专用网络,所以就必须有一套体系结构来解决安

拓扑设计:

1,VPN

虚拟专用网络的功能是:在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN有多种分类方式,主要是按协议进行分类。VPN可通过服务器、硬件、软件等多种方式实现。

工作原理:

(1),通常情况下,VPN网关采取双网卡结构,外网卡使用公网IP接入Internet。

(2),网络一(假定为公网internet)的终端A访问网络二(假定为公司内网)的终端B,其发出的访问数据包的目标地址为终端B的内部IP地址。

(3),网络一的VPN网关在接收到终端A发出的访问数据包时对其目标地址进行检查,如果目标地址属于网络二的地址,则将该数据包进行封装,封装的方式根据所采用的VPN技术不同而不同,同时VPN网关会构造一个新VPN数据包,并将封装后的原数据包作为VPN数据包的负载,VPN数据包的目标地址为网络二的VPN网关的外部地址。

(4),网络一的VPN网关将VPN数据包发送到Internet,由于VPN数据包的目标地址是网络二的VPN网关的外部地址,所以该数据包将被Internet中的路由正确地发送到网络二的VPN网关。

(5),网络二的VPN网关对接收到的数据包进行检查,如果发现该数据包是从网络一的VPN网关发出的,即可判定该数据包为VPN数据包,并对该数据包进行解包处理。解包的过程主要是先将VPN数据包的包头剥离,再将数据包反向处理还原成原始的数据包。

(6),网络二的VPN网关将还原后的原始数据包发送至目标终端B,由于原始数据包的目标地址是终端B的IP,所以该数据包能够被正确地发送到终端B。在终端B看来,它收到的数据包就和从终端A直接发过来的一样。

(7),从终端B返回终端A的数据包处理过程和上述过程一样,这样两个网络内的终端就可以相互通讯了。[1]

建立七层模型主要是为解决异种网络互连时所遇到的兼容性问题。它的最大优点是将服务、接口和协议这三个概念明确地区分开来;也使网络的不同功能模块分担起 不同的职责。也就是说初衷在于解决兼容性,但当网络发展到一定规模的时候,安全性问题就变得突出起来。所以就必须有一套体系结构来解决安全问题,于是 OSI安全体系结构就应运而生。

概述

2,应用

    vpn是一种常用于连接中、大型企业或团体与团体间的私人网络的通讯方法。虚拟私人网络的讯息透过公用的网络架构(例如:互联网)来传送内联网的网络讯息。它利用已加密的通道协议(Tunneling Protocol)来达到保密、发送端认证、消息准确性等私人消息安全效果。这种技术可以用不安全的网络(例如:互联网)来发送可靠、安全的消息。需要注意的是,加密消息与否是可以控制的。没有加密的虚拟专用网消息依然有被窃取的危险。

iPhone上设置–>通用–>VPN–>添加VPN配置–>类型中

  OSI安全体系结构是根据OSI七层协议模型建立的。也就是说OSI安全体系结构与OSI七层是相对应的。在不同的层次上都有不同的安全技术。OSI安全体系结构如下图所示:

  IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。如果不深入探究IPSEC的过于详细的内容,我们对于IPSEC大致按照以下几个方面理解。

3,协议

vpn有四种协议:IKEV2,IPSec,L2TP和PPTP。

  VPN国家标准:

(3.1),PPTP

PPTP(Point to Point Tunneling Protocol),即点对点隧道协议。该协议是在PPP协议的基础上开发的一种新的增强型安全协议,支持多协议虚拟专用网VPN,可以通过密码验证协议(PAP)、可扩展认证协议(EAP)等方法增强安全性。可以使远程用户通过拨入ISP、通过直接连接Internet或者其他网络安全地访问企业网。

PPTP是实现虚拟专用网VPN的方式之一。PPTP使用传输控制协议TCP创建控制通道来发送控制命令,以及利用通用路由封装(GRE)通道来封装点对点协议PPP数据包以发送数据。

(这个协议最早是由微软等厂商主导开发,但因为加密方式容易被破解,微软已经不再建议使用这个协议)

图:OSI安全模型

  标准制定单位:华为技术有限公司、中兴、深信服科技有限公司、无锡江南信息安全工程技术中心  

(3.2)L2TP

第二层隧道协议(Layer Two Tunneling Protocol)是一种虚拟隧道协议,通常用于虚拟专用网。L2TP协议自身不提供加密和可靠性验证的功能,可以和安全协议搭配使用,从而实现实现数据的加密传输。经常与L2TP协议搭配的加密协议是IPsec,想这两个协议搭配使用时,通常合成L2TP/IPsec。

L2TP是一种工业标准的Internet隧道协议,功能大致和PPTP协议类似。不过也有不同之处,比如PPTP要求网络为IP网络,L2TP要求面向数据包的点对点连接;PPTP使用单一隧道,L2TP使用多隧道;L2TP提供包头压缩、隧道验证,而PPTP不支持。

  每层相应的安全技术如下:

为什么要导入IPSEC协议

(3.3)PPTP与L2TP不同

1.PPTP要求互联网络为IP网络。L2TP只要求隧道媒介提供面向数据包的点对点的连接。L2TP可以在IP(使用UDP),帧中继永久虚拟电路(PVCs),X.25虚拟电路(VCs)或ATM VCs网络上使用。 

2.PPTP只能在两端点间建立单一隧道。L2TP支持在两端点间使用多隧道。使用L2TP,用户可以针对不同的服务质量创建不同的隧道。 

3.L2TP可以提供包头压缩。当压缩包头时,系统开销(overhead)占用4个字节,而PPTP协议下要占用6个字节。 

4.L2TP可以提供隧道验证,而PPTP则不支持隧道验证。但是当L2TP或PPTP与IPSEC共同使用时,可以由IPSEC提供隧道验证,不需要在第2层协议上验证隧道 

5.L2TP访问集中器(L2TP Access Concentrator,LAC)是一种附属在网络上的具有PPP端系统和L2Tpv2协议处理能力的设备,它一般就是一个网络接入服务器软件,在远程客户端完成网络接入服务的功能。 

6.L2TP网络服务器(L2TP Network Server,LNS)是用于处理L2TP协议服务器端的软件。

L2TP支持的协议: 

IP协议、IPX协议和NetBEUI协议

  数据链路层:点到点通道协议(PPTP),以及第二层通道协议L2TP

  导入IPSEC协议,原因有2个,一个是原来的TCP/IP体系中间,没有包括基于安全的设计,任何人,只要能够搭入线路,即可分析所有的通讯数据。IPSEC引进了完整的安全机制,包括加密、认证和数据防篡改功能。

(3.4)IPsec

互联网安全协议(英语:Internet Protocol Security,缩写为IPsec),是一个协议组合,透过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族(一些相互关联的协议的集合)

IPsec由两大部分组成:(1)创建安全分组流的密钥交换协议;(2)保护分组流的协议。前者为因特网密钥交换(IKE)协议。后者包括加密分组流的封装安全载荷协议(ESP协议)或认证头协议(AH协议)协议,用于保证数据的机密性、来源可靠性(认证)、无连接的完整性并提供抗重播服务。

IPsec协议工作在OSI模型的第三层,使其在单独使用时适于保护基于TCP或UDP的协议(如安全套接子层(SSL)就不能保护UDP层的通信流)。这就意味着,与传输层或更高层的协议相比,IPsec协议必须处理可靠性和分片的问题,这同时也增加了它的复杂性和处理开销。相对而言,SSL/TLS依靠更高层的TCP(OSI的第四层)来管理可靠性和分片。

IPsec通过使一个系统提供在IP层的安全服务来选择所需的安全协议,确定算法(多个)到用于服务(s)和到位的任何加密密钥,以提供所请求的服务所需的。IPsec的可用于保护一对主机之间的一个或多个的“路径”,一对之间的安全网关,或一个安全网关和一个主机之间。(该术语“安全网关”用于整个的IPsec文件指的是实现IPsec协议的中间系统。对于例如,路由器或实施的IPsec防火墙是一个安全网关。)

一组安全服务的IPsec可以提供包括访问控制,无连接的完整性,数据源认证,拒绝播放包的(部分序列完整性的一种形式),保密性(加密)和有限的流量保密。因为在IP层提供这些服务,它们可通过任何更高层协议,例如,TCP,UDP,可使用的ICMP,BGP等

IPsec VPN 

指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,用以提供公用和专用网络的端对端加密和验证服务。

  点到点通道协议PPTP,英文全称是Point – to – point Tunneling Protocol。是一种支持多协议虚拟专用网的新型技术,它可以使远程用户通过Internet安全的访问企业网。也就是平时所用的VPN技术。使用此 协议,远程用户可以通过任意一款网络操作系统以拨号方式连接到Internet,再通过公网连接到他们企业网络。即PPTP在所用的通道上做了一个简单的 加密隧道。

  另外一个原因,是因为Internet迅速发展,接入越来越方便,很多客户希望能够利用这种上网的带宽,实现异地网络的的互连通。

(3.5) IKEv2

因特网密钥交换(英语:Internet Key Exchange,简称IKE或IKEv2)是一种网络协议,归属于IPsec协议族之下,用以创建安全联结(Security association,SA)[1]。它创建在奥克利协议(Oakley protocol)与ISAKMP协议的基础之上[2]。使用X.509安全认证。

  IPSEC协议通过包封装技术,能够利用Internet可路由的地址,封装内部网络的IP地址,实现异地网络的互通。

图:基于PPTP的站点间VPN简图

 包封装协议

   L2TP是Cisco的L2F与PPTP相结合的一个协议。L2TP有一部分采用的是PPTP协议,比如同样可以对网络数据流进行加密。不过也有不同之 处,比如PPTP要求网络为IP网络,L2TP要求面向数据包的点对点连接;PPTP使用单一隧道,L2TP使用多隧道;L2TP提供包头压缩、隧道验 证,而PPTP不支持。

  设想现实一种通讯方式。假定发信和收信需要有身份证(成年人才有),儿童没有身份证,不能发信收信。有2个儿童,小张和小李,他们的老爸是老张和老李。现在小张和小李要写信互通,怎么办?

  网络层:IP安全协议(IPSEC)

  一种合理的实现方式是:小张写好一封信,封皮写上 "小张-->小李", 然后给他爸爸,老张写一个信封,写上“老张-->老李”,把前面的那封信套在里面,发给老李,老李收到信以后,打开,发现这封信是给儿子的,就转给小李了。小李回信也一样,通过他父亲的名义发回给小张。

  IPV4在设计时,只考虑了信息资源的共享,没有过多的考虑到安全问题,因此无法从根本上防止网络层攻击。在现有的IPV4上应用IPSEC可 以加强其安全性,IPSEC在网络层提供了IP报文的机密性、完整性、IP报文源地址认证以及抗伪地址的攻击能力。IPSEC可以保护在所有支持IP的传 输介质上的通信,保护所有运行于网络层上的所有协议在主机间进行安全传输。IPSEC网关可以安装在需要安全保护的任何地方,如路由器、防火墙、应用服务 器或客户机等。

  这种通讯实现方式要依赖以下几个因素:

  * 老李和老张可以收信发信

图:含有IPSEC的数据封装

本文由凯时app发布于计算机网络,转载请注明出处:专用网络,所以就必须有一套体系结构来解决安

TAG标签:
Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。