1、7,第7章 虚拟专用网络,7.17.27.3,VPN概述IPSec与VPN实现VPN的安全性,1,2,3,7.1,VPN概述什么是VPNVPN关键技术VPN的分类,什么是VPN,V,PN,连,接,公共网络(Internet)VPN典型结构图,什么是VPN,企业、组织、商家等对专用网的需求。,高性能、高速度和高安全性是专用网明显的优势。但传统的通过租用专线或拨号网络的方式越来越不适用。(廉价、安全),IP协议本身的局限性,不能保证信息直接传输的保密性。VPN(虚拟专用网络,Virtual Private Network)是指将物理上分布在不同地点的网络通过公用网络连接成逻辑上的虚拟子网,并采用认
2、证、访问控制、保密性、数据完整性等在公用网络上构建专用网络的技术,使得数据通过安全的“加密管道”在公用网络中传输。(公用网通常指Internet),什么是VPN,虚拟:用户不再需要拥有实际的长途数据线路,而是使用公共网络资源。但它建立的只是一种临时的逻辑连接,一旦通信会话结束,这种连接就断开了。专用:用户可以定制最符合自身需求的网络。,VPN使得企业通过互联网既安全又经济地传输私有的机密信息成为可能。,VPN的特点,安全保障:在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接,称为建立一个隧道。可以利用加密技术对经过隧道传输的数据进行加密,以保证数据只被指定的发送者和接受者了解,从而保证
3、数据的私有性和安全性。费用低,服务质量保证(QoS):,VPN应当为企业数据提供不同等级的服务质量保证。(连,接、覆盖性、稳定性、网络时延、误码率等),VPN的特点(续),网络优化:充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。通过流量预测与流量控制策略实现带宽管理。,可扩充性和灵活性,可管理性:安全管理、设备管理、配置管理、访问控制列表管理和QoS管理等。,VPN系统组成,VPN,连,接,VPN服务器公共网络 (Internet),VPN客户机,隧道,VPN的构成图,VPN系统组成,VPN服务器:接受来自VPN客户机的连接请求;,VPN客户机:可以是终端计算机,也可以是路由器;隧
4、道:数据传输通道,在其中传输的数据必须经过封装;,VPN连接:在VPN连接中,数据必须经过加密;隧道协议:封装数据、管理隧道的通信标准,传输数据:经过封装、加密后在隧道上传输的数据;公共网络:如Internet,也可以是其他共享型网络。,VPN关键技术,隧道技术:VPN的基本技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。,隧道由隧道协议形成,常用的有第2、3层隧道协议。,密码技术:,加解密技术:在VPN应用中将认证信息、通信数据等由明文转换为密文的,相关技术,其可靠性主要取决于加解密的算法及强度。,身份认证技术:在正式的隧道连接开始之前需要确认用户的身份,以便系,统进一步
5、实施资源访问控制或用户授权。,密钥管理技术:如何在公用数据网上安全地传递密钥而不被窃取。,QoS技术:保证VPN的性能稳定,在管理上满足企业的要求。,VPN的隧道技术(1/3),对通过隧道的数据进行处理的两个基本过程:加密和封装。,加密:,保证VPN的“私有性”;,通信双方数据的加密涉及到:加密方法的选择、密钥的交换、密钥的管,理等。封装:,构建隧道的基本手段;,使得隧道能够实现信息的隐蔽和信息的抽象。,将一种协议封装在另一种协议中传输,从而实现被封装协议对封装协议,的透明性,保持被封装协议的安全特性。,补充:用户数据经过协议栈的封装过程,VPN的隧道技术(2/3),安全协议:就是构建隧道的“
6、隧道协议”。,IP隧道协议:使用IP协议作为封装协议的隧道协议。,第二层隧道协议:首先把各种网络协议封装到数据链路层的PPP帧中,再把整个PPP帧装入隧道协议中。这种双层封装方法形成的数据包依靠第二层协议进行传输。,如:PPTP(点到点隧道协议,Point-to-Point TunnelingProtocol)、L2F(第二层转发协议,Layer TwoForwarding)和L2TP(第二层隧道协议,Layer TwoTunneling Protocol)等;,VPN的隧道技术(3/3),第三层隧道协议:把各种网络协议直接装入隧道协议中,封,装的是网络层协议数据包。,如:GRE(通用路由封装
7、协议,Generic RoutingEncapsulation)和IPSec(IP层安全协议,InternetProtocol Security),IPSec的应用最为广泛,是事实上的网络层安全标准。,不同协议层次的隧道协议各有优缺点,可考虑将其结合以构建虚拟专用网的完整解决方案。,VPN的QoS机制,应该在VPN建立隧道的网段实行QoS,才能建立一条性能符合用户要求的隧道。,不同应用对网络通信的不同要求体现在:,带宽:网络提供给用户的传输率;,反应时间:用户所能容忍的数据包传输延时;抖动:延时的变化;,丢包率:数据包丢失的比率。,QoS机制具有:通信处理机制以及供应和配置机制,VPN的QoS
8、机制(续),网络管理员通常基于一定的策略机制(策略数据、策略决定点、策略加强点以及策略协议)进行QoS配置。,SNMP(简单网络管理协议,Simple Network ManagementProtocol):常用的策略协议。,QoS机制相互作用可使网络资源得到最大化利用,同时向用户提供性能良好的网络服务。,VPN的分类,根据VPN的组网方式、连接方式、访问方式、隧道协议、工作的层次(OSI模型或TCP/IP模型)等的不通,可以有多种分类方式。P148,结合当前主要应用,VPN主要有两种类型: 远程访问/移动用户的VPN连接/Access VPN,实现用户安全的远程访问(企业内部人员的移动、远程
9、办公,需要,或商家提供B2C的安全访问服务),工作过程,核心技术:第二层隧道技术,VPN的分类(续),网关-网关的VPN连接,组建安全的内联网或企业外联网,核心技术:主要使用IPSec协议(第三层隧道技术)来建立加密传输数据的隧道,Intranet VPN:用于构建内联网(企业内部各分支机构互联),Extranet VPN:用于企业的合作者之间互联,IPSec与VPN实现,7.2,123,IPSec架构IPSec安全协议IPSec密钥管理,IPSec架构,IPSec是提供网络层通信安全的一套协议簇,IPSec只是一个开放的结构,通过在主IP报头后面接续扩展报头,为目前流行的数据加密或认证算法的
10、实现提供统一的数据结构,需求:身份认证、数据完整性和保密性,IPSec在IPv6中是强制的,在IPv4中是可选的,IPSec的历史,1994年IETF专门成立IP安全协议工作组,来制定和推动一套 称为IPSec的IP安全协议标准。,1995年8月公布了一系列关于IPSec的建议标准。,1996年,IETF公布下一代IP的标准IPv6,把鉴别和加密作为 必要的特征,IPSec成为其必要的组成部分。,1999年底,IETF安全工作组完成了IPSec的扩展,在IPSec协 议中加上ISAKMP(因特网安全关联和密钥管理协议),IKE (密钥交换协议)、Oakley(密钥确定协议)。,ISAKMP/I
11、KE/Oakley支持自动建立加密、鉴别信道,以及密 钥的自动安全分发和更新。,IPv4也可以实现这些安全特性。,IPSec的应用方式,端到端(endend):主机到主机的安全通信,端到路由(endrouter):主机到路由设备之间的安全通信,路由到路由(routerrouter):路由设备之间的安全通信,常用于在两个网络之间建立虚拟专用网,IPSec的好处,对应用和最终用户透明,在防火墙或路由器中实现时,,可以防止IP旁路。,可以对所有跨越周界的流量实施强安全性。而公司内,部或工作组不必承担与安全相关处理的负担。需要时IPSec可以提供个人安全性,弥补IPv4在协议设计时缺乏安全性考虑的不足
12、,IPSec的内容,协议部分,分为:,AH(认证头,Authentication Header): 提供完整性保护,和抗重放攻击;,ESP(封装安全载荷,Encapsulating Security,Payload) :提供机密性、完整性保护和抗重放攻击;,密钥管理(Key Management)SA(Security Association)ISAKMP定义了密钥管理框架,IKE是目前正式确定用于IPSec的密钥交换协议,IPSec安全体系结构IP安全结构,ESP协议加密算法,AH协议认证算法,密钥管理协议解释域(DOI),IPSec安全协议ESP,ESP(封装安全载荷)机制通过将整个IP分
13、组或上层协议部分 (即传输层协议数据)封装到一个ESP载荷之中,然后对此载 荷进行相应的安全处理,如加密处理、认证处理等,实现对 通信的机密性或/和完整性保护。,加密算法和认证算法由SA指定。,根据ESP封装的载荷内容不同,将ESP分为两种模式:,传输(transport)模式:将上层协议部分封装到ESP载荷之,中;,隧道(tunnel)模式:将整个IP分组封装到ESP载荷之中。,ESP传输模式,原IP 报头,ESP 报头,ESP传输模式封装示意图IP有效载荷,ESP 报尾,ESP 认证报尾,传输层 协议报头,数据,加密部分完整性检查部分,ESP传输模式,优点:,内网的其他用户也不能理解通信主
14、机之间的通信内容。分担了IPSec处理负荷。,缺点:,不具备对端用户的透明性,用户为获得ESP提供的安全服务,,必须付出内存、处理时间等代价。,不能使用私有IP地址。暴露了子网的内部拓扑。,ESP隧道模式,新IP 报头,ESP隧道模式封装示意图IP有效载荷,ESP ESP 报尾 认证报尾,数据,加密部分完整性检查部分,ESP 原IP 传输层 报头 报头 协议报头,ESP隧道模式,优点:,保护子网中的所有用户都可以透明地享受由安全网关提供的,安全保护。,子网内部可以使用私有IP地址。子网内部的拓扑结构受到保护。,缺点:,增大了安全网关的处理负荷,容易形成通信瓶颈。对内部的诸多安全问题将不可控。,
15、IPSec安全协议AH,为IP包提供数据完整性、数据源身份认证和抗重放攻击服务;,利用MAC码实现认证,双方必须共享一个密钥认证算法由SA指定,认证的范围:整个包,两种认证模式:,传输模式:不改变IP地址,插入一个AH;,隧道模式:生成一个新的IP头,把AH和原来的整个IP包放到,新IP包的净荷数据中。,AH两种模式封装示意图,新IP 报头,AH,数据,认证(除新IP报头中的易变字段),原IP 传输层 报头 协议报头,原IP 报头,AH,传输层 协议报头,数据,认证(除易变字段),传输模式,隧道模式,AH和ESP联合使用(1)传输邻接使用两个捆绑的传输SA,内部是ESP SA(没有认证选项),
16、外部是AH SA。,原IP 报头,AH,ESP 报尾,数据,加密部分完整性检查部分,ESP 传输层 报头 协议报头,AH和ESP联合使用(2)传输隧道束加密之前进行认证更可取;内部的AH传输SA外部的ESP隧道SA,新IP 报头,ESP 报尾,传输层 协议报头,数据,认证(除易变字段)加密部分,ESP 原IP 报头 报头,AH,7.3,123,VPN的安全性IPSec的安全性网络中的VPNVPN技术的发展,IPSEC的安全性,虽然到目前为止,全球安全专家普遍认为IPSec是最安全的IP协议,但也并非全是赞美之词,最主要的批评是它的复杂性。,网络中的VPNVPN与路由器,路由器与VPN的组合对于
17、企业网络并不常见。,路由器本身通常依靠外部日志资源来记录信息,再加上加解,密VPN信息带来的负担,很容易使一些路由器超负荷。,防火墙需要加入额外的规则来允许VPN与网络通信,可能引,起安全问题。,网络中的VPNVPN与防火墙,VPN与防火墙的组合意义:, 防火墙已经记录了大多数的网络连接,再加上一些额外的VPN连接记录不,会增加特别大的负担;, 作 为 网 络入口点的防火墙与VPN端接意味着用户能够访问网络而不必开放,防火墙规则集中额外的漏洞。,主要缺点:VPN加密/解密处理需占用大量的系统资源,对于已经有负荷的防火墙,再管理上百个同时运行的VPN隧道时可能会崩溃。,网络中的VPN专用VPN,专用VPN设备的主要优点:由专用设备来处理加解密,即使由于过多的连接而导致它过载,也不会影响到网络的其他部分。,主要缺点:它是额外的网络设备,需要对它进行管理、监控,以便软件升级和防止潜在的安全漏洞。,VPN技术的发展,VPN在降低成本的同时满足了用户对网络带宽、接入和服务不断增加的需求,VPN必将成为未来网络发展的一个重要方向。,Qos技术在VPN技术中的体现无线VPN技术的发展IPSec的进一步渗透SSL应用范围的拓宽MPLS VPN发展强劲VPN管理有待加强,谢 谢!,
