VPN概述
技术原理:把需要经过公共网传递的报文加密处理后,再由公共网络发送到目的地。
VPN安全功能
3种安全服务:
- 保密性服务
- 完整性服务
- 认证服务
VPN技术风险
- VPN产品代码实现的安全缺陷
- VPN密码算法安全缺陷
- VPN管理不当引发的安全缺陷
VPN类型和实现技术
VPN类型
- 链路层VPN:ATM、Frame Relay、多协议标签交换MPLS
- 网络层VPN:受控路由过滤、隧道技术
- 传输层VPN:SSL
密码算法
DES、AES、RSA、SM1、SM4、SM3
密钥管理
密钥分发两种方法:
- 手工配置:可靠、更新速度慢
- 采用密钥交换协议动态分发:快速更新
密钥交换与管理标准:SKIP(互联网简单密钥管理协议)、ISAKMP/Oakley(互联网安全联盟和密钥管理协议)
认证访问控制
两种形式的认证:
- 用户身份认证
- 数据完整性和合法性认证
IPSec
IP安全系列规范:认证头(AH)、封装安全有效负荷(ESP)、密钥交换协议
- IP AH:保证IP包的完整性、提供数据源认证和抗重放攻击
- IP ESP:保证IP包的保密性
IP AH和IP ESP有两种工作模式:透明模式(只保护IP包种的数据域),隧道模式(保护IP包头和数据域)
- 密钥交换协议:基于IPSec技术主要优点是透明性,但是会增加网络安全管理难度和降低网络传输性能
SSL
SSl应用于传输层,包含:
- 握手协议(身份鉴别和安全参数协商)
- 密码规格变更协议(通知安全参数变更)
- 报警协议(关闭通知和对错误进行报警)
- 记录层协议(传输数据的分段、压缩机解压缩、加密及解密、完整性校验)。
SSL协议提供三种安全通信服务:
- 保密性通信
- 点对点之间的身份认证
- 可靠性通信
SSL记录协议的数据处理过程:
- SSL将数据分割成可管理的区块长度
- 选择是否要将已分割的数据压缩
- 加上消息验证码(MAC)
- 将数据加密,生成即将发送的消息
- 接收端将收到的消息解密、验证、解压缩,再重组后传送至较高层(如应用层),即完成接收
PPTP
点到点安全隧道协议
L2TP
UDP 1701端口
VPN主要产品与技术指标
VPN主要产品
IPSec VPN、SSL VPN
VPN产品主要技术指标
- 密码算法要求
| IPSec VPN | SSL VPN | |
|---|---|---|
| 非对称密码 (实体验证、数字签名、数字信封) |
1024比特RSA 256比特SM2椭圆曲线算法 |
256位群阶ECC椭圆曲线SM2 IBC标识密码算法SM9 1024位以上RSA |
| 对称密码 (密钥协商数据和报文数据加密) |
128比特分支的SM1 | SM1 |
| 密码杂凑算法 (对称密钥生成和完整性校验) |
SHA-1或SM3 SM3输出为256比特 |
SM3和SHA-1 |
| 随机数生成算法 |
- VPN产品功能要求
IPSec VPN:随机数生成、密钥协商、安全报文封装、NAT穿越、身份鉴别
SSL VPN:随机数生成、密钥协商、安全报文传输、身份鉴别、访问控制、密钥更新、客户端主机安全检查
- VPN产品性能要求
IPSec VPN:加解密吞吐率、加解密时延、加解密丢包率、每秒新建连接数
SSL VPN:最大并发用户数、最大并发连接数、每秒新建连接数、吞吐率
VPN技术应用
三种类型:远程访问虚拟网、企业内部虚拟网、企业扩展虚拟网
应用场景类型:远程安全访问、构建内部安全专网、外部网络安全互联详见P191-P192
评论 在此处输入想要评论的文本。