[网络安全四]虚拟专用网络基础

1. VPN概述

●定义：VPN（虚拟专用网络，Virtual Private Network）是指将物理上分布在不同地点的网络通过公用网络连接成逻辑上的虚拟子网，并采用认证、访问控制、保密性、数据完整性等在公用网络上构建专用网络的技术，使得数据通过安全的“加密管道”在公用网络中传输。（公用网通常指Internet）

●特点：VPN使得企业通过互联网既安全又经济地传输私有的机密信息成为可能。

（1）安全保障：在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接，称为建立一个隧道。可以利用加密技术对经过隧道传输的数据进行加密，以保证数据只被指定的发送者和接受者了解，从而保证数据的私有性和安全性。

（2）费用低

（3）服务质量保证（QoS）：

－VPN应当为企业数据提供不同等级的服务质量保证。（连接、覆盖性、稳定性、网络时延、误码率等）

－网络优化：充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。通过流量预测与流量控制策略实现带宽管理。

（4）可扩充性和灵活性

（5）可管理性：安全管理、设备管理、配置管理、访问控制列表管理和QoS管理等。

●系统组成

VPN服务器：接受来自VPN客户机的连接请求；

VPN客户机：可以是终端计算机，也可以是路由器；

隧道：数据传输通道，在其中传输的数据必须经过封装；

VPN连接：在VPN连接中，数据必须经过加密；

隧道协议：封装数据、管理隧道的通信标准；

传输数据：经过封装、加密后在隧道上传输的数据；

公共网络：如Internet，也可以是其他共享型网络。

2. VPN关键技术

（1）隧道技术－隧道由隧道协议形成，常用的有第2、3层隧道协议。

（2）密码技术：加解密技术；身份认证技术；密钥管理技术。

（3）QoS技术

 

3. 隧道技术

对通过隧道的数据进行处理的两个基本过程：加密和封装。

－第二层隧道协议：首先把各种网络协议封装到数据链路层的PPP帧中，再把整个PPP帧装入隧道协议中。这种双层封装方法形成的数据包依靠第二层协议进行传输。（如：PPTP[点到点隧道协议]；L2F[第二层转发协议]；L2TP[第二层隧道协议]）

－第三层隧道协议：把各种网络协议直接装入隧道协议中，封装的是网络层协议数据包。（如：GRE[通用路由封装协议]和IPSec[IP层安全协议]。IPSec的应用最为广泛，是事实上的网络层安全标准。）

 

4. QoS技术

网络管理员通常基于一定的策略机制（策略数据、策略决定点、策略加强点以及策略协议）进行QoS配置。

SNMP（简单网络管理协议，Simple Network Management Protocol）：常用的策略协议。

 

5. VPN的分类（Access VPN和网关-网关的VPN连接）

（1）远程访问/移动用户的VPN连接/Access VPN

实现用户安全的远程访问（企业内部人员的移动、远程办公需要，或商家提供B2C的安全访问服务）

核心技术：第二层隧道技术（优缺点：简单、易行，但是可扩展性不好。）

（2）网关-网关的VPN连接

组建安全的内联网（Intranet VPN，企业内部各个分支机构的互连）或企业外联网（Extranet VPN，企业合作者之间的互连）

核心技术：主要使用IPSec协议（第三层隧道技术）来建立加密传输数据的隧道。

 

思考题：对“Intranet与Extranet的区别在于后者往往结合PKI使用”的理解。

答：由于登陆到VPN服务器上的用户可以直接访问企业内部的资源，所以许多VPN系统不但对用户权限加以限定，并对登陆的用户增加了严格的身份认证，防止不法人员侵入系统。基于PKI的证书技术，可以保证服务器端和用户端的双向认证。所以企业内部互联（Intranet）的话还可以使用一般的认证技术，企业外部互联（Extranet）的话，就要使用到PKI了。

 

6. IPSec架构

●IPSec基本概念

IPSec是提供网络层通信安全的一套协议簇；IPSec只是一个开放的结构，通过在主IP报头后面接续扩展报头，为目前流行的数据加密或认证算法的实现提供统一的数据结构。

●IPSec的内容：

协议部分，分为：－AH（认证头，Authentication Header）： 提供完整性保护和抗重放攻击；

－ESP（封装安全载荷，Encapsulating Security Payload）：提供机密性、完整性保护和抗重放攻击；

密钥管理（Key Management）： －SA（Security Association）

－ISAKMP定义了密钥管理框架

－IKE（Internet Key Exchange，互联网密钥交换协议）是目前正式确定用于IPSec的密钥交换协议

 

7. ESP机制

ESP机制通过将整个IP分组或上层协议部分（即传输层协议数据）封装到一个ESP载荷之中，然后对此载荷进行相应的安全处理，如加密处理、认证处理等，实现对通信的机密性或/和完整性保护。

加密算法和认证算法由SA指定。

根据ESP封装的载荷内容不同，将ESP分为两种模式：

（1）传输（transport）模式：将上层协议部分封装到ESP载荷之中；（端到端之间，也就是两个主机之间建立的模式）

优点：① 内网的其他用户也不能理解通信主机之间的通信内容。② 分担了IPSec处理负荷。

缺点：① 不具备对端用户的透明性，用户为获得ESP提供的安全服务，必须付出内存、处理时间等代价。

② 不能使用私有IP地址。③ 暴露了子网的内部拓扑。

 

（2）隧道（tunnel）模式：将整个IP分组封装到ESP载荷之中。（网关和网关之间）

优点：① 保护子网中的所有用户都可以透明地享受由安全网关提供的安全保护。

② 子网内部可以使用私有IP地址。③ 子网内部的拓扑结构受到保护。

缺点：① 增大了安全网关的处理负荷，容易形成通信瓶颈。② 对内部的诸多安全问题将不可控。

 

8. AH

为IP包提供数据完整性、数据源身份认证和抗重放攻击服务。与ESP的区别：不提供数据的机密性的保护

认证算法由SA指定。认证的范围：整个包

两种认证模式：

（1）传输模式：不改变IP地址，插入一个AH

（2）隧道模式：生成一个新的IP头，把AH和原来的整个IP包放到新IP包的净荷数据中

 

9. SA

通过安全联盟（SA，Security Association）描述IPSec数据封装的安全参数。

一个关联就是发送与接收者之间的一个单向关系，是与给定的一个网络连接或一组网络连接相关联的安全信息参数集合。如果需要一个对等关系，即双向安全交换，则需要两个SA。

 

作用：在IPSec通信双方之间通过协商建立起共享安全参数及验证过的密钥，IKE代表IPSec对SA进行协商，并对SADB进行填充。

 

10. IKE

基于ISAKMP框架。IKE协商的最终结果：一个通过验证的密钥，以及建立双方共享的安全服务参数集合（产生IPSec的SA）。

 

 

--本资料由heki总结整理