cisp教程-vpn技术
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
通过使用低成本的互联网线路在组织机构的分 支机构间建立安全的连接
6
第一课:理解VPN
虚拟出来的企业内部专线 加密以专有 原先再路由器上 目前:交换机、防火墙以及OS
2007‐12‐22
第一课:VPN定义
通过一个公用网络(通常是因特网)建立一个 临时的、安全的连接,是一条穿过混乱的公用 网络的安全、稳定的隧道。
互联网的发展促进了VPN业务 RAS相对于VPN的局限性 VPN在互联网上实现虚拟和私有特性
课间休息
12
2007‐12‐22
第二课:VPN的基本技术
第二课:目标
VPN的实现需要的技术 简单了解每种技术所起的作用
13
第二课:数据包
包括包头和数据 包头
是一些标签 包括发送者、接受者和控制单元等数据
VPN技术
中国信息安全产品测评认证中心 汪洋
cnitsecwy@
2007‐12‐22
课程简介
本课程将使你了解到VPN的:
产生原因 昨天、今天、明天 分类 主要技术 益处 发展
仅仅只是浅谈…
1
培训大纲
第一课:由来和定义 第二课:基本技术 第三课:分类 第四课:设计原则 第五课:解决方案分析 第六课:益处与发展
电话线路
5
2007‐12‐22
第一课:RAS的是是非非
非:
安全保护:接入点、线路 ISP提供的服务很贵 难扩展
是:
当时而言,可以说比较安全 比“普通”互联网速度快
第一课:VPN应运而生
20世纪90年代中期 互联网的疯狂增长 低价的网际互联 VPN简言之:
按体系结构分:
网关到网关、网关到主机、主机到主机
按实现方式分:
自构、外构
18
2007‐12‐22
第三课:按应用范围分类—— 远程访问虚拟网(Access VPN)
非VPN远程访问设置
数据 中心
数据服 务器
数据服 务器
RAS 远程接入服
务器
组织机构总部
远程用户 移动用户
远程访问VPN设置
15
2007‐12‐22
第二课:密钥管理
在公用数据网上安全地传递密钥而不被窃 取
SKIP与ISAKMP/ OAKLEY SKIP主要是利用Diffie‐Hellman的演算法则,
在网络上传输密钥 在ISAKMP中,双方都有两把密钥,分别用
于公用和私用
第二课:VPN工作示意图
16
第二课:总结
z L2TP可以提供包头压缩,从而减少传输数据量 z L2TP可以提供隧道验证,而PPTP不支持 z 都对传输数据不加密。
第三课:IPsecVPN
传统的TCP/IP并不安全 IETF设计Ipsec:
协议框架 ‐‐‐ RFC1825 安全协议 ‐‐‐ AH协议(RFC1826) 、ESP协议
(RFC1827)
IPSec的安全协议由三个主要的协议组成: AH协议、ESP协议和IKE协议
Ipsec提供的安全服务:访问控制、数据完 整性、数据源鉴别(身份认证)……
24
2007‐12‐22
第三课:IPSec协议体系
定义了协议、数据头部格式以及它 们提供的服务,为包头和数据提供 完整性保护和用户鉴别,也可以选 择提供重放攻击保护和访问保护。
9
第一课:近瞧VPN
2007‐12‐22
第一课:工作示意图
互联网
移动用户
组织机构总部
分支办公室
10
2007‐12‐22
第一课:VPN综述1
基本功能:
加密数据 信息认证和身份认证 提供访问控制
安全保障:
保证通过公用网络平台传输数据的专用性和安全性 确保在VPN上传送的数据不被攻击者窥视和篡改 防止非法用户对网络资源或私有信息的访问
远程分支 办公室
远程分支 办公室
远程分支 办公室
基于VPN的内联网设置
组织机构 总部
VPN网关
隧道
互联 网
隧道
远程分支 办公室
远程分支 办公室
隧道 VPN网关
远程分支 办公室
19
2007‐12‐22
第三课:按应用范围分类—— 企业扩展虚拟网(Extranet VPN)
传统的外联网设置
组织机构 总部
数据 中心
数据服 务器
数据服 务器
防火 VPN服 墙 务器
组织机构总部
互联网 VPN隧道
远程用户
移动用户
VPN 网关
远程办公室
远程办公室
长途拨号连接
本地拨入ISP连入互联网 或本地互联网连接
第三课:按应用范围分类—— 企业内部虚拟网(Intranet VPN)
使用广域网的内联网设置
组织机构 总部
广域 网
身份验证机制的可用性 支持高级网络功能,例如网络地址转换
(NAT) 在拨号模式中为隧道双方提供IP地址的动态
分配。 支持公钥基础设施(PKI)
23
2007‐12‐22
第三课:隧道协议比较
z PPTP要求互联网络为IP网络,而L2TP可以包括 IP、帧中继、X.25虚电路和ATM等
z PPTP只能在两端点间建立单一隧道,而L2TP支 持两端点间使用多隧道(用户可以为不同服务 质量创建不同隧道)
第一课:VPN综述2
服务质量保证:
充分有效地利用有限的广域网资源 为重要数据提供可靠的带宽 为企业数据提供不同等级的服务质量保证 按照优先级分配带宽资源,实现带宽管理 预防阻塞的发生。
11
2007‐12‐22
第一课:VPN综述3
可扩充性和灵活性:
VPN必须能够支持通过Intranet和Extranet的任何类 型的数据流,可以很方便地增加新节点,支持多种 类型的传输媒介,包括语音、图像和数据等
覆盖了整个技术概念和安全考虑, 提供了IPSec协议集理解的基础
详述和跟踪了定义密钥管理 体制的标准,可为IPSec
(AH/ESP)协议生成密钥。
记录协商的安全参数信息
第三课:通讯模式
传输模式 隧道模式
25
2007‐12‐22
第三课:传输模式
主机与主机的安全通信 只保护IP报文的有效负载,不会隐藏路由信息 不需要创建新的IP包头 优点:
即使内网中的其它用户,也不能理解传输于主机A和主机 B之间的数据
分担了IPSec处理负荷
缺点:
对外暴露IP地址和网络拓扑 需要IPSec的主机必须安装该软件,需要较大的资金和技
术支持 缺乏访问控制机制
第三课:传输模式示意图
主机1
互联网
传输模式 VPN
主机2
IPv4
原IP包头
传输数据 (TCP, UDP, ICMP等)
2.基于RSA进行PPTP认证
3.基于RC4对数据加密
Internet 或IP网络
PPTP服务 器
1.拨号,建立PPP连接
21
2007‐12‐22
第三课:L2F
L2F是可以在多种介质上建立多协议的安全 虚拟专用网(VPN)的通信方式
远端用户能够透过任何拨号方式接入公共IP 网络。
第三课:L2TP
可管理性:
无论从用户角度,还是从运营商角度都应能方便地 进行管理和维护
从用户角度上讲,可以选择地增加身份的认证、加 密算法的选择、密钥的产生等方案
从运营商角度上讲,可以有效管理VPN网络 VPN管理主要包括安全管理、设备管理、配置管理、
访问控制列表管理、QoS管理等内容
第一课:总结
外联网VPN设置
组织机构 总部
供应 商网 络1
供应 商网 络1
供应商1
供应商2
供应 商网 络1
供应商3
互联 网
供应商1
供应商2
供应商3
第三课:按协议层次分类
数据链路层VPN
可以用于各种网络协议,比如IP、IPX、AppleTalk等。
网络层VPN
可以适用于所有应用(即不是应用特定的)。
2007‐12‐22
第一课:VPN的由来和定义
2
第一课:目标
VPN对应的市场需求 VPN的表象 VPN的定义
2007‐12‐22
第一课:当代企业面临的问题
灵活迅速的信息交换 CRM和ERP 远程访问资源、无延时信息交换 非兼容网络设备 企业级合作 高级别的安全需要
由器中有支持。 L2TP:由 IETF 起草,微软、 Ascend 、Cisco、
3COM 等公司参与,结合了上面两个协议的优 点,成为 二层隧道协议的的工业标准。
MPLS:Multi‐Protocol Label Switching
第三课:PPTP
由微软最先提出,提供PPTP客户机 和PPTP服务器之间的加密通信
以网组网络络厂中商直为接主建提出立安,全在的IP网IP连络接或分
PSTN
Internet 或IP网络
FR/ATM等 交换网络
LNS L2TP Network Server
LNS
22
第三课:MPLS
根据标签进行快速路 由和交换
普通IP报以普通方式 进行路由和交换
2007‐12‐22
第三课:区分2层方法的主要因素
原IP包头
IPSec头
传输数据
IPsec尾
(TCP, UDP, ICMP等) (仅用于ESP)
26
2007‐12‐22
第三课:隧道模式
文方式进行,但子网之间的通信受
IPSec机制的安全保护 对整个IP报文提供保护 需要为每个报文创建一个新的IP头部 优点:
本质区别在于数据包是被封装在哪种数据包中
14
第二课:加密
对称加密:
加密和解密都是采用相同的密钥 优点:加解密速度快 缺点:密钥管理困难
非对称加密:
加密和解密采用不同密钥 优点:密钥分配容易 缺点:加解密速度慢
2007‐12‐22
第二课:认证
使用者与设备身份认证技术最常用的是使 用者名称与密码或卡片式认证等方式
目前还没有完整统一的定义:
定义一: 在Internet上实现的一个专用网。(Novell) 定义二:VPN综合了专用和公用网络的优点,允许
有多个站点的公司拥有一个假想的完全专有的网络, 而使用公用网络作为其站点之间交流的线路。 (Comer) 定义三:VPN是通过专用的隧道技术在公共数据网 络上仿真一条点到点的专线技术。(IETF草案)
VPN是由它们支撑起来的
2007‐12‐22
第三课:VPN的分类
17
第三课:目标
VPN的详细分类 每种类型的技术要点 不同类型的对比 标准VPN工作流程
2007‐12‐22
第三课:VPN分类依据
按应用范围分:
远程访问VPN、内联网VPN、外联网VPN
按协议层次分:
二层、三层、四层、应用层
传输层VPN
常用于保护单独的HTTP应用通信的安全。 目前主要的web浏览器默认支持该协议。
应用层VPN
为单个应用提供保护,通常只保护应用数据部分(SSH)
20
2007‐12‐22
第三课:二层的主要隧道协议
二层隧道协议主要有三种:
PPTP:微软、Ascend、3COM 等公司支持。 L2F:Cisco、北方电信等公司支持,在 Cisco路
子网中的所有用户都可以透明地享受由安全网关提供的 安全保护
子网内部的拓扑结构被保护
缺点:
增大了网关的处理负荷,容易形成通信瓶颈 对内部的诸多安全问题将不可控
第三课:隧道模式示意图
远程网络
隧道模式VPN
互联网
隧道模式VPN
本地网络
IPv4
原IP包头
IP载荷
新IP包头 IPsec头 原IP包头
7
2007‐12‐22
第一课:VPN逻辑等价图
第一课:VPN的应用场景
组织机构的覆盖多个地点的内联网 有非固定IP地址的家庭或现场工作人员
的拨号访问 用于客户或业务合作伙伴的外联网
8
2007‐12‐22
第一课:VPN的基础设施
安全性差 价格便宜 易扩展,普遍使用
第一课:远看VPN
匿名包与加密包的发送过程 VPN将此合二为一
2007‐12‐22
第二课:隧道
是一种封装技术 隧道技术是指包括数据封装、传输和解包在内
的全过程 隧道技术按其拓扑结构分为:
点对点隧道、点对多隧道
VPN主要采用点对点隧道 目前存在多种VPN隧道:
L2TP、PPTP、IPSec、MPLS、SSL
3
2007‐12‐22
第一课:早期的解决方案——互联
第一课:互联理念的缺陷
距离受限制 维护、管理困难 安装、运行、维护成本高
4
第一课:RAS连接
2007‐12‐22
第一课:RAS连接
只是暂时性连接 需要一个调制解调器或ISDN线路 公司扮演ISP 帐号与线路对应 每个拨号一条专线,中心需要确保有足够的
6
第一课:理解VPN
虚拟出来的企业内部专线 加密以专有 原先再路由器上 目前:交换机、防火墙以及OS
2007‐12‐22
第一课:VPN定义
通过一个公用网络(通常是因特网)建立一个 临时的、安全的连接,是一条穿过混乱的公用 网络的安全、稳定的隧道。
互联网的发展促进了VPN业务 RAS相对于VPN的局限性 VPN在互联网上实现虚拟和私有特性
课间休息
12
2007‐12‐22
第二课:VPN的基本技术
第二课:目标
VPN的实现需要的技术 简单了解每种技术所起的作用
13
第二课:数据包
包括包头和数据 包头
是一些标签 包括发送者、接受者和控制单元等数据
VPN技术
中国信息安全产品测评认证中心 汪洋
cnitsecwy@
2007‐12‐22
课程简介
本课程将使你了解到VPN的:
产生原因 昨天、今天、明天 分类 主要技术 益处 发展
仅仅只是浅谈…
1
培训大纲
第一课:由来和定义 第二课:基本技术 第三课:分类 第四课:设计原则 第五课:解决方案分析 第六课:益处与发展
电话线路
5
2007‐12‐22
第一课:RAS的是是非非
非:
安全保护:接入点、线路 ISP提供的服务很贵 难扩展
是:
当时而言,可以说比较安全 比“普通”互联网速度快
第一课:VPN应运而生
20世纪90年代中期 互联网的疯狂增长 低价的网际互联 VPN简言之:
按体系结构分:
网关到网关、网关到主机、主机到主机
按实现方式分:
自构、外构
18
2007‐12‐22
第三课:按应用范围分类—— 远程访问虚拟网(Access VPN)
非VPN远程访问设置
数据 中心
数据服 务器
数据服 务器
RAS 远程接入服
务器
组织机构总部
远程用户 移动用户
远程访问VPN设置
15
2007‐12‐22
第二课:密钥管理
在公用数据网上安全地传递密钥而不被窃 取
SKIP与ISAKMP/ OAKLEY SKIP主要是利用Diffie‐Hellman的演算法则,
在网络上传输密钥 在ISAKMP中,双方都有两把密钥,分别用
于公用和私用
第二课:VPN工作示意图
16
第二课:总结
z L2TP可以提供包头压缩,从而减少传输数据量 z L2TP可以提供隧道验证,而PPTP不支持 z 都对传输数据不加密。
第三课:IPsecVPN
传统的TCP/IP并不安全 IETF设计Ipsec:
协议框架 ‐‐‐ RFC1825 安全协议 ‐‐‐ AH协议(RFC1826) 、ESP协议
(RFC1827)
IPSec的安全协议由三个主要的协议组成: AH协议、ESP协议和IKE协议
Ipsec提供的安全服务:访问控制、数据完 整性、数据源鉴别(身份认证)……
24
2007‐12‐22
第三课:IPSec协议体系
定义了协议、数据头部格式以及它 们提供的服务,为包头和数据提供 完整性保护和用户鉴别,也可以选 择提供重放攻击保护和访问保护。
9
第一课:近瞧VPN
2007‐12‐22
第一课:工作示意图
互联网
移动用户
组织机构总部
分支办公室
10
2007‐12‐22
第一课:VPN综述1
基本功能:
加密数据 信息认证和身份认证 提供访问控制
安全保障:
保证通过公用网络平台传输数据的专用性和安全性 确保在VPN上传送的数据不被攻击者窥视和篡改 防止非法用户对网络资源或私有信息的访问
远程分支 办公室
远程分支 办公室
远程分支 办公室
基于VPN的内联网设置
组织机构 总部
VPN网关
隧道
互联 网
隧道
远程分支 办公室
远程分支 办公室
隧道 VPN网关
远程分支 办公室
19
2007‐12‐22
第三课:按应用范围分类—— 企业扩展虚拟网(Extranet VPN)
传统的外联网设置
组织机构 总部
数据 中心
数据服 务器
数据服 务器
防火 VPN服 墙 务器
组织机构总部
互联网 VPN隧道
远程用户
移动用户
VPN 网关
远程办公室
远程办公室
长途拨号连接
本地拨入ISP连入互联网 或本地互联网连接
第三课:按应用范围分类—— 企业内部虚拟网(Intranet VPN)
使用广域网的内联网设置
组织机构 总部
广域 网
身份验证机制的可用性 支持高级网络功能,例如网络地址转换
(NAT) 在拨号模式中为隧道双方提供IP地址的动态
分配。 支持公钥基础设施(PKI)
23
2007‐12‐22
第三课:隧道协议比较
z PPTP要求互联网络为IP网络,而L2TP可以包括 IP、帧中继、X.25虚电路和ATM等
z PPTP只能在两端点间建立单一隧道,而L2TP支 持两端点间使用多隧道(用户可以为不同服务 质量创建不同隧道)
第一课:VPN综述2
服务质量保证:
充分有效地利用有限的广域网资源 为重要数据提供可靠的带宽 为企业数据提供不同等级的服务质量保证 按照优先级分配带宽资源,实现带宽管理 预防阻塞的发生。
11
2007‐12‐22
第一课:VPN综述3
可扩充性和灵活性:
VPN必须能够支持通过Intranet和Extranet的任何类 型的数据流,可以很方便地增加新节点,支持多种 类型的传输媒介,包括语音、图像和数据等
覆盖了整个技术概念和安全考虑, 提供了IPSec协议集理解的基础
详述和跟踪了定义密钥管理 体制的标准,可为IPSec
(AH/ESP)协议生成密钥。
记录协商的安全参数信息
第三课:通讯模式
传输模式 隧道模式
25
2007‐12‐22
第三课:传输模式
主机与主机的安全通信 只保护IP报文的有效负载,不会隐藏路由信息 不需要创建新的IP包头 优点:
即使内网中的其它用户,也不能理解传输于主机A和主机 B之间的数据
分担了IPSec处理负荷
缺点:
对外暴露IP地址和网络拓扑 需要IPSec的主机必须安装该软件,需要较大的资金和技
术支持 缺乏访问控制机制
第三课:传输模式示意图
主机1
互联网
传输模式 VPN
主机2
IPv4
原IP包头
传输数据 (TCP, UDP, ICMP等)
2.基于RSA进行PPTP认证
3.基于RC4对数据加密
Internet 或IP网络
PPTP服务 器
1.拨号,建立PPP连接
21
2007‐12‐22
第三课:L2F
L2F是可以在多种介质上建立多协议的安全 虚拟专用网(VPN)的通信方式
远端用户能够透过任何拨号方式接入公共IP 网络。
第三课:L2TP
可管理性:
无论从用户角度,还是从运营商角度都应能方便地 进行管理和维护
从用户角度上讲,可以选择地增加身份的认证、加 密算法的选择、密钥的产生等方案
从运营商角度上讲,可以有效管理VPN网络 VPN管理主要包括安全管理、设备管理、配置管理、
访问控制列表管理、QoS管理等内容
第一课:总结
外联网VPN设置
组织机构 总部
供应 商网 络1
供应 商网 络1
供应商1
供应商2
供应 商网 络1
供应商3
互联 网
供应商1
供应商2
供应商3
第三课:按协议层次分类
数据链路层VPN
可以用于各种网络协议,比如IP、IPX、AppleTalk等。
网络层VPN
可以适用于所有应用(即不是应用特定的)。
2007‐12‐22
第一课:VPN的由来和定义
2
第一课:目标
VPN对应的市场需求 VPN的表象 VPN的定义
2007‐12‐22
第一课:当代企业面临的问题
灵活迅速的信息交换 CRM和ERP 远程访问资源、无延时信息交换 非兼容网络设备 企业级合作 高级别的安全需要
由器中有支持。 L2TP:由 IETF 起草,微软、 Ascend 、Cisco、
3COM 等公司参与,结合了上面两个协议的优 点,成为 二层隧道协议的的工业标准。
MPLS:Multi‐Protocol Label Switching
第三课:PPTP
由微软最先提出,提供PPTP客户机 和PPTP服务器之间的加密通信
以网组网络络厂中商直为接主建提出立安,全在的IP网IP连络接或分
PSTN
Internet 或IP网络
FR/ATM等 交换网络
LNS L2TP Network Server
LNS
22
第三课:MPLS
根据标签进行快速路 由和交换
普通IP报以普通方式 进行路由和交换
2007‐12‐22
第三课:区分2层方法的主要因素
原IP包头
IPSec头
传输数据
IPsec尾
(TCP, UDP, ICMP等) (仅用于ESP)
26
2007‐12‐22
第三课:隧道模式
文方式进行,但子网之间的通信受
IPSec机制的安全保护 对整个IP报文提供保护 需要为每个报文创建一个新的IP头部 优点:
本质区别在于数据包是被封装在哪种数据包中
14
第二课:加密
对称加密:
加密和解密都是采用相同的密钥 优点:加解密速度快 缺点:密钥管理困难
非对称加密:
加密和解密采用不同密钥 优点:密钥分配容易 缺点:加解密速度慢
2007‐12‐22
第二课:认证
使用者与设备身份认证技术最常用的是使 用者名称与密码或卡片式认证等方式
目前还没有完整统一的定义:
定义一: 在Internet上实现的一个专用网。(Novell) 定义二:VPN综合了专用和公用网络的优点,允许
有多个站点的公司拥有一个假想的完全专有的网络, 而使用公用网络作为其站点之间交流的线路。 (Comer) 定义三:VPN是通过专用的隧道技术在公共数据网 络上仿真一条点到点的专线技术。(IETF草案)
VPN是由它们支撑起来的
2007‐12‐22
第三课:VPN的分类
17
第三课:目标
VPN的详细分类 每种类型的技术要点 不同类型的对比 标准VPN工作流程
2007‐12‐22
第三课:VPN分类依据
按应用范围分:
远程访问VPN、内联网VPN、外联网VPN
按协议层次分:
二层、三层、四层、应用层
传输层VPN
常用于保护单独的HTTP应用通信的安全。 目前主要的web浏览器默认支持该协议。
应用层VPN
为单个应用提供保护,通常只保护应用数据部分(SSH)
20
2007‐12‐22
第三课:二层的主要隧道协议
二层隧道协议主要有三种:
PPTP:微软、Ascend、3COM 等公司支持。 L2F:Cisco、北方电信等公司支持,在 Cisco路
子网中的所有用户都可以透明地享受由安全网关提供的 安全保护
子网内部的拓扑结构被保护
缺点:
增大了网关的处理负荷,容易形成通信瓶颈 对内部的诸多安全问题将不可控
第三课:隧道模式示意图
远程网络
隧道模式VPN
互联网
隧道模式VPN
本地网络
IPv4
原IP包头
IP载荷
新IP包头 IPsec头 原IP包头
7
2007‐12‐22
第一课:VPN逻辑等价图
第一课:VPN的应用场景
组织机构的覆盖多个地点的内联网 有非固定IP地址的家庭或现场工作人员
的拨号访问 用于客户或业务合作伙伴的外联网
8
2007‐12‐22
第一课:VPN的基础设施
安全性差 价格便宜 易扩展,普遍使用
第一课:远看VPN
匿名包与加密包的发送过程 VPN将此合二为一
2007‐12‐22
第二课:隧道
是一种封装技术 隧道技术是指包括数据封装、传输和解包在内
的全过程 隧道技术按其拓扑结构分为:
点对点隧道、点对多隧道
VPN主要采用点对点隧道 目前存在多种VPN隧道:
L2TP、PPTP、IPSec、MPLS、SSL
3
2007‐12‐22
第一课:早期的解决方案——互联
第一课:互联理念的缺陷
距离受限制 维护、管理困难 安装、运行、维护成本高
4
第一课:RAS连接
2007‐12‐22
第一课:RAS连接
只是暂时性连接 需要一个调制解调器或ISDN线路 公司扮演ISP 帐号与线路对应 每个拨号一条专线,中心需要确保有足够的