第9章_Web安全技术要点分析.ppt

9 ．9 VPN技术 要确保远程网络之间能够安全通信，VPN（Virtual Private Network，虚拟专用网络）是一种很好的技术选择。 1．VPN的基本原理 VPN是一种网络技术，通常用以实现相关组织或个人跨开放、分布式的互联网的安全通信。其实质是，利用共享的互联网设施，模拟“专用”广域网，最终以极低的费用为远程用户提供能和专用网络相媲美的必威体育官网网址通信服务。VPN用户都希望以最小的代价，使数据安全性得到的一定程度保证。互联网具有极为广泛的网络覆盖范围、远比长途通信费用低廉的接入费用等优点，却存在内在的不安全性，促使用户根据自身业务特点和需要，或者自己构建VPN，或者直接向VPN服务供应商购买合适的VPN服务。自构VPN称为基于用户设备的VPN，此时，用户在已有的网络设备基础上，适当扩充功能和（或）添置设备，利用互联网连接远程网络。 9．9．1 VPN概述 2．VPN的应用 VPN技术是应用户的远程安全通信需求而产生的，特定的需求规定了VPN技术的特定应用领域。目前，VPN主要有3个应用领域： 远程接入网、内联网和外联网。说明了如下： 远程接入网主要用于企业内部人员的移动或远程办公，也可以用于商家为其顾客提供B2C（Busness to Censumer） 的安全访问服务。 内联网主要用于企业内部各分支机构的互联 。 外联网主要为某个企业和其合作伙伴提供许可范围内的信息共享服务。 9．9．2 VPN的关键安全技术 　目前，VPN主要采用5项技术来保证安全，这5项技术分别是隧道技术（Tunneling）、加解密技术（Encryption Decryption）、密钥管理技术（Key Management）、使用者与设备身份认证技术（Authentication）和访问控制技术（Access Control）。后4种技术在本书的有关章节已得到详细展开，所以这里我们只对隧道技术重点讨论。 隧道技术按其拓扑结构分为点对点隧道和点对多点隧道。 9．9．3 VPN的实现方法 对VPN的分类有多种方法，每一类VPN都有其特有的实现方法。根据VPN主要设备的归属不同，VPN可分为基于用户设备的VPN和基于网络的VPN；根据VPN运行在哪一层上，将VPN分成L2VPN（Layer 2 VPN，第二层VPN）和L3VPN（ Layer 3 VPN，第三层VPN）。一个VPN是由若干个由隧道连接的VPN设备组成，每个VPN设备在与其关联的多个隧道和其他网络借口间以合适的方式转发分组。这种分组转发的方式决定了该VPN是L2VPN还是L3BPN，若分组被中继或桥接转发，则该VPN是L2VPN；否则，该VPN是L3VPN，分组将被路由转发。L2VPN可以进一步细分为：VLL（Virtual Leased Line，虚拟租借线路）、VPDN（Virtual Private Dial Network，虚拟专用拨号网络）和VPLS（Virtual Private LAN Segment，虚拟专用局域网段）。而L3VPN又称为VPRN（Virtual P[rivate Routed Network， 虚拟专用路由网络]。 9．9．4 VPN产品与解决方案 1．解决方案一 某企业有分支机构设在外地，每天日常的信息资源流动（如电子邮件、公文流转等）都通过长途电话拨号进入总部，每月的长途话费开销数万元，而且由于拨号网络的速度限制，用户都普遍反应网络效率甚低。 考虑到现在Internet接入的费用日趋下降，可以利用当地ISP提供的宽带网络服务接入到Internet，再利用Internet公众网络使分支机构与总部公司实现网络互连。但公众网络上黑客众多，公司内部邮件和公文需要必威体育官网网址，不可以直接暴露在公众网络中。基于用户的需求，可以采用VPN方式来进行网络互连，即利用Internet节省了原有长途话费开销，又具有一定强度的安全性，还提高了整个网络的吞吐率。网络拓扑结构如下图9所示。 网络拓扑结构图 2．解决方案二 某IT公司的业务分布在各省市，员工出差的频率相当高。出差员工日常与总公司只能通过长途电话汇报情况，由于IT公司有相当多的资料更新比较快，而且往往是电子文档，一般员工就只能通过Internet公众网络中的电子邮件信箱或匿名FTP来交换资料，而且经常受到信箱大小的限制，或匿名FTP不安全因素的威胁。 由于现在大多数员工都使用Windows2000或Windows XP作为操作系统，可以利用这些操作系统内置的VPN拨号功能来实现异地、安全、低开销地连入到总公司网络中。这样员工不论出差在哪个城市，都可以利用当地的ISP连回总公司，使用总部