[筆記] 計算機網(wǎng)絡(luò)安全：（7）虛擬專網(wǎng)技術(shù)

網(wǎng)絡(luò)安全基礎(chǔ)

internet協(xié)議的安全性

Web安全

網(wǎng)絡(luò)掃描和網(wǎng)絡(luò)監(jiān)聽

防火墻原理與設(shè)計

入侵檢測系統(tǒng)

VPN技術(shù)

---

目錄

• [筆記] 計算機網(wǎng)絡(luò)安全：（7）虛擬專網(wǎng)技術(shù)
• • 7.1 虛擬專網(wǎng)的基本概念和分類
  • • 7.1.1 虛擬專網(wǎng)的概念
    • 7.1.2 虛擬專網(wǎng)的特點
    • 7.1.3 虛擬專網(wǎng)的分類
    • • Access 虛擬專網(wǎng)：遠程訪問虛擬專網(wǎng)
      • Intranet 虛擬專網(wǎng)：網(wǎng)關(guān)-網(wǎng)關(guān)，企業(yè)內(nèi)部虛擬專網(wǎng)
      • Extranet 虛擬專網(wǎng)：網(wǎng)關(guān)-網(wǎng)關(guān)，企業(yè)外部虛擬專網(wǎng)
    • 7.1.4 虛擬專網(wǎng)的關(guān)鍵技術(shù)
    • • 密碼技術(shù)
      • 身份認證技術(shù)
      • 隧道技術(shù)
      • 密鑰管理技術(shù)
      • 訪問控制技術(shù)
  • 7.2 PPTP、IPSec、TLS等隧道協(xié)議
  • • 7.2.1 第二層隧道協(xié)議
    • • 代表協(xié)議
      • 優(yōu)缺點
    • 7.2.2 第三層隧道協(xié)議
    • • 代表協(xié)議
  • 7.3 IPSec 的原理及應(yīng)用
  • • 7.3.1 IP安全概述
    • • IP安全的必要性
      • IPSec安全體系結(jié)構(gòu)
      • IPSec協(xié)議簇
      • IPSec的功能
      • 術(shù)語補充
      • IPSec的實現(xiàn)
      • IPSec的傳輸模式
      • IPSec的隧道模式
      • IPsec協(xié)議概述
    • 7.3.2 IPSec的工作原理
    • • 外出處理
      • 進入處理
    • 7.3.3 IPSec中的主要協(xié)議
    • • AH（Authentication Header，驗證頭部協(xié)議） RFC2402
      • ESP
      • IKE
    • 7.3.4 IPSec 虛擬專網(wǎng)的構(gòu)成和部署
    • • IPSec 虛擬專網(wǎng)的構(gòu)成
      • IPSec 虛擬專網(wǎng)的部署
      • IPSec虛擬專網(wǎng)的缺陷
    • 7.3.5 IPSec的實現(xiàn)
  • 7.4 TLS 的原理及應(yīng)用
  • • 7.4.1 SSL 概述
    • • SSL VPN的特點
      • 概述
      • 組成
    • 7.4.2 TLS 的原理
    • • 握手協(xié)議
      • TLS記錄協(xié)議
      • 警告協(xié)議
      • TLS 虛擬專網(wǎng)的實現(xiàn)方式
      • SSL 虛擬專網(wǎng)的分類
    • 7.4.3 TLS 虛擬專網(wǎng)的優(yōu)缺點
    • 7.4.4 TLS 虛擬專網(wǎng)的應(yīng)用
    • 7.4.5 TLS VPN 與 IPSec VPN比較
  • 7.5 PPTP 虛擬專網(wǎng)的原理及應(yīng)用
  • • 7.5.1 PPTP 虛擬專網(wǎng)概述
    • 7.5.2 PPTP 虛擬專網(wǎng)的原理
    • 7.5.3 PPTP 虛擬專網(wǎng)的優(yōu)缺點
    • 7.6.4 PPTP與L2TP
  • 7.6 MPLS 虛擬專網(wǎng)的原理及應(yīng)用
  • • 7.6.1 MPLS 虛擬專網(wǎng)概述
    • 7.6.2 MPLS 虛擬專網(wǎng)的原理
    • 7.6.3 MPLS 虛擬專網(wǎng)的優(yōu)缺點
    • 7.6.2 MPLS 虛擬專網(wǎng)的原理
    • 7.6.3 MPLS 虛擬專網(wǎng)的優(yōu)缺點

---

7.1 虛擬專網(wǎng)的基本概念和分類

• 信息在傳輸中可能泄密
• 信息傳輸中可能失真
• 信息的來源可能是偽造的
• 信息傳輸?shù)某杀究赡芎芨?/li>

7.1.1 虛擬專網(wǎng)的概念

虛擬專網(wǎng)：VPN(Virtual Private Network)

定義：是指將物理上分布在不同地點的網(wǎng)絡(luò)通過公用網(wǎng)絡(luò)連接而構(gòu)成邏輯上的虛擬子網(wǎng)。

7.1.2 虛擬專網(wǎng)的特點

• 費用低
• 安全保障
• 服務(wù)質(zhì)量 保證（QoS）
• 可擴充性和靈活性
• 可管理性

7.1.3 虛擬專網(wǎng)的分類

Access 虛擬專網(wǎng)：遠程訪問虛擬專網(wǎng)

• Access VPN與傳統(tǒng)的遠程訪問網(wǎng)絡(luò)相對應(yīng)
• 遠端用戶只要能使用合法IP地址訪問Internet，接入到遠端網(wǎng)關(guān)即可、可以利用VPN系統(tǒng)在公眾網(wǎng)上建立一個從客戶端到網(wǎng)關(guān)的安全傳輸通道。
• 降低了長途電話，租用光纖及技術(shù)支持的費用
• 適用于企業(yè)內(nèi)部人員流動頻繁或遠程辦公的情況

Intranet 虛擬專網(wǎng)：網(wǎng)關(guān)-網(wǎng)關(guān)，企業(yè)內(nèi)部虛擬專網(wǎng)

• 如果要進行企業(yè)內(nèi)部異地分支機構(gòu)的互聯(lián)，可以使用Intranet VPN方式，這是所謂的網(wǎng)關(guān)對網(wǎng)關(guān)VPN
• Intranet VPN在異地兩個網(wǎng)絡(luò)的網(wǎng)關(guān)之間建立了一個加密的VPN隧道，兩端的內(nèi)部網(wǎng)絡(luò)可以通過該VPN隧道安全地進行通信，就好像和本地網(wǎng)絡(luò)通信一樣

Extranet 虛擬專網(wǎng)：網(wǎng)關(guān)-網(wǎng)關(guān)，企業(yè)外部虛擬專網(wǎng)

• 如果一個企業(yè)希望將客戶、供應(yīng)商、合作伙伴或興趣群體連接到企業(yè)內(nèi)部網(wǎng)，可以使用Extranet VPN。
• Extranet VPN其實也是一種網(wǎng)關(guān)對網(wǎng)關(guān)的VPN，與Intranet VPN不同的是，它需要在不同企業(yè)的內(nèi)部網(wǎng)絡(luò)之間組建，需要有不同協(xié)議和設(shè)備之間的配合和不同的安全配置

7.1.4 虛擬專網(wǎng)的關(guān)鍵技術(shù)

• 隧道技術(shù)
• 密碼技術(shù)
• 密鑰管理技術(shù)
• 身份認證技術(shù)
• 訪問控制技術(shù)

密碼技術(shù)

• 密碼技術(shù)是實現(xiàn)VPN的關(guān)鍵核心技術(shù)之一。
• 一般情況下，在VPN實現(xiàn)中：
  • 雙方大量的通信流量的加密使用對稱加密算法，運算量小、速度快。眾多算法中最常用的是DES（Data Encryption Standard）、AES（Adva nced Encryption Standard）和IDEA（Interna tional Data Encryption Algorithm）
  • 而在管理、分發(fā)對稱加密的密鑰上采用更加安全的非對稱加密技術(shù)。

身份認證技術(shù)

• VPN需要解決的首要問題就是網(wǎng)絡(luò)上用戶與設(shè)備的身份認證。
• 從技術(shù)上說，身份認證基本上可以分為兩類：非PKI體系和PKI體系的身份認證。
  • 非PKI體系：UID+PASSWORD
    • PAP，Password Authentication Protocol，口令認證協(xié)議
    • CHAP，Challenge Handshake Authentication Protocol，挑戰(zhàn)握手認證協(xié)議
    • MS CHAP，Microsoft Challenge Handshake Authentication Protocol，微軟CHAP
    • RADIUS，Remote Authentication Dial In User Service ，遠程認證撥號用戶服務(wù)
  • PKI體系
    • 常用的方法是依賴于CA（Certificate Authority，數(shù)字證書簽發(fā)中心）所簽發(fā)的符合X.509規(guī) 范的標(biāo)準(zhǔn)數(shù)字證書。
    • 通信雙方交換數(shù)據(jù)前，需先確認彼此的身份，交換彼此的數(shù)字證書，雙方將用此證書進行比較，只有比較結(jié)果正確，雙方才開始交換數(shù)據(jù) ；否則，不能進行后續(xù)通信

隧道技術(shù)

• 隧道技術(shù)通過對數(shù)據(jù)進行封裝，在公共網(wǎng)絡(luò)上建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過這條隧道傳輸。
• 生成隧道的協(xié)議有三種：
  • 第二層隧道協(xié)議
    • 第二層隧道協(xié)議是在數(shù)據(jù)鏈路層進行的，先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP包中，再把整個數(shù)據(jù)包裝入隧道協(xié)議中，這種經(jīng)過兩層封裝的數(shù)據(jù)包由第二層協(xié)議進行傳輸
      • L2F（RFC 2341，Layer 2 Forwarding）
      • PPTP（RFC 2637，Point to Point Tunneling Protocol）
      • L2TP（RFC 2661，Layer Two Tunneling Protocol）。
    • 采用L2TP還是PPTP實現(xiàn)VPN取決于要把控制權(quán)放在NAS(Network Access Server)還是用戶手中。
    • L2TP比PPTP更安全，因為L2TP接入服務(wù)器能夠確定用戶從哪里來。L2TP主要用于比較集中的、固定的VPN用戶，而PPTP比較適合移動的用戶。
  • 第三層隧道協(xié)議
    • 在網(wǎng)絡(luò)層進行的，把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進行傳輸
      • IPSec (IP Security)，是目前最常用的VPN解決方案
      • GRE(RFC 2784，General Routing Encapsulation)
        • GRE主要用于源路由和終路由之間所形成的隧道。例如，將通過隧道的報文用一個新的報文頭（GRE報文頭）進行封裝然后帶著隧道終點地址放入隧道中。當(dāng)報文到達隧道終點時 ，GRE報文頭被剝掉，繼續(xù)根據(jù)原始報文的目標(biāo)地址進行尋址。
        • GRE隧道技術(shù)是用在路由器中的，可以滿足Extranet VPN以及Intranet VPN的需求
  • 第四層隧道協(xié)議
    • 工作在傳輸層,把網(wǎng)絡(luò)層數(shù)據(jù)包或應(yīng)用數(shù)據(jù)裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠傳輸層協(xié)議進行傳輸
      • TLS（ Transport Layer Security）：傳輸層安全性協(xié)議
      • TLS/SSL VPN 主要為遠程訪問VPN（Access-VPN)

密鑰管理技術(shù)

• 在VPN應(yīng)用中密鑰的分發(fā)與管理非常重要。密鑰的分發(fā)有兩種方法：
  • 手工配置：要求密鑰更新不要太頻繁，否則管理工作量太大，因此只適合于簡單網(wǎng)絡(luò)的情況。
  • 采用密鑰交換協(xié)議動態(tài)分發(fā)：采用軟件方式動態(tài)生成密鑰，保證密鑰在公共網(wǎng)絡(luò)上安全地傳輸而不被竊取，適合于復(fù)雜網(wǎng)絡(luò)的情況，而且密鑰可快速更新，可以顯著提高VPN應(yīng)用的安全性

訪問控制技術(shù)

• 訪問控制決定了誰能夠訪問系統(tǒng)、能訪問系統(tǒng)的何種資源以及如何使用這些資源
• 采取適當(dāng)?shù)脑L問控制措施能夠阻止未經(jīng)允許的用戶有意或無意地獲取數(shù)據(jù)，或者非法訪問系統(tǒng)資源等。

7.2 PPTP、IPSec、TLS等隧道協(xié)議

隧道協(xié)議

• 指通過一個公用網(wǎng)絡(luò)（通常是 Internet）建立的一條穿過公用網(wǎng)絡(luò)的安全的、邏輯上的隧道。在隧道中，數(shù)據(jù)包被重新封裝發(fā)送

VPN的主要封裝協(xié)議:

• 第2層的隧道協(xié)議
  • –包括PPTP、L2TP、L2F等
• 第3層的隧道協(xié)議
  • –包括IPSec、GRE等
• 第4層的隧道協(xié)議
  • –包括SSL、TLS等。

7.2.1 第二層隧道協(xié)議

代表協(xié)議

• PPTP
  • 讓遠程用戶撥號連接到本地ISP、通過Internet安全遠程訪問公司網(wǎng)絡(luò)資源。
  • PPTP具有兩種不同的工作 模式，即被動模式和主動模式。
• L2F
  • 可以在多種介質(zhì)（如ATM、 幀中繼、IP網(wǎng)）上建立多協(xié)議的安全虛擬專用網(wǎng)。
  • 它將鏈路層的協(xié)議（如 HDLC，PPP， ASYNC等）封裝起來傳送
• L2TP
  • 在上述兩種協(xié)議的基礎(chǔ)上產(chǎn)生。 適合組建遠程接入方式的VPN。

優(yōu)缺點

• 優(yōu)點
  • 簡單易行
• 缺點
  • 可擴展性都不好
  • 不提供內(nèi)在的安全機制，不能保證企業(yè)和企業(yè)的外部客戶及供應(yīng)商之間會話的保密性

7.2.2 第三層隧道協(xié)議

代表協(xié)議

• IPSec
  • 專為IP設(shè)計提供安全服務(wù)的一種協(xié)議
• GRE Generic Routing Encapsulation
  • 規(guī)定了如何用一種網(wǎng)絡(luò)協(xié)議去封裝另一種網(wǎng)絡(luò)協(xié)議的方法。
• MPLS Multiprotocol Label Switching
  • 引入了基于標(biāo)記的機制。
  • 它把選路和轉(zhuǎn)發(fā)分開，用標(biāo)簽來規(guī)定一個分組通過網(wǎng)絡(luò)的路徑

7.3 IPSec 的原理及應(yīng)用

7.3.1 IP安全概述

• 大型網(wǎng)絡(luò)系統(tǒng)內(nèi)運行多種網(wǎng)絡(luò)協(xié)議（TCP/IP、IPX/SP X和NETBEUA等）這些網(wǎng)絡(luò)協(xié)議并非為安全通信設(shè)計
• IP協(xié)議維系著整個TCP/IP協(xié)議的體系結(jié)構(gòu)，除了數(shù)據(jù)鏈路層外，TCP/IP的所有協(xié)議的數(shù)據(jù)都是以IP數(shù)據(jù)報 的形式傳輸?shù)摹?/li>
• TCP/IP協(xié)議簇有兩種IP版本：IPv4、IPv6。IPv6簡化了IP頭，其數(shù)據(jù)報更加靈活，同時IPv6還增加了對安全性的考慮

IP安全的必要性

• IPv4在設(shè)計之初沒有考慮安全性，導(dǎo)致在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)很容易受到各式各樣的攻擊：比如偽造IP包地址、修改其內(nèi)容、重播以前的包以及在傳輸途中攔截并查看包的內(nèi)容等。因此，通信雙方不能保證收到IP數(shù)據(jù)報的真實性
• 為了加強因特網(wǎng)的安全性，從1995年開始，IETF著手制定了一套用于保護IP通信的IP安全協(xié)議（IP Security，IPSec）。IPSec彌補了IPv4在協(xié)議設(shè)計時缺乏安全性考慮的不足。

IPSec安全體系結(jié)構(gòu)

• IPSec（IP Security）是一種由IETF設(shè)計的端到端的確保IP層通信安全的機制。
• IPSec不是一個單獨的協(xié)議，而是一組協(xié)議，IPSec協(xié)議的定義文件包括了12個RFC文件和幾十個Internet草案，已經(jīng)成為工業(yè)標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全協(xié)議。
• IPSec在IPv6中是必須支持的，而在IPv4中是可選的

IPSec協(xié)議簇

• IPSec協(xié)議簇主要包括兩個安全協(xié)議：AH協(xié)議和ESP協(xié)議
  • AH協(xié)議（Authentication Header，驗證頭）：可以進行數(shù)據(jù)源身份驗證、保障數(shù)據(jù)的完整性以及防止相同數(shù)據(jù)包在因特網(wǎng)重放
  • ESP協(xié)議（Encapsulating Security Payload，封裝安全載荷）：具有所有AH的功能，還可以利用加密技術(shù)保障數(shù)據(jù)機密性。
• 雖然AH和ESP都可以提供身份認證，但它們有2點區(qū)別：
  • ESP要求使用高強度的加密算法，會受到許多限制。
  • 多數(shù)情況下，使用AH的認證服務(wù)已能滿足要求，相對來說，ESP開銷較大。
• 有兩套不同的安全協(xié)議意味著可以對IPSec網(wǎng)絡(luò)進行更細粒度的控制，選擇安全方案可以有更大的靈活度
• AH和ESP可以單獨使用，也可以組合使用，可以在兩臺主機、兩臺安全網(wǎng)關(guān)（防火墻和路由器），或者主機與安全網(wǎng)關(guān)之間使用
• IKE（Internet Key Exchange）
  • IKE協(xié)議負責(zé)密鑰管理，定義了通信實體間進行身份認證、協(xié)商加密算法以及生成共享的會話密鑰的方 法。
  • IKE將密鑰協(xié)商的結(jié)果保留在安全聯(lián)盟（SA）中，供AH和ESP以后通信時使用
• DOI（Domain of Interpretation）
  • 解釋域DOI定義IKE所沒有定義的協(xié)商的內(nèi)容；
  • DOI為使用IKE進行協(xié)商SA的協(xié)議統(tǒng)一分配標(biāo)識符。共享一個DOI的協(xié)議從一個共同的命名空間中選擇安 全協(xié)議和變換、共享密碼以及交換協(xié)議的標(biāo)識符等
  • DOI將IPSec的這些RFC文檔聯(lián)系到一起

IPSec的功能

• 保證數(shù)據(jù)完整性
  • IPSec通過驗證算法保證數(shù)據(jù)從發(fā)送方到接收方的傳送過程中的任何數(shù)據(jù)篡改和丟失都可以被檢測。
• 保證數(shù)據(jù)機密性
  • IPSec通過加密算法使只有真正的接收方才能獲取真正的發(fā)送內(nèi)容，而他人無法獲知數(shù)據(jù)的真正內(nèi)容

術(shù)語補充

• SA（Security Association，安全關(guān)聯(lián)）
  • 是兩個IPSec實體（主機、安全網(wǎng)關(guān)）之間經(jīng)過協(xié)商建立起來的一種協(xié)定。
  • 內(nèi)容包括采用何種IPSec協(xié)議（AH還是ESP）、運行模式（傳輸模式還是隧道模式）、驗證算法、加密算法 、加密密鑰、密鑰生存期、抗重放窗口、計數(shù)器等，從而決定了保護什么、如何保護以及誰來保護。
  • 可以說SA是構(gòu)成IPSec的基礎(chǔ)。
  • 每個SA由三元組（SPI，IP目的地址，IPSec協(xié)議）來唯一標(biāo)識
    • SPI（Security Parameter Index，安全參數(shù)索引）是32位的安全參數(shù)索引，用于標(biāo)識具有相同IP地址和相同安全協(xié)議的不同的SA，它通常被放在AH或ESP頭中
    • IP目的地址：它是SA的終端地址。
    • IPSec協(xié)議：采用AH或ESP。
  • SA是單向的，在一次通信中，IPSec需要建立兩個SA，一個用于入站通信，另一個用于出站通信
• SAD（Security Association Database，安全關(guān)聯(lián)數(shù)據(jù)庫）
  • SAD并不是通常意義上的“數(shù)據(jù)庫”，而是將所有的SA以某種數(shù)據(jù)結(jié)構(gòu)集中存儲的一個列表。
  • 對于外出的流量，如果需要使用IPSec處理，然而相應(yīng)的SA不存在，則IPSec將啟動IKE來協(xié)商出一個SA，并存儲到SAD中
  • 對于進入的流量，如果需要進行IPSec處理，IPSec將從IP包中得到三元組（SPI,DST,Protocol），并利用這個三元組在SAD中查找一個SA。
• SP（Security Policy，安全策略）
  • 決定對IP數(shù)據(jù)包提供何種保護，并以何種方式實施保護。
  • SP主要根據(jù)源IP地址、目的IP地址、入數(shù)據(jù)還是出數(shù)據(jù)等來標(biāo)識。
  • IPSec還定義了用戶能以何種粒度來設(shè)定自己的安全策略，不僅可以控制到IP地址，還可以控制到傳輸層協(xié)議或者TCP/UDP端口等
• SPD（Security Policy Database，安全策略數(shù)據(jù)庫）
  • SPD也不是通常意義上的“數(shù)據(jù)庫”，而是將所有的SP以某種數(shù)據(jù)結(jié)構(gòu)集中存儲的列表。 （包處理過程中，SPD和SAD兩個數(shù)據(jù)庫要聯(lián)合使用）
  • 當(dāng)接收或?qū)⒁l(fā)出IP包時，首先要查找SPD來決定如何進行處理。存在3種可能的處理方式：丟棄、不用 IPSec和使用IPSec。
    • 丟棄：流量不能離開主機或者發(fā)送到應(yīng)用程序，也不能進行轉(zhuǎn)發(fā)。
    • 不用IPSec：對流量作為普通流量處理，不需要額外的IPSec保護。
    • 使用IPSec：對流量應(yīng)用IPSec保護，此時這條安全策略要指向一個SA。對于外出流量，如果該SA尚不存在，則啟動IKE進行協(xié)商，把協(xié)商的結(jié)果連接到該安全策略上。

SPD示例

srcdes處理隧道本地端點隧道對方端點

B	A	ESP	RB	A
B	A	轉(zhuǎn)發(fā)	無	無

IPSec的實現(xiàn)

• IPSec的實現(xiàn)方式有兩種：傳輸模式（Trans port Mode）和隧道模式（Tunnel Mode）
• AH和ESP都支持這兩種模式，因此有四種組合：
  • 傳輸模式的AH
  • 隧道模式的AH
  • 傳輸模式的ESP
  • 隧道模式的ESP

IPSec的傳輸模式

• 采用傳輸模式時，IPSec只對IP數(shù)據(jù)包的凈荷進行加密或認證。
• 封裝數(shù)據(jù)包繼續(xù)使用原IP頭部，只對部分域進行修改。
• 而IPSec協(xié)議頭部插入到原IP頭部和傳輸層頭部之間。
• 只用于兩臺主機之間的安全通信

正常網(wǎng)絡(luò)IP頭傳輸層數(shù)據(jù)報

應(yīng)用AH		IP頭	AH	傳輸層數(shù)據(jù)報
應(yīng)用ESP		IP頭	ESP	傳輸層數(shù)據(jù)報
應(yīng)用AH和ESP	IP頭	AH	ESP	傳輸層數(shù)據(jù)報

IPSec的隧道模式

• 隧道模式保護的是整個IP包。通常情況下，只要IPSec雙方有一方是安全網(wǎng)關(guān)或路由器，就必須使用隧道模式
• 采用隧道模式時，IPSec對整個IP數(shù)據(jù)包進行加密或認證。
• 產(chǎn)生一個新的IP頭，IPSec頭被放在新IP頭和原IP數(shù)據(jù)包之間，組成一新IP頭。

正常網(wǎng)絡(luò)原始IP頭傳輸層數(shù)據(jù)報

應(yīng)用AH	外部IP頭	ESP頭	原始IP頭	傳輸層數(shù)據(jù)報	ESP尾
應(yīng)用ESP	外部IP頭	AH頭	原始IP頭	傳輸層數(shù)據(jù)報

IPsec協(xié)議概述

AH、ESP或AH+ESP既可以在隧道模式中使用，又可以在傳輸模式中使用

功能/模式認證頭協(xié)議（AH）封裝安全載荷（ESP）ESP+AH

訪問控制	1	1	1
認證	1	1	1
消息完整性	1	1	1
重放保護	1	1	1
機密性	0	1	1

7.3.2 IPSec的工作原理

• IPSec的工作原理類似于包過濾防火墻，可以把它看做是包過濾防火墻的一種擴展。
• IPSec網(wǎng)關(guān)通過查詢安全策略數(shù)據(jù)庫（SPD）決定對接收到的IP數(shù)據(jù)包進行轉(zhuǎn)發(fā)、丟棄或IPSec處理
• IPSec網(wǎng)關(guān)可以對IP數(shù)據(jù)包只進行加密或認證，也可以對數(shù)據(jù)包同時實施加密和認證。
• 無論是進行加密還是進行認證，IPSec都有兩種工作模式：傳輸模式和隧道模式

外出處理

• 外出處理過程中，傳輸層的數(shù)據(jù)包流入IP層。IP層檢索SPD數(shù)據(jù)庫，判斷應(yīng)為這個包提供哪些服務(wù)。可能有以下幾種情況：
  • 丟棄：簡單丟掉
  • 不應(yīng)用安全服務(wù)：為載荷增添IP頭，然后分發(fā)IP包
  • 應(yīng)用安全服務(wù)：如果已建立SA，則返回指向該SA的指針；如果未建立SA，則調(diào)用IKE建立SA。按照建立的SA，增添適當(dāng)?shù)腁H和ESP頭。

進入處理

• 收到IP包后，如果包內(nèi)沒有IPSec頭，則根據(jù)安全策略對包進行檢查，決定如何處理：
  • 丟棄：直接丟棄；
  • 應(yīng)用安全服務(wù)：如果沒有ipsec頭，說明包有問題，丟棄；
  • 不應(yīng)用安全服務(wù)：將包載荷傳給上層協(xié)議處理
• 如果IP包中包含了IPSec包：
  • 從IP包中提取三元組(SPI，目標(biāo)地址，協(xié)議)在SAD中檢索
  • 根據(jù)協(xié)議值交給AH層或ESP層處理。
  • 協(xié)議載荷處理完之后，要在SPD中查詢策略，驗證SA使用是否得當(dāng)

7.3.3 IPSec中的主要協(xié)議

IPSec中主要由AH、ESP和IKE三個協(xié)議來實現(xiàn)加密、認證和管理交換功能。

• AH
  • RFC 2402將AH服務(wù)定義如下：
    • 非連接的數(shù)據(jù)完整性校驗；
    • 數(shù)據(jù)源點認證；
    • 可選的抗重放攻擊服務(wù)。
  • AH有兩種實現(xiàn)方式：傳輸方式和隧道方式
  • AH只涉及認證，不涉及加密
• ESP
  • ESP協(xié)議主要用于對IP數(shù)據(jù)包進行加密，此外也對認證提供某種程度的支持。
  • ESP協(xié)議也有兩種工作模式：傳輸模式和隧道模式。
• IKE
  • 用于動態(tài)建立安全關(guān)聯(lián)（SA，Security Association）

AH（Authentication Header，驗證頭部協(xié)議） RFC2402

• AH對IP層的數(shù)據(jù)使用驗證算法MAC，從而對完整性進行保護。
• MAC（Message Authentication Codes，報文驗證碼），即報文摘要，是從HASH算法演變而來，又稱為HMAC，如HMAC-MD5、HMAC-SHA1、HMAC-RIPEMD-160。
• 通過HMAC可以檢測出對IP包的頭部和載荷的修改，從而保護IP包的內(nèi)容完整性和來源可靠性。
• 不同IPSec系統(tǒng)可用的HMAC算法可能不同，但HMAC-MD5和HMAC-SHA1是必須實現(xiàn)的
• AH協(xié)議和TCP、UDP協(xié)議一樣，是被IP協(xié)議封裝的協(xié)議之一，可以由IP協(xié)議頭部中的協(xié)議字段判斷，AH的協(xié)議號是51

AH傳輸模式

• AH插入到IP頭部（包括IP選項字段）之后，傳輸層協(xié)議（如TCP、UDP）或者其他IPSec協(xié)議之前
• 被AH驗證的區(qū)域是整個IP包（可變字段除外），包括IP包頭部，因此源IP地址、目的IP地址是不能修改的，否則會被檢測出來
• 然而，如果該包在傳送的過程中經(jīng)過NAT網(wǎng)關(guān)，其源/目的IP地址將被改變，將造成到達目的地址后的完整性驗證失敗。因此，AH在傳輸模式下和NAT是沖突的，不能同時使用，或者可以說AH不能穿越NAT

正常網(wǎng)絡(luò)IP頭部(含選項字段)TCP頭部(含選項字段)數(shù)據(jù)

AH傳輸	IP頭部(含選項字段)	AH頭部	TCP頭部(含選項字段)	數(shù)據(jù)

AH隧道模式

• 在隧道模式中，AH插入到原始IP頭部之前，然后在AH之前再增加一個新的IP頭部
• 隧道模式下，AH驗證的范圍也是整個IP包，因此上面討論的AH和NAT的沖突在隧道模式下也存在。
• 在隧道模式中，AH可以單獨使用，也可以和ESP一起嵌套使用。

正常網(wǎng)絡(luò)IP頭部(含選項字段)TCP頭部(含選項字段)數(shù)據(jù)

AH隧道	新IP頭部(含選項字段)	AH頭部	IP頭部(含選項字段)	TCP頭部(含選項字段)	數(shù)據(jù)

數(shù)據(jù)完整性檢查

• 在發(fā)送方，整個IP包和驗證密鑰被作為輸入，經(jīng)過HMAC算法計算后得到的結(jié)果被填充到AH頭部的“驗證數(shù)據(jù)”字段中

• 在接收方，整個IP包和驗證算法所用的密鑰也被作為輸入，經(jīng)過HMAC算法計算的結(jié)果和AH頭部的“驗證數(shù)據(jù)”字段進行比較

• 如果一致，說明該IP包數(shù)據(jù)沒有被篡改，內(nèi)容是真實可信的

• ipv4不定字段（在通信過程中可能被合法修改）：

  • 在計算HMAC時先臨時用0填充；

  • 另外，AH頭部的驗證數(shù)據(jù)字段在計算之前也要用0填充，計算之后再填充驗證結(jié)果。

• 應(yīng)被AH保護的內(nèi)容（在通信過程應(yīng)該不被修改）：

  • 固定字段；
  • AH頭中除“驗證數(shù)據(jù)”以外的其他字段；
  • 數(shù)據(jù)：指經(jīng)過AH處理之后，在AH頭部后面的數(shù)據(jù)。
    • 傳輸方式下，指TCP、UDP或ICMP等傳輸層數(shù)據(jù)
    • 隧道模式下，指被封裝的原IP包。

ESP

• 與AH相比，ESP驗證的數(shù)據(jù)范圍要小一些。ESP協(xié)議規(guī)定了所有IPSec系統(tǒng)必須實現(xiàn)的驗證算法：HMAC-MD5、HMAC-SHA1、NULL。
• ESP的加密采用的是對稱密鑰加密算法。不同的IPSec實現(xiàn)，其加密算法也有所不同。為了保證互操作性，ESP協(xié)議規(guī)定了所有IPSec系統(tǒng)都必須實現(xiàn)的加密算法：DES-CBC、NULL。
• 但ESP協(xié)議規(guī)定加密和認證不能同時為NULL。即加密和認證必須至少選其一
• ESP協(xié)議和TCP、UDP協(xié)議一樣，是被IP協(xié)議封 裝的協(xié)議之一，可以由IP協(xié)議頭部中的協(xié)議字 段判斷，ESP的協(xié)議號是50

ESP傳輸模式

• 保護的是IP包的載荷；
• ESP插入到IP頭部（包括IP選項字段）之后，任何被IP協(xié)議所封裝的協(xié)議（如傳輸層協(xié)議TCP、UDP、ICMP，或者IPSec協(xié)議）之前
• ESP加密不包括SPI、序號字段和驗證數(shù)據(jù)；（不包括頭）
• ESP的驗證不包括IP頭部：
  • 優(yōu)點：不存在與NAT沖突的問題；
  • 缺點：除了ESP頭部之外，任何IP頭部字段都可以修改，只要保證其校驗和計算正確，接收端就不能檢測出這種修改。所以，ESP傳輸模式的驗證服務(wù)要比AH傳輸模式弱一些。如果需要更強的驗證服務(wù)并且通信雙方都是公有IP地址，應(yīng)該采用AH來驗證，或者將AH認證與ESP驗證同時使用

正常網(wǎng)絡(luò)IP頭部(含選項字段)TCP頭部(含選項字段)數(shù)據(jù)

ESP傳輸	IP頭部(含選項字段)	ESP頭部	TCP頭部(含選項字段)	數(shù)據(jù)	ESP尾部	ESP驗證數(shù)據(jù)

ESP隧道模式

• 保護的是整個IP包，對整個IP包進行加密；
• 在隧道模式中，ESP插入到原始IP頭部之前，然后在ESP之前再增加一個新的IP頭部
• ESP隧道模式的驗證和加密能夠提供比ESP傳輸模式更加強大的安全功能，因為隧道模式下對整個原始IP包進行驗證和加密，可以提供數(shù)據(jù)流加密服務(wù)；而ESP在傳輸模式下不能提供流加密服務(wù)，因為源、目的IP地址不被加密。
• 不過，隧道模式將占用更多的帶寬，因為增加了一個額外的IP頭部。
• 盡管ESP隧道模式的驗證功能不像AH傳輸模式或隧道模式那么強大，但ESP隧道模式提供的安全功能已經(jīng)足夠了

正常網(wǎng)絡(luò)IP頭部(含選項字段)TCP頭部(含選項字段)數(shù)據(jù)

ESP隧道	新IP頭部(含選項字段)	ESP頭部	IP頭部(含選項字段)	TCP頭部(含選項字段)	數(shù)據(jù)	ESP尾部	ESP驗證數(shù)據(jù)

ESP處理

• 根據(jù)ESP采用的模式來具體處理。
• 注意：
  • 密文是得到驗證的，而驗證中包括未加密的明文.
  • 所以：外出報文—先加密；進入報文—先驗證

AH & ESP

• IPSec協(xié)議使用認證頭標(biāo)AH和封裝安全凈載ESP兩種安全協(xié)議來提供安全通信。兩種安全協(xié)議都分為隧道模式和傳輸模式。
• 傳輸模式用在主機到主機的通信，隧道模式用在其它任何方式的通信

IKE

IKE協(xié)議分兩個階段：

• 第一階段：建立IKE安全關(guān)聯(lián)，即在通信雙方之間協(xié)商密鑰
• 第二階段：利用這個既定的安全關(guān)聯(lián)為IPSec建立安全通道。

Internet密鑰交換

• Internet密鑰交換（IKE）用于動態(tài)建立SA
• IKE屬于一種混合型協(xié)議，由RFC2409定義，包含了3個不同協(xié)議的有關(guān)部分：ISAKMP、O akley和SKEME ，還定義了自己的兩種密鑰交換方式。
• IKE并非為IPSec專用，只要其他協(xié)議需要， 都可用它協(xié)商具體的安全服務(wù)。

ISAKMP協(xié)議

• ISAKMP（Internet Security Association Key Mana gement Protocol，Internet安全聯(lián)盟密鑰管理協(xié)議）：RFC2408。
• 定義了協(xié)商、建立、修改和刪除SA的過程和包格式。
• ISAKMP只是為協(xié)商、修改、刪除SA的方法提供了一個通用的框架，并沒有定義具體的SA格式。這個通用的 框架是與密鑰交換獨立的，可以被不同的密鑰交換協(xié)議使用。
• ISAKMP報文可以利用UDP或者TCP，端口都是500，一般情況下常用UDP協(xié)議

ISAKMP協(xié)議報文

• ISAKMP報文的頭部是固定長度的，包含了維護狀態(tài)、處理載荷必要的信息

• 發(fā)起方Cookie（Initiator Cookie）：64位

  • Cookie可以幫助通信雙方確認一個ISAKMP報文是否真的來自對方。
  • 在發(fā)起方，如果收到的某報文的應(yīng)答方Cookie字段和以前收到的該字段不同，則丟棄該報文；同樣，在應(yīng)答方，如果收到的某報文的發(fā)起方Cookie和以前收到的該字段不同，則丟棄該報文。這種機制可以防止DOS攻擊。
  • 盡管Cookie的生成方法在實現(xiàn)不同的ISAKMP時可能不同，但無論發(fā)起方還是響應(yīng)方，Cookie必須滿足兩個條件：
    • Cookie必須是用各自的機密信息生成的，該機密信息不能從Cookie中推導(dǎo)出來；
    • 對于一個SA，其Cookie是惟一的，也就是說對于一次SA協(xié)商過程，Cookie不能改變。
  • 常用的一個生成Cookie的方法是對下述信息進行HASH（MD5、SHA1或其他HASH算法）之后，取結(jié)果的前64位： 源IP地址＋目的IP地址＋UDP源端口＋UDP目的端口＋隨機數(shù)＋當(dāng)前日期＋當(dāng)前時間

• 應(yīng)答方Cookie(Responder Cookie): 64位

  • 應(yīng)答方的Cookie，緊跟在發(fā)起方Cookie之后

• 下一個載荷（Next Payload）：4位

  • 表示緊跟在ISAKMP頭部之后的第一個載荷的類型值。

• 主版本（Major Version）：4位

  • 表示ISAKMP協(xié)議的主版本號。

• 次版本（Minor Version）：4位

  • 表示ISAKMP協(xié)議的次版本號。

• 交換類型（Exchange Type）：8位

  • 表示該報文所屬的交換類型

• 標(biāo)志（Flags）：8位

  • 目前只有后3位有用，其余保留，用0填充。后3位的含義從最后一位往前依次為：
    • 加密位（encryption），0x01。加密位如果是1，表示ISAKMP頭部后面的所有載荷都被加密了；如果是0，表示載荷是明文，沒有加密。
    • 提交位（commit），0x02。用于確保在發(fā)送被保護的數(shù)據(jù)之前完成SA協(xié)商。
    • 純驗證位（Authentication Only），0x04。主要由哪些希望為ISAKMP引入密鑰恢復(fù)機制的人使用。

• 報文ID（Message ID）：32位

  • 包含的是由第二階段協(xié)商的發(fā)起方生成的隨機值，這個惟一的報文標(biāo)識可以惟一確定第二階段的協(xié)議狀態(tài)。

• 報文長度（length）：32位

  • 以字節(jié)為單位表示了ISAKMP整個報文（頭部+若干載荷）的總長度。

ISAKMP載荷

• ISAKMP雙方交換的內(nèi)容稱為載荷（payload ）。對于一個用基于ISAKMP的密鑰管理協(xié)議 交換的消息來說，其構(gòu)建方法是：將ISAKMP所有載荷鏈接到一個ISAKMP頭。
• 目前定義了13種載荷，它們都是以相同格式的頭開始的

ISAKMP載荷頭部

不論何種載荷，都有一個相同格式的載荷頭部

• 下一個載荷（Next Payload）：8位
  • 表示緊跟在本載荷后面的下一個載荷的類型。
  • 第一個載荷的類型在ISAKMP頭部中指明，最后一個載荷的Next Payload類型為0。
• 保留（reserved）：8位，全0
• 載荷長度（Payload Length）：16位
  • 以字節(jié)為單位表示的載荷長度（包括載荷頭部），定義了每個載荷的邊界

ISAKMP協(xié)商階段

• 階段1
  • 這個階段要協(xié)商的SA可以稱為ISAKMP SA（在IKE中可以稱為 IKE SA），該SA是為了保證階段2的安全通信。
• 階段2
  • 這個階段要協(xié)商的SA是密鑰交換協(xié)議最終要協(xié)商的SA，當(dāng)IKE為IPSec協(xié)商時可以稱為IPSec SA，是保證AH或者ESP的安全通信。
  • 階段2的安全由階段1的協(xié)商結(jié)果來保證。階段1所協(xié)商的一個SA可以用于協(xié)商多個階段2的SA。

ISAKMP交換類型

• 交換類型定義的是在通信雙方所傳送的載荷的類型和順序，比如一方先發(fā)送什么載荷，另一方應(yīng)如何應(yīng)答等。這些交換模式的區(qū)別在于對傳輸信息的保護程度不同，并且傳輸?shù)妮d荷多少也不同
• ISAKMP本身沒有定義具體的密鑰交換技術(shù)。對于IPSec而言，已定義的密鑰交換就是IKE。IKE交換的最終結(jié)果是一個通過驗證的密鑰以及建立在雙方同意基礎(chǔ)上的安全聯(lián)盟SA

IKE交換模式

• IKE基于兩個階段ISAKMP來建立安全聯(lián)盟SA，第一階段建立SA，第二階段用IKE SA建立IPSec的SA
• 第一階段
  • 主模式
  • 積極模式/野蠻模式 （建立IKE SA，建立驗證過的密鑰，是其他交換的前提條件）
• 第二階段
  • 快速模式（為IPSec協(xié)商安全服務(wù)）

IKE身份認證方式

• 基于預(yù)共享字符串（Pre_Shared Key）
  • 雙方事先通過某種方式商定好一個雙方共享的字符串
• 基于數(shù)字簽名（Digital Signature）
  • 利用數(shù)字證書來表示身份，利用數(shù)字簽名算法計算出一個簽名來驗證身份。
• 基于公開密鑰（Public Key Encryption）
  • 利用對方的公開密鑰加密身份，通過檢查對方發(fā)來的該HASH 值作認證。
• 基于修正的公開密鑰（Revised Public Key Encrypt ion）
  • 對上述方式進行修正

IKE第一階段

IKE第二階段

一個完整的IPSec的工作原理

7.3.4 IPSec 虛擬專網(wǎng)的構(gòu)成和部署

IPSec 虛擬專網(wǎng)的構(gòu)成

IPSec 虛擬專網(wǎng)的部署

IPSec虛擬專網(wǎng)的缺陷

• IPSec VPN通信性能低。由于IPSec VPN在 安全性方面比較高，影響了它的通信性能
• IPSec VPN需要客戶端軟件，可能帶來了與其他系統(tǒng)軟件之間兼容性問題的風(fēng)險
• 安裝和維護困難
• 實際全面支持的系統(tǒng)比較少，很少有能運行在其它PC系統(tǒng)平臺的，如Mac、Linux、Solaris 等
• 不易解決網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)和穿越防火墻的問題

7.3.5 IPSec的實現(xiàn)

• FreeS/WAN是Linux操作系統(tǒng)中包含的IPsec VPN實現(xiàn)方案。
• 在網(wǎng)上可以找到其開放的源代碼下載網(wǎng)址： www.freeswan.org

7.4 TLS 的原理及應(yīng)用

7.4.1 SSL 概述

• SSL VPN也稱做傳輸層安全協(xié)議（TLS）VPN

• TLS協(xié)議主要用于HTTPS協(xié)議中，TLS也可以作為構(gòu)造VPN的技術(shù)

• TLS VPN的最大優(yōu)點是用戶不需要安裝和配置客戶端軟件。

• 只需要在客戶端安裝一個IE瀏覽器即可。

• 由于TLS協(xié)議允許使用數(shù)字簽名和證書，故它能提供強大的認證功能。

SSL VPN的特點

• SSL VPN可在NAT代理裝置上以透明模式工作
• SSL VPN不會受到安裝在客戶端與服務(wù)器之間的防火墻等NAT設(shè)備的影響，穿透能力強
• SSL VPN將遠程安全接入延伸到IPSec VPN擴展不到的地方，降低了部署和支持費用
• 客戶端安全檢查和授權(quán)訪問等操作，實現(xiàn)起來更加方便
• SSL VPN可以在任何地點，利用任何設(shè)備，連接到相應(yīng)的網(wǎng)絡(luò)資源上。可以說從功能上講，SSL VPN是企業(yè)遠程安全接入的最佳選擇

概述

• SSL（Secure Socket Layer）安全套接層是一種運行在兩臺機器之間的安全通道協(xié)議；也可以運 行在SSL代理和PC之間
• 功能：保護傳輸數(shù)據(jù)（加密），識別通信機器（認證）
• SSL提供的安全通道是透明的，幾乎所有基于TCP的協(xié)議稍加改動就可以直接運行于SSL之上
• 目前，IETF將SSL作了標(biāo)準(zhǔn)化，推出TLS傳輸層安全協(xié)議（RFC 2246）整合取代，它工作在TCP之上 。TLS1.0與SSL3.0的差別非常微小

組成

• 握手協(xié)議：
  • 對服務(wù)器進行認證
  • 確立用于保護數(shù)據(jù)傳輸?shù)募用苊荑€
• 記錄協(xié)議
  • 傳輸數(shù)據(jù)
• 告警協(xié)議
• SSL連接分為兩個階段，即握手和數(shù)據(jù)傳輸階段；傳輸任何應(yīng)用數(shù)據(jù)之前必須先完成握手

7.4.2 TLS 的原理

握手協(xié)議

功能

• 協(xié)商SSL協(xié)議的版本
• 協(xié)商加密套件
• 協(xié)商密鑰參數(shù)
• 驗證通訊雙方的身份(對客戶端的身份認證可選)
• 建立SSL連接

SSL握手過程

• 無客戶端認證的全握手過程

• 會話恢復(fù)過程

• 有客戶端認證的全握手過程

TLS記錄協(xié)議

• 保護傳輸數(shù)據(jù)的私密性，對數(shù)據(jù)進行加密和解密
• 驗證傳輸數(shù)據(jù)的完整性，計算報文的摘要
• 提高傳輸數(shù)據(jù)的效率，對報文進行壓縮
• 保證數(shù)據(jù)傳輸?shù)目煽亢陀行?/li>

工作流程

警告協(xié)議

• 警告協(xié)議用于提示何時TLS協(xié)議發(fā)生了錯誤，或者兩個主機之間的會話何時終止。
• 只有在TLS協(xié)議失效時告警協(xié)議才會被激活

TLS 虛擬專網(wǎng)的實現(xiàn)方式

在企業(yè)的防火墻后面放置一個TLS代理服務(wù)器

用戶欲安全地連接到公司網(wǎng)絡(luò)

• 首先要在瀏覽器上輸入一個URL(Universal Resource Locator)
• 該連接請求將被TLS代理服務(wù)器取得
• 用戶通過身份驗證
• TLS代理服務(wù)器提供用戶與各種不同應(yīng)用服務(wù)器之間的連接

SSL 虛擬專網(wǎng)的分類

基于Web代理的SSL VPN

• 無須安裝任何客戶端，真正的跨平臺方案
• 僅支持基于Web方式的訪問
• 非Web應(yīng)用需要進行應(yīng)用轉(zhuǎn)換，將基于C/S的Email 、FTP、SSH等應(yīng)用以Web的形式重新實現(xiàn)，實現(xiàn)起來復(fù)雜
• 對于Web頁面中的鏈接，需要進行URL替換
• 優(yōu)點：可以用于任何客戶端，兼容各種平臺訪問，智能終端能無縫支持
• 缺點：支持的應(yīng)用少，需要為新的應(yīng)用進行Web轉(zhuǎn)化
• 內(nèi)網(wǎng)服務(wù)器鏈接： https://sslvpnip/http/serverip/path/xx.html
  • 需要將該頁面中的所有的鏈接全部替換為類似的鏈接，包括靜態(tài)鏈接、動態(tài)鏈接等
• 存在問題：
  • 性能影響較大
  • 由于Web技術(shù)繁多，替換不完全

基于端口轉(zhuǎn)發(fā)的SSL VPN

• 對于FTP、EMAIL、OA、TELNET、遠程桌面、數(shù)據(jù)庫等用戶經(jīng)常使用的C/S應(yīng)用，如果采用Web應(yīng)用轉(zhuǎn)換，對每一種應(yīng)用單獨處理，工作量很大；此外，也改變了用戶的使用習(xí)慣，不為用戶所接受

• 對于這些應(yīng)用，采用端口轉(zhuǎn)發(fā)技術(shù)，客戶端需要運行一個較小的ActiveX插件或Java applet程序，在本地端口監(jiān)聽；訪問企業(yè)內(nèi)網(wǎng)的應(yīng)用數(shù)據(jù)發(fā)送到該監(jiān)聽端口，該程序?qū)⑹盏降臄?shù)據(jù)通過瀏覽器的SSL連接傳輸?shù)骄W(wǎng)關(guān)，網(wǎng)關(guān)再轉(zhuǎn)發(fā)給內(nèi)網(wǎng)服務(wù)器。

• 支持多種TCP應(yīng)用

• 端口轉(zhuǎn)發(fā)原理

基于隧道的SSL VPN

• 采用跟IPSecVPN類似的技術(shù)，需要安裝客戶端軟件，以及虛擬網(wǎng)卡
• 到內(nèi)網(wǎng)服務(wù)器的IP報文（虛擬IP→內(nèi)網(wǎng)服務(wù)器）會被客戶端軟件進行SSL協(xié)議封裝（真實IP→SSL VPN網(wǎng)關(guān)地址），到對端的SSLVPN網(wǎng)關(guān)設(shè)備再解密解封裝，還原為原始IP報文，交給內(nèi)網(wǎng)服務(wù)器
• 能支持基于TCP、UDP、ICMP協(xié)議的各種應(yīng)用
• 因工作在套接字層，無IPSecVPN的NAT穿越問題
• 缺點：平臺兼容性不夠好
• 開源代碼：OpenVPN

7.4.3 TLS 虛擬專網(wǎng)的優(yōu)缺點

優(yōu)點

• 無須安裝客戶端軟件
• 適用于大多數(shù)設(shè)備
• 適用于大多數(shù)操作系統(tǒng)
• 不需要對網(wǎng)絡(luò)做改變
• 支持網(wǎng)絡(luò)驅(qū)動器訪問
• 較強的資源控制能力
• 可繞過防火墻進行訪問
• 費用低且有良好安全性
• 已內(nèi)嵌在瀏覽器中

缺點

• 認證方式單一
• 應(yīng)用的局限性很大
• 只對應(yīng)用通道加密
• 不能對消息進行簽名
• 加密級別通常不高
• LAN連接缺少解決方案
• 不能保護UDP通道安全
• 不能訪問控制
• 是應(yīng)用層加密，性能差
• 需CA支持

7.4.4 TLS 虛擬專網(wǎng)的應(yīng)用

• 在客戶與TLS VPN的通信中，人們常采用TLS Proxy技術(shù)來提高VPN服務(wù)器的通信性能和安全身份驗證能力
• 主要用于訪問內(nèi)部網(wǎng)中的一些基于Web的應(yīng)用

7.4.5 TLS VPN 與 IPSec VPN比較

選項TLS VPNIPSec VPN

身份驗證	單向身份驗證 雙向身份驗證 數(shù)字證書	雙向身份驗證 數(shù)字證書
加密	強加密 基于Web瀏覽器	強加密 依靠執(zhí)行
全程安全性	端到端安全 從客戶到資源端全程加密	網(wǎng)絡(luò)邊緣到客戶端 僅對從客戶到VPN網(wǎng)關(guān)之間通道加密
可訪問性	適用于任何時間、任何地點訪問	限制適用于已經(jīng)定義好受控用戶的訪問
費用	低（無須任何附加客戶端軟件）	高（需要管理客戶端軟件）
安裝	即插即用安裝 無須任何附加的客戶端軟、硬件安裝	通常需要長時間的配置 需要客戶端軟件或硬件
用戶的易使用性	對用戶非常友好，使用非常熟悉的Web瀏覽器 無須終端用戶的培訓(xùn)	對沒有相應(yīng)技術(shù)的用戶比較困難 需要培訓(xùn)
支持的應(yīng)用	基于Web的應(yīng)用 文件共享 E-mail	所有基于IP協(xié)議的服務(wù)
用戶	客戶、合作伙伴用戶、遠程用戶、供應(yīng)商等	更適合在企業(yè)內(nèi)部使用
可伸縮性	容易配置和擴展	在服務(wù)器端容易實現(xiàn)自由伸縮，在客戶端比較困難
穿越防火墻	可以	不可以

• TLS VPN有很多優(yōu)點，但并不能取代IPSec VPN
• IPSec VPN主要提供LAN-to-LAN的隧道安全連接
• 在為企業(yè)高級用戶提供遠程訪問及為企業(yè)提供LAN-to-LAN隧道連接方面，IPSec具有無可比擬的優(yōu)勢
• 目前，IPSec VPN的廠商也開始研究如何讓IPSec VPN兼容TLS VPN，以增強可用性。如果成功，IPSec VPN的擴展性將大大加強，生命力也將更長久。

7.5 PPTP 虛擬專網(wǎng)的原理及應(yīng)用

7.5.1 PPTP 虛擬專網(wǎng)概述

• PPTP VPN最早是Windows NT 4.0支持的隧道協(xié)議標(biāo)準(zhǔn)，是PPP的擴展。
• 增強了PPP的認證和加密功能。
• PPTP的主要功能是開通VPN隧道，它還是采用原來的PPP撥號建立網(wǎng)絡(luò)連接
• PPTP的兩個主要任務(wù)是“封裝”和“加密”。
  • PPTP本身不提供加密服務(wù)，只是對先前已加密的PPP幀進行封裝。
  • 所謂的“加密”實際上是PPP通過MS-CHAP 和EAP-TLS協(xié)議建立會話密鑰。
  • 然后再對凈荷部分采用MPPE機制進行加密

7.5.2 PPTP 虛擬專網(wǎng)的原理

• PPTP基于C/S結(jié)構(gòu)，它將認證和連接設(shè)置功能分離開來，在其他類型的VPN中，這兩個功能是統(tǒng)一的。
• PPTP正是利用了“NAS功能分解”機制的支持，才能在Internet上實現(xiàn)VPN。
• PPTP定義了三個功能實體：
  • PPTP訪問集中器（PAC，PPTP Access Server）
  • 網(wǎng)絡(luò)訪問服務(wù)器（NAS，Network Access Server， 有時稱RAS）
  • PPTP網(wǎng)絡(luò)服務(wù)器（PNS，PPTP Network Server）

建立PPTP連接

• 首先需要建立客戶端與本地ISP的PPP連接。
• 成功接入Internet，再就是建立PPTP連接。
• 從最頂端的PPP客戶端、PAC 和PNS服務(wù)器之間開始，由已經(jīng)安裝好PPTP的PAC建立并管理PPTP任務(wù)

7.5.3 PPTP 虛擬專網(wǎng)的優(yōu)缺點

思路

• 遠程Windows用戶通過撥號網(wǎng)絡(luò)中的遠程訪問服務(wù)（RAS）與本地ISP進行PPP撥號連接。
• 當(dāng)PPP連接建立后，VPN客戶再使用VPN連接選項進行二次撥號。

優(yōu)點

它不依賴于TCP/IP協(xié)議族，可以與Novell的IPX或Microsoft的 NetBEUI協(xié)議一起使用

缺點

由于PPTP中沒有定義加密功能，使PPTP VPN的安全性在所有類型的IP VPN中最低

7.6.4 PPTP與L2TP

• PPTP和L2TP都使用PPP協(xié)議對數(shù)據(jù)進行封裝，然后添加附加包頭用于數(shù)據(jù)在互聯(lián)網(wǎng)絡(luò)上的傳輸
• PPTP要求互聯(lián)網(wǎng)絡(luò)為IP網(wǎng)絡(luò)。L2TP只要求隧道媒介提供面向數(shù)據(jù)包的點對點的連接。L2TP可以在IP（使用UDP），楨中繼永久虛擬電路（PVCs),X.25虛擬電路（VCs）或 ATM VCs網(wǎng)絡(luò)上使用。
• PPTP只能在兩端點間建立單一隧道。L2TP支持在兩端點間使用多隧道。使用L2TP，用戶可以針對不同的服務(wù)質(zhì) 量創(chuàng)建不同的隧道。
• L2TP可以提供包頭壓縮。當(dāng)壓縮包頭時，系統(tǒng)開銷（ove rhead）占用4個字節(jié)，而PPTP協(xié)議下要占用6個字節(jié)。
• L2TP可以提供隧道驗證，而PPTP則不支持隧道驗證。但是當(dāng)L2TP或PPTP與IPSEC共同使用時，可以由IPSEC提供隧道驗證，不需要在第2層協(xié)議上驗證隧道。

7.6 MPLS 虛擬專網(wǎng)的原理及應(yīng)用

7.6.1 MPLS 虛擬專網(wǎng)概述

• 多協(xié)議標(biāo)記交換(MPLS:Multiprotocol Label Switching)
• MPLS VPN是一種基于MPLS技術(shù)的IP VPN。
• MPLS技術(shù)可以大大加快路由器交換和轉(zhuǎn)發(fā)數(shù)據(jù)包的速度。
• MPLS由Cisco的標(biāo)記交換技術(shù)演變而來，已成為IETF的標(biāo)準(zhǔn)協(xié)議，是標(biāo)記轉(zhuǎn)發(fā)的典范。
• 與傳統(tǒng)的網(wǎng)絡(luò)層技術(shù)相比，它引入了以下一些新概念
  • 流（Flow）
  • 標(biāo)記（Label）
  • 標(biāo)記交換（Label Swap）
  • MPLS節(jié)點（MPLS Node）
  • MPLS域（MPLS Domain）
  • MPLS邊界節(jié)點（MPLS Edge Node）
  • 標(biāo)記交換路徑（LSP，Label Switched Path）
  • 標(biāo)記交換路由器（LSR，Label Switching Router）
  • 標(biāo)記分發(fā)協(xié)議（LDP，Label Distribution Protocol）

7.6.2 MPLS 虛擬專網(wǎng)的原理

• MPLS VPN中，每個VPN子網(wǎng)分配一個獨一無二的標(biāo)示符，它與用戶的地址連接形成轉(zhuǎn)發(fā)表中獨一無二的地址（VPN-IP地址）
• VPN轉(zhuǎn)發(fā)表中包括與VPN-IP地址對應(yīng)的標(biāo)簽，通過它將數(shù)據(jù)送到相應(yīng)地址。

這種方案的優(yōu)勢

• 通過相同的網(wǎng)絡(luò)結(jié)構(gòu)支持多種VPN，不必為每一個用戶建立單獨的VPN網(wǎng)絡(luò)連接。
• 服務(wù)提供商可以為租用者配置一個網(wǎng)絡(luò)以提供專用的IP網(wǎng)服務(wù)，而無須管理隧道。
• QoS服務(wù)可與MPLS VPN無縫結(jié)合，為每個VPN網(wǎng)絡(luò)提供特有的業(yè)務(wù)策略。
• MPLS VPN用戶能夠使用他們專有的IP地址上網(wǎng)，無須網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）幫助。

7.6.3 MPLS 虛擬專網(wǎng)的優(yōu)缺點

優(yōu)點

• 降低了成本
• 方便了用戶
• 提高了資源利用率
• 提高了網(wǎng)絡(luò)速度
• 提高了靈活性和可擴展性
• 安全性高
• MPLS的QoS保證
• 業(yè)務(wù)綜合能力強
• 適用于城域網(wǎng)（PAN）這樣的網(wǎng)絡(luò)環(huán)境

缺點

• 由于ATM技術(shù)本身目前備受爭議，故MPLS VPN的價值大打折扣
• 本身沒有采用加密機制，因此MPLS VPN實際上并不十分安全。
  換技術(shù)演變而來，已成為IETF的標(biāo)準(zhǔn)協(xié)議，是標(biāo)記轉(zhuǎn)發(fā)的典范。
• 與傳統(tǒng)的網(wǎng)絡(luò)層技術(shù)相比，它引入了以下一些新概念
  • 流（Flow）
  • 標(biāo)記（Label）
  • 標(biāo)記交換（Label Swap）
  • MPLS節(jié)點（MPLS Node）
  • MPLS域（MPLS Domain）
  • MPLS邊界節(jié)點（MPLS Edge Node）
  • 標(biāo)記交換路徑（LSP，Label Switched Path）
  • 標(biāo)記交換路由器（LSR，Label Switching Router）
  • 標(biāo)記分發(fā)協(xié)議（LDP，Label Distribution Protocol）

7.6.2 MPLS 虛擬專網(wǎng)的原理

• MPLS VPN中，每個VPN子網(wǎng)分配一個獨一無二的標(biāo)示符，它與用戶的地址連接形成轉(zhuǎn)發(fā)表中獨一無二的地址（VPN-IP地址）
• VPN轉(zhuǎn)發(fā)表中包括與VPN-IP地址對應(yīng)的標(biāo)簽，通過它將數(shù)據(jù)送到相應(yīng)地址。

這種方案的優(yōu)勢

• 通過相同的網(wǎng)絡(luò)結(jié)構(gòu)支持多種VPN，不必為每一個用戶建立單獨的VPN網(wǎng)絡(luò)連接。
• 服務(wù)提供商可以為租用者配置一個網(wǎng)絡(luò)以提供專用的IP網(wǎng)服務(wù)，而無須管理隧道。
• QoS服務(wù)可與MPLS VPN無縫結(jié)合，為每個VPN網(wǎng)絡(luò)提供特有的業(yè)務(wù)策略。
• MPLS VPN用戶能夠使用他們專有的IP地址上網(wǎng)，無須網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）幫助。

7.6.3 MPLS 虛擬專網(wǎng)的優(yōu)缺點

優(yōu)點

• 降低了成本
• 方便了用戶
• 提高了資源利用率
• 提高了網(wǎng)絡(luò)速度
• 提高了靈活性和可擴展性
• 安全性高
• MPLS的QoS保證
• 業(yè)務(wù)綜合能力強
• 適用于城域網(wǎng)（PAN）這樣的網(wǎng)絡(luò)環(huán)境

缺點

• 由于ATM技術(shù)本身目前備受爭議，故MPLS VPN的價值大打折扣
• 本身沒有采用加密機制，因此MPLS VPN實際上并不十分安全。

總結(jié)

以上是生活随笔為你收集整理的[ 笔记 ] 计算机网络安全_7_虚拟专网技术的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。