文档介绍:第17章网络安全
本章学****目标
掌握虚拟专用网络(VPN)技术的基本原理
理解VPN的关键性技术——隧道技术
掌握PPP、PPTP、L2F、L2TP等隧道协议
熟悉IPSec协议,掌握AH协议与ESP协议的结构特点
掌握常用的安全技术,包括加密技术、密钥管理、认证技术等
理解网络地址转换(NAT)技术的基本原理与类型
虚拟专用网VPN技术
虚拟专用网(VPN)指的是依靠ISP(服务提供商)和其他NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。
从定义上看,VPN首先是虚拟的,也就是说VPN并不是某个公司专有的封闭线路或者是租用某个网络服务商提供的封闭线路。但VPN同时又具有专线的数据传输功能,虽然VPN通讯建立在公共互联网络的基础上,但是用户在使用VPN时感觉如同在使用专用网络进行通信,所以称为虚拟专用网络。
VPN的模型由以下部分组成:
(1)VPN客户:将VPN连接初始化为VPN服务器的计算机。
(2)隧道:连接中封装数据的部分。
(3)VPN连接:连接中加密数据的部分。
(4)隧道协议:用来管理隧道及压缩专用数据的协议。包括PPTP和L2TP隧道协议。
(5)隧道数据:数据经常在专用点对点的链接间发送。
(6)传输互联网络:压缩数据所通过的共享的或公共的网络,通常是IP网络。
基于建立的对象,VPN可分为企业内部VPN和企业外部VPN:
(1)内部VPN:在敏感部门的网络和企业主网络之间建立的VPN连接,这种VPN在通过验证机制提供安全性的同时,还保证了连通性。该验证机制是在管理网络连接的VPN服务器上实现的。
(2)企业外部VPN:企业外部VPN连接的是公司网络和商业伙伴,供应商或者客户所属的外部网络。
基于建立通信的方法,VPN又可分为路由器到路由器VPN和远程访问VPN:
(1)路由器到路由器VPN:客户端与一个路由器相连,而路由器再和VPN服务器相连。这种连接只有在客户端和服务器互相验证时才能建立。
(2)远程访问VPN:VPN客户端不需要使用路由器就可以和远程访问VPN服务器直接建立一个连接,远程访问VPN服务器验证该客户端。客户端被验证后,才被允许访问网络以及远程访问服务器管理的资源。
虚拟专用网VPN技术
隧道技术
隧道技术对于构建VPN来说,是一个关键性技术。它是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据(或负载)可以是不同协议的数据帧或数据报。
它的基本过程是:在源局域网与公网的接口处,将这些协议的数据帧或数据报重新封装在新的报头中发送。新的报头提供了路由信息,从而使封装的负载数据能够通过互联网络传递。被封装的数据报在隧道的两个端点之间通过公共互联网络进行路由。在目的局域网与公网的接口处将数据解封装,取出负载,并转发到最终目的地。
注意隧道技术是指包括数据封装、传输和解包在内的全过程。被封装的数据报在公共互联网络上传递时所经过的逻辑路径称为“隧道”。
隧道类型
1. 自愿隧道(Voluntary tunnel)
用户或客户端计算机可以通过发送VPN请求配置和创建一条自愿隧道。此时,用户端计算机作为隧道客户方成为隧道的一个端点。自愿隧道需要有一条IP连接(通过局域网或拨号线路),客户端计算机必须安装适当的隧道协议。使用拨号方式时,客户端必须在建立隧道之前创建与公共互联网络的拨号连接。
2. pulsory tunnel)
由支持VPN的拨号接入服务器配置和创建一条强制隧道。此时,用户端的计算机不作为隧道端点,而是由位于客户计算机和隧道服务器之间的远程接入服务器作为隧道客户端,成为隧道的一个端点。
自愿隧道技术为每个客户创建独立的隧道,而强制隧道和隧道服务器之间建立的隧道可以被多个拨号客户共享,不必为每个客户建立一条新的隧道。因此,一条隧道中可能会传递多个客户的数据信息,只有在最后一个隧道用户断开连接之后才终止整条隧道。
隧道协议
为创建隧道,隧道的客户机和服务器双方必须使用相同的隧道协议。OSI模型划分,隧道技术可以分别以第2层或第3层隧道协议为基础:
第2层隧道协议对应OSI模型中的数据链路层,使用帧作为数据交换单位。PPTP、L2TP和L2F(第2层转发)都属于第2层隧道协议,都是将数据封装在点对点协议(PPP)帧中通过互联网络发送。对于像PPTP和L2TP这样的第2层隧道协议,创建隧道的过程类似于在双方之间建立会话;隧道的两个端点必须同意创建隧道并协商隧道各种配置变量,如地址分配、加密或压缩等参数。绝大多数情况下,通过隧道传输的数据都使用基于数据报的协议发送。
第3层隧道协议对应OSI模型中的网络层,使用包作为数据交换单位。IPSec隧