网络新技术专题教程.docxVIP

网络新技术专题：VPN技术 考试相关的题目： 对比第二层VPN、MPLS VPN、IPSEC VPN、SSL VPN等四种VPN各自的优势及缺点，分别是由运营商设备实现还是用户端设备实现？各自的适合的应用范围是什么？ 基于第二层的VPN解决方案 缺陷： 仅对通道的终端实体进行身份认证，而不认证通道中流过的每一个数据报文，无法抵抗插入攻击、地址欺骗攻击。 没有针对每个数据报文的完整性校验，就有可能进行拒绝服务攻击 PPP协议不支持密钥的自动产生和自动刷新，因而监听的攻击者就可能最终破解密钥，从而得到所传输的数据。 由运营商设备实现 现在已经很少应用。 2）MPLS VPN的特点： MPLS同其它VPN解决方案的区别是它的实现是由运营商网络完成的，用户端设备可以是路由器、防火墙、三层交换机甚至是一台PC，而这些设备都无需提供对MPLS的支持。 MPLS VPN提供了灵活的地址管理。由于采用了单独的路由表，允许每个VPN使用单独的地址空间中，采用私有地址的用户不必再进行地址转换NAT。NAT只有在两个有冲突地址的用户需要建立Extranet进行通信时才需要。 对于分支机构主要分部在较大城市的企业集团，MPLS VPN是一个较理想的选择。 该方案能解决的问题： 数据源身份认证 数据完整性 数据必威体育官网网址 重放攻击保护 自动的密钥管理和安全关联管理 由网络运营商实现。 3）基于 IPSec 的VPN解决方案 4） SSL VPN SSL VPN是在应用层实现的VPN,基于HTTPS协议来访问受保护的应用。当客户端需要访问一应用服务器时,首先,客户端和SSL VPN网关通过证书互相验证双方;其次,客户端和SSL VPN网关之间建立SSL 通道;然后,SSL VPN 网关作为客户端的代理和应用服务器之间建立TCP 连接,在客户端和应用服务器之间转发数据。HTTPS使用TCP端口443。 SSL VPN的特点 零客户端是SSL VPN最大的优势。由于浏览器内嵌了SSL协议,可以随时作为SSL VPN的客户端在任何时间任何地点对应用资源进行访问,也就是说是基于B/S结构的业务时,可以直接使用浏览器完成SSL的VPN建立。 SSL的低成本优势使得它迅速的得到了应用，但至少象视频会议这样的非B/S结构的业务是无法通过SSL VPN建立和开展的。 由客户端实现。 综述： 由于第二层VPN技术在认证、数据完整性以及密钥管理等方面的不足，现在已经很少应用。 MPLS VPN由运营商提供，适合分支机构位于较大城市的企业集团采用 IPSEC VPN由于其较高的安全性、可实施性，得到了广泛的应用。 SSL VPN的优势在于其零客户端的特点，SSL VPN可以适用于任何基于B/S的应用。在实际应用中，SSL VPN和IPSEC VPN两种方案往往结合实行，SSL VPN网关和IPSEC网关有时也被集成到一个设备内。 VPN有哪几类应用？VPN的优势是什么？ VPN的几类应用 用VPN连接分支机构 用VPN连接业务伙伴 用VPN连接远程用户 外联VPN，内联VPN，还有远程访问VPN VPN的优势： 1.降低成本 VPN是利用了现有Internet或其他公共网络的基础设施为用户创建安全隧道，不需要使用专门的线路，只需要接入当地的ISP就可以安全地接入内部网络，这样就节省了线路费用。 2. 易于扩展 如果采用专线连接，在分部增多、内部网络节点越来越多时，网络结构趋于复杂，费用昂贵。如果采用VPN，只是在节点处架设VPN设备，就可以利用Internet建立安全连接。 3. 保证安全 VPN技术利用可靠的加密认证技术，在内部网络之间建立隧道，能够保证通信数据的机密性和完整性，保证信息不被泄漏或暴露给未授权的实体，保证信息不被未授权的的实体改变、删除或替代。 IPSEC VPN能解决哪些网络安全问题？ 数据机密性保护（加密） 数据完整性保护（哈希） 数据源身份认证（DSS） 重放攻击保护（序列号） 什么叫数据完整性，IPSEC VPN是怎样保证数据完整性的？ 数据完整性：一种用来检查数据再通信过程中是否被修改过的手段，通过它可以检查被篡改过或者通信错误的消息 身份认证报头——AH协议 提供数据源身份认证、数据完整性保护、重放攻击保护功能 负载安全封装——ESP协议 提供数据必威体育官网网址、数据源身份认证、数据完整性、重放攻击保护功能 因特网安全关联和密钥管理协议——IKE(以前被叫ISAKMP/Oakley) 提供自动建立安全关联和管理密钥的功能 AH和ESP协议分别都能提供什么样的服务？ESP比AH多的最重要的功能是什么，为什么不能用ESP完全取代AH? 画一个用IPSEC实现的VPN的实例