技術(shù)課件NISE安全技術(shù)工程師培訓(xùn)

NISE安全技術(shù)工程師培訓(xùn)

—密碼學(xué)應(yīng)用之二VPNVPN概述VPN的功能VPN的工作原理VPN的具體應(yīng)用VPN技術(shù)什么是VPNVPN的優(yōu)點現(xiàn)有的VPN協(xié)議

VPN概述VPN是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸什么是VPNVPN是VirtualPrivateNetwork即虛擬專用網(wǎng)通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。遠(yuǎn)程訪問Internet內(nèi)部網(wǎng)合作伙伴分支機(jī)構(gòu)虛擬私有網(wǎng)虛擬私有網(wǎng)虛擬私有網(wǎng)VPN的優(yōu)點利用VPN，可節(jié)省專用和撥號連接的成本基于VPN技術(shù)，能夠迅速建立和重構(gòu)網(wǎng)絡(luò)簡化了企業(yè)聯(lián)網(wǎng)和廣域網(wǎng)操作提高了網(wǎng)絡(luò)可靠性VPN網(wǎng)絡(luò)有很好的兼容性和可擴(kuò)展性企業(yè)可以利用VPN迅速開展新的服務(wù)和連接全球的設(shè)施現(xiàn)有VPN協(xié)議PPTP：1996年Microsoft和Ascend等在PPP協(xié)議上開發(fā)的。L2F：1996年Cisco開發(fā)的。L2TP：1997年底，Microsoft和Cisco共同開發(fā)。IPSec：IETF正在完善，通過對數(shù)據(jù)加密、認(rèn)證、完整性檢查來保證數(shù)據(jù)傳輸?shù)目煽啃?、私有性和保密性。IPSec由IP認(rèn)證頭（AH）、IP安全載荷封裝（ESP）和密鑰管理協(xié)議（ISAKMP）公司內(nèi)部網(wǎng)撥號連接因特網(wǎng)L2TP通道用于該層的協(xié)議主要有：L2TP：Lay2TunnelingProtocolPPTP：Point-to-PointTunnelingProtocolL2F：Lay2ForwardingL2TP通道基于第二層的VPNPPTP/L2TP優(yōu)點：（1）對用Microsoft操作系統(tǒng)的用戶很方便（2）支持多種協(xié)議。（3）支持流量控制，通過減少丟棄包來改善網(wǎng)絡(luò)性能。缺點：（1）安全性相對差。（2）不對兩個節(jié)點間的信息傳輸進(jìn)行監(jiān)視或控制。（3）最多只能連接255個用戶。（4）端點用戶需要在連接前手工建立加密信道。VPN概述VPN的功能VPN的工作原理VPN的具體應(yīng)用VPN技術(shù)遠(yuǎn)程訪問Internet內(nèi)部網(wǎng)分支機(jī)構(gòu)安全網(wǎng)關(guān)安全網(wǎng)關(guān)ISP接入設(shè)備端到端數(shù)據(jù)通路的典型構(gòu)成撥入段外部段（公共因特網(wǎng)）內(nèi)部段公司的內(nèi)部網(wǎng)絡(luò)網(wǎng)絡(luò)面臨的風(fēng)險撥入段數(shù)據(jù)泄漏風(fēng)險因特網(wǎng)上數(shù)據(jù)泄漏的風(fēng)險安全網(wǎng)關(guān)中數(shù)據(jù)泄漏的風(fēng)險內(nèi)部網(wǎng)中數(shù)據(jù)泄漏的風(fēng)險VPN網(wǎng)絡(luò)面臨的風(fēng)險VPN的功能數(shù)據(jù)機(jī)密性保護(hù)數(shù)據(jù)完整性保護(hù)數(shù)據(jù)源身份認(rèn)證重放攻擊保護(hù)撥號服務(wù)器PSTNInternetRouter內(nèi)部子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點子網(wǎng)下屬機(jī)構(gòu)DDN/FRX.25專線DMZ區(qū)域WWWMailDNS密文傳輸明文傳輸明文傳輸

數(shù)據(jù)機(jī)密性保護(hù)數(shù)據(jù)完整性保護(hù)內(nèi)部子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點子網(wǎng)下屬機(jī)構(gòu)DDN/FRX.25專線原始數(shù)據(jù)包對原始數(shù)據(jù)包進(jìn)行Hash加密后的數(shù)據(jù)包摘要Hash摘要對原始數(shù)據(jù)包進(jìn)行加密加密后的數(shù)據(jù)包加密加密后的數(shù)據(jù)包摘要加密后的數(shù)據(jù)包摘要摘要解密原始數(shù)據(jù)包Hash原始數(shù)據(jù)包與原摘要進(jìn)行比較，驗證數(shù)據(jù)的完整性數(shù)據(jù)源身份認(rèn)證內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點子網(wǎng)下屬機(jī)構(gòu)DDN/FRX.25專線原始數(shù)據(jù)包對原始數(shù)據(jù)包進(jìn)行HashHash摘要加密摘要摘要取出DSS原始數(shù)據(jù)包Hash原始數(shù)據(jù)包兩摘要相比較私鑰原始數(shù)據(jù)包DSSDSS將數(shù)字簽名附在原始包后面供對方驗證簽名得到數(shù)字簽名原始數(shù)據(jù)包DSS原始數(shù)據(jù)包DSSDSS解密相等嗎？驗證通過

保留負(fù)載長度認(rèn)證數(shù)據(jù)（完整性校驗值ICV）變長序列號安全參數(shù)索引（SPI）下一頭部填充（0~255字節(jié)）下一頭部填充長度認(rèn)證數(shù)據(jù)（變長的）負(fù)載數(shù)據(jù)（變長的）序列號安全參數(shù)索引（SPI）AH協(xié)議頭ESP協(xié)議頭SA建立之初，序列號初始化為0，使用該SA傳遞的第一個數(shù)據(jù)包序列號為1，序列號不允許重復(fù)，因此每個SA所能傳遞的最大IP報文數(shù)為232—1，當(dāng)序列號達(dá)到最大時，就需要建立一個新的SA，使用新的密鑰。重放攻擊保護(hù)VPN概述VPN的功能VPN的工作原理VPN的具體應(yīng)用VPN技術(shù)VPN的工作原理隧道基本概念I(lǐng)PSec協(xié)議棧組成IPSec的工作模式IPSecVPN的建立方式隧道基本概念隧道可在網(wǎng)絡(luò)的任一層實現(xiàn)最常用的是兩層：數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層數(shù)據(jù)鏈路層隧道：一個鏈路幀被放到了其它鏈路層的協(xié)議數(shù)據(jù)單元（PDU）中,該鏈路層還包括另外的鏈路幀，如：PPTP,L2F,L2TP構(gòu)成的VPN網(wǎng)絡(luò)層隧道：第三層的包被放到其它層或另外的第三層包中，如IPsec的AH和ESP隧道模式；封裝：當(dāng)某層的PDU被放到另外一個PDU中的有效載荷時，把這種處理方式叫做封裝隧道基本概念隧道在VPN中的三大作用是什么？將一種協(xié)議封裝到不同的協(xié)議是為了在IP基礎(chǔ)設(shè)施中傳輸；通過公共尋址設(shè)施路由私有地址包；提供數(shù)據(jù)完整性和機(jī)密性服務(wù)。通道將一個數(shù)蓋據(jù)報用一店個新的數(shù)楚據(jù)報封裝〈Secu淋rity次Par維amet珠erI示ndex,IPD晴esti進(jìn)nati樂onA元ddre梯ss,Secu層rity慨Pro劍toco尖l〉安全關(guān)聯(lián)販(SA)SA就晚是兩個袋IPS姑ec系懶統(tǒng)之間成的一個閑單向邏艷輯連接32比特域，用于標(biāo)菊識具有相事同IP地扒址和相同口安全協(xié)議余的不同S礎(chǔ)A?？梢允侨槠胀↖兵P地址萍，也可某是廣播田或者組疼播地址可以是A警H或者E析SP負(fù)載IP頭部IP頭進(jìn)部負(fù)載IP頭部IPS金ec牲概念身份認(rèn)證壺報頭——器AH協(xié)議提供數(shù)據(jù)墓源身份認(rèn)弄證、數(shù)據(jù)表完整性保站護(hù)、重放粒攻擊保護(hù)豈功能負(fù)載安航全封裝畏——E躺SP協(xié)餐議提供數(shù)電據(jù)保密合、數(shù)據(jù)噴源身份究認(rèn)證、款數(shù)據(jù)完沃整性、雹重放攻結(jié)擊保護(hù)舊功能因特網(wǎng)低安全關(guān)順聯(lián)和密遲鑰管理權(quán)協(xié)議—擦—IK啟E(以壯前被叫籃ISA芝KMP陽/Oa曠kle找y)提供自燥動建立桂安全關(guān)眉聯(lián)和管袍理密鑰暴的功能IPS鞠ec砌框架的訴組成IPse頭c協(xié)議棧蜓組成IPse源c由一系丈列協(xié)議組旅成：RFC曬240暑1(規(guī)惡定了I養(yǎng)Pse暖c的基鏈本結(jié)構(gòu)美)RFC2鼻402（膽驗證頭）RFC2凝406（怪封裝安全并載荷）RFC2具407（毛用于In挪tern灑et安全倆聯(lián)盟和密失鑰管理協(xié)民議 I朗SAKM莫P的In饅tern藥etI強(qiáng)P安全解鈴釋域）RFC扇240塘8（I遠(yuǎn)SAK吐MP）RFC劈燕240碧9（I摘nte賢rne健t密鑰夾交換，膨IKE打）RFC2閃411（卻IP安全嘗文檔指南怕）RFC驕241啞2（O繁AKL或EY密賤鑰確定殺協(xié)議）璃等。IPse熟c組件包塊括安全協(xié)貍議驗證頭陜（AH）液和封裝安趙全載荷（栗ESP）愁、安全關(guān)師聯(lián)（SA榜）、密鑰股交換（I拉KE）及學(xué)加密和驗細(xì)證算法等爭。安全策賢略（S蜂ecu遇rit舞yP印oli走cy，膽SP）飲指示對挪IP數(shù)辨據(jù)報提麻供何種啞保護(hù)，首并以何勸種方式就實施保坦護(hù)。安全關(guān)聯(lián)倘（Sec怨urit往yAs送soci瓦atio互n，SA種）是兩個竿應(yīng)用IP理sec實榆體（主機(jī)悟、路由器等）間的一受個單向邏川輯連接，煎決定保護(hù)屋什么、如濤何保護(hù)以甚及誰來保毫護(hù)通信數(shù)垂據(jù)。SA是雁安全策直略的具棵體化和移實例化技。為了潤確?；テ娌僮餍岳O，IP敏sec甜規(guī)定了輕與SA維相關(guān)的咱兩個名鳳義性數(shù)下?lián)?鏈-安全讓策略庫老（SP微D）和澆安全關(guān)鄙聯(lián)庫（處SAD旬）。IPse浩c協(xié)議棧擔(dān)組成驗證頭(庫Auth陷enti轉(zhuǎn)cati注onH共eade榜r，AH櫻)是一個豪安全協(xié)議席頭，可在齒傳輸模式卸下使用，征為IP包拿提供：數(shù)據(jù)完整那性：可判羊定數(shù)據(jù)包費在傳輸過麥程中是紛否被修改驗證服務(wù)款：終端系硬統(tǒng)或網(wǎng)絡(luò)梯設(shè)備可對局用戶或元應(yīng)用進(jìn)行獲驗證，過子濾通信流終；還可防愁止地 址落欺騙攻擊禍及重播攻超擊。AH頭懶插在I筋P頭和停上層協(xié)抬議頭（食如TC障P或U森DP頭擴(kuò)）之間忙。驗證頭(煌AH)IPse姨c協(xié)議棧河組成封裝安奮全載荷萬(En隆cap勒sul怠ati虧ng喬Sec溪uri五ty抖Pay舅loa陳d)也贊是一個失安全協(xié)混議頭；采用加午密和驗積證機(jī)制殃，為I剛P數(shù)據(jù)棒報提供遍數(shù)據(jù)源醫(yī)驗證、荒數(shù)據(jù)完濤整性、冒抗重播桐和機(jī)密尼性安全板服務(wù)；可在傳拴輸模式羞和隧道套模式下壁使用；ESP頭常插在IP校頭和上層傲協(xié)議頭（歡如TCP腹或UDP爹頭）之間武，隧道模由式下，要吧對整個I尸P包封裝葉，ESP錢頭位于內(nèi)六外IP頭買之間。封裝安全敘載荷（E糞SP）IPse糧c協(xié)議棧劑組成IPse撒c的密鑰品管理包括頸密鑰的確充定和分配佛，有手工和自動兩種方式勞。IPs獄ec默認(rèn)硬的自動密分鑰管理協(xié)擾議是IK蓮E。IK炕E規(guī)定了饒自動驗證挽IPse鐮c對等實攏體、協(xié)商宅安全服務(wù)雹和產(chǎn)生共辮享密鑰的銜標(biāo)準(zhǔn)。RFC日240筍9對In禾ter鐘net運密鑰交瀉換即I妨KE進(jìn)有行了描賤述。密鑰交藏?fù)Q（I妄KE）IPse策c協(xié)議棧繳組成RFC2伍411對IP崗sec搶AH包和ES碰P使用座的加密肉和驗證銜算法的誤規(guī)范進(jìn)厚行了描討述，并拼在其他卷一些文匯檔中對圓DES怪、HM揭AC年MD5核、HM澆AC著SHA森1等霧算法標(biāo)感準(zhǔn)進(jìn)行樣了描述拿。IPs戴ec加短密算法維用于E省SP。佩目前的凳IPs認(rèn)ec標(biāo)井準(zhǔn)要求匯任何I沒Pse浸c實現(xiàn)找都必須緒支持D素ES。選另外，驢IPs禮ec標(biāo)濟(jì)準(zhǔn)規(guī)定說可使用嗓3DE王S、R育C5、選IDE站A、3起IDE頭A、C詢AST逼和B易low筋fis麥h。加密和驗族證算法IPs柏ec協(xié)那議棧組灣成IPse戰(zhàn)c的工作恭模式IPs侄ec使投用傳輸乘模式和棚隧道模朋式保護(hù)餅通信數(shù)挑據(jù)。I偶Pse巷c協(xié)議敏和模式月有4種尋可能的襪組合：AH傳勞輸模式戰(zhàn)；AH隧道往模式；ESP訊傳輸模課式；ESP隧崗道模式。傳輸模式傳輸模吃式用于兩臺主機(jī)泳之間，保護(hù)傳梨輸層協(xié)勾議頭，實現(xiàn)端到端招的安全。它所保護(hù)舊的數(shù)據(jù)包喇的通信終碧點也是I信Psec亦終點。實施點：綿當(dāng)數(shù)據(jù)包喊從傳輸層柜遞給網(wǎng)絡(luò)弱層時，A研H和ES憲P會進(jìn)行余“攔截”適，在IP茂頭與上層退協(xié)議頭之切間需插入跨一個IP覆sec頭劉（AH頭君或ESP老頭）。實施順序坦：當(dāng)同時吃應(yīng)用AH熔和ESP頃傳輸模式率時，應(yīng)先浪應(yīng)用ES險P，再應(yīng)任用AH，統(tǒng)這樣數(shù)據(jù)鍵完整性可突應(yīng)用到E案SP載荷詢。隧道模胖式實施場切景：隧鵝道模式乞用于主旬機(jī)與路宣由器或笑兩部路吧由器之頸間，保帽護(hù)整個敵IP數(shù)遍據(jù)包。處理：它膊將整個I街P數(shù)據(jù)窩包（稱為讀內(nèi)部IP暑頭）進(jìn)行斯封裝，然勇后增加一兵個IP頭多（稱為外洲部IP頭肝），并在蹈外部與內(nèi)遷部IP頭博之間插入期一個IP屆sec頭僻。該模式癢的通信壩終點由群受保護(hù)葉的內(nèi)部稼IP頭側(cè)指定，隆而IP虜sec陳終點則賤由外部似IP頭齒指定。淋如果I臭Pse愛c終點渴為安全患網(wǎng)關(guān)，躍則該網(wǎng)議關(guān)會還草原出內(nèi)像部IP檢包，再較轉(zhuǎn)發(fā)到錦最終的宗目的地?zé)?。IPs礎(chǔ)ec支異持嵌套哪隧道，撿即對已織隧道化嬌的數(shù)據(jù)澡包再進(jìn)健行隧道問化處理倒。保留負(fù)載長度認(rèn)證數(shù)私據(jù)（完整性筐校驗值I擋CV）變戶長序列號安全參嬸數(shù)索引痕（SP粒I）下一頭頭部負(fù)載AH頭部IP頭部認(rèn)證數(shù)誘據(jù)：一聽個變長鼠字段，挑也叫I武nte鎖gri杏ty桌Che龜ck爪Val套ue，趕由SA嗓初始化名時指定尊的算法號來計算盜。長度贈=整數(shù)射倍32班位比特保留負(fù)載長度認(rèn)證數(shù)據(jù)（完整逮性校驗?zāi)钢礗C膽V）變池長序列號安全參秒數(shù)索引曾（SP撒I）下一頭豪部下一頭腔部：8均比特，企標(biāo)識認(rèn)棄證頭后棕面的下布一個負(fù)石載類型負(fù)載長度恒：8比特撞，表示以花32比特鬧為單位的卷AH頭部橡長度減2決，Def廁ault派=4保留字竊段：1武6比特瓜，保留衣將來使撐用，D嘴efa跨ult廢=0SPI：杜32比特佛，用于標(biāo)悲識有相同誼IP地址涉和相同安達(dá)全協(xié)議的攀不同SA蛾。由SA藝的創(chuàng)建者貫定義，只局有邏輯意紅義序列號悼：32念比特，垂一個單塑項遞增藝的計數(shù)非器，用度于防止糖重放攻纏擊，S削A建立唇之初初顯始化為虜0，序陶列號不章允許重云復(fù)32位認(rèn)證頭部櫻（AH）Internet負(fù)載IP頭部Hos桐tAHos膛tBVPN駝網(wǎng)關(guān)VPN櫻網(wǎng)關(guān)負(fù)載AH頭部IP頭部負(fù)載AH頭部IP頭部負(fù)載IP頭部經(jīng)過I濁PSe棋c核糾心處理址以后經(jīng)過IP較Sec柔核心處理鄰以后負(fù)載AH頭部IP頭部傳輸模式蝦下的AH固認(rèn)證工作載原理Internet負(fù)載IP頭Hos枝tAHos第tBVPN舌網(wǎng)關(guān)1VPN網(wǎng)墳關(guān)2負(fù)載IP頭經(jīng)過IP漏Sec效核心處理押以后經(jīng)過I據(jù)PSe容c核針心處理捕以后負(fù)載IP頭AH頭新IP頭負(fù)載IP頭AH頭新IP頭負(fù)載IP頭AH頭新IP頭SourceIP=VPN網(wǎng)關(guān)1DestinationIP=VPN網(wǎng)關(guān)2SourceIP=HostADestinationIP=HostB隧道模式屠下的AH妙認(rèn)證工作可原理認(rèn)證數(shù)據(jù)移：一個變雜長字段，戶也叫In蛙tegr畫ity已Chec崇kVa鬼lue，仗由SA初迎始化時指倆定的算法按來計算。和長度=整拐數(shù)倍32品位比特下一頭寫部：8萍比特，昨標(biāo)識認(rèn)淹證頭后梳面的下穗一個負(fù)枯載類型填充字段訴：8比特旱，大多數(shù)姑加密算法咐要求輸入稀數(shù)據(jù)包含矮整數(shù)個分汪組，因此寧需要填充負(fù)載數(shù)據(jù)叛：包含由不下一頭部印字段給出膏的變長數(shù)筋據(jù)SPI：獄32比特煌，用于標(biāo)兇識有相同拋IP地址談和相同安騰全協(xié)議的帝不同SA摔。由SA破的創(chuàng)建者仆定義，只閑有邏輯意逼義ESP認(rèn)證ESP尾負(fù)載ESP頭IP頭填充（0~255字節(jié)）下一頭部填充長度認(rèn)證數(shù)據(jù)（變長的）負(fù)載數(shù)據(jù)（變長的）序列號安全參數(shù)索引（SPI）填充長度缸：8比特群，給出前叨面填充字廢段的長度麗，置0時撞表示沒有猾填充下一頭阻部填充長度認(rèn)證數(shù)件據(jù)（變長凱的）填充（0~255字節(jié)）負(fù)載數(shù)據(jù)（變長的）序列號安全參炊數(shù)索引嬸（SP伐I）32位ESP唱頭部ESP遣尾部ESP垃認(rèn)證數(shù)壩據(jù)加密的認(rèn)證的序列號波：32互比特，漆一個單網(wǎng)項遞增縫的計數(shù)膊器，用呀于防止啟重放攻箏擊，S怖A建立楊之初初判始化為綱0，序惕列號不狹允許重啄復(fù)負(fù)載安吸全封裝裁（ES污P）Internet負(fù)載IP頭部Hos肚tAHos身tBVPN偉網(wǎng)關(guān)VPN郵網(wǎng)關(guān)負(fù)載IP頭部經(jīng)過IP躺Sec菊核心處理杠以后經(jīng)過IP伍Sec舉核心處理笨以后ESP認(rèn)證ESP尾負(fù)載ESP頭IP頭加密數(shù)據(jù)認(rèn)證數(shù)據(jù)ESP認(rèn)證ESP尾負(fù)載ESP頭IP頭ESP認(rèn)證ESP尾負(fù)載ESP頭IP頭加密數(shù)據(jù)認(rèn)證數(shù)據(jù)傳輸模式譯下的ES鑼P工作原串理Internet負(fù)載IP頭Host問AHost靈BVPN網(wǎng)君關(guān)1VPN個網(wǎng)關(guān)2負(fù)載IP頭經(jīng)過I脈PSe克c核割心處理歪以后經(jīng)過I扎PSe谷c核功心處理均以后SourceIP=VPN網(wǎng)關(guān)1DestinationIP=VPN網(wǎng)關(guān)2SourceIP=HostADestinationIP=HostB負(fù)載ESP認(rèn)證ESP尾IP頭ESP頭新IP頭負(fù)載ESP認(rèn)證ESP尾IP頭ESP頭新IP頭負(fù)載ESP認(rèn)證ESP尾IP頭ESP頭新IP頭隧道模支式下的茶ESP垂工作原蜓理Internet負(fù)載IP頭Host足AHost鍵BVPN摧網(wǎng)關(guān)1VPN網(wǎng)精關(guān)2負(fù)載IP頭經(jīng)過IP篇Sec蘭核心處理范以后經(jīng)過I餃PSe雅c核宗心處理曬以后SourceIP=VPN網(wǎng)關(guān)1DestinationIP=VPN網(wǎng)關(guān)2SourceIP=HostADestinationIP=HostB內(nèi)IP頭ESP尾負(fù)載ESP頭AH頭外IP頭內(nèi)IP頭ESP尾負(fù)載ESP頭AH頭外IP頭內(nèi)IP頭ESP尾負(fù)載ESP頭AH頭外IP頭組合IP筒Sec柴協(xié)議ESP認(rèn)緩證ESP尾負(fù)包載ESP輛頭IP頭負(fù)婚載IP頭部認(rèn)證數(shù)騎據(jù)AH頭部認(rèn)證數(shù)債據(jù)AH協(xié)議ESP協(xié)梯議身份認(rèn)證數(shù)據(jù)加曠密數(shù)據(jù)完整限性校驗重放攻擊面保護(hù)身份認(rèn)證數(shù)據(jù)完夠整性校庸驗重放攻禁擊保護(hù)ESP皮可以取偷代AH唉嗎？AH與圍ESP錢協(xié)議區(qū)竹別Host改對H莊ostHos拼t對付VP埋N網(wǎng)宵關(guān)VPN夏對VP餡N網(wǎng)關(guān)Rem因ote飯Us陰er班對V淹PN踢網(wǎng)關(guān)VPN拿隧道的碎建立方握式Internet公司BVPN雨網(wǎng)關(guān)AVPN騾網(wǎng)關(guān)B公司BHos斜t傳to拌Hos凱t模聽式：該模式要網(wǎng)求兩邊主鉤機(jī)都支持喇IPSe杏cVPN遙網(wǎng)關(guān)可份支持也啟可不支芬持IP水Sec安全通道安全通浙道安全通道主機(jī)必笑須支持高IPS旺ec主機(jī)必萌須支持剃IPS棒ecGate罰way弄可支持也徒可不支持逆IPSe心cGate游way艙可支持也侍可不支持懂IPSe異cHost猛to怕Hos私tInternet公司BVPN再網(wǎng)關(guān)AVPN網(wǎng)昨關(guān)B公司BHos逗t賢to撐VPN非模式得：該模式要拴求一邊的蟲主機(jī)都支貌持IPS欄ec另一邊礦的VP斥N網(wǎng)關(guān)繁必須支絡(luò)持IP駱Sec安全通道安全通道主機(jī)必圈須支持蒸IPS拴ec主機(jī)可以督不支持I第PSecGat已ewa遭y可價支持也左可不支呼持IP凳SecGate蝕way兆必須支持花IPSe甩c非安全通套道Hos扮t工to斧VPNHosttoVPN紛Gate到wayInternet公司BVPN網(wǎng)巨關(guān)AVPN納網(wǎng)關(guān)B公司BVPN尊to燥VPN垃模式：該模式嫌不要求培主機(jī)支騾持IP段Sec兩邊的紫VPN悔網(wǎng)關(guān)必酷須都支多持IP丹Sec非安全通灰道安全通仗道主機(jī)可另以不支拾持IP融Sec主機(jī)可以額不支持I謠PSecGat腥ewa旋y必法須支持再IPS策ecGate柿way取必須支持偶IPSe發(fā)c非安全鋸?fù)ǖ繴PN釣Gate苦way攝toV冊PNG羊atew毛ayInternet公司BISP篩接入服摧務(wù)器VPN網(wǎng)接關(guān)B安全通映道安全通施道主機(jī)必婆須支持禮IPS百ecGat逝ewa岔y必海須支持熟IPS唱ec非安全雅通道PSTNRem裁ote婚Us朗er丑to邁V咱PN斑Gat辦ewa擔(dān)yInternetVPN網(wǎng)般關(guān)B公司AAH4258ESP4259ESP5257AH5256SecurityProtocolDestinationAddressSPI192.匆168.遍1.25公司BSPD中的數(shù)據(jù)項類似于防火墻的配置規(guī)則45SourceAddress…………Others繞過、丟棄安全SecureService54DestinationAddress雙方使用意ISAK怠MP/O尚akle籮y密鑰交者換協(xié)議建姻立安全關(guān)諒聯(lián)，產(chǎn)生選或者刷新抽密鑰內(nèi)IP頭ESP尾負(fù)載ESP頭AH頭外IP頭負(fù)載IP頭192.敘168.烘2.34SAD中包含每一個SA的參數(shù)信息，如算法、密鑰等ESPAHESPAHSecurityProtocol……………………Others110001101010Key加密SHA-12583DESCBC259DESCBC4257加密MD5256AlgorithmSPI負(fù)載IP頭VPN棄網(wǎng)關(guān)A查找S左PD數(shù)蜻據(jù)庫決萄定為流灑入的I株P(guān)數(shù)據(jù)榮提供那小些安全巷服務(wù)查找對元應(yīng)SA叨的參數(shù)要求建均立安全降相應(yīng)的謊關(guān)聯(lián)對原有槐數(shù)據(jù)包謎進(jìn)行相堆應(yīng)的安炕全處理建立SA擔(dān)D建立相應(yīng)拘的SA一個完整斗的VPN釣工作原理雨圖VPN劈燕概述VPN的姓功能VPN的何工作原理VPN買的具體捐應(yīng)用VPN技佳術(shù)VPN陡應(yīng)用用VP忘N連接兆分支機(jī)沸構(gòu)用VPN詳連接業(yè)務(wù)器伙伴用VP遼N連接稱遠(yuǎn)程用流戶