[精选]《网络安全实用教程》配套(人民邮电出版)ch10.pptx

第10 章 Internet 平安与应用本章有五小节：10.1 电子邮件平安10.2 Internet 电子欺骗与防范10.3 Internet 连接防火墙与 Windows 防火墙应用10.4 VPN 平安10.5 Internet Explorer 平安应用实例10 1 电子邮件平安10.1.1 电子邮件的平安漏洞1电子邮件协议 常用的电子邮件协议有SMTP和POP3，它们都属于TCP/IP协议簇。默认状态下，分别通过TCP端口25和110建立连接。SMTP是一组用于从源地址到目的地址传输邮件的标准，用来控制邮件的中转方式。POP协议负责从邮件效劳器中检索电子邮。10 1 电子邮件平安10.1.1 电子邮件的平安漏洞2电子邮件的平安漏洞1 缓存漏洞2 Web信箱漏洞3 历史记录漏洞4 密码漏洞5 攻击性代码漏洞10 1 电子邮件平安10.1.2 电子邮件平安技术与策略1电子邮件平安技术1 端到端的平安电子邮件技术 端到端的平安电子邮件技术可保证邮件从被发出到被接收的整个过程中，内容保密，无法修改，并且不可否认。目前，成熟的端到端平安电子邮件标准有PGP和S/MIME。2 传输层的平安电子邮件技术l 目前主要有两种方式实现电子邮件在传输过程中的平安，一种是利用SSL SMTP和SSL POP，另一种是利用VPN或者其他的IP通道技术，将所有的TCP/IP传输 包括电子邮件封装起来。10 1 电子邮件平安10.1.2 电子邮件平安技术与策略2电子邮件平安策略1 选择平安的客户端软件2 利用防火墙技术3 对邮件进行加密4 利用病毒查杀软件5 对邮件客户端进行平安配置10 1 电子邮件平安10.1.3 电子邮件平安应用实例1Web邮箱平安配置 Web邮箱有很多种，用户根据个人习惯选择适宜的邮箱，下面以163邮箱为例，介绍Web邮箱的平安配置。10 1 电子邮件平安10.1.3 电子邮件平安应用实例1Web邮箱平安配置 1 防密码嗅探l 163邮箱在登录时采用了SSL加密技术，它对用户提交的所有数据先进行加密，然后再提交到网易邮箱，从而可以有效防止黑客盗取用户名、密码和邮件内容，保证了用户邮件的平安。用户在输入用户名和密码时，选择“SSL平安登录即可实现该功能。当用户单击“登录或回车后，会发现地址栏中的:/瞬间变成s:/，之后就又恢复成:/，这就是SSL加密登。10 1 电子邮件平安10.1.3 电子邮件平安应用实例1Web邮箱平安配置 2 来信分类功能l 邮箱的来信分类功能是根据用户设定的分类规则，将来信投入指定文件来，或者拒收来信。这样，不仅能够防止垃圾邮件，还可以过滤掉一些带病毒的邮件，减少了病毒感染的时机。10 1 电子邮件平安10.1.3 电子邮件平安应用实例1Web邮箱平安配置 2 来信分类功能l 登录网易邮箱，点击“设置进入“邮箱设置界面。选择“邮件收发设置“来信分类“新建来信分类，翻开“编辑分类规则界面，设置分类规则。10 1 电子邮件平安10.1.3 电子邮件平安应用实例1Web邮箱平安配置 3 反垃圾邮件处理l 默认情况下网易邮箱具有反垃圾邮件的功能，用户通过单击“设置“反垃圾设置“反垃圾级别，翻开“反垃圾级别界面。10 1 电子邮件平安10.1.3 电子邮件平安应用实例1Web邮箱平安配置 4 黑 和白 l 用户通过点击“设置“反垃圾设置“黑 设置或“白 设置，翻开黑 和白 的设置界面。10 1 电子邮件平安10.1.3 电子邮件平安应用实例2Foxmail客户端软件的平安配置 使用邮件客户端可以不用登录Web页就能收发邮件，如果用户有多个Web邮箱，还可集中到同一个客户端下，省掉了登录多个邮箱的麻烦。Foxmail使用多种技术对邮件进行判别，能够准确识别垃圾邮件与非垃圾邮件，最大限度地减少用户因为处理垃圾邮件而浪费的时间。数字签名和加密功能，可以确保电子邮件的真实性和保密性。10 1 电子邮件平安10.1.3 电子邮件平安应用实例2Foxmail客户端软件的平安配置 1 邮箱访问口令l 由于邮件客户端软件将多个电子邮件账户实时登录在计算机上，因此为了防止当用户离开自己计算机时被别人非法查阅邮件信息，最好为邮箱设置账户访问口令。单击菜单栏中的“邮箱“设置邮箱账户访问口令，弹出“口令对话框。10 1 电子邮件平安10.1.3 电子邮件平安应用实例2Foxmail客户端软件的平安配置 1 邮箱访问口令10 1 电子邮件平安10.1.3 电子邮件平安应用实例2Foxmail客户端软件的平安配置 2 垃圾邮件设置l Foxmail6.5提供了强大的反垃圾邮件功能，用户通过单击“工具“反垃圾邮件功能设置命令，就会弹出“反垃圾邮件设置对话框，它包括常规、规则过滤、贝叶斯过滤、黑 和白 项选择项卡。10 1 电子邮件平安10.1.3 电子邮件平安应用实例2Foxmail客户端软件的平安配置 2 垃圾邮件设置10 1 电子邮件平安10.1.3 电子邮件平安应用实例2Foxmail客户端软件的平安配置 2 垃圾邮件设置l 在“规则过滤选项卡中，将“使用规则判定接收到的邮件是否为垃圾邮件选中，然后根据当前邮箱遭受垃圾邮件的多少来决定“过滤强度的强弱。10 1 电子邮件平安10.1.3 电子邮件平安应用实例2Foxmail客户端软件的平安配置 2 垃圾邮件设置“贝叶斯过滤是一种智能型的反垃圾邮件设计，它通过让Foxmail不断的对垃圾与非垃圾邮件的分析学习，来提高自身对垃圾邮件的识别准确率。10 1 电子邮件平安10.1.3 电子邮件平安应用实例2Foxmail客户端软件的平安配置 2 垃圾邮件设置 单击“学习按钮，弹出邮件学习向导，可通过“浏览选择要学习的内容，如选择学习的类型是“按垃圾邮件标记学习。单击“下一步按钮，弹出学习过程窗口。如果发现学习结果不再有用，可单击“贝叶斯过滤选项卡中的“高级按钮，去除学习记录。10 1 电子邮件平安10.1.3 电子邮件平安应用实例2Foxmail客户端软件的平安配置 2 垃圾邮件设置10 1 电子邮件平安10.1.3 电子邮件平安应用实例2Foxmail客户端软件的平安配置 2 垃圾邮件设置l 在“黑 选项卡中，用户只需要单击“添加按钮，将一些确认的垃圾邮件地址输入到黑 中就可完成对该邮件地址发来的所有邮件的监控。10 1 电子邮件平安10.1.3 电子邮件平安应用实例2Foxmail客户端软件的平安配置 3 邮件加密 l Foxmail全面支持平安电子邮件技术，兼容多种加密、解密算法，可应用于各种重要商务活动中处理机密信息时加密邮件、接收和发送数字签名10 1 电子邮件平安10.1.3 电子邮件平安应用实例2Foxmail客户端软件的平安配置 3 邮件加密 l 申请完数字证书，在发送加密并且签名的邮件前，还要进行如下设置。单击“工具“系统设置命令，弹出“设置对话框，选择“平安选项卡。将“对所有待发邮件的内容和附件进行加密和“对所有待发邮件进行签名选中，单击“确定按钮，完成设置。这样一些机密的邮件就可以平安的发送到目的邮箱了。10 1 电子邮件平安10.1.3 电子邮件平安应用实例3OutlookExpress客户端软件的平安配置 1 工具“选项设置:在OutlookExpress菜单栏中单击“工具“选项，弹出“选项对话框进行以下平安配置:邮件加密和签名设置 回执选项设置 使用纯文本格式 备份邮件资料10 1 电子邮件平安10.1.3 电子邮件平安应用实例3OutlookExpress客户端软件的平安配置 1 工具“选项设置10 1 电子邮件平安10.1.3 电子邮件平安应用实例3OutlookExpress客户端软件的平安配置 2 邮件规则的设置 l 在OutlookExpress“工具菜单栏的“邮件规则选项中，可以对邮件、新闻及发件人 进行设置并过滤符合相关条件的垃圾邮件。10.2 Internet 电子欺骗与防范10.2.1 ARP 电子欺骗1ARP协议 ARP是负责将IP地址转化成对应的MAC地址的协议。为了得到目的主机的MAC地址，源主机就要查找其ARP缓存，假设没有找到，源主机就会发送一个ARP播送请求数据包。此ARP请求数据包包含源主机的IP地址、MAC地址和目的主机的IP地址。它向以太网上的每一台主机询问“如果你是这个IP地址，请回复你的MAC地址。只有具有此IP地址的主机收到这份播送报文后，向源主机回送一个包含其MAC地址的ARP应答。10.2.1 ARP 电子欺骗2ARP欺骗攻击原理 ARP请求是以播送方式进行的，主机在没有接到请求的情况下也可以随意发送ARP响应数据包，且任何ARP响应都是合法的，无需认证，自动更新ARP缓存，这些都为ARP欺骗提供了条件。10.2 Internet 电子欺骗与防范10.2.1 ARP 电子欺骗2ARP欺骗攻击原理 当LAN中的某台主机B向主机A发送一个自己伪造的ARP应答，如果这个应答是B冒充C伪造的，即IP地址为C的IP地址，而MAC地址是B的。当A接收到B伪造的ARP应答后，就会更新本地的ARP缓存，建立新的IP地址和MAC地址的映射关系，从而，B取得了A的信任。这样，以后A要发送给C的数据包就会直接发送到B的手里。10.2 Internet 电子欺骗与防范10.2.1 ARP 电子欺骗2ARP欺骗攻击原理 例子：一个入侵者想非法进入某台主机，他知道这台主机的防火墙只对192.0.0.3开放23号端口Telnet，而他必须要使用Telnet来进入这台主机，所以他要进行如下操作：10.2 Internet 电子欺骗与防范10.2.1 ARP 电子欺骗2ARP欺骗攻击原理1 研究192.0.0.3主机，发现如果他发送一个洪泛Flood 包给192.0.0.3的139端口，该机器就会应包而死。2 主机发到192.0.0.3的IP包将无法被机器应答，系统开始更新自己的ARP对应表，将192.0.0.3的工程删去。3 入侵者把自己的IP改成192.0.0.3，再发一个ping命令给主机，要求主机更新ARP转换表。10.2 Internet 电子欺骗与防范10.2.1 ARP 电子欺骗2ARP欺骗攻击原理4 主机找到该IP，然后在APR表中参加新的IP地址与MAC地址的映射关系。5 这样，防火墙就失效了，入侵者的MAC地址变为合法，可以使用Telnet进入主机了。现在，假设该主机不只提供Telnet，还提供r命令如rsh、rcopy、rlogin，那么，所有的平安约定都将无效，入侵者可放心地使用该主机的资源而不用担忧被记录什么。10.2 Internet 电子欺骗与防范10.2.1 ARP 电子欺骗3ARP欺骗攻击的防御采用如下措施可有效的防御ARP攻击：1 不要把网络的平安信任关系仅建立在IP地址或MAC地址的基础上，而是应该建立在IP+MAC基础上即将IP和MAC两个地址绑定在一起。2 设置静态的MAC地址到IP地址的对应表，不要让主机刷新设定好的转换表。3 除非很有必要，否则停止使用ARP，将ARP作为永久条目保存在对应表中。4 使用ARP效劳器，通过该效劳器查找自己的ARP转换表来响应其他机器的ARP播送，确保这台ARP效劳器不被攻击10.2 Internet 电子欺骗与防范10.2.1 ARP 电子欺骗3ARP欺骗攻击的防御5 定期去除计算机中的ARP缓存信息，到达防范ARP欺骗攻击的目的。6 使用ARP监控效劳器。当进行数据传输时，客户端把ARP数据包捕获发送给效劳器端，由效劳器端进行处理。7 划分多个范围较小的VLAN，一个 VLAN内发生的ARP欺骗不会影响到其他VLAN内的主机通信，缩小了ARP欺骗攻击影响的范围。8 使用交换机的端口绑定功能。9 使用防火墙连续监控网络。10.2 Internet 电子欺骗与防范10.2.2 DNS 电子欺骗1DNS欺骗 DNS欺骗是攻击者冒充域名效劳器的一种欺骗行为。DNS欺骗攻击是危害性较大，攻击难度较小的一种攻击技术。当攻击者危害DNS效劳器并明确地更改主机名与IP地址映射表时，DNS欺骗就会发生。10.2 Internet 电子欺骗与防范 10.2.2DNS电子欺骗2DNS欺骗攻击原理 DNS欺骗是攻击者冒充域名效劳器的一种欺骗行为。DNS欺骗攻击是危害性较大，攻击难度较小的一种攻击技术。当攻击者危害DNS效劳器并明确地更改主机名与IP地址映射表时，DNS欺骗就会发生。10.2 Internet 电子欺骗与防范 10.2.2 DNS 电子欺骗2DNS欺骗攻击原理 在域名解析过程中，客户端首先以特定的标识ID 向DNS效劳器发送域名查询数据报，在DNS效劳器查询之后以相同的ID号给客户端发送域名响应数据报。这时，客户端会将收到的DNS响应数据报的ID和自己发送的查询数据报的ID相比较，两者如匹配，则说明接收到的正是自己等待的数据报；如果不匹配，则丢弃之。10.2 Internet 电子欺骗与防范 10.2.2 DNS 电子欺骗2DNS欺骗攻击原理 攻击者的欺骗条件只有一个，那就是发送的与ID匹配的DNS响应数据报在DNS效劳器发送响应数据报之前到达客户端。在主要由交换机搭建的网络环境下，要想实现DNS欺骗，攻击者首先要向攻击目标实施ARP欺骗。10.2 Internet 电子欺骗与防范 10.2.2 DNS 电子欺骗2DNS欺骗攻击原理 假设用户、攻击者和DNS效劳器在同一个LAN内，则其攻击过程如下。1 攻击者通过向攻击目标以一定的频率发送伪造ARP应答包改写目标机的ARP缓存中的内容，并通过IP续传方式使数据通过攻击者的主机再流向目的地；攻击者配合嗅探器软件监听DNS请求包，取得ID和端口号。2 取得ID和端口号后，攻击者立即向攻击目标发送伪造的DNS应答包。用户收到后确认ID和端口号无误，以为收到了正确的DNS应答包。而其实际的地址很可能被导向攻击者想让用户访问的恶意网站，用户的信息平安受到威胁。3 当用户再次收到DNS效劳器发来的DNS应答包时，由于晚于伪造的DNS应答包，因此被用户抛弃；用户的访问被导向攻击者设计的地址，一次完整的DNS欺骗完成。10.2 Internet 电子欺骗与防范 10.2.2DNS电子欺骗3DNS欺骗攻击的防范1 直接使用IP地址访问 对少数信息平安级别要求高的网站应直接使用输入IP地址进行访问，这样可以避开DNS对域名的解析过程，也就避开了DNS欺骗攻击。2 DNS效劳器冗余 借助于“冗余思想，可在网络上配置两台或多台DNS效劳器，并将其放置在网络的不同地点。10.2 Internet 电子欺骗与防范 10.2.2 DNS 电子欺骗3DNS欺骗攻击的防范3 MAC与IP地址绑定 DNS欺骗是攻击者通过改变或冒充DNS效劳器的IP地址实现的，所以将DNS效劳器的MAC地址与IP地址绑定，保存在主机内。这样，每次主机向DNS发出请求后，都要检查DNS效劳器应答中的MAC地址是否与保存的MAC地址一致。4 加密数据 防止DNS欺骗攻击最根本的方法是加密传输的数据。对效劳器来说应尽量使用SSH等支持加密的协议，对一般用户则可使用PGP之类的软件加密所有发到网络上的数据。10.2 Internet 电子欺骗与防范 10.2.2 DNS 电子欺骗3DNS欺骗攻击的防范 有一些例外情况不存在DNS欺骗：如果IE中使用代理效劳器，那么DNS欺骗就不能进行，因为此时客户端并不会在本地进行域名请求；如果访问的不是本地网站主页，而是相关子目录文件，这样在自定义的网站上不会找到相关的文件，DNS欺骗也会以失败告终。10.2 Internet 电子欺骗与防范 10.2.3 IP 电子欺骗1IP电子欺骗原理 IP电子欺骗是建立在主机间的信任关系基础上的。由于IP协议不是面向链接的，所以IP层不保持任何连接状态的信息。因此，可以在IP包的源地址和目标地址字段中放入任意的IP地址。假设某人冒充主机B的IP地址，就可以使用rlogin登录到主机A，而不需任何口令认证。这就是IP电子欺骗的理论依据。10.2 Internet 电子欺骗与防范 10.2.3 IP 电子欺骗2IP电子欺骗过程1 使被信任主机丧失工作能力 由于攻击者将要代替真正的被信任主机，他必须确保真正的被信任主机不能收到任何有效的网络数据，否则将会被揭穿。比方，使用SYN洪泛攻击使被信任主机失去工作能力。2 序列号取样和推测 先与被攻击主机的一个端口如25 建立起正常连接，并将目标主机最后所发送的初始序列号ISN 存储起来；然后还需要估计他的主机与被信任主机之间的往返时间。10.2 Internet 电子欺骗与防范 10.2.3 IP 电子欺骗2IP电子欺骗过程3 对目标主机的攻击 攻击者可伪装成被信任主机的IP地址，然后向目标主机的513端口rlogin的端口号发送连接请求。目标主机立刻对连接请求做出反响，发送SYN/ACK确认数据包给被信任主机。此时被信任主机处于瘫痪状态，无法收到该包。随后攻击者向目标主机发送ACK数据包，该包使用前面估计的序列号加1。如果攻击者估计正确，目标主机将会接收该ACK。连接就正式建立。10.2 Internet 电子欺骗与防范 10.2.3 IP 电子欺骗3IP电子欺骗的防范1 抛弃基于IP地址的信任策略2 进行包过滤3 使用加密方法4 使用随机的初始序列号10.2 Internet 电子欺骗与防范 10.2.4 Internet 电子欺骗防范实例1IP地址绑定设置 对合法用户进行IPMAC端口绑定，可防止恶意用户通过更换自己地址上网的行为。现以S3562系列交换机为例介绍IP地址与MAC地址和端口的绑定设置，如图10.26所示。用户的IP地址为10.1.1.2，MAC地址为0000-0000-0001。10.2 Internet 电子欺骗与防范 10.2.4 Internet 电子欺骗防范实例1IP地址绑定设置1 采用DHCP-SECURITY实现IP与MAC绑定 配置端口的静态MAC地址 SwitchAmac-addressstatic0000-0000-0001interfaceethernet0/1vlan1 配置IP和MAC对应表 SwitchAdhcp-security10.1.1.20000-0000-0001static 配置DHCP-Server组号否则不允许执行下一步 SwitchA-vlan-interface1dhcp-server1 启动三层地址检测 SwitchA-vlan-interface1address-checkenable10.2 Internet 电子欺骗与防范 10.2.4 Internet 电子欺骗防范实例1IP地址绑定设置 2 采用AM命令来实现IP与MAC绑定 启动AM功能 SwitchAamenable 进入端口视图 SwitchAvlan10 将E0/1参加到vlan10 SwitchA-vlan10portethernet0/1 创立进入vlan10的虚接口 SwitchAinterfacevlan-interface1010.2 Internet 电子欺骗与防范 10.2.4 Internet 电子欺骗防范实例1IP地址绑定设置 2 采用AM命令来实现IP与MAC绑定 为vlan10的虚接口配置IP地址 SwitchA-vlan-interface10ipadd10.1.1.1255.255.255.0 进入E0/1端口 SwitchAinterfaceethernet0/1 该端口只允许起始IP地址为10.1.1.2的10个IP地址上网 SwitchA-ethernet0/1amip-pool10.1.1.21010.2 Internet 电子欺骗与防范 10.2.4 Internet 电子欺骗防范实例2IP、MAC与端口绑定设置 通过ACL可实现静态MAC与端口捆绑端口E0/1仅允许MAC为0.0.1的PC1接入、动态MAC与端口捆绑端口E0/1仅允许一个任何MAC地址的主机接入、IP与端口捆绑端口E0/1仅允许IP地址为1.0.0.2的主机接入、IP与MAC捆绑vlan1下的主机MAC为0.0.1的PC1必须使用IP地址1.0.0.2才可以通过交换机以及MAC、IP与端口捆绑端口E0/1仅仅允许MAC地址为0.0.1且IP地址为1.0.0.2的主机接入。10.2 Internet 电子欺骗与防范 10.2.4 Internet 电子欺骗防范实例2IP、MAC与端口绑定设置 三层交换机SwitchA有两个端口E0/1、E0/2分别属于vlan1、vlan2；vlan1和vlan2的三层接口地址分别是1.0.0.1/8和2.0.0.1/8，上行口G1/1是trunk端口，并允许vlan3通过。10.2 Internet 电子欺骗与防范 10.2.4 Internet 电子欺骗防范实例2IP、MAC与端口绑定设置 现以3526E交换机为例介绍其设置。1 静态MAC与端口捆绑设置 创立ACL 200#SwitchAaclnum200 定义规则禁止E0/1去往任意端口的数据包 SwitchA-acl-link-200rule0denyingressinterfaceethernet0/1egressany 定义规则允许MAC地址0.0.1从E0/1发住任意端口 SwitchA-acl-link-200rule1permitingress0.0.1interfaceethernet0/1egressany 下发访问控制列表 SwitchApacket-filterlink-group20010.2 Internet 电子欺骗与防范 10.2.4 Internet 电子欺骗防范实例2IP、MAC与端口绑定设置 2 动态MAC与端口捆绑设置 定义端口最大MAC地址学习数为1 SwitchA-ethernet0/2mac-addressmax-mac-count1 3 IP与端口捆绑设置 注：这是用QACL命令实现的，该功能在S3526系列交换机上可以使用静态DHCP和AM命令分别实现。创立ACL 1#SwitchAaclnum1 定义规则禁止所有的IP报文 SwitchA-acl-basic-1rule0denysourceany 定义规则允许源地址1.0.0.2主机 SwitchA-acl-basic-1rule1permitsource1.0.0.20 创立ACL 200#SwitchAaclnum20010.2 Internet 电子欺骗与防范 10.2.4 Internet 电子欺骗防范实例2IP、MAC与端口绑定设置 定义规则 SwitchA-acl-link-200rule0denyingressinterfaceE0/1egressany SwitchA-acl-link-200rule1permitingressinterfaceE0/1egressany 下发ACL，禁止E0/1的所有IP报文 SwitchApacket-filterip-group1rule0link-group200rule0 下发ACL，允许主机1.0.0.2报文通过E0/1 SwitchApacket-filterip-group1rule1link-group200rule110.2 Internet 电子欺骗与防范 10.2.4 Internet 电子欺骗防范实例2IP、MAC与端口绑定设置 4 IP与MAC捆绑设置 创立ACL 1#SwitchAaclnumber1 定义规则允许特定IP SwitchA-acl-basic-1rule0permitsource1.0.0.20 创立ACL 200#SwitchAaclnumber200 定义规则禁止特定MAC SwitchA-acl-link-200rule0denyingress10000-0000-00010000-0000-0000egressany 定义规则允许特定MAC SwitchA-acl-link-200rule1permitingress10000-0000-00010000-0000-0000egressany 下发访问控制列表，禁止特定MAC0.0.1 SwitchApacket-filterlink-group200rule0 下发ACL，允许符合IP的特定mac SwitchApacket-filterip-group1rule0link-group200rule110.2 Internet 电子欺骗与防范 10.2.4 Internet 电子欺骗防范实例2IP、MAC与端口绑定设置 5 IP、mac和端口捆绑设置 创立ACL 1#SwitchAaclnumber1 定义规则允许1.0.0.2主机 SwitchA-acl-basic-1rule0permitsource1.0.0.20 创立ACL 200#SwitchAaclnumber200 定义规则禁止E0/1发往任何端口的数据 SwitchA-acl-link-200rule0denyingressinterfaceE0/1egressany 定义规则允许0.0.1主机从E0/1去往任意端口 SwitchA-acl-link-200rule1permitingress10000-0000-00010000-0000-0000egressany 下发ACL SwitchApacket-filterlink-group200rule0 SwitchApacket-filterip-group1rule0link-group200rule110.2 Internet 电子欺骗与防范10.3 Internet 连接防火墙与 Windows 防火墙应用1 Internet 连接防火墙 Internet 连接防火墙 Internet ConnectionFirewall，ICF 建立在客户机与Internet之间，可以使用户请求的数据通过、阻碍没有请求的数据包，是一个基于包的、保护网络与外部系统边界的平安系统。1 Internet 连接防火墙 通常，ICF被视为状态防火墙，状态防火墙可监视通过其路径的所有通信，并且检查每个消息的源/目标地址。为了防止来自连接公用端的未经请求的通信进入专用端，ICF保存了所有源自ICF计算机的通信表。在单独的计算机中，ICF将跟踪源自该计算机的通信。与ICS一起使用时，ICF将跟踪所有源自ICF/ICS计算机的通信和所有源自专用网络计算机的通信。2Windows防火墙的应用1 翻开Windows防火墙控制台 在WindowsXP系统，单击“开始“设置“控制面板，在控制面板中双 击“Windows防 火 墙 图 标，翻 开“Windows防火墙控制台。2Windows防火墙的应用2 添加例外程序或端口 当用户在本地运行一个应用程序并将其作为Internet效劳器提供效劳时，Windows防火墙将会弹出一个新的平安警报对话框。通过对话框中的选项可以将此应用程序或效劳添加到Windows防火墙的例外项中。2Windows防火墙的应用3 网络连接设置 在“高级选项卡中包含了“网络连接设置、“平安日志记录、“ICMP 和“默认设置4组选项，可以根据实际情况进行配置。2Windows防火墙的应用4 平安日志设置 Windows防火墙的平安记录功能可以提供一种方式来创立防火墙活动的日志文件，能够记录被许可的和被拒绝的通信。2Windows防火墙的应用5 默认设置 如果要将所有Windows防火墙设置恢复为默认状态，可在图中的“默认设置处点击“复原为默认值按钮，即可将前面所有Windows防火墙设置复原为默认状态。2Windows防火墙的应用6 组策略设置 Windows防火墙也可以通过组策略进行防火墙状态、允许的例外等设置。其操作过程为：第1步：选择“开始“运行，在“运行对话框中输入“gpedit.msc 并回车，翻开WindowsXP组策略编辑器。进入组策略编辑器后，就可配置Windows防火墙了。第2步：从左侧窗格中依次展开“计算机配置“管理模板“网络“网络连接“Windows防火墙。从图中Windows防火墙下可以看到两个分支设置，一个是域配置文件，一个是标准配置文件。当计算机连接到有域控制器的网络中即有专门的管理效劳器时，是域配置文件起作用；否则，是标准配置文件起作用。即使没有配置标准配置文件，缺省值也会生效。2Windows防火墙的应用7 命令行配置 Windows防火墙的配置和状态信息还可以通过命令行工具Netsh.exe进行。可在命令提示符窗口输入“netshfirewall 命令获取防火墙信息和修改防火墙设定。“netshfirewall 命令的参数及其含义如下：?-显示命令列表 add-添加防火墙配置 delete-删除防火墙配置 dump-显示一个配置脚本 help-显示命令列表 reset-将防火墙配置重置为默认值 set-设置防火墙配置 show-显示防火墙配置10 4 VPN 平安10.4.1 VPN 概述1VPN简介 VPN是利用公用网络来构建专用网络，它是通过特殊设计的硬件和软件直接通过共享的IP网所建立的隧道来完成的。VPN由物理上分布在不同地点的网络通过公用网络连接构成的虚拟子网，并采用认证、访问控制、数据保密性和完整性等平安措施，使得数据通过平安的“加密管道在公用网络中传输。10 4 VPN 平安10.4.1 VPN 概述1VPN简介 VPN类似于点到点直接拨号连接或租用线路连接，尽管它是以交换和路由的方式工作。VPN常用的连接方式有：通过Internet实现远程访问、通过Internet实现网络互连和连接企业内部网络计算机等。VPN允许远程通信方、销售人员或企业分支机构使用Internet等公用网络的路由基础设施以平安的方式与位于企业LAN端的企业效劳器建立连接。通过VPN，网络对每个使用者都是“专用的。10 4 VPN 平安10.4.1 VPN 概述2VPN平安技术 VPN可采用多种平安技术来保证平安。这些平安技术主要有隧道 tunneling 技术、加密/解密 encryptiondecryption 技术、密钥管理 key management 技术和身份认证 authentication 技术等，它们都由隧道协议支持。10 4 VPN 平安10.4.1 VPN 概述2VPN平安技术1 隧道技术 隧道技术是VPN的基本技术，类似于点对点连接技术。它是在公用网络上建立的一条数据通道 隧道，数据包通过这条隧道传输。使用隧道传递的数据可以是不同协议的数据帧或包。隧道协议将这些其它协议的数据帧或包重新封装在新的包头中发送。新的包头提供了路由信息，从而使封装的负载数据能够通过互联网络传递。被封装的数据包在隧道的两个端点之间通过公共网络进行路由。10 4 VPN 平安10.4.1 VPN 概述2VPN平安技术2 加密/解密技术 加密/解密技术是在VPN应用中将认证信息、通信数据等由明文转换为密文和由密文变为明文的相关技术，其可靠性主要取决于加密/解密的算法及强度。10 4 VPN 平安10.4.1 VPN 概述2VPN平安技术3 密钥管理技术 密钥管理技术的主要任务是如何在公用数据网上平安地传递密钥。现行密钥管理技术分为SKIP和ISAKMP/OAKLEY两 种。SKIP协 议 主 要 是 利 用Diffie-Hellman算法法则，在网络中传输密钥；在Internet平安连接和密钥管理协议 ISAKMP 中，双方都有两个密钥，分别用于公用和私用。10 4 VPN 平安10.4.1 VPN 概述2VPN平安技术4 身份认证技术 在正式的隧道连接开始之前，VPN要运用身份认证技术确认使用者和设备的身份，以便系统进一步实施资源访问控制或用户授权。10 4 VPN 平安10.4.1 VPN 概述3VPN的平安性1 密码与平安认证2 扩展平安策略3 日志记录10 4 VPN 平安10.4.1 VPN 概述4VPN的应用领域1 移动用户远程访问公司总部2 总部与分支机构在公用网上组建虚拟企业内部网3 企业内部网与合作伙伴网络连接形成外域网10 4 VPN 平安10.4.2VPN的配置与应用实例1VPN效劳器的安装 第1步：依次进入“开始“程序“管理工具，单击“路由和远程访问，在列出的本地效劳器OWNER-4T1BSHEEX 上点击右键，选择“配置并启用路由和远程访问。10 4 VPN 平安10.4.2 VPN 的配置与应用实例1VPN效劳器的安装 第2步：翻开“路由和远程访问安装向导窗口，跳过欢送界面，点击“下一步按钮。现假设效劳器是公用网络上的一般效劳器，不是具有路由功能的效劳器，安装有单网卡，这里选择“自定义配置单项选择项，点击“下一步按钮。10 4 VPN 平安10.4.2 VPN 的配置与应用实例1VPN效劳器的安装 第3步：在出现的窗口中选择“VPN访问，点击“下一步按钮，配置向导完成示。第4步：在图10.42中的提示“路由和远程访问效劳现在已被安装。要开始效劳吗？下，点击“是按钮，启动VPN效劳。10 4 VPN 平安10.4.2 VPN 的配置与应用实例2VPN效劳器的配置 第1步：在图中右键单击效劳器OWNER-4T1BSHEEX，选择“属性。选择启用此计算机作为“路由器或“远程访问效劳器复选项。10 4 VPN 平安10.4.2 VPN 的配置与应用实例2VPN效劳器的配置 第2步：在该“属性窗口中选择“IP 选项卡，勾选“启用IP路由和“允许基于IP的远程访问和请求拨号连接。在“IP地址指派中选择“静态地址池，设置IP地址范围。点击“添加按钮，在出现的“新建地址范围对话框中输入起始IP地址和结束IP地址，这样就设置了一个IP地址范围。10 4 VPN 平安10.4.2 VPN 的配置与应用实例2VPN效劳器的配置 第3步：点击“确定按钮，出现如下图窗口，再点击“确定按钮，即完成IP地址设置。10 4 VPN 平安10.4.2 VPN 的配置与应用实例3添加VPN用户并赋予用户拨入权限 在VPN效劳器上，利用“管理工具中的“计算机管理添加用户。这里以添加一个“ysliu 用户为例，过程如下：第1步：依次进入“开始“程序“管理工具，单击“计算机管理翻开其控制台。第2步：依次展开“系统工具“本地用户和组，单击“用户，则可以看到所有的本地用户。10 4 VPN 平安10.4.2 VPN 的配置与应用实例3添加VPN用户并赋予用户拨入权限 第3步：右键单击“用户，选择“新用户项来新建一个用户。用户名可以取为“ysliu，并选择和确认密码从平安角度考虑，用户名和密码要设置的复杂些，并将“用户下次登录时必须更改密码前的选项取消。单击“创立按钮，即创立完一个用户。如果还想创立其他用户，重复以上过程即可。第4步：创立好“ysliu 用户后，在“计算机管理控制台的用户栏即可看到该用户。10 4 VPN 平安10.4.2 VPN 的配置与应用实例3添加VPN用户并赋予用户拨入权限 第5步：右键单击用户名“ysliu，选择“属性，出现新用户属性窗口。在“ysliu属性窗口点击“确定按钮。第6步：翻开“拨入选项卡，在“远程访问权限拨入或VPN 选项组下点选“允许访问允许这个用户通过VPN拨入效劳器。点选“分配静态IP地址，并选择一个VPN效劳器中静态IP范围内的一个IP地址作为该用户的IP，这里设为202.108.42.69。第7步：单击“确定按钮，返回“计算机管理控制台。10 4 VPN 平安10 4 VPN 平安10.4.2 VPN 的配置与应用实例3添加VPN用户并赋予用户拨入权限 第4步：单击“下一步后，“完成新建连接。这样，在“控制面板的“网络连接中的“虚拟专用网络下面，就可以看到刚刚新建的“ABC 连接。第5步：在“ABC 连接上点击右键，选择“属性，在弹出的窗口中点击“网络选项卡，选中“Internet协议TCP/IP。10 4 VPN 平安10.4.2 VPN 的配置与应用实例3添加VPN用户并赋予用户拨入权限 第6步：点击图中的“属性按钮，在弹出的窗口中再点击“高