《vpn种类(环境应用).ppt》由会员分享,可在线阅读,更多相关《vpn种类(环境应用).ppt(24页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、vpn种类种类(环境应用环境应用)2022/8/142OutlinenIntroductionnVPN種類(環境應用)nVPN技術nVPN建構方式nReference2022/8/143Introduction of VPNn定義q架構在網際網路上的企業網路n分類(以建立技術分別)q利用Internet IP技術的 IP VPNq利用Frame Relay/ATM 技術的 FR/ATM VPNn以傳輸方式與內容區分qData VPN 、Voice VPN 、整合的 VPN2022/8/144Introduction of VPN(cont.)n現在的虛擬私有網路(VPN)指的是建構在Inter
2、net上,使用密道及加密建立一個虛擬的、安全的、方便的及擁有自主權的私人數據網路n非X.25 ,Frame Relay或ATM等提供虛擬固接線路(PVC)服務的網路。我們也可稱它為IP VPN(以IP為主要通訊協定)。公眾的網路上透過這個虛擬的安全網路,可以用來傳輸公司或是企業內部的資料而不怕被竊取。2022/8/145IP VPN相較於傳統VPN技術的不同n其和Frame Relay與ATM所提供的固定虛擬線路(Permanent Virtual Circuit,PVC)最大的不同:qPVC所有設定權掌握在電信單位q連結的單位越多,相關的終端通訊設備成本越高q管理與設定也很繁瑣qPVC也無法
3、立即與世界上任何一個使用Internet的單位連結n相反地,運用VPN技術可以在Internet上立即擁有屬於自己的私有數據網路,所以近一代的VPN是指建立在Internet上的IP VPN。 2022/8/146IP VPN相較於傳統VPN技術的優勢n網路管理簡易網路管理簡易n網路涵蓋範圍廣泛網路涵蓋範圍廣泛n網路使用成本低網路使用成本低n應用整合性更佳應用整合性更佳2022/8/147VPN種類-環境應用n(1) Intranet VPNq適用於企業的總公司及較大的分公司。n(2) Extranet VPNq適用於諸如汽車業、零件廠商與產險業的整合服務、金融業之間的轉帳與交易、製造業與供應
4、商的生產流程網路、代工行業(OEM)與客戶間的生產與訂單網路.等n(3) VPDN(Virtual Private Dialup Network)/(Remote Access)q適用於企業較小的據點及經常出差到各地的業務人員 2022/8/148VPN種類2022/8/149VPN技術nVVirtualTunnel PPTP (software) L2TP (hardware) IPSec (hardware)nPPrivateSecure Privacy Integrity AuthenticitynNNetworkInternet Intranet Extranet2022/8/1410
5、VPN主要採用四項技術n穿隧技術(Tunneling);qPPTP、L2TP、IPSecn加解密技術(Encryption & Decryption)qSymmetric、Asymmetric cryptography n密鑰管理技術(Key management)qSKIP、IKEn使用者與設備身份認證技術(Authentication)qPAP、CHAP、X.5092022/8/1411PPTP應用技術(Point-to-Point Tunneling Protocol)n由Microsoft、3COM、U.S. Robotics、Ascend、ECI等企業所聯合發展。n由於Microso
6、ft的全力支援,在Windows的作業系統中都內建PPTP,對於撥接市場有相當大影響力。nPPTP支援Multi-Protocol因此可等說是它相當大的優點如IP、IPX、NetBEUI、AppleTalk。n透過Internet來傳遞PPP以取代傳統電話連線(PSTN)長途撥接的高額成本2022/8/1412PPTP運作模式nPPTP Tunneling建立的方式有Client-initiated經由客戶端撥接至ISP,並和ISP,再由客戶端啟動PPTP的Session和欲建立的另一端PPTP Server建立通道。nISP-initiated客戶端和ISP的Access Server建立P
7、PP連線後,經由ISP的Access Server和目的端PPTP Server建立通道,客戶端不需安裝PPTP Client完全由ISP-PPTP-enable。 nLAN-to-LAN tunneling在PPTP Server兩端建立PPTP tunneling,如在NT Server上加裝Microsoft的Routing and Remote Access Service(R&RAS)。 2022/8/1413L2TP應用技術(Layer 2 Tunneling Protocol)nL2TP是經由Cisco的L2F(Layer Two Forwarding)和Microsoft的PP
8、TP合作並在IETF的規範下發展而成。n利用PPP支援Multi-Protocol的特性,間接使L2TP支援多重通訊協定如IP、IPX、NetBUIT等。nL2TP的傳輸介面為UDP封包、與下層介面無關。實質傳輸介面(Physical Layer)的改變,只要不影響UDP封包傳輸,並不會影響L2TP封包的運送n透過Internet來傳遞PPP以取代傳統電話連線(PSTN)長途撥接的高額成本。2022/8/1414L2TP運作模式n遠端使用者先和ISP端建立普通的PPP連線。n遠端使用者透過ISP和遠端L2TP Server進行協調。 n遠端使用者透過ISP和遠端L2TP Server建立自願性
9、通道。 2022/8/1415IPSec應用技術(Internet Protocol Security)nIPsec為第三層的穿隧技術,專門為IP 所設計,不但符合現有IPv4的環境,同時也是IPv6的標準,它也是IEIF所制定的業界標準,目前IETF從1995年起,陸續公佈許多網路安全之相關技術標準。這些標準統稱為IPSec (IP Security,RFC18251829, RFC1851,RFC2085,RFC2104)。2022/8/1416IPSec運作模式nESP(Encapsulation Security Payload)q提供認證和加密nAH(Authentication H
10、eader)q只提供認證的動作,通常是靠MD5、SHA1來確認使用者的身分nISAKMP(IP Security Association Key Management Protocol)q使交換鑰匙的動作自動化且安全2022/8/1417IPSec運作模式(cont.)2022/8/1418IPsec、PPTP、L2TP三者的不同nIPsec、PPTP、L2TP三者,最大的不同在於,運用IPsec的技術,使用者可以同時使用Internet與VPN的多點傳輸功能(包括Internet/Intranet/Extranet/Remote Access 等)n而PPTP及L2TP只能執行點對點VPN的
11、功能,無法同時執行Internet的應用,使用時較不方便。2022/8/1419加解密技術(Encryption & Decryption)n對稱式密碼學(Symmetric cryptography),又稱密鑰式密碼學(Secret-key cryptography) n對稱式的加解密技術,加密與解密均使用同一把鑰匙。大家所熟知的DES/3DES ,RC4即為對稱式的加密技術n由於對稱式密碼演算法的運算速度較非對稱式密碼演算法快(約差1001000倍),所以對稱式的加解密技術都使用在實際資訊傳遞加密上。n現行之VPN設備一般會支援採用標準DES或3DES做為加解密所用的演算法。n對稱式加密技
12、術的缺點是,如何安全傳遞密錀到另一方。以及當加密傳輸的對象增加時,不同對象使用不同密錀管理上的問題2022/8/1420加解密技術(Encryption & Decryption)n非對稱式密碼學(Asymmetric cryptography) n又稱公用鑰匙密碼學(Public-key cryptography)n非對稱式的加解密技術,也就是說加密與解密使用不同的鑰匙。非對稱式密碼學解決了密錀傳遞上的問題,n事實上,使用者可將他的公用密錀(Public Key),公開式的發出給其他使用者知道。讓其他的使用者利用其公用密錀,傳遞加密資料給使用者。在密錀的管理上,使用者只有維護一對公用密錀及私
13、有密錀n非對稱式密碼演算法由於在運算速度較慢,所以多被採用在加密傳遞對稱式密錀,而非實際的資料加密上。2022/8/1421密鑰管理技術(Key management)nSKIP(Simple Key management for IP),q由SUN所發展的技術,主要是利用Diffie-Hellman的演算法則,在網路上傳輸密鑰的一種技術。qSKIP提供四種獨立網路安全服務n1.存取控制 : 保護資料避免非授權使用n2.加密及解密 : 確保機密性n3.確認 : 確保資料完整性n4.金鑰及認證管理 : 安全政策的有效管理nISAKMP/Oakley (又稱為IKE)qISAKMP/Oakley亦
14、是利用Diffie-Hellman的演算法則,在網路上傳輸密鑰的一種技術。Oakley定義如何分辨及確認密鑰,ISA KMP定義分配密鑰的方法。將來會整合在IPv6中,成為IPv6的標準之一。 2022/8/1422使用者與設備身份認證技術(Authentication)nPre-Shared Key:較脆弱nX.509數位憑證:較安全q目前數位憑證標準格式以 ITU-T(CCITT)所定義的X.509國際標準最為通用2022/8/1423VPN建構方式 n以現有Router昇級為VPN Routern在伺服器與Fire Wall中加裝VPN軟體n專屬VPN設備2022/8/1424Referencen虛擬私人網路 第2版OREILLY