资源预览内容
第1页 / 共139页
第2页 / 共139页
第3页 / 共139页
第4页 / 共139页
第5页 / 共139页
第6页 / 共139页
第7页 / 共139页
第8页 / 共139页
第9页 / 共139页
第10页 / 共139页
亲,该文档总共139页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
,华盾VPN技术培训,主讲人:马慧平,北京江南天安科技有限公司Mail: mahuipingtass.com.cn,华盾 IPSec VPN讲义,二、华盾全线VPN产品综述,四、华盾IPSec VPN典型解决方案,三、华盾IPSec VPN系列产品组成,一、VPN技术原理与应用,第一章,VPN技术原理与应用,企业信息化建设需求:构建跨地域的统一信息处理平台,企业总部,分公司,办事处,合作伙伴,移动用户,在经济全球化的今天,越来越多的公司、企业开始在各地建立分支机构,移动办公人员的数量也随之剧增。在这样的背景下,总部与各分公司、办事处、移动办公人员、合作伙伴以及客户之间必须建立远程网络连接,以确保信息的及时传递。,企业信息化建设需要解决的问题,如何实现远程网络互连?如何确保信息在远程传输过程中的安全?,计算机广域网络互联途径,1、特殊单位自己架线建设专用广域网络系统如:军队、电力、铁路、电信等。但是:移动办公呢?关键是:一般企业不具备自架广域线路的资格和能力。,计算机广域网络互联途径,2、传统组网方式:租用电信专线构建专用网络(如:租用电信的SDH、DDN、PSTN、FR、X.25等),网络使用费高 专线租用(LANLAN)、长途拨号(PCLAN)费用高 固定IP地址租用费用高网络通信速率低 一般的DDN的速率只有64、128Kbps。 远程拨号的速率只有56Kbps。网络访问的局限性 NAT网络地址转换,只能由内部主机主动发起连接,限制了网络的访问。数据传输过程中缺乏安全防护 明文传输,敏感数据有可能被非法窃取、篡改或假冒。,计算机广域网络互联途径,3、新型组网方式:基于Internet、利用隧道协议构建“虚拟专用网络(VPN)” 基于公共通信基础设施,使用隧道封装、认证技术、密码技术、访问控制手段实现“虚拟专用网络”,保证数据传输的私密性、完整性、真实性和可用性,是当今流行于各行各业的计算机广域联网潮流方式。,建网快速方便,降低建网投资;节约使用成本,节省大量的通信费用;利用 Internet 的无处不在性;网络安全可靠,简化用户对网络的维护及管理工作。,构建可信赖的VPN虚拟专网,企业总部,分公司,移动用户,VPN,VPN,办事处,VPN,VPN客户端,合作伙伴,VPN,基于Internet基础设施、利用VPN技术构建企业虚拟专网,是解决传统组网方式缺限的首选方案。,VPN的定义,VPN(Virtual Private Network:虚拟专用网) 是一种以公用网络,尤其是Internet为基础通道,综合运用隧道封装、认证、加密、访问控制等多种网络和安全技术,实现企业总部、分支机构、合作伙伴及远程和移动办公人员之间互连互通和资源共享的方法。,VPN技术解决了什么问题,利用VPN技术可以建立一种灵活的、低成本的、易于扩展的网络互连手段,从而替代传统的长途租用专线连接和远程拨号连接;同时由于VPN需要借道公用网络,就必须解决因此而带来的网络安全问题。因此,概括地说VPN技术能够为企业解决的问题就是:实现低成本的安全互连!,VPN的应用领域,组建企业内联网(Intranet)组建企业外联网(Extranet)完成远程用户访问(Remote Access),VPN面临的难题,通过因特网组建企业私有网络面临的两个主要问题:1、互通性 Internet合法IP地址资源是有限的,如何实现私有IP地址之间的互通。2、安全性 因特网是一个开放、平等的网络环境,其本身不提供任何安全防范措施,同时由于因特网上一个特殊用户群体黑客的存在,使得因特网被公认为是一个不安全的网络环境。,VPN采用的关键技术,隧道技术认证技术加解密技术密钥管理技术,VPN的关键技术,1、隧道技术 IETF规定了三个私有IP地址范围:192.168.0.0/1610.0.0.0/8172.16.0.0/16-172.31.0.0/16 这三个网段的IP地址用于用户组建内部网络,不同的用户网络允许使用相同网段的IP地址,它们在因特网上是不可路由的。,IPSEC协议的隧道封装示意:,VPN的关键技术,隧道技术,VPN的关键技术,2、认证技术认证可以确定所接收的数据与所发送的数据是一致的,同时可以确定申请发送者在实际上是真实发送者,而不是伪装的。即认证技术可以防止数据的伪造和被篡改。通常采用一种称为“摘要”的技术。“摘要”技术主要采用HASH函数将一段长的报文通过函数变换,映射为一段短的报文即摘要。由于HASH函数的特性,两个不同的报文具有相同的摘要几乎不可能。该特性使得摘要技术在VPN中有两个用途:验证数据的完整性、用户认证。,VPN的关键技术,3、密码技术 密码技术能提供多种安全服务,是保证信息系统安全的最重要手段:,VPN的关键技术,数据私密性 数据完整性 数据真实性(证实身份、不可否认性),密码学是研究编制密码和破译密码的技术科学。研究密码变化的客观规律,应用于编制密码以保守通信秘密的,称为编码学;应用于破译密码以获取通信情报的,称为破译学,总称密码学。 密码是通信双方按约定的法则进行信息特殊变换的一种重要保密手段。依照这些法则,变明文为密文,称为加密变换;变密文为明文,称为脱密变换。密码在早期仅对文字或数码进行加、脱密变换,随着通信技术的发展,对语音、图像、数据等都可实施加、脱密变换。,VPN的关键技术,对称密钥算法: 在对称密钥算法中,发端S和收端R共享同一个密钥: S产生一个与明文M相对应的密文,其中K是密钥,E是依赖于K的加密变换,R从密文恢复明文,其中D是依赖于K的解密变换。,VPN的关键技术,非对称密钥算法: 某一用户A有一加密密钥不同于解密密钥,可将加密密钥公开(公钥),解密密钥保密(私钥),当然要求公钥的公开不至于影响私钥的安全。若B要向A保密传送明文m,可查A的公钥,并用其加密得密文: A收到C后,用只有A才掌握的私钥对C进行解密得:,VPN的关键技术,摘要算法(哈希算法): 某一用户A有一明文M,采用摘要算法H对明文进行运算,得到明文摘要: C = H ( M ) 摘要C的长度是固定的,而且对于不同的明文,经过运算必然会得到不同的摘要。,VPN的关键技术,各种算法的比较与应用: 对称密钥算法:保证数据的私密性,DES、3DES、AES 非对称密钥算法:身份认证和不可否认,RSA、D-H 摘要算法:验证数据的完整性,MD5、SHA1,VPN的关键技术,4、密钥交换和管理 VPN 中密钥的分发与管理非常重要。密钥的分发有两种方法:一种是通过手工配置的方式,另一种采用密钥交换协议动态分发。手工配置的方法由于密钥更新困难,只适合于简单网络的情况。密钥交换协议采用软件方式动态生成密钥,适合于复杂网络的情况且密钥可自动更新,可以显著提高VPN 的安全性。目前主要的密钥交换与管理标准有IKE (互联网密钥交换)、SKIP (互联网简单密钥管理)和Oakley。,VPN的关键技术,VPN技术小结,VPN和虚拟隧道模型,VPN主流技术分类,二层VPN技术L2TP/PPTP三层VPN技术IPSEC(企业DIY)多协议标记交换MPLS(ISP提供)SSL VPN技术,VPN主流技术之间的比价,IPSec VPN,IPSec VPN,IPSec(IP Security)是一系列基于IP网络的由IETF正式定制的开放性IP安全标准,是虚拟专网的基础,已经相当成熟可靠。 IPSec可以保证局域网、专用或公用的广域网及Internet上信息传输的安全。 IPSec可以对所有IP级的通信进行加密和认证:使用IPSec可以确保包括远程登录、客户/服务器、电子邮件、文件传输、Web浏览、ERP、视频会议、IP电话等在内的各种应用程序的安全。,IPSec的优势,工作于网络层(IP层),已标准化与上层应用无关,对用户透明与下层链路协议无关,适用于各种广域线路可实现LANLAN和PCLAN的连接,IPSec安全特性,数据私密性 数据在发送端加密,在接收端解密。保证在传输过程中,即使数据包遭窃听,信息也无法读取。数据完整性 防止传输过程中数据被篡改,确保发出数据和接收数据的一致性。利用Hash函数为每个数据包产生一个加密检查和,接收方在打开包前先计算检查和,若包遭篡改导致检查和不相符,数据包即被丢弃。 认证 数据源发送信任状,由接收方验证信任状的合法性,只有通过认证的设备或用户才可以建立通信连接。 可使用电子证书认证或预共享密钥认证。,IPSec安全特性,数据真实性 通过使用公私钥技术,可以证实消息发送方是唯一可能的发送者,发送者也不能否认发送过消息。 发送方用私钥产生一个数字签名随消息一起发送,接收方用发送者的公钥来验证数字签名。由于在理论上只有发送者才唯一拥有私钥,也只有发送者才可能产生该数字签名,所以只要数字签名通过验证,就可以确定是真实发送者,发送者也不能抵赖曾发送过该消息。反重播性 确保每个IP包的唯一性,保证信息万一被截取复制后,不能再被重新利用、重新传输到目的地址。该特性可以防止攻击者截取破译信息后,再用相同的信息包冒取非法访问权。,IPSec安全协议,IPSec三个主要安全协议:认证协议头(AH):认证、校验封装安全载荷(ESP):认证、校验、加密,常用互联网密钥交换协议(IKE):密钥交换管理AH和ESP可以通过单独或组合使用来达到所希望的保护等级,IPSec中算法的应用,在IPSec协议中各种算法的应用:IKE:非对称密钥算法 D-H:密钥协商ESP:对称密钥算法DES/3DES:数据私密性AH:摘要算法MD5/SHA1:数据完整性,IPSec工作模式,IPSec提供两种工作模式:传输模式 将原数据包的载荷部分封装起来,IP报头不变。隧道模式 整个原数据包被当作有效载荷封装起来,外面附上新的IP报头。可以将私有 IP地址封装为公网IP地址,同时原数据包中源地址、目的地址受到加密隐藏,更有助于保护隧道通信中数据的安全性。因此隧道模式更为常用。,IPSec ESP传输模式封装,ESP报头字段包括:Security Parameters Index (SPI,安全参数索引):为数据包识别安全关联。Sequence Number(序列号):从1开始的32位单增序列号,不允许重复,唯一地标识了每一个发送数据包,为安全关联提供反重播保护。接收端校验序列号为该字段值的数据包是否已经被接收过,若是,则拒收该数据包。,IPSec ESP传输模式封装,ESP报尾字段包括:Padding(扩展位):0-255个字节。DH算法要求数据长度(以位为单位)模512为448,若应用数据长度不足,则用扩展位填充。Padding Length(扩展位长度):接收端根据该字段长度去除数据中扩展位。Next Header(下一个报头):识别下一个使用IP协议号的报头,如TCP或UDP。,IPSec ESP传输模式封装,ESP认证报尾字段 :Authentication Data(AD,认证数据): 包含完整性检查和。完整性检查部分包括ESP报头、有效载荷(应用程序数据)和ESP报尾。,
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号