返回
《安全网管技术》ppt课件

《安全网管技术》ppt课件

ID:27384762

大小:971.00 KB

页数:54页

时间:2018-12-01

《安全网管技术》ppt课件_第1页
《安全网管技术》ppt课件_第2页
《安全网管技术》ppt课件_第3页
《安全网管技术》ppt课件_第4页
《安全网管技术》ppt课件_第5页
资源描述:

《《安全网管技术》ppt课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、安全网管技术张焕杰中国科学技术大学网络信息中心james@ustc.edu.cnhttp://202.38.64.40/~james/nmsTel:3601897(O)1第7章VPN技术及应用本章主要内容VPN介绍AccessVPNLAN-LANVPNMPLSVPNL2VPN2参考资料:参考资料:安全体系结构的设计、部署与操作,常晓波等译,清华大学出版社CiscoNetworkers2003SEC-2011:DeployingSite-to-SiteIPSecVPNs3VPN介绍VirtualPrivateNetwork虚拟专用网虚拟专用网不是

2、真的专用网络,但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。利用像Internet这样的公共的或不安全的媒体,通过应用多种技术提供用户认证、数据完整性和访问控制,从而提供网络应用程序之间的安全通信。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。VPN不是一种单一的技术,而是具有若干特性的系统4VPN介绍IETF草案理解基于IP的VPN为:“使用IP机制仿真出一个私有的广

3、域网”。通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。本章讨论的虚拟专用网一般指的是建筑在Internet上能够自我管理的专用网络,而不是FrameRelay或ATM等提供虚拟固定线路(PVC)服务的网络。以IP为主要通讯协议的VPN,也可称之为IP-VPN。5VPN的安全性VPN的主要目的是保护传输数据必须具备4个关键功能认证:数据传输的来源确如其声明所言,目的地确实

4、是数据期望到达的位置访问控制:限制对网络未经授权的访问机密性:防止数据在通过网络时被察看数据完整性:防止传输中对数据的任何篡改VPN的目的是保护从信道的一个端点到另一端点传输的信息流信道的端点之前和之后,VPN不提供任何的数据包保护6为什么选择VPN成本低是最大的优势传统方式是租用专线建设自己的网络系统Internet能以很低的代价提供高带宽的链路,缺点是安全性不高由于VPN是在Internet上临时建立的安全专用虚拟网络,用户就节省了租用专线的费用,在运行的资金支出上,除了购买VPN设备,企业所付出的仅仅是向企业所在地的ISP支付一定的上网费

5、用,也节省了长途电话费。这就是VPN价格低廉的原因。如2M的专线,国内长途6000/月,对应的10MInternet链路一般2000/月7为什么选择VPN灵活性高只要有Internet链路,随时可以建立VPN链路对于单个用户,使用VPN可以在任何地方安全访问内部网8VPN的类型每种VPN都具有特定的要求和优先权,实现的目的、解决的问题也不同用于移动工作者的远程访问Client-LANVPN,也叫AccessVPN替代早期的拨号远程访问网络用于局域网间连接的PNLAN-LAN型IntranetVPN和ExtranetVPN9VPN的特性考虑安全性

6、隧道、加密、密钥管理、数据包认证、用户认证、访问控制可靠性硬件、软件、基础网络的可靠性可管理性记帐、审核、日志的管理是否支持集中的安全控制策略可扩展性成本的可扩展性,如使用令牌卡成本高性能,是否考虑采用硬件加速加解密速度10VPN的特性考虑可用性系统对应用尽量透明对终端用户来说使用方便互操作性尽量采用标准协议,与其他供应商的设备能互通服务质量QoS通过Internet连接的VPN服务质量很大程度取决于Internet的状况多协议支持IPX?11VPN涉及的技术隧道技术Tunnel12IPTunnelNSRC、NDST是隧道端点设备的IP地址公网

7、上路由时仅仅考虑NSRC、NDST原始数据包的DST、SRC对公网透明DSTSRCDATANDSTNSRCDSTSRCDATA13隧道技术第二层隧道把网络数据包封装在PPP协议中,PPP协议的数据包放到隧道中传输L2TP、PPTP(集成在windows中,所以最常用)第三层隧道把网络数据包指直接在隧道中传输IPsec利用隧道技术,理论上任何协议的数据都可以透过IP网络传输14加密/解密技术对称加密技术速度快,常用的DES、3DES、IDEA等缺点是密钥传递不方便经常被用来对数据进行加/解密处理,提高保密性公钥加密技术速度慢,常用的RSA、Dif

8、fie-Hellman用于签名和会话的密钥交换哈希函数速度快产生的消息摘要用于信息的完整性检查15认证系统VPN设备间的认证通过密码、密钥、证书等认证

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。