浙江大学：《通信与计算机网络》课程教学资源（PPT课件讲稿）第十一章 虚拟专用网VPN

虚拟专用网VPN 虚拟专用网ⅤPN,就是建立在公共网络上的私有 专用网。它是一个利用基于公众基础架构的网络 例如 Internet,来建立一个安全的、可靠的和可管 理的企业间通信的通道。 安全性、可靠性和可管理性这三点要求对于在今 天这样一个复杂的计算环境中建立一个虚拟专用 网VPN都是最基本的要求,而不是一般公认的虚 拟专用网VPN仅仅包括加密和认证

虚拟专用网VPN 虚拟专用网VPN，就是建立在公共网络上的私有 专用网。它是一个利用基于公众基础架构的网络， 例如Internet，来建立一个安全的、可靠的和可管 理的企业间通信的通道。 安全性、可靠性和可管理性这三点要求对于在今 天这样一个复杂的计算环境中建立一个虚拟专用 网VPN都是最基本的要求，而不是一般公认的虚 拟专用网VPN仅仅包括加密和认证

虚拟专用网VPN的三个关键 安全:包括访问控制、认证和加密技术以 保证网络连接的安全、用户的真实和数据 通信的隐秘和完整; 通信控制:包括带宽管理和服务质量管理 以保证VPN的可靠和高速; 管理:保证VPN和企业安全策略的集成, 近程或远程集成的管理和解决方案的可伸 缩性

虚拟专用网VPN的三个关键 安全：包括访问控制、认证和加密技术以 保证网络连接的安全、用户的真实和数据 通信的隐秘和完整； 通信控制：包括带宽管理和服务质量管理 以保证VPN的可靠和高速； 管理：保证VPN和企业安全策略的集成， 近程或远程集成的管理和解决方案的可伸 缩性

虚拟专用网VPN的工作定义 隊道、加密、鉴别以及存取控制技术的综 合体,和在 Internet、IP网或ISP的主干网上 管理通信传输的服务器软件

虚拟专用网VPN的工作定义 隧道、加密、鉴别以及存取控制技术的综 合体，和在Internet、IP网或ISP的主干网上 管理通信传输的服务器软件

安全 访问控制 认证 加密

安全 访问控制 认证 加密

访问控制 访问控制指示了一个虚拟专用网VPN用户的访问自由度, 并且控制合作者、雇员和其他外界用户对应用程序和网络 不同部分进行访问的访问权限 个没有访问控制的虚拟专用网ⅴN仅仅当数据穿过传输 媒介时能够保证数据传输的安全,而没有保证网络本身的 安全。 访问控制不仅仅保护数据,也保护企业的整个知识财富和 信息,确保虚拟专用网VN用户能够被授权访问他们所需 要的程序和信息,同时有效控制他们访问其他资源。即在 保障必需的信息共享的同时,还要保障系统的安全和数据 的保密控制

访问控制 访问控制指示了一个虚拟专用网VPN用户的访问自由度， 并且控制合作者、雇员和其他外界用户对应用程序和网络 不同部分进行访问的访问权限。 一个没有访问控制的虚拟专用网VPN仅仅当数据穿过传输 媒介时能够保证数据传输的安全，而没有保证网络本身的 安全。 访问控制不仅仅保护数据，也保护企业的整个知识财富和 信息，确保虚拟专用网VPN用户能够被授权访问他们所需 要的程序和信息，同时有效控制他们访问其他资源。即在 保障必需的信息共享的同时，还要保障系统的安全和数据 的保密控制

认证 虚拟专用网ⅤPN实现中有两类认证:用户认证和 数据认证 用户认证是对发送者身份进行确认的过程,数据 认证则确保消息从发出到接受未经修改。 个全面的虚拟专用网VPN解决方案必须同时具 有数据和用户认证以确保数据传输。这样的两要 素认证方案对传统的“用户名樒密码”系统提供最 大限度的安全保障,因为它需要两个要素来验证 个用户的身份(通常是一个电子令牌和 PIN号码)

认证 虚拟专用网VPN实现中有两类认证：用户认证和 数据认证。 用户认证是对发送者身份进行确认的过程，数据 认证则确保消息从发出到接受未经修改。 一个全面的虚拟专用网VPN解决方案必须同时具 有数据和用户认证以确保数据传输。这样的两要 素认证方案对传统的“用户名/密码”系统提供最 大限度的安全保障，因为它需要两个要素来验证 一个用户的身份（通常是一个电子令牌和一个 PIN号码）

加密 加密技术把数据弄乱,只有拥有读懂这个信息的 密钥的人才能将其解密。当一个用户被认为合法 了,他所传送的数据必须也同时被保护起来 密钥,就好比一个人的身份证号码,对于认证和 加密功能是非常需要的。他们被融入安全处理中 没有密钥不可能解密数据。通常说来,一个密钥 越是长,它的加密强度也越高

加密 加密技术把数据弄乱，只有拥有读懂这个信息的 密钥的人才能将其解密。当一个用户被认为合法 了，他所传送的数据必须也同时被保护起来。 密钥，就好比一个人的身份证号码，对于认证和 加密功能是非常需要的。他们被融入安全处理中， 没有密钥不可能解密数据。通常说来，一个密钥 越是长，它的加密强度也越高

密钥管理 日选好并实现了加密的密钥长度,下一步是确保密钥通 过一个密钥管理系统来保护 密钥管理是一个分配密钥的过程,定期更新它们或是在必 要的时候将它们作废。密钥更新间隔和数据交换之间必须 保持一个平衡。过短的间隔将会使虚拟专用网VPN服务器 不停地产生新的密钥。而另一方面,过长的间隔会使过多 的数据使用同一个密钥 密钥管理过程必须是自动的,以便保护密钥的完整,因为 当一个企业逐渐复杂庞大时,密钥的数量也由此而增长

密钥管理 一旦选好并实现了加密的密钥长度，下一步是确保密钥通 过一个密钥管理系统来保护。 密钥管理是一个分配密钥的过程，定期更新它们或是在必 要的时候将它们作废。密钥更新间隔和数据交换之间必须 保持一个平衡。过短的间隔将会使虚拟专用网VPN服务器 不停地产生新的密钥。而另一方面，过长的间隔会使过多 的数据使用同一个密钥。 密钥管理过程必须是自动的，以便保护密钥的完整，因为 当一个企业逐渐复杂庞大时，密钥的数量也由此而增长

通信控制 保证虚拟专用网VN的性能也是非常关键的,否则ⅴPN将 不能按照计划进行工作。作为企业网的扩展,一个ⅤPN自 然会增加网络的通信,并且会影响网络的性能。因此, 个虚拟专用网VPN解决方案尽可能保证用户能够有效地访 问网络资源,同时了必须尽量少对网络本身产生影响。 个虚拟专用网VPN解决方案必须保证服务的可靠性和质 量,可以让用户来定乂企业间的通信管理策略。这个策略 能够依据相对优先或相对重要原则,灵活调节由外及内和 由内往外的通信的带宽,从而保证关键任务和高度优先的 应用程序的性能

通信控制 保证虚拟专用网VPN的性能也是非常关键的，否则VPN将 不能按照计划进行工作。作为企业网的扩展，一个VPN自 然会增加网络的通信，并且会影响网络的性能。因此，一 个虚拟专用网VPN解决方案尽可能保证用户能够有效地访 问网络资源，同时了必须尽量少对网络本身产生影响。 一个虚拟专用网VPN解决方案必须保证服务的可靠性和质 量，可以让用户来定义企业间的通信管理策略。这个策略 能够依据相对优先或相对重要原则，灵活调节由外及内和 由内往外的通信的带宽，从而保证关键任务和高度优先的 应用程序的性能

管理 虚拟专用网VPN就像其他安全部件一样,同在一个综合的 企业管理控制之中。这样企业就可以为整个网络定义一个 独立的,全局的安全策略。这种管理方式有很多优点:转 换迅速,容易添加新用户、新部门和新应用程序,而且适 合企业策略的变化

管理 虚拟专用网VPN就像其他安全部件一样，同在一个综合的 企业管理控制之中。这样企业就可以为整个网络定义一个 独立的，全局的安全策略。这种管理方式有很多优点：转 换迅速，容易添加新用户、新部门和新应用程序，而且适 合企业策略的变化