安全网管技术 张焕杰 中国科学技术大学网络信息中心

Slides:



Advertisements
Similar presentations
NAT与ICMP交互.
Advertisements

会计从业资格 会计电算化 精讲班 主讲老师:黄德建.
计算机网络教程 任课教师:孙颖楷.
计算机网络课程总结 一、计算机网络基础 计算机网络定义和功能、基本组成 OSI/RM参考模型(各层的功能,相关概念, 模型中数据传输 等)
LSF系统介绍 张焕杰 中国科学技术大学网络信息中心
计算机文化基础教学课件 计算机网络基础.
第六章 计算机网络应用基础.
第八章 商务网站建设 商务网站规划 硬件环境 软件环境 网页内容设计.
企業如何建置安全的作業系統 Windows XP 網路安全
实用操作系统概念 张惠娟 副教授 1.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
第17章 实现路由器.
项目四 组建跨地区网络 授课教师:肖颖.
SIEMENS自动化控制系统于VPN网络技术的完美结合
Cell organized Distributed File Storage
Information & Security System in China China North Eastern Air Traffic Control Bureau (CAAC) Customer Background Subsidiary of General Administration of.
第10章 虚拟专用网络(VPN)技术 本章学习目标: 了解VPN概念及基本功能 掌握VPN的工作协议 了解VPN的分类
格物资讯开放ICON库 V1R1.
LSF系统介绍 张焕杰 中国科学技术大学网络信息中心
虛擬私有網路 VPN (Virtual Private Network) VPN的資料安全 - PPTP、L2TP、IPSec
第18章 实现VPN服务器.
Virtual Private Network
基于云计算的数据安全 保护策略研究 报告人:王 立 伟.
计算机网络原理 徐明伟
元智大學網路技術系 TN307 進階網路技術   指導教授 :王井煦.
第9章 虛擬私人網路VPN.
R in Enterprise Environment 企业环境中的R
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
第 6 章 廣域網路 著作權所有 © 旗標出版股份有限公司.
从现在做起 彻底改变你自己 Sanjay Mirchandani EMC公司高级副总裁、首席信息官.
远程诊断技术及设备 ---今日坐拥明日之选.
存储系统.
第14章虚拟专用网技术与应用实验.
大学计算机基础 典型案例之一 构建FPT服务器.
PPPoE PPTP L2TP全解 方伟、产品策划 讲师的CSDN博客地址
SVN服务器的搭建(Windows) 柳峰
管理信息结构SMI.
华为—E8372h- 155 外观设计 产品类型:数据卡 建议零售价格:299元 上市时间:2017年6月7日 目标人群:大众
实用组网技术 第一章 网络基础知识.
乐驾-车载无线终端-CARRO 产品类型:车载无线路由器 建议零售价格:¥599 江苏鸿信
PPPoE PPTP L2TP全解 方伟、产品策划 讲师的CSDN博客地址
数 控 技 术 华中科技大学机械科学与工程学院.
Windows网络操作系统管理 ——Windows Server 2008 R2.
Windows网络操作系统管理 ——Windows Server 2008 R2.
格物资讯开放ICON库 V0R2.
VLanBasic 小型办公环境录音方案 ——将VLAN网络型录音系统接入办公室局域网/无线网络
第12章 远程访问、NAT技术.
《手把手教你学STM32》 主讲人 :正点原子团队 硬件平台:正点原子STM32开发板 版权所有:广州市星翼电子科技有限公司 淘宝店铺:
供应商登录CJLR SRM系统入口 CJLR供应商仅可以在互联网上访问SRM系统,无法在CJLR内网登录SRM系统.
你知道这些标志吗?. 你知道这些标志吗? 网络——信息安全 小组讨论 你觉得网络信息安全吗? 为什么?
新一代安全网上银行 小组成员:杨志明 王晶 任毅 刘建中 关昊 刘超.
第9章 信息安全.
主要内容: 无线局域网的定义 无线传输介质 无线传输的技术 WLAN的架构 无线网络搭建与配置 无线网络加密配置
Cassandra应用及高性能客户端 董亚军 来自Newegg-NESC.
实验七 安全FTP服务器实验 2019/4/28.
计算机网络与网页制作 Chapter 07:Dreamweaver CS5入门
IT 安全 第 9节 通信和网络控制.
JSP实用教程 清华大学出版社 第2章 JSP运行环境和开发环境 教学目标 教学重点 教学过程 2019年5月7日.
数据报分片.
GIS基本功能 数据存储 与管理 数据采集 数据处理 与编辑 空间查询 空间查询 GIS能做什么? 与分析 叠加分析 缓冲区分析 网络分析
Python 环境搭建 基于Anaconda和VSCode.
二、Netmeeting技术的应用 1、概述
Google的云计算 分布式锁服务Chubby.
_01自己实现简单的消息处理框架模型 本节课讲师——void* 视频提供:昆山爱达人信息技术有限公司
格物资讯ICON发布 V0R3.
基于列存储的RDF数据管理 朱敏
网络技术实训 第8讲:NAT防火墙设计讨论 许成刚 信息技术学院
VoIP组工作汇报 黄权 李光华.
3.8 局域网应用实例 某省劳动和社会保障网络中心组网实例 会议中心的无线组网实例.
FVX1100介绍 法视特(上海)图像科技有限公司 施 俊.
Presentation transcript:

安全网管技术 张焕杰 中国科学技术大学网络信息中心 james@ustc.edu.cn http://202.38.64.40/~james/nms Tel: 3601897(O)

第7章 VPN技术及应用 本章主要内容 VPN介绍 Access VPN LAN-LAN VPN MPLS VPN L2VPN 计算机网络安全基础 2018年11月10日 第7章 VPN技术及应用 本章主要内容 VPN介绍 Access VPN LAN-LAN VPN MPLS VPN L2VPN 计算机网络安全基础

参考资料: 参考资料: 安全体系结构的设计、部署与操作,常晓波等译,清华大学出版社 Cisco Networkers 2003 SEC-2011: Deploying Site-to-Site IPSec VPNs

VPN介绍 Virtual Private Network 虚拟专用网 虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。 利用像Internet这样的公共的或不安全的媒体,通过应用多种技术提供用户认证、数据完整性和访问控制,从而提供网络应用程序之间的安全通信。 在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。 VPN不是一种单一的技术,而是具有若干特性的系统

VPN介绍 IETF草案理解基于IP的VPN为:“使用IP机制仿真出一个私有的广域网”。通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。 所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。 所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。 本章讨论的虚拟专用网一般指的是建筑在Internet上能够自我管理的专用网络,而不是Frame Relay或ATM等提供虚拟固定线路(PVC)服务的网络。以IP为主要通讯协议的VPN,也可称之为IP-VPN。

VPN的安全性 VPN的主要目的是保护传输数据 必须具备4个关键功能 VPN的目的是保护从信道的一个端点到另一端点传输的信息流 认证:数据传输的来源确如其声明所言,目的地确实是数据期望到达的位置 访问控制:限制对网络未经授权的访问 机密性:防止数据在通过网络时被察看 数据完整性:防止传输中对数据的任何篡改 VPN的目的是保护从信道的一个端点到另一端点传输的信息流 信道的端点之前和之后,VPN不提供任何的数据包保护

为什么选择VPN 成本低是最大的优势 传统方式是租用专线建设自己的网络系统 Internet能以很低的代价提供高带宽的链路,缺点是安全性不高 由于VPN是在Internet上临时建立的安全专用虚拟网络,用户就节省了租用专线的费用,在运行的资金支出上,除了购买VPN设备,企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用,也节省了长途电话费。这就是VPN价格低廉的原因。 如2M的专线,国内长途6000/月,对应的10M Internet链路一般2000/月

为什么选择VPN 灵活性高 只要有Internet链路,随时可以建立VPN链路 对于单个用户,使用VPN可以在任何地方安全访问内部网

VPN的类型 每种VPN都具有特定的要求和优先权,实现的目的、解决的问题也不同 用于移动工作者的远程访问 用于局域网间连接的PN Client-LAN VPN,也叫 Access VPN 替代早期的拨号远程访问网络 用于局域网间连接的PN LAN-LAN型 IntranetVPN和ExtranetVPN

VPN的特性考虑 安全性 可靠性 可管理性 可扩展性 隧道、加密、密钥管理、数据包认证、用户认证、访问控制 硬件、软件、基础网络的可靠性 记帐、审核、日志的管理 是否支持集中的安全控制策略 可扩展性 成本的可扩展性,如使用令牌卡成本高 性能,是否考虑采用硬件加速加解密速度

VPN的特性考虑 可用性 互操作性 服务质量 QoS 多协议支持 系统对应用尽量透明 对终端用户来说使用方便 尽量采用标准协议,与其他供应商的设备能互通 服务质量 QoS 通过Internet连接的VPN服务质量很大程度取决于Internet的状况 多协议支持 IPX?

VPN涉及的技术 隧道技术 Tunnel

IP Tunnel NSRC、NDST是隧道端点设备的IP地址 公网上路由时仅仅考虑NSRC、NDST 原始数据包的DST、SRC对公网透明 DATA NDST NSRC DST SRC DATA

隧道技术 第二层隧道 第三层隧道 利用隧道技术,理论上任何协议的数据都可以透过IP网络传输 把网络数据包封装在PPP协议中,PPP协议的数据包放到隧道中传输 L2TP、PPTP(集成在windows中,所以最常用) 第三层隧道 把网络数据包指直接在隧道中传输 IPsec 利用隧道技术,理论上任何协议的数据都可以透过IP网络传输

加密/解密技术 对称加密技术 公钥加密技术 哈希函数 速度快,常用的DES、3DES、IDEA等 缺点是密钥传递不方便 经常被用来对数据进行加/解密处理,提高保密性 公钥加密技术 速度慢,常用的RSA、Diffie-Hellman 用于签名和会话的密钥交换 哈希函数 速度快 产生的消息摘要用于信息的完整性检查

认证系统 VPN设备间的认证 对于Access VPN,对个人进行认证 通过密码、密钥、证书等认证 如果使用证书,可以考虑使用自己的CA或第三方的CA 对于Access VPN,对个人进行认证 简单密码、一次性密码S/KEY、 基于硬件的令牌(令牌卡、智能卡、PC卡、USB卡) 生理ID(指纹、声音、视网膜扫描)

安全协议 IPSec 3层协议,直接传输网络协议数据包 基于TCP/IP的标准协议,集成到IPv6中,仅仅传输IP协议数据包 提供了强大的安全、加密、认证和密钥管理功能 适合大规模VPN使用

安全协议 PPTP Point-to-Point Tunnel Protocol, 2层协议,需要把网络协议包封装到PPP包,PPP数据依靠PPTP协议传输 PPTP通信时,客户机和服务器间有2个通道,一个通道是tcp 1723端口的控制连接,另一个通道是传输GRE PPP数据包的IP隧道 PPTP没有加密、认证等安全措施,安全的加强通过PPP协议的MPPE(Microsoft Point-to-Point Encryption)实现 windows中集成了PPTP Server和Client,适合中小企业支持少量移动工作者 如果有防火墙的存在或使用了地址转换,PPTP可能无法工作

安全协议 L2TP RFC2661定义 在Cisco公司的L2F和PPTP的基础上开发 使用并不普遍 统计数字 80%用PPTP,13%用Ipsec

VPN解决方案 一个VPN解决方案不仅仅是一个经过加密的隧道,它包含 VPN系统大体分为4类 访问控制、认证、加密、隧道传输、路由选择、过滤、高可用性、服务质量以及管理 VPN系统大体分为4类 专用的VPN硬件 支持VPN的硬件或软件防火墙 VPN软件 VPN服务提供商 前面提到的VPN是独立于网络服务提供商的,但是服务器提供商也会提供某种“VPN”接入

Access VPN 这种类型的VPN与传统的远程访问网络相对应。 如果企业的内部人员移动或有远程办公需要,可以考虑使用AccessVPN。 AccessVPN通过一个拥有与专用网络相同策略的共享基础设施,提供对企业内部网或外部网的远程访问。AccessVPN能使用户随时、随地以其所需的方式访问企业资源。AccessVPN包括模拟、拨号、ISDN、数字用户线路(xDSL)、移动IP和电缆技术,能够安全地连接移动用户、远程工作者或分支机构。

Access VPN

Access VPN Access VPN工作时,远程客户通过拨号线路连接到ISP的NAS服务器上,经过身份认证后,通过公网跟公司内部的VPN网关之间建立一个隧道,利用这个隧道对数据进行加密传输。 Access VPN最适用于公司内部经常有流动人员远程办公的情况。出差员工利用当地ISP提供的VPN服务,就可以和公司的VPN网关建立私有的隧道连接。RADIUS服务器可对员工进行验证和授权,保证连接的安全,同时负担的电话费用大大降低。 一般使用PPTP或L2TP技术

Access VPN Access VPN对用户的吸引力在于: 减少用于相关的调制解调器和终端服务设备的资金及费用,简化网络; 实现本地拨号接入的功能来取代远距离接入,显著降低远距离通信的费用; 极大的可扩展性,简便地对加入网络的新用户进行调度; 远端验证拨入用户服务(RADIUS)基于标准,基于策略功能的安全服务; 宽带网环境下提供高速的远程接入。

Access VPN的实现方式 客户驱动方式 客户端首先建立与本地ISP的PPP连接,这时客户端可访问Internet,也可访问企业网设置的VPN网关。 下一步就是建立到VPN网关的PPTP连接,连接建立后,远程用户就好像在企业网内部一样。 隧道起始于远程用户的计算机,终结于企业网内的VPN网关。 远程用户经由Internet访问企业的网络和应用,而不再需要直接拨号至企业的网络。 利用这种体系结构,用户并不需要 ISP提供与VPN相关的附加服务。ISP也感知不到用户在使用VPN服务。 这种方式一般使用PPTP协议。

Access VPN的实现方式 网络接入服务器(NAS)驱动的连接 远端用户首先拨号到ISP的拨号服务器NAS。NAS在对用户进行身份验证时得知用户是一个VPN用户,然后NAS建立一条安全的、加密的隧道连接到企业网络的VPN网关。这条隧道起始于NAS,终结于企业网内的VPN网关。 利用由NAS驱动的体系结构,服务供应商对用户的身份进行验证;企业仍保留有控制他们自己的安全策略、对用户进行身份验证、授与用户访问权限并在网络上跟踪用户活动的权力。 使用这种体系结构需要服务供应商支持,而且存在一个问题——远端用户接入服务供应商的营业点之前的数据是未经加密的。 这种方式一般使用L2TP协议。

Access VPN的实现方式 网络接入服务器(NAS)驱动的连接 L2TP协议通过“虚拟拨号”业务将初始拨号服务器的地点和拨号协议所连接的终点分离开来。 当“虚拟拨号”客户开始接入时,远程用户和它们的ISP的NAS之间就建立了一个PPP链路。 ISP接着对端系统或用户进行部分鉴别以判断此用户是否需要“虚拟拨号”业务,一旦确定需要,那么此用户名就会和VPN网络中心服务器联系起来。并在NAS和VPN中心服务器之间就建立了一条L2TP隧道。 目前中国电信推出的VPDN服务就是采用这种方式。 需要NAS、认证系统、计费系统、企业网VPN接入设备的支持就可以工作了。

Access VPN

Access VPN在无线网下的应用 由于无线网提供的加密/解密手段不多,很容易被窃听 无线网用户通过在无线网上使用PPTP VPN来增强安全性 无线网用户通过普通的网络连接到VPN Server,然后在无线网节点和VPN server间建立VPN VPN可以保证从无线网节点到VPN Server之间的通信都是安全的

案例 需求: 中国科学技术大学为外部移动用户提供VPN接入服务,接入VPN后的用户拥有校内用户完全相同的访问权限,以便访问各种校内外电子资源 设计: 建设一个Access VPN系统 校内设置一台VPN服务器,运行Windows 2000 Server作为PPTP 接入服务器 使用PPTP 接入服务器使用radius协议对用户的接入请求进行身份验证

科大的VPN解决方案 Remote User Internet Radius Server PPTP Server Internet出口 其中还要考虑策略路由

LAN-LAN型VPN 企业内部各分支机构的互连或者企业的合作者互连,使用LAN-LAN VPN是很好的方式。 越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等,各个分公司之间传统的网络连接方式一般是租用专线。 显然,在分公司增多、业务开展越来越广泛时,网络结构趋于复杂,费用昂贵。 利用VPN特性可以在Internet上组建世界范围内的LAN-LAN VPN。 利用Internet的线路保证网络的互联性,而利用隧道、加密等VPN特性可以保证信息在整个LAN-LAN VPN上安全传输。

LAN-LAN型VPN LAN-LAN VPN通过一个使用专用连接的共享基础设施,连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。

LAN-LAN 型VPN

LAN-LAN 型VPN的优势 减少WAN带宽的费用,Internet线路的租用费用远低于专线费用 能使用更灵活的拓扑结构,包括全网络连接 新的站点能更快、更容易地被连接 通过设备供应商WAN的连接冗余,可以延长网络的可用时间。

LAN-LAN 型VPN 主要使用IPsec技术 在ISP提供的不安全IP传输通道上,用户通过设置VPN网关,将多个地方的LAN连接起来,并保证相关的安全性。 使用这种方式,跟ISP相关的主要是价格和服务质量问题。 价格上要解决如何保证这种方式能提供比租用专线更优的价格。 服务质量要保证带宽、延迟、丢包率等参数,尤其是丢包率。

IPsec VPN优势 用户只要在具有Internet链路的基础上,增加IPsec VPN的网关设备即可利用IPsec VPN把局域网安全的互连 带宽高 VPN连接提供的带宽取决于加密/解密的的速度和2点间Internet带宽 在安徽省电信公司宽带网络连接的2个100M站点间,建立的VPN带宽可达60Mbps以上 灵活性高 随时可以建立和取消VPN

IPsec VPN缺点 安全性 稳定性 由于跟Internet有“物理”连接,普遍认为保密的信息不宜在IPsec VPN 上传输 带宽、延迟、丢包跟外部的ISP主干网运行状况密切相关,用户不可控