访问控制与防火墙.ppt

《访问控制与防火墙.ppt》由会员分享，可在线阅读，更多相关《访问控制与防火墙.ppt（147页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、访问控制与网络安全技术(1)严飞严飞武汉大学计算机学院武汉大学计算机学院Yfpostbox(AT)主要内容主要内容（1阶段）l访问控制技术l防火墙技术lVPN技术（2阶段）l入侵检测技术l一种新的网络安全技术1.访问控制技术访问控制技术l1.1 访问控制技术概述 l1.2 入网认证 l1.3 物理隔离措施 l1.4 自主访问控制 l1.5 强制访问控制 l1.6 角色访问控制l1.7 发展趋势1.访问控制技术访问控制技术l安全服务（Security Services）l安全系统提供的各项服务，用以保证系统或数据传输足够的安全性l根据ISO7498-2,安全服务包括：l实体认证（Entity A

2、uthentication）l数据保密性（Data Confidentiality）l数据完整性（Data Integrity）l不可抵赖性（Non-repudiation）l访问控制（Access Control）1.访问控制的基本任务访问控制的基本任务l防止非法用户即未授权用户进入系统l合法用户即授权用户对系统资源的非法使用1.1 访问控制技术概述访问控制技术概述l访问控制是从计算机系统的处理能力方面对信息提供保护l它按照事先确定的规则决定主体对客体的访问是否合法l当一主体试图非法使用一个未经授权的资源时，访问控制机制将拒绝这一企图，并将这一事件报告给审计跟踪系统l审计跟踪系统将给出报警，

3、并记入日志档案1.1 访问控制技术概述访问控制技术概述l对网络的访问控制是为了防止非法用户进入系统和合法用户对系统的非法使用l访问控制要对访问的申请、批准和撤消的全过程进行有效的控制1.1 访问控制技术概述访问控制技术概述l访问控制的内容包括 l用户身份的识别和认证 l对访问的控制 l授权、确定访问权限、实施访问权限 l附加控制除了对直接的访问进行控制外，还应对信息的流动和推理攻击施加控制 l审计跟踪 l对用户使用何种系统资源、使用的时间、执行的操作等问题进行完整的记录，以备非法事件发生后能进行有效的追查 1.1 访问控制技术概述访问控制技术概述l访问控制的类型l自主访问控制（DAC）l用户可

4、以按自己的意愿对系统参数做适当的修改，可以决定哪个用户可以访问系统资源 l强制访问控制（MAC）l用户和资源都是一个固定的安全属性，系统利用安全属性来决定一个用户是否可以访问某个资源l由于强制访问控制的安全属性是固定的，因此用户或用户程序不能修改安全属性 l基于角色访问控制(RBAC)1.2 入网认证入网认证l入网认证即入网访问控制。它为网络访问提供了第一层访问控制l入网认证控制哪些用户能够登录到服务器并获得网络资源，也控制准许用户入网的时间和准许他们在哪台工作站入网l入网认证实质上就是对用户的身份进行认证 1.2 入网认证入网认证l身份认证 l身份认证过程指的是当用户试图访问资源的时候，系统

5、确定用户的身份是否真实的过程l认证对所有需要安全的服务来说是至关重要的，因为认证是访问控制执行的前提，是判断用户是否有权访问信息的先决条件，同时也为日后追究责任提供不可抵赖的证据 1.2 入网认证入网认证l身份认证的依据 l用户所知道的 l密码 l用户所拥有的 l智能卡l用户的特征 l生物学上的属性 l根据特定地点（或特定时间）l通过信任的第三方 lKerberos,IKE1.2 入网认证入网认证l身份认证的评价标准l可行性l认证强度l认证粒度l认证数据正确l不同协议间的适应性 1.2 入网认证入网认证l身份认证的评价标准l可行性 l从用户的观点看，认证方法应该提高用户访问应用的效率，减少多余

6、的交互认证过程，提供一次性认证l另外所有用户可访问的资源应该提供友好的界面给用户访问 l典型实例：单点登录（SSO）1.2 入网认证入网认证l身份认证的评价标准l认证强度 l认证强度取决于采用的算法的复杂度以及密钥的长度l采用更复杂的算法，更长的密钥，将能提高系统的认证强度，提高系统的安全性1.2 入网认证入网认证l身份认证的评价标准l认证粒度 l身份认证只决定是否允许用户进入服务应用。之后如何控制用户访问的内容，以及控制的粒度也是认证系统的重要标志l有些认证系统仅限于判断用户是否具有合法身份，有些则按权限等级划分成几个密级，严格控制用户按照自己所属的密级访问 l典型实例：UNIX、MS Wi

7、ndows NT等1.2 入网认证入网认证l身份认证的评价标准l认证数据正确 l消息的接受者能够验证消息的合法性、真实性和完整性l消息的发送者对所发的消息不可抵赖l除了合法的消息发送者外，任何其他人不能伪造合法的消息l当通信双方（或多方）发生争执时，有公正权威的第3方解决纠纷 l典型实例：电子商务安全1.2 入网认证入网认证l身份认证的评价标准l不同协议间的适应性 l认证系统应该对所有协议的应用进行有效的身份识别l除了HTTP以外，安全Email访问（包括认证SMTP、POP或者IMAP）也应该包含在认证系统中 l典型实例：网格安全1.2 入网认证入网认证l口令认证的一般过程l用户名的识别与验

8、证 l确定是否存在该用户的信息 l用户口令的识别与验证 l确定用户输入的口令是否正确 l用户帐号的缺省限制检查 l确定该用户帐号是否可用，以及能够进行哪些操作、访问哪些资源等用户的权限 1.2 入网认证入网认证l口令认证l口令认证也称通行字认证，是一种根据已知事物验证身份的方法 l通行字的选择原则 l易记l难以被别人猜中或发现l抗分析能力强l需要考虑的方面l选择方法、使用期限、字符长度、分配和管理以及在计算机系统内的保护 1.2 入网认证入网认证安全性要求口令认证方案无无口令低合法用户公用口令中每个用户一个单独的口令高要求一次一密，或口令分散*系统中不存储口令的原文1.2 入网认证入网认证l认

9、证方式l单向认证l双向认证询问认证受理的用户可利用他所知道、而别人不太知道的一些信息向申请用户提问一系列不大相关的问题 1.3 物理隔离措施物理隔离措施l物理隔离l物理隔离技术是一种将内外网络从物理上断开，但保持逻辑连接的网络安全技术l任何时候内外网络都不存在连通的物理连接，同时原有的传输协议必须被中断 l逻辑连接指能进行适度的数据交换1.3 物理隔离措施物理隔离措施l1999年12月29日国家保密局发布的计算机信息系统国际联网保密管理规定中第二章第六条规定：“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相联接，必须进行物理隔离”1.3 物理隔离措施物理隔离措施

10、l网络物理隔离方案l客户端的物理隔离 l集线器级的物理隔离 l服务器端的物理隔离1.3 物理隔离措施物理隔离措施l网络物理隔离方案l客户端的物理隔离 1.3 物理隔离措施物理隔离措施l网络物理隔离方案l客户端的物理隔离 l网络安全隔离卡 1.3 物理隔离措施物理隔离措施l网络物理隔离方案l集线器级的物理隔离 1.3 物理隔离措施物理隔离措施l网络物理隔离方案l集线器级的物理隔离 l物理隔离网闸 1.3 物理隔离措施物理隔离措施l网络物理隔离方案l服务器端的物理隔离 1.3 物理隔离措施物理隔离措施l物理隔离的优点l安全级别高，保障强l易于在现有涉密网上安装l物理隔离的未尽之处l资源消耗大l缺乏

11、管理l认证、访问控制、审计、取证l 妨碍应用1.4 自主访问控制自主访问控制l自主访问控制l由客体自主地来确定各个主体对它的直接访问权限（又称访问模式）l在自主访问控制下，用户可以按自己的意愿对系统的参数做适当的修改，以决定哪个用户可以访问他们的文件 1.4 自主访问控制自主访问控制l自主访问控制lDiscretionary Access Control,简称DAC l自主访问控制基于对主体或主体所属的主体组的识别来限制对客体的访问，这种控制是自主的l自主l是指对其它具有授予某种访问权力的主体能够自主地（可能是间接的）将访问权的某个子集授予其它主体 1.4 自主访问控制自主访问控制l访问控制矩

12、阵 1.4 自主访问控制自主访问控制lDAC的实现方法l基于行的DAC：面向主体l权力表（Capabilities List）r,w,a,el前缀表（Profiles）可访问文件命l口令（Password）l基于列的DAC：面向客体l保护位（Protection Bits）用户组:RWX l访问控制表（Access Control List，ACL）主体明细表 1.4 自主访问控制自主访问控制lDAC的优点l方便、实用l可由用户自由定制l可扩展性强l缺点l管理分散、用户关系不清l权限易被滥用l信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O

13、访问权限的B可访问O。1.5 强制访问控制强制访问控制l强制访问控制 lMandatory Access Control，简称MAC l用户与文件都有一个固定的安全属性，系统利用安全属性来决定一个用户是否可以访问某个文件l安全属性是强制性的，它是由安全管理员或操作系统根据限定的规则分配的，用户或用户的程序不能修改安全属性 1.5 强制访问控制强制访问控制l强制访问控制 l如果系统认为具有某一安全属性的用户不适于访问某个文件，那么任何人（包括文件的拥有者）都无法使该用户具有访问文件的能力 l强制访问控制是比任意访问控制更强的一种访问控制机制，它可以通过无法回避的访问限制来防止某些对系统的非法入侵

14、l强制访问控制可以防止一个进程生成共享文件，从而防止一个进程通过共享文件把信息从一个进程传送给另一个进程 1.5 强制访问控制强制访问控制l抵抗特洛伊木马l特洛伊木马进行攻击的条件 l必须编写一段程序或修改一个已存在的程序来进行非法操作，而且这种非法操作不能令程序的使用者起任何怀疑。这个程序对使用者来说必须具有吸引力l必须使受害者能以某种方式访问到或得到这个程序，如将这个程序放在系统的根目录或公共目录中l必须使受害者运行这个程序。一般利用这个程序代替一个受害者常用的程序来使受害者不知不觉地使用它l受害者在系统中有一个合法的帐号1.5 强制访问控制强制访问控制l抵抗特洛伊木马l强制访问控制一般与

15、自主访问控制结合使用，并实施一些附加的、更强的访问限制l限制访问控制的灵活性 l过程控制 1.5 强制访问控制强制访问控制lBell-La Padual模型 l简单安全规则l仅当主体的敏感级不低于客体敏感级且主体的类别集合包含客体时，才允许该主体读该客体。即主体只能读密级等于或低于它的客体，也就是说主体只能从下读，而不能从上读l星规则l仅当主体的敏感级不高于客体敏感级且客体的类别集合包含主体的类别集合时，才允许该主体写该客体。即主体只能写密级等于或高于它的客体，也就是说主体只能向上写，而不能向下写1.5 强制访问控制强制访问控制lBiba模型 l简单完整规则l仅当主体的完整级大于等于客体的完整

16、级且主体的类别集合包含客体的类别集时，才允许该主体写该客体。即主体只能向下写，而不能向上写，也就是说主体只能写（修改）完整性级别等于或低于它的客体 l完整性制约规则（星规则）l仅当主体的完整级不高于客体完整级且客体的类别集合包含主体的类别集合时，才允许该主体读读客体。即主体只能从上读，而不能从下读 1.6角色访问控制技术角色访问控制技术l四种RBAC模型l基本模型RBAC0 l角色的层次结构RBAC1 l约束模型RBAC2 l混合模型RBAC3 1.6角色访问控制技术角色访问控制技术l基本模型RBAC0 l四个基本要素l用户（User）l角色（Role）l会话（Session）l授权（Perm

17、ission）1.6角色访问控制技术角色访问控制技术l四种RBAC模型l角色的层次结构RBAC1 lRBAC1的特征是为RBAC0上引入了角色层次的概念 l约束模型RBAC2lRBAC2除了继承RBAC0的原有特征外，还引入了约束（Constraints）的概念 l互斥角色（Mutually Exclusion Roles）l基数约束（Cardinality Constraints）l先决条件角色 l运行时约束 1.6角色访问控制技术角色访问控制技术lRBAC模型的优点l一种策略无关的访问控制技术l具有自管理的能力 l使得安全管理更贴近应用领域的机构或组织的实际情况lRBAC模型的不足l复杂、

18、不成熟lRBAC的策略无关性需要用户自己定义适合本领域的安全策略 1.7发展趋势发展趋势l安全策略l细粒度l面向需求l动态l行为l安全模型l理论更趋完备l无干扰理论2.防火墙技术防火墙技术 l2.1 防火墙技术概述 l2.2 防火墙的结构 l2.3 构建防火墙 l2.4 防火墙发展趋势2.1 防火墙技术概述防火墙技术概述 l在网络中防火墙主要用于逻辑隔离外部网络与受保护的内部网络 2.1 防火墙技术概述防火墙技术概述 l防火墙技术属于典型的静态安全技术，该类技术用于逻辑隔离内部网络与外部网络l通过数据包过滤与应用层代理等方法实现内外网络之间信息的受控传递，从而达到保护内部网络的目的 2.1 防

19、火墙技术概述防火墙技术概述 l经典安全模型l防火墙规则l匹配条件l防火墙分类2.1 防火墙技术概述防火墙技术概述l经典安全模型 2.1 防火墙技术概述防火墙技术概述l防火墙规则 l防火墙的基本原理是对内部网络与外部网络之间的信息流传递进行控制l控制的功能是通过在防火墙中预先设定一定的安全规则（也称为安全策略）实现的 2.1 防火墙技术概述防火墙技术概述l防火墙规则 l防火墙的安全规则由匹配条件与处理方式两个部分共同构成l其中匹配条件是一些逻辑表达式，根据信息中的特定值域可以计算出逻辑表达式的值为真（True）或假（False）l如果信息使匹配条件的逻辑表达式为真，则说明该信息与当前规则匹配2.

20、1 防火墙技术概述防火墙技术概述l防火墙规则 l信息一旦与规则匹配，就必须采用规则中的处理方式进行处理 l处理方式主要包括lAccept：允许数据包或信息通过 lReject：拒绝数据包或信息通过，并且通知信息源该信息被禁止 lDrop：直接将数据包或信息丢弃，并且不通知信息源 2.1 防火墙技术概述防火墙技术概述l防火墙规则 l基本原则 l“默认拒绝”原则 l“默认允许”原则 l现有的防火墙产品大多基于第一种规则 2.1 防火墙技术概述防火墙技术概述l匹配条件 l网络层 lIP源地址、IP目的地址、协议l传输层l源端口、目的端口 l应用层l根据各种具体应用而定l基于信息流向的匹配条件l向内、

21、向外2.1 防火墙技术概述防火墙技术概述l防火墙分类 l按防范领域分类 l个人防火墙 禁止Internet文件共享、隐藏端口、过滤IP信息流、控制Internet应用程序、警告和日志、漏洞检查 l网络防火墙对网络数据流进行分析，并按照规则进行过滤。2.1 防火墙技术概述防火墙技术概述l防火墙分类 l按实现的方式分类 l软件防火墙l硬件防火墙 2.1 防火墙技术概述防火墙技术概述l防火墙分类 l按实现技术分类 l数据包过滤在系统进行IP数据包转发时设置访问控制列表，访问控制列表主要由各种规则组成。数据包过滤的规则主要采用网络层与传输层匹配条件l应用层代理应用层代理是指运行在防火墙主机上的特殊应用

22、程序或者服务器程序这些程序根据安全策略接受用户对网络的请求，并在用户访问应用信息时依据预先设定的应用协议安全规则进行信息过滤 2.1 防火墙技术概述防火墙技术概述l应用层代理示意图2.1 防火墙技术概述防火墙技术概述l技术方案对比l数据包过滤 l服务无关、对用户透明 l过滤规则复杂、正确性难以检测、容易形成瓶颈l应用层代理 l内网安全性较高、Cache机制可以提高信息访问效率、支持用户认证 、支持基于内容的信息过滤 l必须对每种应用提供代理服务和代理客户端、实时性差2.2 防火墙的结构防火墙的结构l经典防火墙体系结构l双重宿主主机体系结构l被屏蔽主机体系结构l被屏蔽子网体系结构 2.2 防火墙

23、的结构防火墙的结构l双重宿主主机体系结构2.2 防火墙的结构防火墙的结构l被屏蔽主机体系结构2.2 防火墙的结构防火墙的结构l被屏蔽子网体系结构 2.2 防火墙的结构防火墙的结构l其他体系结构 l合并内部和外部路由器l合并堡垒主机和外部路由器l合并堡垒主机和内部路由器l多台内部路由器l多台外部路由器l多个周边网络2.2 防火墙的结构防火墙的结构l其他体系结构 l合并内部和外部路由器2.2 防火墙的结构防火墙的结构l其他体系结构 l合并堡垒主机和外部路由器2.2 防火墙的结构防火墙的结构l其他体系结构 l合并堡垒主机和内部路由器2.2 防火墙的结构防火墙的结构l其他体系结构 l多台内部路由器2.

24、2 防火墙的结构防火墙的结构l其他体系结构 l多台外部路由器2.2 防火墙的结构防火墙的结构l其他体系结构 l多个周边网络2.3 构建防火墙构建防火墙l选择防火墙体系结构l安装外部路由器l安装内部路由器l安装堡垒主机l设置数据包过滤规则l设置代理系统l检查防火墙运行效果2.3 构建防火墙构建防火墙l选择防火墙体系结构l小型网络l中型网络l大型网络2.3 构建防火墙构建防火墙l选择防火墙体系结构l小型网络l透明代理 2.3 构建防火墙构建防火墙l选择防火墙体系结构l小型网络l透明代理l双重宿主主机 2.3 构建防火墙构建防火墙l选择防火墙体系结构l中型网络l软件防火墙 2.3 构建防火墙构建防火

25、墙l选择防火墙体系结构l中型网络l软件防火墙 l硬件防火墙2.3 构建防火墙构建防火墙l选择防火墙体系结构l大型网络l被屏蔽子网 2.3 构建防火墙构建防火墙l安装外部路由器l连接线路l配置网络接口l测试网络连通性l配置路由算法l路由器的访问控制2.3 构建防火墙构建防火墙l安装外部路由器l连接线路l保证设备与外部网络、周边网络（或内部网络）的线路连接正常l由于外部路由器的外部网络接口一般较为复杂，可能会使用XDSL、ISDN、ATM等广域网、城域网协议与接口，必须首先完成线路申请、线路连接等前期工作2.3 构建防火墙构建防火墙l安装外部路由器l配置网络接口l配置网络接口的工作主要包括IP地址

26、、子网掩码、开启网络接口等l在配置完毕后需要进行网络接口连通性测试，必需保证路由器上的测试程序可以通过外部网络接口访问外部网络，通过内部网络接口可以访问周边网络（或内部网络）2.3 构建防火墙构建防火墙l安装外部路由器l测试网络连通性l在不添加访问控制规则的情况下，用户应该能够通过路由器从周边网络访问外部网络，同样从外部网络访问周边网络2.3 构建防火墙构建防火墙l安装外部路由器l配置路由算法l为让外部路由器能够参与外部网络的路由运算，必需在外部路由器上配置相应的动态路由算法或静态路由，同时将外部网络访问内部网络的下一跳地址指向内部路由器或双重宿主主机2.3 构建防火墙构建防火墙l安装外部路由

27、器l路由器的访问控制l在路由算法配置完毕后，需要配置针对路由器自身的访问控制，限制路由器对外部提供Telnet等服务，将这些服务的服务范围限制在内部网络中的管理员使用的计算机2.3 构建防火墙构建防火墙l安装内部路由器l连接线路l内部网络一般比较单纯，多局限于以太系列网络，线路连接较为简单l配置路由算法l内部路由器不参与外部路由算法，也不参与内部网络中各子网间的路由转发，因此只需要通过静态路由配置外部网络、内部网络、周边网络之间的数据包转发2.3 构建防火墙构建防火墙l安装堡垒主机l选择合适的物理位置 l要求堡垒主机必须存放在安全措施完善的机房内部，同时要保证机房的供电、通风、恒温、监控条件良

28、好 l选择合适的硬件设备 l选择堡垒主机一定要以满足服务性能需求作为最终依据，过高、过低的配置都是不合时宜的 2.3 构建防火墙构建防火墙l安装堡垒主机l选择合适的操作系统 l堡垒主机操作系统的选择必须考虑到安全性、高效性等方面的因素 l注意堡垒主机的网络接入位置 l堡垒主机应该放置于不涉及敏感信息的位置l不应该采用集线器这样的共享设备 2.3 构建防火墙构建防火墙l安装堡垒主机l设置堡垒主机提供的服务 l关闭不需要的服务l对提供的服务需要添加一定的安全措施，包括用户IP限制、DOS攻击屏蔽等l在堡垒主机上禁止使用用户账号l核查堡垒主机的安全保障体制 l核查的手段主要是在主机上运行相应的安全分

29、析软件或者漏洞扫描程序，在发现堡垒主机的安全漏洞后应该及时排除 l维护与备份2.3 构建防火墙构建防火墙l设置数据包过滤规则l首先需要确定设置数据包过滤规则设备对“向内”与“向外”的具体概念 要尽可能地对双向的数据包都进行限制 采用“默认拒绝”脱机编辑过滤规则 2.3 构建防火墙构建防火墙l设置数据包过滤规则l数据包过滤的方式 l堡垒主机2.3 构建防火墙构建防火墙l设置数据包过滤规则l数据包过滤的方式 l服务过滤规则2.3 构建防火墙构建防火墙l设置数据包过滤规则l数据包过滤的方式 l路由器地址过滤规则2.3 构建防火墙构建防火墙l设置数据包过滤规则l数据包过滤的方式 l路由器服务过滤规则2

30、.3 构建防火墙构建防火墙l设置数据包过滤规则l注意包过滤规则的顺序 l获得更高的过滤效率l避免出现漏洞 l设置网络服务 l对外提供正常的服务 2.3 构建防火墙构建防火墙l设置代理系统l可以直接访问外部网络，又可以通过代理访问 l设置代理服务器 l尽量选择较为成熟、稳定的产品或版本l尽量避免根据用户账号提供代理服务的方式l应该只对一定IP地址范围内的主机提供服务l禁用远程配置，只允许在本机实施配置l定期升级，并通过相应的扫描软件及早发现代理服务配置的漏洞2.3 构建防火墙构建防火墙l设置代理系统l设置代理客户端 l使用定制客户端软件 l使用定制的用户过程 2.3 构建防火墙构建防火墙l检查防

31、火墙运行效果 l检查的内容包括l对外提供的服务WWW、FTP、BBS、EMAIL l对内提供的服务DNS等 l网络访问 检查过滤规则是否生效，并及早发现规则中存在的漏洞 2.3 构建防火墙（例构建防火墙（例1）l防火墙构建示例l网络结构2.3 构建防火墙（例构建防火墙（例1）l防火墙构建示例lWeb服务过滤规则2.3 构建防火墙（例构建防火墙（例1）l防火墙构建示例lftp服务过滤规则2.3 构建防火墙（例构建防火墙（例1）l防火墙构建示例lsmtp服务过滤规则2.3 构建防火墙（例构建防火墙（例1）l防火墙构建示例ldns服务过滤规则2.3 构建防火墙（例构建防火墙（例1）l防火墙构建示例l

32、默认拒绝过滤规则2.3 构建防火墙（例构建防火墙（例2）l个人防火墙的配置（费尔个人防火墙）l禁止访问某些网络和网络文件l禁止某些应用程序访问网络l管理外部网络访问本机端口时的响应方式2.4 防火墙发展趋势防火墙发展趋势l产业：国内外产品百花齐放，网络安全的主力产品。l高速：提高处理性能，理论算法的优化与硬件实现的提高。l高准确率：内容过滤，数据过滤中的数据分析与算法优化。l面向应用：语音、视频、即时信息等。3.VPN技术技术l3.1 VPN概述l3.2 VPN的分类l3.3 VPN使用的协议与实现3.1 VPN概述概述lVPN的概念lVPN即虚拟专用网l它是依靠ISP(Internet服务提

33、供商)和其他NSP(网络服务提供商)，在公用网络中建立专用的数据通信网络的技术 3.1 VPN概述概述3.1 VPN概述概述lVPN的概念l在该网中的主机将不会觉察到公共网络的存在，仿佛所有的主机都处于一个网络之中。公共网络仿佛是只由本网络在独占使用lVPN使用户节省了租用专线的费用。除了购买VPN设备外，企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用，也节省了长途电话费3.1 VPN概述概述lVPN的组成3.2 VPN的分类的分类l远程访问虚拟网（Access VPN）l企业内部虚拟网（Intranet VPN）l企业扩展虚拟网（Extranet VPN）3.2 VPN的分类的分类

34、l远程访问虚拟网（Access VPN）3.2 VPN的分类的分类l企业内部虚拟网（Intranet VPN）3.2 VPN的分类的分类l企业扩展虚拟网（Extranet VPN）l利用VPN技术可以组建安全的Extranet，既可以向客户、合作伙伴提供有效的信息服务，又可以保证自身的内部网络的安全 l此种类型与Intranet VPN没有本质的区别，但它涉及的是不同公司的网络间的通信，所以它要更多的考虑设备的互联、地址的协调、安全策略的协商等问题3.2 VPN的分类的分类lVPN网关应用3.3 VPN使用的协议与实现使用的协议与实现lVPN使用三个方面的技术保证了通信的安全性l身份验证l隧道

35、协议l数据加密 3.3 VPN使用的协议与实现使用的协议与实现lVPN的一般验证流程l客户机向VPN服务器发出请求，VPN服务器响应请求并向客户机发出身份质询l客户机将加密的响应信息发送到VPN服务器l如果账户有效，VPN服务器将检查该用户是否具有远程访问权限l如果该用户拥有远程访问的权限，VPN服务器接受此连接l在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密3.3 VPN使用的协议与实现使用的协议与实现l隧道lVPN的核心是被称为“隧道”的技术l隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式l使用隧道传递的数据（或负载）可以是不同协议的数据帧或包，隧道协议

36、将这些其它协议的数据帧或包重新封装在新的包头中发送l被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道 3.3 VPN使用的协议与实现使用的协议与实现l隧道3.3 VPN使用的协议与实现使用的协议与实现l隧道协议l点对点隧道协议lPPTP，Point-to Point Tunneling Protocoll第2层隧道协议lL2TP,Layer 2 Tunneling ProtocollIP安全协议lIPSec3.3 VPN使用的协议与实现使用的协议与实现lPPTPl由3Com公司和Microsoft公司合作开发lWindows、Linux、Solaris l与SSL相比提高处理性能，

37、内核级处理3.3 VPN使用的协议与实现使用的协议与实现lPPTPl基于PPP发展lPoint to Point Protocol l点对点通信协议 l兼容IPX、TCP/IP、NetBEUI和AppleTalk 3.3 VPN使用的协议与实现使用的协议与实现lPPP工作流程l在远程计算机和服务器之间建立帧传输规则，通过该规则的建立，才允许进行连续的通信(通常称为“帧传输”)l远程访问服务器通过使用PPP协议中的身份验证协议(如：MS-CHAP、EAP、CHAP、SPAP、PAP等)，来验证远程用户的身份l身份验证完毕后，如果用户启用了回拨，则远程访问服务器将挂断并呼叫远程访问客户机，实现服务

38、器回拨l“网络控制协议”(NCP)启用并配置远程客户机，使得所用的LAN协议与服务器端进行PPP通信连接3.3 VPN使用的协议与实现使用的协议与实现lPPTP协议概述lPPTP协议是PPP协议的扩展l增强了PPP协议的认证、压缩和加密功能l增加了一个新的安全等级，并且可以通过因特网进行多协议通信 3.3 VPN使用的协议与实现使用的协议与实现l基于PPTP的VPNl封装服务l使用一般路由封装(GRE)头文件和IP报头数据包装PPP帧(包含一个IP数据包或一个IPX数据包)3.3 VPN使用的协议与实现使用的协议与实现l基于PPTP的VPNl加密服务l通过使用从PPP协议的MS-CHAP或EA

39、P-TLS身份验证过程中生成的密钥lPPP帧以MPPE方式进行加密lPPTP只是对先前加密了的PPP帧进行封装 3.3 VPN使用的协议与实现使用的协议与实现lPPTP协议数据传输过程l首先远程VPN客户端通过诸如Windows系统的拨号网络中的远程访问服务(RAS)与本地ISP进行PPP因特网连接 l当PPP连接激活后，通过PPTP协议在客户端，连接VPN服务器端的WAN适配器的IP地址或者域名 3.3 VPN使用的协议与实现使用的协议与实现lL2TPl1999年8月，RFC2661 lL2TP也是PPP协议的扩展 l由IETF(Internet Engineering Task Force

40、，因特网工程任务组)管理，由Cisco、Microsoft、Ascend、3Com和其他网络设备供应商在修改了十几个版本后联合开发并认可3.3 VPN使用的协议与实现使用的协议与实现lL2TPl支持多种协议，用户可以保留原有的IPX、Appletalk等协议或公司原有的IP地址 l允许在物理上连接到不同NAS的PPP链路，在逻辑上的终点为同一个物理设备 l允许第2层连接的终点和PPP会话的终点分别设在不同的设备上lL2TP能把PPP协议的终点从传统的LAC(L2TP Access Concentrator，第2层隧道协议接入集线器)延伸到LNS(L2TP Network Server，第2层隧

41、道协议网络服务器)3.3 VPN使用的协议与实现使用的协议与实现lL2TP封装3.3 VPN使用的协议与实现使用的协议与实现lIPSec封装3.3 VPN使用的协议与实现使用的协议与实现lPPTP与L2TP比较l网络基础lPPTP：IP网络 lL2TP：面向数据包的点对点的连接 例如：IP，帧中继永久虚拟电路（PVCs）,X.25虚拟电路（VC）或ATMVC l隧道lPPTP：单一隧道，不支持隧道验证lL2TP：支持多隧道和隧道验证l压缩头的开销lPPTP/L2TP：6/4 byte3.3 VPN使用的协议与实现使用的协议与实现lIPSec协议lIPSec是IETF于1998年11月公布的第三

42、层安全协议l保护IP数据包或上层数据l可以定义哪些数据流需要保护，怎样保护及应该将这些受保护的数据流转发给谁l提供具有较强的互操作能力、高质量和基于密码的安全 3.3 VPN使用的协议与实现使用的协议与实现lIPSec协议lIPv4与IPv6lIPSec有两种版本，一种是基于IPv4协议的，另一种是基于IPv6协议的lIPSec对于IPv4是可选的，对于IPv6是强制性的 3.3 VPN使用的协议与实现使用的协议与实现lIPSec协议lIPSec在IP层上对数据包进行高强度的安全处理，提供数据源地验证、无连接数据完整性、数据机密性、抗重播和有限业务流机密性等安全服务l各种应用程序可以享用IP层

43、提供的安全服务和密钥管理，而不必设计和实现自己的安全机制 3.3 VPN使用的协议与实现使用的协议与实现lIPSec协议l验证(Authentication)l完整性(Integrity)l秘密性(Confidentiality)3.3 VPN使用的协议与实现使用的协议与实现lIPSec协议l验证(Authentication)l确保发送数据者的真实性 l完整性(Integrity)l秘密性(Confidentiality)3.3 VPN使用的协议与实现使用的协议与实现lIPSec协议l验证(Authentication)l完整性(Integrity)l确保数据在传输过程中没有被篡改 l秘密性

44、(Confidentiality)3.3 VPN使用的协议与实现使用的协议与实现lIPSec协议l验证(Authentication)l完整性(Integrity)l秘密性(Confidentiality)l确保数据不被非法读取3.3 VPN使用的协议与实现使用的协议与实现lIPSec的保护技术lAuthentication Header(AH)lEncapsulating Security Payload(ESP)3.3 VPN使用的协议与实现使用的协议与实现lIPSec的保护技术lAuthentication Header(AH)lAH协议包头可以保证信息源的可靠性和数据的完整性 l工作原

45、理发送方将IP包头、高层的数据、密钥这三部分通过某种散列算法进行计算，得出AH包头中的验证数据，并将AH包头加入数据包中接收方将收到的IP包头、数据和密钥以相同的散列算法进行运算，并把得出的结果和收到的数据包中的AH包头进行比较，如果相同，则表明数据在传输过程中没有被修改，并且是从真正的信息源处发出的 lEncapsulating Security Payload(ESP)3.3 VPN使用的协议与实现使用的协议与实现lIPSec的保护技术lAuthentication Header(AH)lEncapsulating Security Payload(ESP)lESP可以提供数据的完整性和可

46、靠性 l使用非对称密钥技术l密钥交换采用IKE(Internet Key Exchange)3.3 VPN使用的协议与实现使用的协议与实现lIPSec的工作方式lTransmission modelTunnel mode 3.3 VPN使用的协议与实现使用的协议与实现lIPSec的工作方式lTransmission mode（方便）l传输方式是用来保护上层协议，仅对数据净荷进行加密，原IP包的地址部分不处理 lIPSec包头加在IP包头和上层协议包头之间 lTunnel mode（抗流量分析，终端无需加密）l保护整个IP数据包 l整个IP包都封装在一个新的IP包中，并在新的IP包头和原来的IP包头之间插入IPSec头 访问控制与网络安全技术(1)本节结束！