写在前面
VPN概述,数据传输安全基础
网络安全实训-网络安全技术
网络安全技术
VPN
定义
虚拟专用网,用于在互联网上传递私网IP报文的技术
企业远程互联的解决方案
专线
质量高,带宽独享,安全性高
成本高,价格昂贵
VPN
利用互联网的宽带来实现远程连接,成本低
在互联网上传递私网业务,安全性得不到保障
VPN技术原理
隧道技术
使用一个协议来封装另外一个协议
VPN是用公网IP协议来封装私网IP协议,使私网报文能够在公网上传递
VPN分类
Site-Site VPN
用于连接两个有固定办公场所的分支机构的VPN
需要使用专门的VPN设备在两端建立远程连接
AccessVPN
用于在个人用户终端和企业内网之间建立隧道的VPN
GRE VPN配置
1.创建Tunnel口,模式为GRE
2.配置Tunnel口的IP地址,两端设备的Tunnel口地址必须在同一个网段
3.配置Tunnel口的源地址和目的地址
源地址配置为本端的公网地址
目的地址配置为对端的公网地址
4.在防火墙上创建VPN区域,并将Tunnel口加入该区域
5.在两端设备上配置到达对端私网地址的静态路由,出接口指向Tunnel口
数据传输安全基础
数据传输安全四要素
保密性
身份源可验证性
完整性
不可抵赖性
数据加密
相关概念
明文:未背加密的原始信息
密文:经过加密处理的数据信息
加密算法
密钥:加密和加密使用的关键参数
对称加密
双方加密和解密使用同一个密钥
通信双方需要提前协商出一致的密钥,之后才能基于该密钥进行加密通信
缺点
密钥协商阶段一旦被窃听,数据加密将没有安全保障
非对称加密
通信双方各自持有一个公钥和私钥,使用公钥加密,就只能使用私钥解密;使用私钥加密,就只能使用公钥解密
公钥:可以公开传输给所有人的密钥
私钥:本地独立保存,不公开给任何人的密钥
A发送加密数据给B,使用B的公钥进行加密,B收到后用本机的私钥进行解密
缺点:算法复杂,小号设备性能,降低网络传输速度
混合加密
使用非对称加密来保护对称加密的密钥协商
使用对称加密来保护数据
数字签名
同时解决数据源可验证性和数据完整性
工作流程
数据发送方根据发送的数据内容计算出hash值,将hash值使用自己的私钥加密后作为签名附加在数据中并一并传输对端
对端收到数据后,使用发送方的公钥对签名进行解密
若解密成功,则证明发送方的身份是真实的
如果解密失败,则证明发送方的身份是伪造的
如果解密成功,自己也会根据数据的内容计算出Hash值,然后将签名解密出来的Hash与自己计算的Hash进行对比
对比结果一致则说明数据是完整的
对比结果不一致则说明数据被篡改
PKI
定义:一套用于数字证书的申请、颁发、管理及注销的流程体系
数字证书
用户的身份
用户的公钥
根证书签名:CA的签名,用于验证证书的真伪