网络安全技术知识第10章VPN技术知识.pptVIP

;　　　　　　10.1 VPN概述　　VPN是将不同物理位置的组织和个人通过已有的公共网络建立一条点到点的虚拟链路，模拟专用网进行安全数据通信的网络技术，其基本原理是通过一定的技术将互联网上每个VPN用户的数据与其他数据加以区别，避免未经授权的访问，从而确保数据的安全。通过利用共享的公共网络设施实现VPN，能够以极低的费用为远程用户提供性能和专用网络相媲美的必威体育官网网址通信服务。;　　1. 隧道技术　　隧道技术(Tunneling)是目前构建VPN的基本方式。隧道技术是指把一种类型的报文封装在另一种报文中在网络上进行传输，如图10.1所示。两个网络通过VPN接入设备的一个端口，即一个VPN端点，建立的虚拟链路就叫隧道。发送给远程网络的数据要进行一定的封装处理，从发送方网络的一个VPN端点进入VPN，经相关隧道穿越VPN(物理上穿越不安全的互联网)，到达接收方网络的另一个VPN端点，再经过解封装处理，便得到原始数据，并且把加密后的原始数据发给目的主机。 ;;　　封装的数据在传送中，不仅遵循指定的路径，避免经过不信任的节点而到达未授权接收方，而且封装处理使得传送的中间节点不必也不会解析原始数据，这在一定程度上防止了数据泄密。对主机来说，不管是发送主机还是接收主机，都不知道数据曾经被封装过，也不知道数据是在Internet网络上进行传输的，它只需要提供要传输的数据，而不需要特殊的软件或配置，所有传送过程都由VPN设备来处理。;　　2. ?VPN的优点　　VPN的优点如下：　　1) 费用低廉　　这是使用VPN的最主要的好处。通过使用VPN，我们可以在公共网络上尽可能安全地传输数据，而不需要再租用专线来组网。并且，多数VPN都可以提供可靠的远程拨号服务，如此便减少了管理、维护和操作拨号网络的人力成本，节约了相关费用。;　　2) 安全可靠　　VPN为数据安全传输提供了许多安全保证，可以保证传输数据的机密性、完整性和对发送/接收者的认证。　　3) 部署简单　　VPN使用的是已有的基础设施，因此可以利用现有的基础设施快速建立VPN，从而降低工作量，节省时间，减少施工费用。;　　3. ?VPN的缺点???　VPN有如上所述的许多优点，但同时也有一些缺点：　　1) 增加了处理开销　　为了保证数据传输安全，通常对传输的每一个报文都进行加密，如此便增加了VPN处理压力。虽然可以采取硬件技术来解决，但同时也增加了构建VPN的成本。同时，由于VPN对发送的报文进行了封装，或者在原始报文上增加额外报文信息，这些都增加了处理开销，对网络性能构成一定的影响。;　　2) 实现问题　　由于现有的网络基础情况一般比较复杂，因此VPN在设计的时候必须考虑到实现的问题，包括VPN通过、网络地址转换、最大传输单元大小等问题。;　　3) 故障诊断和控制问题　　由于VPN上传输的数据都进行了封装处理，真实数据只能等解封后才能看见，因此一旦发生故障，很难进行诊断。同时，如果远程用户通过VPN接入的话，必须要考虑对其实施控制。因为此时的远程接入客户作为进入网络的入口，由于其自身主机的安全问题，可能会带来安全隐患。并且，VPN毕竟是构建在公共基础设施上，而一旦这些基础设施出现问题则会导致Internet服务故障，从而使VPN的通信出现问题。;　　　　　10.2 VPN隧道协议　　按照用户数据是在网络协议栈的第几层被封装，即隧道协议是工作在第二层数据链路层、第三层网络层，还是第四层应用层，可以将VPN协议划分成第二层隧道协议、第三层隧道协议和第四层隧道协议。;　　? 第二层隧道协议：主要包括点到点隧道协议(Point-to-Point Tunneling Protocol，PPTP)、第二层转发协议(Layer 2 Forwarding，L2F)，第二层隧道协议(Layer 2 Tunneling Protocol，L2TP)、多协议标记交换(Multi-Protocol Label Switching，MPLS)等，主要应用于构建接入VPN。　　? 第三层隧道协议：主要包括通用路由封装协议(Generic Routing Encapsulation，GRE)和IPSec，它主要应用于构建内联网VPN和外联网VPN。;　　? 第四层隧道协议：如SSL VPN。SSL VPN与IPSec VPN 都是实现VPN的两大实现技术。其中，IPSec VPN工作在网络层，因此与上层的应用程序无关。采用隧道运行模式的IPSec对原始的IP数据包进行封装，从而隐藏了所有的应用协议信息，因此可以实现各种应用类型的一对多的连接，如Web、电子邮件、文件传输、VoIP等连接。;　　与SSL相比，IPSec只在一个客户程序和远程VPN网关或主机之间建立一条连接，所有应用程序的