《信息安全理论与技术》课件9-虚拟专用网络 VPN.pptx
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《《信息安全理论与技术》课件9-虚拟专用网络 VPN.pptx》由用户(momomo)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息安全理论与技术 信息安全理论与技术课件9_虚拟专用网络 VPN 信息 安全 理论 技术 课件 虚拟 专用 网络
- 资源描述:
-
1、信息安全理论与技术9第九章第九章 虚拟专用网络虚拟专用网络VPN信息安全理论与技术9VPN概述VPN的功能VPN的工作原理VPN的具体应用VPN技术技术信息安全理论与技术9什么是VPNVPN的优点现有的VPN协议 1、VPN概述信息安全理论与技术9VPNVPN是企业网在因特网等公共网络上的延伸是企业网在因特网等公共网络上的延伸 1、什么是VPNVPNVPN是是Virtual Private NetworkVirtual Private Network即即虚拟专用网虚拟专用网通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过通过一个公用网络(通常是因特网)建立一个临时的、安全
2、的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。混乱的公用网络的安全、稳定的隧道。远程访问Internet内部网合作伙伴分支机构虚拟私有网虚拟私有网虚拟私有网信息安全理论与技术9VPN的优点 利用VPN,可节省专用和拨号连接的成本 基于VPN技术,能够迅速建立和重构网络 简化了企业联网和广域网操作 提高了网络可靠性 VPN网络有很好的兼容性和可扩展性 企业可以利用 VPN 迅速开展新的服务和连接全球的设施信息安全理论与技术9现有现有VPNVPN协议协议 PPTP:1996年Microsoft 和Ascend等在PPP协议上开发的。L2F:1996年Cisco开发的。L2TP:1997年底,
3、Microsoft 和Cisco共同开发。IPSec:IETF正在完善,通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性。IPSec由IP认证头(AH)、IP安全载荷封装(ESP)和密钥管理协议(ISAKMP)信息安全理论与技术9公司内部网拨号连接因特网L2 T P 通道用于该层的协议主要有:用于该层的协议主要有:v L2TP:Lay 2 Tunneling Protocolv PPTP:Point-to-Point Tunneling Protocolv L2F:Lay 2 ForwardingL2 T P 通道基于第二层的基于第二层的VPN信息安全理论与技术9PPTP
4、/L2TPPPTP/L2TP 优点:(1)对用Microsoft操作系统的用户很方便(2)支持多种协议。(3)支持流量控制,通过减少丢弃包来改善网络性能。缺点:(1)安全性相对差。(2)不对两个节点间的信息传输进行监视或控制。(3)最多只能连接255个用户。(4)端点用户需要在连接前手工建立加密信道。信息安全理论与技术9VPN概述VPN的功能VPN的工作原理VPN的具体应用VPN技术技术信息安全理论与技术9远程访问Internet内部网分支机构分支机构安全网关安全网关ISP接入设备端到端数据通路的典型构成拨入段外部段(公共因特网)内部段公司的内部网络网络面临的风险信息安全理论与技术9 拨入段数
5、据泄漏风险拨入段数据泄漏风险 因特网上数据泄漏的风险因特网上数据泄漏的风险 安全网关中数据泄漏的风险安全网关中数据泄漏的风险 内部网中数据泄漏的风险内部网中数据泄漏的风险VPN网络面临的风险信息安全理论与技术9VPN的功能的功能 数据机密性保护 数据完整性保护 数据源身份认证 重放攻击保护信息安全理论与技术9Router管理子网一般子网内部WWW重点子网DMZ区域区域WWW Mail DNS密文密文传输明文传输明文传输 数据机密性保护数据机密性保护信息安全理论与技术9数据完整性保护数据完整性保护管理子网一般子网内部WWW重点子网原始数据包对原始数据包进行Hash加密后的数据包加密后的数据包摘要
6、摘要Hash摘要摘要对原始数据包进行加密加密后的数据包加密后的数据包加密加密后的数据包加密后的数据包摘要摘要加密后的数据包加密后的数据包摘要摘要摘要摘要解密原始数据包Hash原始数据包与原摘要进行比较,验证数据的完整性信息安全理论与技术9数据源身份认证数据源身份认证管理子网一般子网内部WWW重点子网原始数据包对原始数据包进行HashHash摘要摘要加密摘要摘要摘要摘要取出DSS原始数据包Hash原始数据包两摘要相比较私钥原始数据包DSSDSS将数字签名附在原始包后面供对方验证签名得到数字签名原始数据包DSS原始数据包DSSDSS解密相等吗?验证通过信息安全理论与技术9 保留负载长度认证数据(完
7、整性校验值ICV)变长序列号安全参数索引(SPI)下一头部填充(0255字节)下一头部填充长度认证数据(变长的)负载数据(变长的)序列号安全参数索引(SPI)AH协议头ESP协议头SA建立之初,序列号初始化为0,使用该SA传递的第一个数据包序列号为1,序列号不允许重复,因此每个SA所能传递的最大IP报文数为2321,当序列号达到最大时,就需要建立一个新的SA,使用新的密钥。重放攻击保护重放攻击保护信息安全理论与技术9VPN概述VPN的功能VPN的工作原理VPN的具体应用VPN技术技术信息安全理论与技术9VPN的工作原理的工作原理隧道基本概念 IPSec协议栈组成IPSec的工作模式信息安全理论
8、与技术9隧道隧道基本概念基本概念 隧道可在网络的任一层实现 最常用的是两层:数据链路层和网络层 数据链路层隧道:一个链路帧被放到了其它链路层的协议数据单元(PDU)中,该链路层还包括另外的链路帧,如:PPTP,L2F,L2TP 构成的VPN 网络层隧道:第三层的包被放到其它层或另外的第三层包中,如IPsec 的AH和ESP隧道模式;封装:当某层的PDU被放到另外一个PDU中的有效载荷时,把这种处理方式叫做封装信息安全理论与技术9隧道基本概念隧道基本概念 隧道在VPN中的三大作用是什么?将一种协议封装到不同的协议是为了在IP基础设施中传输;通过公共寻址设施路由私有地址包;提供数据完整性和机密性服
展开阅读全文