【正文】 個數據包做認證，因此使用 AH協(xié)議后不能使用 NAT ? 包過濾 由于使用 ESP協(xié)議將對數據包的全部或部分信息加密，因此基于報頭或者數據區(qū)內容進行控制過濾的設備將不能使用 ? 服務質量 由于 AH協(xié)議將 IP協(xié)議中的 TOS位當作可變字段來處理，因此，可以使用 TOS位來控制服務質量 VPN概述 VPN功能 VPN工作原理 VPN具體應用 167。 3. 雖然 PPP報文的數據可以加密，但 PPP協(xié)議不支持密鑰的自動產生和自動刷新，因而監(jiān)聽的攻擊者就可能最終破解密鑰，從而得到所傳輸的數據。 基于第二層的 VPN解決方案 公司內部網 撥號連接 因特網 L2 T P 通道 用于該層的協(xié)議主要有： ? L2TP： Lay 2 Tunneling Protocol ? PPTP： PointtoPoint Tunneling Protocol ? L2F： Lay 2 Forwarding L2TP的缺陷： 1. 僅對通道的終端實體進行身份認證，而不認證通道中流過的每一個數據報文，無法抵抗插入攻擊、地址欺騙攻擊。 4. 重放攻擊保護：保證攻擊者不能截獲數據報文，且稍后某個時間再發(fā)放數據報文，而不會被檢測到。 2. 數據完整性：證實數據報文的內容在傳輸過程中沒被修改過，無論是被故意改動或是由于發(fā)生了隨機的傳輸錯誤。 基于 IPSec 的 VPN 解決方案 在通信協(xié)議分層中，網絡層是可能實現(xiàn)端到端安全通信的最低層，它為所有應用層數據提供透明的安全保護，用戶無需修改應用層協(xié)議。 結論 167。 內部網中數據泄漏的風險 遠程訪問 內部網 安全網關 ISP接入設備 內部段 公司的內部網絡 1. 內部網中可能存在不信任的主機、路由器等 2. 內部員工可以監(jiān)聽、篡改、重定向企業(yè)內部網的數據報文 3. 來自企業(yè)網內部員工的其他攻擊方式 在端到端的數據通路上隨處都有可能發(fā)生數據的泄漏，包括： 1. 撥入段鏈路上 2. ISP接入設備上 3. 在因特網上 4. 在安全網關上 5. 在企業(yè)內部網上。 因特網上數據泄漏的風險 Inter 內部網 惡意修改通道終點到： 假冒網關 外部段 （公共因特網） ISP接入設備 原始終點為： 安全網關 1. 數據在到達終點之前要經過許多路由器，明文傳輸的報文很容易在路由器上被查看和修改 2. 監(jiān)聽者可以在其中任一段鏈路上監(jiān)聽數據 3. 逐段加密不能防范在路由器上查看報文，因為路由器需要解密報文選擇路由信息，然后再重新加密發(fā)送 4. 惡意的 ISP可以修改通道的終點到一臺假冒的網關 遠程訪問 搭線監(jiān)聽 攻擊者 ISP ISP竊聽 正確通道 167。 撥入段數據泄漏風險 遠程訪問 ISP接入設備 撥入段 Inter ? 撥入段用戶數據以明文方式直接傳遞到 ISP： 1. 攻擊者可以很容易的在撥入鏈路上實施監(jiān)聽 2. ISP很容易檢查用戶的數據 3. 可以通過鏈路加密來防止被動的監(jiān)聽，但無法防范惡意竊取數據的 ISP。 VPN的安全性 167。VPN VPN 概 述 —— VPN是什么？ VPN 的 功 能 VPN 的 工 作 原 理 —— VPN是如何工作的？ —— VPN能做什么？ VPN 的 具體應 用 —— 在什么場合又怎樣來使用 VPN？ 1 VPN概述 ? VPN簡介及其優(yōu)點 ? VPN的安全性 ? 市場上已有的 VPN解決方案 VPN概述 VPN功能 VPN工作原理 VPN具體應用 167。 VPN簡介及其優(yōu)點 ? VPN是企業(yè)網在因特網等公共網絡上的延伸 ? VPN通過一個私有的通道來創(chuàng)建一個安全的私有連接，將遠程用戶、公司分支機構、公司的業(yè)務伙伴等跟企業(yè)網連接起來，形成一個擴展的公司企業(yè)網 ? 提供高性能、低價位的因特網接入 VPN概述 VPN功能 VPN工作原理 VPN具體應用 遠程訪問 Inter 內部網 合作伙伴 分支機構 虛擬私有網 VPN是企業(yè)網在因特網上的延伸 VPN的典型應用 Clue 遠程訪問 Inter 內部網 分支機構 安全網關 安全網關 ISP接入設備 端到端數據通路的典型構成 撥入段 外部段 （公共因特網） 內部段 公司的內部網絡 167。 端到端數據通路中存在的安全風險 ? 撥入段數據泄漏風險 ? 因特網上數據泄漏的風險 ? 安全網關中數據泄漏的風險 ? 內部網中數據泄漏的風險 VPN概述 VPN功能 VPN工作原理 VPN具體應用 167。 PSTN 搭線監(jiān)聽 攻擊者 ISP ISP竊聽 到了 ISP處已解密成明文 明文傳輸 167。 安全網關中數據泄漏的風險 Inter 內部網 ISP接入設備 遠程訪問 安全網關 1. 數據在安全網關中是明文的，因而網關管理員可以直接查看機密數據 2. 網關本身可能會受到攻擊，一旦被攻破，流經安全網關的數據將面臨風險 Inter 167。 能否提供一個綜合一致的解決方案，它不僅能提供端到端的數據保護，同時也能提供逐段的數據保護呢？ 167。 現(xiàn)有的 VPN 解決方案 ? 基于 IPSec 的 VPN解決方案 ? 基于第二層的 VPN解決方案 ? 非 IPSec 的網絡層 VPN解決方案 ? 非 IPSec 的應用層解決方案 ? 結論 VPN概述 VPN功能 VPN工作原理 VPN具體應用 167。 該方案能解決的問題： 1. 數據源身份認證：證實數據報文是所聲稱的發(fā)送者發(fā)出的。 3. 數據保密：隱藏明文的消息，通?？考用軄韺崿F(xiàn)。 5. 自動的密鑰管理和安全關聯(lián)管理：保證只需少量或根本不需要手工配置，就可以在擴展的網絡上方便精確地實現(xiàn)公司的虛擬使用網絡方針 VPN概述 VPN功能 VPN工作原理 VPN具體應用 ? AH協(xié)議 ? ESP協(xié)議 ? ISAKMP/Oakley協(xié)議 基于 IPSec 的 VPN解決方案需要用到如下的協(xié)議： 詳細情況將在 IPSec 協(xié)議體系中講解 IPSec 框架的構成 VPN概述 VPN功能 VPN工作原理 VPN具