虛擬專用網技術及應用 杜學繪 曹利峰 楊豔 9787030761552 【台灣高等教育出版社】

內容簡介
虛擬專用網技術是實現網路安全互聯和遠程/移動安全接入訪問的關鍵技術，是安全保密程度較高的網路環境或者保障重要業務安全採取的重要技術之一，既是網路安全保障人員也是黑客在防護或攻擊活動中經常應用的技術。《虛擬專用網技術及應用》作者根據20 多年來圍繞虛擬專用網技術的研究成果以及實踐教學經歷，在抽絲剝繭、科學務實的層面，從虛擬專用的概念、原理、安全模型、構建技術、安全管理、系統實現以及應用方案等多個維度，深入剖析虛擬專用網的技術理論知識、技術實現方法及技術應用。

精彩書評
暫無

目錄

目錄
第1章 虛擬專用網概述1
1 1虛擬專用網的產生背景1
1 2虛擬專用網的概念1
1 2 1虛擬專用網概念演進1
1 2 2VPN定義2
1 3虛擬專用網的基本特徵3
1 4虛擬專用網的工作原理3
1 5虛擬專用網的分類5
1 6虛擬專用網的關鍵技術8
1 6 1IP隧道技術8
1 6 2安全協議9
1 6 3VPN安全管理10
1 6 4安全平台11
第2章 安全VPN模型12
2 1傳統模型12
2 2基於虛擬子網的安全VPN模型13
2 2 1模型術語13
2 2 2虛擬專用子網15
2 2 3虛擬專用網16
2 3安全VPN模型的安全性17
2 4安全VPN模型的特點18
第3章 遠程撥號VPN技術20
3 1VPN的產生背景20
3 2遠程撥號VPN基礎協議PPP21
3 3PPTPVPN技術21
3 3 1PPTPVPN術語21
3 3 2PPTPVPN術語關係22
3 3 3PPTPVPN工作過程23
3 3 4PPTP協議規範25
3 3 5PPTPVPN的安全性分析39
3 4L2TPVPN技術40
3 4 1L2TPVPN術語40
3 4 2L2TPVPN實現模式41
3 4 3L2TPVPN工作過程42
3 4 4L2TP協議規範43
3 4 5L2TP協議的安全性分析53
3 4 6L2TP與IPsec結合53
第4章 IPsecVPN技術55
4 1IPsecVPN的產生背景55
4 2IPsecVPN協議體系55
4 2 1IPsec體繫結構55
4 2 2安全關聯57
4 2 3安全策略58
4 3IPsecVPN工作模式59
4 4IPsecVPN安全隧道協議61
4 4 1AH協議61
4 4 2ESP協議62
4 4 3IKE協議64
4 5IPsecVPN工作流程72
4 5 1外出處理72
4 5 2進入處理73
4 6IPsecVPN網路適應性問題73
4 6 1IPsecVPN協議*小集73
4 6 2IPsecVPN與防火牆的適應性問題75
4 6 3IPsecVPN與NAT的兼容性問題77
第5章 SSLVPN技術79
5 1SSLVPN的產生背景79
5 2SSLVPN基本原理80
5 2 1基本功能80
5 2 2基本結構81
5 3SSL協議體系82
5 3 1SSL協議簇82
5 3 2SSL會話與連接83
5 4SSL握手協議84
5 4 1握手過程84
5 4 2握手消息時序84
5 4 3SSL協議中密鑰的生成85
5 5SSL記錄協議、告警協議和修改密文規約協議86
5 5 1SSL記錄協議86
5 5 2SSL告警協議89
5 5 3SSL修改密文規約協議90
5 6SSLVPN安全性分析90
5 6 1SSL心臟滴血漏洞90
5 6 2SSLv3漏洞90
5 6 3針對SSL協議的中間人攻擊91
5 7OPenSSL分析及其在VPN中的應用93
5 7 1OpenSSL的組成93
5 7 2OpenSSL的功能93
第6章 SocksVPN技術96
6 1SocksVPN的產生背景96
6 2SocksVPN基本原理97
6 2 1Socks工作層次97
6 2 2SocksVPN工作過程97
6 3Socks協議98
6 3 1Socks框架98
6 3 2Socks協議及交互過程100
6 3 3Socks的UDP支持103
6 3 4Socks5的特點104
6 4Socks在其他方面的應用104
第7章 MPLSVPN技術106
7 1MPLS協議簡介106
7 1 1ATM和IP技術及其特點106
7 1 2ATM和IP的結合107
7 1 3MPLS的提出108
7 2MPLS基本工作原理109
7 2 1MPLS的基本工作流程109
7 2 2MPLS中的一些重要概念110
7 2 3LDP會話的建立與維護110
7 3MPLS標記及其應用112
7 3 1MPLS封裝與標記格式112
7 3 2MPLS標記棧的操作112
7 3 3MPLS標記轉發流程113
7 3 4標記交換與傳統路由的比較114
7 4基於MPLS的VPN構建方法114
7 4 1MPLSVPN網路結構114
7 4 2虛擬路由及轉發115
7 4 3MPLSVPN構建過程及其與標記的結合116
7 4 4MPLSVPN的特點117
7 4 5MPLSVPN和其他VPN的比較118
第8章 VPN安全管理方法121
8 1管理框架121
8 1 1安全策略121
8 1 2策略管理框架122
8 1 3策略傳輸協議122
8 1 4VPN安全管理模型123
8 2COPS協議124
8 2 1COPS協議組成124
8 2 2COPS通信的消息內容126
8 2 3COPS報文格式127
8 2 4PDP與PEP之間的通信過程128
8 2 5基於COPS協議的VPN策略管理方案129
8 3SNMP協議130
8 3 1SNMP概述130
8 3 2簡單網路管理模型131
8 3 3SNMP的請求/響應原語132
8 3 4SNMP協議報文格式133
8 3 5管理信息庫135
8 3 6SNMP管理方式135
8 3 7基於SNMP的VPN管理架構137
第9章 VPN系統實現機制138
9 1Windows下VPN系統的設計138
9 1 1Windows下數據包截獲介面138
9 1 2基於NDIS的VPN系統設計140
9 1 3基於Firewall-Hook的VPN系統設計141
9 2Linux下VPN系統的設計148
9 2 1Linux下數據包截獲介面148
9 2 2基於Netfilter的VPN系統設計149
第10章 VPN典型的網路安全解決方案152
10 1基於VPN的網路安全互聯方案152
10 2基於VPN的移動安全接入方案153
10 3VPN綜合網路安全解決方案155
參考文獻157

精彩書摘
第1章虛擬專用網概述
1 1 虛擬專用網的產生背景
隨著互聯網的飛速發展、網路的普及，人們需要隨時、隨地以任意的接入方式聯入企業網、政府網，並進行移動辦公。另外，隨著企業的發展壯大，企業分支機構越來越多，合作夥伴越來越密集，企業與各分支機構、合作夥伴之間也需要隨時通信以保持業務往來。這都涉及遠程接入與網路互聯問題。但是，在遠程接入、網路互聯中，存在著身份假冒、信息竄改、信息泄露等安全威脅。
在傳統的廣域網互聯中，通常的做法是租用PSTN、X 25、FR或DDN等線路，為每個分支機構、合作夥伴建立*立的專用網路（簡稱專網），組成企業或企業間的專用網路，專用網路的主要優點是安全性、帶寬及服務質量（QoS）都能得到保證；缺點是大量的*立專用網路不僅存在著重複投資、資源利用率低等問題，而且增加了管理負擔，成本高。但隨著互聯網的發展，特別是寬頻IP技術的產生和發展，Internet（互聯網）的服務質量和帶寬已經有了明顯的改善，可靠性和可用性也大為增強，Internet已經提供了經濟、便利、快速、可靠和靈活的WAN通信，可是，互聯網仍不能提供與專用網相比的安全性。VPN技術就是在這樣的一個背景下提出來的，即依託于公共網路（簡稱公網）實現專用網路的功能，它兼備了兩者的優點，既能運行於互聯網或公共IP網路之上，又能提供足夠的安全性。
1 2 虛擬專用網的概念
1 2 1 虛擬專用網概念演進
虛擬專用網概念由專網、最初的VPN概念，演進到今天的IP-VPN概念，共經歷了專用網路、基於全數字接入的虛擬專用網和現代的虛擬專用網等三個階段。
1）專用網路
**個階段是專用網路。對於要求永久連接的情況，LAN通過租用的專用線路（簡稱專線，如DDN等）互聯而組成專網，遠程用戶通過PSTN直接撥入企業的訪問伺服器。顯然，其可以獲得比較穩定的連接性能，企業網的安全性也容易得到保障，因為必須使用專用的設備，並能接觸到線路，才能獲取到租用線路上的數據。但是，從用戶的角度來說，它的通信費用高得驚人，企業需要自己去管理這樣一個遠程網路。從服務提供商的角度，由於用戶*占的原因，即使線路沒有數據傳輸，或流量不大，其他用戶也無法利用，所以，線路的利用率不高。
2）基於全數字接入的虛擬專用網
第二個階段是基於全數字接入的虛擬專用網。上述原因促使數據通信行業人員和服務提供商設計並實現大量的統計復用方案，利用擁有的基礎設施，為用戶提供模擬的租用線路。這些模擬的租用線路稱為虛電路（Virtual Circuit，VC），虛電路可以是始終可用的永久虛電路（PVC），也可以是根據需要而建立的交換虛電路（SVC）。這裏用戶將不同的LAN或節點通過如幀中繼（Frame Relay）或ATM提供的虛電路連接在一起，服務提供商利用虛擬環路技術將其他不相關的用戶隔離開。這些方案為用戶提供的服務幾乎與上述租用專線相同，但由於服務提供商可以從大量的客戶中獲得統計性效益，因此，這些服務的價格較專網便宜。
這兩個階段稱為永久性VPN。
3）現代的虛擬專用網
第三個階段是現代的虛擬專用網，即基於IP的虛擬專用網，稱為IP-VPN。在這個階段，VPN主要有以下三個主要特點。
一是基於公共IP網路。
二是提供一種將公共IP網路「化公為私」的組網手段，主要優勢是組網經濟。
三是保證在公網環境下所組建的網路具有一定的「私有性、專用性」，即安全性。從提供組網服務的角度看，VPN技術有兩種實現方式：一是利用服務提供商的IP網路基礎設施提供VPN服務；二是利用公共網路資源構建VPN。特別是互聯網、3G/4G/5G網路的發展，使得人們隨時隨地進行快速組網成為可能。
從網路安全的角度來看，由於VPN技術，特別是基於IPsec安全協議的IP-VPN技術是一種包含加密、認證、訪問控制、網路審計等多種安全機制的較為全面的網路安全技術，能夠提供網路安全整體解決方案，而且隨著互聯網的發展，其安全優勢越來越突出，為移動安全接入、安全互聯等提供了重要支撐，其也會不斷得到完善和發展。這也是出現「安全VPN」概念的原因，目的是同沒有採用密碼技術和訪問控制技術等網路安全技術的某些服務提供商提供的VPN相區別。
1 2 2 VPN定義
人們對VPN定義的理解存在著不同的角度。
1）從組網的角度來看
RFC 2547 將VPN定義為：將連接在公共網路設施上的站點集合，通過應用一些策略建立了許多由這些站點組成的子集，並且只有當兩個站點至少屬於某個子集時，它們之間才有可能通過公共網路進行IP互聯，每個這樣的子集就是一個VPN。
該定義反映的是一種現象，強調的是站點之間的組網，它將VPN定義為兩個或多個站點的集合，比較通俗、形象、客觀。
2）從安全傳輸的角度來看
有學者將VPN定義為：利用不安全的公用互聯網作為信息傳輸媒介，通過附加的安全隧道、用戶認證等技術實現與專用網路相類似的安全性能，從而實現對重要信息的安全傳輸。
該定義關注的是載體、技術和目標。
上述兩個定義從不同的觀點出發，對VPN進行了解釋，基本反映了VPN「基於公共IP網路、組網、安全性」特點。但是，闡述都比較片面。VPN的概念不僅要反映VPN基本特徵，還必須反映VPN的內涵，即「虛擬」「專用」「網路」「安全」以及構建安全、*占、自治的虛擬網路。
針對上述定義存在的問題，國內最具有代表性和確切的定義是由陳性元教授提出的。他將VPN定義為：利用公共IP網路設施，將屬於同