信息安全基礎(chǔ)InformationSecurityFundamentals6.3VPN網(wǎng)絡(luò)安全產(chǎn)品本節(jié)內(nèi)容VPN產(chǎn)生的背景VPN的安全技術(shù)VPN的應(yīng)用實(shí)例VPN的基本概念1.VPN產(chǎn)生的背景基于網(wǎng)絡(luò)互聯(lián)應(yīng)用的需求越來越強(qiáng)烈現(xiàn)代企業(yè)在發(fā)展過程中，隨著業(yè)務(wù)規(guī)模的擴(kuò)大，越來越多的組織單位希望將業(yè)務(wù)遷移到網(wǎng)絡(luò)平臺(tái)，規(guī)范業(yè)務(wù)運(yùn)作流程，提高業(yè)務(wù)運(yùn)作效率，這對網(wǎng)絡(luò)的互聯(lián)提出越來越高的要求。如何規(guī)避安全風(fēng)險(xiǎn)如身份認(rèn)證單一、數(shù)據(jù)易被竊聽、惡意訪問無法追蹤等實(shí)現(xiàn)整網(wǎng)安全；如何應(yīng)對訪問速度慢、建設(shè)成本高、變更不靈活等挑戰(zhàn)實(shí)現(xiàn)高效互聯(lián)要求，是企業(yè)發(fā)展中不可避免的關(guān)鍵問題。1.VPN產(chǎn)生的背景采用專用網(wǎng)絡(luò)實(shí)現(xiàn)互聯(lián)的網(wǎng)絡(luò)結(jié)構(gòu)存在弊端專用網(wǎng)絡(luò)是指網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)中的信息資源屬于單個(gè)組織并由該組織對網(wǎng)絡(luò)實(shí)施管理的網(wǎng)絡(luò)結(jié)構(gòu)。專用網(wǎng)絡(luò)結(jié)構(gòu)在實(shí)際操作過程中會(huì)出現(xiàn)一些問題遠(yuǎn)距離專用鏈路的租用費(fèi)用極其昂貴；專用鏈路兩端的互聯(lián)設(shè)備屬于不同的因特網(wǎng)服務(wù)提供商，ISP之間的協(xié)商過程將是一個(gè)漫長、復(fù)雜的過程；內(nèi)部網(wǎng)絡(luò)間數(shù)據(jù)傳輸?shù)拈g歇性和突發(fā)性特點(diǎn)，使用專用網(wǎng)絡(luò)結(jié)構(gòu)會(huì)導(dǎo)致鏈路的利用率很低。2.VPN的基本概念VPN的定義虛擬專用網(wǎng)（VirtualPrivateNetwork，VPN）是一種能夠?qū)⑽锢砩戏植荚诓煌攸c(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng)，尤其是Internet連接而成的邏輯上的虛擬子網(wǎng)。它提供了通過公用網(wǎng)絡(luò)安全地對企業(yè)內(nèi)部網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問的連接。VPN利用網(wǎng)絡(luò)層安全協(xié)議和建立在PKI上的加密和認(rèn)證技術(shù)，來保證傳輸數(shù)據(jù)的機(jī)密性、完整性、身份驗(yàn)證和不可否認(rèn)性。作為大型企業(yè)網(wǎng)絡(luò)的補(bǔ)充，VPN技術(shù)通常用于實(shí)現(xiàn)遠(yuǎn)程安全接入和管理。2.VPN的基本概念VPN的分類按隧道協(xié)議分類（一）協(xié)議名稱開發(fā)者簡介點(diǎn)到點(diǎn)隧道協(xié)議（PointtoPointTunnelingProtocol，PPTP）Microsoft包含了PPP和MPPE（MicrosoftPoint-to-PointEncryption，微軟點(diǎn)對點(diǎn)加密）兩個(gè)協(xié)議，其中PPP用來封裝數(shù)據(jù)，MPPE用來加密數(shù)據(jù)。PPTP只有工作在純Windows的網(wǎng)絡(luò)環(huán)境中時(shí)才可以發(fā)揮所有的功能。第二層隧道協(xié)議（Layer2TunnelingProtocol，L2TP）Microsoft、Cisco、3COM等主要是為了解決兼容性的問題。通用路由封裝協(xié)議（GenericRoutingEncapsulation，GRE）CiscoGRE不是一個(gè)完整的VPN協(xié)議，因?yàn)樗荒芡瓿蓴?shù)據(jù)的加密、身份認(rèn)證、數(shù)據(jù)報(bào)文完整性校驗(yàn)等功能，在使用GRE技術(shù)的企業(yè)網(wǎng)中，經(jīng)常會(huì)結(jié)合IPSec使用，以彌補(bǔ)其安全性方面的不足。2.VPN的基本概念VPN的分類按隧道協(xié)議分類（二）協(xié)議名稱開發(fā)者簡介IP安全協(xié)議（IPSecurity，IPSec）IETF(InternetEngineeringTaskForce,因特網(wǎng)工程服務(wù)組)是現(xiàn)今企業(yè)使用最廣泛的VPN協(xié)議，它工作在第三層。IPSec是一個(gè)開放性的協(xié)議，各網(wǎng)絡(luò)產(chǎn)品制造商都會(huì)對IPSec進(jìn)行支持。安全套接層協(xié)議（SecureSocketsLayer，SSL）NetScape基于Web應(yīng)用提出的一種安全通道協(xié)議，它具有保護(hù)傳輸數(shù)據(jù)積極識(shí)別通信機(jī)器的功能。SSL主要采用公開密鑰體系和X509數(shù)字證書，在Internet上提供服務(wù)器認(rèn)證、客戶認(rèn)證、SSL鏈路上的數(shù)據(jù)的保密性的安全性保證，被廣泛用于Web瀏覽器與服務(wù)器之間的身份認(rèn)證。多協(xié)議標(biāo)簽交換（Multi-ProtocolLabelSwitching，MPLS）IETF(InternetEngineeringTaskForce,因特網(wǎng)工程服務(wù)組)是一種用于快速數(shù)據(jù)包交換和路由的體系，它為網(wǎng)絡(luò)數(shù)據(jù)流量提供了目標(biāo)、路由、轉(zhuǎn)發(fā)和交換等能力。更特殊的是，它具有管理各種不同形式通信流的機(jī)制。2.VPN的基本概念VPN的分類站點(diǎn)到站點(diǎn)VPN是在VPN網(wǎng)關(guān)之間保護(hù)兩個(gè)或更多的站點(diǎn)之間的流量，站點(diǎn)間的流量通常是指局域網(wǎng)之間（L2L）的通信流量。L2LVPN多用于總公司與分公司、分公司之間在公網(wǎng)上傳輸重要業(yè)務(wù)數(shù)據(jù)。對于兩個(gè)局域網(wǎng)的終端用戶來說，VPN網(wǎng)關(guān)中間的網(wǎng)絡(luò)是透明的，就好像通過一臺(tái)路由器連接的兩個(gè)局域網(wǎng)?？偣镜慕K端設(shè)備通過VPN連接訪問分公司的網(wǎng)絡(luò)資源，數(shù)據(jù)報(bào)封裝的IP地址都是公司內(nèi)網(wǎng)地址（一般為私有地址），對數(shù)據(jù)包進(jìn)行的再次封裝過程，客戶端是全然不知的。2.VPN的基本概念VPN的分類遠(yuǎn)程訪問VPN通常用于單用戶設(shè)備與VPN網(wǎng)關(guān)之間的通信鏈接，單用戶設(shè)備一般為一臺(tái)PC或智能終端設(shè)備等。當(dāng)遠(yuǎn)端的移動(dòng)用戶與總公司的網(wǎng)絡(luò)實(shí)現(xiàn)遠(yuǎn)程訪問VPN連接后，就好像成為總公司局域網(wǎng)中一個(gè)普通用戶，不僅使用總公司網(wǎng)段內(nèi)的IP地址訪問公司資源，而且因?yàn)槠涫褂盟淼滥Ｊ?，真?shí)的IP地址被隱藏起來，實(shí)際公網(wǎng)通信的一段鏈路對于遠(yuǎn)端移動(dòng)用戶而言就像是透明的。2.VPN的基本概念VPN的產(chǎn)品體系操作系統(tǒng)自帶的VPN產(chǎn)品Windows家族WindowsServer2000/2003/2008/2012等都提供了VPN服務(wù)的支持，可以實(shí)現(xiàn)PPTP/L2TPVPN，配置管理簡單。要實(shí)現(xiàn)VPN連接，需要企業(yè)內(nèi)部網(wǎng)絡(luò)中必須配置臺(tái)基于WindowsServer的VPN服務(wù)器，VPN服務(wù)器一方面連接企業(yè)內(nèi)部專用網(wǎng)絡(luò)，另一方面要連接到Internet，也就是說VPN服務(wù)器必須擁有一個(gè)公用的IP地址。2.VPN的基本概念VPN的產(chǎn)品體系操作系統(tǒng)自帶的VPN產(chǎn)品用戶大多熟悉Windows操作系統(tǒng)，但對Linux操作系統(tǒng)卻較為陌生。Linux發(fā)行的版本很多，如FedoraCore、Debian、Ubuntu、RedHatLinux、SuSE、CentOS、紅旗等。Linux操作系統(tǒng)和Windows一樣都提供了VPN服務(wù)的支持，它們之間的區(qū)別在于，在配置管理VPN時(shí)，Windows使用圖形化界面方式，Linux支持圖形化界面和文本工具修改配置文件的方式，但在Linux中較為專業(yè)的做法是修改配置文件的方式；另外，使用Windows操作系統(tǒng)充當(dāng)VPN客戶端時(shí)，由于Windows系統(tǒng)已經(jīng)配置了VPN客戶端連接程序，只需要通過簡單的導(dǎo)向即可完成VPN連接的建立，但Linux客戶端中的VPN連接則沒有那么簡單，需要進(jìn)行一些較為復(fù)雜的配置。2.VPN的基本概念VPN的產(chǎn)品體系軟件VPN產(chǎn)品ForefrontTMG2010軟件VPN產(chǎn)品從2006年開始，微軟把主要的安全產(chǎn)品整合在一個(gè)產(chǎn)品系列－Forefront中。ForefrontTMG是作為新一代Forefront產(chǎn)品系列Stirling的重要組成部分，已經(jīng)能夠完美地和NAP集成，實(shí)現(xiàn)完善的VPN隔離與控制，提供URL、HTTP/HTTPS檢查等多種保護(hù)功能，這些功能均集成到一個(gè)用于管理的網(wǎng)關(guān)中，從而降低Web安全的成本和復(fù)雜程度。OpenVPN軟件VPN產(chǎn)品OpenVPN是一個(gè)基于OpenSSL的開源的加密隧道構(gòu)建工具，可以在Internet中實(shí)現(xiàn)SSLVPN安全連接。使用OpenVPN的好處是安全、易用和穩(wěn)定，且認(rèn)證方式靈活，具備實(shí)現(xiàn)SSLVPN解決方案的完整性，可以應(yīng)用于Linux、MacOS及Windows各種操作系統(tǒng)平臺(tái)。2.VPN的基本概念VPN的產(chǎn)品體系集成VPN產(chǎn)品業(yè)界著名的網(wǎng)絡(luò)設(shè)備提供商（如思科、華為、華三等）生產(chǎn)的路由器、防火墻等，一般都集成了VPN功能，企業(yè)可以基于這些硬件設(shè)備來部署VPN。2.VPN的基本概念VPN的產(chǎn)品體系硬件VPN產(chǎn)品硬件VPN指的是專門實(shí)現(xiàn)VPN功能的硬件產(chǎn)品，有的生產(chǎn)商把硬件VPN也叫做VPN網(wǎng)關(guān)。目前，硬件VPN產(chǎn)品的廠商有深信服、華為、華三、天融信等。盡管都是硬件VPN產(chǎn)品，但是這些VPN產(chǎn)品在性能、功能、管理、價(jià)格等方面存在較大的差異，因此在部署VPN服務(wù)時(shí)，應(yīng)根據(jù)用戶的需求，選擇合適的VPN產(chǎn)品。3.VPN的安全技術(shù)VPN技術(shù)非常復(fù)雜，它涉及通信技術(shù)、密碼技術(shù)和現(xiàn)代認(rèn)證技術(shù)，是一門交叉學(xué)科。VPN安全技術(shù)包括：隧道技術(shù)加密技術(shù)身份認(rèn)證技術(shù)3.VPN的安全技術(shù)隧道技術(shù)隧道技術(shù)（TunnelingProtocal）是VPN的基本技術(shù)，類似于點(diǎn)對點(diǎn)連接技術(shù)（PointtoPointProtocol，PPP），它在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過這條隧道傳輸。隧道是由隧道協(xié)議形成的，主要有點(diǎn)到點(diǎn)隧道協(xié)議PPTP（Point-to-PointTunnelingProtocol）、第2層隧道協(xié)議L2TP（Level2TunnelingProtocol）、第3層隧道協(xié)議IPSec等。2.VPN的基本概念隧道技術(shù)3.VPN的安全技術(shù)隧道技術(shù)協(xié)議A稱為承載協(xié)議，協(xié)議A的數(shù)據(jù)報(bào)稱為承載協(xié)議報(bào)；協(xié)議B稱為載荷協(xié)議，協(xié)議B的數(shù)據(jù)報(bào)稱為載荷協(xié)議報(bào)；而決定如何實(shí)現(xiàn)隧道的協(xié)議稱為隧道協(xié)議。為了便于標(biāo)識(shí)承載協(xié)議報(bào)中封裝的載荷協(xié)議報(bào)，需要在承載協(xié)議頭和載荷協(xié)議頭之間加入一個(gè)新的協(xié)議頭，這個(gè)協(xié)議稱為封裝協(xié)議。3.VPN的安全技術(shù)加密技術(shù)在VPN實(shí)現(xiàn)中，雙方大量的通信流量的加密使用對稱加密技術(shù)，而在管理、分發(fā)對稱加密的密鑰上采用更加安全的非對稱加密技術(shù)。3.VPN的安全技術(shù)身份認(rèn)證技術(shù)3.VPN的安全技術(shù)身份認(rèn)證技術(shù)PAP（PasswordAuthenticationProtocol）密碼驗(yàn)證協(xié)議如果被認(rèn)證方發(fā)送了錯(cuò)誤的用戶名或口令，認(rèn)證服