网络安全技术和实践-教学课件-第14章-VPN技术(新).pptx

《网络安全技术和实践-教学课件-第14章-VPN技术(新).pptx》由会员分享，可在线阅读，更多相关《网络安全技术和实践-教学课件-第14章-VPN技术(新).pptx（54页珍藏版）》请在沃文网上搜索。

1、网络安全网络安全网络安全网络安全技术与技术与技术与技术与实践实践实践实践（第（第（第（第2 2版）版）版）版）课件制作人声明课件制作人声明n本课件总共有17个文件，版权属于刘建伟所有，仅供选用此教材的教师和学生参考。n本课件严禁其他人员自行出版销售，或未经作者允许用作其他社会上的培训课程。n对于课件中出现的缺点和错误，欢迎读者提出宝贵意见，以便及时修订。课件制作人：刘建伟2012年2月8日第14章 VPN技术PPTP、IPSec、TLS等隧道协议二三 四VPN的基本概念和分类一五PPTP VPN的原理及应用IPSec VPN的原理及应用TLS VPN的原理及应用一六 MPLS VPN的原理及应

2、用PPTP、IPSec、TLS等隧道协议二三 四VPN的基本概念和分类一五PPTP VPN的原理及应用IPSec VPN的原理及应用TLS VPN的原理及应用一六 MPLS VPN的原理及应用第14章 VPN技术 定义：是指将物理上分布在不同地点的网络通过公用网络连接而构成逻辑上的虚拟子网。14.1.1 VPN的概念虚拟专网：VPN(Virtual Private Network）14.1.2 VPN的特点 1.费用低 5.可管理性 3.服务质量保证（QoS）4.可扩充性和灵活性 2.安全保障 14.1.3 VPN的分类移动用户远程访问VPN网关-网关VPN连接网关-网关VPN远程访问VPN

3、5.访问控制 4.身份认证技术 3.密钥管理技术 2.加/解密技术 1.隧道技术VPN关键技术包括14.1.4 VPN的关键技术第14章 VPN技术PPTP、IPSec、TLS等隧道协议二三 四VPN的基本概念和分类一五PPTP VPN的原理及应用IPSec VPN的原理及应用TLS VPN的原理及应用一六 MPLS VPN的原理及应用 定义：指通过一个公用网络（通常是Internet）建立的一条穿过公用网络的安全的、逻辑上的隧道。在隧道中，数据包被重新封装发送。14.2 隧道协议与VPN 第2层的隧道协议 -包括PPTP、L2TP、L2F等；第3层的隧道协议 -包括IPSec、GRE等。VP

4、N的主要封装协议:数据包在隧道中的封装及发送过程封装封装发送发送14.2.1 第二层隧道协议让远程用户拨号连接到本地ISP、通过Internet安全远程访问公司网络资源。PPTP具有两种不同的工作模式，即被动模式和主动模式。可以在多种介质（如AMT、帧中继、IP网）上建立多协议的安全虚拟专用网。它将链路层的协议（如HDLC，PPP，ASYNC等）封装起来传送在上述两种协议的基础上产生。适合组建远程接入方式的VPN。PPTPL2FL2TP14.2.1 第二层隧道协议优点优点简单易行缺点缺点不提供内在的安全机制，不能保证企业和企业的外部客户及供应商之间会话的保密性。可扩展性都不好专为IP设计提供安

5、全服务的一种协议。规定了如何用一种网络协议去封装另一种网络协议的方法。引入了基于标记的机制。它把选路和转发分开，用标签来规定一个分组通过网络的路径。14.2.2 第三层隧道协议IPSecGRE-Generic Routing EncapsulationMPLS-Multiprotocol Label Switching第14章 VPN技术PPTP、IPSec、TLS等隧道协议二三 四VPN的基本概念和分类一五PPTP VPN的原理及应用IPSec VPN的原理及应用TLS VPN的原理及应用一六 MPLS VPN的原理及应用在IPv6的制定过程中产生，提供IP层的安全性。IPSec标准最初由I

6、ETF于1995年制定。从1997年开始IETF又开展了新一轮的IPSec标准的制定工作。1998年11月，主要协议已经基本制定完成。14.3.1 IPSec协议概述14.3.1 IPSec协议概述IPSec协议使用认证头标AH和封装安全净载ESP两种安全协议来提供安全通信。两种安全协议都分为隧道模式和传输模式。传输模式用在主机到主机的通信，隧道模式用在其它任何方式的通信。功能功能/模式模式认证头协议认证头协议（AHAH）封装安全载荷封装安全载荷（ESPESP）ESP+AHESP+AH访问控制访问控制YesYesYes认证认证YesYes消息完整性消息完整性YesYes重放保护重放保护YesY

7、esYes机密性机密性YesYesIPSec的功能和模式14.3.1 IPSec协议概述AH、ESP或AH+ESP既可以在隧道模式中使用，又可以在传输模式中使用。14.3.2 IPSec的工作原理IPSec的工作原理类似于包过滤防火墙，可以把它看做是包过滤防火墙的一种扩展。1 1IPSec网关通过查询安全策略数据库（SPD）决定对接收到的IP数据包进行转发、丢弃或IPSec处理。2 2IPSec网关可以对IP数据包只进行加密或认证，也可以对数据包同时实施加密和认证。3 3无论是进行加密还是进行认证，IPSec都有两种工作模式：传输模式和隧道模式。14.3.2 IPSec的工作原理传输模式的ES

8、P封装示意图传输模式的AH封装示意图采用传输模式时，IPSec只对IP数据包的净荷进行加密或认证。封装数据包继续使用原IP头部，只对部分域进行修改。而IPSec协议头部插入到原IP头部和传送层头部之间。14.3.2 IPSec的工作原理采用隧道模式时，IPSec对整个IP数据包进行加密或认证。产生一个新的IP头，IPSec头被放在新IP头和原IP数据包之间，组成一新IP头。IPSec隧道模式的ESP封装示意图IPSec隧道模式的AH封装示意图14.3.3 IPSec中的主要协议IPSec中主要由AH、ESP和IKE三个协议来实现加密、认证和管理交换功能。AHAHAH（Authenticatio

9、n HeaderAuthentication Header）1 1RFC 2401将AH服务定义如下：非连接的数据完整性校验；数据源点认证；可选的抗重放攻击服务。AH有两种实现方式：传输方式和隧道方式AH只涉及认证，不涉及加密14.3.3 IPSec中的主要协议认证头（AH）的结构及其在IP数据包中的位置14.3.3 IPSec中的主要协议ESPESPESP（Encapsulating Security PayloadEncapsulating Security Payload）2 2ESP协议主要用于对IP数据包进行加密，此外也对认证提供某种程度的支持。ESP协议也有两种工作模式：传输模式和

10、隧道模式。14.3.3 IPSec中的主要协议 IKE IKE IKE（Internet Key ExchangeInternet Key Exchange）3 3IKE用于动态建立安全关联（SA，Security Association）IKE协议分两个阶段：第一阶段：建立IKE安全关联，即在通信双方之间协商密钥；第二阶段：利用这个既定的安全关联为IPSec建立安全通道。IKE图解14.3.5 IPSec VPN的构成管理模块数据加/解密模块密钥分配和生成模块数据分组封装/分解模块身份认证模块加密函数库14.3.6 IPSec的实现 FreeS/WAN是Linux操作系统中包含的IPsec

11、VPN实现方案。在网上可以找到其开放的源代码下载网址：www.freeswan.org第14章 VPN技术PPTP、IPSec、TLS等隧道协议二三 四VPN的基本概念和分类一五PPTP VPN的原理及应用IPSec VPN的原理及应用TLS VPN的原理及应用一六 MPLS VPN的原理及应用14.4.1 TLS概述TLS协议主要用于HTTPS协议中。TLS也可以作为构造VPN的技术。TLS VPN的最大优点是用户不需要安装和配置客户端软件。只需要在客户端安装一个IE浏览器即可。SSL VPN也称做传输层安全协议（TLS）VPN。由于TLS协议允许使用数字签名和证书，故它能提供强大的认证功能

12、。14.4.1 TLS概述TLS协议的连接建立过程 与许多C/S方式一样：客户端向服务器发送“Client hello”信息打开连接；服务器用“Server hello”回答；要求客户端提供它的数字证书；完成证书验证，执行密钥交换协议密钥交换协议的任务：产生一个密钥；由主密钥产生两个会话密钥：AB的密钥和BA的密钥；由主密钥产生两个消息认证码密钥14.4.1完整的TLS协议体系结构完整的TLS协议体系结构TLS握手协议、TLS密钥交换协议和TLS报警协议均与HTTP和FTP一样属于应用层协议。TLS记录协议属于第三层协议；14.4.2 TLS VPN的原理用户欲安全地连接到公司网络TLS VP

13、N的实现方式在企业的防火墙后面放置一个TLS代理服务器。首先要在浏览器上输入一个URL(Universal Resource Locator)；该连接请求将被TLS代理服务器取得；用户通过身份验证；TLS代理服务器提供用户与各种不同应用服务器之间的连接。14.4.2 TLS VPN的原理TLS VPN的实现主要依靠下面三种协议的支持握手协议握手协议握手协议1 1具体协议流程如下：TLS客户机连接至TLS服务器，并要求服务器验证客户机的身份。TLS服务器通过发送它的数字证书证明其身份。服务器发出一个请求，对客户端的证书进行验证。协商用于消息加密的加密算法和用于完整性检验的杂凑函数。客户机生成一个

14、随机数，用服务器的公钥对其加密后发送给TLS服务器。TLS服务器通过发送另一随机数据做出响应。对以上两个随机数进行杂凑函数运算，从而生成会话密钥。14.4.2 TLS VPN的原理协议建立在TCP/IP协议之上，用在实际数据传输开始前通信双方进行身份认证、协商加密算法和交换加密密钥等。TLSTLSTLS记录协议记录协议记录协议2 214.4.2 TLS VPN的原理警告协议警告协议警告协议3 3警告协议用于提示何时TLS协议发生了错误，或者两个主机之间的会话何时终止。只有在TLS协议失效时告警协议才会被激活。应用的局限性很大只对应用通道加密不能对消息进行签名加密级别通常不高LAN连接缺少解决方

15、案。不能保护UDP通道安全不能访问控制是应用层加密，性能差需CA支持认证方式单一缺点缺点优点优点无须安装客户端软件适用于大多数设备适用于大多数操作系统不需要对网络做改变支持网络驱动器访问较强的资源控制能力可绕过防火墙进行访问费用低且有良好安全性已内嵌在浏览器中14.4.3 TLS VPN的优缺点14.4.4 TLS VPN的应用在客户与TLS VPN的通信中，人们通常采用TLS Proxy技术来提高VPN服务器的通信性能和安全身份验证能力。主要用于访问内部网中的一些基于Web的应用：电子邮件电子邮件内部网页浏览内部网页浏览其他基于其他基于WebWeb的查询工作的查询工作选项TLS VPNIPS

16、ec VPN身份验证身份验证单向身份验证双向身份验证数字证书双向身份验证数字证书加密加密强加密基于Web浏览器强加密依靠执行全程安全性全程安全性端到端安全从客户到资源端全程加密网络边缘到客户端仅对从客户到VPN网关之间通道加密可访问性可访问性适用于任何时间、任何地点访问限制适用于已经定义好受控用户的访问费用费用低（无须任何附加客户端软件）高（需要管理客户端软件）安装安装即插即用安装无须任何附加的客户端软、硬件安装通常需要长时间的配置需要客户端软件或硬件用户的易使用用户的易使用性性对用户非常友好，使用非常熟悉的Web浏览器无须终端用户的培训对没有相应技术的用户比较困难需要培训支持的应用支持的应用

17、基于Web的应用文件共享E-mail所有基于IP协议的服务用户用户客户、合作伙伴用户、远程用户、供应商等更适合在企业内部使用可伸缩性可伸缩性容易配置和扩展在服务器端容易实现自由伸缩，在客户端比较困难穿越防火墙穿越防火墙可以不可以14.4.5 TLS VPN与IPSec VPN比较TLS VPN有很多优点，但并不能取代IPSec VPN。IPSec VPN主要提供LAN-to-LAN的隧道安全连接。在为企业高级用户提供远程访问及为企业提供LAN-to-LAN隧道连接方面，IPSec具有无可比拟的优势。目前，IPSec VPN的厂商也开始研究如何让IPSec VPN兼容TLS VPN，以增强可用性。如果成功，IPSec VPN的扩展性将大大加强，生命力也将更长久。14.4.5 TLS VPN与IPSec VPN比较第14章 VPN技术PPTP、IPSec、TLS等隧道协议二三 四VPN的基本概念和分类一五PPTP VPN的原理及应用IPSec VPN的原理及应用TLS VPN的原理及应用一六 MPLS VPN的原理及应用谢谢！