN的的應(yīng)用模式及及特點10.4SSLVPN簡介2．SSLVPN客戶端端模式的解決決方案SSLVPN客戶端模模式為遠程訪訪問提供安全全保護，用戶需要在客客戶端安裝一一個客戶端軟軟件，并做一些簡簡單的配置即即可使用，不不需對系統(tǒng)做做改動。這種種模式的優(yōu)點點是支持所有有建立在TCP/IP和和UDP/IP上的應(yīng)用用通信傳輸?shù)牡陌踩?，Web瀏覽器也也可以在這種種模式下正常常工作。這種種模式的缺點點是客戶端需需要額外的開開銷。10.4.4SSLVPN的的應(yīng)用模式及及特點10.4SSLVPN簡簡介介3．．LAN到到LAN模模式式的的解解決決方方案案LAN到到LAN模模式式對對LAN（（局局域域網(wǎng)網(wǎng)））與與LAN（（局局域域網(wǎng)網(wǎng)））間間的的通通信信傳傳輸輸進進行行安安全全保保護護。。與與基基于于IPSec協(xié)協(xié)議議的的LAN到到LAN的的VPN相相比比，，它它的的優(yōu)點點就就是是擁擁有有更更多多的的訪訪問問控控制制的的方方式式,缺缺點點是是僅僅能能保保護護應(yīng)應(yīng)用用數(shù)數(shù)據(jù)據(jù)的的安安全全，，并并且且性性能能較較低低。能能士士NesecSVPN的的解解決決方方案案10.5應(yīng)應(yīng)用用案案例例某系系統(tǒng)統(tǒng)網(wǎng)網(wǎng)絡(luò)絡(luò)已已建建設(shè)設(shè)完完成成，，但但因因國國家家-省省-市市地地-區(qū)區(qū)縣縣四四級級網(wǎng)網(wǎng)絡(luò)絡(luò)采采用用了了不不同同的的公公網(wǎng)網(wǎng)傳傳輸輸平平臺臺，，又又因因區(qū)區(qū)縣縣地地域域管管轄轄原原因因，，該該行行業(yè)業(yè)網(wǎng)網(wǎng)絡(luò)絡(luò)的的部部分分區(qū)區(qū)縣縣LAN融融合合于于當(dāng)當(dāng)?shù)氐氐牡碾婋娮幼诱?wù)務(wù)網(wǎng)網(wǎng)中中，，也也有有部部分分區(qū)區(qū)縣縣與與當(dāng)當(dāng)?shù)氐仄淦渌坎块T門網(wǎng)網(wǎng)絡(luò)絡(luò)合合作作建建設(shè)設(shè)。。存在在問問題題：：①①各各縣縣局局雖雖然然能能訪訪問問上上級級市市局局網(wǎng)網(wǎng)絡(luò)絡(luò)，，卻卻不不能能訪訪問問省省局局、、國國家家局局及及其其他他省省市市局局的的網(wǎng)網(wǎng)絡(luò)絡(luò)資資源源；；②②各各縣縣局局訪訪問問所所在在市市的的服服務(wù)務(wù)器器因因為為借借助助于于市市政政專專網(wǎng)網(wǎng)，，通通過過路路由由器器訪訪問問，，其其間間并并沒沒有有采采取取任任何何安安全全措措施施，，因因此此安安全全性性無無法法得得到到保保障障。。這樣樣的的網(wǎng)網(wǎng)絡(luò)絡(luò)現(xiàn)現(xiàn)狀狀，，不不能能實實現(xiàn)現(xiàn)互互通通，，也也就就無無法法實實現(xiàn)現(xiàn)訪訪問問及及其其他他應(yīng)應(yīng)用用。。實實際際應(yīng)應(yīng)用用中中，，通通過過能能士士VPN特特有有的的虛虛擬擬地地址址管管理理功功能能有有效效解解決決了了所所有有問問題題。。能士士RVPN特特色色功功能能10.5應(yīng)應(yīng)用用案案例例1））網(wǎng)網(wǎng)絡(luò)絡(luò)互互聯(lián)聯(lián)。。支支持持星星型型網(wǎng)網(wǎng)絡(luò)絡(luò)通通過過Internet進進行行互互聯(lián)聯(lián)，，網(wǎng)網(wǎng)絡(luò)絡(luò)由由RVPN-H和和RVPN-B(P)共共同同組組成成。。2））遠遠程程接接入入。。移移動動用用戶戶通通過過Internet接接入入總總部部網(wǎng)網(wǎng)絡(luò)絡(luò)。?？煽煞址峙渑涮撎摂M擬IP。。3））基基于于用用戶戶名名密密碼碼的的身身份份認認證證,RVPN內(nèi)內(nèi)置置RADIUS服服務(wù)務(wù)支支持持基基于于用用戶戶名名密密碼碼的的身身份份認認證證，，目目前前僅僅支支持持靜靜態(tài)態(tài)密密碼碼。。該該功功能能又又名名用用戶戶管管理理。。4））基基于于硬硬件件綁綁定定的的身身份份證證書書認認證證,提提供供基基于于PC硬硬件件序序號號的的身身份份認認證證過過程程。。使使得得只只有有指指定定計計算算機機才才能能接接入入網(wǎng)網(wǎng)絡(luò)絡(luò)。。該該功功能能又又名名硬硬件件ID鑒鑒權(quán)權(quán)。。5））加加密密。。尋尋址址加加密密使使用用DES,數(shù)數(shù)據(jù)據(jù)傳傳輸輸使使用用DES或或AES。。6））穿穿透透NAT,支支持持分分支支或或移移動動穿穿透透任任何何NAT設(shè)設(shè)備備。。非非直直連連Internet,支支持持總總部部安安裝裝在在NAT設(shè)設(shè)備備以以內(nèi)內(nèi)。。7））路路由由功功能能和和動動態(tài)態(tài)尋尋址址8））包包過過濾濾防防火火墻墻功功能能,支支持持基基于于封封包包過過濾濾的的防防火火墻墻功功能能。。9））NAT功功能能,支支持持正正向向動動態(tài)態(tài)NAT，，反反向向端端口口映映射射。。10））Internet訪訪問問控控制制,基基于于用用戶戶的的Internet訪訪問問控控制制，，限限制制非非法法用用戶戶訪訪問問非非授授權(quán)權(quán)服服務(wù)務(wù)。。防防止止攻攻擊擊類類型型：：SYN和和ICMP方方式式的的DOS攻攻擊擊、、碎碎片片攻攻擊擊等等。。的的解解決決方方案案10.5應(yīng)應(yīng)用用案案例例Microsoft的的核核心心VPN技技術(shù)術(shù)是是建建立立在在PPTP的的基基礎(chǔ)礎(chǔ)之之上上的的，，Windows2000/X