《VPN技术》PPT课件.ppt
《《VPN技术》PPT课件.ppt》由会员分享,可在线阅读,更多相关《《VPN技术》PPT课件.ppt(57页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、主讲老师主讲老师:钱朝阳钱朝阳第第3讲讲技术技术3.1讲技术讲技术概述的工作原理的遂道技术的密钥管理怎样组建VPN网络Windows环境下配置VPN3.1讲技术讲技术概述概述3.1讲讲概述概述简介、是企业网在互联网和各种公共网上的延伸、通过一个私有的通道建立一个私有的链接,将移动、远程用户,公司和公司的分支机构,公司的合作伙伴等与企业网连接起来,形成一个扩展的公司企业网、提供高性能,低成本的企业网。其本质就是共享网络环境下建立的安全“隧道”连接,数据包在“隧道”中传输。3.1讲讲VPN的定义的定义VPN的定义:是指依靠ISP在公用网络基础设施之上构建的专用的数据通信网络,这里所指的公用网络有多
2、种,包括IP网络、帧中继网络和ATM网络。虚拟、专用、安全是其三大特点。3.1讲讲 VPN的构成的构成IP网络ISP二层隧道三层隧道VPN网关VPN网关局域网局域网远程用户的安全性的安全性3.1讲讲3.1讲端到端数据通路中存在的风险讲端到端数据通路中存在的风险拨入端数据泄露的风险在因特网上数据泄露的风险安全网关中数据泄露的风险内部网络中数据泄露的风险3.1讲拨入端的数据风险讲拨入端的数据风险拨入段数据以明文方式传送给直接3.1讲拨入端的数据风险讲拨入端的数据风险攻击者可以很容易的在拨入链路上实施窃听。很容易检查用户数据。可以使用链路加密来防止被动窃听,但无法防止恶意窃取数据的。3.1讲因特网上
3、数据传输的风险讲因特网上数据传输的风险数据在到达终点时要经过多个路由器,明文传送的报文在路由器上很容易被查看和修改监听者可以在其中任何一段路上进行监听逐段加密不能防范在路由器上查看报文,因为路由器需要解密报文查看路由信息,然后再重新加密发送。恶意的可以修改通道的终点到一个假冒的网关.3.1讲安全网关中数据传输的风险讲安全网关中数据传输的风险数据在安全网关中是明文的,因而网关的管理员可以直接查看机密报文。网管本身可能会受到攻击,一旦被攻破,经过安全网关的数据将面临危险。3.1讲内网中数据传输的风险讲内网中数据传输的风险内网中可能存在着不信任的主机或路由器。内部网络可以窃听、篡改、重定向企业内部网
4、数据报文。来自企业内部员工的其它攻击方式。3.1讲随处可能发生的数据泄露讲随处可能发生的数据泄露拨号段链路上ISP的接入设备上在因特网上在安全网关上在企业网内部3.1讲的功能讲的功能数据机密性保护数据完整性保护数据源身份认证重放攻击保护3.1讲讲VPN核心技术核心技术隧道技术(IPSEC、PPTP、L2TP)加密/解密技术(对称和非对称)钥匙管理技术(IKE)用户认证技术(PAP、CHAP、RADIUS、TACAS)3.2讲技术讲技术 的工作原理的工作原理3.2讲数据机密性保护原理讲数据机密性保护原理以密文传送来保障数据不被窃取VPNVPN3.2讲数据机密性保护原理讲数据机密性保护原理PSTN
5、拨号路由器InternetDDN/FR/X.25VPNVPN明文传送密文传送内部网络隧道3.2讲数据完整性保护讲数据完整性保护使用VPN可以保证数据的完整性数据在途中被修改接收到修改后的数据VPNVPN发起接受3.2讲数据完整性保护讲数据完整性保护对原始数据包进行Hash对原始数据包进行加密摘要Hash加密后的数据包解密加密数据包摘要原始数据加密数据包摘要原始数据报Hash加密数据包摘要加密VPNVPNDDN/FR/X.25内部网络3.2讲数据源身份认证讲数据源身份认证VPNVPNBenAmyVPNI am Ben.I am Ben.Ben?3.2讲数据源身份认证讲数据源身份认证对原始数据包进
6、行Hash私钥加密摘要Hash取出DSS原始数据包 原始数据包摘要原始数据报Hash加密DSS将数字签名附加在原始数据包后面供对方验证原始数据包 原始数据包 DSS 摘要解密比较两摘要相同?通过验证得到数字签名VPNVPNDDN/FR/X.25内部网络3.2讲重放攻击保护讲重放攻击保护建立之初,序列号初始化为,使用该传递的第一个数据包序列号为,序列号不允许重复,当序列号达到最大时,就需要建立一个新的,使用新的密钥。这使得AH具有抵抗重放攻击能力。协议头协议头3.3讲技术讲技术 的遂道技术的遂道技术3.3讲隧道的相关知识讲隧道的相关知识隧道的定义:实质上是一种封装,将一种协议(协议X)封装在另一
7、种协议(协议Y)中传输,从而实现协议X对公用传输网络(采用协议Y)的透明性 隧道协议内包括以下三种协议乘客协议(Passenger Protocol)封装协议(Encapsulating Protocol)运载协议(Carrier Protocol)隧道协议例子3.3讲隧道协议类型讲隧道协议类型分类依据:被封装的数据在OSI的层次第二层隧道:PPTP(Microsoft,3COM,Ascend.)Point to Point Tunneling Protocol,点对点隧道协议L2F(Cisco,北电)Layer 2 Forwarding,二层转发协议L2TP(Microsoft,Ascend
8、,Cisco,3COM)Layer 2 Tunneling Protocol,二层隧道协议第三层隧道:IPSec协议概述协议概述和公司在协议基础上开发的协议就是支持型隧道实现的一种隧道传送方案。对协议本身并没有做任何修改,只是将用户的帧(对应于协议体系结构中的七层协议,协议为第二层即数据链路层规范)基于封装成报文,在中经隧道传送。传统上,执行以下的功能:是或的本地接口,控制着外部;是链路控制协议会话的逻辑终点;是鉴别协议的执行者;协议将上述功能分解成由两部分即(接入集中器)和(网络服务器)来分别执行。这样一来,拨号链路的终点就延伸至。协议正是利用了“功能的分解”这样的机制支持在上的实现。的将执
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- VPN技术 VPN 技术 PPT 课件
限制150内