6、路由交换安全与VPN讲义课件.pptx

中山大学路由交换安全与VPN讲义 副教授2006年11月Sun Yat-sen University 广东省信息安全技术重点实验室局域网与VLAN局域网标准冲突域与广播域虚拟局域网（VLAN）2|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室局域网设备在OSI/RM中的位置路由器网络层网络地址寻址、路由网桥/交换机数据链路层用MAC地址寻址集线器/中继器工作物理层，没有寻址能力网络层网络层数据链路层数据链路层物理层物理层3|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室局域网标准IEEE,1884 年成立，320,000 成员，147国家IEEE 802.2 LLC IEEE 802.3 Ethernet IEEE 802.5 Token RingIEEE 802.6 MAN(DQDB)IEEE 802.10，1Q VLANIEEE 802.11 Wireless LANFDDI,ANSIATM,ATM Forum&ITU-T 4|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室How Switches Learn Host LocationsInitialMACaddresstableisemptyMACaddresstable0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3ABCD5|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室How Switches Learn Hosts LocationsStationAsendsaframetoStationCSwitchcachesstationAMACaddresstoportE0bylearningthesourceaddressofdataframesTheframefromstationAtostationCisfloodedouttoallportsexceptportE0(unknownunicastsareflooded)MACaddresstable0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0:0260.8c01.1111E0E1E2E3DCBA6|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室How Switches Learn Host LocationsStationDsendsaframetostationCSwitchcachesstationDMACaddresstoportE3bylearningthesourceAddressofdataframesTheframefromstationDtostationCisfloodedouttoallportsexceptportE3(unknownunicastsareflooded)MACaddresstable0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0:0260.8c01.1111E3:0260.8c01.4444E0E1E2E3DCAB7|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室How Switches Filter FramesStation A sends a frame to station CDestination is known,frame is not flooded E0:0260.8c01.1111E2:0260.8c01.2222E1:0260.8c01.3333E3:0260.8c01.44440260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3X XX XDCABMACaddresstable8|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室StationDsendsabroadcastormulticastframeBroadcastandmulticastframesarefloodedtoallportsotherthantheoriginatingport0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3DCABE0:0260.8c01.1111E2:0260.8c01.2222E1:0260.8c01.3333E3:0260.8c01.4444MACaddresstableBroadcast and Multicast Frames9|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室广播域和冲突域冲突域：在同一个冲突域中的每一个节点都能收到所有被发送的帧广播域：网络中能接收任一设备发出的广播帧的所有设备的集合 广播域可以跨网段，而冲突域只是发生的同一个网段。HUB 所有端口都在同一个广播域，冲突域内。Switch所有端口都在同一个广播域内，而每一个端口就是一个冲突域。10|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室冲突域和广播域CollisionDomain1CollisionDomain2BroadcastDomainBridgesterminatecollisiondomains11Sun Yat-sen University 广东省信息安全技术重点实验室Multicast,broadcast,andunknowndestinationeventsbecomeglobaleventsServerAARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPIneedtoknowtheMACaddressforServerAARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARP广播风暴引起的性能问题 12Sun Yat-sen University 广东省信息安全技术重点实验室BroadcastscanconsumeallavailablebandwidthEachdevicemustdecodethebroadcastframeServerA广播风暴13Sun Yat-sen University 广东省信息安全技术重点实验室10.1.1.010.1.2.010.1.3.0LANbroadcaststerminateattherouterinterfaceLAN 1LAN 2LAN 3通过路由器隔离广播域14Sun Yat-sen University 广东省信息安全技术重点实验室SegmentationFlexibilitySecurity3rdfloor2ndfloor1stfloorSALESHRENGAVLAN=Abroadcastdomain=Logicalnetwork(subnet)通过VLAN实现广播域的隔离15|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室VLAN的类型基于物理端口划分的VLAN基于MAC地址划分的VLAN基于网络层协议划分的VLAN基于网络层地址（IP地址）的VLAN16|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室基于物理端口分组（Port Based）主机主机主机主机A A主机主机主机主机B B主机主机主机主机C C主机主机主机主机D D以太网交换机以太网交换机VLAN表表端口端口所属所属VLANPort1Port1VLAN5VLAN5Port2Port2VLAN10VLAN10Port7Port7VLAN5VLAN5Port10Port10VLAN10VLAN10Port1Port1Port2Port2Port7Port7Port10Port1017|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室基于物理端口分组（Port Based）优点配置简单缺点不允许一个端口同时属于多过VLAN当终端计算机位置变化时，必须由管理员重新配置VLAN的接口。18|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室二层VLAN：根据MAC Address分组 MAC Address VLAN 1212354145121 1 2389234873743 2 3045834758445 2 5483573475843 1基于MAC 地址分组（MAC Based）19|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室基于MAC 地址分组（MAC Based）VLAN表表MAC地址地址所属所属VLANMACAMACAMACBMACBMACCMACCMACDMACDVLAN10VLAN10VLAN5VLAN5VLAN10VLAN10VLAN5VLAN5主机主机A主机主机主机主机B B主机主机C主机主机主机主机D DMACAMACBMACBMACCMACDMACD以太网交换机以太网交换机20|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室基于MAC 地址分组（MAC Based）优点工作站物理移动时，不需要重新配置，依然属于原来的VLAN。缺点在初始时所有的用户必须在至少一个VLAN上初始化21|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室基于网络层协议分组VLAN表表协议类型协议类型所属所属VLANIPXIPX协议协议协议协议IPIP协议协议协议协议VLAN5VLAN5VLAN10VLAN10主机主机A主机主机主机主机B B主机主机C主机主机主机主机D D使用使用IPX协议协议运行运行运行运行IPIP协议协议协议协议使用使用IPX协议协议运行运行运行运行IPIP协议协议协议协议以太网交换机以太网交换机22|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室基于网络地址分组VLAN表表IP网络网络所属所属VLANIPIP 1.1.1.1/24 1.1.1.1/24IPIP 1.1.2.1/24 1.1.2.1/24VLAN5VLAN5VLAN10VLAN10主机主机A主机主机主机主机B B主机主机C主机主机主机主机D D1.1.1.51.1.2.881.1.2.881.1.1.81.1.2.991.1.2.99以太网交换机以太网交换机23|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室基于网络地址分组优点可以根据协议类型划分物理移动时，无需修改网络地址缺点交换机检查网络层协议信息，消耗资源对于没有层次结构的协议（不可路由）不适用24|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室交换机之间传输VLAN成员信息交换机之间必须知道每个工作站属于哪一个VLAN，否则VLAN只能限制在同一台交换机上。交换机之间三种交换信息的方式Trunk TaggingSigalingTime-Division MultiplexingINTER-SWITCHCOMMUNICATIONSWITCH#1SWITCH#225|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室交换机之间传输VLAN成员信息Frame Tagging在交换机之间的主干链路（Trunck-Link）上传输的Frame中，在MAC头标中插入VLAN标识符Signalling当一台工作站发送第一个frame时，交换机记录它的MAC地址、端口，在地址表中缓存，并定期向其他的交换机广播。Time Division Multiplexing通过时分多路复用技术，在交换机之间的链路上为每个VLAN建立一个独立的信道26|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室VLAN的优点易于维护容易解决人员位置的变动有效地控制广播流量，提高性能增强网络安全性27|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室VLAN的优点 易于维护公司每年有20%-40%的工作人员需要改变工作位置。这种移动、添加和改变是网络管理中开支的重点。许多移动需要重新布线、重新分配地址、重新配置HUB和路由器。VLAN提供了一种有效的机制来管理这种业务。同一VLAN中的用户，不管其位置如何，都可以使用同一网络地址。当用户移动时，只要还连接至交换机并在同一个VLAN 中，就可以使用原来的网络地址。VLAN需要很少的重新布线、配置和调试，是对传统LAN技术的重大改进。路由器的配置也不受影响，当用户搬迁时，只要还在原来的子网，路由配置就不用改变。28|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室每个网络都有广播流量。广播的频率与应用类型、服务器类型、物理分段以及网络资源的使用方式密切相关。如果需要预先测试网络，确保不会有与广播相关的问题。一种有效的方式是对物理网络进行分段，用防火墙隔离各个段。即使一个网段上有过量的广播数据，其他网段不会受影响。这种分段能力提供了更高的可靠性，是广播流量尽可能减小，从而应用有更多的带宽可用。VLAN的优点 控制广播流量29|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室当两个交换机之间没有路由器时，广播流量被转发至每个交换机端口。这种整个网络中只有一个广播域的网络被称为平坦型网络。优点：低延迟，高流通率，易于管理。缺点：容易受到广播数据报的攻击。VLAN能有效地提供路由器的防火墙功能，从而保护网络不受有害广播数据的影响。另外，VLAN有所有交换机的优点。VLAN的组越小，一个VLAN中的广播风暴所影响的用户就越少。可以根据应用类型以及应用的广播频率来划分VLAN。VLAN的优点 控制广播流量30|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室监听的威胁经常有重要的、机密的数据通过LAN。机密数据需要安全的访问控制机制。LAN的一个缺点就是它太容易被渗透。插入一个可用的接口，一个恶意的用户就可获得整个网段上的数据。通过物理隔离，可以实现控制一个组中的用户数量防止其它用户在没有申请的情况下进入VLAN把未使用的端口划到一个低性能的网段VLAN的优点 增强网络安全性31|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室实现这种结构的VLAN相当直观。交换机端口按应用类型和访问级别进行分组。有安全要求的应用和资源一般放在一个安全的VLAN中。交换机限制对安全VLAN的访问。可以根据主机地址、应用类型和协议类型设置安全控制机制。可以用访问控制列表来增强安全性，这种技术在VLAN之间通讯时特别有用。在安全子网中，路由器也象交换机一样提供安全控制。路由器可以根据工作站地址、应用类型和协议类型甚至时间来设置安全控制机制。VLAN的优点 增强网络安全性32|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室VLAN的问题互操作性问题标准滞后，实现上的不一致不同厂商实现方式不同，除非选择单一厂家的产品硬件设备、VLAN软件、管理软件设备的废弃，造成投资的浪费增加了管理的复杂性33|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室目录VPN技术概述IP安全体系结构认证头协议(AH)封装安全载荷(ESP)安全关联(SA)密钥管理34|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室VPN概述Virtual Private Network 虚拟专用网虚拟专用网不是真的专用网络，但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP（Internet服务提供商）和其它NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。利用像Internet这样的公共的或不安全的媒体，通过应用多种技术提供用户认证、数据完整性和访问控制，从而提供网络应用程序之间的安全通信。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。VPN不是一种单一的技术，而是具有若干特性的系统35|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室VPN概述IETF草案理解基于IP的VPN为：“使用IP机制仿真出一个私有的广域网”。通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。虚拟：用户不再需要拥有实际的长途数据线路，而是使用公共网络资源。但它建立的只是一种临时的逻辑连接，一旦通信会话结束，这种连接就断开了。专用：用户可以定制最符合自身需求的网络。以IP为主要通讯协议的VPN，也可称之为IP-VPN。36|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室VPN概述VPN技术虽然种类众多，但IETF下的IPSec工作组推出的IPSec协议是目前工业界IP VPN标准，以IPSec协议构建虚拟专用网已成为主流。基于IPSec构建IP VPN是指利用实现IPsec协议的安全网关（Security Gateway）充当边界路由器，完成安全的远程接入和在广域网上内部网络的“虚拟”专线互联等37|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室VPN概述IPSec的应用：IPSec提供对跨越LAN/WAN，Internet的通讯提供安全性分支办公机构通过Internet安全互联远程安全访问Internet与合作伙伴建立extranet与intranet的互连增强电子商务安全性38|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室VPN的类型每种VPN都具有特定的要求和优先权，实现的目的、解决的问题也不同用于移动工作者的远程访问Client-LAN VPN，也叫 Access VPN替代早期的拨号远程访问网络用于局域网间连接的PNLAN-LAN型IntranetVPN和ExtranetVPN39|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室VPN的安全性VPN的主要目的是保护传输数据，必须具备4个关键功能认证：数据传输的来源确如其声明所言，目的地确实是数据期望到达的位置访问控制：限制对网络未经授权的访问机密性：防止数据在通过网络时被察看数据完整性：防止传输中对数据的任何篡改VPN的目的是保护从信道的一个端点到另一端点传输的信息流，信道的端点之前和之后，VPN不提供任何的数据包保护40|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室VPN系统组成41|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室VPN系统组成VPN服务器：接受来自VPN客户机的连接请求；VPN客户机：可以是终端计算机，也可以是路由器；隧道：数据传输通道，在其中传输的数据必须经过封装；VPN连接：在VPN连接中，数据必须经过加密；隧道协议：封装数据、管理隧道的通信标准传输数据：经过封装、加密后在隧道上传输的数据；公共网络：如Internet，也可以是其他共享型网络42|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室VPN关键技术RFC（Request For Comments）：“请求注解”，包含了关于Internet的几乎所有重要的文字资料。RFC享有网络知识圣经之美誉。RFC 2194：第一个VPN RFC，1997年9月14日发布。自1999年4月17日之后，有10个RFC直接涉及VPN，如RFC 2401-2411和RFC2451。有80多个RFC涉及隧道。43|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室VPN关键技术隧道技术：VPN的基本技术，它在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输。隧道由隧道协议形成，常用的有第2、3层隧道协议。密码技术：加解密技术：在VPN应用中将认证信息、通信数据等由明文转换为密文的相关技术，其可靠性主要取决于加解密的算法及强度。身份认证技术：在正式的隧道连接开始之前需要确认用户的身份，以便系统进一步实施资源访问控制或用户授权。密钥管理技术：如何在公用数据网上安全地传递密钥而不被窃取。QoS技术：保证VPN的性能稳定，在管理上满足企业的要求。44|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室VPN的隧道技术对通过隧道的数据进行处理的两个基本过程：加密和封装。加密：保证VPN的“私有性”；通信双方数据的加密涉及到：加密方法的选择、密钥的交换、密钥的管理等。封装：构建隧道的基本手段；使得隧道能够实现信息的隐蔽和信息的抽象。将一种协议封装在另一种协议中传输，从而实现被封装协议对封装协议的透明性，保持被封装协议的安全特性。45|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室VPN的隧道技术安全协议：就是构建隧道的“隧道协议”。IP隧道协议：使用IP协议作为封装协议的隧道协议。第二层隧道协议：首先把各种网络协议封装到数据链路层的PPP帧中，再把整个PPP帧装入隧道协议中。这种双层封装方法形成的数据包依靠第二层协议进行传输。如：PPTP（点到点隧道协议，Point-to-Point Tunneling Protocol）、L2F（第二层转发协议，Layer Two Forwarding）和L2TP（第二层隧道协议，Layer Two Tunneling Protocol）等；46|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室VPN的隧道技术第三层隧道协议：把各种网络协议直接装入隧道协议中，封装的是网络层协议数据包。如：GRE（通用路由封装协议，Generic Routing Encapsulation）和IPSec（IP层安全协议，Internet Protocol Security）IPSec的应用最为广泛，是事实上的网络层安全标准。不同协议层次的隧道协议各有优缺点，可考虑将其结合以构建虚拟专用网的完整解决方案。47|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室IPSec架构IPSec是提供网络层通信安全的一套协议簇IPSec只是一个开放的结构，通过在主IP报头后面接续扩展报头，为目前流行的数据加密或认证算法的实现提供统一的数据结构需求：身份认证、数据完整性和保密性IPSec在IPv6中是强制的，在IPv4中是可选的48|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室IPSec发展历史1994年IETF专门成立IP安全协议工作组，来制定和推动一套称为IPSec的IP安全协议标准。1995年8月公布了一系列关于IPSec的建议标准。1996年，IETF公布下一代IP的标准IPv6，把鉴别和加密作为必要的特征，IPSec成为其必要的组成部分。1999年底，IETF安全工作组完成了IPSec的扩展，在IPSec协议中加上ISAKMP（因特网安全关联和密钥管理协议），IKE（密钥交换协议）、Oakley（密钥确定协议）。ISAKMP/IKE/Oakley支持自动建立加密、鉴别信道，以及密钥的自动安全分发和更新。幸运的是，IPv4也可以实现这些安全特性。49|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室IPSec的应用方式端到端（endend）：主机到主机的安全通信端到路由（endrouter）：主机到路由设备之间的安全通信路由到路由（routerrouter）：路由设备之间的安全通信，常用于在两个网络之间建立虚拟专用网50|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室IPSec的内容协议部分，分为：AH（认证头，Authentication Header）：提供完整性保护和抗重放攻击；ESP（封装安全载荷，Encapsulating Security Payload）：提供机密性、完整性保护和抗重放攻击；密钥管理（Key Management）SA（Security Association）ISAKMP定义了密钥管理框架IKE是目前正式确定用于IPSec的密钥交换协议51|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室VPN概述IPSEC的优点在防火墙或路由器中实现时，可以对所有通过其边界的流量实施强安全性，而公司内部或工作组内部的通信不会招致与安全处理相关的开销防火墙内的IPSec能在所有外部流量均使用IP时阻止旁路IPSec在传输层以下，对所有应用透明，因此在防火墙或路由器使用IPSec时，不需要对用户系统或服务系统做任何改变IPSec可以对最终用户透明IPSec 可以为单个用户提供安全性52|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室IPSec安全体系结构53|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室IP安全体系结构IPSEC文档体系结构(Architecture)：定义IPSec技术的一般性概念、需求和机制封装安全有效载荷（ESP-Encapsulating Security Payload）认证头（AH-Authentication Header）加密算法（Encryption Algorithm）认证算法（Authentication Algorithm）密钥管理（Key Management）：ISAKMP解释域（DOI-Domain of Interpretation）：其他文档需要的为了彼此间互相联系的一些值，包括经过检验的加密和认证算法的标识以及操作参数，比如密钥的生存期54|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室IP安全体系结构IPSEC协议框架：综合了密码技术和协议安全机制，IPSec协议的设计目标是在IPV4和IPV6环境中为网络层流量提供灵活的安全服务。IPSEC文档RFC 2401:An overview of security architectureRFC 2402:Description of a packet encryption extension to IPv4 and IPv6RFC 2406:Description of a packet emcryption extension to IPv4 and IPv6RFC 2408:Specification of key managament capabilities55|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室IP安全体系结构 IPSec在IP层提供安全服务，系统可以选择所需要的安全协议，确定该服务所用的算法，并提供安全服务所需加密密钥。访问控制无连接完整性数据源认证拒绝重放数据包保密性（加密）有限的信息流保密性56|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室IP安全体系结构AHESP(只加密)ESP(加密并认证)访问控制无连接的完整性数据源发认证检测重放攻击 机密性有限的通信流保密57|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室IP安全体系结构安全关联(SecurityAssociation)是两个通信实体经过协商建立起来的一种协定，他们决定了用来保护数据包安全的IPSec协议、密码算法、密钥等信息，IPSec 实体要建立一个本地SA数据库(SADB)，SPI(SA Parameter Index)是 AH或ESP中的一个字段，用来标识数据包对应的SASA是单向的，该连接为其运载的流量提供安全服务。多个SA联合使用构成SA束(SA bundle)。SA是协议相关的，根据安全协议不同，SA分为：AH SA和ESP SA；根据使用模式不同，SA又分为传输模式SA和隧道模式SA58|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室IP安全体系结构 SA由三个参数唯一确定：SecurityParametersIndex(SPI)IP目的地址（目的地址（IPDA）：）：安全协议：安全协议：AH 或者 ESP。sourcedstprotospiSA记录1.1.1.12.2.2.2AH11MD5,K12.2.2.21.1.1.1ESP12DES,K22.2.2.21.1.1.1AH13SHA,K3A(1.1.1.1)B(2.2.2.2)A的的 SADB59|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室IP安全体系结构SA参数序数计数器：一个32位用于生成AH或ESP头中的序数字段计数器溢出位：一个标志位表明该序数计数器是否溢出，如果是，将生成一个审计事件，并禁止本SA的进一步的包传送。反重放窗口：用于确定一个入站的AH或ESP是否是一个回放AH信息：认证算法，密钥，密钥生存期，以及与密钥一起的其他参数ESP信息：加密和认证算法，密钥，初始值，密钥生存期，以及与密钥一起的其他参数60|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室IP安全体系结构SA的生存期：一个时间间隔或字节计数。到时候一个SA必须用一个新的SA替换或终止IPSec协议模式：隧道，传输Path MTU：最大传输单元（不需要分段传输的最大包长度）路径和迟滞变量61|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室IP安全体系结构安全策略(Policy)决定了为哪种类型的包提供何种安全服务，IP信息流与SA关联的手段是通过安全策略数据库SPD(Security Policy Database)每一个SPD入口通过一组IP和更高层协议域值，称选择符来定义，以下的选择符确定SPD入口：源地址目标地址协议（TCP/UDP/ICMP）源端口和目标端口 用户ID数据敏感性级别服务类型（ToS）62|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室IPSEC外发数据报处理Look up SPD to find policy for datagramCreate new SA if needed.Apply keys in SA for encryption/MACing.Pass processed datagram down to Link Layer.Pass to next instance of IPSec processing.Further IPSec processingrequired?Drop,pass through or process datagram?63|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室IP安全体系结构安全策略数据库SPD和安全关联数据库SADBsourcedstprotospiSA记录1.1.1.12.2.2.2AH11MD5,K1,1.1.1.12.2.2.2ESP12DES,K2,2.2.2.21.1.1.1AH13DES,K3,A(1.1.1.1)B(2.2.2.2)A的的 SADBsourcedestprotocolportpolicy1.1.1.12.2.2.2TCP80AH1.1.1.13.3.3.3TCP25ESPA的的SPD64|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室传输模式HeaderPayloadIP datagram NetworkHeaderPayloadIP datagram IPSEC Transport ModeIPSEC Transport Mode65|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室隧道模式IPSEC Tunnel Mode：Protection for entire IP datagram.Entire datagram plus security fields treated as new payload of outer IP datagram.So original inner IP datagram encapsulated within outer IP datagram.IPSec processing performed at security gateways on behalf of endpoint hosts.Gateway could be perimeter firewall or router.Gateway-to-gateway rather than end-to-end security.Hosts need not be IPSec-aware.Intermediate routers have no visibility of inner IP datagram.Even orginal source and destination addresses encapsulated and so hidden.66|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室隧道模式HeaderPayloadHeaderPayloadHeaderPayloadInner IP datagram OuterHeaderNetworkHeaderPayloadInner IP datagram Inner IP datagram Inner IP datagram SecurityGatewaySecurityGatewayOuterHeaderIPSEC Tunnel ModeIPSEC Tunnel Mode67|3/6/2023 Sun Yat-sen University 广东省信息安全技术重点实验室AH协议AH=Authen