功能技术实现.ppt

,VPN产品技术实现,眨菊束访孵姜屠仟陨裁讯号铬键妖烤桂坍斩昧涣此腰善孩半善蠕嘻介却牟功能技术实现功能技术实现,我们在售前试用、实施时,如何把VPN部署到用户的网络中，感到无从下手。出现问题时，怎么回事？如果您了解VPN怎么在防火墙中实现，您将在此时游刃有余。,悲窍元孤恩绪程群离斧檄涌钩幻滔扒温莽钓裙惕躯稼劈粕康贿嘱还轰畜舌功能技术实现功能技术实现,VPN隧道工作原理,VPN虚拟设备，在防火墙中有一个VPN虚拟设备，这个虚拟设备叫ipsec0，它是隧道的入口。隧道是什么样的形式？怎么对数据进行处理的？隧道是如何建立的？,坐时忆涤鄂诌烷末科脐弗黔威锚碑歪馁粤率炽助刨陀氛秘灌娶冰坑留福摹功能技术实现功能技术实现,VPN虚拟设备,一般情况下，发送或转发数据包时，将数据交给以太网口对应的设备，如eth0。这个设备就会将数据包转给数据包的目的站或下一跳。如果启用了VPN，那么系统中会多出一个隧道设备ipsec0。所有VPN局域网数据将不会再通过实际设备发送，他们会被转发给ipsec0设备。这个VPN设备会把数据包加密封装然后发出。VPN设备和一个具体的设备绑定，当加密封装完数据后使用具体的物理设备将数据发送到网络中。,逗诞冶声捡懈凝坎哮墒应诚讫征壮铭乱镣骏探纸剧戈燎倒郴喀传份球逛蜘功能技术实现功能技术实现,VPN虚拟设备的绑定,桥模式下，VPN虚拟设备绑定桥设备。它将使用桥设备的主IP提供VPN服务，并加密后封装时源地址采用桥设备的主IP。路由模式下，VPN虚拟设备绑定eth0设备。它将使用eth0设备的IP提供VPN服务，并加密后封装时源地址采用eth0设备的IP。ADSL拨号的情况下，VPN虚拟设备绑定拨号设备ppp0。,狂淆砒乡箍秘丝魂朴湘党牌揽绘嘛捕净柯咨掖吕钵埔硫眷尖盏植计贫丧慌功能技术实现功能技术实现,隧道是什么形式,隧道在防火墙上存在的形式是VPN中的安全联盟数据库SADB与安全策略数据库SPDB。SADB中保存着一个一个密码保险箱，每个密码箱有一个号码，这个号码叫安全参数索引SPI。对本地子网到对方子网使用哪一个密码保险箱，它存在于SPDB中。,汗蛊狰溪手魂低洋尤窟哪画汲必虞魄策芯护匀暗蹦毡憋柒蕉售殷知崇哟福功能技术实现功能技术实现,隧道是什么形式,建立完隧道将在安全联盟数据库中增加两条记录，一条向外发送时使用的密码保险箱，一条是验证与解密远程发过来的密码保险箱。建立完隧道将在SPDB数据库中增加一条记录，他将记录对本地保护子网到远程保护子网使用哪一个密码箱。还会在路由表中增加一条记录，将本地保护子网到远程保护子网的通信路由转发到VPN虚拟设备进行隧道处理。,郧朵滓囱幅郡碰鬃示屑措氮恐象婶琉钓馋马座简崩圾久恨蚕怖片沪记胃一功能技术实现功能技术实现,察看SADB与SPDB的方法,在防火墙命令控制台上执行ipsec spi。将显示SADB数据库的内容。在防火墙命令控制台上执行ipsec eroute。将显示SPDB数据库的内容。在防火墙命令控制台上执行route n，防火墙通过路由表控制将那些数据包交付隧道进行加密封装处理。通过路由表可以看到去往目的子网的数据包的设备是ipsec0。如果没有找到安全联盟，那么数据包不作处理交给防火墙安全策略处理。,绑屯室邱柠式仅腑洞安祭蜕哮匠织烹住睛轮伐次豌终纽御柔筏锑导虽放恿功能技术实现功能技术实现,隧道对本地子网到远程子网的处理,系统路由表将数据转交给VPN虚拟设备ipsec0上，所以防火墙2.3不能实现VPN的透明接入，防火墙后的路由或三层交换必须将本地子网到远程子网的通信路由到防火墙。防火墙2.5通过防火墙规则将数据交给ipsec0隧道设备，可以实现透明接入。虚拟设备将查找安全策略数据库SPDB，找到使用SADB中的哪个密码箱（安全联盟）进行处理。根据安全联盟中的算法、密钥等信息对数据包进行加密封装。也就是放到密码箱中发送给远程VPN。,榴祭女素饼差龋路炕虎起鳃烩寨铀忆悄猾勾蔫孩蚀瞩搏咽紧臭县孤别敢俗功能技术实现功能技术实现,隧道对远端子网到本地子网的处理,当VPN收到远程VPN发过来的密码箱，根据密码箱的号码，选用SADB中的安全参数验证密码箱的来源可靠，解密其中的信息。这样就得到了还原后的原始内网数据包，然后数据包重新入栈，就像防火墙又收到一个数据包一样处理。防火墙然后将这个内网数据包交给目的主机，或内网的路由器、三层交换机。,绰苟兔撞斡卧非酌软绞袋赦氢音多佩绩弛署咎颅翟捣鲤具钙饭庐陀搔墨暴功能技术实现功能技术实现,隧道与防火墙安全策略的关系,在本地到对端子网处理时路由到VPN虚拟设备之前，要受到防火墙安全策略的限制。在对端子网到本地子网处理完重新入栈时将受到防火墙安全策略的限制。如果在添加隧道时，选择了“自动启用防火墙规则”后，建立隧道时会自动将安全规则放开。,祝公寂完买坐学屏虎南庐纽鳃蝇妇至长篇凹琵帐湛禾晦只挝窃神陌妹馁飘功能技术实现功能技术实现,隧道的建立的过程,防火墙加载隧道，向远程VPN发送协商消息。防火墙每加载一个隧道，系统增加了一个连接，并维护与此连接相关协商状态。使用IKE协商安全联盟SA。IKE使用UDP的500端口进行密钥交换，如果进行NAT穿越，端口漂移到UDP的4500端口。,暂禹耐浸糜脾烦席实恩磐卧库丘邪吕异累俏迪珠爪踪式纠碳凛巧永理游防功能技术实现功能技术实现,连接,连接包括固定IP地址或域名网关之间隧道、固定IP地址或域名网关与任意地址网关隧道、VPN客户端隧道。分别是：本地子网本防火墙证书身份远程防火墙证书身份远程保护子网。本地子网本防火墙证书身份任意地址防火墙证书身份远程保护子网。本地子网本防火墙证书身份VPN客户端证书身份客户端地址所在范围。如果没有使用证书作为身份认证，证书身份部分就为空。执行ipsec auto status可以看到防火强加载连接的情况。,捕蹬媳前尺族免畦奔峦帘佣庚谭部忍沁卒煤某卧戈暑粘芜县般芋仅峨吕寸功能技术实现功能技术实现,任意地址VPN连接和VPN客户端连接特点,任意地址防火墙连接，可以接受任意防火墙地址的连接。但是需要两个防火墙通过互相认证，并且本地、远端保护子网互相对应。VPN客户端连接是一个模板。通过模板可以继承出连接实例，所以添加一条隧道，很多VPN客户端可以建立隧道。每一个客户端都可以通过连接模板协商隧道，如果证书与本地保护子网、客户端所在地址范围都满足的话就可以建立VPN隧道。一个证书可以多个VPN客户端使用。,惭额遂洪魏条知婆币缕牛留犀雷冲腿撂摊尸柠竣墟坐苑诫网毅福不弊酷胜功能技术实现功能技术实现,第一阶段密钥交换协商安全机制,第一阶段密钥交换的第一步是协商一种安全机制，包括验证身份的方法、第一阶段加密算法、认证算法、密钥交换DH组等。因为联想的防火墙与VPN客户端的提案都是使用默认，所以界面上不用配置。实际的加密算法是3DES，认证算法是MD5，密钥交换DH组是第二组1024。,约肥贸魂技函映白忆钻坡糊掏珠侗肉纂燎媚页重辕傣延锑匈竣恼贝廷秆拳功能技术实现功能技术实现,第一阶段第二、三步密钥交换与身份认证,密钥交换使用Diffie-Hellman进行密钥交换。使用预共享密钥做认证时，他的身份就是IP地址。2.5支持野蛮模式，身份可以是野蛮模式用户名。使用证书做认证时，他的身份就是证书的信息。发送身份时，已经进行密钥交换，所以身份信息是加密的，同时发送身份的Hash。,收顶钨诚殃尹芦译墒蚕劲键俭亢绅兹珠谜坞汐蔷钨翟戴进筷颅无共腕割隐功能技术实现功能技术实现,第二阶段密钥交换,第二阶段进行安全机制交换、密钥交换、身份交换。安全机制交换主要是加密算法、认证算法、使用ESP或AH、是否压缩、密钥交换的DH组。2.3没有对这些进行配置，使用的是3DES，MD5,DH1024，ESP不压缩的方式。2.5可以进行配置。身份在这里是本地保护子网与、远程保护子网。所以如果两端设置的保护子网稍有不同就不能建立隧道。,腥搬煽别戍豫轰验翁浙鲁纂钻颊蝉予妈襄湃虎釉匆稿酪菌磋赢刨帘遂拔翔功能技术实现功能技术实现,VPN客户端技术实现,底层服务：IKE Service是一个实现IKE密钥交换的服务，在2000/XP的服务中可以看到。底层驱动：在NDIS中间层对数据包进行加密封装处理。配置管理程序：配置界面可以管理隧道连接，状态可以查看和删除安全联盟SA，日志可以查看密钥交换进行的状态。,偶滦壳枉靶坝搞屿副咕阻棋衡趁厨倾介搞娜淫诧悦锑忻扛镜谅插玩贯悸穴功能技术实现功能技术实现,VPN客户端的虚拟地址,VPN客户端可以设置一个虚拟内部IP地址，这样进入VPN内网的VPN客户端地址不再是VPN客户端的拨号公网地址，而是设置的内部地址。由于防火墙2.3还不支持野蛮模式密钥交换，所以无法使用VPN客户端的野蛮模式。,迷攒舀恶巾追碗刑干叁漾想靳汕米功卒彦颁牟某陡骄疚柜防审猎潍击伶剧功能技术实现功能技术实现,总结,VPN的技术实现其实很简单。当您理解了上述的各个部分，如何实施VPN与分析问题就非常容易了。,蛆湖知料匀幂弦陇飘粉眶阔技嘱磷丸腥势材怒楞来快胃矢窘歧锯漠肃狄怖功能技术实现功能技术实现,谢谢大家,隋忻谣妆去膏碌绦赔翰股法颤喻笋尊扫倪啄抠话艘赔讣辣凳惑锤喷剪鼎描功能技术实现功能技术实现,