VPN培训资料(防火墙)(共88张).pptx
《VPN培训资料(防火墙)(共88张).pptx》由会员分享,可在线阅读,更多相关《VPN培训资料(防火墙)(共88张).pptx(88页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、 SmartHammer 系列防火墙技术资料 -VPNVPN 部分 2004年年11月月内容介绍内容介绍VPN基本概念基本概念二层隧道协议二层隧道协议 L2TP三层隧道协议三层隧道协议 IPSecIPSec + L2TP / IPSec + GRE配置配置IPSec VPN 隧道隧道 典型典型VPN 应用实例应用实例VPN VPN 概述概述总部总部网络网络远程局域远程局域网络网络单个单个用户用户VPN VPN 类型类型按照构建方式和功能的不同可将按照构建方式和功能的不同可将VPNVPN分为以下分为以下3 3类类 基于加密和不加密的基于加密和不加密的VPNVPN类型类型 1: 1: 加密加密VP
2、NVPN 2: 2: 非加密非加密VPNVPN 基于基于OSIOSI模型分层的模型分层的VPNVPN类型类型 1: 1: 数据链路层数据链路层VPNVPN 2: 2: 网络层网络层VPNVPN 3: 3: 应用层应用层VPNVPN 基于商业功能性的基于商业功能性的VPNVPN类型类型 1: 1: 远程接入远程接入VPN (Acess VPN)VPN (Acess VPN) 2: 2: 企业内联网企业内联网 (Intranet VPNIntranet VPN) 3: 3: 企业外联网企业外联网 (Extranet VPNExtranet VPN) 远程接入远程接入VPN VPN (Access
3、VPNAccess VPN)Intranet VPN Intranet VPN (内联网)内联网)Extranet VPN Extranet VPN (外联网)外联网)VPN VPN 应用范围应用范围VPNVPN的优势的优势LAN-to-LAN LAN-to-LAN 之间的广域连接之间的广域连接 ( (专线方式专线方式 对比对比 VPNVPN方式方式) )单个用户接入单个用户接入( (直接拨入方式对比直接拨入方式对比 VPN VPN 方式方式) )Secure VPN Tunnel 隧道隧道隧道是在公网上传递私有数据的一种方隧道是在公网上传递私有数据的一种方式式Tunnels employ a
4、 technique called Tunnels employ a technique called “encapsulation”“encapsulation”安全隧道是指在公网上几方之间进行数安全隧道是指在公网上几方之间进行数据传输中,保证数据安全及完整的技术据传输中,保证数据安全及完整的技术 加密加密 保证数据传输过程中的安全保证数据传输过程中的安全 认证认证保证保证 VPN VPN 通讯方的身份确认及合法通讯方的身份确认及合法InternetSmartHammer SmartHammer 的完整的完整VPNVPN解决方案特性解决方案特性 符合符合IPSecIPSec特性特性防火墙防火
5、墙隧道隧道机密性机密性远程管理远程管理第二层隧道协议第二层隧道协议 L2TPL2TP L2TPL2TP概述概述 是一种二层隧道协议,它扩展了PPP的模型,通过二层隧道可以把PPP会话的逻辑终点延伸到目的访问网关。这样,企业的本地局域网就可以为远程拨号用户分配一个企业内部网的IP地址,从逻辑上看,远程出差员工的手提电脑已经通过一块Ethernet网卡直接连接到企业网络,于是用户数据包可以通过防火墙到达企业内部网,该员工可以访问任何其有权使用的企业内部共享资源。此外,企业本地局域网也可以对远程拨号用户进行AAA(认证、授权和计费)管理和会话监控。 约定术语解释:约定术语解释:LAC:L2TP访问集
6、中器,进行访问集中器,进行PPP处理以及处理以及L2TP处理,它将已成帧的处理,它将已成帧的PPP分分组进行适当的处理并封装入组进行适当的处理并封装入L2TP之中,发送给之中,发送给LNS。它是入站呼叫的发起者、它是入站呼叫的发起者、出站呼叫的接收者,是出站呼叫的接收者,是L2TP协议的客户协议的客户/服务器模式的客户端服务器模式的客户端LNS:L2TP的服务器端,在的服务器端,在LNS处,能进行处,能进行L2TP封装或解封,并能进行封装或解封,并能进行PPP处理。又称处理。又称L2TP网络服务器网络服务器CHAP:挑战握手鉴别协议,是一种通过挑战握手鉴别协议,是一种通过PPP协议交换鉴别信息
7、的鉴别协议。协议交换鉴别信息的鉴别协议。该鉴别协议密钥不被明文传输该鉴别协议密钥不被明文传输PAP:口令鉴别协议。通过传输明文的用户名和口令达到证明身份的目的。口令鉴别协议。通过传输明文的用户名和口令达到证明身份的目的。会话:会话:当远程拨号用户和当远程拨号用户和LNS之间发起一次端到端的连接时,就形成了一条之间发起一次端到端的连接时,就形成了一条会话。会话。隧道:隧道:一对一对LAC和和LNS定义了一条或多条隧道。定义了一条或多条隧道。L2TPL2TP隧道类型隧道类型q 强制隧道模式强制隧道模式q自愿隧道模式自愿隧道模式L2TPL2TP强制隧道模式强制隧道模式PCPSTN/ISDN远地用户内
8、部服务器Internet骨干网Internet骨干网L2TP通道L2TP通道LNSLACL2TPL2TP自愿隧道模式自愿隧道模式内部服务器Internet骨干网Internet骨干网L2TP通道L2TP通道LNSL2TP客户端L2TPL2TP的功能细节的功能细节L2TPL2TP隧道的建立通过两个阶段协商隧道的建立通过两个阶段协商阶段阶段1 1:在:在LACLAC和和LNSLNS之间建立一个控制会话之间建立一个控制会话阶段阶段2 2:建立实际传输数据的:建立实际传输数据的L2TPL2TP隧道(也可隧道(也可以称为建立一个会话)以称为建立一个会话)提示提示: : 单个隧道可以承载多个会话,在同一单
9、个隧道可以承载多个会话,在同一LACLAC和和LNSLNS之之间也可以拥有多个隧道间也可以拥有多个隧道 建立控制连接建立控制连接 LAC LNS SCCRQ - SCCRQ SCCRP - SCCRP SCCCN - SCCCN ZLB ACK- ZLB ACKSCCRQ-Start-Control-ConnectionSCCRP-Start-Control-ReplySCCCN-Start-Control-Connection-Connected 1234建立会话建立会话 LAC LNS ICRQ - ICRQ ICRP - ICRP ICCN - ICCN ZLB ACK- ZLB ACK
10、 ICRQ-Incoming-Call-RequestICRP-Incoming-Call-ReplyICCN-Incoming-Call-Connected12340检测到的呼叫检测到的呼叫L2TP配置实例研究配置实例研究 SmartHammerSmartHammer实现防火墙功能,并给拨号用实现防火墙功能,并给拨号用户提供远程接入防火墙的解决方案。因此我们户提供远程接入防火墙的解决方案。因此我们实现的是实现的是LNSLNS(L2TPL2TP网络服务器)网络服务器)自愿隧道建立步骤自愿隧道建立步骤1.1. 客户端发起到客户端发起到LNSLNS的的L2TPL2TP隧道连接请求隧道连接请求2.2
11、. LNSLNS对客户端进行认证对客户端进行认证 3.3. 认证通过后,客户端与认证通过后,客户端与LNSLNS之间建立之间建立L2TPL2TP隧隧道连接道连接 4.4. 客户端再次发起到客户端再次发起到LNSLNS的的PPPPPP连接请求连接请求 5.5. LNSLNS利用利用PPPPPP认证来确认用户,然后分配私认证来确认用户,然后分配私网网IPIP地址地址 6.6. LNSLNS与客户端之间的与客户端之间的PPPPPP会话建立会话建立 自愿隧道研究实例自愿隧道研究实例ge0:192.168.5.1/16Internetge1:11.1.2.2/24ge2:2.2.2.1/24ge1:14
12、.1.2.2/24ge0:13.1.1.1/24Win2000 ServerL2TP 客户端客户端2.2.2.253/24 LNS SmartHammerG503Linux Server13.1.1.2/24VPNVPN隧道自愿隧道的配置自愿隧道的配置aaa test accounting server 2.2.2.253 1813 test authentication server 2.2.2.253 1812 test source-ip 2.2.2.1ppp-profile test aaa-group test authentication chap address local 17
13、.1.1.1/16 address pool dhcp /address pool local 0 echo-time 1800 idle-time 1800 account-interval 60 dns 202.99.8.1 10.1.0.4 wins 10.1.0.4subscriber-template l2tp test ppp profile wmj listen address 2.2.2.1 hello-time 60 receive-window 6vpdn enable l2tp subscriber-template test dhcp share-net test su
14、bnet 17.1.1.1/16 share-net test router 17.1.1.1 share-net test 17.1.1.10 17.1.1.100 600 ip pool 0 17.1.1.2 100LNSLNS的相关调试命令的相关调试命令 debug l2tp debug ppp show ppp user show l2tp tunnel show l2tp session show vpdnL2TP报文封装格式报文封装格式L2TPL2TP强制隧道模式流程强制隧道模式流程三层隧道协议三层隧道协议 IPSecIPSec密码学简介密码学简介对称密码算法 加密密钥能够从解密密
15、钥中推算出来,反过来也成立 在大多数对称密码算法中,加/解密密钥是相同的加密加密解密解密密文明文原始明文密钥密钥对称密码算法的特点 1:同一个密钥既用来加密也用于解密 2:对称加密速度快 3:对称加密得到的密文是紧凑的 4:因为接受者需要对称密钥,所以对称加密容易受到中途拦截 窃听的攻击 典型的对称密码算法 1:DES 2:3DES非对称密码算法非对称密码算法 用作加密的密钥不同于作解密的密钥,而且解密的密钥不能根据加密的密钥计算出来 加密加密解密解密密文明文原始明文加密密钥解密密钥非对称密码算法的特点非对称密码算法的特点 1:使用非对称密码技术时,用一个密钥(公钥或私钥)加密的数据 只能用另
16、一个密钥(私钥或公钥)来解密 2: 不必发送密钥给接收者,所以非对称加密不必担心密钥被中途 拦截的问题 3: 非对称加密速度较慢 4: 非对称加密会导致得到的密文变长典型的非对称密码算法典型的非对称密码算法 RSA散列函数:接受一大块的数据并将其压缩成最初数据的一个摘要(digest)散列函数用于认证典型的散列函数1:MD5 2:SHA-1 IPSecIPSec概述概述IPSec在IP层为对等体间(peer,需要对数据流进行处理的路由器或主机)提供了数据机密性、数据完整性和数据来源鉴别保护,IPSec可被用来在IPSec对等体间保护一种或多种数据流。IPSec有两个基本目标: 1)保护IP数据
17、包安全 2)为抵御网络攻击提供防护措施提示提示: :IPSecIPSec并不是一个协议,而是一整套安全体系结构并不是一个协议,而是一整套安全体系结构 。IPSec VPNIPSec VPN的类型的类型 IPSec VPN试图解决的两个主要设计问题试图解决的两个主要设计问题 1:为把两个专用网络组合成一个虚拟网络的无缝连接:为把两个专用网络组合成一个虚拟网络的无缝连接 2:将虚拟网络扩展成允许远程访问用户(:将虚拟网络扩展成允许远程访问用户(road warriors)成为可信网络的一部分成为可信网络的一部分 基于两个设计的基础上,基于两个设计的基础上,IPSec VPN可以被分为两类可以被分为
18、两类 1: LAN-to-LAN IPSec实现(也被称为实现(也被称为site-to-site VPN) 2: 远程访问客户端远程访问客户端IPSec实现实现 IPSecIPSec的组成的组成IPSecIPSec结合了三个主要的协议从而组成了一个和谐的安全框架结合了三个主要的协议从而组成了一个和谐的安全框架 Internet Internet 密钥交换密钥交换( (IKE)IKE)协议协议 - -提供协商安全参数和创建认证密钥的框架 ESP(ESP(封装安全载荷封装安全载荷) ) - -提供加密、认证和保护数据的框架 AH(AH(鉴别头鉴别头) ) - -提供认证和保护数据的框架IPSecI
19、PSec的两种工作模式的两种工作模式 隧道模式(隧道模式(tunneltunnel)可以对IP头和IP数据进行加密认证,即协议使IP包通过隧道传输 传输模式传输模式 (transporttransport) 可以对IP数据进行加密认证,即协议为高层提供基本的保护提示提示: :传输模式应用于端到端的会话,隧道模式被应用于任何其他情况下传输模式应用于端到端的会话,隧道模式被应用于任何其他情况下 流量10.6.1.2/3210.8.1.2/32使用两个路由器之间的隧道模式 流量10.1.1.1/3210.1.2.1/32使用两个路由器之间的传输模式Internet10.1.1.1/3210.1.2.
20、1/3210.6.1.2/3210.8.1.2/32传输模式传输隧道模式模式AH AH 和和 ESP ESP 简介简介AH AH (IPIP头部认证)头部认证)为对等体间传送的数据报提供认证(鉴别)、完整性保护和抗重播服务这是通过对数据报应用带密钥的散列函数创建消息摘要而实现的ESP ESP (封装安全负载封装安全负载 )为对等体间传送的数据报提供加密、认证、完整性保护和抗重播服务提示提示: :AHAH和和ESPESP虽然都可以进行完整性认证,但是由于认证的区域不一样虽然都可以进行完整性认证,但是由于认证的区域不一样所以二者不能相互替代所以二者不能相互替代。IPSecIPSec报文格式报文格式
21、隧道模式的隧道模式的AHAH报文报文隧道模式的隧道模式的ESPESP报文报文隧道模式的隧道模式的AHAH、ESPESP混合报文混合报文IPSec SAIPSec SA简介简介安全联盟SA,是构成IPsec的基础,是两个通信实体经协商建立起来的一种协定,它决定了用来保护数据包安全的IPsec协议(AH或ESP)、算法、密钥以及密钥的有效存在时间等SA是单方向的,在对等体A、B之间有两条SA,一条AB,另一条BA。IPSec通过SPI、工作方式、安全协议、数据流的目的地址唯一标示一条SA。SA可以手工建立也可以动态建立安全联盟安全联盟( (SA)SA)的参数的参数目的地址192.168.2.1安全
22、参数索引(SPI)7A390BC1IPSec变换AH,HMAC-MD5密钥7572CA7890FF16其他SA属性(例如,生命周期 )3600秒或100MBSASA参数示例参数示例外出方向 esp sa: SPI:0 x12345A 变换:esp-des 工作方式:Tunnel 加密图: mymap sa定时: (kb/sec)入方向esp sa: SPI:0 x12345A 变换:esp-des 工作方式:Tunnel 加密图: mymap sa定时: (kb/sec)外出方向 esp sa: SPI:0 x67890B 变换:esp-des 工作方式:Tunnel 加密图: mymap s
23、a定时: (kb/sec)入方向esp sa: SPI:0 x67890B 变换:esp-des 工作方式:Tunnel 加密图: mymap sa定时: (kb/sec)SmartHammerASmartHammerBIKEIKE概述概述IKEIKE在在IPSecIPSec协议中负责以下内容协议中负责以下内容 协商协议参数协商协议参数 交换公共密钥交换公共密钥 对双方进行认证对双方进行认证 在交换后对密钥进行管理在交换后对密钥进行管理提示提示: :IKEIKE或或Internet Internet 密钥交换协议是负责在两个密钥交换协议是负责在两个IPSecIPSec对等体对等体间协商一条间协
24、商一条IPSecIPSec隧道的协议隧道的协议SASA的建立的建立SASA的建立分为两个阶段:的建立分为两个阶段: ISAKMP SAISAKMP SA(一阶段一阶段SASA) IPSEC SA IPSEC SA(二阶段二阶段SASA)第一阶段,协商创建一个通信信道第一阶段,协商创建一个通信信道( (ISAKMP SA)ISAKMP SA),并对并对该信道进行验证,为双方进一步的该信道进行验证,为双方进一步的IKEIKE通信提供机密通信提供机密性、消息完整性以及消息源验证服务;性、消息完整性以及消息源验证服务;第二阶段,使用已建立的第二阶段,使用已建立的IKE SAIKE SA建立建立IPSe
25、c SAIPSec SA。提示提示: :一个一个ISAKMP SAISAKMP SA可以用于建立多个可以用于建立多个IPSec SAIPSec SA。IKE策略参数策略参数参数可接受的值关键词缺省值消息加密算法DES3DESdes3des3des消息完整性(散列)算法MD5SHA-1md5shamd5对等体鉴别方法 预共享密钥RSA加密的随机数RSA签名pre-sharersa-encrrsa-sigpre-share密钥交换参数768bit D-H1024bitD-H12768bit Diffie-HellmanIKE SA的存活时间可以是任何秒数无3600IKE协商过程协商过程L2TPL2
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- VPN 培训资料 防火墙 88
限制150内