信息安全與技術(shù)清華大學(xué)出版社第8章網(wǎng)絡(luò)防御技術(shù)本章介紹IPSec的必要性，IPSec中的AH協(xié)議和ESP協(xié)議，介紹防火墻的基本概念、分類、實現(xiàn)模型以及VPN的解決方案等。第1節(jié)網(wǎng)絡(luò)安全協(xié)議一、網(wǎng)絡(luò)體系結(jié)構(gòu)針對現(xiàn)存網(wǎng)絡(luò)的不同的體系結(jié)構(gòu)分層有不同的方法，ISO的七層OSI體系結(jié)構(gòu)（物理層、鏈路層、網(wǎng)絡(luò)層、傳輸層、會話層、表示層、應(yīng)用層），TCP/IP的四層體系結(jié)構(gòu)（網(wǎng)絡(luò)接口層、IP層、TCP層、應(yīng)用層）。二、IPSec協(xié)議最初的IP協(xié)議是沒有任何安全措施的。IP數(shù)據(jù)報含有諸如源地址、目的地址、版本、長度、生存周期、承載協(xié)議、承載數(shù)據(jù)等字段。雖然其擁有“首部校驗和”這樣的字段來提供極其簡單的完整性功能，但無力抗拒對數(shù)據(jù)的意外或者故意修改，也無力抗拒對所有報頭字段的惡意修改，也無法阻止信息泄露等問題。為了加強互聯(lián)網(wǎng)的安全性，從1995年開始，IETF著手制定了用以保護IP層通訊的IPSec協(xié)議來保證本層的安全。IPSec是IPv6的組成部分，也是IPv4的可選擴展協(xié)議?！癐nternet協(xié)議安全性(IPSec)”是一種開放標準的框架結(jié)構(gòu)，通過使用加密的安全服務(wù)以確保在Internet協(xié)議(IP)網(wǎng)絡(luò)上進行保密而安全的通訊。Microsoft?Windows?2000、WindowsXP和WindowsServer2003家族實施IPSec是基于“Internet工程任務(wù)組(IETF)”IPSec

工作組開發(fā)的標準。IPSec協(xié)議定義了一種標準的、健壯的以及包容廣泛的機制，可用它為網(wǎng)絡(luò)層提供安全保證。IPSec能為IPv4和IPv6提供具有較強的具有互操作能力、高質(zhì)量和基于密碼的安全功能，在IP層實現(xiàn)多種安全服務(wù)。包括訪問控制、數(shù)據(jù)完整性、機密性等。IPSec協(xié)議簇包括兩個安全協(xié)議：AH協(xié)議和ESP協(xié)議。AH協(xié)議（AuthenticationHeader，驗證頭協(xié)議）可以證明數(shù)據(jù)的起源地（即源IP）、承載數(shù)據(jù)的完整性以及防止相同數(shù)據(jù)包在因特網(wǎng)重播。ESP協(xié)議（EncapsulatingSecurityPayload，封裝安全載荷協(xié)議）具有AH的大部分功能，還可以利用加密技術(shù)保障數(shù)據(jù)機密性。在介紹AH和ESP這兩種具體的IPSec子協(xié)議之前我們首先要介紹兩個內(nèi)容：IPSec協(xié)議的兩種實現(xiàn)方式和安全關(guān)聯(lián)的概念1.IPSec的實現(xiàn)方式IPSec協(xié)議有兩種實現(xiàn)方式：傳輸模式和隧道模式。2.安全關(guān)聯(lián)及其建立安全關(guān)聯(lián)（SA，SecurityAssociation），是IPSec的重要概念。我們后面介紹AH協(xié)議和ESP協(xié)議的時候大家會看到，這些協(xié)議運行的時候需要消息驗證hash算法和對稱密鑰加密算法，而采用何種算法、密鑰，在進行通訊之前都是需要明確的。這些IPSec通訊所必須的參數(shù)是安全關(guān)聯(lián)要有的數(shù)據(jù)內(nèi)容，存儲這些數(shù)據(jù)的數(shù)據(jù)結(jié)構(gòu)將會以安全參數(shù)索引（SPI，SecurityParametersIndex）來標定。給定一個安全關(guān)聯(lián)，除了能決定SPI之外，還能決定通訊的目的IP和使用何種協(xié)議（AH還是ESP）；反之，給出這三項數(shù)據(jù)也可以唯一決定一個安全關(guān)聯(lián)。安全關(guān)聯(lián)存儲著保證IPSec通訊的關(guān)鍵數(shù)據(jù)，為了保障安全，通訊參與者在協(xié)商和交換這些數(shù)據(jù)時需要有安全的渠道。換句話說，有了安全關(guān)聯(lián)，IPSec可以提供安全的數(shù)據(jù)交流了，但誰來保證建立安全關(guān)聯(lián)時所必須的數(shù)據(jù)安全通訊？IPSec協(xié)議采用了一個現(xiàn)成的IKE協(xié)議來建立安全關(guān)聯(lián)。IKE協(xié)議是互聯(lián)網(wǎng)工程任務(wù)組（IETF，InternetEngineeringTaskForce）定義的一種由ISAKMP、Oakley和SKEME組成的專供交換安全關(guān)聯(lián)這類敏感數(shù)據(jù)的協(xié)議。其中，Oakley協(xié)議采用了Diffei-Hellman密鑰交換算法保證了信息的安全交換，IKE協(xié)議的運行首先使用Oakley協(xié)議建立一個“安全關(guān)聯(lián)的安全關(guān)聯(lián)”。然后通過SKEME協(xié)議完成安全關(guān)聯(lián)本身需要數(shù)據(jù)的協(xié)商與交換。所有數(shù)據(jù)都在ISAKMP（InternetSecurityAssociationandKeyManagementProtocol）協(xié)議規(guī)定的框架下進行交換。3.AH協(xié)議IPSec的子協(xié)議頭認證協(xié)議AH，為IP報文提供數(shù)據(jù)完整性校驗和身份驗證，還具備防重放攻擊能力。不過AH協(xié)議不對受其保護的IP數(shù)據(jù)報的任何部分進行加密。AH的協(xié)議分配號為51。AH協(xié)議頭主要包含以下字段：（1）下一報頭（8位）：這個報頭之后的報頭類型（2）載荷長度（8位）：以32位為單位的AH頭長度減2。比如說，若身份驗證數(shù)據(jù)為96位的話，AH頭將一共6個32位字。則該段數(shù)值為6-2=4。（3）保留（16位）：供將來使用，目前協(xié)議規(guī)定這個字段應(yīng)該被置為0.（4）安全參數(shù)索引（SPI，32位）：聯(lián)合協(xié)議類型、目的IP決定數(shù)據(jù)包屬于哪個SA，以決定如何處理。（5）序列號（32位）：一個單調(diào)遞增的計數(shù)器值。（6）驗證數(shù)據(jù)：存放可實現(xiàn)對整個數(shù)據(jù)包的完整性檢查的消息驗證碼，比如可以采用HMAC-MD5-96、HMAC-SHA-1-96之類的算法計算出整個IP數(shù)據(jù)包的消息驗證碼存放于此字段，供信宿端驗證。如何處理由安全關(guān)聯(lián)決定。長度可變，取決于采用何種消息驗證算法。AH協(xié)議通過設(shè)置的驗證數(shù)據(jù)字段實現(xiàn)對數(shù)據(jù)和其來源完整性的驗證。當接收端進行AH處理時可以通過計算消息驗證碼來驗證整個數(shù)據(jù)包是否被修改過。這意味著除了能保證載荷數(shù)據(jù)的完整之外，也保證了源IP地址的正確，從而確定數(shù)據(jù)包的數(shù)據(jù)與來源完整性。AH協(xié)議通過序列號字段實現(xiàn)防止重播的功能。此種功能的開啟需要使用者選擇是否啟用抗重放功能。如果該功能不啟用，協(xié)議處理程序?qū)π蛄刑栕侄尾挥枥頃?。若開啟抗重放功能則信宿端將通過設(shè)置接受窗口和標記已接受數(shù)據(jù)包這些類似TCP協(xié)議處理的功能進行是否重播檢查，并且會丟棄重播的數(shù)據(jù)包。另外，如果采用了抗重放處理，序號將從0開始，單調(diào)遞增，但不會從232-1循環(huán)到0。當序號達到232-1的時候，相應(yīng)的安全關(guān)聯(lián)將被終止，如果還需要繼續(xù)通訊的話則需要重新建立安全關(guān)聯(lián)。4.ESP協(xié)議ESP為IP報文提供數(shù)據(jù)完整性校驗、身份驗證、數(shù)據(jù)加密以及重放攻擊保護。就是說，除了AH協(xié)議提供的大部分功能以外，ESP協(xié)議還提供對載荷數(shù)據(jù)的機密性服務(wù)。ESP協(xié)議的分配號為50。ESP頭主要包含以下字段。（1）安全參數(shù)索引（SPI，32位）：聯(lián)合協(xié)議類型、目的IP決定屬于哪個SA，以決定如何處理。（2）序列號（32位）：單調(diào)遞增的計數(shù)器值。（3）加密數(shù)據(jù)載荷：加密內(nèi)容包含原來IP數(shù)據(jù)包的有效載荷和填充數(shù)據(jù)。可以選取不同的加密算法，例如DES、3-DES、RC5、IDEA等等。（4）填充項：長度可以是0~255個字節(jié)。保證加密數(shù)據(jù)的長度適應(yīng)分組加密算法的長度，比如64比特的整數(shù)倍。也可以用以掩蓋載荷的真實長度對抗流量分析。（6）下一報頭：這個報頭之后的報頭類型（7）驗證數(shù)據(jù)：采用驗證算法計算出來的消息驗證碼，如計算處理理由SA決定，字段長度取決于SA規(guī)定的算法。不同于AH協(xié)議，該字段是可選的，就是說用戶可以根據(jù)自己的需要而不使用ESP協(xié)議的驗證功能。ESP協(xié)議能夠?qū)崿F(xiàn)AH的防重播功能和驗證功能，此外還提供對載荷數(shù)據(jù)的加密功能，具有更強大的功能。通過前面的內(nèi)容我們了解到AH協(xié)議和ESP協(xié)議有不同的功能。在很多情況下，AH功能已經(jīng)能夠滿足安全的需要了。ESP由于需要使用高強度的加密算法，需要消耗更多的計算機運算資源，使用上受到一定限制。三、SSL/TLS協(xié)議傳輸層是網(wǎng)絡(luò)體系結(jié)構(gòu)中任務(wù)最為重要和復(fù)雜的一層，該層完成面向連接、流量及擁塞控制的任務(wù)。TCP協(xié)議保證了網(wǎng)絡(luò)上的通訊是滿足無重復(fù)、無丟包、以適宜流量進行的通訊。作為這一層上最重要的核心協(xié)議，TCP包頭上包含有源端口、目的端口、序號、確認序號、窗口等字段和URG緊急、ACK確認、PSH推送、SYN同步、RST復(fù)位、FIN終止等比特。TCP協(xié)議提供了應(yīng)用程序間的有連接通訊，但不保證通訊的對象究竟是誰，無法保證通訊的保密性，無法對獲得的信息進行認證。在實際應(yīng)用中，除了可以通過其下網(wǎng)絡(luò)層上的IPSec協(xié)議來實現(xiàn)某些安全功能外，也可以使用人們專門開發(fā)的傳輸層之上運行的安全套接層協(xié)議：SSL/TLS。SSL/TLS協(xié)議的歷史可以追溯到1994年。這年Netscape開發(fā)了在公司內(nèi)部使用的安全套接層協(xié)議SSL1.0（SecureSocketLayer），專門用于保護Web通訊。到1996年發(fā)布了較為完善的SSL3.0。1997年IETF以其為基礎(chǔ)發(fā)布了傳輸層安全協(xié)議TLS1.0（TransportLayerSecurity），該協(xié)議兼容SSL3.0，也被稱為SSL3.1。同時，Microsoft宣布與Netscape一起支持TLS1.0。1999年，RFC2246正式發(fā)布，也就是TLS1.0的正式版本。由于酷似，在很多場合下都認為SSL3.0和TLS1.0等價。SSL提供的服務(wù)可以歸結(jié)為以下三個方面、（1）用戶和服務(wù)器的合法性認證。SSL協(xié)議在建立會話的時候可以驗證通訊參與者的數(shù)字證書。從而保證通訊參與者能與正確的對象進行通訊，并將數(shù)據(jù)發(fā)送到正確的機器上。（2）數(shù)據(jù)完整性保障。SSL協(xié)議采用消息驗證碼來驗證獲取數(shù)據(jù)的完整性，確保信息內(nèi)容和來源的完整性。（3）數(shù)據(jù)機密性保證。SSL協(xié)議采用加密算法來加密數(shù)據(jù)，保障數(shù)據(jù)的機密性。SSL協(xié)議本身分也為兩層。低層是SSL記錄協(xié)議層，包含SSL記錄協(xié)議；高層是SSL握手協(xié)議層，該層上有SSL握手協(xié)議、SSL報警協(xié)議、SSL改變密碼規(guī)則協(xié)議。SSL協(xié)議的工作過程可以這樣簡單描述：首先通訊雙方使用SSL握手協(xié)議建立SSL會話，商議好加密算法、密鑰、數(shù)據(jù)壓縮方式之類的通訊安全參數(shù)，這過程中可能需要通過數(shù)字證書驗證對方身份。需要傳輸數(shù)據(jù)時則選擇會話下恰當?shù)倪B接，如果沒有，就建立新的連接。傳輸數(shù)據(jù)時要對信息進行對稱密鑰加密，并計算hash消息驗證碼供對方驗證。由于對稱密鑰加密要消耗一定量的計算資源，SSL協(xié)議一般先要按照建立會話時商定的壓縮方法將數(shù)據(jù)壓縮后再做加密處理。收到信息后則要依次做完整性驗證、解密、解壓縮的操作，最終將數(shù)據(jù)傳送給應(yīng)用層。會話與連接SSL記錄協(xié)議SSL握手協(xié)議SSL警告協(xié)議SSL交換密碼規(guī)范議第2節(jié)防火墻技術(shù)一、防火墻的概念防火墻被認為最初是一個建筑名詞，指的是修建在房屋之間、院落之間、街區(qū)之間，用以隔絕火災(zāi)蔓延的高墻。而我們這里介紹的用于計算機網(wǎng)絡(luò)安全領(lǐng)域的防火墻則是指設(shè)置于網(wǎng)絡(luò)之間，通過控制網(wǎng)絡(luò)流量、阻隔危險網(wǎng)絡(luò)通信以達到保護網(wǎng)絡(luò)目的，由硬件設(shè)備和軟件組成的防御系統(tǒng)。像建筑防火墻阻擋火災(zāi)、保護建筑一樣，它有阻擋危險流量、保護網(wǎng)絡(luò)的功能。從信息保障的角度來看防火墻是一種保護（protect）手段。防火墻一般都是布置于網(wǎng)絡(luò)之間的。防火墻最常見的形式是布置于公共網(wǎng)絡(luò)和企事業(yè)單位內(nèi)部的專用網(wǎng)絡(luò)之間，用以保護內(nèi)部專用網(wǎng)絡(luò)。有時候在一個網(wǎng)絡(luò)內(nèi)部也可能設(shè)置防火墻，用來保護某些特定的設(shè)備，但被保護關(guān)鍵設(shè)備的IP地址一般會和其它設(shè)備處于不同網(wǎng)段。甚至有類似大防火墻（GFWGreatFireWall）那樣保護整個國家網(wǎng)絡(luò)的防火墻。其實，只要是有必要，有網(wǎng)絡(luò)流量的地方都可以布置防火墻。防火墻保護網(wǎng)絡(luò)的手段就是控制網(wǎng)絡(luò)流量。網(wǎng)絡(luò)之上的各種信息都是以數(shù)據(jù)包的形式傳遞的，網(wǎng)絡(luò)防火墻要實現(xiàn)控制流量就是要對途徑其的各個數(shù)據(jù)包進行分析，判斷其危險與否，據(jù)此決定是否允許其通過。對數(shù)據(jù)包說“Yes”或者“No”是防火墻的基本工作。不同種類的防火墻查看數(shù)據(jù)包的不同內(nèi)容，但是究竟對怎樣的數(shù)據(jù)包內(nèi)容說“Yes”或者“No”，其規(guī)則是由用戶來配置的。就是說防火墻決定數(shù)據(jù)包是否可以通過，要看用戶對防火墻查看的內(nèi)容制定怎樣的規(guī)則。用以保護網(wǎng)絡(luò)的防火墻會有不同的形式和不同的復(fù)雜程度。它可以是單一設(shè)備也可以是一系列相互協(xié)作的設(shè)備；設(shè)備可以是專門的硬件設(shè)備，也可以是經(jīng)過加固甚至只是普通的通用主機；設(shè)備可以選擇不同形式的組合，具有不同的拓撲和結(jié)構(gòu)。我們會在下面的內(nèi)容中做進一步的討論。二、防火墻的分類依據(jù)不同的保護機制和工作原理，人們一般將防火墻分為三類：包過濾防火墻，狀態(tài)檢測包過濾防火墻，應(yīng)用服務(wù)代理防火墻。這些防火墻的功能不同，常見的實現(xiàn)方式，以及它們的性能、安全性都有不同。包過濾防火墻狀態(tài)檢測包過濾防火墻應(yīng)用服務(wù)代理防火墻三、防火墻的不同形態(tài)無論是包過濾防火墻還是狀態(tài)檢測包過濾防火墻以及應(yīng)用代理服務(wù)防火墻，本身都會以一定的設(shè)備的形態(tài)出現(xiàn)。這里我們簡單看一看不同的防火墻形態(tài)。1.專用硬件設(shè)備專門的硬件防火墻設(shè)備，將防火墻程序作到芯片中，防火墻還擁有專門的寄存器以存放用戶規(guī)則、連接狀態(tài)之類的信息。無論是防火墻程序還是運行所需的信息都很難被攻擊和篡改，在網(wǎng)絡(luò)攻擊面前防火墻很堅固，有很大的安全性。這是包過濾防火墻和狀態(tài)檢測包過濾防火墻常見的形式。2.安排在特定功能的硬件設(shè)備（如路由器）上路由器一般都可以設(shè)置包過濾功能，起到一定的防火墻效果。由于不是專門的設(shè)備，實現(xiàn)防火墻功能的程序和需要的一些信息存放于路由器內(nèi)存中，程序和運行所需信息容易被攻擊和篡改，此種防火墻自身的安全性比較差，一般只是權(quán)宜之計。3.加固主機使用特定硬件、軟件（例如安全操作系統(tǒng)）加固的主機負擔(dān)防火墻工作。防火墻程序和需要的規(guī)則等信息都存放于機器內(nèi)存中，由于主機經(jīng)過加固，它們也不那么容易受到攻擊和篡改，安全性也比較好。雖然，由于主機有很好的通用性，此類設(shè)備可以負擔(dān)各種防火墻，但一般還是用于程序較為復(fù)雜，需要運算力較高的應(yīng)用代理服務(wù)防火墻上。4.運行于普通通用計算機之上的軟件由于不采用任何的專門設(shè)備，雖然軟件自身一般都會采取一些安全措施，但總的來說，操作系統(tǒng)和防火墻軟件還是容易被攻擊和篡改，導(dǎo)致其失效。這樣形式的防火墻一般只用于單個主機、小規(guī)模網(wǎng)絡(luò)的較低安全要求應(yīng)用。Windows等操作系統(tǒng)自身就帶有此類防火墻功能，一些從事網(wǎng)絡(luò)安全的軟件公司也提供這類工具，比如天網(wǎng)個人防火墻、瑞星個人防火墻、金山網(wǎng)鏢等。四、防火墻設(shè)備的性能指標吞吐量時延丟包率背靠背并發(fā)連接數(shù)HTTP傳輸速率和HTTP事務(wù)處理速率五、防火墻系統(tǒng)的結(jié)構(gòu)屏蔽路由器雙宿主機網(wǎng)關(guān)屏蔽單宿堡壘主機屏蔽雙宿堡壘主機屏蔽子網(wǎng)第3節(jié)VPN技術(shù)一、VPN含義網(wǎng)絡(luò)技術(shù)的發(fā)展為人們的生產(chǎn)生活帶來了極大的便利，人類生活的很多方面越來越多的與網(wǎng)絡(luò)應(yīng)用、網(wǎng)絡(luò)通訊相聯(lián)系。但是，公共網(wǎng)絡(luò)由于其開放性和低安全性并不適用于一些網(wǎng)絡(luò)應(yīng)用的需要。類似電子商務(wù)、網(wǎng)絡(luò)銀行、具有多家分支結(jié)構(gòu)公司的內(nèi)部通訊這樣對于安全有更高要求的業(yè)務(wù)不適合通過公共網(wǎng)絡(luò)進行通訊。而為每家公司、每種應(yīng)用布設(shè)專門的網(wǎng)絡(luò)也會因為代價高昂而不切實際。為了解決這個矛盾，人們發(fā)展了VPN技術(shù)。虛擬專用網(wǎng)（VirtualPrivateNetwork，VPN）指的是在公用網(wǎng)絡(luò)上建立的專用網(wǎng)絡(luò)。其具有稍微高于公共網(wǎng)絡(luò)的使用價格，基本接近于專用網(wǎng)絡(luò)的應(yīng)用性能，具有極佳的性價比。二、VPN的分類在這一部分，我們會從不同視角介紹不同的VPN看待方法。其實這并不完全是VPN的分類，也是要幫助大家對VPN性能的取舍做一些思辨。首先的一個視角，我們可以把VPN簡單的分為兩個大類，“專線”類和“協(xié)議”類。實際上“專線”都是需要網(wǎng)絡(luò)層以下的協(xié)議來實現(xiàn)的，而“協(xié)議”類大部分都是需要網(wǎng)絡(luò)層以上協(xié)議來實現(xiàn)的。這個視角其實是依據(jù)虛擬專用網(wǎng)采用怎樣的方式在公共網(wǎng)絡(luò)上傳輸自己的數(shù)據(jù)包來分類：是按照固定的、有一定通訊品質(zhì)保障的路線來傳輸；還是用普通公共網(wǎng)絡(luò)數(shù)據(jù)包的形式傳輸。專線類的網(wǎng)絡(luò)主要有物理專線專用網(wǎng)、虛電路虛擬專用網(wǎng)、MPLS虛擬專用網(wǎng)。1.物理專線專用網(wǎng)我們熟悉的局域網(wǎng)就是采用物理上的專門線路。采用物理專線的網(wǎng)絡(luò)，是真正的專用網(wǎng)，并非虛擬。對于小范圍的網(wǎng)絡(luò)，物理上的專線造就的專用網(wǎng)是可行的。但是更大范圍的專線，比如說跨國公司建立一個跨洲越洋的專線網(wǎng)絡(luò)——這種網(wǎng)絡(luò)的成本必然由公司自己承擔(dān)——是不現(xiàn)實的。當然，如果是類似大國軍隊這樣的機構(gòu)是可能建立起稍微小型些的物理專線專用網(wǎng)絡(luò)的。物理專線的網(wǎng)絡(luò)，其時延、網(wǎng)絡(luò)自主性都很好，網(wǎng)絡(luò)安全性也比較高。但這里要提醒的一個問題是，專線的網(wǎng)絡(luò)不是就一定安全。當通訊距離較遠時，通訊線路會經(jīng)歷成百上千公里的距離，也需要若干通訊設(shè)備來維持其運行。漫長的距離，眾多設(shè)備，想要做到完全安全是很難的，惡意的竊聽者或者篡奪者總能找到可乘之機。在冷戰(zhàn)時期，美國人就曾經(jīng)使用核潛艇潛入鄂霍次克海，堪稱在蘇聯(lián)太平洋艦隊的眼皮底下成功的竊聽了其軍用海底電纜。并且在海底電纜上安置了一臺重達上千公斤的由核電池驅(qū)動、磁帶記錄數(shù)據(jù)并可持續(xù)工作一年以上的竊聽裝置，收集了大量的情報。2.虛電路VPN物理專線需要布設(shè)專門的線路與設(shè)備，花費之高昂，能用得起的機構(gòu)很少。而一些數(shù)據(jù)鏈路層協(xié)議卻可以在公共網(wǎng)絡(luò)上實現(xiàn)類似的功能，一個典型的例子就是幀中繼協(xié)議。3.MPLSVPN基于數(shù)據(jù)鏈路層虛電路的VPN，會受到單一網(wǎng)絡(luò)覆蓋范圍的限制，其布置的靈活性遠達不到互聯(lián)網(wǎng)的水平。而如果使用MPLS協(xié)議則可以實現(xiàn)更廣泛范圍的“專線”VPN。第二個視角，我們從網(wǎng)絡(luò)的應(yīng)用方式、應(yīng)用范圍角度來分類。據(jù)此，我們可以將VPN分為遠程接入VPN，內(nèi)聯(lián)網(wǎng)VPN、外聯(lián)網(wǎng)VPN。1.遠程接入VPN（AccessVPN）：又稱為撥號VPN（即VPDN）。是指通過公共網(wǎng)絡(luò)遠程撥號之類的方式構(gòu)建的虛擬網(wǎng)，可提供對特定網(wǎng)絡(luò)資源的遠程訪問功能。適用于出差的企業(yè)員工或企業(yè)的小分支機構(gòu)連接公司網(wǎng)絡(luò)。遠程接入VPN為用戶通過離散的各個遠程地點訪問特定的網(wǎng)絡(luò)資源提供了便利，有很多合適的應(yīng)用場景。2.內(nèi)聯(lián)網(wǎng)VPN（IntranetVPN）：一個公司中地理上分布的各個機構(gòu)之間建立的，用以連接同公司不同機構(gòu)網(wǎng)絡(luò)中資源的虛擬專用網(wǎng)。此種網(wǎng)絡(luò)是企業(yè)內(nèi)部網(wǎng)在空間地域上的擴展。對于類似跨國公司這樣具有較多分支機構(gòu)的企業(yè)是很必要的選擇。3.外聯(lián)網(wǎng)VPN（ExtranetVPN）：某產(chǎn)業(yè)的各個合作伙伴企業(yè)共同構(gòu)建Extranet，將一系列公司需要彼此共享的資源進行連接的虛擬專用網(wǎng)。三、VPN關(guān)鍵技術(shù)VPN的關(guān)鍵技術(shù)主要有隧道技術(shù)、加密技術(shù)、密鑰管理技術(shù)、身份認證技術(shù)、管理技術(shù)。隧道技術(shù)隧道技術(shù)是VPN的基本技術(shù)，可以說，沒有隧道技術(shù)就沒有VPN。作為建立于公共網(wǎng)絡(luò)上的專用網(wǎng)，VPN一般都需要跨越一定的地理距離，需要穿越公共網(wǎng)絡(luò)。如何在公共網(wǎng)絡(luò)上傳輸VPN的數(shù)據(jù)包是任何VPN需要解決的基本問題。2.加密技術(shù)加密技術(shù)是VPN建設(shè)經(jīng)常選擇的可選項。一些采用“專線”形式，以及一些傳輸數(shù)據(jù)不夠重要的VPN可能對加密技術(shù)沒有特別的要求。但對于隧道協(xié)議VPN或者是對數(shù)據(jù)安全有更高要求的情況下，加密技術(shù)是必要的選擇。該技術(shù)是VPN傳輸數(shù)據(jù)保密性、完整性、抗否認性的保障。加密技術(shù)是一項較成熟的技術(shù)。傳輸數(shù)據(jù)的對稱加密，消息驗證碼，數(shù)字簽名都需要采用加密技術(shù)才可以完成。該技術(shù)是實現(xiàn)VPN安全性的核心技術(shù)。3.密鑰管理技術(shù)有了密碼技術(shù)，就必然會涉及到密鑰管理技術(shù)。沒有保密的密鑰，加密技術(shù)就是空耗時間做的無用功。沒有好的密鑰管理，加密技術(shù)的應(yīng)用是沒有意義的。密鑰管理技術(shù)主要涉及密鑰的生成和交換。如何真正等概率隨機的在密鑰空間內(nèi)生產(chǎn)出密鑰是一個重要的事情，尤其是對那些比較重要的機密數(shù)據(jù)傳輸而言?？梢栽诰W(wǎng)絡(luò)中引入專門的加密機或者其它有硬件生產(chǎn)密鑰功能的網(wǎng)絡(luò)設(shè)備，一些較新版本的操作系統(tǒng)也有收集用戶敲擊鍵盤的時間等物理事件作為密鑰生成依據(jù)的能力。而密鑰的傳輸則一般需要類似SKIP密鑰管理協(xié)議或者ISAKMP/OAKLEY之類的專門協(xié)議支持。4.身份認證技術(shù)VPN一般都是為了方便內(nèi)部人士方便、安全的訪問網(wǎng)絡(luò)資源。但是部分網(wǎng)絡(luò)資源由于較為重要和敏感，需要對訪問者進行專門的甄別，這就需要用到身份識別技術(shù)。身份識別可以依照被訪問資源的重要性，以及用戶自己的需求與條件，采用不同的形式?？梢圆捎玫姆绞娇梢允呛唵蔚挠脩裘?口令方式，也可以是指紋等生物信息，也可以使用智能卡進行識別。而存儲于智能卡中，基于公鑰密碼算法和PKI的數(shù)字證書是適于廣泛應(yīng)用且安全水準很高的識別手段。各個網(wǎng)絡(luò)銀行使用的“U盾”就是此類識別手段。5.管理技術(shù)一個好的VPN還需要是便于管理的。對于VPN執(zhí)行的各種安全策略，比如加密算法、訪問權(quán)限設(shè)置、日志、審計等方面需要有安全有效的管理。特別是VPN比較大和復(fù)雜的情況下。能否提供方便、有效的管理也是VPN性能的重要指標。四、VPN的優(yōu)點性能價格比高是VPN最大的優(yōu)點，也是VPN這種網(wǎng)絡(luò)安全手段興盛的根本原因。簡單而言，VPN具有“專用網(wǎng)的性能，公共網(wǎng)的價格”。這雖然是近似的情況，但對于廣大普通用戶是正確的。實際上VPN由于需要做額外的處理，性能上比專用網(wǎng)要差。比如說專線模式的VPN，數(shù)據(jù)鏈路層虛電路的，傳輸性能可以和專用網(wǎng)相當，而MPLS的處理速度會稍微慢一點。而隧道協(xié)議VPN由于隧道協(xié)議的開銷，公共網(wǎng)絡(luò)的服務(wù)延遲，以及各種加密算法的開銷，性能上有較多損失。但是由于計算機和網(wǎng)絡(luò)技術(shù)的進步令公共網(wǎng)絡(luò)性能有快速的提升，對于大多數(shù)用戶的普通應(yīng)用來說，這種性能上的差別是可以很容易被公共網(wǎng)絡(luò)傳輸速度的進步磨平，從而忽略不計的。從價格上來說，VPN需要向ISP申請?zhí)摂M專線，或者購置支持安全協(xié)議的網(wǎng)關(guān)設(shè)備，投資上也是要不同程度的高于僅使用公共網(wǎng)絡(luò)時的花費。但隨著VPN的普及和相關(guān)設(shè)備生產(chǎn)的進步，多投入的資金也很容易被接受。而VPN易于擴展，不需要專門的線路，只要具有恰當公共網(wǎng)絡(luò)的地方都可以布設(shè)VPN的新節(jié)點。當然這種“恰當?shù)墓簿W(wǎng)絡(luò)”是要視VPN穿越公共網(wǎng)絡(luò)方式而定的，例如MPLSVPN一般需要考慮是否同一ISP內(nèi)，而網(wǎng)絡(luò)層隧道協(xié)議VPN則基本沒有限制。VPN還通過成熟的加密技術(shù)和認證技術(shù)實現(xiàn)了更為安全的通訊，通過結(jié)合防火墻等安全措施可以保證網(wǎng)絡(luò)有更好的安全性。第4節(jié)蜜罐主機與欺騙網(wǎng)絡(luò)一、蜜罐主機蜜罐主機是一種專門引誘網(wǎng)絡(luò)攻擊的資源。它被偽裝成一個有價值的攻擊目標，蜜罐主機設(shè)置的目的就是吸引別人去攻擊它。此種網(wǎng)絡(luò)設(shè)備的意義一方面在于吸引攻擊者的注意力，從而減少對真正有價值目標的攻擊。另一方面在于收集攻擊者的各種信息，從而幫助網(wǎng)絡(luò)所有者更加了解攻擊者的攻擊行為，以利于更好的防御。蜜罐主機是網(wǎng)絡(luò)中可以選擇的一種安全措施。蜜罐主機上一般不會運行任何具有實際意義、且能產(chǎn)生通訊流量的服務(wù)。所以，任何與蜜罐主機發(fā)生的通訊流量都是可疑的。通過收集和分析這些通訊流量，可以為我們提供很多攻擊者的有意義的信息。就收集攻擊者信息的能力和本身的安全性來說，可以通過蜜罐主機的連累等級來將它們分為低連累等級蜜罐主機，中連累等級蜜罐主機，高連累等級蜜罐主機。蜜罐主機的位置選擇對其功能也是有很大影響的。蜜罐主機的位置選擇主要是相對于防火墻而言的。不同的位置選擇可以有不同的效果。就普通用戶常用的最復(fù)雜的屏蔽子網(wǎng)防火墻結(jié)構(gòu)而言，蜜罐主機可以布置在：防火墻之外，DMZ區(qū)，內(nèi)部網(wǎng)絡(luò)。二、欺騙網(wǎng)絡(luò)蜜罐主機會通過模擬某些常見的服務(wù)，常見的漏洞來吸引攻擊，使其成為一臺“牢籠”(Cage)主機。但蜜罐主機畢竟是單臺主機，本身無法控制外出的通信流。要達到這樣的目的，需要防火墻等設(shè)備配合才能對通信流進行限制。這樣便演化成一種更為復(fù)雜的網(wǎng)絡(luò)欺騙環(huán)境，被稱為欺騙網(wǎng)絡(luò)（HoneyNet）。一個典型的欺騙網(wǎng)絡(luò)包含多臺蜜罐主機以及防火墻來記錄和限制網(wǎng)絡(luò)通信流。通常還會與含入侵檢測系統(tǒng)緊密聯(lián)系，以發(fā)現(xiàn)潛在的攻擊。比較單一的蜜罐主機，欺騙網(wǎng)絡(luò)有更大的優(yōu)勢。首先，欺騙網(wǎng)絡(luò)是一個網(wǎng)絡(luò)系統(tǒng)，而不是單一主機。整個系統(tǒng)隱藏在防火墻后面，可以使用各種不同的