欢迎来到天天文库
浏览记录
ID:20492541
大小:1.54 MB
页数:73页
时间:2018-10-12
《vpn技术及应用》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、VPN技术及应用VPN技术及其应用1.概述2.VPN功能3.VPN工作原理4.VPN具体应用5.安全风险1.概述VPN--VirtualPrivateNetwork,虚拟专用网依靠ISP(因特网服务提供商)和其他NSP(网络服务提供商),在公共的网络中建立的仅在逻辑上存在的专线网。1.概述公共网络VPN逻辑等价示意图远程访问Internet内部网合作伙伴分支机构虚拟私有网虚拟私有网虚拟私有网VPN是企业网在因特网上的延伸VPN的典型应用1.概述远程访问Internet内部网分支机构安全网关安全网关ISP接入设备端到端数据通路的典型构成拨入段外部段(公共因特网)内部段公
2、司的内部网络1.概述1.概述1.1VPN类型基于IPSec的VPN基于第二层的VPN非IPSec的网络层VPN非IPSec的应用层VPN概述1.1VPN类型基于IPSec的VPN在通信协议分层中,网络层是可能实现端到端安全通信的最低层,它为所有应用层数据提供透明的安全保护,用户无需修改应用层协议。概述1.1.VPN类型基于IPSec的VPN提供的服务数据源身份认证数据完整性数据保密重演攻击保护自动的密钥管理和安全关联管理AH协议ESP协议ISAKMP/Oakley协议基于IPSec的VPN解决方案需要用到如下的协议:详细情况将在IPSec协议体系中讲解1.概述1.概述
3、1.1VPN类型基于第二层的VPN构架公司内部网拨号连接因特网L2TP通道L2TP通道1.概述1.1VPN类型基于第二层的VPN用于该层的协议主要有:L2TP:Lay2TunnelingProtocolPPTP:Point-to-PointTunnelingProtocolL2F:Lay2ForwardingL2TP的缺陷:仅对通道的终端实体进行身份认证,而不认证通道中流过的每一个数据报文,无法抵抗插入攻击、地址欺骗攻击。没有针对每个数据报文的完整性校验,就有可能进行拒绝服务攻击:发送假冒的控制信息,导致L2TP通道或者底层PPP连接的关闭。虽然PPP报文的数据可以加
4、密,但PPP协议不支持密钥的自动产生和自动刷新,因而监听的攻击者就可能最终破解密钥,从而得到所传输的数据。1.概述1.1VPN类型非IPSEC的网络层VPN网络地址转换由于AH协议需要对整个数据包做认证,因此使用AH协议后不能使用NAT包过滤由于使用ESP协议将对数据包的全部或部分信息加密,因此基于报头或者数据区内容进行控制过滤的设备将不能使用服务质量由于AH协议将IP协议中的TOS位当作可变字段来处理,因此,可以使用TOS位来控制服务质量1.概述1.1VPN类型非IPSEC的应用层VPNSOCKS位于OSI模型的会话层,在SOCKS协议中,客户程序通常先连接到防火墙
5、1080端口,然后由Firewall建立到目的主机的单独会话,效率低,但会话控制灵活性大SSL属于高层安全机制,广泛用于WebBrowseandWebServer,提供对等的身份认证和应用数据的加密。在SSL中,身份认证是基于证书的,属于端到端协议,不需要中间设备如:路由器、防火墙的支持1.概述1.1VPN类型非IPSEC的应用层VPNS-HTTP提供身份认证、数据加密,比SSL灵活,但应用很少,因SSL易于管理S-MIME一个特殊的类似于SSL的协议,属于应用层安全体系,但应用仅限于保护电子邮件系统,通过加密和数字签名来保障邮件的安全,这些安全都是基于公钥技术的,双
6、方身份靠X.509证书来标识,不需要FirewallandRouter的支持NetworkInterface(DataLink)IP(Internetwork)TCP/UDP(Transport)S—MIMEKerberosProxiesSETIPSec(ISAKMP)SOCKSSSL,TLSIPSec(AH,ESP)PacketFilteringTunnelingProtocolsCHAP,PAP,MS-CHAPApplication1.概述TCP/IP协议栈与对应的VPN协议1.概述类型对比网络层对所有的上层数据提供透明方式的保护,但无法为应用提供足够细的控制粒度
7、数据到了目的主机,基于网络层的安全技术就无法继续提供保护,因此在目的主机的高层协议栈中很容易受到攻击应用层的安全技术可以保护堆栈高层的数据,但在传递过程中,无法抵抗常用的网络层攻击手段,如源地址、目的地址欺骗应用层安全几乎更加智能,但更复杂且效率低因此可以在具体应用中采用多种安全技术,取长补短1.概述VPN的优点建网快速投资低节约使用成本安全可靠简化用户对网络的维护及管理工作易于扩展VPN技术及其应用1.概述2.VPN功能3.IPSECVPN工作原理4.VPN具体应用5.安全风险2.VPN功能2.1基本功能数据机密性保护数据完整性保护数据源身份认证重
此文档下载收益归作者所有