《信息安全概论》课件—10虚拟专用网技术.ppt

* * 思考题 1.什么是虚拟专用网VPN? 2.企业为什么要引入VPN？ 3.VPN的主要优点有哪些？ 4.根据网络类型的差异，VPN可以分为哪些类？ 返回 Thanks For Attendance! * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 第10章 虚拟专用网技术 概 述 本章简要介绍了为了信息系统什么要引入虚拟专用网、虚拟专用网优点和分类、虚拟专用网的工作原理、虚拟专用网技术原理、虚拟专用网使用举例等。 10.1 虚拟专用网概述 虚拟专用网VPN(Virtual Private Network)通常是通过一个公用的网络（如Internet）建立一个临时的、安全的、模拟的点对点连接。这是一条穿越公用网络的安全信息隧道，信息可以通过这条隧道在公用网络中安全地传输。 虚拟专用网依靠Internet服务提供商ISP(Internet Service Provider)和其它网络服务提供商NSP(Net Service Provider)，在公用网络中建立专用的数据通信网络的技术。 10.1 虚拟专用网概述 10.1.1 VPN的需求 经常很多时候需要在异地连接网络。例如企业员工在外出差或在家里需要连接公司服务器；或者有第三方需要接入公司服务器(如电子商务)；或者企业数据需要进行异地灾备；还有的企业分支机构需要连接总公司等，这时候最便宜最便捷的方式就是使用VPN技术。如图10.1所示很多地方需要接入VPN。 10.1 虚拟专用网概述 10.1.1 VPN的需求 10.1 虚拟专用网概述 10.1.1 VPN的需求 虚拟专用网VPN是在公用络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络如Internet、ATM（异步传输模式）、Frame Relay（帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。 10.1 虚拟专用网概述 10.1.2 VPN的优点 企业使用VPN有许多优点。具体来说虚拟专用网的提出就是来解决如下这些问题： (1)使用VPN可降低成本——通过公用网来建立VPN，就可以节省大量的通信费用，而不必投入大量的人力和物力去安装和维护WAN(广域网)设备和远程访问设备。通常租用电信的专用网络是很贵的。使用VPN可以降低企业使用网络的成本，这是VPN最大的优点。 (2)传输数据安全可靠——虚拟专用网产品都是采用加密及身份验证等安全技术，保证连接用户的可靠性及传输数据的安全和保密性。 10.1 虚拟专用网概述 10.1.2 VPN的优点 (3)连接方便灵活——用户如果想与合作伙伴联网，如果没有虚拟专用网，双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路，有了虚拟专用网之后，只需双方配置安全连接信息即可。 (4)完全控制——虚拟专用网使用户可以利用ISP的设施和服务，同时又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源，对于其它的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网。 10.1 虚拟专用网概述 10.1.3 VPN的分类 (1) Client－LAN类型的VPN也称为 Access VPN（远程接入VPN），即远程访问方式的VPN。 10.1 虚拟专用网概述 (2) LAN－LAN类型的VPN，也称为Intranet VPN（内联网VPN），网关到网关，通过公司的网络架构连接来自同公司的资源。 10.2 VPN的工作原理 VPN的工作流程如图10.4所示。通常情况下，VPN网关采取双网卡结构，外网卡使用公网IP接入Internet。 10.2 VPN的工作原理 1.网络1(假定为公网internet)的终端A访问网络2(假定为公司内网)的终端B，其发出的访问数据包的目标地址为终端B的内部IP地址。 2.网络1的VPN网关在接收到终端A发出的访问数据包时对其目标地址进行检查，如果目标地址属于网络2的地址，则将该数据包进行封装，封装的方式根据所采用的VPN技术不同而不同，同时VPN网关会构造一个新VPN数据包，并将封装后的原数据包作为VPN数据包的负载，VPN数据包的目标地址为网络2的VPN网关的外部地址。 10.2 VPN的工作原理 3.网络1的VPN网关将VPN数据包发送到Internet，由于VPN数据包的目标地址是网络2的VPN网关的外部地址，所以该数据包将被Internet中的路由正确地发送到网络2的VPN网关。 4.网络2的VPN网关对接收到的数据包进行检查，如果发现该数据包是