1、防火墻、入侵檢測與VPN課件出版社第9章 VPN基礎(chǔ)知識 第10章 VPN的隧道技術(shù) 第11章 VPN的加解密技術(shù) 第12章 VPN的密鑰管理技術(shù) 第13章 VPN的身份認(rèn)證技術(shù) 第14章 VPN廠商及產(chǎn)品介紹 防火墻、入侵檢測與VPN課件走信息路 讀北郵書本書的封面第15章 VPN的發(fā)展趨勢 出版社走信息路 讀北郵書 9.1 VPN的定義 9.2 VPN的原理及配置 9.3 VPN的類型 9.4 VPN的特點(diǎn) 9.5 VPN的安全機(jī)制 第9章 VPN基礎(chǔ)知識 第10章 VPN的隧道技術(shù) 第11章 VPN的加解密技術(shù) 第12章 VPN的密鑰管理技術(shù) 第13章 VPN的身份認(rèn)證技術(shù) 第14章 V

2、PN廠商及產(chǎn)品介紹 第15章 VPN的發(fā)展趨勢 9.6 本章小結(jié) 防火墻、入侵檢測與VPN課件防火墻、入侵檢測與VPN課件出版社走信息路 讀北郵書 10.1 VPN使用的隧道協(xié)議 10.2 MPLS 隧道技術(shù) 10.3 IPSec VPN與MPLS10.4 SSL VPN技術(shù) 10.5 本章小結(jié) 第9章 VPN基礎(chǔ)知識 第10章 VPN的隧道技術(shù) 第11章 VPN的加解密技術(shù) 第12章 VPN的密鑰管理技術(shù) 第13章 VPN的身份認(rèn)證技術(shù) 第14章 VPN廠商及產(chǎn)品介紹 第15章 VPN的發(fā)展趨勢 防火墻、入侵檢測與VPN課件防火墻、入侵檢測與VPN課件出版社第9章 VPN基礎(chǔ)知識 第10章

3、VPN的隧道技術(shù) 第11章 VPN的加解密技術(shù) 第12章 VPN的密鑰管理技術(shù) 第13章 VPN的身份認(rèn)證技術(shù) 第14章 VPN廠商及產(chǎn)品介紹 走信息路 讀北郵書本書的封面第15章 VPN的發(fā)展趨勢 11.1 VPN加解密技術(shù)概述 11.2 AES算法 11.3 Diffie-Hellman算法 11.4 SA機(jī)制 11.5 本章小結(jié) 防火墻、入侵檢測與VPN課件防火墻、入侵檢測與VPN課件出版社第9章 VPN基礎(chǔ)知識 第10章 VPN的隧道技術(shù) 第11章 VPN的加解密技術(shù) 第12章 VPN的密鑰管理技術(shù) 第13章 VPN的身份認(rèn)證技術(shù) 第14章 VPN廠商及產(chǎn)品介紹 走信息路 讀北郵書本書

4、的封面第15章 VPN的發(fā)展趨勢 12.1 ISAKMP 12.2 IKE協(xié)議 12.3 SKIP協(xié)議 12.4 本章小結(jié) 防火墻、入侵檢測與VPN課件防火墻、入侵檢測與VPN課件出版社第9章 VPN基礎(chǔ)知識 第10章 VPN的隧道技術(shù) 第11章 VPN的加解密技術(shù) 第12章 VPN的密鑰管理技術(shù) 第13章 VPN的身份認(rèn)證技術(shù) 第14章 VPN廠商及產(chǎn)品介紹 走信息路 讀北郵書本書的封面第15章 VPN的發(fā)展趨勢 13.1 安全口令 13.2 PPP認(rèn)證協(xié)議 13.3 使用認(rèn)證機(jī)制的協(xié)議 13.4 數(shù)字簽名技術(shù) 13.5 本章小結(jié) 防火墻、入侵檢測與VPN課件防火墻、入侵檢測與VPN課件出版

5、社第9章 VPN基礎(chǔ)知識 第10章 VPN的隧道技術(shù) 第11章 VPN的加解密技術(shù) 第12章 VPN的密鑰管理技術(shù) 第13章 VPN的身份認(rèn)證技術(shù) 第14章 VPN廠商及產(chǎn)品介紹 走信息路 讀北郵書本書的封面第15章 VPN的發(fā)展趨勢 14.1 VPN產(chǎn)品的功能 14.2 VPN產(chǎn)品的技術(shù)指標(biāo) 14.3 知名VPN廠商及其產(chǎn)品 14.4 本章小結(jié) 防火墻、入侵檢測與VPN課件防火墻、入侵檢測與VPN課件出版社第9章 VPN基礎(chǔ)知識 第10章 VPN的隧道技術(shù) 第11章 VPN的加解密技術(shù) 第12章 VPN的密鑰管理技術(shù) 第13章 VPN的身份認(rèn)證技術(shù) 第14章 VPN廠商及產(chǎn)品介紹 走信息路

6、讀北郵書本書的封面第15章 VPN的發(fā)展趨勢 15.1 VPN的技術(shù)格局 15.2 VPN的市場格局 15.3 VPN的發(fā)展趨勢 15.4 本章小結(jié) 防火墻、入侵檢測與VPN課件防火墻、入侵檢測與VPN課件VPN的定義9.1VPN定義 VPN通過共享通信基礎(chǔ)設(shè)施為用戶提供定制的網(wǎng)絡(luò)連接服務(wù)。 VPN環(huán)境的構(gòu)建則是通過對公共通信基礎(chǔ)設(shè)施的通信介質(zhì)進(jìn)行某種邏輯分割來實現(xiàn)的。VPN的原理及配置 VPN系統(tǒng)配置 9.2.1 VPN的原理 VPN的類型 按VPN網(wǎng)絡(luò)結(jié)構(gòu)劃分9.3.1 按應(yīng)用范圍劃分9.3.3 按接入方式劃分9.3.4 按隧道協(xié)議劃分9.3.5 按隧道建

7、立方式劃分9.3.6 按路由管理方式劃分VPN的特點(diǎn)9.4具備用戶可接受的服務(wù)質(zhì)量保證具備完善的安全保障機(jī)制可擴(kuò)充性、安全性和靈活性 總成本低 管理便捷VPN的安全機(jī)制 認(rèn)證技術(shù)9.5.1 加密技術(shù)本章小結(jié)9.6 本章主要介紹了虛擬專用網(wǎng)的定義、原理，給讀者一個關(guān)于VPN的整體認(rèn)識，并討論了VPN的分類，重點(diǎn)介紹了隧道協(xié)議的劃分 。VPN使用的隧道協(xié)議 第三層隧道協(xié)議10.1.1 第二層隧道協(xié)議10.1.4 隧道技術(shù)的實現(xiàn)10.1.3 第二層與第三層的性能比較MPLS隧道技術(shù) 10.2 多協(xié)議標(biāo)簽交換（Multi-Protocol Label Switchi

8、ng，MPLS）是一種用于快速數(shù)據(jù)包交換和路由的體系，它為網(wǎng)絡(luò)數(shù)據(jù)流提供了目標(biāo)、路由、轉(zhuǎn)發(fā)和交換等能力 。主要內(nèi)容包括：MPLS標(biāo)簽結(jié)構(gòu), MPLS結(jié)構(gòu)協(xié)議組, MPLS協(xié)議棧結(jié)構(gòu)。詳細(xì)內(nèi)容請參考本節(jié)書中所述。10.410.4.2 SSL VPN 技術(shù)10.4.1 SSL協(xié)議介紹SLL VPN 技術(shù) 10.4.3 IPSec VPN與SSL VPN的對比 10.310.3.2 MPLS VPN 10.3.1 傳統(tǒng)IPSec VPNIPSec VPN與MPLS VPN的對比 本章小結(jié) 10.5 本章主要介紹了VPN隧道協(xié)議的定義和相關(guān)技術(shù)。比較系統(tǒng)地闡述了第二層隧道協(xié)議和第三層隧道協(xié)議的特性以及

9、它們之間的區(qū)別。另外重點(diǎn)講解了目前主要的隧道技術(shù)IPSec VPN、MPLS VPN和SSL VPN，詳細(xì)介紹了它們的優(yōu)缺點(diǎn)并進(jìn)行了相互比較 。VPN加解密技術(shù)概述 11.1 加解密技術(shù)是VPN的一項重要的基礎(chǔ)技術(shù)。這是因為，為了保證數(shù)據(jù)傳輸安全，對在公開信道上傳輸?shù)腣PN流量必須進(jìn)行加密，以確保網(wǎng)絡(luò)上未授權(quán)的用戶無法讀取信息。具體過程是發(fā)送者在發(fā)送數(shù)據(jù)之前對數(shù)據(jù)加密，數(shù)據(jù)到達(dá)接收者時由接收者對數(shù)據(jù)進(jìn)行解密 。AES算法 Rijndael算法描述 11.2.1 Rijndael算法的數(shù)學(xué)基礎(chǔ) 11.2.4 密鑰擴(kuò)展 11.2.3 加密輪變換 11.2.5 AES解密算法

10、11.2.7 AES安全性分析 11.2.6 AES算法舉例 11.311.3.2 Diffie-Hellman算法實例 11.3.1 Diffie-Hellman算法概述 Diffie-Hellman算法 11.411.4.2 第一階段SA 11.4.1 什么是SA SA機(jī)制 11.4.3 第二階段SA 11.4.4 SA生命期的密鑰保護(hù) 本章小結(jié)11.5 本章主要講解了VPN的加解密技術(shù)和相應(yīng)的加解密算法，重點(diǎn)介紹了AES、DH、RSA算法的原理及實現(xiàn)，另外對這些算法進(jìn)行了安全性能評價 。 ISAKMP協(xié)議結(jié)構(gòu) 12.1.1 ISAKMP簡介 ISAKMP 12.1.3

11、 ISAKMP配置方法 ISAKMP消息 12.2.1 IKE協(xié)議 IKE協(xié)議 12.2.3 IKE交換 12.312.3.2 SKIP協(xié)議特點(diǎn) 12.3.1 SKIP協(xié)議概述 SKIP協(xié)議 12.3.3 SKIP協(xié)議在寬帶VPN中的實現(xiàn) 本章小結(jié)12.4 本章主要介紹了VPN的密鑰管理技術(shù)，重點(diǎn)講解了幾個密鑰管理協(xié)議，其中詳細(xì)給出了ISAKMP、IKE和SKIP協(xié)議的結(jié)構(gòu)、特點(diǎn)以及實現(xiàn)過程 。安全口令 13.1 我們經(jīng)常使用口令來認(rèn)證用戶或設(shè)備。為了避免口令被攻破，需要經(jīng)常改變口令或加密口令。經(jīng)常使用的有SKey協(xié)議和令牌認(rèn)證方案 。詳細(xì)內(nèi)容見參考書。PPP認(rèn)證協(xié)議 1

12、3.2 點(diǎn)對點(diǎn)協(xié)議PPP（Point-to-Point Protoco1）是最常用的借助于串行線或ISDN建立撥入連接的協(xié)議。也正由于這點(diǎn)它經(jīng)常被用于VPN技術(shù)中。PPP認(rèn)證機(jī)制包括口令認(rèn)證協(xié)議PAP（Password Authentication Protoco1）、質(zhì)詢握手協(xié)議CHAP（Challenge Handshake Authentication Protoco1）和可擴(kuò)展認(rèn)證協(xié)議EAP（Extensible Authentication Protoco1）。在所有這些情況中，認(rèn)證的都是對等設(shè)備，而不是認(rèn)證設(shè)備的用戶。詳細(xì)內(nèi)容見參考書。使用認(rèn)證機(jī)制的協(xié)議 13.3 許多協(xié)議在給用戶

13、或設(shè)備提供授權(quán)和訪問權(quán)限之前需要認(rèn)證校驗。在VPN環(huán)境中經(jīng)常使用的是TACACS和RADIUS協(xié)議。它們提供可升級的認(rèn)證數(shù)據(jù)庫，并可采用不同的認(rèn)證方法。這里重點(diǎn)分析RADIUS協(xié)議。 RADIUS（Remote Address Dial-in User Service）協(xié)議是一種訪問服務(wù)器認(rèn)證和記賬協(xié)議。它在傳輸時使用UDP協(xié)議。RADIUS客戶機(jī)通常是一個NAS（網(wǎng)絡(luò)訪問服務(wù)器），服務(wù)器是在UNIX或NT機(jī)器上運(yùn)行的監(jiān)控程序。 詳細(xì)內(nèi)容見參考書。數(shù)字簽名技術(shù) 13.4 在VPN安全保密系統(tǒng)中，數(shù)字簽名技術(shù)有著特別重要的地位，VPN網(wǎng)絡(luò)安全服務(wù)中的源鑒別、完整性服務(wù)以及不可否認(rèn)服務(wù)等都要用到數(shù)

14、字簽名技術(shù)。在VPN中完善的數(shù)字簽名應(yīng)具備簽字方不能抵賴、他人不能偽造和在公證人面前能夠驗證真?zhèn)蔚哪芰?。目前主要的簽名技術(shù)包括： 用非對稱加密算法進(jìn)行數(shù)字簽名 用對稱加密算法進(jìn)行數(shù)字簽名 詳細(xì)內(nèi)容見參考書。本章小結(jié)13.5 身份認(rèn)證是VPN隧道技術(shù)提供網(wǎng)絡(luò)安全的主要手段，VPN使用的協(xié)議L2F、PPTP、L2TP和IPsec都提供有身份認(rèn)證措施，只是認(rèn)證級別上的不同。身份認(rèn)證只能確保進(jìn)入企業(yè)內(nèi)部網(wǎng)的是授權(quán)的用戶并限制其訪問的權(quán)限。 VPN產(chǎn)品的功能 14.1 能夠隔離內(nèi)外網(wǎng)絡(luò)的通信，對進(jìn)出的網(wǎng)絡(luò)訪問進(jìn)行安全控制。 能夠加密傳輸本行業(yè)專網(wǎng)內(nèi)的敏感信息。 能夠通過網(wǎng)絡(luò)進(jìn)行安全網(wǎng)關(guān)的合法性鑒別和開

15、通授權(quán)。 能夠嚴(yán)格控制外部用戶進(jìn)入內(nèi)部專網(wǎng)。 能夠限制內(nèi)部用戶出訪公網(wǎng)或互聯(lián)網(wǎng)的站點(diǎn)和資源。 能夠?qū)σ苿踊虍惖剞k公用戶來自外部的網(wǎng)絡(luò)訪問進(jìn)行鑒別控制。 能夠提供主機(jī)到網(wǎng)關(guān)的安全隧道。 能夠支持內(nèi)網(wǎng)主機(jī)和服務(wù)器采用私有地址，對外界隱藏內(nèi)部網(wǎng)絡(luò)拓 撲。 能夠防止內(nèi)部主機(jī)IP地址的濫用和誤用。 能夠?qū)碜酝獠?、?nèi)部的網(wǎng)絡(luò)違規(guī)和入侵行為進(jìn)行檢測和集中監(jiān)控。 能夠提供強(qiáng)大的審計能力。在完善的日常審計基礎(chǔ)上，提供對違規(guī)通信、安全事件的實時報警和處置能力。 能夠統(tǒng)計網(wǎng)絡(luò)通信流量，并根據(jù)策略進(jìn)行流量控制。 能夠采用基于策略的方式對安全網(wǎng)關(guān)進(jìn)行策略的統(tǒng)一配置。 VPN產(chǎn)品的技術(shù)指標(biāo) 14.2 網(wǎng)絡(luò)接口：標(biāo)準(zhǔn)配置

16、為2個10M/100M自適應(yīng)以太網(wǎng)接口 （10/100MbaseT）（可擴(kuò)充至4個） 網(wǎng)絡(luò)通信明碼設(shè)計功能：99.3Mbps（100M網(wǎng)絡(luò)環(huán)境中） 密鑰長度：對稱：128位，非對稱：1024位 加密隧道設(shè)計指標(biāo)：無限制 應(yīng)用支持的協(xié)議：FTP、TELNET、HTTP、SMTP、POP3、DNS等 入侵檢測的類型：掃描探測、DoS、WEB攻擊、木馬攻擊等 支持的協(xié)議：TCP/IP、UDP、ICMP、IPSEC ESP/AH/IPCOMP、IKE、PUDP等 加密速率：視采用的硬件加密卡速率而定，分低速（8M）、中速（20M）、高速（40M以上）三類 加密隧道設(shè)計指標(biāo)：設(shè)計標(biāo)準(zhǔn)靜態(tài)100條，同時支

17、持64條加密隧道，可擴(kuò)展 網(wǎng)絡(luò)通信延遲：小于1ms NAT支持的連接數(shù)：大于等于4K 最大安全策略數(shù)設(shè)計指標(biāo)：16K知名VPN廠商及其產(chǎn)品 14.314.3.1 F5 Networks 14.3.3 Cisco 14.3.2 Array Networks 14.3.4 Juniper 14.3.5 華為 本章小結(jié)14.4 本章首先簡要介紹了VPN產(chǎn)品應(yīng)該具有的主要功能和選擇VPN產(chǎn)品是需要注意的主要技術(shù)指標(biāo)。隨后，以SSL VPN為主，選擇介紹了五家國內(nèi)外知名的VPN技術(shù)研發(fā)和設(shè)備生產(chǎn)企業(yè)以及它們的主要產(chǎn)品。 VPN的技術(shù)格局15.1 目前VPN解決方案中主流的通信隧道協(xié)議是IPSec，這是一

18、種用于IP協(xié)議族的安全協(xié)議。 MPLS VPN是一種基于MPLS（多協(xié)議標(biāo)簽交換）網(wǎng)絡(luò)的VPN架構(gòu)。自2001年IETF公布了MPLS標(biāo)準(zhǔn)之后，該協(xié)議被公認(rèn)為下一代網(wǎng)絡(luò)的基礎(chǔ)協(xié)議。 PPTP是由包括微軟和3Com等公司在內(nèi)的PPTP論壇開發(fā)的一種點(diǎn)對點(diǎn)隧道協(xié)議，用于應(yīng)對移動工作者不斷增加的趨勢。 近年來在遠(yuǎn)程訪問VPN領(lǐng)域又出現(xiàn)了一股新興力量，那就是基于SSL協(xié)議的VPN技術(shù)。SSL VPN的特點(diǎn)是簡單易用，但是由于作用于應(yīng)用層，所以并不能象IPSec VPN那樣針對所有應(yīng)用起效，每個廠商的解決方案支持的應(yīng)用種類都各不相同。 VPN的市場格局 15.2 根據(jù)Infonetics Researc

19、h的調(diào)查數(shù)據(jù)，在1997年全球在VPN方面的支出總額約為兩億美元，而2004年該數(shù)字已經(jīng)增長至兩百億美元左右。截止至2004年為止，基于IPSec的VPN解決方案仍是VPN領(lǐng)域的霸主，MPLS VPN占據(jù)著第二把交椅，但是與IPSec的差距十分明顯。新興的SSL VPN雖然發(fā)展迅猛，但是尚未能撼動兩強(qiáng)的地位。北美地區(qū)是VPN應(yīng)用的熱土，以較大的優(yōu)勢領(lǐng)先于其它地區(qū)，而歐洲和亞洲地區(qū)也在全球VPN份額中占據(jù)了重要的地位。國內(nèi)的VPN市場從2000年開始才正式起步，并且與信息產(chǎn)業(yè)的其它分支類似，經(jīng)歷了由金融、政府、通信等行業(yè)帶動起步的歷程，呈現(xiàn)出較高的成長速度。VPN的發(fā)展趨勢 15.315.3.1

20、 IPSec VPN方興未艾 15.3.3 VPN管理有待加強(qiáng) 15.3.2 MPLS VPN發(fā)展強(qiáng)勁 本章小結(jié)15.4 VPN的發(fā)展代表了互聯(lián)網(wǎng)絡(luò)今后的發(fā)展趨勢，它綜合了傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)的安全和服務(wù)質(zhì)量以及共享數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)的簡單和低成本等優(yōu)點(diǎn)，建立安全的數(shù)據(jù)通道。VPN在降低成本的同時滿足了用戶對網(wǎng)絡(luò)帶寬、接入和服務(wù)不斷增加的需求，因此，VPN必將成為未來網(wǎng)絡(luò)發(fā)展的主要方向。 VPN的原理VPN 服務(wù)器端1VPN 客戶端29.2.1VPN數(shù)據(jù)通道3VPN系統(tǒng)配置 服務(wù)器配置1添加VPN用戶29.2.2配置VSS4配置windows2003客戶端3按應(yīng)用范圍劃分Access VPN 1Intran

21、et VPN 29.3.1Extranet VPN 3按VPN網(wǎng)絡(luò)結(jié)構(gòu)劃分9.3.2基于VPN的遠(yuǎn)程訪問 1基于VPN的網(wǎng)絡(luò)互聯(lián) 2基于VPN點(diǎn)對點(diǎn)通信 3按接入方式劃分9.3.3專線VPN通過固定的線路連接到ISP 1撥號接入VPN簡稱VPDN 2按隧道協(xié)議劃分第二層隧道協(xié)議 19.3.4第三層隧道協(xié)議 2第四層隧道協(xié)議 3按隧道建立方式劃分自愿隧道 1強(qiáng)制隧道 29.3.5按路由管理方式劃分9.3.6疊加模式 1對等模式 2第二層隧道協(xié)議PPTP協(xié)議1L2F協(xié)議210.1.1L2TP協(xié)議3第三層隧道協(xié)議IPSec協(xié)議1GRE協(xié)議210.1.2第二層隧道與第三層隧道性能比較10.1.3 第三

22、層隧道與第二層隧道相比，優(yōu)點(diǎn)在于它的安全性、可擴(kuò)展性及可靠性。 從安全的角度來看，由于第二層隧道一般終止在用戶網(wǎng)設(shè)備（CPE）上，會對用戶網(wǎng)絡(luò)的安全以及防火墻提出比較嚴(yán)峻的挑戰(zhàn)。而第三層的隧道一般終止在ISP的網(wǎng)關(guān)上，不會對用戶網(wǎng)的安全構(gòu)成威脅。 隧道技術(shù)的實現(xiàn)用戶驗證1令牌卡支持210.1.4動態(tài)地址分配3數(shù)據(jù)壓縮4數(shù)據(jù)加密5密鑰管理6多協(xié)議支持7傳統(tǒng)IPSec VPN10.3.1 傳統(tǒng)IPSec VPN基于封裝（隧道）技術(shù)以及加密模塊技術(shù)，可在兩個位置間安全地傳輸數(shù)據(jù)。前面已經(jīng)對IPSec協(xié)議做了簡要說明，在這里我們還需要做一下補(bǔ)充，因為它是目前的VPN中最常使用的。 MPLS VPN10

23、.3.2 MPLS VPN與傳統(tǒng)的IPSec VPN不同，MPLS VPN不依靠封裝和加密技術(shù)，MPLS VPN依靠轉(zhuǎn)發(fā)表和數(shù)據(jù)包的標(biāo)記來創(chuàng)建一個安全的VPN，MPLS VPN的所有技術(shù)產(chǎn)生于Internet 。 三 級 標(biāo) 題四級標(biāo)題1四級標(biāo)題21.2.2VPN的原理 9.2.1 能夠接收和驗證VPN連接請求并處理數(shù)據(jù)打包和解包工作的一臺計算機(jī)或設(shè)備。VPN服務(wù)器端操作系統(tǒng)可以是Windows NT 4.0Windows 2000Windows XPWindows 2003；相關(guān)組件為系統(tǒng)自帶；要求VPN服務(wù)器已經(jīng)接入Internet，并且擁有一個獨(dú)立的公網(wǎng)IP。VPN服務(wù)器端1VPN的原理

24、 9.2.1 能夠發(fā)起VPN連接請求并且也可以進(jìn)行數(shù)據(jù)打包和解包工作的一臺計算機(jī)或設(shè)備。VPN客戶機(jī)端操作系統(tǒng)可以選擇Windows 98Windows NT 4.0Windows 2000Windows XPWindows 2003；相關(guān)組件為系統(tǒng)自帶；要求VPN客戶機(jī)已經(jīng)接入Internet。VPN客戶端2VPN的原理 9.2.1 一條建立在公用網(wǎng)絡(luò)上的數(shù)據(jù)連接。其實，所謂的服務(wù)器端和客戶端在VPN連接建立之后，在通信過程中扮演的角色是一樣的，區(qū)別僅在于連接是由誰發(fā)起的而已。VPN數(shù)據(jù)通道3VPN系統(tǒng)配置（1） 9.2.2服務(wù)器配置1 服務(wù)器是Windows 2003系統(tǒng)，2003中VPN

25、服務(wù)叫做“路由和遠(yuǎn)程訪問”，系統(tǒng)默認(rèn)就安裝了這個服務(wù)，但是沒有啟用。在管理工具中打開“路由和遠(yuǎn)程訪問”。 如圖9.1所示：圖9.1路由和遠(yuǎn)程訪問示意圖一接下來的配置過程請參考書中9.2.2節(jié)的服務(wù)器配置部分。VPN系統(tǒng)配置 （2）9.2.2添加VPN用戶2 在管理工具中的計算機(jī)管理里添加用戶，這里以添加一個chnking用戶為例，先新建一個叫“chnking”的用戶，創(chuàng)建好后，查看這個用戶的屬性，在“撥入”標(biāo)簽中做相應(yīng)的設(shè)置 。 詳細(xì)配置過程參考書中9.2.2節(jié)添加VPN用戶部分。VPN系統(tǒng)配置 （3）9.2.2配置windows2003客戶端 客戶端可以是windows 2003，也可以是W

26、indows XP，設(shè)置幾乎一樣，這里以2003客戶端設(shè)置為例。選擇程序附件通訊新建連接向?qū)В瑔舆B接向?qū)?。如圖所示：接下來的配置過程請參考書中9.2.2節(jié)的客戶端配置部分。3VPN系統(tǒng)配置(4) 9.2.2配置VSS4 VSS是在一臺機(jī)器上配置VSS數(shù)據(jù)庫,把數(shù)據(jù)庫的文件夾設(shè)置共享，局域網(wǎng)內(nèi)別的機(jī)器可以訪問到這個共享文件夾，就可以從源代碼數(shù)據(jù)庫中打開項目。 配置好VPN后，客戶端之間就是相當(dāng)于在局域網(wǎng)內(nèi)，VSS的設(shè)置就跟局域網(wǎng)內(nèi)一樣的設(shè)置。按應(yīng)用范圍劃分（1）9.3.1Access VPN1 Access VPN用于實現(xiàn)移動用戶或遠(yuǎn)程辦公室安全訪問企業(yè)網(wǎng)絡(luò)。 按應(yīng)用范圍劃分（2）9.3.1I

27、ntranet VPN2 Intranet VPN用于組建跨地區(qū)的企業(yè)內(nèi)部互聯(lián)網(wǎng)絡(luò) 。 按應(yīng)用范圍劃分（3）9.3.1 Extranet VPN用于企業(yè)與客戶、合作伙伴之間建立互聯(lián)網(wǎng)絡(luò)。 Extranet VPN3按VPN網(wǎng)絡(luò)結(jié)構(gòu)劃分（1）9.3.2 即單機(jī)連接到網(wǎng)絡(luò)，又稱點(diǎn)到站點(diǎn)、桌面到網(wǎng)絡(luò)。用于提供遠(yuǎn)程移動用戶對公司內(nèi)部網(wǎng)的安全訪問。 基于 VPN的遠(yuǎn)程訪問1按VPN網(wǎng)絡(luò)結(jié)構(gòu)劃分（2）9.3.2 即網(wǎng)絡(luò)連接到網(wǎng)絡(luò)，又稱站點(diǎn)到站點(diǎn)、網(wǎng)關(guān)（路由器）到網(wǎng)關(guān)（路由器）或網(wǎng)絡(luò)到網(wǎng)絡(luò)。用于企業(yè)總部網(wǎng)絡(luò)和分支機(jī)構(gòu)網(wǎng)絡(luò)的內(nèi)部主機(jī)之間的安全通信 ?；?VPN的網(wǎng)絡(luò)互聯(lián)2按VPN網(wǎng)絡(luò)結(jié)構(gòu)劃分（3）9.3.2

28、 即單機(jī)到單機(jī)，又稱端對端。用于企業(yè)內(nèi)部網(wǎng)的兩臺主機(jī)之間的安全通信。 基于 VPN點(diǎn)對點(diǎn)通信3按接入方式劃分（1）9.3.3如DDN、幀中繼等都是專線連接 。 專線VPN通過固定的線路連接到ISP 1按接入方式劃分（2）9.3.3 使用撥號連接（如模擬電話、ISDN和ADSL等）連接到ISP，是典型的按需連接方式。這是種非固定線路的VPN 。 撥號接入VPN簡稱VPDN 2按隧道協(xié)議劃分(1)9.3.4 PPTP、L2P和L2TP都屬于第二層隧道協(xié)議 。第二層隧道協(xié)議 1按隧道協(xié)議劃分(2)9.3.4IPSec屬于第三層隧道協(xié)議 。 第三層隧道協(xié)議 2按隧道協(xié)議劃分(3)9.3.4SSL VP

29、N 屬于第四層隧道協(xié)議。 第四層隧道協(xié)議 3按隧道建立方式劃分(1)9.3.5 指客戶計算機(jī)或路由器可以通過發(fā)送VPN請求配置和創(chuàng)建的隧道。 自愿隧道1按隧道建立方式劃分(2)9.3.5 指由VPN服務(wù)提供商配置和創(chuàng)建的隧道 。 強(qiáng)制隧道2按路由管理方式劃分(1)9.3.6 采用疊加模式，各站點(diǎn)都有一個路由器通過點(diǎn)到點(diǎn)連接（IPSec、GRE等）到其它站點(diǎn)的路由器上，不妨將這個由點(diǎn)到點(diǎn)的連接以及相關(guān)的路由器組成的網(wǎng)絡(luò)稱為“虛擬骨干網(wǎng)” 。 疊加模式1按路由管理方式劃分(2)9.3.6 對等模式是針對疊加模式固有的缺點(diǎn)推出的。它通過限制路由信息的傳播來實現(xiàn)VPN。這種模式能夠支持大規(guī)模的VPN業(yè)

30、務(wù)，如一個VPN服務(wù)提供商可支持成百上千個VPN。 對等模式2加密技術(shù)9.5.1 為了保證重要的數(shù)據(jù)在公共網(wǎng)上傳輸時不被他人竊取，VPN采用了加密機(jī)制。在現(xiàn)代密碼學(xué)中，加密算法被分為對稱加密算法和非對稱加密算法。 認(rèn)證技術(shù)9.5.2驗證數(shù)據(jù)的完整性 用戶認(rèn)證 密鑰的交換與管理 第二層隧道協(xié)議（1）10.1.1 點(diǎn)到點(diǎn)隧道協(xié)議（PPTP）是由PPTP論壇開發(fā)的點(diǎn)到點(diǎn)的安全隧道協(xié)議，為使用電話上網(wǎng)的用戶提供安全VPN業(yè)務(wù) 。 PPTP是PPP協(xié)議的一種擴(kuò)展，提供了在IP網(wǎng)上建立多協(xié)議的安全VPN的通信方式，遠(yuǎn)端用戶能夠通過任何支持PPTP的ISP訪問企業(yè)的專用網(wǎng)絡(luò) 。 PPTP協(xié)議1第二層隧道協(xié)議

31、（2）10.1.1 L2F（Layer 2 Forwarding）是由Cisco公司提出的，可以在多種介質(zhì)（如 ATM、幀中繼、IP）上建立多協(xié)議的安全VPN的通信方式。它將數(shù)據(jù)鏈路層的協(xié)議（如HDLC、PPP、ASYNC等）封裝起來傳送，因此網(wǎng)絡(luò)的數(shù)據(jù)鏈路層完全獨(dú)立于用戶的數(shù)據(jù)鏈路層協(xié)議。 L2F協(xié)議2第二層隧道協(xié)議（3）10.1.1 L2TP結(jié)合了L2F和PPTP的優(yōu)點(diǎn)，可以讓用戶從客戶端或接人服務(wù)器端發(fā)起VPN連接。L2TP定義了利用公共網(wǎng)絡(luò)設(shè)施封裝傳輸數(shù)據(jù)鏈路層PPP幀的方法。 L2TP協(xié)議3第三層隧道協(xié)議（1）10.1.2 IPSec是IP Security的縮寫，是目前遠(yuǎn)程訪問VP

32、N網(wǎng)絡(luò)的基礎(chǔ)。 IPSec的加密功能可以在因特網(wǎng)上創(chuàng)建出安全的信道來。IPSec是建立在行業(yè)標(biāo)準(zhǔn)基礎(chǔ)上的安防解決方案 。 IPSec協(xié)議1第三層隧道協(xié)議（2）10.1.2 GRE規(guī)定了如何用一種網(wǎng)絡(luò)協(xié)議去封裝另一種網(wǎng)絡(luò)協(xié)議的方法。 GRE的隧道由兩端的源IP地址和目的IP地址來定義，允許用戶使用IP包封裝IP、IPX和AppleTalk包，并支持全部的路由協(xié)議 。 GRE協(xié)議2隧道技術(shù)的實現(xiàn)（1）10.1.4 第二層隧道協(xié)議繼承了PPP協(xié)議的用戶驗證方式。而許多第三層隧道技術(shù)都假定在創(chuàng)建隧道之前，隧道的兩個端點(diǎn)相互之間已經(jīng)了解或已經(jīng)經(jīng)過驗證。一個例外情況是IPSec協(xié)議的ISAKMP協(xié)商提供了

33、隧道端點(diǎn)之間進(jìn)行的相互驗證。用戶驗證1隧道技術(shù)的實現(xiàn)（2）10.1.4 通過使用擴(kuò)展驗證協(xié)議（EAP），第二層隧道協(xié)議能夠支持多種驗證方法，包括一次性口令（one-time password）、加密計算器 （cryptographic calculator）和智能卡等。第三層隧道協(xié)議也支持使用類似的方法，令牌卡支持2隧道技術(shù)的實現(xiàn)（3）10.1.4 第二層隧道協(xié)議支持在網(wǎng)絡(luò)控制協(xié)議（NCP）協(xié)商機(jī)制的基礎(chǔ)上動態(tài)分配客戶地址。第三層隧道協(xié)議通常假定隧道建立之前已經(jīng)進(jìn)行了地址分配 。 動態(tài)地址分配3隧道技術(shù)的實現(xiàn)（4）10.1.4 第二層隧道協(xié)議支持基于PPP的數(shù)據(jù)壓縮方式。例如，微軟的PPTP和

34、L2TP方案使用微軟點(diǎn)對點(diǎn)加密協(xié)議（MPPE）。IETF正在開發(fā)應(yīng)用于第三層隧道協(xié)議的類似數(shù)據(jù)壓縮機(jī)制。數(shù)據(jù)壓縮4隧道技術(shù)的實現(xiàn)（5）10.1.4 第二層隧道協(xié)議支持基于PPP的數(shù)據(jù)加密機(jī)制。微軟的PPTP方案支持在RSA/RC4算法的基礎(chǔ)上選擇使用MPPE。第三層隧道協(xié)議可以使用類似方法 。 數(shù)據(jù)加密5隧道技術(shù)的實現(xiàn)（6）10.1.4 作為第二層協(xié)議的MPPE依靠驗證用戶時生成的密鑰，定期對其更新。IPSec在ISAKMP交換過程中公開協(xié)商公用密鑰，同樣對其進(jìn)行定期更新 。 密鑰管理6隧道技術(shù)的實現(xiàn)（7）10.1.4鏈路建立階段 創(chuàng)建PPP鏈路 用戶驗證 口令驗證協(xié)議（PAP） 挑戰(zhàn)-握手驗

35、證協(xié)議（CHAP） 微軟挑戰(zhàn)-握手驗證協(xié)議（MS-CHAP） PPP回叫控制（Call Back Control） 調(diào)用網(wǎng)絡(luò)層協(xié)議 數(shù)據(jù)傳輸階段多協(xié)議支持7SSL協(xié)議介紹10.4.1 安全套接字層（Secure Socket Layer，SSL）屬于高層安全機(jī)制，廣泛應(yīng)用于Web瀏覽程序和Web服務(wù)器程序。在SSL中，身份認(rèn)證是基于證書的。服務(wù)器方向客戶方的認(rèn)證是必須的，而SSL版本3中客戶方向服務(wù)方的認(rèn)證只是可選項，現(xiàn)在逐漸得到廣泛的應(yīng)用 SSL協(xié)議過程通過三個元素來完成： 握手協(xié)議 記錄協(xié)議 警告協(xié)議 SSL VPN技術(shù)10.4.2 SSL VPN技術(shù)能夠讓用戶通過標(biāo)準(zhǔn)的Web瀏覽器就可以

36、訪問重要的企業(yè)應(yīng)用。SSL VPN網(wǎng)關(guān)位于企業(yè)網(wǎng)的邊緣，介于企業(yè)服務(wù)器與遠(yuǎn)程用戶之間，控制二者的通信。 SSL VPN的實現(xiàn)涉及到三個重要的概念，即代理（Proxying）、應(yīng)用轉(zhuǎn)換（Application Translation）和端口轉(zhuǎn)發(fā)（Port Forwarding）。IPSec VPN與SSL VPN的對比 10.4.3 Rijndael算法的數(shù)學(xué)基礎(chǔ) 11.2.1 Rijndael算法具有比較強(qiáng)的有限域和有限環(huán)數(shù)學(xué)理論支持，而且直接將其應(yīng)用在字節(jié)運(yùn)算和字運(yùn)算的模塊中。 詳細(xì)內(nèi)容見參考書。 Rijndael算法描述 11.2.2 Rijndael是迭代分組密碼，主要包括以下兩個部分：

37、狀態(tài)、種子密鑰和輪（圈）數(shù) ；Rijndael算法原理 ； 詳細(xì)內(nèi)容見參考書。 加密輪變換 11.2.3 AES的加密輪變換主要由四個不同的變換模塊所組成。分別為：字節(jié)替換、行移位、列混淆和輪密鑰加。 詳細(xì)內(nèi)容見參考書。 密鑰擴(kuò)展 11.2.4 密鑰擴(kuò)展是AES密碼算法的一個重要組成部分。它要通過種子密鑰產(chǎn)生整個加解密過程使用的長度為4Nb（Nr+1）字節(jié)（32Nb（Nr+1）比特）的加密密鑰（也叫密碼密鑰）。加密密鑰看成一個有個元素的數(shù)組，每個元素是一個4字節(jié)的字 。 詳細(xì)內(nèi)容見參考書。 AES解密算法 11.2.5 AES解密算法是加密算法的逆變換，其結(jié)構(gòu)類似于加密算法結(jié)構(gòu) 。主要分為一下

38、五個部分。 字節(jié)替換的逆變換逆字節(jié)替換InvByteSub 行移位的逆變換逆行移位InvShiftRow 列混合的逆變換逆列混合InvMixColumn 輪密鑰加的逆變換AddRoundkey 解密算法 詳細(xì)內(nèi)容見參考書。 AES算法舉例 11.2.6AES算法主要分為以下兩個部分 計算子密鑰 求第一輪加密結(jié)果 詳細(xì)內(nèi)容見參考書。 AES安全性分析 11.2.7該算法對密鑰的選擇沒有任何限制，還沒有發(fā)現(xiàn)弱密鑰和半弱密鑰 的存在。可抗擊窮舉密鑰的攻擊。因為AES的密鑰長度可變，針對128/192/256比特的密鑰，搜索空間約為1.71038/3.11057/5.81076 。可抗擊線性攻擊，經(jīng)4

39、輪變換后，線性分析就無能為力了?？煽箵舨罘止?，經(jīng)8輪變換后，差分攻擊就無從著手了?？煽箵舴e分密碼分析，即Square攻擊。因為一個一般的積分均衡子集經(jīng)過一輪迭代后，就可以使加密結(jié)果面目全非，實際上，AES經(jīng)4輪迭代后，就可抗擊積分密碼分析了。 詳細(xì)內(nèi)容見參考書。 Diffie-Hellman算法概述 11.3.1 Diffie-Hellman密鑰交換算法的有效性依賴于計算離散對數(shù)的難度。簡言之，可以如下定義離散對數(shù)：首先定義一個素數(shù)p的原根，為其各次冪產(chǎn)生從1到p-1的所有整數(shù)根。 詳細(xì)內(nèi)容見參考書。 Diffie-Hellman算法實例 11.3.2 限于篇幅，Diffie-Hellman

40、算法實例詳細(xì)內(nèi)容見參考書。 什么是SA 11.4.1 安全關(guān)聯(lián)SA（Security Association）是單向的，在兩個使用IPSec的實體（主機(jī)或路由器）間建立的邏輯連接，定義了實體間如何使用安全服務(wù)（如加密）進(jìn)行通信。它由三個元素組成安全參數(shù)索引SPI、IP目的地址和安全協(xié)議 。 詳細(xì)內(nèi)容見參考書。第一階段SA 11.4.2 第一階段SA稱為主模式SA，是為建立信道而進(jìn)行的安全關(guān)聯(lián)。IKE建立SA分兩個階段。第一階段，協(xié)商創(chuàng)建一個通信信道（IKE SA），并對該信道進(jìn)行認(rèn)證，為雙方進(jìn)一步的IKE通信提供機(jī)密性、數(shù)據(jù)完整性以及數(shù)據(jù)源認(rèn)證服務(wù) 。 詳細(xì)內(nèi)容見參考書。第二階段SA 11.4

41、.3 第二階段SA稱為快速模式SA，是為數(shù)據(jù)傳輸而建立的安全關(guān)聯(lián)。這一階段協(xié)商建立IPsec SA，為數(shù)據(jù)交換提供IPSec服務(wù)。第二階段協(xié)商消息受第一階段SA保護(hù)，任何沒有第一階段SA保護(hù)的消息將被拒收。 詳細(xì)內(nèi)容見參考書。SA生命期中的密鑰保護(hù) 11.4.4 SA生命期中的密鑰保護(hù)主要包括四個部分： 密鑰生命期 會話密鑰更新限制 Diffie-Hellman（DH）組 精確轉(zhuǎn)發(fā)保密PFS（Perfect Forward Secrecy） 詳細(xì)內(nèi)容見參考書。ISAKMP簡介 12.1.1 Internet安全協(xié)商密鑰管理協(xié)議（ISAKMP）是 IPsec 體系結(jié)構(gòu)中的一種主要協(xié)議，它結(jié)合加密

42、安全的概念，密鑰管理和安全連接來建立政府、商家和因特網(wǎng)上的私有通信所需要的安全。 詳細(xì)內(nèi)容見參考書。ISAKMP協(xié)議結(jié)構(gòu) 12.1.2812162432bitInitiator CookieResponder CookieNext PayloadMjVerMnVerExchange TypeFlagsMessage IDLengthISAKMP配置方法 12.1.3 ISAKMP配置方法源自用于解決遠(yuǎn)程客戶主機(jī)自動配置問題的一個協(xié)議。在ISAKMP配置方法中，IPSec VPN網(wǎng)關(guān)管理著一個地址池。遠(yuǎn)程客戶主機(jī)通過一個新定義的交換自動地從該地址池中獲得一個內(nèi)網(wǎng)地址，同時獲得其他主機(jī)的配置信息。

43、為此，ISAKMP配置方法對IKE進(jìn)行了擴(kuò)展。首先，ISAKMP配置方法定義了一個新的ISAKMP載荷屬性載荷 。 詳細(xì)內(nèi)容見參考書。IKE協(xié)議 12.2.1 IKE協(xié)議是IPSec協(xié)議族的重要協(xié)議之一，負(fù)責(zé)IPsec通信密鑰的動態(tài)協(xié)商。該協(xié)議是ISAKMP協(xié)議、Oakley協(xié)議和SKEME協(xié)議等眾多協(xié)議組成的混合協(xié)議，完全實現(xiàn) ISAKMP協(xié)議和部分實現(xiàn)了Oakley和SKEME協(xié)議的子集。其中ISAKMP協(xié)議定義驗證和密鑰交換的框架（包括ISAKMP頭和各類載荷定義、各種交換類型和各類載荷的通用處理規(guī)則等），支持不同的加密算法、驗證機(jī)制和密鑰建立算法，支持低層面向主機(jī)的證書和高層面向用戶的

44、證書。 詳細(xì)內(nèi)容見參考書。ISAKMP消息 12.2.2 IKE交換使用ISAKMP消息，而ISAKMP載荷（Payload）則為ISAKMP消息提供模塊化的構(gòu)造塊。每條ISAKMP消息內(nèi)可包含多個ISAKMP載荷。各載荷的出現(xiàn)與否、類型和次序由IKE交換的消息類型確定。這些載荷規(guī)定了兩類IKE交換時使用的數(shù)據(jù)格式，當(dāng)前已經(jīng)定義出13種ISAKMP載荷可供使用。 詳細(xì)內(nèi)容見參考書。IKE交換 12.2.3 IKE交換是IKE協(xié)議的核心內(nèi)容，其負(fù)責(zé)建立IPSec協(xié)議通訊雙方的各類SA。IKE協(xié)議對每個交換階段和每種交換模式均規(guī)定了固定的消息數(shù)目和交換的內(nèi)容。以規(guī)范、靈活的方式實現(xiàn)安全而高效的交換

45、是IKE協(xié)議的重要目標(biāo)。IKE協(xié)議規(guī)定交換分兩個階段實施，各階段的核心功能見參考書。詳細(xì)內(nèi)容見參考書。 SKIP協(xié)議概述 12.3.1 SKIP協(xié)議服務(wù)于無連接的數(shù)據(jù)報協(xié)議，如IPv4和IPv6的密鑰管理機(jī)制，它是基于內(nèi)嵌密鑰的密鑰管理協(xié)議。每個數(shù)據(jù)報都被一個密鑰加密，這個密鑰包含在數(shù)據(jù)報中，但同時又被另一個事先已被通信雙方共享的密鑰加密。 詳細(xì)內(nèi)容見參考書。 SKIP協(xié)議特點(diǎn) 12.3.2 SKIP協(xié)議能有效應(yīng)對中間人攻擊、已知密鑰攻擊和拒絕服務(wù)攻擊。SKIP協(xié)議使用鑒別過的Diffie-Hellman公鑰值，在獲取通信對方公鑰證書時，通過對發(fā)布證書的實體的數(shù)字簽名進(jìn)行驗證來對抗中間人攻擊；

46、而通過使用主密鑰和瞬時密鑰的二級密鑰結(jié)構(gòu)，SKIP協(xié)議能對抗已知密鑰（瞬時密鑰）攻擊；另外，SKIP協(xié)議通過預(yù)先計算并緩存主密鑰，可對抗拒絕服務(wù)攻擊。 詳細(xì)內(nèi)容見參考書。 SKIP協(xié)議在寬帶VPN中的實現(xiàn) 12.3.3SKIP協(xié)議密鑰的產(chǎn)生 VPN設(shè)備數(shù)字證書的產(chǎn)生、分發(fā)、撤消以及為第三方CA提供接口 SKIP協(xié)議與IPsec結(jié)合的體系結(jié)構(gòu) 詳細(xì)內(nèi)容見參考書。 F5 Networks 14.3.1 F5的VPN設(shè)備主要是FirePass產(chǎn)品系列 ：FirePass 1200系列FirePass 4100系列 FIPS SSL加速器硬件選件 SSL加速器硬件選件 集群 故障切換 詳細(xì)內(nèi)容見參考書。 Array Networks 14.3.2 ArrayNetworks 的主要VPN產(chǎn)品有 ：Array SPX 2000/3000/5000 SiteDirect SPI 800 Array TMX 1100/2000/3000/5000 詳細(xì)內(nèi)容見參考書。 Cisco 14.3.3 Cisco公司的主要VPN產(chǎn)品有 ：Cisco VPN 3000系列 。Cisco VPN 3000系列集中器是適用于企業(yè)部署的最佳遠(yuǎn)程訪問V