VPN技术及应用..pptVIP

VPN技术及应用 VPN技术及其应用 1. 概述 2. VPN功能 3. VPN工作原理 4. VPN具体应用 5. 安全风险 1. 概述 1. 概述 1. 概述 1. 概述 1. 概述 1.1 VPN类型 基于 IPSec 的VPN 基于第二层的VPN 非 IPSec 的网络层VPN 非 IPSec 的应用层VPN 概述 1.1 VPN类型 基于 IPSec 的VPN 在通信协议分层中，网络层是可能实现端到端安全通信的最低层，它为所有应用层数据提供透明的安全保护，用户无需修改应用层协议。 概述 1.1. VPN类型 基于 IPSec 的VPN 提供的服务 数据源身份认证 数据完整性 数据必威体育官网网址 重演攻击保护 自动的密钥管理和安全关联管理 1. 概述 1. 概述 1.1 VPN类型 基于第二层的VPN 构架 1. 概述 1.1 VPN类型 基于第二层的VPN 1. 概述 1.1 VPN类型 非IPSEC的网络层VPN 网络地址转换 由于AH协议需要对整个数据包做认证，因此使用AH协议后不能使用NAT 包过滤 由于使用ESP协议将对数据包的全部或部分信息加密，因此基于报头或者数据区内容进行控制过滤的设备将不能使用 服务质量 由于AH协议将IP协议中的TOS位当作可变字段来处理，因此，可以使用TOS位来控制服务质量 1. 概述 1.1 VPN类型 非IPSEC的应用层VPN SOCKS 位于OSI模型的会话层，在SOCKS协议中，客户程序通常先连接到防火墙1080端口，然后由Firewall建立到目的主机的单独会话，效率低，但会话控制灵活性大 SSL 属于高层安全机制，广泛用于Web Browse and Web Server，提供对等的身份认证和应用数据的加密。在SSL中，身份认证是基于证书的，属于端到端协议，不需要中间设备如：路由器、防火墙的支持 1. 概述 1.1 VPN类型 非IPSEC的应用层VPN S-HTTP 提供身份认证、数据加密，比SSL灵活，但应用很少，因SSL易于管理 S-MIME 一个特殊的类似于SSL的协议，属于应用层安全体系，但应用仅限于保护电子邮件系统，通过加密和数字签名来保障邮件的安全，这些安全都是基于公钥技术的，双方身份靠X.509证书来标识，不需要Firewall and Router 的支持 1. 概述 TCP/IP 协议栈与对应的VPN协议 1. 概述 类型对比 网络层对所有的上层数据提供透明方式的保护，但无法为应用提供足够细的控制粒度 数据到了目的主机，基于网络层的安全技术就无法继续提供保护，因此在目的主机的高层协议栈中很容易受到攻击 应用层的安全技术可以保护堆栈高层的数据，但在传递过程中，无法抵抗常用的网络层攻击手段，如源地址、目的地址欺骗 应用层安全几乎更加智能，但更复杂且效率低 因此可以在具体应用中采用多种安全技术，取长补短 1. 概述 VPN的优点 建网快速 投资低 节约使用成本 安全可靠 简化用户对网络的维护及管理工作 易于扩展 VPN技术及其应用 1. 概述 2. VPN功能 3. IPSEC VPN工作原理 4. VPN具体应用 5. 安全风险 2. VPN功能 2.1 基本功能 数据机密性保护 数据完整性保护 数据源身份认证 重放攻击保护 2. VPN功能 2.1基本功能 数据机密性服务 数据完整性服务 数据源身份认证 防重演攻击 数据机密性 2. VPN功能 2.1 基本功能 数据机密性服务 数据完整性服务 数据源身份认证 防重演攻击 数据完整性 2. VPN功能 2.1 基本功能 数据机密性服务 数据完整性服务 数据源身份认证 防重演攻击 数据源身份认证 2. VPN功能 2.1 基本功能 数据机密性服务 数据完整性服务 数据源身份认证 防重演攻击 防重演攻击 VPN技术及其应用 1. 概述 2. VPN功能 3. IPSEC VPN工作原理 4. VPN具体应用 5. 安全风险 VPN技术及其应用 3. IPSEC VPN工作原理 概念 框架 AH协议 ESP协议 密钥协商协议 VPN隧道的建立过程 VPN技术及其应用 3. IPSEC VPN工作原理 概念 框架 AH协议 ESP协议 密钥协商协议 VPN隧道的建立过程 3.1 IPSEC 概念 VPN技术及其应用 3. IPSEC VPN工作原理 概念 框架 AH协议 ESP协议 密钥协商协议 VPN隧道的建立过程 3.2 IPSEC VPN 框架 协议框架 3.2 IPSEC VPN 框架 协议簇 SA(Security Architecture for the Internet Protocol) 介绍了IPSEC的整体框架，其指定了两个封装协议AH（IP Authentication He