首页 > > > VPN 虚拟私有网路技术概说(窄频).pdf

VPN 虚拟私有网路技术概说(窄频).pdf

VPN 虚拟私有网路技术概说(窄频).pdf

上传者: bacon 2011-11-17 评分1 评论0 下载31 收藏10 阅读量355 暂无简介 简介 举报

简介:本文档为《VPN 虚拟私有网路技术概说(窄频)pdf》,可适用于专题技术领域,主题内容包含VPN虛擬私有網路技術概說李倫銓講師CISSP、BSLA課程大綱第一章VPN概述第二章VPN技術介紹第三章VPN的應用與風險簡述第四章結論第一章VP符等。

VPN虛擬私有網路技術概說李倫銓講師CISSP、BSLA課程大綱第一章VPN概述第二章VPN技術介紹第三章VPN的應用與風險簡述第四章結論第一章VPN概述何謂VPNVPN種類VPN組成條件何謂VPNVPN虛擬私有網路VPN虛擬私有網路(VirtualPrivateNetwork)–利用穿隧(Tunneling)技術、加解密等安全技術在公眾網路(例如Internet)上建構出虛擬的私有網路(PrivateNetwork)以達到私有網路的安全與便利性。台中分公司高雄台北總公司Internet隧道(Tunnel)隧道(Tunnel)虛擬與穿隧何謂「虛擬」–虛擬是指此隧道並非實體上有專門的線路連接而是利用通信協定的技術所形成。何謂「穿隧」–穿隧(Tunneling)技術即是設法在兩個網路間或遠端使用者與內部網路間建立一個虛擬隧道跨越網際網路。為何需要使用VPN技術使用VPN可以以公眾網路的便宜價格享受專屬線路的安全。遠端使用者可藉由ISP提供的撥接網路不需長途撥接費用即可安全的連進公司內網。具備資料加密、確保資料完整性。傳統私有網路由訊框傳送(FrameRelay)或非同步傳輸模式(ATM,AsynchronousTransferMode)等技術提供固定虛擬線路(PVC,PermanentVirtualConnection)來連接各點。專線專用所以網路傳輸品質有一定的保障。業務要使用企業網路需使用長途撥接連到公司企業網路。台南分公司高雄分公司台中分公司台北總公司撥接公司自行架設撥接伺服器長途通信費用FrameRelayATM虛擬私有網路企業可利用現有網路接取方式訂做屬於自己的專屬網路並不需受限於傳統專線接取點位置。目前各大ISP已提供VPN服務企業不需自行設定自己VPN網路。台南分公司高雄分公司台中分公司台北總公司Framerelay接取ADSL雙向ATM接取撥接Internet備註:虛擬私有網路指的是建構在Internet上的企業專用私有網路而非FramerelayATM等所提供之固定虛擬線路(PVC)。VPN的優點應用更靈活–可使用已有之連線技術(如:ADSL、Cablemodem、FrameRelay、ATM)具有較佳的擴充性–擴點容易–更易依需求增加連線頻寬花費較低廉–設備投資成本較低–管理維護簡便虛擬私有網路與傳統私有網路的差異管理與維護較為不便備援性較差。管理與維護都方便涵蓋範圍廣管理架構調整與擴充彈性較差。具彈性擴充性使用專線擁有專屬頻寬取決於ISP的提供的線路品質以及線路擁塞程度通訊品質高專有線路高使用加密技術安全性高使用專線設備投資成本高。低使用網際網路通訊與設備費用傳統私有網路虛擬私有網路勝勝勝勝平平目前已有提供頻寬保證且便宜的VPN服務了!VPN服務目前國內各大ISP都有提供相關的VPN服務企業不必自行規劃VPN連線。–目前已整合多種網路接取方式(例如:FrameRelay、ATM、ADSL等)企業可選擇符合自己需求來連結自己的網路。–ADSLVPN服務所構成的企業VPN環境不但享有ADSL的經濟費率亦提供同樣的私密與安全性。VPN種類依使用方式來分類區網互連型VPN–如大企業中子公司之間可互相連接。遠端存取型VPN–提供業務在外仍可安全使用公司內部網路。路由器對路由器PC對遠端存取伺服器依據建置單位來區分客戶端設備VPN(CPEBasedVPN,CustomerPremisesEquipmentBasedVPN)–LTP協定、PPTP協定–IPSec協定–GRE封裝方式網路提供者提供VPN服務(ProviderBasedVPN或稱NetworkBasedVPN)–OSI第二層VPN:Framerelay、ATM–MPLS技術依據建立技術來分類FrameRelay技術內部網路內部網路公眾網路PVCATM技術MPLSPVCIP技術IPSec、PPTP、LTPMPLS技術LabelsVPN組成條件VPN主要採用四項原理技術穿隧技術(Tunneling)加解密技術(EncryptionDecryption)金鑰管理技術(Keymanagement)使用者與設備身分鑑別技術(Authentication)Tunneling穿隧技術穿隧技術就是在A、B兩個網路之間建立一個網路連線這個連線會將A網路裡的封包包在這個網路連線的封包裡送到B等封包送到B網路後再將其解開恢復成原來的樣子。ABTunnelTunneling穿隧技術資料(Payload)原始IP標頭(OriginalIPHeader)新IP標頭(NewIPHeader)資料(Payload)原始IP標頭(OriginalIPHeader)新的Payload加解密技術(EncryptionDecryption)VPN節點之間使用DES或DES這類對稱式加密法對隧道內容加密才能擁有較快的傳輸效能。VPN靠著使用非對稱式密碼技術來做身分確認或金鑰交換。金鑰管理技術(Keymanagement)由於VPN節點間仍需依靠金鑰管理技術來交換傳輸金鑰。–SKIP(SimpleKeyManagementforIP)技術•由SUN發展主要利用DiffieHellman演算法。–ISAKMPOakley技術•Oakley定義如何分辨及確認金鑰ISAKMP定義分配金鑰的方法亦為將來IPv與IPSEC的金鑰管理技術。使用者與設備身分鑑別技術(Authentication)使用者身分鑑別部分:–使用者名稱與密碼、IC卡鑑別、onetimepassword設備身分鑑別部分:–CA的X憑證–分享金鑰(Presharekey)第二章VPN協定技術VPN協定技術介紹PPTP協定LTP協定IPSEC協定MPLS技術SSLVPN技術各項協定技術比較VPN協定技術介紹常見之VPN協定技術與其應用範圍常見的五種VPN協定技術:–PPTP協定–LTP協定–IPSEC協定–MPLS技術–SSLVPN技術其中PPTP、LTP皆為第二層VPN協定而IPSEC為第三層VPN協定、MPLS則是結合了傳統路由技術與第二層標記交換技術的VPN技術能提供更好的效能。常見之VPN協定技術與其應用範圍IPSec是新一代IP加密協定。–也是IPv中的封包加密的標準。PPTP是基於PPP所設計的虛擬私有網路技術。LTP結合了LF與PPTP的優點而成為新一代的第二層虛擬私有網路的通道協定。MPLS技術是一個可以在多種第二層協定上進行標籤交換的網路技術不必改變現有的路由協定。SSLVPN由於方便成為目前極受歡迎的VPN技術。PPTP協定PointtoPointProtocol(PPP)最常見的撥接協定運作在OSI第二層可支援下列鑑別方式:–PAP、CHAP、MSCHAPv、RADIUS…具備加密與壓縮能力–RC、DES、DESPointtoPointTunnelingProtocol點對點穿隧協定(PPTP)PPTP是由Microsoft、COM等提出經IETF通過有Microsoft的全力支援微軟作業系統內建PPTP因此使用率相當高。是OSI第二層的穿隧協定。資料先封裝在PPP框架中然後再加上IP封裝。PPTPserverInternetPPTPClient撥接伺服器PPP連線TCP連線PPTPcontrolconnection(TCPport)IP封包遠端存取VPN如何減低成本computerserver企業的撥接伺服器LAN昂貴的長途撥接費用遠端使用者傳統遠端存取需撥接到企業提供的撥接伺服器便宜的Internet便宜的InternetLANcomputerPPTPserverISP端的撥接伺服器遠端使用者藉由LTP或PPTP利用近端ISP撥接伺服器再建立通道至企業網路。強迫隧道與自願隧道(CompulsorytunnelandVoluntarytunnel)PPTP有兩種使用架構PPTPRASServer撥接伺服器PPP遠端使用者(本身沒有PPTPclient程式)強迫隧道EthernetEthernetPPTPPPTPRASServer撥接伺服器遠端使用者(本身有PPTPclient程式)自願隧道EthernetEthernetPPTPPPTP封包格式GenericRoutingEncapsulation(GRE)–將一個Protocol封裝在另一個Protocol的規格加密方式–MicrosoftPointtoPointEncryption(MPPE)IPHeaderGREHeaderPPPIPTCPDataGREPayload(encrypted)CompulsarypptpPPTP用戶端設定方式LTP協定LTP協定封包檔頭比PPTP檔頭短。一個隧道可以容衲多個連線可降低頻寬負擔。LTP使用IPSec來替TCPIP傳輸加密(所以是一種LLVPN)。使用UDP來傳送ControlData封包。PPPPPTPLFLTP加加加加密密密密資料連結檔尾IPSecESP授權檔尾IPSecESP檔尾PPP資料PPP標頭LTP標頭UDP標頭IPSecESP標頭IP標頭資料連結標頭(IP、IPX、NetBEUI)LTP–強迫隧道企業內網Internet撥接網路遠端使用者撥接伺服器LTP伺服器IPIPXPayloadpppIPIPXPayload電話網路PSTNPPP在電話網路(PSTN)的封包格式LTPpppIPIPXPayloadLTP穿隧的封裝格式UDPIPLTPpppIPIPXPayloadUDPPortOverIPIPSEC協定IPSEC保障IP網路上的傳輸安全性。運作在OSI第三層(IPlayer)。提供多樣的設定組合安全連線。具備金鑰管理功能(Keymanagement)。也是下一代IP協定(IPv)的安全功能。IPSEC的模式AH模式(AuthenticationHeader)–只有確認封包的完整性與不可否認性的功能。ESP模式(EncapsulatingSecurityPayload)–定義加密的標準與封包的完整性擁有驗證和加密的功能。IPheaderAuthHeaderOthersUpperprotocol套用ESP之前OrigIPHdrTCPUDPDataOrigIPHdrTCPUDPData套用TransportmodeESP之後OrigIPHdrTCPUDPDataOrigIPHdrTCPUDPDataESPHdrESPtrlrESPauth傳輸模式與隧道模式(TransportmodeTunnelmode)支援兩種封裝模式傳輸模式(Transportmode)–將封包加上檢查標頭隧道模式(Tunnelmode)–將整個封包封裝內部網路內部網路內部網路內部網路Internet企業內網企業內網企業內網企業內網企業內網企業內網企業內網企業內網將兩主機之間的連線進行加密將兩網路之間的通訊全部加密IPSEC的運作原理SecurityAssociations(SA)–一個連線中所含的一組安全服務。所以在建立了一個IP連線時任何的AH或是ESP功能都定義為一個獨立的SA。–SA包含下列內容•安全參數索引(SPI,SecurityParameterIndex)、目標IP位址、安全協定等…IPSEC的金鑰管理機制–InternetKeyExchange(IKE)•ISAKMPOAKLEY–ISAKMP只是平台架構(framework)–OAKLEY是ISAKMP所使用的金鑰交換技術–OAKLEY改良了一些DiffieHellman所沒有的安全機制MPLS技術MPLS多重協定標籤交換技術MPLS多重協定標籤交換技術(MultiProtocolLabelSwitching)為新一代確保網路通訊品質的通訊協定。–MPLS結合了IP、ATM與FrameRelay等網路架構的優點可運作在這些網路架構之上。–能依需求提供服務品質保證(QoS)解決原本IPVPN無法有效提供QoS保證的缺點。–目前應用於IP網路之上如IPVPN(VirtualPrivateNetwork)網路上加上MPLS的功能為目前當紅之應用。MPLS多重協定標籤交換技術運作原理路由器路由表(IProutingtable)MPLS標籤交換表(Labelforwardingtable)支援MPLS的路由器SSLVPN技術SSLVPN技術SSL為SecureSocketLayer的簡稱。適用於遠端存取型VPN。由於SSLVPN設定比IPSEC、PPTP來得簡易因此成為近幾年當紅的VPN存取技術。簡易的SSLVPN用戶端不需安裝軟體利用瀏覽器介面便可連線至企業內網。缺點:由於基於SSL並非所有IP層的應用程式都可使用。另一種SSLVPN–SoftEther軟體日本大學生所研發可將主機通訊藉由SSL對外連線。–藉由SSL通訊將兩部或多部主機連接。彷彿位於同一區域網路(虛擬Hub)電腦A、B、C彼此彷彿就像內網主機一般防火牆防火牆SSL通訊SSL通訊外界伺服主機(SoftetherHub)各項VPN協定技術比較各項VPN協定技術比較表SecureSocketLayerOSI第和層OSI第層OSI第和層OSI第層運作階層由於建構於SSL並不是所有程式都支援使用瀏覽器設定最簡便SSLVPN需經由ISP業者提供服務無加密措施基於IPbased的交換技術,為目前最常見之serviceproviderVPN技術傳輸速度快MPLS僅運作在OSI第層(IP層)擁有完整規格為下一代網路IPv之加密標準IPSEC需要設定使用者端軟體適用遠端存取IP部分使用IPSEC加密由LF與PPTP改進而來每個隧道能支援多個連線LTP標頭檔過大每個隧道僅能支援一個連線適用遠端存取由MS推廣Windows系統內建PPTPclientPPTP缺點優點第三章VPN的應用與風險簡述VPN的應用與風險GSNVPN介紹VPN的應用與風險VPN的應用建構企業、政府機關網路。應用於企業專屬電話網路、視訊會議。遠距教學、遠距醫療。VPN的應用實例台中分公司台北總公司視訊會議FR專線ATM專線InternetVPDN上海分公司視訊會議中國電信網路高雄分公司遠距教學企業電話網路MPLSIPVPN雙向ADSLATUR遠端使用者VPN的風險說明VPN並非完全安全的封閉網路–一旦網路蠕蟲進入VPN內部網路仍可在內部造成危害。例如:筆記型電腦夾帶的病毒或蠕蟲–由於VPN仍會對外連接Internet現在常見的Email木馬藉由使用者收信行為進入內網亦成為VPN內網最大威脅之一。VPN所開啟的遠端撥接伺服器需進行定期稽核與管理避免駭客盜取帳號後藉此取得進入企業內網的能力。目前許多用戶藉由ADSL接取方式連上企業VPN一旦連線帳號被盜用亦可讓駭客進入企業內網。GSNVPN介紹GSNVPN簡介GSN(GovernmentServiceNetwork政府網際服務網)為了推動電子化政府由行政院研考會推動為國內各政府機關建構安全的網路環境。GSNVPNHiNetInternetTANETSeedNet政府機關政府機關GSNVPN特色頻寬保證安全管理可靠度分布廣、時效快彈性大提供網管功能GSNVPN政府機關政府機關鄉鎮區公所GSN應用實例某政府機構下共有兩個所屬單位分別藉由ADSL連上GSN網路並統一由該政府機關連接上Internet透過防火牆與入侵偵測系統來保護整個內部網路。GSNVPN所屬機關所屬機關ADSLInternet主管機關防火牆入侵偵測系統主管機關之主機專屬的VPN環境第四章結論結論虛擬私有網路利用穿隧、加解密等安全技術在公眾網路上建構出安全的虛擬的私有網路。為了解決TCPIP傳輸安全問題IPsec成為VPN解決方案之一也是下一代IPv網路的安全標準。MPLSVPN是基於MPLS網路的VPN架構在年IETF公佈MPLS標準之後公認成下一代網路基礎協定。結論(續)PPTP是針對移動式使用者需求而由於微軟在作業系統內建PPTP使得PPTP成為遠端存取型VPN最常用的通訊協定。目前Web應用程式已成為趨勢加上移動員工與在家辦公人員的增加因此SSLVPN成為另一股與IPSECMPLSVPN市場互補的發展力量。課程結束

精彩专题

热门资料

Value Vectors.doc

数字图像处理(英文版).pdf

数字图像处理.pdf

图像处理分析与机器视觉(第二版)中译本.pdf

该用户的其他资料

  • 名称/格式
  • 评分
  • 下载次数
  • 资料大小
  • 上传时间

用户评论

0/200
    暂无评论
上传我的资料

相关资料换一换

资料评价:

/ 63
所需积分:0 立即下载
返回
顶部
举报
资料
关闭

温馨提示

感谢您对爱问共享资料的支持,精彩活动将尽快为您呈现,敬请期待!