拟
优点：
专
保护子网中的所有用户都可以透明的享受由安
用
全网关提供的安全保护。
网 络
子网内部可以使用私有IP地址。
子网内部的拓扑结构受到保护。
——VPN
缺点： 增大了安全网关的处理负荷，容易形成通信瓶颈。
对内部的诸多安全问题将不可控。
虚
拟
传输模式与隧道模式的区别：
专
用
网
传输模式的协议栈少了一层——隧道，即少了添加
——VPN
传输模式只对IP数据包的有效负载进行加密或认 证。此时，继续使用以前的IP头部，只对IP头部的 部分域进行修改，而IPSec协议头部插入到IP头部和 传输层头部之间。
虚
传输模式：
拟
加密的TCP会话
专
用
外网
网
内网
络
传输模式封装：
IP包头 上层协议（数据）
——VPN
IP包头 AH包头 ESP包头 上层协议（数据）
拟
网关需要两个IP地址：一个是它自己的NIC地址，
专
另外一个是内部地址，这个地址通常被称为虚拟的
用
或者逻辑地址或者是被分配的IP地址。
网
络
家庭办公
总部
PSTN
Internet
——VPN
安装了VPN客户 端软件的移动用户
虚
3、防火墙VPN
拟
专 用 网
一个防火墙VPN本质上是一个带有增强的安全 和防火墙功能的L2L或者远程访问VPN。
用 网
• 站点到站点VPN
络
• 远程访问VPN
• 防火墙VPN
——VPN
• 用户对用户VPN
虚
1、站点到站点VPN
拟
专
在VPN网关之间使用隧道模式连接来保护两个
用
或更多站点之间的流量。
网 络
站点到站点的连接通常称为局域网到局域网 连接（L2L）。
——VPN
对站点之间的流量进行了保护，包括位于两台 VPN设备之间的传输网络。对两个站点的终端用 户的设备是透明的。
虚 传输模式优点和缺点：
拟
优点：
专
即使内网的其他用户也不能理解通信主机
用
之间的通信内容。
网
分担了IPSec处理负荷。
络
缺点：
——VPN
不具备对代价。
不能使用私有IP地址。
暴露了子网的内部拓扑结构。
虚
2、隧道模式
拟
专
隧道模式中，整个IP数据包都在ESP负载中进行封
络
• PIX和ASA安全设备
——VPN
Cisco通常建议用路由器作为L2L VPN的解决 方案。
虚
与其他设备相比，Cisco产品的基本优点：
拟
专
IOS路由器——有先进的QoS、GRE隧道、路
用
由选择以及扩展和先进的L2L VPN能力。
网
Cisco VPN 3000集中器——易于建立和故障
络
诊断与排除。
用
缘路由器的用户提供的。这是一种“永远在线”
网
的VPN，可以节省传统的长途专线费用。
络
（2）拨号VPN（又称VPDN）：它是向利用拨号
——VPN
PSTN或ISDN接入ISP的用户提供的VPN业务。这
是一种“按需连接”的VPN，可以节省用户的长途
电话费用。需要指出的是，因为用户一般是漫游用
户，是“按需连接”的，因此VPDN通常需要做身
需求，但校园网资源由于安全的原因又只能在校内
认证访问，这些矛盾逐渐突出。为此，许多学校网
络中心采用虚拟专用网（VPN）来解决这一问题，
为地处校外的教职工的工作和学习带来方便。
虚
其技术要求：
拟
专
1、身份验证。
用 网
2、加密保护。
络
3、方便、安全的管理。
——VPN
4、DHCP支持。
5、多种用户环境支持。支持专线宽带接入、小 区宽带接入、ADSL宽带接入、ISDN拨号接入、 普通电话拨号接入、GPRS接入、CDMA接入等 多种因特网接入方式。
用
装和加密。此时，需要新产生一个IP头部，IPSec头
网
部被放在新产生的IP头部和以前的IP数据包之间，从
络
而组成一个新的IP头部。
IP包头 上层协议（数据）
——VPN
安全网关IP包头 AH包头 ESP包头 IP包头 上层协议（数据）
——VPN
虚
隧道模式
拟
专
用
网
络
InterNet
虚
ESP隧道模式优点和缺点
——VPN
（3）分支机构、远程用户、合作伙伴多的企业，需 要扩展企业网，实现远程访问和局域网互联。
（4）关键业务多且对通信线路保密和可用性要求高 的用户，如银行、证券公司、保险公司等。
虚 1.2.1 VPN连接模式
拟 专
用于在设备之间传输数据时的封装过程：
用
• 传输模式
网 络
• 隧道模式
1、传输模式
——VPN
PIX安全设备防火墙——有先进的防火墙和安 全特性，包括状态过滤、应用程序过滤和先进的 地址转换能力。
虚
2、远程访问VPN
拟
专
移动用户或远程小办公室通过Internet访问网络
用
中心。
网
络
连接单一的网络设备
——VPN
客户通常需要安装VPN客户端软件
虚
远程访问中，VPN端点或者客户端，连接到VPN
网
VPN业务（也可以用于实现专线VPN业务），当然这
络
些协议之间本身不是冲突的，而是可以结合使用的。
——VPN
虚
三、按VPN的发起方式划分
拟 专 用
这是客户和IPS最为关心的VPN分类。VPN业务可 以是客户独立自主实现的，也可以是由ISP提供的。
网
1）发起（基于客户的）：VPN服务提供的其始点和
攻击者
——VPN
• 会话回放（重新发送）攻击
虚
攻击者
拟
专
用 网
设备A
设备B
络
设备B
设备A
攻击者
——VPN
设备A
设备B
• 会话截获攻击
虚
1、中间人攻击工具
拟
常用攻击协议分析仪来捕捉数据包。使用会话回放
专
攻击，可以使用Java或ActiveX脚本来捕捉来自
用
WEB服务器会话的数据包。使用TCP会话截获攻击，
专
VPN既是一种组网技术，又是一种网络安全技术。
用 网 络
在公用网络中，按照相同的策略和安全规则，建立 的私有网络连接。
——VPN
Internet
虚 拟
其应用范围： （1）已经通过专线连接实现广域网的企业，由于增
加业务，带宽已不能满足业务需要，需要经济可靠的升
专 级方案。
用
网 络
（2）企业的用户和分支机构分布范围广，距离远， 需要扩展企业网，实现远程访问和局域网互联，最典型 的是跨国企业、跨地区企业。
拟
专
网络中，通过改变数据包中的源地址信息来实
用
现。常被称为欺骗，与服务拒绝（DoS）攻击或
网
非授权访问攻击组合。
络
1、伪装工具
——VPN
在第2层网络中，黑客可能使用ARP欺骗来将 两台设备之间的数据流量重定向到黑客的设备。
伪装工具挺多，一般是修改数据包中的源 IP地址。
虚
2、伪装解决方案
拟
专
使用一个强壮的防火墙系统来限制进入本网络
——VPN
链路加密——通常用硬件在网络层以下的物理层 和数据链路层中实现，用于保护通信节点间传输的 数据。
虚 拟
密钥A
节点 (发方)
加密
解密
节点 (交换中心)
加密
专
用 网
密钥B
解密
节点 (收方)
络
——VPN
端到端加密——通常在两端设备中完成加解密的 过程。其密钥管理就是一个重要的课题。
虚 1.1.2 伪装攻击
隧道协议（L2TP）、多协议标记交换（MPLS）
等。
——VPN
（2）第三层隧道协议：包括通用路由封装协议 (GRE)、IP安全（IPSEC），这是目前最流行的 两种三层协议。
虚
拟
第二层和第三层隧道协议的区别主要在于用户数据
专
在栈的第几层被封装，其中GRE、IPSec和MPLS主
用
要用于实现专线VPN业务，L2TP主要用于实现拨号
络
终止点是面向客户的，其内部技术构成、实施和管理
——VPN
对VPN客户可见。需要客户和隧道（或网关）方安装
隧道软件。客户方的软件发起隧道，在公司隧道服务
器处终止隧道。此时ISP不需要做支持建立隧道的任
何工作。经过对用户身份符（ID）和口令的验证，客
户方和隧道服务器极易建立隧道。双方也可以用加密
的方式。隧道一经建立，用户就会感觉到ISP不在参
虚
2、窃听解决方案
拟 专 用
信用卡信息、个人信息、电话号码、用户名、密 码（口令）、社会保险码等类信息均是敏感信息。
网
在电子商务环境中主要的解决方案是采用具有SSL
络
（Secure Socket Layer，安全套接层）来增强WEB
安全性的一种安全协议。HTTP协议（HTTPS）。对
信用卡和个人信息提供较强的保护（加密）。
虚 拟 专 用 网 络
——VPN
虚 1.1 网络流量
拟
专
VPN最初开发的主要目的是将明文数据通
用
过网络进行传输时的加密处理。