虚拟专用网络VPN培训教材

络
终止点是面向客户的，其内部技术构成、实施和管理
——VPN
对VPN客户可见。需要客户和隧道（或网关）方安装
隧道软件。客户方的软件发起隧道，在公司隧道服务
器处终止隧道。此时ISP不需要做支持建立隧道的任
何工作。经过对用户身份符（ID）和口令的验证，客
户方和隧道服务器极易建立隧道。双方也可以用加密
的方式。隧道一经建立，用户就会感觉到ISP不在参
——VPN
传输模式只对IP数据包的有效负载进行加密或认 证。此时，继续使用以前的IP头部，只对IP头部的 部分域进行修改，而IPSec协议头部插入到IP头部和 传输层头部之间。
虚
传输模式：
拟
加密的TCP会话
专
用
外网
网
内网
络
传输模式封装：
IP包头 上层协议（数据）
——VPN
IP包头 AH包头 ESP包头 上层协议（数据）
拟
网关需要两个IP地址：一个是它自己的NIC地址，
Biblioteka Baidu
专
另外一个是内部地址，这个地址通常被称为虚拟的
用
或者逻辑地址或者是被分配的IP地址。
网
络
家庭办公
总部
PSTN
Internet
——VPN
安装了VPN客户 端软件的移动用户
虚
3、防火墙VPN
拟
专 用 网
一个防火墙VPN本质上是一个带有增强的安全 和防火墙功能的L2L或者远程访问VPN。
网
攻击者需要某种类型的特殊TCP序列号猜测程序来成
络
功地截获并且控制一个现有的TCP连接。
2、中间人攻击解决方案
——VPN
防止TCP会话协截获，可用防火墙随机化TCP序 列号（32位，大约20亿个可能组合）。
最佳方案就是使用VPN：设备验证、数据包完整 性检查、加密。
虚 1.2 VPN定义
拟
VPN（Virtual Private Network）
用
的数据包的类型。最通常是使用一个数据包的完
网
整性检查系统，是通过散列函数来实施的。VPN
络
中常使用MD5和SHA来作为散列函数，作为完整
性检查。
——VPN
虚 1.1.3 中间人攻击
拟 专
中间人攻击常用的两种：
用
网
络
①发送流量给 真正的服务器
用户
真正服务器
②伪装攻击：假 装真正的服务器
③攻击者给真正 服务器回放流量
与通信。
虚
2）服务器发起（也称客户透明方式或基于网络的）：
拟
在公司中心部门或ISP处（POP、Pointofpresence）
专
安装VPN软件，客户无须安装任何特殊软件。主要为
用
ISP提供全面管理的VPN服务，服务提供的起始点和
网 络
终止点是ISP的POP，其内部构成、实施和管理对 VPN客户完全透明。
——VPN
链路加密——通常用硬件在网络层以下的物理层 和数据链路层中实现，用于保护通信节点间传输的 数据。
虚 拟
密钥A
节点 (发方)
加密
解密
节点 (交换中心)
加密
专
用 网
密钥B
解密
节点 (收方)
络
——VPN
端到端加密——通常在两端设备中完成加解密的 过程。其密钥管理就是一个重要的课题。
虚 1.1.2 伪装攻击
的用户，或者许多其他的连接对等体。
——VPN
Cisco官方不认为用户到用户是一种VPN。
虚 1.2.3 VPN分类
拟
专
分类方式比较混乱。不同的生产厂家在销售它
用 网
们的VPN产品时使用了不同的分类方式，它们主 要是按产品的角度来划分的。
络
——VPN
虚
一、按接入方式划分
拟
专
（1）专线VPN：它是为已经通过专线接入ISP边
用
缘路由器的用户提供的。这是一种“永远在线”
网
的VPN，可以节省传统的长途专线费用。
络
（2）拨号VPN（又称VPDN）：它是向利用拨号
——VPN
PSTN或ISDN接入ISP的用户提供的VPN业务。这
是一种“按需连接”的VPN，可以节省用户的长途
电话费用。需要指出的是，因为用户一般是漫游用
户，是“按需连接”的，因此VPDN通常需要做身
虚 传输模式优点和缺点：
拟
优点：
专
即使内网的其他用户也不能理解通信主机
用
之间的通信内容。
网
分担了IPSec处理负荷。
络
缺点：
——VPN
不具备对端用户的透明性，用户为获得ESP提供 的安全服务，必须付出内存、处理时间等代价。
不能使用私有IP地址。
暴露了子网的内部拓扑结构。
虚
2、隧道模式
拟
专
隧道模式中，整个IP数据包都在ESP负载中进行封
用 网
• 站点到站点VPN
络
• 远程访问VPN
• 防火墙VPN
——VPN
• 用户对用户VPN
虚
1、站点到站点VPN
拟
专
在VPN网关之间使用隧道模式连接来保护两个
用
或更多站点之间的流量。
网 络
站点到站点的连接通常称为局域网到局域网 连接（L2L）。
——VPN
对站点之间的流量进行了保护，包括位于两台 VPN设备之间的传输网络。对两个站点的终端用 户的设备是透明的。
需求，但校园网资源由于安全的原因又只能在校内
认证访问，这些矛盾逐渐突出。为此，许多学校网
络中心采用虚拟专用网（VPN）来解决这一问题，
为地处校外的教职工的工作和学习带来方便。
虚
其技术要求：
拟
专
1、身份验证。
用 网
2、加密保护。
络
3、方便、安全的管理。
——VPN
4、DHCP支持。
5、多种用户环境支持。支持专线宽带接入、小 区宽带接入、ADSL宽带接入、ISDN拨号接入、 普通电话拨号接入、GPRS接入、CDMA接入等 多种因特网接入方式。
专
VPN既是一种组网技术，又是一种网络安全技术。
用 网 络
在公用网络中，按照相同的策略和安全规则，建立 的私有网络连接。
——VPN
Internet
虚 拟
其应用范围： （1）已经通过专线连接实现广域网的企业，由于增
加业务，带宽已不能满足业务需要，需要经济可靠的升
专 级方案。
用
网 络
（2）企业的用户和分支机构分布范围广，距离远， 需要扩展企业网，实现远程访问和局域网互联，最典型 的是跨国企业、跨地区企业。
攻击者
——VPN
• 会话回放（重新发送）攻击
虚
攻击者
拟
专
用 网
设备A
设备B
络
设备B
设备A
攻击者
——VPN
设备A
设备B
• 会话截获攻击
虚
1、中间人攻击工具
拟
常用攻击协议分析仪来捕捉数据包。使用会话回放
专
攻击，可以使用Java或ActiveX脚本来捕捉来自
用
WEB服务器会话的数据包。使用TCP会话截获攻击，
虚
公司总部和其分支机构、办公室之间建立的VPN
拟
专
替代了传统的专线或分组交换WAN连接
用 网
它们形成了一个企业的内部互联网络
络
——VPN
Internet
公司总部
分支公司一
分支公司二
虚
可以承担VPN网关角色的CISCO设备有：
拟
专
• VPN3000系列集中器
用 网
• 具有VPN软件的基于IOS的路由器
专
证信息均是在源和目标设备之间是明文传输的。
用 网
1、窃听工具
络
协议分析仪：通用型和攻击型。
——VPN
通用型协议分析仪能捕捉所有它看得见的数据包。 一般采用诊断工具来进行诊断与排除，而市场上有 许多基于软件的协议分析仪，并且是免费的。
攻击型协议分析仪是一种增强的通用协议分析仪。 主要查看应用程序和协议的某种特征来查找认证、金 融和安全信息。
拟
优点：
专
保护子网中的所有用户都可以透明的享受由安
用
全网关提供的安全保护。
网 络
子网内部可以使用私有IP地址。
子网内部的拓扑结构受到保护。
——VPN
缺点： 增大了安全网关的处理负荷，容易形成通信瓶颈。
对内部的诸多安全问题将不可控。
虚
拟
传输模式与隧道模式的区别：
专
用
网
传输模式的协议栈少了一层——隧道，即少了添加
虚
第1章 VPN概述
拟 专
以高校校园VPN应用为案例
用
在上世纪末到本世纪初，我国高校进行了大量改
网
革，学校合并、升级等工作。为此，给学校教学、
络
科研等的管理带来了许多不便，如学校教职工并不
——VPN
是全部在校内居住，而在校外居住比例逐渐提高，
外出进行学术研究、工作、参加各种会议的人次逐
年增多，此类人又必须网上办公或校内资源访问的
络
VPN网关IP这个子层；而隧道模式在协议栈中有这一
层。传输模式中，加密子层只对packet包的data字
——VPN
段加密，不对包头加密，否则数据在传输过程中，会
因IP地址被加密而无法寻址。隧道模式中，不存在这
个问题，因为公网传输中用的VPN网关IP。
虚 1.2.2 VPN类型
拟 专
参与VPN连接的实体的常见类型有4种：
络
——VPN
如果用Cisco设备来实施防火墙VPN，VPN
网关设备通常可能是PIX或ASA安全设备。
虚
4、用户到用户VPN
拟
专 用 网
一个用户到用户VPN本质上是一个在两台设备之 间的传输模式的VPN连接。这两台设备可以是PIX 设备和一台系统日志服务器、一台路由器和一台
络
TFTP服务器、一个使用Telnet访问Cisco路由器
络
• PIX和ASA安全设备
——VPN
Cisco通常建议用路由器作为L2L VPN的解决 方案。
虚
与其他设备相比，Cisco产品的基本优点：
拟
专
IOS路由器——有先进的QoS、GRE隧道、路
用
由选择以及扩展和先进的L2L VPN能力。
网
Cisco VPN 3000集中器——易于建立和故障
络
诊断与排除。
用
装和加密。此时，需要新产生一个IP头部，IPSec头
网
部被放在新产生的IP头部和以前的IP数据包之间，从
络
而组成一个新的IP头部。
IP包头 上层协议（数据）
——VPN
安全网关IP包头 AH包头 ESP包头 IP包头 上层协议（数据）
——VPN
虚
隧道模式
拟
专
用
网
络
InterNet
虚
ESP隧道模式优点和缺点
拟
专
网络中，通过改变数据包中的源地址信息来实
用
现。常被称为欺骗，与服务拒绝（DoS）攻击或
网
非授权访问攻击组合。
络
1、伪装工具
——VPN
在第2层网络中，黑客可能使用ARP欺骗来将 两台设备之间的数据流量重定向到黑客的设备。
伪装工具挺多，一般是修改数据包中的源 IP地址。
虚
2、伪装解决方案
拟
专
使用一个强壮的防火墙系统来限制进入本网络
——VPN
目前MPLS只能用于服务器发起的VPN方式。
虚
四、按VPN的服务类型划分
拟
专
用
1. Intranet(企业内部虚拟网)
——VPN
（3）分支机构、远程用户、合作伙伴多的企业，需 要扩展企业网，实现远程访问和局域网互联。
（4）关键业务多且对通信线路保密和可用性要求高 的用户，如银行、证券公司、保险公司等。
虚 1.2.1 VPN连接模式
拟 专
用于在设备之间传输数据时的封装过程：
用
• 传输模式
网 络
• 隧道模式
1、传输模式
虚 拟 专 用 网 络
——VPN
虚 1.1 网络流量
拟
专
VPN最初开发的主要目的是将明文数据通
用
过网络进行传输时的加密处理。
网
Telnet
络
发送请求
源
目标
FTP
回答请求
TFTP
攻击者
POP SMTP
——VPN
窃听、伪装、中间人三种攻击
HTTP
虚 1.1.1 窃听攻击
拟
一般应用程序和协议中，用户名和密码之类的认
虚
2、窃听解决方案
拟 专 用
信用卡信息、个人信息、电话号码、用户名、密 码（口令）、社会保险码等类信息均是敏感信息。
网
在电子商务环境中主要的解决方案是采用具有SSL
络
（Secure Socket Layer，安全套接层）来增强WEB
安全性的一种安全协议。HTTP协议（HTTPS）。对
信用卡和个人信息提供较强的保护（加密）。
份认证（比如利用CHAP和RADIUS）。
虚 二、按实现类型划分
拟
专
这是VPN厂商和ISP最为关心的划分方式。根据分
用
层模型，VPN可以在第二层建立，也可在第三层建立
网
（有人把更高层的一些安全协议也归入VPN协议。）
络
（1）第二层隧道协议：包括点到点隧道协议
（PPTP）、第二层转发协议（L2F），第二层
——VPN
PIX安全设备防火墙——有先进的防火墙和安 全特性，包括状态过滤、应用程序过滤和先进的 地址转换能力。
虚
2、远程访问VPN
拟
专
移动用户或远程小办公室通过Internet访问网络
用
中心。
网
络
连接单一的网络设备
——VPN
客户通常需要安装VPN客户端软件
虚
远程访问中，VPN端点或者客户端，连接到VPN
网
VPN业务（也可以用于实现专线VPN业务），当然这
络
些协议之间本身不是冲突的，而是可以结合使用的。
——VPN
虚
三、按VPN的发起方式划分
拟 专 用
这是客户和IPS最为关心的VPN分类。VPN业务可 以是客户独立自主实现的，也可以是由ISP提供的。
网
1）发起（基于客户的）：VPN服务提供的其始点和
隧道协议（L2TP）、多协议标记交换（MPLS）
等。
——VPN
（2）第三层隧道协议：包括通用路由封装协议 (GRE)、IP安全（IPSEC），这是目前最流行的 两种三层协议。
虚
拟
第二层和第三层隧道协议的区别主要在于用户数据
专
在栈的第几层被封装，其中GRE、IPSec和MPLS主
用
要用于实现专线VPN业务，L2TP主要用于实现拨号