1、第五章 防火墙与VPN 郭楠杰 2010年11月7日,课程的主要内容,防火墙,外网(非受信网络) 内网(受信网络) 非军事化区(DMZ),防火墙的分类(一),包过滤型 包过滤技术是在网络中的适当位置对数据包实施有选择通过的技术。会检查所有进出防火墙的包标头内容。它一般作用在网络层,故也称网络层防火墙或IP过滤器。只对数据包的 IP 地址、 TCP/UDP 协议和端口进行分析。包过滤防火墙的处理速度较快,并且易于配置。,防火墙的分类(二),包检验型 包检验型的控制机是通过一个检验模组对包中的各个层次作检验。它可以说是包过滤型的加强版,目的在增加包过滤型的安全性,增加控制“连线”的能力。检查的对象
2、仍是个别包,不同的包检验方式可能会产生极大的差异。其检验层面越广越安全,但其相对效率也越低。,防火墙的分类(三),应用层网关型 应用层网关型的防火墙采用将动作拦截,由一个特殊的代理程序来处理两端间的连接的方式,并分析其连线内容是否符合应用协定的标准。可能必须针对每一种应用写一个专属的代理程序,或用一个一般用途的代理程序处理大部分连线。这种运作方式是最安全的方式,但也是效率最低的一种方式。运行在应用层门卫,防火墙的分类(三),防火墙的局限性(重点),3. 防火墙的局限性防火墙不能防范不经由防火墙的攻击 防火墙不能防止感染了病毒的软件或文件的传输 防火墙不能防止数据驱动式攻击 防火墙不能防范恶意的
3、和不经心的内部人员 防火墙不能防范不断更新的攻击方式,常见的防火墙,瑞星个人防火墙,虚拟专用网络(VPN)技术,1. VPN的提出、功能、优点,2. VPN的基础隧道协议,3. VPN的解决方案以及常见,4. VPN的适用范围,5. VPN的分类(三种分类),6. 组建VPN设计原则与前景,虚拟专用网络(VPN)技术,虚拟专用网(Virtual Private Network,VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。,虚拟专用网络(VPN)技术,虚拟专用网络(VPN)技术,VPN依靠ISP(Internet服务提供
4、商)和其他NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。对于不同的信息来源,可分别给它们开出不同的隧道。 VPN是一种连接,从表面上看它类似一种专用连接,但实际上是在共享网络上实现的。它往往使用一种被称作“隧道”的技术,数据包在公共网络上的专用“隧道”内传输,专用“隧道”用于建立点对点的连接。(P84),VPN提供的功能,加密数据:以保证通过公网传输的信息即使被他人截获也不会泄露信息认证和身份认证:保证信息的完整性、合法性、并能鉴别用户的身份。提供访问控制:不同
5、的用户有不同的访问权限。,VPN的优点(P83),成本低:在LAN to LAN 连接时,用VPN比使用专线的成本节省20%40%左右;而就远程访问而言,VPN更能比直接拨接至企业内部网络节省60%80%的成本。网络结构灵活:VPN比专线式的架构有弹性,当有必要将网络扩充或是变更网络架构时,VPN可以轻易地达到目的;相对而言,传统的专线式架构便需大费脑筋了。管理方便:VPN较少的网络设备及物理线路,式网络管理较为轻松,不论分公司或是远程访 问用户再多,均只需通过互联网的路径进 入企业网络。,VPN的基础隧道协议,VPN的具体实现是采用隧道技术,将企业网的数据封装在隧道协议中进行传输。隧道协议可
6、分为第二层隧道协议与第三层隧道协议: (1)二层隧道协议:L2F/L2TP、PPTP (2)三层隧道协议:GRE、IPSec它们的本质区别是:用户的数据包是被封装在那种数据包中传输的。无论那种隧道协议都是由传输的载体、不同的封装格式以及数据包组成的。,VPN的基础隧道协议,隧道协议主要包括以下几种:互联网协议安全IPSec (Internet Protocol Security)第二层转发协议L2F (Layer 2 Forwarding)点对点隧道协议PPTP (Point to Point Tunneling Protocol)第二层隧道协议L2TP ( Layer 2 Tunneling
7、 Protocol )通用路由封装协议GRE (Generic Routing Encapsulation),隧道的基本组成(P85),一个隧道启动器一个路由网络一个可选的隧道交换机一个或多个隧道终结器,IPSec(P85),第一段很重要IPSec有两种工作模式: 一是:传输模式 二是:隧道模式IPSec的组成: 1.AH:验证头。对数据包内容作出验证,保证数据的完整。 2.ESP:封装完全负载。私密性、加密 3.IKE:因特网密钥交换。公钥体系下,两个钥匙的交换,AH(认证头协议),原IP报文:,经AH协议传输模式认证:,经AH协议隧道模式认证:,原IP头,TCP,DATA,AH头,新IP头
8、,ESP(安全封装协议),原IP报文:,经ESP协议传输模式:,经ESP协议隧道模式:,ESP协议加密范围,ESP协议认证范围,选择VPN解决方案,VPN解决方案一般分为VPN服务器和VPN客户端。选择VPN解决方案时需要考虑的几个要点: 认证方法支持的加密算法支持的认证算法支持的IP压缩算法易于部署兼容分布或个人防火墙的可用性,VPN的几种解决方案,Cisco的解决方案,华为的解决方案,网际先进的解决方案,川大能士的解决方案,VPN,VPN的适用范围,比较适合采用VPN 位置众多,特别是单个用户和远程办公室站点多。 用户/站点分布范围广 带宽和时延要求相对适中的用户 对线路保密性和可用性有一
9、定要求的用户 不适合采用VPN 非常重视传输数据的安全性 不管价格多少,性能都被放在第一位的情况 采用不常见的协议,不能再IP隧道中传送应用的情况 大多数通信是实时通信的应用,三种VPN的分类(一),一、按VPN的部署模式分类(描述了VPN的通道是如何建立和终止的) 端到端模式供应商企业模式内部供应商模式,三种VPN的分类(二),按服务类型分:,Intranet VPN,优点: 减少WAN带宽的费用能使用灵活的拓扑结构,包括全网络连接新的站点能更快、更容易地被连接,即企业总部与分支机构间通过公网构筑的虚拟网。,Access VPN (又称拨号VPN,即DVPN),最适用于公司内部经常有流动人员
10、远程办公的情况。,即企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网,(优势见书),Extranet VPN,即企业间发生收购、兼并或企业间建立战略联盟后,使不同企业网通过公网来建筑的虚拟网。,Extranet VPN,Extranet VPN通过一个使用专用连接的共享基础设施,将用户、供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同策略、包括安全、服务质量、可管理性和可靠性。Extranet VPN的优势在于:能容易地对外部网络进行部署和管理。主要的不同是接入许可,外部网的用户被许可只有一次机会连接到其合作人的网络。,三种VPN的分类(三),按VPN的具体实现即解决方案:,组建VPN应该遵循的设计原则,VPN的设计应该遵循以下原则:安全性、网络优化、VPN管理等(书P90),VPN的应用前景,瑞星个人防火墙,Thank you!,
