1、1,VPN,2,本章目标,掌握VPN的概念 掌握建立VPN的两种方式 掌握客户VPN的建立及其优缺点 掌握企业VPN的建立及其优缺点 掌握标准VPN的主要组成部分,3,目前的网络状况,4,如何保证公司网络资源的安全?,如何面对Internet通信的增加、 新的应用服务和减少成本?,如何共享和保护通过 Internet, Extranets 和 Intranets的信息?,如何在合作伙伴之间布置一 个灵活和模块化的解决方案?,如何有效的管理这一切?,谁能提供这一切 满足未来的需要?,用户面临的挑战,5,传统远程通信连接方式,6,专用网络的优点,信息被保留“在文件夹里” 远程站点可以立即交换信息
2、远程用户没有隔离感,7,专用网络的缺点,成本太高,不经济 超出预算,不现实,$ $,VPN,8,应用VPN进行远程通信,9,使用VPN解决方案的优势,防止数据在公网传输中被窃听 防止数据在公网传输中被篡改 可以验证数据的真实来源 成本低廉(相对于专线、长途拨号) 应用灵活、可扩展性好,10,4.1 VPN的概念及特点,用户的需求 保持通信数据的机密性 减少对租用线路的依赖 区分自己与别人的通信数据 使用加密,11,VPN定义,VPN(Virtual Private Network)中文名称一般称为虚拟专用网或虚拟私有网。它指的是以公用开放的网络(如Internet)作为基本传输媒体,通过加密和
3、验证网络流量来保护在公共网络上传输的私有信息不会被窃取和篡改,从而向最终用户提供类似于私有网络(Private Network)性能的网络服务技术。,12,VPN的目的,VPN通过一个私有的通道来创建一个安全的私有连接,将远程用户、公司分支机构、公司的业务伙伴等跟企业网连接起来,形成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在,仿佛所有的主机都处于一个网络之中。,13,VPN的特点,将通信数据加密是为了防止窃听 远程站点必须经过认证 在VPN上支持多种协议 连接是点对点的,14,VPN的特点加密数据,加密数据防止窃听 加密算法要足够复杂 DES 3DES AES 密钥要有过期
4、机制,15,VPN的特点认证,认证对象 单向:用户向中央服务器 双向:VPN的两端相互认证 认证机制 双重认证 动态密码认证 双向认证方法 事先共享的秘密 数字证书,16,VPN的特点支持多协议,17,VPN的特点点对点,在VPN的两个端点设置唯一的信道 一个端点可以同时与另一个端口开放几个VPN 每个VPN的数据通过加密来彼此区别,18,VPN分类,客户VPN 企业VPN,19,4.2 客户VPN,定义: 客户VPN是个人计算机与企业站点之间的虚拟专用网络,客户VPN一般由旅行或在家工作的员工使用,VPN服务器可以是机构的防火墙或单独的VPN服务器。用户通过本地ISP拨号、DSL线路或调制解
5、调器连接到Internet,并通过Internet与公司企业站点建立一个VPN。,20,客户VPN,21,客户VPN的特点1,公司企业的站点需要用户认证 客户VPN可以让机构限制远程用户能够访问的系统或文件,22,客户VPN的配置,23,4.2.1 客户VPN的优点,对于外出旅行的员工而言,无论他们位于何处,都可以访问电子邮件、文件和内部系统,而无需使用昂贵的长途电话连接拨号服务器。 在家工作的员工可以像在企业的办公室中工作的员工一样访问网络服务,而无需使用昂贵的租用线路。,节约成本,24,4.3 企业VPN,定义 企业使用企业VPN来连接远程的站点,或者连接两个希望进行商业通信的企业,而无需
6、使用昂贵的租用线路。,25,跨Internet的站点到站点的VPN,26,企业VPN类型,总公司到分公司 本公司到其他有合作关系的公司,27,企业VPN类型1,28,企业VPN类型2,29,使用企业VPN的特性,启动连接时,一个站点会试图向另一个站点发送通信数据 ,在两个VPN端启动VPN 两个端点协商连接参数 VPN两端进行认证 可以使用企业VPN作为租用线路的备份,30,4.3.1 企业VPN的优点,节约成本 性价比较高 可以严格限制对内部网络和计算机系统的访问,31,VPN设计原则安全性原则,隧道与加密 数据验证 用户识别与设备验证 入侵检测,网络接入控制,32,隧道与加密,应用和业务服
7、务器,总部网络中心,分支机构,合作伙伴,secpoint,AAA服务器,出差员工,IPSEC+L2TP,IPSEC+GRE,L2TP隧道协议最适合移动用户的VPN接入 GRE隧道协议最适合站点到站点的VPN接入,支持动态路由协议 IPSEC提供数据加密和数据完整性,33,L2TP是在ATM网络、帧中继网络或因特网上用来传送PPP(点对点协议)会话的隧道协议。L2TP可以为经常通过远程链接拨入企业网络的用户减少远程拨号网络费用oL2TP通常被称为“虚拟拨号协议”,因为它扩展了因特网上的拨号PPP会话。 通用路由封装 (GRE) 协议结合使用点对点隧道协议 (PPTP) 用于创建虚拟专用网络 (v
8、pn) 客户端之间或客户端和服务器之间。,34,数据验证,IPSEC协议提供特定的通信双方之间在IP层通过加密与数据源验证,以保证数据包在Internet网上传输时的私有性、完整性和真实性。用在VPN上IPSEC协议族与其他隧道协议相配合完成VPN数据报文的加密和验证。,IPSEC,35,用户识别与设备验证,VPN可使合法用户访问他们所需的企业资源,同时还要禁止未授权用户的非法访问。这一点对于Access VPN和Extranet VPN具有尤为重要的意义。建立VPN连接的设备之间进行验证可以确保VPN隧道的安全可靠。,设备验证,SecurID,数字证书,SecKey,认证服务器,用户识别,3
9、6,入侵检测,网络接入控制,网络入侵检测系统需要同VPN设备进行配合,通过分析源自或送至VPN设备的信息流,避免通过VPN连接使内部网络受到攻击。 一般来讲VPN接入的用户可以访问内部网络中大部分资源,可以考虑对VPN接入用户进行分级和控制,确保内部网络的运行安全。,37,VPN设计原则QoS保障,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。VPN网络中的QoS需要考虑如下问题: QoS需要在数据通过的整个路径包含的各个设备上进行部署 VPN隧道技术对原始数据进行了再次封装,QoS策略中的特征值需要进行额外映射 QoS中的流分类动作必须在数据进行VPN封
10、装前完成,38,L2TP 连接方式选择,L2TP VPN适用于移动办公用户的VPN接入,可以提供严格的用户验证功能,确保VPN接入用户的合法性。 L2TP VPN的连接方式分为两种:PC直接发起连接和LAC设备发起连接。两种方式适用于不同企业对于VPN接入控制和管理的不同要求。,39,L2TP 认证方式选择,L2TP VPN可以提供LAC侧的用户接入验证和LNS侧的用户再次验证,可以提供比较安全的VPN接入功能。,LAC,Client,LNS,HOST,Home LAN,Internet,L2TP TUNNEL,40,L2TP 安全性考虑,L2TP VPN本身虽然提供较为严格的接入用户的认证功
11、能,但不提供VPN数据的加密功能,如果需要对数据进行安全加密可以同IPSEC协议进行配合。,LAC(位置区码 ),Client,LNS,HOST,Home LAN,Internet,L2TP OVER IPSEC,41,L2TP多实例,L2TP协议上加入多实例技术,让L2TP支持在一台设备将不同的用户划分在不同的VPN,各个VPN之内的数据可以互通,且在LNS两个不同VPN之间的数据不能互相访问,即使L2TP接入是同一个设备。,VPN 1 总部,Client,LNS,HOST,Internet,L2TP TUNNEL,Client,VPN 2总部,VPN 1,HOST,VPN 2,10.1.1
12、.*,10.1.1.*,10.1.2.*,10.1.2.*,42,移动办公用户IPSEC VPN接入,IPSEC TUNNEL,移动办公用户接入IPSEC VPN的考虑 笔记本电脑软件防火墙,防病毒软件的安装 硬件防火墙同VPN网关相互配合 使用防火墙和VPN网关功能相互融合的设备,43,IPSEC VPN中的INTERNET通讯,远程VPN站点可以通过两种方式访问INTERNET 集中式:访问INTERNET的流量统一由总部的VPN节点进行转发 分布式:访问INTERNET的流量由本地的VPN节点进行转发,VPN流量和上网流量都需要由总部统一进行转发,集中式,分布式,只有VPN流量由总部进行
13、转发,44,4.6 案例分析,ABC公司需要建立VPN来保护敏感的数据及应用 监控、管理、日志记录及后端系统的集成 多种访问技术 拨号 无线 xDSL,45,案例结构图,VPN客户端,VPN客户端,POP,POP,拨号连接,DSL,DSL,Internet,专用宽,带网络,IT宽带提供商,IPSec隧道,Internet上的IPSec隧道,ABC公司远程访问,ABC,北美,ABC,欧洲,T3,T3,VPN1,VPN2,VPN1,VPN2,内部 网络,RADLUS,SecureID,VPN管理,VPN客户端,VPN客户端,46,案例中考虑的问题,加密问题 防火墙不能扫描经过加密的数据 VPN网关
14、与防火墙要正确部署 将VPN网关与现有网关平行放置 在VPN网关之内额外部署一个防火墙网关 认证问题 共享密钥 数字证书,47,4.7 当前主流产品介绍,许多的网络设备厂商所生产的路由器和防火墙都支持VPN Cisco的路由器和PIX防火墙系列 生产专门的VPN设备 Cisco的Concentrator系列 Check Point的VPN-1 Net,48,Cisco的Concentrator系列,5000以上的VPN隧道, 基于HTML的管理,49,Check Point的产品,50,国内产品,方正方通VPN 北京天创安联VPN,51,校园网VPN用户使用指南,客户端设置:在“网络连接”中,
15、双击“新建连接向导”。,52,校园网VPN用户使用指南,在“新建连接向导”中,点“下一步”。,53,校园网VPN用户使用指南,在“网络连接类型”中,选择“连接到我的工作场所的网络”,点“下一步”。,54,校园网VPN用户使用指南,在“网络连接”中,选择“虚拟专用网络连接”,点“下一步”。,55,校园网VPN用户使用指南,在“连接名”中,填入公司名:西安邮电学院,点“下一步”。,56,校园网VPN用户使用指南,在“公用网络”中,选择“不拔入初始连接”,点“下一步”。,57,校园网VPN用户使用指南,在“VPN服务器选择”中,填入主机名或IP地址:211.70.144.8(例如),点“下一步”。,
16、58,校园网VPN用户使用指南,在“可用连接”中,一般选择“只是我使用”,点“下一步”。,59,校园网VPN用户使用指南,选择“在我的桌面上添加一个到此连接的快捷方式”,点“完成”。,60,校园网VPN用户使用指南,双击桌面上新建的连接图标,出现登录窗口,填入你的用户名和密码,先点击“属性”按钮。,61,校园网VPN用户使用指南,出现“安徽工业大学 属性”窗口,“常规”选项卡如下图,然后点“安全”选项卡。,62,校园网VPN用户使用指南,在安全选项中,选择“高级”,点“设置”按钮。,63,校园网VPN用户使用指南,在数据加密中,选择“不允许加密”,登录安全措施选“允许这些协议”中的“CHAP”
17、和“MS-CHAP”两项。,64,校园网VPN用户使用指南,在“网络”选项卡中,选“TCP/IP协议”,“属性”,点“高级”按钮,出现右图,默认选“在远程网络上使用默认网关”。,65,校园网VPN用户使用指南,在IE的“Internet 选项”中“连接”选项卡如下图所示。,66,校园网VPN用户使用指南,在上图中,“拔号和虚拟专用网络”以及“局域网”均不用设置,如下图。,67,本章总结,VPN是在公共网上建立起来的虚拟的专用网络,使用户可以实施自己独特的安全策略。VPN的建立使用户不再需要专线或长途拨号,从而节省了开支。 按照VPN建立方式的不同,可以分为客户VPN和企业VPN两种。不论是哪一种VPN,都要进行严格的管理,否则VPN的建立还会给公司和企业造成一定的安全威胁。 在实际的网络中,可以根据用户的需求来建立不同的VPN。,
