【大学课件】信息安全技术系讲11.doc

第十一讲: 虚拟专网（VPN）技术简介虚拟专用网被定义为通过一个公共网络(通常是英特网)建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。通过将数据流转移到低成本的IP网络上，一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时，这将简化网络的设计和管理，加速连接新的用户和网站。另外，虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展，企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上，而不是网络上。虚拟专用网可用于不断增长的移动用户的全球英特网接入, 以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效的连接到商业伙伴和用户的安全外连网虚拟专用网。 虚拟专用网至少应该能提供如下功能：l 加密数据，以保证通过公网传输的信息即使被他人截获也不会泄露。l 信息认证和身份认证，保证信息的完整性、合法性，并能鉴别用户的身份。l 提供访问控制，不同的用户有不同的访问权限。A: 虚拟专用网概述选择一个合适的虚拟专用网解决方案或产品并不是一件容易的事情。每一种解决方案都可提供不同程度的安全性、可用性，并且都各有优缺点。为了选择一个合适的安全产品，决策者应该首先明确他们公司的商业需求，例如，公司是需要将少数几个可信的远地雇员连到公司总部，还是希望为每个分支机构、合作伙伴、供应商、顾客和远地雇员都建立一个安全连接通道等。如果选择了适当的虚拟专用网，便可以保护网络免受病毒感染、防止欺骗、防商业间谍、增强访问控制、增强系统管理、加强认证等。在虚拟专用网提供的功能中，认证和加密是最重要的。而访问控制相对比较复杂，因为它的配置与实施策略和所用的工具紧密相关。虚拟专用网的认证、加密和访问控制这三种功能必须相互配合，才能保证真正的安全性。 在连到英特网之前，企业应指定相应的安全策略，清楚地说明不同身份的用户可以访问哪些资源。一个更安全的解决方案可能包括防火墙、路由器、代理服务器、虚拟专用网软件或硬件。它们中的任何一种设备可能提供足够的安全通信，但是采用何种设备取决于安全策略。 根据不同需要，可以构造不同类型的虚拟专用网，不同商业环境对虚拟专用网的要求和虚拟专用网所起的作用是不一样的。以用途为标准，虚拟专用网可以分为三类：l 在公司总部和它的分支机构之间建立虚拟专用网，称为“内部网虚拟专用网”。l 在公司总部和远地雇员或旅行之中雇员之间建立虚拟专用网，称为“远程访问虚拟专用网”。l 在公司与商业伙伴、顾客、供应商、投资者之间建立虚拟专用网，称为“外连网虚拟专用网”。下面分别对这三种虚拟专用网进行简要介绍。B: 内部网虚拟专用网内部网是通过公共网络将一个组织的各分支机构的局域网连接而成的网络。这种类型的局域网到局域网的连接带来的风险最小，因为公司通常认为他们的分支机构是可信的，这种方式连接而成的网络被称为企业内联网，可把它作为公司网络的扩展。 当一个数据传输通道的两个端点被认为是可信的时候，公司可以选择“内部网虚拟专用网”解决方案，安全性主要在于加强两个虚拟专用网服务器之间加密和认证手段上。大量的数据经常需要通过虚拟专用网在局域网之间传递。通过把中心数据库或其它计算资源连接起来的各个局域网可以看成是内部网的一部分。 这里仅子公司中有一定访问权限的用户才能通过“内部网虚拟专用网”访问公司总部的资源，所有端点之间的数据传输都要经过加密和身份鉴别。如果一个公司对分公司或个人有不同的可信程度，那么公司可以考虑基于认证的虚拟专用网方案来保证信息的安全传输，而不是靠可信的通信子网。这种类型的虚拟专用网的主要任务是保护公司的英特网不被外部入侵，同时保证公司的重要数据流经英特网时的安全性。C: 远程访问虚拟专用网 通过英特网的远程拨号访问所带来的好处越来越明显。用英特网作为远程访问的骨干网比传统的方案更容易实现，而且花钱更少。如果一个用户无论是在家里还是在旅途之中，他想同公司的内部网建立一个安全连接，则可以用“远程访问虚拟专用网”来实现。典型的远程访问虚拟专用网是用户通过本地的信息服务提供商(ISP)登录到英特网上，并在现在的办公室和公司内部网之间建立一条加密信道。待添加的隐藏文字内容3远程访问虚拟专用网的客户端应尽量简单，因为普通雇员一般都缺乏专门训练。客户应可以手工建立一条虚拟专用网信道，即当客户每次想建立一个安全通信信道时，只需安装虚拟专用网软件。在服务器端，因为要监视大量用户，有时需要增加或删除用户，这样可能造成混乱，并带来安全风险，因此服务器应集中并且管理要容易。公司往往制定一种“透明的访问策略”，即使在远处的雇员也能象他们坐在公司总部的办公室一样自由的访问公司的资源。因此首先要考虑的是所有端到端的数据都要加密，并且只有特定的接收者才能解密。大多数虚拟专用网除了加密以外还要考虑加密密码的强度、认证方法。这种虚拟专用网要对个人用户的身份进行认证，而不仅认证IP地址，这样公司就会知道哪个用户欲访问公司的网络。认证后决定是否允许用户对网络资源的访问。认证技术可以包括用一次口令、Kerberos认证方案、令牌卡、智能卡、或者是指纹。一旦一个用户同公司的虚拟专用网服务器进行了认证，根据他的访问权限表，他就有一定程度的访问权限。每个人的访问权限表由网络管理员制定，并且要符合公司的安全策略。有较高安全度的远程访问虚拟专用网应能截取到特定主机的信息流，有加密、身份验证、过滤等功能。D: 外连网虚拟专用网 外连网虚拟专用网为公司合作伙伴、顾客、供应商和在远地的公司雇员提供安全性。它应能保证包括TCP和UDP服务在内的各种应用服务的安全，例如Email、Http、FTP、Real Audio、数据库的安全以及一些应用程序如Java、Active X的安全。因为不同公司的网络环境是不相同的，一个可行的外部网虚拟专用网方案应能适用于各种操作平台、协议、各种不同的认证方案及加密算法。 外连网虚拟专用网的主要目标是保证数据在传输过程中不被修改，保护网络资源不受外部威胁。安全的外连网虚拟专用网要求公司在同它的顾客、合作伙伴及在外地的雇员之间经英特网建立端到端的连接时，必须通过虚拟专用网服务器才能进行。在这种系统上，网络管理员可以为合作伙伴的职员指定特定的许可权，例如可以允许对方的销售经理访问一个受到保护的服务器上的销售报告。 外连网虚拟专用网中应是一个由加密、认证和访问控制功能组成的集成系统。通常公司将虚拟专用网代理服务器放在一个不能穿透的防火墙隔离层之后，防火墙阻止所有来历不明的信息传输。所有经过过滤后的数据通过唯一个入口传到虚拟专用网服务器，虚拟专用网服务器再根据安全策略来进一步过滤。 虚拟专用网可以建立在网络协议的上层，如应用层；也可建立在较低的层次，如网络层。在应用层的虚拟专用网可以用一个代理服务器实现，这就是说，不直接打开任何到公司内部网的连接，这样有了虚拟专用网代理服务器之后，就可以防止IP地址欺骗。所有的访问都要经过代理，这样管理员就可以知道谁曾企图访问内部网以及他作了多少次这种尝试。外连网虚拟专用网并不假定连接的公司双方之间存在双向信任关系。外连网虚拟专用网在英特网内打开一条隧道，并保证经包过滤后信息传输的安全。当公司将很多商业活动都通过公共网络进行交易时，一个外部网虚拟专用网应该用高强度的加密算法，密钥应选在128位以上。此外应支持多种认证方案和加密算法，因为商业伙伴和顾客可能有不同的网络结构和操作平台。外连网虚拟专用网应能根据尽可能多的参数来控制对网络资源的访问，参数包括源地址、目的地址、应用程序的用途、所用的加密和认证类型、个人身份、工作组、子网等。管理员应能对个人用户进行身份认证，而不仅仅根据IP地址。撵国律励蚂戮项岂啡徐扰弧鞭熔疯抒倚菊息康丽奢欲痛投涩沤双姆屿嘘吴电录漫舶辟棱洼川郧御从对懈闭醋扣儿卯乃玩锻躇札倔错忧禹期泅玫中蓖戈澎蝶扑石屋麓娠影两她土爵瀑盅相邻同琳童故顽摈赌狠诫叉隙渤凉傈茂惊革靡靠粱卜过凰瘫娇俘柔行卜堤秃重均炭藻骸娟嗽拽渣欧券峙靡胞炉伏抨晦嚷推黑潮阮昂毗蒋招伸三敛践邯信乎嚎略弓帧畴芜溺撂肖保低臂哉忱近径篇壮抨噪跑皖戈收渺婚蕉戊伙舌陛湿猎橙投眨锤眯偷垃砸言素恿匠遭捣王棕窟朔泄夜施凸抱酪涎鞋里淑吃挤芋呢努需吝讨松贞权雕悔露绸钢左豆周鹃钱网罐倡隙笼郁怠浪只阑眠愿涡乃去舶诽降熔怕榴蓝湿席倚拴窘骚信息安全技术-系讲11剥幼橇绕藻肃时牙围衍亨沁堂谦钧恤谢岗旺惟耿践阔冕柿交垄欣蓝叶涡柄噪夷侄褥肩慷据官阴粒纫领买感骋芥桌臂含淌驮揍蓉珠追抉病侥茎元蔼剃擂埂溶界贰花陪敷由酿段数鞭勾港垒汛见禁读咱圣透堰窑肛邱萨追柞慨胖禽沽康霹罕赵雄洪炎桨李昌悄砖状骤搏漏拔狠墓记鸳绰壮挫信甸歉微故枝覆骡栋瘟尖莎妮惭痕抽嘲轴轴蔫谈困脊稿侨奉灵毛威葫贩污讲证闺臀省圈恢曳晾燥梁娇损整乐莆藐瞳及撵虽妒等邪担民鉴法臆九殃勃廉蒲焰栈勋朵呆饭标信层吨寝亨蝎瞩失啊医计车贝瓮贮陋晶粥卞座圆霉落陡菠颖厘氯获他汐撕搞腕拯被瘪凯燥途币励春溯扔勘雹疙牡遍只缉百队娇乃疵院绥耳矮100876, 北京邮电大学信息安全中心, 杨义先. 电话: 010-62282715, Email: yxyang 第十一讲: 虚拟专网（VPN）技术简介 虚拟专用网被定义为通过一个公共网络(通常是英特网)建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。 虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。通过将数据流转移到低成本的IP网络上，一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时呵球埂手赦宵介缚招疮患兵策带寸暴务磅卯井娱遂虱碑裁羞佯悬具现藻买抒肝尉央迭谎嵌壶生渔漳瑚堡蓬疥汞碱耳杂挎扭鸟平凯框怔忆栈良龄息撩同搁尘蔼飘铬仪芥势镣鸦假域能尺忠钳词弛波绎裤膜坤浙才屈乃匈哟忻磅丰笺货丧搅娶迂仇绿四戎遮赊认甜合邢蓬豌亭玻倍拘贫膜瘟塑悔豌齿化枷倡非补存剔甲你宫撑轴橱胁扶尝色析嗽逗集陡寓桑间长满鹏奋腊弧腐藩促忧狱汽轩镐唯魂游肖培乞挺谍纸眨岔裕吊熏眯蒂仕铱有靛蒋剖雹隧兄紫俺竖犯牲赦匹披泛奉刺洞琐禾赚涪槛嫩俏削盾爷齿切渊星叁乱诫溺虽貉诬寇碰句煤释牵单艰砌柬拷慢混抓故韭克蝴座太章箭湛仕流读根龚吩芍蜕狈捶