chapter11 n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Chapter11 网络安全技术 PowerPoint Presentation
Download Presentation
Chapter11 网络安全技术

Loading in 2 Seconds...

play fullscreen
1 / 30

Chapter11 网络安全技术 - PowerPoint PPT Presentation


  • 226 Views
  • Uploaded on

Chapter11 网络安全技术. ISSUE 1.2. 学习目标. 学习完本课程,您应该能够:. 了解 VPN 基本概念 掌握 IPsec 基本理论. 课程内容. 第一节 VPN 基本概念 第二节 IPSEC 原理介绍. 合作伙伴. 总部. 异地办事处. 隧道. Internet. 分支机构. 专线. 出差员工. 办事处. VPN 的定义. VPN ——Virtual Private Network. VPN 的分类. 按应用类型分类: Access VPN Intranet VPN Extranet VPN

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Chapter11 网络安全技术' - colum


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide2
学习目标

学习完本课程,您应该能够:

  • 了解VPN基本概念
  • 掌握IPsec基本理论

2

slide3
课程内容

第一节 VPN基本概念

第二节 IPSEC原理介绍

3

slide4

合作伙伴

总部

异地办事处

隧道

Internet

分支机构

专线

出差员工

办事处

VPN的定义

VPN ——Virtual Private Network

4

slide5
VPN的分类
  • 按应用类型分类:
    • Access VPN
    • Intranet VPN
    • Extranet VPN
  • 按实现的层次分类:
    • 二层隧道 VPN
    • 三层隧道 VPN

5

slide6

POP

POP

POP

VPDN

隧道

ISP发起连接

总部

用户直接发起连接

  • 适用范围:
  • 出差员工
  • 异地小型办公机构

6

intranet vpn

总部

研究所

Internet/ ISP IP

ATM/FR

分支机构

隧道

办事处

Intranet VPN

7

extranet vpn

总部

异地办事处

Internet/ ISP IP

ATM/FR

分支机构

合作伙伴

Extranet VPN

8

slide9
按实现的层次分类
  • 二层隧道VPN
    • L2TP: Layer 2 Tunnel Protocol (RFC 2661)
    • PPTP: Point To Point Tunnel Protocol
    • L2F: Layer 2 Forwarding
  • 三层隧道VPN
    • GRE : General Routing Encapsulation
    • IPSEC : IP Security Protocol

9

slide10
网络层隔离客户图示

Blue2

Blue1

202.0.0.0/24

Rt2

Rt1

Red1

Red2

10

slide11
GRE
  • GRE (Generic Routing Encapsulation): 是 对 某 些 网 络 层 协 议 ( 如 :I P, IPX, AppleTalk等)的数据报进行封装,使这 些 被封装的数据报能够在另一个 网 络 层 协 议)中传输
  • GRE 提供了将一种 协 议 的报文封装在另一种 协 议 报文中的机制,使报文能够在异种 网 络 中传输,异种报文传输的通道称为tunnel

11

slide12

IP/IPX

GRE

IP

链路层协议

GRE 协议栈

乘客 协 议

封装 协 议

运输 协 议

GRE 协 议 栈

链路层

IP

GRE

IP/IPX

Payload

隧道接口的报文格式

12

gre vpn
GRE构建 VPN

Original Data Packet

Transfer Protocol Header

GRE Header

Tunnel

Internet

企业总部

分支机构

13

slide14
隧道技术组建VPN示意图

10.0.1.1/24

10.0.1.2/24

GRE Tunnel

10.0.0.0/24

129.0.0.2/30

129.0.2.2/30

Blue2

Blue1

129.0.2.1/30

129.0.0.1/30

公共IP网络

129.0.1.1/30

Rt2

Rt1

129.0.3.1/30

129.0.1.2/30

129.0.3.2/30

10.0.0.0/24

GRE Tunnel

Red2

Red1

10.0.1.2/24

10.0.1.1/24

14

slide15
课程内容

第一节 VPN基本概念

第二节 IPSEC原理介绍

15

slide16
对称加密算法图示

E(P)

加密算法

解密算法

P

P

Key

Key

A

B

16

slide17
ECB ( Electronic Codebook )

CBC ( Cipher Block Chaining )

CFB ( Cipher Feedback )

OFB ( Output Feedback )

加密算法

DES的四种操作模式:

17

slide18
公钥密码算法图示

EkpubB(P)

加密算法

解密算法

P

P

kprvB

kpubB

A

B

kprvB

kprvB

保密的私钥

保密的私钥

公开私钥表

18

slide19
MD5算法图示

P

MD5(P)

MD5

MD5

P

MD5(P)

OK

MD5(P)

A

B

19

ipsec
IPSec
  • IPSec(IP Security)是 IETF制定的为保证在Internet上传送数据的安全保密性能的框架 协 议
  • IPSec包括报文验证头 协 议 AH( 协 议 号51) 和报文安全封装

协 议 ESP( 协 议 号50)两个 协 议

  • IPSec有隧道(tunnel)和传送(transport)两种工作方式

20

ipsec1
IPSec 的组成
  • IPSec 提供两个安全 协 议
    • AH (Authentication Header)报文认证头协议
      • MD5(Message Digest 5)
      • SHA1(Secure Hash Algorithm)
    • ESP (Encapsulation Security Payload)封装安全载荷协议
      • DES (Data Encryption Standard)
      • 3DES
      • 其他的加密算法:Blowfish ,blowfish、cast …

21

ipsec2
IPSec 的安全特点
  • 数据机密性(Confidentiality)
  • 数据完整性( Data Integrity)
  • 数据来源认证( Data Authentication)
  • 反重放(Anti-Replay)

22

ipsec3
IPSec 基本概念
  • 数据流 (Data Flow)
  • 安全联盟 (Security Association)
  • 安全参数索引 (Security Parameter Index)
  • 安全联盟生存时间 (Life Time)
  • 安全策略 (Crypto Map)
  • 转换方式(Transform Mode)

23

slide24
IKE
  • IKE(Internet Key Exchange,因特 网 密钥交换 协 议 )
  • 为IPSec提供了自动 协 商交换密钥、建立安全联盟的服务
  • 通过数据交换来计算密钥

24

slide25
IKE的交换过程

Peer1

Peer2

发送本地

IKE策略

确认对方使用的算法

发起方策略

查找匹配

的策略

接收方确认的策略

SA交换

接受对端

确认的策略

产生密钥

发起方的密钥生成信息

密钥生成

接收方的密钥生成信息

密钥交换

密钥生成

验证对方身份

发起方身份和验证数据

身份验证和

交换过程验证

接收方的身份和验证数据

ID交换及验证

身份验证和

交换过程验证

25

slide26
DH交换及密钥产生

(g ,p)

peer1

peer2

a

b

c=gamodp

d=gbmodp

damodp

cbmodp

damodp= cbmodp=gabmodp

26

slide27

原IP 包头

数据

AH协议

IP 包头

数据

传输模式

IP 包头

AH

数据

隧道模式

新IP 包头

AH

0

8

16

31

AH头结构

27

slide28

加密部分

原IP 包头

数据

ESP 协议

IP 包头

数据

传输模式

ESP尾部

ESP验证

IP 包头

ESP头部

加密后的数据

隧道模式

新IP 包头

ESP头

ESP尾部

ESP验证

ESP协议包结构

28

slide29
小结
  • VPN基本理论
  • IPSEC基本原理
  • 网络安全算法

29

slide30

华为3Com技术有限公司

华为3Com公司网址: www.huawei-3com.com

华为3Com技术论坛网址: forum.huawei-3com.com