第2節(jié)VPN技術(shù)與應(yīng)用第4章目

錄01VPN簡(jiǎn)介02VPN關(guān)鍵技術(shù)03VPN部署方式及應(yīng)用01VPN簡(jiǎn)介總部出差用戶(hù)VPN隧道VPN安全網(wǎng)關(guān)VPN安全網(wǎng)關(guān)分部什么是VPN？VPN（VirtualPrivateNetwork）是一種使用密碼技術(shù)，在公共網(wǎng)絡(luò)虛擬出的專(zhuān)用網(wǎng)絡(luò)。VPN特點(diǎn)VPN是虛擬的連接，非物理的連接VPN能為使用者節(jié)約成本通過(guò)VPN能夠安全傳輸數(shù)據(jù)VPN的概念專(zhuān)線費(fèi)用高昂直接在網(wǎng)絡(luò)上傳輸私有數(shù)據(jù)，安全得不到保證鋪設(shè)/租用專(zhuān)線竊取數(shù)據(jù)分部上?？偛勘本￢PN技術(shù)產(chǎn)生原因VPN的概念今天的晚餐真美味！明文今天的晚餐真美味！明文加密解密@#￥#@##%…………*&……%）（）@#！#@%￥&##@@@#@@@#@#@%密文發(fā)送方接收方VPNVPNVPN主要功能01.加密

網(wǎng)絡(luò)傳輸分組之前，發(fā)送方可對(duì)其加密VPN的功能數(shù)據(jù)完整性

接收方可以檢查數(shù)據(jù)在傳輸過(guò)程中是否被修改來(lái)源驗(yàn)證

接收方可以檢查發(fā)送者的身份，確保信息來(lái)自正確的地方VPN的功能今天的晚餐真美味！明文今天的晚餐真美味！明文加密解密@#￥#@##%…………*&……%）（）@#！#@%￥&##@@@#@@@#@#@%密文發(fā)送方接收方VPNVPN數(shù)據(jù)完整性計(jì)算摘要計(jì)算并對(duì)比摘要VPN主要功能02.03.VPN的分類(lèi)按協(xié)議類(lèi)型二層隧道協(xié)議PPTP（PointtoPointTunnelingProtocol）點(diǎn)對(duì)點(diǎn)隧道協(xié)議（PPTP），通過(guò)PPTP控制連接來(lái)創(chuàng)建、維護(hù)、終止一條隧道。使用通用路由封裝GRE（GenericRoutingEncapsulation）對(duì)PPP幀進(jìn)行封裝。PPP幀的有效載荷即有效傳輸數(shù)據(jù)必須經(jīng)過(guò)加密、壓縮或是兩者的混合處理。PPTP協(xié)議假定在PPTP客戶(hù)機(jī)和PPTP服務(wù)器之間有連通并且可用的IP網(wǎng)絡(luò)。按協(xié)議類(lèi)型二層隧道協(xié)議L2TP（Layer2TunnelingProtocol）VPN為用戶(hù)和企業(yè)的服務(wù)器之間透明傳輸PPP報(bào)文。提供了對(duì)PPP鏈路層數(shù)據(jù)包的通道傳輸支持。結(jié)合了L2F和PPTP協(xié)議的各自?xún)?yōu)點(diǎn)，成為了IETF有關(guān)二層隧道協(xié)議的工業(yè)標(biāo)準(zhǔn)。L2TP協(xié)議主要用途：企業(yè)駐外機(jī)構(gòu)和出差人員從公網(wǎng)通過(guò)虛擬隧道實(shí)現(xiàn)和公司內(nèi)部網(wǎng)絡(luò)連接。VPN的分類(lèi)按協(xié)議類(lèi)型三層隧道協(xié)議IPSec（InternetProtocolSecurity）VPNIPSec是IETF以RFC形式公布的一組安全I(xiàn)P協(xié)議集，是在IP層提供保護(hù)的安全協(xié)議標(biāo)準(zhǔn)，是虛擬專(zhuān)網(wǎng)的基礎(chǔ)。IPSec將幾種安全技術(shù)結(jié)合形成一個(gè)比較完整的安全體系結(jié)構(gòu)，它通過(guò)在IP協(xié)議中增加兩個(gè)基于密碼的安全機(jī)制——認(rèn)證頭（AH）和封裝安全載荷（ESP）來(lái)支持IP數(shù)據(jù)項(xiàng)的可認(rèn)證性、完整性和機(jī)密性。IPSec工作涉及一個(gè)核心概念：安全關(guān)聯(lián)（SA）VPN的分類(lèi)按協(xié)議類(lèi)型七層隧道協(xié)議SSL（SecuritySocketLayer）VPNSSLVPN指采用SSL協(xié)議來(lái)實(shí)現(xiàn)遠(yuǎn)程接入的一種新型VPN技術(shù)，是解決遠(yuǎn)程用戶(hù)訪問(wèn)公司敏感數(shù)據(jù)最簡(jiǎn)單最安全的解決技術(shù)。任何安裝瀏覽器的機(jī)器都可以使用SSLVPN。SSLVPN工作在應(yīng)用層，SSL用公鑰加密技術(shù)通過(guò)SSL連接傳輸數(shù)據(jù)。VPN的分類(lèi)VPN隧道VPN安全網(wǎng)關(guān)總部遠(yuǎn)程接入VPN出差用戶(hù)按應(yīng)用分類(lèi)遠(yuǎn)程接入VPN客戶(hù)端到網(wǎng)關(guān)，利用公網(wǎng)傳輸數(shù)據(jù)，如：SSLVPN。內(nèi)聯(lián)網(wǎng)VPN網(wǎng)關(guān)到網(wǎng)關(guān)，利用公司網(wǎng)絡(luò)架構(gòu)連接來(lái)自同公司的資源。外聯(lián)網(wǎng)VPN一個(gè)公司與另一個(gè)公司的資源進(jìn)行連接。VPN的分類(lèi)02VPN的關(guān)鍵技術(shù)VPN的關(guān)鍵技術(shù)VPN關(guān)鍵技術(shù)隧道技術(shù)在公用網(wǎng)建立一條專(zhuān)用數(shù)據(jù)通道，讓數(shù)據(jù)包通過(guò)這條通道傳輸。加解密技術(shù)確保數(shù)據(jù)不被他人瀏覽、竊取和篡改。密鑰管理技術(shù)身份認(rèn)證技術(shù)私有地址被轉(zhuǎn)換成合法的IP地址。用于確認(rèn)使用者的身份。隧道協(xié)議新包頭原數(shù)據(jù)VPN端點(diǎn)網(wǎng)關(guān)AVPN端點(diǎn)網(wǎng)關(guān)B原數(shù)據(jù)原數(shù)據(jù)封裝解封裝隧道技術(shù)其它協(xié)議數(shù)據(jù)幀重新封裝在新的包頭中發(fā)送新的包頭提供路由信息，能夠通過(guò)互聯(lián)網(wǎng)傳輸?shù)竭_(dá)網(wǎng)絡(luò)終點(diǎn)，進(jìn)行解包發(fā)送到最終目的地隧道通過(guò)隧道協(xié)議實(shí)現(xiàn)，報(bào)文前后經(jīng)過(guò)封裝與解封裝VPN的關(guān)鍵技術(shù)新IP報(bào)頭ESP報(bào)頭原IP報(bào)頭傳輸層報(bào)頭應(yīng)用程序數(shù)據(jù)ESP報(bào)尾ESP認(rèn)證報(bào)尾加密部分ESP是IPSec體系下的封裝安全載荷協(xié)議加解密技術(shù)數(shù)據(jù)包需要加密進(jìn)行傳輸，到達(dá)對(duì)端后再進(jìn)行解密加解密技術(shù)發(fā)展成熟，VPN可以直接使用采取何種加密技術(shù)，依賴(lài)于VPN服務(wù)器類(lèi)型PPTP服務(wù)器采用微軟點(diǎn)對(duì)點(diǎn)加密技術(shù)L2TP服務(wù)器使用IPSec機(jī)制對(duì)數(shù)據(jù)加密VPN的關(guān)鍵技術(shù)發(fā)起者cookie響應(yīng)者cookie下一載荷消息IDISAKMP數(shù)據(jù)包格式IP頭UDP頭ISAKMP頭載荷1……….密鑰管理技術(shù)IKE（網(wǎng)絡(luò)密鑰交換協(xié)議）用于交換和管理在VPN中使用的加密密鑰組成ISAKMP協(xié)議OAKLEY提供了一個(gè)多樣化，多模式的應(yīng)用SKEME提供了IKE交換密鑰的算法，方式（因特網(wǎng)安全協(xié)商密鑰管理協(xié)議）VPN的關(guān)鍵技術(shù)usernamepassword接入服務(wù)器用戶(hù)數(shù)據(jù)庫(kù)撥號(hào)者發(fā)起CHAP呼叫向撥號(hào)者發(fā)送挑戰(zhàn)信息撥號(hào)者處理挑戰(zhàn)信息，并發(fā)送挑戰(zhàn)應(yīng)答檢查撥號(hào)者應(yīng)答數(shù)據(jù)包，并發(fā)送認(rèn)證結(jié)果usernamepassword遠(yuǎn)程用戶(hù)身份認(rèn)證技術(shù)鏈路層的認(rèn)證PPP認(rèn)證機(jī)制使用CHAP（PPP詢(xún)問(wèn)握手認(rèn)證協(xié)議）認(rèn)證協(xié)議，通過(guò)三次握手周期性校驗(yàn)對(duì)端身份。VPN的關(guān)鍵技術(shù)03VPN部署方式及應(yīng)用VPN的部署方式常見(jiàn)終端到站點(diǎn)部署場(chǎng)景終端到站點(diǎn)部署可以實(shí)現(xiàn)終端到站點(diǎn)部署的VPN技術(shù)有PPTPVPNSSLVPNL2TPVPNL2TPoverIPSecVPN的部署案例SSLVPN部署案例OpenVPN是一個(gè)用于創(chuàng)建虛擬專(zhuān)用網(wǎng)絡(luò)加密通道的軟件。OpenVPN是一個(gè)基于OpenSSL庫(kù)的應(yīng)用層VPN實(shí)現(xiàn)。部署步驟STEP1STEP2制作OpenVPN證書(shū)安裝OpenVPNSTEP5STEP4STEP3配置并啟動(dòng)OpenVPN服務(wù)端安裝客戶(hù)端客戶(hù)端連接SSLVPN部署案例VPN的部署案例站點(diǎn)到站點(diǎn)部署可以實(shí)現(xiàn)站點(diǎn)到站點(diǎn)部署的VPN技術(shù)有IPSecVPN、GREoverIPSec下圖為站點(diǎn)到站點(diǎn)部署場(chǎng)景場(chǎng)景描述：總部和分支都是單出口，總部和分支都有公網(wǎng)IPVPN的部署方式VPN的應(yīng)用場(chǎng)景學(xué)校VPN部署解決方案及網(wǎng)絡(luò)拓?fù)銿PN的應(yīng)用場(chǎng)景某市教育局VPN部署解決方案及網(wǎng)絡(luò)拓?fù)浔菊聦?duì)VPN進(jìn)行了詳細(xì)的分析，包括VPN的概念、VPN的功能和作用，以及VPN的分類(lèi)等內(nèi)容。VPN的