第9章 虛擬私人網路VPN
大綱 VPN簡介 VPN服務類型 VPN建構方式 VPN實施技術 IP Sec協定
VPN簡介 VPN架構圖 VPN Internet Internet傳輸
VPN簡介 VPN特性 節省成本 具有彈性 具有擴充性 虛擬通道 通道私有性
VPN服務類型 Intranet VPN服務 Internet VPN連線 組織總部 分公司 VPN通道 透過ISP撥接
VPN服務類型 VPDN服務 Internet VPN連線 組織總部 VPN通道 透過ISP撥接 業務員或行動用戶
VPN服務類型 Extranet VPN服務 Internet VPN連線 組織總部 合作夥伴 VPN通道
VPN服務類型 企業VPN網路架構 Internet 企業總部 分公司 合作夥伴 行動用戶 VPN通道
VPN建構方式 現有路由器升級 在伺服器與防火牆加裝VPN軟體 使用專屬VPN設備
VPN實施技術 通道技術(Tunneling) 加解密技術(Encryption and Decryption) 密鑰管理技術(Key management) 認證技術(Authentication)
VPN實施技術 通道技術(Tunneling) PPTP L2TP IPSec OSI協定層 第二層 第三層 VPN功能 點對點傳輸 多點傳輸 Internet使用 否 可 適用協定 IP、IPX、AppleTalk等 IPv4、IPv6
VPN實施技術 加解密技術(Encryption and Decryption) 對稱式密碼學(Symmetric Cryptography) 又稱密鑰加密,其加解密均使用相同鑰匙,例如:DES、RC2。 非對稱式密碼學(Asymmetric Cryptography) 又稱公鑰加密,其加解密使用不同的鑰匙,例如:RSA。由於對稱式密碼技術之運算速度較非對稱式密碼技術快,因此目前加密標準均採用DES或Triple DES。
VPN實施技術 密鑰管理技術(Key management) SKIP (Simple Key Management for IP) 使用Difee-Hellman演算法提供四種獨立之網路安全服務,包括: 存取控制 加解密 確認資料完整性 金鑰與認證管理 ISAKMP/Oakley (Internet Security Agreement/Key Management Protocol/Oakley) 主要定義辨識、確認及分配密鑰的方法。
VPN實施技術 認證技術(Authentication) X.509憑證(Certification) PAP (Password Authentication Protocol) CHAP (Challenge Handshake Authentication Protocol) RADIUS (Remote Authentication Dial-in User Service)
IP Sec協定 由IETF(Internet Engineering Task Force,網際網路工程工作小組)所制定之標準 提供Internet、Intranet、Extranet及Remote Access之加密及認證等安全保護 可防止IP被偽裝及或錯誤遞送封包,提高資料封包傳輸之可靠度 IPSec之設計主要達到「網路層」之安全通訊,其所能提供的安全服務包括 網路元件的存取控制 封包偵測 資訊加密 資料來源認證
IP Sec協定 IP Sec 架構圖 IP Sec架構 ESP AH IKE 加密演算法 驗證演算法 IP Sec DOI
IP Sec協定 IP Sec 模式 認證標頭AH 封裝安全負載ESP 傳送模式(Transport Mode) 通道模式(Tunnel Mode) 封裝安全負載ESP
IP Sec協定 AH 認證 IP datagram AH 傳輸模式 AH 通道模式 原始IP標頭 (IP Header) IP 負載資料 (IP Payload) AH 傳輸模式 AH標頭 認證 AH 通道模式 (New IP Header) AH標頭 原始IP標頭 (IP Header) IP 負載資料 (IP Payload) 認證
IP Sec協定 ESP 協定 傳輸模式 通道模式 加密 認證 加密 認證 原始IP標頭 (IP Header) ESP Header (IP Payload) ESP Trailer ESP認證 加密 認證 通道模式 新IP標頭 ESP Header 原始IP標頭 (IP Header) IP 負載資料 (IP Payload) Trailer 認證 加密 認證