返回
《功能技术实现》ppt课件

《功能技术实现》ppt课件

ID:26912446

大小:344.32 KB

页数:21页

时间:2018-11-30

《功能技术实现》ppt课件_第1页
《功能技术实现》ppt课件_第2页
《功能技术实现》ppt课件_第3页
《功能技术实现》ppt课件_第4页
《功能技术实现》ppt课件_第5页
资源描述:

《《功能技术实现》ppt课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、VPN产品技术实现版本日期作者说明审批0.12004.3我们在售前试用、实施时如何把VPN部署到用户的网络中,感到无从下手。出现问题时,怎么回事?如果您了解VPN怎么在防火墙中实现,您将在此时游刃有余。VPN隧道工作原理VPN虚拟设备,在防火墙中有一个VPN虚拟设备,这个虚拟设备叫ipsec0,它是隧道的入口。隧道是什么样的形式?怎么对数据进行处理的?隧道是如何建立的?VPN虚拟设备一般情况下,发送或转发数据包时,将数据交给以太网口对应的设备,如eth0。这个设备就会将数据包转给数据包的目的站或下一跳。如果启用了VPN,那么系统中会多出一个隧道设备

2、ipsec0。所有VPN局域网数据将不会再通过实际设备发送,他们会被转发给ipsec0设备。这个VPN设备会把数据包加密封装然后发出。VPN设备和一个具体的设备绑定,当加密封装完数据后使用具体的物理设备将数据发送到网络中。VPN虚拟设备的绑定桥模式下,VPN虚拟设备绑定桥设备。它将使用桥设备的主IP提供VPN服务,并加密后封装时源地址采用桥设备的主IP。路由模式下,VPN虚拟设备绑定eth0设备。它将使用eth0设备的IP提供VPN服务,并加密后封装时源地址采用eth0设备的IP。ADSL拨号的情况下,VPN虚拟设备绑定拨号设备ppp0。隧道是什么

3、形式隧道在防火墙上存在的形式是VPN中的安全联盟数据库SADB与安全策略数据库SPDB。SADB中保存着一个一个密码保险箱,每个密码箱有一个号码,这个号码叫安全参数索引SPI。对本地子网到对方子网使用哪一个密码保险箱,它存在于SPDB中。隧道是什么形式建立完隧道将在安全联盟数据库中增加两条记录,一条向外发送时使用的密码保险箱,一条是验证与解密远程发过来的密码保险箱。建立完隧道将在SPDB数据库中增加一条记录,他将记录对本地保护子网到远程保护子网使用哪一个密码箱。还会在路由表中增加一条记录,将本地保护子网到远程保护子网的通信路由转发到VPN虚拟设备进

4、行隧道处理。察看SADB与SPDB的方法在防火墙命令控制台上执行ipsecspi。将显示SADB数据库的内容。在防火墙命令控制台上执行ipseceroute。将显示SPDB数据库的内容。在防火墙命令控制台上执行route–n,防火墙通过路由表控制将那些数据包交付隧道进行加密封装处理。通过路由表可以看到去往目的子网的数据包的设备是ipsec0。如果没有找到安全联盟,那么数据包不作处理交给防火墙安全策略处理。隧道对本地子网到远程子网的处理系统路由表将数据转交给VPN虚拟设备ipsec0上,所以防火墙2.3不能实现VPN的透明接入,防火墙后的路由或三层交

5、换必须将本地子网到远程子网的通信路由到防火墙。防火墙2.5通过防火墙规则将数据交给ipsec0隧道设备,可以实现透明接入。虚拟设备将查找安全策略数据库SPDB,找到使用SADB中的哪个密码箱(安全联盟)进行处理。根据安全联盟中的算法、密钥等信息对数据包进行加密封装。也就是放到密码箱中发送给远程VPN。隧道对远端子网到本地子网的处理当VPN收到远程VPN发过来的密码箱,根据密码箱的号码,选用SADB中的安全参数验证密码箱的来源可靠,解密其中的信息。这样就得到了还原后的原始内网数据包,然后数据包重新入栈,就像防火墙又收到一个数据包一样处理。防火墙然后将

6、这个内网数据包交给目的主机,或内网的路由器、三层交换机。隧道与防火墙安全策略的关系在本地到对端子网处理时路由到VPN虚拟设备之前,要受到防火墙安全策略的限制。在对端子网到本地子网处理完重新入栈时将受到防火墙安全策略的限制。如果在添加隧道时,选择了“自动启用防火墙规则”后,建立隧道时会自动将安全规则放开。隧道的建立的过程防火墙加载隧道,向远程VPN发送协商消息。防火墙每加载一个隧道,系统增加了一个连接,并维护与此连接相关协商状态。使用IKE协商安全联盟SA。IKE使用UDP的500端口进行密钥交换,如果进行NAT穿越,端口漂移到UDP的4500端口。

7、连接连接包括固定IP地址或域名网关之间隧道、固定IP地址或域名网关与任意地址网关隧道、VPN客户端隧道。分别是:本地子网—本防火墙[证书身份]<==>远程防火墙[证书身份]—远程保护子网。本地子网—本防火墙[证书身份]<==>任意地址防火墙[证书身份]—远程保护子网。本地子网—本防火墙[证书身份]<==>VPN客户端[证书身份]—客户端地址所在范围。如果没有使用证书作为身份认证,证书身份部分就为空。执行ipsecauto–status可以看到防火强加载连接的情况。任意地址VPN连接和VPN客户端连接特点任意地址防火墙连接,可以接受任意防火墙地址的连

8、接。但是需要两个防火墙通过互相认证,并且本地、远端保护子网互相对应。VPN客户端连接是一个模板。通过模板可以继承出连接实例

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。