首 页 | 兆通产品部 | 兆通工程部 | 兆通维护部 | 兆通销售站 | 天猫店铺 | 技术中心 | 方案中心 | 典型案例 | 兆通论坛
当前页面:首页>>VPN 简单总结下
[2009-1-13]
 

 

VPN 是一种能够通过共享的网络基础设施,如:在因特网上提供安全、可靠连接的服务。
VPN 定义为专用网络之间通过公共网络实现的加密连接。

在网络基础设施中部署VPN的益处:
1、  降低成本
2、  提高通信水平
3、  灵活性和可升级性
4、  安全可靠性
5、  无线联网

VPN的实施方案:
1、  远程接入
2、  站点到站点
3、  基于防火墙。

一、远程接入VPN
远程接入主要应用于移动用户和家庭远程办公用户。
二、站点到站点的VPN
现在的公司基本都有外网接口,站点到站点VPN 取代了传统租用线路和帧中继,费用的节省谁用谁知道。
三、基于防火墙的VPN
基于防火墙的VPN 从本质讲其实就是站点到站点的解决方案,它不是一个技术问题而是安全问题。

IPSec

IPSec位于网络层,负责IP包的保护和认证。IPSec不限于某类特别的加密或认证算法、密钥技术或安全算法、它是实现VPN技术的标准框架。

IPSec安全服务提供4种主要功能:

一、数据加密:对数据进行加密,即使数据被截获,内容也无法解读。
二、数据完整性:用于鉴别数据在传输过程中是否被非法修改过。
三、数据源认证:确保数据发送方的可靠性。
四、防重放:校验每个包是不是唯一的(非复制包)

下面将简单的说明一下

数据加密:

1、  加密算法:DES、3DES、AES、RSA
2、  密钥交换:DES、3DES、AES以及MD5和SHA-1需要堆成的共享密钥来加密解密。问题是加密解密设备如何获得共享密钥?
DH密钥交换:通过DH,每个对等体都会生成一对公/私钥。公钥加密私钥解密。
DH密钥交换不存在安全问题。尽管有人可能会知道用户的公钥,但由于私钥根本不会公开,他仍然无法生成共享的密钥。

数据完整性:

VPN数据是通过不安全的网络传送的,例如因特网。这些数据可能被截获、被修改。为防止这一情况,每个消息都附有一个散列。
散列可以保证原始信息的完整性。如果被传送的散列与被接收的散列匹配,则证明消息没有被篡改。
IPSec框架中保证数据完整性的算法有两种:
MD5:128bit
SHA-1:160bit


数据源认证:

生活中,盖章能够保障法令的真实性。电子应用中,文件的签字将使用发送方的私钥---数字签名。
数字签名把消息与发送着连在一起。用于VPN隧道的初始建立阶段对隧道的两端进行认证。
VPN对等体的认证方法:
1、  预共享密钥:手工输入每个对等体用于认证的密钥值;
2、  RSA签名:用交换数字证书的方式认证对等体;
3、  RSA加密随机数(nonce):nonce(由各个对等体生成的随机数)被加密,然后在对等体之间交换。

防重放:

IPSec使用防重放机制来保证IP包不会被第三方或中间人截获,并在修改后再重新插入数据流。防重放机制将跟随到达VPN断电的每个数据包的序列号。当两个VPN端点之间建立了安全关联后,序号计数器归零。如果接收到重复的序号,则丢弃该包。

该功能在IPSec中是通过AH和ESP 来实现的

AH:认证头协议   
用于系统对数据私密性没要求的时候,它主要实现以下功能
1、  确保数据的完整性;
2、  提供数据源认证;
3、  防重放;
4、  数据以明文传送。(不提供加密功能)
(注:AH不支持NAT和PAT)


ESP:封装安全净载 
1、  数据完整性;
2、  数据源认证;
3、  数据加密;
4、  防重放。
注:
1、ESP可以强制要求接受访的主机使用防重放保护功能。
2、如对数据私密性有要求,且做了NAT,还想啥?用 ESP准没错
3、数据包解密前,先认证后解密。以降低DoS 攻击的危险。

VPN 隧道的操作模式:
1、  传输模式: 
特征:点到点    即:主机到主机
特点:数据的原始IP地址是可被路由的,因为其未对原始IP进行加密。  
        
2、  隧道模式: 
特征:安全网关之间  即:网络设备之间,如:路由器、防火墙、VPN集中器
特点:安全网关对原始IP包加密并认证。然后,在加密的数据包之前加入一个新的IP包头。用新的IP地址来将数据包路由到远端的安全网关。

IPSec如何工作?

IPSec的目标是用必要的安全服务保护有用的数据。它的操作可分5个步骤:
一、定义感兴趣的数据流
二、IKE阶段1
三、IKE阶段2
四、数据传输
五、IPSec隧道终止

以下简单的说明这5个步骤

定义感兴趣的数据流

应用加密ACL 来匹配感兴趣的数据流,所压匹配的数据包分三种类型:
1、  应用IPSec
2、  绕过IPSec
3、  丢弃

1和2很容易理解,补充说下3 ,何时丢弃
当 加密ACL 匹配数据时,如发现 在策略中定义为 加密数据,但实际它并未加密,那么ACL将执行Deny动作,丢弃该包。


IKE阶段1
该阶段用于协商IKE策略集、认证对等体并在对等体之间建立安全的信道。
它包括两种模式:主模式 和 积极模式

1、  主模式在发送端和接收端有3次双向交换

第一次:用于商定IKE通信安全的算法和散列;
第二次:使用DH交换 来产生共享密钥
第三次:验证对端身份,认证远端对等体。
主模式的主要结果是为对等体之间的后续交换建立一个安全通道。

2、  积极模式 较主模式而言,交换次数和信息较少。
在第一次交换中,就将主模式1.2.3次交换的信息压缩在一起发给对端,接收方返回所需内容,等待确认。


IKE阶段2

执行以下功能:
1、  协商IPSec安全性参数和IPSec转换集;
2、  建立IPSec的SA;
3、  定期重协商IPSec的SA,以确保安全性;
4、  可执行额外的DH交换。
   
IKE阶段2只有一种模式,快捷模式。
该阶段的最终目的是在端点间建立一个安全的IPSec 会话。过程中,端点间要协商所需的安全性的级别(如:数据的机密和认证算法)。这些内容被统一到IPSec转换集中。在快捷模式下(即:IKE2),IPSec转换集在对等体之间交换。如集合匹配则IPSec会话的流程继续进行,没发现匹配转换集则终止协商。

数据传输

在完成IKE阶段2之后,将通过安全的隧道在主机A和B间传输数据流。

IPSec隧道终止

不用了还闲置着干嘛?通过删除或超时的方式将其断之就是。


[返回列表]

首页 | 网络工程 | 综合布线 | 安防监控 摄像头 摄像机 | 方案中心 | 技术中心 | TOP | 典型案例
电话:025-83693855
Copyright © 2005-2006 All Rights Reserved
南京总部: 南京市珠江路成贤大厦7楼