《虚拟专用网络》PPT课件.ppt
《《虚拟专用网络》PPT课件.ppt》由会员分享,可在线阅读,更多相关《《虚拟专用网络》PPT课件.ppt(62页珍藏版)》请在三一办公上搜索。
1、1,第六章 虚拟专用网,李 剑 北京邮电大学信息安全中心 E-mail:01086212346,2,目 录,一.VPN概述二.VPN技术三.VPN新应用四.VPN发展趋势,3,虚拟专用网,在国外,虚拟专用网即VPN(Virtal Private Network)已经迅速发展起来,2001年全球VPN市场将达到120亿美元。在中国,虽然人们对VPN的安全性、服务质量(QoS)等方面存有疑虑,但互联网和电子商务的快速发展使有理由相信,中国的VPN市场将逐渐热起来。,4,6.1 VPN概述,对国内的用户来说,VPN最大的吸引力是价格。据估算,如果企业放弃租用专线而采用VPN,其整个网络的成本可节约2
2、1%45%,至于那些以电话拨号方式连网存取数据的公司,采用VPN则可以节约通信成本50%80%。为什么VPN可以节约这么多的成本?这就先要从VPN的概念谈起。,5,6.1.1 VPN的概念,现在有很多连接都被称作为VPN,用户经常分不清楚,那么一般所说的VPN到底是什么呢?顾名思义,虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP(因特网服务提供商)和其他NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。,6,6.1.1 VPN的概
3、念,IETF草案理解基于IP的VPN为:“使用IP机制仿真出一个私有的广域网”,是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用因特网公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。,7,6.1.1 VPN的概念,用户现在在电信部门租用的帧中继(Frame Relay)与ATM等数据网络提供固定虚拟线路(PVC,Permanent Virtual Circuit)来连接需要通信的单位,所有的权限掌握在别人的手中。如果用户需要一些别的服务,需要填写许多的单据,再等上相当一段时间,才能
4、享受到新的服务。更为重要的是两端的终端设备不但价格昂贵,而且管理也需要一定的专业技术人员,无疑增加了成本,而且帧中继、ATM数据网络也不会像因特网那样,可立即与世界上任何一个使用因特网的单位连接。而在因特网上,VPN使用者可以控制自己与其他使用者的联系,同时支持拨号的用户。,8,6.1.1 VPN的概念,所以虚拟专用网一般指的是建筑在因特网上能够自我管理的专用网络,而不是帧中继或ATM等提供PVC服务的网络。以IP为主要通信协议的VPN,也可称之为IP-VPN。由于VPN是在因特网上临时建立的安全专用虚拟网络,用户就节省了租用专线的费用,在运行的资金支出上,除了购买VPN设备,企业所付出的仅仅
5、是向企业所在地的ISP支付一定的上网费用,也节省了长途电话费。这就是VPN价格低廉的原因。,9,6.1.1 VPN的概念,越来越多的用户认识到,随着因特网和电子商务的蓬勃发展,经济全球化的最佳途径是发展基于因特网的商务应用。随着商务活动的日益频繁,各企业开始允许其生意伙伴、供应商也能够访问本企业的局域网,从而大大简化信息交流的途径,增加信息交换速度。这些合作和联系是动态的,并依靠网络来维持和加强,于是各企业发现,这样的信息交流不但带来了网络的复杂性,还带来了管理和安全性的问题,因为因特网是一个全球性和开放性的、基于TCP/IP 技术的、不可管理的国际互联网络,因此,基于因特网的商务活动就面临非
6、善意的信息威胁和安全隐患。,10,6.1.1 VPN的概念,VPN是一条穿过混乱的公用网络的安全、稳定的隧道。通过对网络数据的封包和加密传输,在一个公用网络(通常是因特网)建立一个临时的、安全的连接,从而实现在公网上传输私有数据,达到私有网络的安全级别。如果接入方式为拨号方式,则称之为VPDN。通常,VPN是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。VPN可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟
7、专用网。,11,6.1.2 VPN的特点,在实际应用中,用户需要的是什么样的VPN呢?一般情况下,一个高效、成功的VPN应具备以下几个特点。1安全保障 虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接,称之为建立一个隧道,可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证了数据的私有性和安全性。在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防
8、止非法用户对网络资源或私有信息的访问。Extranet VPN将企业网扩展到合作伙伴和客户,对安全性提出了更高的要求。,12,6.1.2 VPN的特点,2服务质量保证VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户,提供广泛的连接和覆盖性是保证VPN服务的一个主要因素;而对于拥有众多分支机构的专线VPN网络,交互式的内部企业网应用则要求网络能提供良好的稳定性;对于其他应用(如视频等)则对网络提出了更明确的要求,如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面,构建VPN的另一重要需求是充
9、分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,产生网络瓶颈,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。,13,6.1.2 VPN的特点,3可扩充性和灵活性 VPN必须能够支持通过企业内部网(Intranet)和企业内部网(Extranet)的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带
10、宽增加的需求。,14,6.1.2 VPN的特点,4可管理性 从用户角度和运营商角度应可方便地进行管理、维护。在VPN管理方面,VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成,但企业自己仍需要完成许多网络管理任务,所以,一个完善的VPN管理系统是必不可少的。VPN管理的目标为:减小网络风险,具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。,15,6.1.2 VPN的特点,6.1.3 VPN的分类根据用户使用的情况和应用环境的不同特
11、点,VPN技术大致可分为3种典型的应用方式:远程访问虚拟网(Access VPN)、企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(Extranet VPN),这3种类型的 VPN分别与传统的远程访问网络、企业内部网以及企业网和相关合作伙伴的企业网所构成的企业外部网相对应。,16,6.1.2 VPN的特点,1.远程访问虚拟网 随着当前移动办公的日益增多,远程用户需要及时地访问企业内部网和企业外部网。对于出差流动员工、远程办公人员和远程小办公室,远程访问虚拟网通过公用网络与企业的企业内部网和企业外部网建立私有的网络连接。在远程访问虚拟网的应用中,利用了二层网络隧道技术在公用网络上建立
12、VPN隧道连接来传输私有网络数据。远程访问虚拟网的结构图如图6.1所示。,17,6.1.2 VPN的特点,图6.1 远程访问虚拟网结构图,18,6.1.2 VPN的特点,远程访问虚拟网的结构有两种类型:一种是用户发起(Client-initiated)的VPN连接,另一种是接入服务器发起(NAS-initiated)的VPN连接。用户发起的VPN连接指的是以下这种情况:首先,远程用户通过服务提供点(POP)接入因特网,接着,用户通过网络隧道协议与企业网建立一条的隧道(可加密)连接从而访问企业网内部资源。在这种情况下,用户端必须维护与管理发起隧道连接的有关协议和软件。在接入服务器发起的VPN连接
13、应用中,用户通过本地号码或免费号码拨入ISP,然后ISP的NAS再发起一条隧道连接连到用户的企业网。在这种情况下,所建立的VPN连接对远端用户是透明的,构建VPN所需的协议及软件均由ISP负责管理和维护。,19,6.1.2 VPN的特点,2.企业内部虚拟网企业内部虚拟网通过公用网络进行企业各个分布点互联,是传统的专线网或其他企业网的扩展或替代形式。利用IP网络构建VPN的实质是通过公用网在各个路由器之间建立VPN安全隧道来传输用户的私有网络数据,用于构建这种VPN连接的隧道技术有IPSec、GRE等。结合服务商提供的QoS机制,可以有效而且可靠地使用网络资源,保证了网络质量。基于ATM或帧中继
14、的虚电路技术构建的VPN也可实现可靠的网络质量,但其不足是互联区域有较大的局限性。而另一方面,基于因特网构建VPN是最为经济的方式,但服务质量难以保证。企业在规划VPN建设时应根据自身的需求对以上的各种公用网络方案进行权衡。企业内部虚拟网的结构图如图6.2所示。,20,6.1.2 VPN的特点,图6.2 企业内部虚拟网结构图,21,6.1.2 VPN的特点,3.企业扩展虚拟网企业扩展虚拟网是指利用VPN将企业网延伸至合作伙伴与客户。在传统的专线构建方式下,企业外部网通过专线互联实现,网络管理与访问控制需要维护,甚至还需要在企业外部网的用户侧安装兼容的网络设备;虽然可以通过拨号方式构建企业外部网
15、,但此时需要为不同的企业外部网用户进行设置,而同样降低不了复杂度。因合作伙伴与客户的分布广泛,这样的企业外部网建设与维护是非常昂贵的。因此,诸多的企业常常是放弃构建企业外部网,结果使得企业间的商业交易程序复杂化,商业效率被迫降低。,22,6.1.2 VPN的特点,企业扩展虚拟网结构图,23,6.1.2 VPN的特点,3.企业扩展虚拟网企业扩展虚拟网是指利用VPN将企业网延伸至合作伙伴与客户。在传统的专线构建方式下,企业外部网通过专线互联实现,网络管理与访问控制需要维护,甚至还需要在企业外部网的用户侧安装兼容的网络设备;虽然可以通过拨号方式构建企业外部网,但此时需要为不同的企业外部网用户进行设置
16、,而同样降低不了复杂度。因合作伙伴与客户的分布广泛,这样的企业外部网建设与维护是非常昂贵的。因此,诸多的企业常常是放弃构建企业外部网,结果使得企业间的商业交易程序复杂化,商业效率被迫降低。,24,6.1.2 VPN的特点,企业扩展虚拟网结构图如图,25,6.2 VPN技术,6.2.1 VPN安全技术VPN 是在不安全的因特网中通信,通信的内容可能涉及企业的机密数据,因此其安全性非常重要。VPN中的安全技术通常由加密、认证及密钥交换与管理组成。1认证技术认证技术防止数据的伪造和被篡改,它采用一种称为“摘要”的技术。“摘要”技术主要采用Hash函数将一段长的报文通过函数变换,映射为一段短的报文即摘
17、要。由于Hash 函数的特性,两个不同的报文具有相同的摘要几乎不可能。该特性使得摘要技术在VPN 中有两个用途:验证数据的完整性、用户认证。,26,6.2 VPN技术,2加密技术IPSec通过ISAKMP/IKE/Oakley 协商确定几种可选的数据加密算法,如DES、3DES等。DES密钥长度为56位,容易被破译,3DES使用三重加密增加了安全性。当然国外还有更好的加密算法,但国外禁止出口高位加密算法。基于同样理由,国内也禁止重要部门使用国外算法。国内算法不对外公开,被破解的可能性极小。,27,6.2 VPN技术,3密钥交换和管理VPN 中密钥的分发与管理非常重要。密钥的分发有两种方法:一种
18、是通过手工配置的方式;另一种采用密钥交换协议动态分发。手工配置的方法由于密钥更新困难,只适合于简单网络的情况。密钥交换协议采用软件方式动态生成密钥,适合于复杂网络的情况且密钥可快速更新,可以显著提高VPN 的安全性。目前主要的密钥交换与管理标准有IKE(互联网密钥交换)、SKIP(互联网简单密钥管理)和Oakley。,28,6.2.2 VPN隧道协议,目前主流的隧道协议包括了在数据链路层的PPTP、L2TP协议;在网络层的IPSec协议;在TCP层的SOCKs v5协议;在会话层的SSL协议。图6.4所示为几种隧道协议VPN位置。图6.4 几种隧道协议VPN位置,29,6.2.2 VPN隧道协
19、议,1PPTP/L2TP 协议PPTP/L2TP协议是微软公司(后者有思科的参与)提出来的,PPTP/L2TP已被嵌入到微软的操作系统中,用于微软的路由和远程访问服务。L2TP是L2F(Layer 2 Forwarding)和PPTP的结合。但是由于PC机的桌面操作系统包含着PPTP,因此PPTP仍比较流行。隧道的 建立有两种方式,即“用户初始化”隧道和“NAS初始化”隧道。前者一般指“主动”隧道,后者指“强制”隧道。“主动”隧道是用户为某种特定目的的请求建立的,而“强制”隧道则是在没有任何来自用 户的动作以及选择的情况下建立的。,30,6.2.2 VPN隧道协议,L2TP作为“强制”隧道模型
20、是让拨号用户与网络中的另一点建立连接的重要机制。共建立过程如下:用户通过调制解调器与NAS建立连接;用户通过NAS 的L2TP接入服务器身份认证;在政策配置文件或NAS与政策服务器进行协商的基础上,NAS和L2TP接入服务器动态地建立一条L2TP隧道;用户与L2TP接入服务器之间建立一条点到点协议(PPP,Point to Point Protocol)访问服务隧道;用户通过该隧道获得VPN服务。,31,6.2.2 VPN隧道协议,与之相反的是,PPTP作为“主动”隧道模型允许终端系统进行配置,与任意位置的PPTP服务器建立一条不连续的、点到点的隧道,并且,PPTP协商和隧道建立过程都没有中间
21、媒介NAS的参与。NAS的作用只是提供网络服务。PPTP建立过程如下:用户通过串口以拨号IP访问的方式与NAS建立连接取得网络服务;用户通过路由信息定位PPTP接入服务器;用户形成一个PPTP虚拟接口;用户通过该接口与PPTP接入服务器协商、认证建立一条PPP 访问服务隧道;用户通过该隧道获得VPN服务。在L2TP中,用户感觉不到NAS的存在,仿佛是与PPTP接入服务器直接建立连接。而在PPTP中,PPTP隧道对NAS是透明的;NAS不需要知道PPTP接入服务器的存在,只是简单地把PPTP流量作为普通IP流量处理。,32,6.2.2 VPN隧道协议,采用L2TP还是PPTP实现VPN取决于要把
22、控制权放在NAS还是用户手中。L2TP比PPTP更安全,因为L2TP接入服务器能够确定用户从哪里来的。L2TP主要用于比较集中的、固定的VPN用户,而PPTP比较适合移动的用户。PPTP/L2TP目前已经不是主流。因为它们没有提供内在的安全机制,端点用户需要在连接前手工建立加密信道,没有加密和认证支持,稳定性也很差,而且也无法穿越NAT,因此仅仅少部分微软用户还在使用。,33,6.2.2 VPN隧道协议,2.IPSec 协议IPSec提供站点间(如分支办公室到总部)及远程访问的安全联机。这是一种成熟的标准,全球各地许多厂家提供这种解决方案。IPSec/IKE事实上指的是IETF标准(从RFCs
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 虚拟专用网络 虚拟 专用 网络 PPT 课件

链接地址:https://www.31ppt.com/p-5601104.html