資源描述:
《VPN防火墻總結(jié)》由會員上傳分享��,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫��。
1����、VPN防火墻總結(jié)VPN定義及作用:定義:VPn指虛擬專用網(wǎng)絡(luò)作用:利用公用網(wǎng)絡(luò)(主要是互聯(lián)網(wǎng))將多個私有網(wǎng)絡(luò)或網(wǎng)絡(luò)節(jié)點(diǎn)連接起來����。為用戶創(chuàng)建隧道,并提供與專用網(wǎng)絡(luò)一樣的安全和功能保障�。注:是通過隧道技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上虛擬出一條點(diǎn)到點(diǎn)的專線技術(shù)。為什么要用VPN����?1.專有網(wǎng)太貴2.雇員可能在外地���,需要訪問內(nèi)部網(wǎng)絡(luò)3.內(nèi)部人員需要在外面訪問內(nèi)部網(wǎng)絡(luò)4.通過防火墻不能訪問某些資源5.資源訪問限制某些ip地址VPN所需的安全技術(shù)1.隧道技術(shù)(tunneling)2.加解密技術(shù)(encryption&decryption)3.密鑰管理技術(shù)(keymanagement)4.認(rèn)證技術(shù)(auth
2、entication)VPN連接模式�����?定義了在兩臺實(shí)體設(shè)備之間傳輸被保護(hù)的數(shù)據(jù)時基本的封裝過程傳輸模式:用于在設(shè)備的真正源和i目的ipv4之間傳輸數(shù)據(jù)時使用缺點(diǎn):不具有很好的擴(kuò)展性,因?yàn)楸Wo(hù)是基于每一臺設(shè)備的隧道模式:加密點(diǎn)不等于通信點(diǎn)當(dāng)有許多設(shè)備在不同的區(qū)域需要以安全的方式互相通信時�����,用隧道模式����,提供保護(hù)的是VPN網(wǎng)關(guān)����。優(yōu)點(diǎn):隱藏了通信����、使用私有地址、提供了擴(kuò)展性���、允許靈活性��。隧道模式:通信點(diǎn)和接收點(diǎn)不是直接通信,而是通過第三方(網(wǎng)關(guān))傳輸���,通信點(diǎn)把明文的數(shù)據(jù)發(fā)送給網(wǎng)關(guān)�����,然后讓網(wǎng)關(guān)加密傳輸及接收�����。簡單說:私網(wǎng)中用傳輸模式好一些�,在公網(wǎng)上傳輸?shù)臅r候用隧道模式傳輸模式下ip不變�,在
3�、隧道模式下ipv4地址有兩個�,原ipv4地址是通信點(diǎn)的ipv4地址�,新ipv4地址為加密點(diǎn)的ipv4地址1.傳輸模式:真正的兩點(diǎn)之間的加密路徑和流量�。通信點(diǎn)等于加密點(diǎn)(擴(kuò)展性不好)2.隧道模式:隧道模式更安全,因?yàn)檠诓亓嗽嫉膇p報(bào)頭���。加密點(diǎn)不等于通信點(diǎn)(擴(kuò)展性高)Ipsec的安全特性:數(shù)據(jù)的機(jī)密性(通過加密來防止數(shù)據(jù)遭受竊聽攻擊)數(shù)據(jù)的完整性(通過HMAC功能來驗(yàn)證數(shù)據(jù)包沒有損壞)數(shù)據(jù)來源認(rèn)證(用預(yù)共享密鑰驗(yàn)證)反重放(在數(shù)據(jù)包中包括加密的序列號)Ipsec是靠ah協(xié)議號(51)和ESP(協(xié)議號50)兩個協(xié)議來完成以上功能的。這是兩個第三層的網(wǎng)絡(luò)安全協(xié)議���,有兩個模式:傳輸模式和
4��、隧道模式(一個插入,一個是添加)����。Ah(報(bào)文驗(yàn)證協(xié)議)沒有數(shù)據(jù)的機(jī)密性�����,不能實(shí)現(xiàn)加密Esp(封裝安全載荷協(xié)議)可以完成全部四種功能對稱密鑰和非對稱密鑰對稱加密:加密解密的密鑰是同一個缺點(diǎn):對于對稱密鑰存在的環(huán)境是不安全的優(yōu)點(diǎn):加密速度快,傳輸快非對稱密鑰:公鑰和私鑰組成�,都是自己生成�,公鑰是共享用的�,當(dāng)生成非對稱密鑰后��,將公鑰發(fā)給發(fā)送發(fā)�,發(fā)送方用這個接收到的公鑰來加密所要傳輸?shù)奈募缓蟀l(fā)送給接收發(fā)�,接收方再用私鑰解密加密后的文件���。缺點(diǎn):加密解密速度慢互補(bǔ):用對稱加密算法加密數(shù)據(jù)�,再用非對稱加密算法加密對稱加密算法數(shù)據(jù)驗(yàn)證:MD5:創(chuàng)建一個128位的簽名�,比SHA更快�,但安全性稍
5����、差����,常用SHA:產(chǎn)生160位簽名,Sha比MD5要慢�,但是更安全��,因?yàn)楹灻L。對稱加密和非對稱加密區(qū)別��?對稱加密:des(56)3des(168位)aes(160位)優(yōu)點(diǎn):加密速度快�,加密緊湊�����;缺點(diǎn):密鑰共享不安全非對稱加密:rsa公鑰私鑰優(yōu)點(diǎn):密鑰共享安全;缺點(diǎn)�����;加密不緊湊,加密速度慢IPSecvpn和SSlVPN比較�?Ipsecvpn適用sitetosite組網(wǎng)�;這是由于Ipsecvpn采用隧道技術(shù)���,例如當(dāng)VPn的總部和分支機(jī)構(gòu)有很多it設(shè)備時�,采用ipSec組網(wǎng)方式比較靈活SSlVPN:適用clienttosite組網(wǎng):當(dāng)客戶端為Pc終端設(shè)備時�,采用些方式。當(dāng)分支機(jī)構(gòu)為少量
6��、終端�;或者VPn用戶分布在廣泛地域移動用戶時更顯優(yōu)勢Ipsecvpn部署管理復(fù)雜����;在客戶端安裝專用客戶端軟件Sslvpn:部署簡單靈活;由于SSl是一種無客戶端的方式Ipsecvpn:費(fèi)用昂貴SSl:價格低廉��,只需要在數(shù)據(jù)中心部署SSLVpn����,省去了客戶端的費(fèi)用和部署管理費(fèi)用Ipsecvpn:屬于隧道機(jī)制�,使遠(yuǎn)程接入的安全風(fēng)險增加�����;VPn在連接的兩端創(chuàng)建隧道����,提供直接訪問����,一旦隧道建立就像用戶Pc機(jī)在公司局域網(wǎng)內(nèi)部一樣,增加風(fēng)險����。SSlVPn:控制完善,基于應(yīng)用VPn���,可以針對應(yīng)用和用戶進(jìn)行精細(xì)控制,更加安全。IPSEc接入范圍狹窄:只能部署了Ipsec網(wǎng)關(guān)地方適用���;或者客戶端安
7��、裝專用軟件��。對出差用戶不可能SSl接入范圍廣泛:更方便Ipsecvpn:組網(wǎng)不靈活:ipsecvpn連接性會受到防火墻����、網(wǎng)絡(luò)地址轉(zhuǎn)換的影響SSl:在TGP上,無論對于防火墻�����、Nat能夠很好適應(yīng)Ipsecvpn控制不靈活:一旦隧道建立���,客戶端即可訪問各種應(yīng)用����,很難建立基于應(yīng)用的訪問控制機(jī)制�。SSl:訪問控制靈活:SSl在是TCp之上,更容易控制��。VPN建立的兩個階段?第一階段管理連接將會發(fā)生三件事情1���,兩臺路由器將要采取對稱密鑰算法來協(xié)商管理隧道Authenticatonpresh
