9.1 .1虚拟专用网概念
虚拟专用网 是英文 Virtual Private Network 的缩写,为“虚拟专用网”,
技术原理:
是把需要经过公共网传递的报文(packet)加密处理后,再由公共网络发送到目的地。利用虚拟专用网 技术能够在不可信任的公共网络上构建一条专用的安全通道,经过 虚拟专用网传输的数据在公共网络具有保密性.
9.1.2 虚拟专用网 安全功能
虚拟专用网 主要的安全服务有以下 3 种:
保密性服务(Confidentiality ):防止传输的信息被监听;
完整性服务(Integrity ):防止传输的信息被修改;
认证服务(Authentication ):提供用户和设备的访问认证,防止非法接入。
9.1.4 虚拟专用网 技术风险
虚拟专用网 存在的技术风险。
(1) 虚拟专用网 产品代码实现的安全缺陷。虚拟专用网 产品的实现涉及多种协议、密码算法等,编程处理不当,极易导致代码安全缺陷。
(2) 虚拟专用网 密码算法安全缺陷。虚拟专用网 产品如果选择非安全的密码算法或者选择不好的密码参数,都有可能导致 虚拟专用网 系统出现安全问题。
(3) 虚拟专用网 管理不当引发的安全缺陷。
9.2 虚拟专用网类型和实现技术
本节主要掌握传输层虚拟专用网; 虚拟专用网 的实现技术是密码算法、和 L2TP 等。
9.2.1 虚拟专用网 类型
按照虚拟专用网 在 TCP/IP 协议层的实现方式,可以将其分为链路层 虚拟专用网,网络层 虚拟专用网、传输层虚拟专用网。链路层 虚拟专用网 的实现方式有 ATM, Frame Relay、多协议标签交换 MPLS;网络层 虚拟专用网 的实现方式有受控路由过滤、隧道技术;传输层虚拟专用网 则通过 SSL 来实现。
9.2.5 IPSec
IPSec 是 Internet Protocol Security 的缩写。
IPSec 工作组制定了相关的 IP 安全系列规范:认证头(Authentication Header,简称 AH)、封装安全有效负荷(Encapsulatin Security Payload, 简称 ESP)以及密钥交换协议。
1. IP AH
IP AH 是一种安全协议,又称为认证头协议。其安全目的是保证 IP 包的完整性和提供数据源认证,为IP 数据报文提供无连接的完整性、数据源鉴别和抗重放攻击服务。其基本方法是将 IP 包的部分内容用加密算法和 Hash 算法进行混合计算,生成一个完整性校验值,简称 ICV(Integrity Check Value ),同时把 ICV 附加在 IP 包中。
2. IP ESP
IP ESP 也是一种安全协议,其用途在于保证 IP 包的保密性,而 IP AH 不能提供 IP 包的保密性服务。IP ESP的基本方法是将 IP 包做加密处理,对整个 IP 包或 IP 的数据域进行安全封装,并生成带有 ESP 协议信息的 IP包,然后将新的 IP 包发送到通信的接收方。接收方收到后,对 ESP 进行解密,去掉 ESP 头,再将原来的 IP包或更高层协议的数据像普通的 IP 包那样进行处理。AH 与 ESP 体制可以合用,也可以单独用。
AH 与 ESP 体制可以合用,也可以单独用。
3.密钥交换协议
IPSec 还涉及密钥管理协议,即通信双方的安全关联已经事先建立成功,建立安全关联的方法可以是手工的或是自动的。手工配置的方法比较简单,双方事先对 AH 的安全密钥、ESP 的安全密钥等参数达成一致,然后分别写入双方的数据库中。
自动的配置方法就是双方的安全关联的各种参数由 KDC (Key Distributed Center)和通信双方共同商定,共同商定的过程就必须遵循一个共同的协议,这就是密钥管理协议。
IPSec 的相关密钥管理协议主要有互联网密钥交换协议 IKE、互联网安全关联与密钥管理协议 ISAKMP、密钥交换协议 Oakley 。
9.2.6 SSL
SSL 是 SecureLayer 的缩写,是一种应用于传输层的安全协议,用于构建客户端和服务端之间的安全通道。包含握手协议、密码规格变更协议、报警协议和记录层协议。其中,握手协议用于身份鉴别和安全参数协商;密码规格变更协议用于通知安全参数的变更;报警协议用于关闭通知和对错误进行报警;记录层协议用于传输数据的分段、压缩及解压缩、加密及解密、完整性校验等。SSL 协议主要目的在于两个应用层之间相互通信时,使被传送的信息具有保密性及可靠性。SSL 的工作原理是将应用层的信息加密或签证处理后经 TCP/IP 网络送至对方,收方经验证无误后解密还原信息。
SSL 协议提供三种安全通信服务。
(1)保密性通信。握手协议产生秘密密钥(secret key)后才开始加、解密数据。数据的加、解密使用对称式密码算法,例如 DES, AES 等。
(2)点对点之间的身份认证。采用非对称式密码算法,例如 RSA, DSS 等。
(3)可靠性通信。信息传送时包含信息完整性检查,使用有密钥保护的消息认证码(MessageAuthentication Code,简称 MAC) . MAC 的计算采用安全杂凑函数,例如 SHA, MD5.
9.2.7 PPTP
PPTP 是 Point-to-Point Tunneling Protocol 的缩写,它是一个点到点安全隧道协议。该协议的目标是给电话上网的用户提供 虚拟专用网 安全服务。PPTP 是 PPP 协议的一种扩展,它提供了在 IP 网上构建安全通道机制,远程用户通过 PPTP 可以在客户机和 PPTP 服务器之间形成一条安全隧道,从而能够保证远程用户安全访问企业的内部网。
9.2.8 L2TP
L2TP 是 Layer 2 Tunneling Protocol 的缩写,用于保护设置 L2TP-enabled 的客户端和服务器的通信。客户端要求安装 L2TP 软件,L2TP 采用专用的隧道协议,该协议运行在 UDP 的 1701 端口。
9 .4.1 虚拟专用网应用场景
根据 虚拟专用网 的用途,虚拟专用网 可分为三种应用类型:远程访问虚拟网(Access虚拟专用网)、企业内部虚拟网(Intranet 虚拟专用网)和企业扩展虚拟网(Extranet 虚拟专用网)。
9.4.2 远程安全访问
Access 虚拟专用网 主要解决远程用户安全办公问题,远程办公用户既要能远程获取到企业内部网信息,又要能够保证用户和企业内网的安全。远程用户利用 虚拟专用网 技术,通过拨号、ISDN 等方式接入公司内部网。Access 虚拟专用网 一般包含两部分,远程用户 虚拟专用网 客户端软件和 虚拟专用网接入设备,组成结构如图 9-7 所示。
9.4.3 构建内部安全专网
随着业务的发展变化,企业办公不再集中在一个地点,而是分布在各个不同的地理区域,甚至是跨越不同的国家。因而,企业的信息环境也随之变化。针对企业的这种情况,Intranet虚拟专用网 的用途就是通过公用网络,如因特网,把分散在不同地理区域的企业办公点的局域网安全互联起来,实现企业内部信息的安全共享和企业办公自动化。Intranet 虚拟专用网 的一般组成结构如图 9-8 所示。
9.4.4 外部网络安全互联
由于企业合作伙伴的主机和网络分布在不同的地理位置,传统上一般通过专线互连实现信息交换,但是网络建设与管理维护都非常困难,造成企业间的商业交易程序复杂化。Extranet虚拟专用网 则是利用 虚拟专用网 技术,在公共通信基础设施(如因特网)上把合作伙伴的网络或主机安全接到企业内部网,以方便企业与合作伙伴共享信息和服务。Extranet 虚拟专用网 解决了企业外部机构接入安全和通信安全的问题,同时也降低了网络建设成本。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
