第3章-网络安全隔离技术ppt课件.ppt

《第3章-网络安全隔离技术ppt课件.ppt》由会员分享，可在线阅读，更多相关《第3章-网络安全隔离技术ppt课件.ppt（132页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第3章网络安全隔离技术网络隔离技术1、防火墙2、虚拟专网技术3、物理隔离技术 隔离的本质是在需要交换信息甚至共享资源的情况下才出现，既要信息交换或共享资源，又要隔离。基带和宽带基带是一种信号传输方法，它通过直接将电流送到电缆上完成。占用整个电缆传输。宽带，通常将电缆分为通道，以便不同的数据能同时发送，即在同一电缆中可以发送多个信号。资源隔离基本概念对资源分组取决于：资源的敏感程度、资源受到损害的可能性，或者是设计者所选择的资源分组的标准。安全区域，是资源的一个逻辑分组（如系统、网络或进程），这些分组与可接受的风险级别类似。安全区域的思想不只局限于网络。在某种程度上，安全区域可以这样来实现：将某

2、些性质相类似的应用程序驻留在专门的服务器上隔离的必要性例如Slammer等蠕虫病毒对交换机的冲击，就是利用了流转发技术的三层交换机的工作原理，第一个数据包进来的时候，三层交换机要像路由器那样通过查找路由表，确定如何转发，并形成一个用ASIC完成转发查找的硬件流转发表。感染Slammer等蠕虫病毒的计算机会在很大的一段地址空间中，逐个发送指向不同IP地址的数据包。这种行为是恶意的。这样的操作会导致交换机的硬件流转发表溢出，导致CPU资源的大量浪费，甚至使交换机的CPU资源完全耗尽。同轴电缆网络隔离同轴电缆192.168.1.5192.168.1.6192.168.1.7192.168.1.819

3、2.168.1.90101010010101001010100101010应用层表示层会话层传输层网络层数据链路层物理层7网络隔离集线器应用层表示层会话层传输层网络层数据链路层物理层网络隔离交换机物理编址网络拓扑结构错误校验帧序列化流控应用层表示层会话层传输层网络层数据链路层物理层网络隔离虚拟子网(VLAN)InternetVLAN2VLAN1VLAN3网络隔离虚拟子网(Cont.)VLAN在是交换机上的实现划分基于端口划分的 VLAN基于MAC 地址划分VLAN基于网络层划分VLAN根据IP 组播划分VLAN路由器的协议层次路由器与网络隔离网络互连数据处理网络管理应用层表示层会话层传输层网络

4、层数据链路层物理层路由器与网络隔离(Cont.)RouterARouterBRouterCRouterD12.0.0.0/813.0.0.0/811.0.0.0/82.2.2.2/242.2.2.1/243.3.3.2/243.3.3.1/241.1.1.1/241.1.1.2/24DestinationDestinationNexthopNexthopInterfaceInterface11.0.0.0/81.1.1.2P112.0.0.0/82.2.2.2P213.0.0.0/83.3.3.2P3路由器与网络隔离(Cont.)路由器作为唯一安全组件相对交换机，集线器，能提供更高层次的安全功

5、能路由器作为安全组件的一部分在一个全面安全体系结构中，常用作屏蔽设备，执行包过滤功能，而防火墙对能够通过路由器的数据包进行检查典型的网络环境防火墙的定义传统的防火墙概念传统的防火墙概念概念：防火墙被设计用来防止火从大厦的一部分传播到另一部分IT领域使用的防火墙概念两个安全域之间通信流的唯一通道安全域1HostA HostB安全域2HostC HostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为一种高级访问控制设备，置于不同一种高级访问控制设备，置于不同网络安全域网络安全域

6、之间的一系列部件的组之间的一系列部件的组合，它是不同网络安全域间通信流的合，它是不同网络安全域间通信流的唯一通道唯一通道，能根据企业有关的安，能根据企业有关的安全政策全政策控制控制（允许、拒绝、监视、记录）进出网络的访问行为。（允许、拒绝、监视、记录）进出网络的访问行为。IT领域使用的防火墙概念 防火墙（防火墙（FireWallFireWall）是一种隔离控制技术，在某个机构是一种隔离控制技术，在某个机构的网络和不安全的网络（如的网络和不安全的网络（如InternetInternet）之间设置屏障，之间设置屏障，阻止对信息资源的非法访问，也可以使用防火墙阻止重阻止对信息资源的非法访问，也可以使

7、用防火墙阻止重要信息从企业的网络上被非法输出。要信息从企业的网络上被非法输出。FireWallFireWall一般安装在路由器上以保护一个子网，也可以一般安装在路由器上以保护一个子网，也可以安装在一台主机上，保护这台主机不受侵犯。安装在一台主机上，保护这台主机不受侵犯。防火墙的发展历程将过滤功能从路由器中独立出来，针对用户需求，提供模块化的软件包用户可根据需要构造防火墙安全性提高了，价格降低了利用路由器本身对分组的解析,进行分组过滤过滤判断依据：地址、端口号防火墙与路由器合为一体，只有过滤功能适用于对安全性要求不高的网络环境是批量上市的专用防火墙产品包括分组过滤或者借用路由器的分组过滤功能装有

8、专用的代理系统，监控所有协议的数据和指令保护用户编程空间和用户可配置内核参数的设置安全性和速度大为提高。防火墙厂商具有操作系统的源代码，并可实现安全内核在功能上包括了分组过滤、应用网关、电路级网关增加了许多附加功能：加密、鉴别、审计、NAT转换透明性好，易于使用基于通用操作系统的防火墙防火墙工具套基于安全操作系统的防火墙防火墙在网络中的位置防火墙放置于不同网络安全域之间21防火墙分类分组过滤防火墙应用代理防火墙状态检测防火墙防火墙分组过滤防火墙HTTPDNS未经授权的用户Internet用户子网分组过滤也被称为包过滤。分组过滤防火墙根据数据包头信息对网络流量进行处理。分组过滤防火墙应用层表示层

9、会话层传输层网络层数据链路层物理层分组过滤技术网络级防火墙，一般是基于源地址和目的地址、应用、协议以及每个IP包的端口来作出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙，大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发，但它不能判断出一个IP包来自何方，去向何处。防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则，一般情况下，默认规则就是要求防火墙丢弃该包。其次，通过定义基于TCP或UDP数据包的端口号，防火墙能够判断是否允许建立特定的连接，如Telnet、FTP连接。表示层会话层网络层数据链路层物理层传输层应用层表示层会

10、话层网络层数据链路层物理层传输层应用层表示层会话层网络层数据链路层物理层传输层非信任域防火墙信任域应用层网络层网络层网络层分组过滤原理安全网域HostC HostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource数据包数据包数据包数据包查找对应的控制策略拆开数据包根据策略决定如何处理该数据包控制策略数据包过滤依据主要是TCP/IP报头里面的信息，不能对应用层数据进行处理数据TCP报头IP报头分组过滤判断信息分组过滤防火墙的优缺点优点优点：容易实现，费用少，对性能的影响不大，对流量的管理容易实现，费用少，对性能的

11、影响不大，对流量的管理较出色。较出色。缺点缺点较多，主要有：较多，主要有：过滤规则表随着应用的深化会很快变得很大而且复杂，这样不仅规则难以测试，而且规则结构出现漏洞的可能性也会增加。包过滤技术只对数据包头进行检查，没有身份验证机制，因此不能分辨正常用户和入侵者。包过滤技术不能进行应用层的深度检查，因此不能发现传输的恶意代码及攻击数据包。包过滤技术容易遭受源地址欺骗。外部攻击者可通过将攻击数据包源地址改为内部地址而穿透防火墙。虽然分组过滤防火墙有以上的缺点，但是由于其方便性，分组虽然分组过滤防火墙有以上的缺点，但是由于其方便性，分组过滤仍是重要的安全措施。过滤仍是重要的安全措施。26防火墙应用代

12、理防火墙HTTPDNS未经授权的用户Internet用户子网应用代理防火墙HTTP服务器客户浏览器实际TCP连接1实际TCP连接2用户感觉的TCP连接应用层表示层会话层传输层网络层数据链路层物理层应用代理技术防火墙应用层表示层会话层网络层数据链路层物理层传输层应用层表示层会话层NETWORK数据链路层物理层传输层应用层表示层会话层NETWORK数据链路层物理层传输层非信任域防火墙信任域网络层网络层应用代理技术应用代理防火墙(application gateway)又被称为“堡垒主机”、“代理网关”、“应用级网关”、“代理服务器”。它的逻辑位置在OSI 7层协议的应用层上，所以主要采用协议代理服

13、务(proxy services)。应用代理防火墙比分组过滤防火墙提供更高层次的安全性，但这是以丧失对应用程序的透明性为代价的。在实际工作中，应用网关一般由专用工作站系统来完成。但每一种协议需要相应的代理软件，使用时工作量大，效率不如网络级防火墙。一般情况下，附加proxy服务器，如squid，能有效增加效率，并能实施关键字过滤。应用级网关有较好的访问控制，是目前最安全的防火墙技术，但实现困难，而且有的应用级网关缺乏“透明度”。在实际使用中，用户在受信任的网络上通过防火墙访问Internet时，经常会发现存在延迟并且必须进行多次登录（Login）才能访问Internet或Intranet。应用

14、代理原理安全网域HostCHostD数据包数据包数据包数据包数据包查找对应的控制策略拆开数据包根据策略决定如何处理该数据包数据包应用代理可以对数据包的数据区进行分析，并以此判断数据是否允许通过控制策略数据TCP报头IP报头分组过滤判断信息应用代理判断信息应用代理防火墙的优缺点与分组过滤技术相比，应用代理技术有以下的与分组过滤技术相比，应用代理技术有以下的缺点缺点：应用代理防火墙工作在OSI模型最高层，因此开销较大。对每项服务必须使用专门设计的代理服务器。应用代理防火墙通常支持常用的协议，例如：HTTP，FTP，Telnet等等，但不能所有的应用层协议。应用代理防火墙配置的方便性较差，对用户不透

15、明。例如使用HTTP代理，需要用户配置自己的IE，从而使之指向代理服务器。优点优点：比起分组过滤防火墙，应用代理防火墙能够提供更高层比起分组过滤防火墙，应用代理防火墙能够提供更高层次的安全性。次的安全性。应用代理防火墙将保护网络与外界完全隔离。并提供更细致的日志，有助于发现入侵。应用代理防火墙本身是一台主机，可以执行诸如身份验证等功能。应用代理防火墙检测的深度更深，能够进行应用级的过滤。例如，有的应用代理防火墙可以过滤FTP连接并禁止FTP的“put”命令，从而保证用户不能往匿名FTP服务器上写入数据。防火墙状态检测防火墙监听是否在连接状态表中YES转发是否匹配规则集NO丢弃或拒绝YESNO应

16、用层表示层会话层传输层网络层数据链路层物理层一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别。以识别。状态检测技术表示层会话层网络层数据链路层物理层网络层应用层表示层会话层网络层数据链路层物理层网络层应用层表示层会话层网络层数据链路层物理层网络层非信任域防火墙信任域传输层传输层传输层应用层检测引擎状态检测原理安全网域HostC HostD数据包

17、数据包数据包数据包数据包查找对应的控制策略拆开数据包根据策略决定如何处理该数据包数据包状态检测可以结合前后数据包里的数据信息进行综合分析决定是否允许该包通过控制策略数据3TCP报头IP报头数据2TCP报头IP报头数据1TCP报头IP报头状态检测状态检测技术状态检测防火墙的运行方式：当一个数据包到达状态检测防火墙时，首先通过查看一个动态建立的连接状态表判断数据包是否属于一个已建立的连接。这个连接状态表包括源地址、目的地址、源端口号、目的端口号等及对该数据连接采取的策略（丢弃，拒绝或是转发）。连接状态表中记录了所有已建立连接的数据包信息。如果数据包与连接状态表匹配，属于一个已建立的连接，则根据连接

18、状态表的策略对数据包实施丢弃，拒绝或是转发。如果数据包不属于一个已建立的连接，数据包与连接状态表不匹配，那么防火墙则会检查数据包是否与它所配置的规则集匹配。大多数状态检测防火墙的规则仍然与普通的包过滤相似。也有的状态检测防火墙对应用层的信息进行检查。例如可以通过检查内网发往外网的FTP协议数据包中是否有put命令来阻断内网用户向外网的服务器上传数据。与此同时，状态检测防火墙将建立起连接状态表，记录该连接的地址信息以及对此连接数据包的策略。35防火墙的典型体系结构包过滤路由器模型HTTPDNS包过滤路由器Internet工作站工作站FTP防火墙的典型体系结构单宿主堡垒主机模型HTTPDNS包过滤

19、路由器Internet工作站工作站堡垒主机HTTPDNS包过滤路由器Internet工作站工作站FTP防火墙的典型体系结构双宿主堡垒主机模型堡垒主机HTTPDNS包过滤路由器InternetFTP防火墙的典型体系结构子网屏蔽防火墙模型堡垒主机工作站工作站工作站Modem Pool包过滤路由器防火墙的功能、性能 防火墙的功能防火墙的功能 防火墙的性能防火墙的性能状态检测表提高了效率防止假冒IP攻击HostC HostDNo访问控制规则表Yes数据包状态检测防火墙访问控制的范围v源和目的地址；源和目的地址；v源和目的端口；源和目的端口；v“欺诈欺诈”的的IP地址；地址；vIP协议号；协议号；v端口

20、范围；端口范围；vICMP信息类型；信息类型；vIP和和TCP中都有的选项类型；中都有的选项类型；vIP和和TCP标记组合；标记组合；vVLAN信息。信息。防火墙的防御攻击的能力v抵抗DOS/DDOS攻击v防止入侵者的扫描v防止源路由攻击v防止IP碎片攻击v防止ICMP/IGMP攻击v防止IP假冒攻击v应用控制可以对常用的高层应用做更细的控制v如HTTP的GET、POST、HEADv如FTP的GET、PUT等物理层链路层网络层传输层会话层表示层应用层物理层链路层网络层传输层会话层表示层应用层内部网络外部网络防火墙内部接口外部接口根据策略检查应用层的数据符合策略应用层应用层应用层应用代理Inte

21、rnetHostA199.168.1.2HostB199.168.1.3HostC199.168.1.4HostD199.168.1.500-50-04-BB-71-A600-50-04-BB-71-BCBIND199.168.1.2To00-50-04-BB-71-A6BIND199.168.1.4To00-50-04-BB-71-BCIP与MAC地址绑定后，不允许HostB假冒HostA的IP地址上网防火墙允许HostA上网IP和MAC地址绑定网络地址转换(NAT:Network Address Translation)将每个局域网节点的地址转换成一个IP 地址，反之亦然。交换机192.1

22、68.1.5192.168.1.7192.168.1.9port:5133port:5134port:5120路由器(NAT)Internet121.49.110.63:5133121.49.110.63:5133121.49.110.63:5134121.49.110.63:5120InternetInternet202.102.93.54HostA受保护网络HostCHostD192.168.1.21 192.168.1.25防火墙Eth2：192.168.1.23Eth0：101.211.23.1数据IP报头数据IP报头源地址：192.168.1.21目地址：202.102.93.54源

23、地址：101.211.23.1目地址：202.102.93.54101.211.23.2v 隐藏了内部网络的结构隐藏了内部网络的结构v 内部网络可以使用私有内部网络可以使用私有IP地址地址v 公开地址不足的网络可以使用这种方式提供公开地址不足的网络可以使用这种方式提供IP复用功能复用功能NAT地址转换反向地址映射Internetv 公开服务器可以使用私有地址公开服务器可以使用私有地址v 隐藏内部网络的结构隐藏内部网络的结构WWW202.100.1.2FTP192.168.1.3MAIL192.168.1.4DNS192.168.1.2192.168.1.6202.106.100.88202.1

24、02.1.3MAP192.168.1.2：53TO202.102.1.3：53MAP192.168.1.3：21TO202.102.1.3：21MAP192.168.1.5：80TO202.102.1.3：80MAP192.168.1.4：25TO202.102.1.3：25http:/202.102.1.2http:/202.102.1.3WWW192.168.1.5分布式防火墙传统防火墙技术的几个问题依赖于防火墙一端可信，另一端是潜在的敌人Internet的发展使从外部穿过防火墙访问内部网的需求增加了一些内部主机需要更多的权限只依赖于端-端加密并不能完全解决问题过于依赖物理拓扑结构考虑到下

25、面几个事实个人防火墙已得到了广泛的应用操作系统大多已提供了许多在传统意义上还属于防火墙的手段IPv6以及IPSec技术的发展防火墙这一概念还不能抛弃分布式防火墙(续一)思路主要防护工作在主机端打破传统防火墙的物理拓扑结构，不单纯依靠物理位置来划分内外由安全策略来划分内外网具体方法：依赖于下面三点策略描述语言：说明什么连接允许，什么连接不允许一系列系统管理工具：用于将策略发布到每一主机处，以保证机构的安全IPSec技术及其他高层安全协议防火墙的性能指标延时并发连接数平均无故障时间吞吐量防火墙在不丢包的情况下能够达到的最大包转发速率 数据包通过防火墙所用的时间防火墙能够同时处理的点对点连接的最大数

26、目系统平均能够正常运行多长时间，才发生一次故障防火墙的应用v“访问控制”的应用v“防火墙在VLAN网络”应用v“内网安全分段”的应用v“动态IP分配”的应用v“多出口”的应用v“端口映射”应用“访问控制”的应用Vlan2财务部Vlan3技术部Vlan4培训中心internetVlan网关“防火墙在VLAN网络”应用internet财务部工程部销售部行政部“内网安全分段”的应用InternetInternetInternetLAN可以根据需要，按照源IP地址、服务，将数据流从不同的端口送出“多出口”的应用财务VLAN工程技术VLAN项目VLAN内部WEB服务器内部数据库服务器内部文件服务器宽带网

27、(城域网)内部服务器VLAN动态获得IP“动态IP分配”的应用托管主机Internet电信机房202.108.37.38202.108.37.38192.168.1.100“端口映射”应用防火墙不足之处v无法防护内部用户之间的攻击v无法防护基于操作系统漏洞的攻击v无法防护内部用户的其他行为v无法防护端口反弹木马的攻击v无法防护病毒的侵袭v无法防护非法通道出现企业部署防火墙的误区v最全的就是最好的，最贵的就是最好的v软件防火墙部署后不对操作系统加固v一次配置，永远运行v测试不够完全v审计是可有可无的防火墙拦截画面IP 的安全性I P包本身并不继承任何安全特性不安全的表现伪造出I P包的地址修改其

28、内容重播以前的包传输途中拦截并查看包的内容解决方案VPN虚拟专用网络VPN虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网络VPNVPN采用四种技术来保证安全隧道技术（Tuneling）加密技术密钥管理技术身份认证技术VPN分类标准1 1、按、按VPNVPN的协议分类：的协议分类：VPN的隧道协议主要有三种，PPTP、L2TP和IPSec，其中PPTP和L2TP协议工作在OSI模型的第二层，又称为二层隧道协议；IPSec是第三层隧道协议。2 2、按、按VPNVPN的应用

29、分类：的应用分类：（1）Access VPN（远程接入VPN）：客户端到网关，使用公网作为骨干网在设备之间传输VPN数据流量；（2）Intranet VPN（内联网VPN）：网关到网关，通过公司的网络架构连接来自同公司的资源；（3）Extranet VPN（外联网VPN）：与合作伙伴企业网构成Extranet，将一个公司与另一个公司的资源进行连接。3 3、按所用的设备类型进行分类：、按所用的设备类型进行分类：（1）路由器式VPN：路由器式VPN部署较容易，只要在路由器上添加VPN服务即可；（2）交换机式VPN：主要应用于连接用户较少的VPN网络；（3）防火墙式VPN：防火墙式VPN是最常见的一

30、种VPN的实现方式，许多厂商都提供这种配置类型4 4按照实现原理划分：按照实现原理划分：（1）重叠VPN：此VPN需要用户自己建立端节点之间的VPN链路，主要包括：GRE、L2TP、IPSec等众多技术。（2）对等VPN：由网络运营商在主干网上完成VPN通道的建立，主要包括MPLS、VPN技术。VPN关键技术-隧道技术隧道技术类似于点对点连接技术，隧道技术在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输。实现以下功能将数据流量强制到特定的目的地隐藏私有的网络地址在IP网上传输非IP协议数据包提供数据安全支持协助完成用户基于AAA(authentication鉴定,authorizat

31、ion授权,accounting计费)的管理。VPN的关键技术安全隧道封装、传输和拆封过程称为“隧道”。隧道技术类似于点对点连接技术，它是为了在公网上传输私有数据而发展出来的“信息封装”（Encapsulation）方式，即在公网上建立一条数据通道（隧道），让封装的数据包通过这条隧道传输。在Internet上传输的加密数据包中，只有VPN端口或网关的IP地址暴露在外面,隐藏了发送者、接收者的IP地址和其他协议信息。隧道技术解决了专网与公网的兼容问题。数据链路层的隧道协议数据链路层的隧道协议，如L2TP、PPTP等，建立在点对点协议PPP的基础上，充分利用了PPP支持多协议的特性，先把各种网络协

32、议（IP,IPX,AppleTalk等）封装到PPP帧中，再把整个数据包装入隧道协议。由于这种封装方法形成的数据包依靠第二层（数据链路层）协议进行传输，所以称之为“第二层隧道协议”。PPTPPPTP协议(PointtoPointTunnelingProtocol)是PPP协议的扩展，增强了PPP的身份验证、压缩和加密机制。PPTP利用PPP的功能通过因特网建立一条指向目的站点的隧道来实现远程访问。PPTP提供PPTP客户机和PPTP服务器之间的加密通信。通过PPTP,客户可采用拨号方式接入公共IP网络Internet。拨号客户首先按常规方式拨号到ISP的接入服务器，建立PPP连接；在此基础上，

33、客户进行二次拨号建立到PPTP服务器的连接，该连接称为PPTP隧道。L2TPL2TP是由Microsoft支持的PPTP和由Cisco支持的L2F相结合的产物，Bay等网络公司均是该工作组的成员。L2TP使用PPP来实现数据包的可靠性发送，L2TP隧道通过在两端VPN服务器之间采用口令握手协议CHAP来验证对方的身份，并可采用IPsec协议对数据包进行加密传送，以保证数据安全。在安全性的考虑上，L2TP对传输中的数据并不加密。因此，L2TP并不能满足用户对安全性的需求，当用户需要安全的拨号VPN时，就需要结合IPsec一起使用，对数据封装和加密，以创建安全的虚拟网络连接。L2TP(续)L2TP

34、VPN连接拓扑PPP连接ISP的PPP服务器企业专用网络进行PPTP或L2TP连接InternetVPN服务器VPN隧道网络层隧道 第三层隧道协议，如IPsec、GRE，是把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层（网络层）协议进行传输，所以称之为“第三层隧道协议”。它在可扩充性、安全性、可靠性方面优于第二层隧道协议。IPSec协议主要协议集：123认证报文头（AuthenticationHeader,AH）封装安全载荷（EncapsulatingSecurityPayload,ESP）Internet密钥交换（InternetKeyExchange,IKE）目标：实现比较全面的

35、网络层安全，包括网络之间的相互认证、加密链路的建立和保密通信。IPSec协议IPsec不是一个单独的协议，而是一组协议。在IPv6中是必须的，在IPv4中可选。最主要应用是作为第三层隧道协议实现VPN通信，为IP网络通信提供透明的安全服务。数据源鉴别数据完整性防止数据重传数据加密不可否认IPSec的安全体系结构2023/1/2276IPSec的的AH和和ESP协议协议 数据完整性验证：数据完整性验证：Hash函数产生的验证码函数产生的验证码 数据源身份认证：计算验证码时加入共享会话密钥数据源身份认证：计算验证码时加入共享会话密钥 防重放攻击：在防重放攻击：在AH报头中加入序列号报头中加入序列号

36、封装安全载荷封装安全载荷ESP：除上述三种服务，除上述三种服务，还能够数据加密还能够数据加密 两台主机之间两台主机之间 两台安全网关之间两台安全网关之间 主机与安全网关之间主机与安全网关之间鉴别头鉴别头AHAH和和ESP可可单独单独/嵌套使用嵌套使用2023/1/2277IPSec的的IKE协议协议 密钥交换协议密钥交换协议IKE负责密钥管理，定义了通信负责密钥管理，定义了通信实体间进行身份认证、协商加密算法以及生成共实体间进行身份认证、协商加密算法以及生成共享的会话密钥的方法。享的会话密钥的方法。IKE将密钥协商结果保留在安全关联将密钥协商结果保留在安全关联SA中，供中，供AH和和ESP以后

37、通信时使用。以后通信时使用。IPSec的通信流程IPSec封装模式IPSec支持两种封装模式：传输模式和隧道模式传输模式隧道模式AH协议AH功能：为IP包提供数据完整性校验和身份认证具备可选择的重放攻击保护保护上层协议（传输模式）或完整的IP数据包（隧道模式）AH的结构：AH协议续AH的两种传输模式：传输模式和隧道模式传输模式隧道模式ESP协议ESP协议功能：为IP报文提供数据完整性校验、身份认证、数据加密以及重放攻击保护等。ESP头格式：IKE协议IKE协议：基于ISAKMP、Oakley和SKEME,是一种混合型协议，它建立在由ISAKMP定义的一个框架上，同时实现了Oakley和SKEM

38、E协议的一部分。IKE协议 理论模型：IKE的安全基础1.Diffie-Hellman密钥交换2.安全散列3.对称密钥加密4.公开密钥加密5.数字签名IKE的安全性分析中间人攻击：IKEv2的推出：IPSec工作组于2005年12月推出了IKE2。IKE：RFC2409IKEv2：RFC4306基于IPSec的VPN应用IPsecVPN提供完整的网络层连接功能，因此是实现多VPN安全连接的最佳选项。IPsec工作在网络层，对终端站点间的所有传输数据进行保护，而不管是哪类网络应用。IPsec VPN事实上将远程客户端置于企业内部网，使远程客户端拥有内部网用户一样的权限和操作功能。VPN的主要技术

39、：1.IPSec技术2.MPLS技术3.SSL技术端到端端到端IPSec VPN的工作原理的工作原理 IKE阶段1IKE阶段2IPSec SA(Security Association)SPI(Security Parameter Index)，由，由IKE自动分配自动分配发送数据包时，会把发送数据包时，会把SPI插入到插入到IPSec头中头中接收到数据包后，根据接收到数据包后，根据SPI值查找值查找SAD和和SPD，从而获知解，从而获知解密数据包所需的加解密算法、密数据包所需的加解密算法、hash算法等。算法等。一个一个SA只记录单向的参数，所以一个只记录单向的参数，所以一个IPSec连接会

40、有两个连接会有两个IPSec SA。选用VPN的原因1.VPN以Internet为支撑，布署灵活（和专线比较）2.大多数ISP能承受商务连接所带来的负荷3.VPN是灵活的、动态的、可升级的，可以极大节省企业专线联网的费用4.可以很好地解决全网的统一管理问题5.VPN能够解决“移动用户”的安全接入问题（也可认为Firewall的漏洞）6.VPN能充分利用公司现有投资（对应用透明）7.基于TCP/IP的VPN容易理解和实现因各国对加密技术的限制，使得因各国对加密技术的限制，使得VPN产品具有按照国产品具有按照国家划分的严格的地域性质。家划分的严格的地域性质。VPN的常见问题远程拨号用户定位VPN网

41、关设备LANtoLAN，策略一致性问题VPN的域设置认证服务内部VPN路由动态寻址与NAT穿透多端VPN的管理和配置安全传输和信息监控的矛盾建设VPN所需考虑问题构造网络的拓扑结构地址空间DNS问题网络地址转换路由问题ISP是否阻塞加密分组确定新设备位置如何鉴别用户用户能够访问子网的范围数据流的安全等级适合VPN的环境远程用户访问远程用户访问企业外部网应用企业外部网应用不同地理位置的客户基不同地理位置的客户基地地适当带宽需求适当带宽需求廉价的全球访问的需要廉价的全球访问的需要专线专线不适合VPN的环境性能成为额外开销的系统时延不能被接受的地方非标准协议同步通信的系统VPN的典型应用（1）典型案

42、例典型案例1 1：安全网关设备与：安全网关设备与ERPERP系统的结合案例系统的结合案例VPN的典型应用（2）典型案例2：授权企业员工的远程安全接入VPN的典型应用（3）典型案例3：动态IP VPN组网方案ADSL安全网关策略服务器固定IPModem接入财务子网工作子网ADSL财务子网移动用户分支机构合作伙伴公司总部防火墙防火墙安全网关安全网关ADSLVPN的典型应用（4）典型案例4：无线接入VPN网构建虚拟私用网络内部网络总经理办公室财务室用途：使物理连接在同一网络构架上的不同小组之间进行安全保密的通信，主要用于防止内部的泄密和黑客。例如：对公司的财务部门数据的安全访问。在公司局域网上的构建

43、安全小组网络以太网安全网关VPN的典型应用（5）用途：使企业和合作伙伴，供应商之间进行安全保密的通信企业间的虚拟专用网络 ExtranetVPN的典型应用（6）基于VPN的互连与隔离SSL VPN：产生背景SSL VPN：在Internet上，使用SSL加密连接访问私网资源的VPN方式。产生背景IPsec VPNIPsec VPN弱点弱点远程主机要预先安装客户端软件远程主机要预先安装客户端软件访问控制不够细致访问控制不够细致组网受限组网受限技术的发展带来了新的需求技术的发展带来了新的需求多种接入方式多种接入方式移动技术的发展移动技术的发展ExtranetExtranet网络安全问题日益严重网络

44、安全问题日益严重操作系统平台的多样化操作系统平台的多样化SSL/TLS协议(1)19941994年年NetscapeNetscape开开发发了了SSL(Secure Socket Layer)SSL(Secure Socket Layer)协议协议，专门专门用于保用于保护护WebWeb通通讯讯。版本和版本和历历史史1.0，不成熟2.0，基本上解决了Web通讯的安全问题Microsoft公司发布了PCT(Private Communication Technology)，并在IE中支持3.0，1996年发布，增加了一些算法，修改了一些缺陷TLS 1.0(Transport Layer Secur

45、ity,也被称为SSL 3.1)，1997年IETF发布了Draft，同时，Microsoft宣布放弃PCT，与Netscape一起支持TLS 1.01999年，发布RFC 2246(The TLS Protocol v1.0)SSL/TLS协议(2)协议的设计目标为两个通讯个体之间提供保密性和完整性(身份认证)互操作性、可扩展性、相对效率协议分为两层底层：TLS记录协议上层：TLS握手协议、TLS密码变化协议、TLS警告协议SSL/TLS协议位于OSI（Open Systems Interconnection）模型中的应用层和传输层之间。对于参与通信的客户端和服务器来说，TLS协议是透明的，

46、即在使用过程中用户感觉不到TLS协议的直接存在。TLS协议在TCP/IP协议栈中的位置如图所示。SSL体系结构SSL由记录协议子层(Record Protocol)和握手协议子层(Handshake Protocol)组成记录协议子层定义了传输的格式握手协议子层用于实现双向身份认证和协商密码算法以及会话密钥SSL会话与连接SSL会话（session）一个SSL会话是在客户与服务器之间的一个关联。会话由Handshake Protocol创建。会话定义了一组可供多个连接共享的加密安全参数会话用以避免为每一个连接提供新的安全参数所需昂贵的谈判代价一对对等实体之间可以有多个会话SSL连接（conne

47、ction)一个连接是提供一种合适类型服务的传输（OSI分层的定义）SSL的连接是点对点的关系连接是暂时的，每一个连接和一个会话关联SSL实现OpenSSL,最新0.9.6c,实现了SSL(2,3),TLS(1.0)Openssl a command line tool.SSL(3)the OpenSSL SSL/TLS library.crypto(3)the OpenSSL Crypto library.URL:http:/www.openssl.orgSSLeayhttp:/www2.psy.uq.edu.au/ftp/Crypto/Microsoft Win2k SSL impleme

48、ntationSSL/TLS握手的步骤Client_helloServer_helloCertificateServer_key_exchangeCertificate_requestServer_hello_doneCertificateClient_key_exchangeCertificate_verifyChange_cipher_specFinishedChange_cipher_specFinished建立安全能力建立安全能力,包括协包括协议版本、会话议版本、会话IDID、密、密码组、压缩方法和初码组、压缩方法和初始随机数字始随机数字服务器可以发送证书、服务器可以发送证书、密钥交换

49、和请求证书。密钥交换和请求证书。服务器信号以服务器信号以hellohello消消息结束息结束客户机可以发送证书；客户机可以发送证书；客户机发送密钥交换；客户机发送密钥交换；客户机可以发送证书客户机可以发送证书验证验证更改密码组完成握手协议更改密码组完成握手协议红色勾除的步红色勾除的步骤是可选的骤是可选的SSL单项认证模式在采用单向认证时，主要是客户端验证服务器端是否合法。在建立SSL握手的时候，服务器将其证书传送给客户端进行验证。客户端主要验证有三个方面：服务器证书是否在有效时间内服务器证书中的域名是否与用户访问的域名一致服务器证书是否由浏览器认可的根证发放SSL双向认证模式在双向认证模式下，

50、除客户端验证服务器端是否合法外，服务器端也需要验证客户端是否为合法用户。服务器端需要安装颁发客户端证书的CA的根证书和中间证书，要求客户端提交客户端证书，并通过已经安装的根证书和中间证书对客户端证书进行逐级验证证书认证CA证书验证用户证书是CA签发的。用户证书验证用户数字签名的正确性，从而证明远端用户持有对应的私钥。网关签名证书数字签名DataSignSSL VPN:实现原理静态授权主机安全状态检查动态授权SSL VPN概述:实现原理Web接入与URL改写SSL加速与SSL代理相对连接与绝对连接URL改写Web服务器SSL终结SSLTCPSSL密文明文SSL VPN概述:实现原理Samba文件