VPN技术地学习总结材料Word文件下载.docx

VPN技术地学习总结材料Word文件下载.docx

《VPN技术地学习总结材料Word文件下载.docx》由会员分享，可在线阅读，更多相关《VPN技术地学习总结材料Word文件下载.docx（8页珍藏版）》请在冰点文库上搜索。

认证是对付假冒攻击的有效方法；

访问控制服务中，要能够防止对系统资源（如计算资源、通信资源或信息资源）的非授权访问和非授权使用，确保只有授权的实体才能访问授权的资源。

访问控制直接支持机密性、完整性、可用性以及合法使用等安全目标。

访问控制系统的关键是制定访问控制策略。

它是系统安全防范中应用最普遍和最重要的安全机制,可提供机密性和完整性服务。

访问控制采用最小特权原则：

即在给用户分配权限时，根据每个用户的任务特点使其获得完成自身任务的最低权限，不给用户赋予其工作范围之外的任何权力。

数据机密性服务，能够保护信息不泄漏或不暴露给那些未授权掌握这一信息的实体（人或组织），确保授权实体才能理解受保护的信息，防止传输的数据遭到窃听、流量分析等被动攻击。

机密性服务是通过加密机制来实现的，目前已有多种加密算法来保护数据的安全，可以根据不同的需求在网络结构的不同层次来实现。

比如：

若需保护全部通信业务流的机密性，可在物理层加密；

若希望对端系统到端系统之间的通信进行保护，可在网络层加密。

有时也可根据多个需求，在多个层次上提供加密。

数据完整性服务，是用来维护信息的一致性防止对信息的非授权篡改和破坏，使消息的接受者能判断消息是否被修改或被攻击者用假消息替换。

数据完整性可以通过安全协议中的认证头AH协议，ESP协议，MAC算法等来保证。

不可否认服务，其目的是保护通信用户免遭来自系统中其他合法用户的威胁，而不是来自未知攻击者的威胁。

通过公证机制的数字证书和时间戳可以保证信息发送方对发出的消息不能抵赖。

2.虚拟专用网VPN技术

虚拟专用网VPN（VirtualPrivateNetwork）技术是在公共传输网络中采用隧道技术，形成逻辑私有的通讯网络的技术。

这样对通信安全要求高的用户就不需要向网络运营商要求单独牵一条专线，可以节省不少成本。

VPN可实现数据公网传输的机密性、完整性，对通信双方的身份进行认证，并可解决异构网传输问题等。

VPN可工作在很多层次，如工作在链路层的链路密码技术，工作在IP层的IPSECVPN，GRE封装，工作在传输层的SSLVPN等。

1.

2.

2.1.VPN系统的组成

VPN系统由以下七个部分组成，VPN服务器：

接受来自VPN客户机的连接请求。

VPN客户机：

终端计算机或者路由器。

隧道：

数据传输通道，其中传输的数据必须经过封装。

隧道协议：

封装数据、管理隧道的通信标准。

VPN连接：

在VPN连接中，数据必须经过加密。

传输数据：

经过封装、加密后在隧道上传输的数据。

公共网络：

如Internet，也可以是其他共享型网络。

下图一直观的显示了VPN系统的组成。

图一VPN系统的组成

2.2.VPN系统通信流程与功能

首先，需要保护的主机发送明文信息到其VPN设备，其VPN设备根据管理员设置的规则,确定是对数据加密还是直接传送。

如果是需要加密的数据,VPN设备将其整个数据包进行加密和签名,加上新的数据报头（包括目的地VPN设备需要的安全信息和初始化参数）重新封装;

封装后的数据包通过隧道在公网上传输;

然后数据包到达目的VPN设备,收端VPN设备将数据包解封,核对签名后,将数据包解密。

实现的基本功能有五项，分别是身份鉴别：

包括验证用户的身份，限制非授权用户的时候访问了什么资源。

不同的用户对不同的资源应有不同的访问权限；

地址管理：

为每个客户分配一个地址，并保证地址对虚拟专用网外的不可见性；

数据加密：

保证通过公共网络传送的信息即使被他人截获也不会泄密；

密钥管理：

能够为VPN的客户和服务器生成和更新加密密钥；

多协议支持：

VPN必需能够处理公共网络常用的各种协议，包括IP、IPX等等；

2.3.VPN系统的分类

IntranetVPN：

用于集团的总部和多个分支机构之间；

分支机构网络是集团总部网络的可靠延伸；

ExtranetVPN：

为集团的供货商、重要客户和消费者等商业伙伴提供访问权限；

电子商务是ExtranetVPN的一种特殊形式；

AccessVPN：

为移动用户远程访问集团总部网络提供服务；

2.4.关键技术

隧道技术：

VPN的核心技术，它在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输。

隧道由隧道协议形成，常用的有2、3层隧道协议。

密码技术（由下面三项技术组成）

加解密技术：

将认证信息、通信数据等转换为密文的相关技术，其可靠性主要取决于加解密的算法及强度。

密钥管理技术：

如何在公用网上安全地传递密钥而不被窃取。

身份认证技术：

在正式的隧道连接开始之前需要确认用户的身份，以便系统进一步实施资源访问控制或用户授权。

2.5.身份认证方法

PAP（PasswordAuthenticationProtocol）：

是一种简单的明文用户名/口令认证方式。

CHAP（ChallengeHandshakeAuthenticationProtocol询问握手身份验证协议）：

是一种挑战响应式协议。

它是PPP（MODEM或ADSL拨号）中普遍使用的认证协议。

MS-CHAP：

是微软针对Windows系统设计的，采用MPPE加密用户密码和数据。

RADIUS（RemoteAuthenticationDialInUserService，远程用户拨号认证系统）：

最初是由Livingston公司提出的，原先的目的是为拨号用户进行认证和计费。

后来经过多次改进，形成了一项通用的认证计费协议。

2.6.具体通信协议与方法

2.6.1.点对点隧道协议（PPTP）

PPTP（point–to–pointTunnelingProtocol）是1996年Microsoft和Ascend等在PPP协议上开发的支持Client-to-LAN类型的VPN连接。

PPTP使用PPP拨号连接，通过对PPP分组的封装传输，将PPP链接逻辑地延伸到远程用户与企业总部的PPTP服务器之间，从而借用PPP协议成熟的机制对用户进行身份鉴别、访问授权以及网络配置，同时，通过PPTP封装传输，也使得使用企业内部地址的分组，能成功地穿越IP异构网络，到达企业总部，以此达到资源共享。

PPTP只能在两端点间建立单一隧道。

PPTP工作模式分为被动和主动两种模式。

被动模式中，PPTP会话通过一个一般位于ISP处的前端处理器发起，客户端不需安装任何PPTP软件，ISP为用户提供相应的服务，这种方式降低了对客户的要求，但限制了客户对Internet其他部分的访问。

主动模式中，客户与网络另一端的服务器直接建立PPTP隧道，不需ISP的参与，不需位于ISP处的前端处理器，ISP只提供透明的传输通道。

这种方式的优点是客户对PPTP有绝对的控制。

PPTP隧道机制的特点有，PPTP不提供数据安全性保证，它必须借助PPP的加密机制，如MPPE（Window自带），或者与其它安全协议如IPsec）结合使用，才能为隧道通信提供安全保护；

由于PPP协议本身支持多协议传输，PPTP因此支持多协议传输；

PPTP不支持多隧道复用，但通过呼叫ID能支持对隧道的会话复用；

PPTP通过GRE头中的序列号支持有限的分组排序功能；

PPTP协议的系统开销适中；

除了有限的流量控制功能，PPTP也基本不能提供QoS保障。

2.6.2.第2层转发L2F（Layer2Forward）协议

L2F（Layer2Forward）协议由Cisco公司提出，通过对PPP或SLIP分组的封装传输，能使PPP/SLIP分组在多种网络（如ATM、帧中继和IP网络）中传输。

其标准于1998年提交IETF，发布在RFC2341。

L2F协议设计了L2F封装头,形成L2F分组。

L2F分组可在任何能提供点到点链接的底层媒体上发送。

当L2F分组在IP网络上发送时，L2F分组将作为UDP协议的上层协议数据单元被封装成为UDP报文，经过IP协议发送。

以下是一个典型的L2F协议的实现：

图二L2F协议的典型实现

远程用户通过ISDN/PSTN网与NAS建立PPP连接。

VPN客户机通过VPN拨号向NAS服务器发送请求，希望建立与远程HGW的VPN连接。

NAS根据用户名称等信息向HGW发送隧道建立连接请求，实现与HGW之间通过IP网、帧中继或其它网络建立L2F隧道，总部局域网通过HGW与外界连接。

即远程用户与NAS之间建立一条PPP链接。

这条链接被NAS与HGW之间的L2F隧道逻辑地延伸到HGW。

2.6.3.第2层隧道协议（L2TP）

因特网工程任务组（IETF）希望统一虚拟拨号的标准，由此产生了L2TP（Layer2TunnelingProtocol）协议。

它由微软、Ascend、Cisco、3COM等公司参予制定，结合了PPTP和L2F两种协议的优点，成为IETF标准RFC2661。

L2TP是典型的被动式隧道协议，可让用户从客户机或接入服务器发起VPN连接。

L2TP协议设计了L2TP封装头，设计思想类似于L2F头。

封装形成的L2TP分组可在任何能提供点到点链接的媒体上发送，如IP网、ATM和帧中继。

当L2TP分组在IP网上进行发送时，L2TP分组被封装入UDP报文，再递交给IP协议进行发送。

而L2TP协议的工作流程如下：

远程用户通过PSTN或ISDN网，向ISP发起PPP链接请求。

在ISP的呈现点POP处，LAC接受此连接，建立远程用户到LAC的PPP链接。

远程用户与LAC互换LCP配置信息，并可能实现如CHAP身份鉴别信息的局部交换；

ISP的LAC依据CHAP应答中的名字信息，确定是否对此远程用户提供虚拟的拨号访问服务。

若需要，则由名字信息确定该用户的总部所在地，即目的LNS；

如果LAC与该LNS之间没有建立隧道，或者因为保证QoS服务的需要，由LAC向LNS发起隧道的建立，并为该隧道分配一个隧道号，即TunnelID；

并在隧道中为该用户呼叫分配一个ID号，称CallID。

LAC随后向LNS发出入站呼叫请求。

该请求中可能包括LAC对远程用户收集的鉴别信息以及其它配置信息；

如果LNS接受此入站呼叫，则在LNS为此呼叫产生一个“虚拟接口”，该虚拟接口为L2TP隧道的终点，其另一终点是建立于LAC上的一个L2TP虚拟接口；

LNS为远程用户分配IP地址。

LNS分配给远程用户的IP地址由管理员设置，一般使用私有地址，但LAC和LNS需使用公共IP地址。

从远程用户发送的PPP帧到达LAC后，LAC上的L2TP虚拟接口将PPP帧封装为L2TP分组之中，在特定的传输媒体上发送。

当L2TP分组到达LNS端后，L2TP头被剥去，剩余的PPP或SLIP分组将与正常进入的分组一样被送入相应的接口进行处理。

从LNS发送到远程用户的数据的处理过程与此完全相似。

2.6.4.IP安全协议（IPSec）与SSLVPN

VPN技术虽然种类众多，但IETF下的IPSec工作组推出的IPSec协议是目前工业界IPVPN标准，安全性明显优于其它隧道协议,以IPSec协议构建虚拟专用网已成为主流。

基于IPSec构建IPVPN是指利用实现IPsec协议的安全网关（SecurityGateway）充当边界路由器，完成安全的远程接入和在广域网上内部网络的“虚拟”专线互联等。

IPSecVPN的建立方式包括：

Host对Host，Host对VPN网关，VPN对VPN网关，RemoteUser对VPN网关，Host对Host，Host对VPN网关，VPN对VPN网关，RemoteUser对VPN网关。

SSLVPN主要供远程用户访问内部网络资源时使用，包括Web服务、文件服务（包括FTP服务、Windows网上邻居服务）、可转化为Web方式的应用（如Webmail）以及基于C/S的各类应用等。

SSL应用模式基本分为三类：

Web浏览器模式、专门的SSLVPN客户端模式和LAN到LAN模式。

在Web浏览器模式中，SSLVPN服务器使用https和socks协议（实现代理功能，负责转发数据）。

SSLVPN客户端与SSLVPN服务器间使用https协议；

而SSLVPN服务器与单位内部服务器间使用http协议。

当客户端需要访问内部网络中的C/S应用时，它从SSLVPN服务器下载控件。

该控件是一个服务监听程序，用于将客户端的C/S数据包转换为Http协议支持的连接方法，并通知SSLVPN服务器它所采用的通信协议（TCP/UDP）及访问的目的服务地址和端口。

客户端控件与SSLVPN服务器建立安全通道后，在本机接收客户端数据包后，通过SSL通道转发给SSLVPN服务器。

SSLVPN服务器解密数据后转发给内部网络的目的服务器。

SSLVPN服务器接收到内部网络的服务器的响应数据包后，通过SSL通道发给客户端控件。

客户端控件解密后转发给客户端应用程序。

3.学习总结

网络安全技术是保证网络通信过程中，传递信息的机密性，完整性，可用性，不可否认性等。

硬件层面的设备，线缆等安全性可以通过加强设计和提高生产技术来保证。

软件层面的通信安全就需要靠安全通信协议和对明文内容的加密算法来实现。

在通信网络的OSI分层中，软件层面的通信安全主要体现在网络层，传输层，会话层，表示层。

在每个层中，根据网络通信类型和服务不同，使用的安全协议也有区别。

密钥技术，数字证书技术等保证信息机密性，完整性，可用性，不可否认性的技术主要工作在表示层。

而VPN技术是从链路层到表示层都有一整套协议和通信方式的技术，在各个层都能够保证信息不被篡改，阅读，抵赖。

所以几乎能够相当于在用户之间建立了一条专线进行通信。