VPN A0943305 黃明陽 指導教授:梁明章教授
VPN 在成本與資料安全的雙重考量下 VPN的技術誕生 跨國性的網路連結普遍化 資料安全性要求越來越高 虛擬私有網路(Virtual Private Network ; VPN) 跨國性的網路連結普遍化 資料安全性要求越來越高 在成本與資料安全的雙重考量下 VPN的技術誕生
假設A公司要建立兩地的網路連線,可以考慮的方案有: 1.利用電話撥接 優點:簡單 缺點:傳輸速率慢(<56Kbps) 國際電話費的成本高(時間長錢多) 2.利用專線 優點:穩定的傳輸速率(不會時間長錢多) 缺點:租用費用昂貴 3.利用網際網路 優點:ISP費用低 缺點:保密性低 ,風險高 3/13
通道(Tunneling)技術 成本考量後用第3方案,但保密性低 利用加密技術---> 通道(Tunneling)技術 在公眾網路上建立一條秘密通道來傳輸資料的一種 資料包裝方式(Encapsulation)。將封包封裝在另一 個封包內,並加上壓縮與加密等動作。 現在通道技術所使用的協定主要有:PPTP 、 L2TP 及IPSec等三種。 4/13
通道(Tunneling)技術 利用通道技術,甲地的區域網路與乙地的區域網路,透過 網際網路建立一個安全的傳輸管道,兩者彷彿連成一個公 司專用的網路,這個網路稱為虛擬私有網路。 5/13
VPN優點 天涯若比鄰 安全的傳輸通道 彈性又經濟的專有網路 網路世界化,企業多點化,組織的成員可能在世界各 地皆有連回組織內網的需求。 行動網路技術的發展,使連網方式多樣化,資安風險 大增,須確保傳輸過程的機密性。 彈性又經濟的專有網路 組織成員無論在何處上網,皆可形成安全通道,傳輸 經過Internet,無須額外的實體專線。 6/13
通道技術的封裝協定 點對點通道協定 (Point-to-Point Tunneling Protocol;PPTP) 第二層通道協定 (Layer 2 Tunneling Protocol;L2TP) 網際網路安全協定 (Internet Protocol Security;IPSec) 7/13
通道技術的封裝協定 三者最大的不同,運用IPSec的技術,使用者可以同時使用Internet與 VPN的多點傳輸功能(包括Internet/Intranet/Extranet/Remote Access 等) ,而PPTP及L2TP只能執行點對點VPN的功能,無法同時執行Internet 的應用,使用時較不方便, 在安全上,IPSec會對整個傳輸資料 做加密,PPTP及L2TP則是對封包 的再封裝(Encapsulation),並未對資料做加密處理,安全性較低。 8/13
IPSec 由IETF(Internet Engineering Task Force)組織制定,作為保護IP封包安 全性的通用標準。 是一種「連接式」(Connection-Oriented)協定。它的傳送端與接收端, 在傳輸之前必須先建立一條「單向」連線,那這種點對點的單向連接 式協定稱為SA(Security Association)。 舉例: A電腦與B電腦要互相傳送資料,則必須建立AB和BA兩條 SA連線 與TCP連線特性相似。 建立SA連線時,必定會用到ISAKMP協定,至於AH協定和ESP協定可 以擇一或同時使用。 9/13
IPSec ISAKMP(Internet Security Association and Key Management Protocol)協定 主要用來決定加密與解密時所使用的對稱式祕鑰(Secret key) 。 AH(Authent icat ion Header)協定 主要用來執行「身分驗證」與「完整性檢查」(Integrity Check) 兩項工作。前者避免有心人士冒用他人身分,與自己建立連線 、傳輸資料;後者檢查資料在傳輸過程中,是否遭到竄改。 ESP(Encapsulating Security Payload)協定 主要用來執行「身分驗證」和「資料加密」兩項工作。 前者功能如同AH協定;後者是對於IP封包的Payload加密(亦即對於TCP 封包加密),以避免IP封包遭攔截時,會被攔截者看出資料內容。 10/13
VPN應用 Point-to-Network(單機對網路) 又稱Host-to-Network 11/13
VPN應用 Network-to-Network(網路對網路) 又稱Router-to-Router 12/13
THE END 13/13