虛擬專用網絡（VPN）技術目標：了解VPN概念及基本功能掌握VPN的工作協議了解VPN的分類了解SSLVPN的概念與作用

1VPN技術概述虛擬專用網（VirtualPrivateNetwork，VPN）被定義為通過一個公用網絡（通常是因特網）建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定的隧道。

1.1VPN的概念

VPN依靠ISP（Internet服務提供商）和其他NSP（網絡服務提供商），在公用網絡中建立專用的數據通信網絡的技術。在虛擬專用網中，任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路，而是利用某種公眾網的資源動態組成的。

VPN是對企業內部網的擴展。一般以IP為主要通訊協議。

1VPN技術概述

VPN是在公網中形成的企業專用鏈路。采用“隧道”技術，可以模仿點對點連接技術，依靠Internet服務提供商(ISP)和其他的網絡服務提供商(NSP)在公用網中建立自己專用的“隧道”，讓數據包通過這條隧道傳輸。對于不同的信息來源，可分別給它們開出不同的隧道。

1.1VPN的概念(續)1VPN技術概述

隧道是一種利用公網設施，在一個網絡之中的“網絡”上傳輸數據的方法。隧道協議利用附加的報頭封裝幀，附加的報頭提供了路由信息，因此封裝后的包能夠通過中間的公網。封裝后的包所途經的公網的邏輯路徑稱為隧道。一旦封裝的幀到達了公網上的目的地，幀就會被解除封裝并被繼續送到最終目的地。

1.1VPN的概念(續)①隧道開通器(TI)；②有路由能力的公用網絡；③一個或多個隧道終止器(TT)；④必要時增加一個隧道交換機以增加靈活性。隧道基本要素1VPN技術概述1.2VPN的基本功能

VPN的主要目的是保護傳輸數據，是保護從信道的一個端點到另一端點傳輸的信息流。信道的端點之前和之后，VPN不提供任何的數據包保護。VPN的基本功能至少應包括：1）加密數據。以保證通過公網傳輸的信息即使被他人截獲也不會泄露。2）信息驗證和身份識別。保證信息的完整性、合理性，并能鑒別用戶的身份。3）提供訪問控制。不同的用戶有不同的訪問權限。4）地址管理。VPN方案必須能夠為用戶分配專用網絡上的地址并確保地址的安全性。5）密鑰管理。VPN方案必須能夠生成并更新客戶端和服務器的加密密鑰。6）多協議支持。VPN方案必須支持公共因特網絡上普遍使用的基本協議，包括IP、IPX等。1VPN技術概述1.3VPN的特性安全性隧道、加密、密鑰管理、數據包認證、用戶認證、訪問控制可靠性硬件、軟件、基礎網絡的可靠性可管理性記帳、審核、日志的管理是否支持集中的安全控制策略可擴展性成本的可擴展性，如使用令牌卡成本高性能，是否考慮采用硬件加速加解密速度1VPN技術概述1.3VPN的特性(續)可用性系統對應用盡量透明對終端用戶來說使用方便互操作性盡量采用標準協議，與其他供應商的設備能互通服務質量QoS通過Internet連接的VPN服務質量很大程度取決于Internet的狀況多協議支持2VPN協議

VPN主要采用以下四項技術來保證安全：◆隧道技術◆加解密技術

◆密鑰管理技術◆使用者與設備身份認證技術2.1VPN安全技術

加解密技術、密鑰管理技術、使用者與設備身份認證技術，VPN只是對這幾種技術的應用。下面重點介紹隧道技術2VPN協議2.2VPN的隧道協議

VPN中的隧道是由隧道協議形成的，VPN使用的隧道協議主要有三種：點到點隧道協議（PPTP）、第二層隧道協議（L2TP）以及IPSec。PPTP和L2TP集成在windows中，所以最常用。PPTP協議允許對IP、IPX或NetBEUI數據流進行加密，然后封裝在IP包頭中通過企業IP網絡或公共因特網絡發送。L2TP協議允許對IP，IPX或NetBEUI數據流進行加密，然后通過支持點對點數據報傳遞的任意網絡發送，如IP，X.25，幀中繼或ATM。IPSec隧道模式允許對IP負載數據進行加密，然后封裝在IP包頭中通過企業IP網絡或公共IP因特網絡如Internet發送。2VPN協議2.2VPN的隧道協議NSRC、NDST是隧道端點設備的IP地址公網上路由時僅僅考慮NSRC、NDST原始數據包的DST、SRC對公網透明DSTSRCDATANDSTNSRCDSTSRCDATA2VPN協議2.2VPN的隧道協議Point-to-PointTunnelProtocol,2層協議，需要把網絡協議包封裝到PPP包，PPP數據依靠PPTP協議傳輸PPTP通信時，客戶機和服務器間有2個通道，一個通道是tcp1723端口的控制連接，另一個通道是傳輸GREPPP數據包的IP隧道PPTP沒有加密、認證等安全措施，安全的加強通過PPP協議的MPPE(MicrosoftPoint-to-PointEncryption)實現windows中集成了PPTPServer和Client，適合中小企業支持少量移動工作者如果有防火墻的存在或使用了地址轉換，PPTP可能無法工作1．點到點隧道協議（PPTP）2VPN協議2.2VPN的隧道協議把網絡數據包封裝在PPP協議中，PPP協議的數據包放到隧道中傳輸L2TPRFC2661定義在Cisco公司的L2F和PPTP的基礎上開發windows中集成2．第二層隧道協議（L2TP）2VPN協議2.2VPN的隧道協議3．IPSec協議3層協議，直接傳輸網絡協議數據包基于TCP/IP的標準協議，集成到IPv6中，僅僅傳輸IP協議數據包提供了強大的安全、加密、認證和密鑰管理功能適合大規模VPN使用，需要認證中心（CA）來進行身份認證和分發用戶的公共密鑰

IPSec數據包的格式

2VPN協議2.2VPN的隧道協議3．IPSec協議(續)

IPSec的工作模式傳輸模式：只對IP數據包的有效負載進行加密或認證。此時，繼續使用以前的IP頭部，只對IP頭部的部分域進行修改，而IPSec協議頭部插入到IP頭部和傳輸層頭部之間。隧道模式：對整個IP數據包進行加密或認證。此時，需要新產生一個IP頭部，IPSec頭部被放在新產生的IP頭部和以前的IP數據包之間，從而組成一個新的IP頭部。2VPN協議2.2VPN的隧道協議3．IPSec協議(續)

IPSec的三個主要協議SA(SecurltyAssociation安全關聯)。所謂安全關聯是指安全服務與它服務的載體之間的一個“連接”。AH和ESP都需要使用SA，而IKE的主要功能就是SA的建立和維護。只要實現AH和ESP都必須提供對SA的支持。

1）ESP（EncapsulatingSecurityPayload）。ESP協議主要用來處理對IP數據包的加密。ESP是與具體的加密算法相獨立的，幾乎支持各種對稱密鑰加密算法，默認為3DES和DES。

2）AH(AuthenticationHeader)。AH只涉及到認證，不涉及到加密。3）IKE(InternetKeyExchange)。IKE協議主要是對密鑰交換進行管理，它主要包括三個功能：①對使用的協議、加密算法和密鑰進行協商；②方便的密鑰交換機制(這可能需要周期性的進行)；③跟蹤對以上這些約定的實施。2VPN協議2.3IPSecVPN系統的組成

IPSecVPN的實現包含管理模塊、密鑰分配和生成模塊、身份認證模塊、數據加密/解密模塊、數據分組封裝/分解模塊和加密函數庫幾部分組成。3VPN的類型

VPN的分類方法比較多，實際使用中，需要通過客戶端與服務器端的交互實現認證與隧道建立?；诙?、三層的VPN，都需要安裝專門的客戶端系統（硬件或軟件），完成VPN相關的工作。一個VPN解決方案不僅僅是一個經過加密的隧道，它包含訪問控制、認證、加密、隧道傳輸、路由選擇、過濾、高可用性、服務質量以及管理VPN系統大體分為4類專用的VPN硬件支持VPN的硬件或軟件防火墻VPN軟件VPN服務提供商3VPN的類型3.1按VPN的應用方式分類

VPN從應用的方式上分，有兩種基本類型：撥號式VPN與專用式VPN。

撥號VPN分為兩種：在用戶PC機上或在服務提供商的網絡訪問服務器(NAS)上。

專用VPN有多種形式。IPVPN的發展促使骨干網建立VPN解決方案，形成了基于MPLS的IPVPN技術。MPLSVPN的優點是全網統一管理的能力很強，由于MPLSVPN是基于網絡的，全部的VPN網絡配置和VPN策略配置都在網絡端完成，可以大大降低管理維護的開銷。3VPN的類型3.2按VPN的應用平臺分類

VPN的應用平臺分為三類：軟件平臺、專用硬件平臺及輔助硬件平臺。

(1)軟件平臺VPN

當對數據連接速率要求不高，對性能和安全性需求不強時，可以利用一些軟件公司所提供的完全基于軟件的VPN產品來實現簡單的VPN功能。

(2)專用硬件平臺VPN

使用專用硬件平臺的VPN設備可以滿足企業和個人用戶對提高數據安全及通信性能的需求，尤其是從通信性能的角度來看，指定的硬件平臺可以完成數據加密及數據亂碼等對CPU處理能力需求很高的功能。提供這些平臺的硬件廠商比較多，如川大能士、Nortel、Cisco、3Com等。

(3)輔助硬件平臺VPN

這類VPN介于軟件平臺和指定硬件平臺之間，輔助硬件平臺的VPN主要是指以現有網絡設備為基礎，再增添適當的VPN軟件以實現VPN的功能。3VPN的類型3.3按VPN的協議分類

按VPN協議方面來分類主要是指構建VPN的隧道協議。VPN的隧道協議可分為第二層隧道協議、第三層隧道協議。第二層隧道協議最為典型的有PPTP、L2F、L2TP等，第三層隧道協議有GRE、IPSec等。

第二層隧道和第三層隧道的本質區別在于，在隧道里傳輸的用戶數據包是被封裝在哪一層的數據包中。第二層隧道協議和第三層隧道協議一般來說分別使用，但合理的運用兩層協議，將具有更好的安全性。

3VPN的類型3.4按VPN的服務類型分類

根據服務類型，VPN業務按用戶需求定義以下三種：InternetVPN、AccessVPN與ExtranetVPN。

1）InternetVPN（內部網VPN）。即企業的總部與分支機構間通過公網構筑的虛擬網。這種類型的連接帶來的風險最小，因為公司通常認為他們的分支機構是可信的，并將它作為公司網絡的擴展。內部網VPN的安全性取決于兩個VPN服務器之間加密和驗證手段上。3VPN的類型3.4按VPN的服務類型分類

2）AccessVPN（遠程訪問VPN）

又稱為撥號VPN(即VPDN)，是指企業員工或企業的小分支機構通過公網遠程撥號的方式構筑的虛擬網。典型的遠程訪問VPN是用戶通過本地的信息服務提供商(ISP)登錄到因特網上，并在現在的辦公室和公司內部網之間建立一條加密信道。3VPN的類型3.4按VPN的服務類型分類

3）ExtranetVPN（外聯網VPN）

即企業間發生收購、兼并或企業間建立戰略聯盟后，使不同企業網通過公網來構筑的虛擬網。它能保證包括TCP和UDP服務在內的各種應用服務的安全，如Email、HTTP、FTP、RealAudio、數據庫的安全以及一些應用程序如Java、ActiveX的安全。3VPN的類型3.5按VPN的部署模式分類

VPN可以通過部署模式來區分，部署模式從本質上描述了VPN的通道是如何建立和終止的，一般有三種VPN部署模式。

(1)端到端(End-to-End)模式

是典型的由自建VPN的客戶所采用的模式，最常見的隧道協議是IPSec和PPTP。

(2)供應商——企業(Provider-Enterprise)模式

隧道通常在VPN服務器或路由器中創建，在客戶前端關閉。在該模式中，客戶不需要購買專門的隧道軟件，由服務商的設備來建立通道并驗證。最常見的隧道協議有L2TP、L2F和PPTP。

(3)內部供應商(Intra-Provider)模式

服務商保持了對整個VPN設施的控制。在該模式中，通道的建立和終止都是在服務商的網絡設施中實現的?？蛻舨恍枰鋈魏螌崿FVPN的工作。4SSLVPN簡介

SSLVPN使用SSL和代理技術，向終端用戶提供對超文本傳送協議（HTTP）、客戶/服務器和文件共享等應用授權安全訪問的一種遠程訪問技術，因此不需要安裝專門客戶端軟件。SSL協議是在網絡傳輸層上提供的基于RSA加密算法和保密密鑰的用于瀏覽器與Web服務器之間的安全連接技術。

SSLVPN部署和管理費用低，在安全性和為用戶提供更多便利性方面，明顯優于傳統IPSecVPN。SSLVPN是建立用戶和服務器之間的一條專用通道，在這條通道中傳輸的數據是不公開的數據，因此必須要在安全的前提下進行遠程連接。

SSLVPN其安全性包含三層含義：一是客戶端接入的安全性；二是數據傳輸的安全性；三是內部資源訪問的安全性。SSLVPN支持Web應用的遠程連接，包括基于TCP協議的B/S和C/S應用，UDP應用。SSLVPN的關鍵技術有代理和轉發技術、訪問控制、身份驗證、審計日志。4.1SSLVPN的安全技術1．信息傳輸安全

1）通過瀏覽器對任何Internet可以連接的地方到遠程應用或數據間的所有通信進行即時的SSL加密。

2）安全客戶端檢測，有效保護您的網絡免受特洛伊、病毒、蠕蟲或黑客的攻擊。含防火墻、反病毒防護、Windows升級、Windows服務、文件數字簽名、管理員選擇注冊表、IP地址等多方面的檢測功能。2．用戶認證與授權

1）認證。誰被允許登錄系統，在遠程用戶被允許登錄前進行身份確認。包括標準的用戶名＋密碼方式、智能卡、RSA，還可使用CA證書。

2）授權。按角色劃分的權限訪問應用程序、數據和其他一些資源，在服務器端通過劃分組、角色和應用程序進行集中管理。

3）審計。隨時了解用戶做了什么訪問。對每位用戶的活動進行追蹤、監視并記錄日志。4SSLVPN簡介4.2SSLVPN的功能與特點1．SSLVPN的基本功能

SSLVPN是一款專門針對B/S和C/S應用的SSLVPN產品，具有以下完善實用的功能：

1）提供了基于SSL協議和數字證書的強身份認證和安全傳輸通道。

2）提供了先進的基于URL的訪問控制。

3）提供了SSL硬件加速的處理和后端應用服務的負載平衡。

4）提供了基于加固的系統平臺和IDS技術的安全功能。4SSLVPN簡介2．SSLVPN系統協議

由SSL、HTTPS、SOCKS這3個協議相互協作共同實現。3．SSLVPN的特點

1）安裝簡單、易于操作，無需安裝客戶端軟件。

2）具有認證加密、訪問控制、安全信息備份、負載平衡等功能。

3）使用標準的HTTPS協議傳輸數據，可以穿越防火墻，不存在地址轉換的問題，而且不改變用戶網絡結構，適合復雜應用環境。

4.3SSLVPN的工作原理SSLVPN的工作原理可用以下幾個步驟來描述：

1）SSLVPN生成自己的根證書和服務器操作證書。

2）客戶端瀏覽器下載并導入SSLVPN的根證書。

3）通過管理界面對后端網站服務器設置訪問控制。

4）客戶端通過瀏覽器使用HTTPS協議訪問網站時，SSLVPN接受請求，客戶端實現對SSLVPN服務器的認證。

5）服務器端通過口令方式認證客戶端。

6）客戶端瀏覽器和SSLVPN服務器端之間所有通信建立了SSL安全通道。4SSLVPN簡介4.4SSLVPN的應用模式及特點

SSLVPN的解決方案包括三種模式：◆Web瀏覽器模式◆SSLVPN客戶端模式◆LAN到LAN模式

WEB瀏覽器模式是SSLVPN的最大優勢，它充分利用了當前Web瀏覽器的內置功能，來保護遠程接入的安全，配置和使用都非常方便。SSLVPN已逐漸成為遠程接入的主要手段之一。4SSLVPN簡介4.4SSLVPN的應用模式及特點4SSLVPN簡介1．Web瀏覽器模式的解決方案由于Web瀏覽器的廣泛部署，而且Web瀏覽器內置了SSL協議，使得SSLVPN在這種模式下只要在SSLVPN服務器上集中配置安全策略，幾乎不用為客戶端做什么配置就可使用，大大減少了管理的工