计算机网络与信息安全技术俞承杭CH10虚拟专用网络VPN）技术课件教学.pptVIP

10.4.4 SSL VPN的应用模式及特点 10.4 SSL VPN简介 1．Web浏览器模式的解决方案 由于Web浏览器的广泛部署，而且Web浏览器内置了SSL协议，使得SSL VPN在这种模式下只要在SSL VPN服务器上集中配置安全策略，几乎不用为客户端做什么配置就可使用，大大减少了管理的工作量，方便用户的使用。缺点是仅能保护Web通信传输安全。远程计算机使用Web浏览器通过SSL VPN 服务器来访问企业内部网中的资源。 这种模式目前已广泛使用于校园网、电子政务网中! 10.4.4 SSL VPN的应用模式及特点 10.4 SSL VPN简介 2．SSL VPN客户端模式的解决方案 SSL VPN客户端模式为远程访问提供安全保护，用户需要在客户端安装一个客户端软件，并做一些简单的配置即可使用，不需对系统做改动。这种模式的优点是支持所有建立在TCP/IP和UDP/IP上的应用通信传输的安全，Web浏览器也可以在这种模式下正常工作。这种模式的缺点是客户端需要额外的开销。 10.4.4 SSL VPN的应用模式及特点 10.4 SSL VPN简介 3．LAN到LAN模式的解决方案 LAN到LAN模式对LAN（局域网）与LAN（局域网）间的通信传输进行安全保护。与基于IPSec 协议的LAN 到LAN 的VPN 相比，它的优点就是拥有更多的访问控制的方式,缺点是仅能保护应用数据的安全，并且性能较低。 10.5.1 能士Nesec SVPN的解决方案 10.5 应用案例 某系统网络已建设完成，但因国家-省-市地-区县四级网络采用了不同的公网传输平台，又因区县地域管辖原因，该行业网络的部分区县LAN融合于当地的电子政务网中，也有部分区县与当地其他部门网络合作建设。 存在问题：①各县局虽然能访问上级市局网络，却不能访问省局、国家局及其他省市局的网络资源；②各县局访问所在市的服务器因为借助于市政专网，通过路由器访问，其间并没有采取任何安全措施，因此安全性无法得到保障。 这样的网络现状，不能实现互通，也就无法实现访问及其他应用。实际应用中，通过能士VPN特有的虚拟地址管理功能有效解决了所有问题。 能士RVPN特色功能 10.5 应用案例 1）网络互联。 支持星型网络通过Internet进行互联，网络由RVPN-H和RVPN-B(P)共同组成。 2）远程接入。移动用户通过Internet接入总部网络。可分配虚拟IP。 3）基于用户名密码的身份认证, RVPN内置RADIUS服务支持基于用户名密码的身份认证，目前仅支持静态密码。该功能又名用户管理。 4）基于硬件绑定的身份证书认证, 提供基于PC硬件序号的身份认证过程。使得只有指定计算机才能接入网络。该功能又名硬件ID鉴权。 5）加密。寻址加密使用DES, 数据传输使用DES或AES。 6）穿透NAT, 支持分支或移动穿透任何NAT设备。非直连Internet , 支持总部安装在NAT设备以内。 7）路由功能和动态寻址 8）包过滤防火墙功能, 支持基于封包过滤的防火墙功能。 9）NAT功能, 支持正向动态NAT，反向端口映射。 10）Internet访问控制, 基于用户的Internet访问控制，限制非法用户访问非授权服务。防止攻击类型：SYN和ICMP方式的DOS攻击、碎片攻击等。 10.5.2 Microsoft的解决方案 10.5 应用案例 Microsoft的核心VPN技术是建立在PPTP的基础之上的，Windows 2000/XP软件中已提供PPTP，可以用来在基于Windows环境下的TCP／IP网络中利用RAS和PPP来实现VPN。 在Windows环境下，有两种建立VPN的途径： 1）一般情况下，可以通过拨号网络连接到ISP，再通过Internet连接到一个连接Internet和远程网络的PPTP服务器(装有PPTP，协议的RAS服务器)。 2）一些ISP提供一种隧道连接服务，可以使用拨号网络直接连接到ISP的PPTP隧道服务器，然后使用PPTP隧道服务器建立与其他公共、企业局域网的隧道连接。 Microsoft解决方案的优点是实现比较方便，成本较低。 虚拟专用网（Virtual Private Network，VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网不是真的专用网络，但却能够实现专用网络的功能。 隧道是一种利用公网设施，在一个网络之中的