第八章Web的安全性.PPTVIP

第八章 Web的安全性 hbf0509@126.com 网 络 安 全 山东女子学院 杨艳春 《网络安全》是一门综合性和实践性很强的课程，主要内容包括网络安全基础知识、黑客攻击防御技术、病毒防御、数据加密、防火墙技术、入侵检测技术、操作系统安全、Web安全、VPN技术等内容。 CH9　 VPN技术 * 本章内容 9.2　VPN协议 9.3　VPN的类型 9.4　SSL VPN简介 9.5　VPN应用 9.6　本章小结 9.1　VPN技术的概述 * 9.1 VPN技术的概述 9.1.1 VPN的概念 虚拟专用网(Virtual Private Network，VPN)：通过一个公用网络(通常是因特网)建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。 虚拟专用网不是真的专用网络，但却能够实现专用网络的功能。 VPN指的是依靠ISP和其他NSP，在公用网络中建立专用的数据通信网络的技术。 * VPN 公司总部 远地分公司 客户及供应商 远程用户拨号连线 租用线路 T1, Frame Relay ISDN, ATM 传统租用线路网络环境 * VPN 远程和出差用户 远程分公司 客户及供应商 公司总部 Internet 沒有 VPN 加密功能 eMail 就如寄 “明信片” VPN在Internet中建立安全通信隧道 * 9.1.2 VPN的基本功能 　　VPN是在公用网中形成的企业的专用链路。为了形成这样的链路，采用了所谓的“隧道”技术。 图9.1 VPN的隧道技术 * 　　VPN的功能至少要包含以下几个方面： 　　(1) 加密数据。 　　(2) 信息验证和身份识别。 　　(3) 提供访问控制。 　　(4) 地址管理。 　　(5) 密钥管理。 　　(6) 多协议支持。 * 9.2 VPN协议 9.2.1 VPN安全技术 目前VPN主要采用4项技术来保证安全: 隧道技术 加解密技术 密钥管理技术 使用者与设备身份认证技术。 　　 * 9.2.2 VPN的隧道协议 　　VPN使用的隧道协议主要有3种：点到点隧道协议(PPTP)、第二层隧道协议(L2TP)以及IPSec协议。 　1．点到点隧道协议 　　PPTP协议封装了PPP数据包中包含的用户信息，并支持隧道交换。 PPTP便于企业在防火墙和内部服务器上实施访问控制，位于企业防火墙的隧道终端器接受包含用户信息的PPP数据包，然后对不同来源的数据包实施访问控制。 　　 * 　　2．第二层隧道协议 　　L2TP协议综合了PPTP协议和L2F(第二层转发)协议的优点，并且支持多路隧道。 PPTP和L2TP区别： 　　(1) PPTP要求TCP连接。L2TP可以在IP(使用UDP)、帧中继永久虚拟电路(PVCs)、X.25虚拟电路(VCs)或ATM VCs网络上使用。 　　(2) PPTP只能在两端点间建立单一隧道。L2TP支持在两端点间使用多隧道。 　　(3) L2TP可以提供包头压缩。当采用压缩包头时，系统开销要占用4个字节，而PPTP协议要占用6个字节。 　　(4) L2TP可以提供隧道验证，而PPTP则不支持隧道验证。 * 　　3．IPSec协议 　　(1) 基本知识 　　　IPSec是用来增强VPN安全性的标准协议，也是第三层的标准协议，它支持IP网络上数据的安全传输，包含了用户身份认证、校验、授权管理和数据完整性控制等内容。 IP包头 AH包头 ESP包头 上层协议　(数据) 图9.2 IPSec数据包的格式 * 　　IPSec的工作原理类似包过滤防火墙，可看作是对包过滤防火墙的一种扩展。在接收到一个IP数据包时，当找到一个相匹配的规则时，包过滤防火墙只能按照该规则制定的方法对接收到的IP数据包执行丢弃或转发，而IPSec通过查询SPD(安全策略数据库)来决定对接收到的IP数据包的处理，丢弃、直接转发(绕过IPSec)还是进行IPSec处理。 进行IPSec处理意味着对IP数据包进行加密和认证。 * (2) IPSec的工作模式 IPSec都有两种工作模式：隧道模式和传输模式。 　　传输模式：只对IP数据包的有效负载进行加密或认证。 图9.3 IPSec的传输模式 * 图9.4 IPSec的隧道模式 　　隧道模式：对整个IP数据包进行加密或认证。 * 　　（3）IPSec的三个主要协议 　　IPSec主要功能为加密和认证，为了进行加密和认证IPSec还需要有密钥的管理和交换的功能，以便为加密和认证提供所需要的密钥并对密钥的使用进行管理。以上三方面的工作分别由AH、ESP和IKE三个协议规定。 （1）ESP（加密）。ESP协议主要用来处理对IP数据包的加密，几乎支持各种对称密钥加密