網(wǎng)絡安全架構設計和

網(wǎng)絡安全設備的部署1編輯課件主要內容內網(wǎng)安全架構的設計與安全產(chǎn)品的部署安全掃描技術防火墻技術入侵檢測技術IPSecVPN和SSLVPN技術2編輯課件網(wǎng)絡信息安全的基本問題網(wǎng)絡信息安全的基本問題保密性完整性可用性可控性可審查性最終要解決是使用者對基礎設施的信心和責任感的問題。3編輯課件網(wǎng)絡與信息安全體系要實施一個完整的網(wǎng)絡與信息安全體系，至少應包括三類措施，并且三者缺一不可。社會的法律政策、規(guī)章制度措施技術措施審計和管理措施4編輯課件網(wǎng)絡安全設計的基本原則要使信息系統(tǒng)免受攻擊，關鍵要建立起安全防御體系，從信息的保密性，拓展到信息的完整性、信息的可用性、信息的可控性、信息的不可否認性等。在進行計算機網(wǎng)絡安全設計、規(guī)劃時，應遵循以下原則：需求、風險、代價平衡分析的原則綜合性、整體性原則一致性原則易操作性原則適應性、靈活性原則多重保護原則5編輯課件網(wǎng)絡安全解決方案網(wǎng)絡安全解決方案的基本概念網(wǎng)絡安全解決方案可以看作是一張有關網(wǎng)絡系統(tǒng)安全工程的圖紙，圖紙設計的好壞直接關系到工程質量的優(yōu)劣?？傮w來說，網(wǎng)絡安全解決方案涉及安全操作系統(tǒng)技術、防火墻技術、病毒防護技術、入侵檢測技術、安全掃描技術、認證和數(shù)字簽名技術、VPN技術等多方面的安全技術。6編輯課件一份好的網(wǎng)絡安全解決方案，不僅僅要考慮到技術，還要考慮到策略和管理。技術是關鍵策略是核心管理是保證在整個網(wǎng)絡安全解決方案中，始終要體現(xiàn)出這三個方面的關系。7編輯課件網(wǎng)絡安全解決方案設計8編輯課件安全需求分析網(wǎng)絡系統(tǒng)的總體安全需求是建立在對網(wǎng)絡安全層次分析基礎上的。對于基于TCP/IP協(xié)議的網(wǎng)絡系統(tǒng)來說，安全層次是與TCP/IP協(xié)議層次相對應的。針對該企業(yè)網(wǎng)絡的實際情況，可以將安全需求層次歸納為網(wǎng)絡層安全和應用層安全兩個技術層次，同時將在各層都涉及的安全管理部分單獨作為一部分進行分析。9編輯課件網(wǎng)絡層需求分析網(wǎng)絡層安全需求是保護網(wǎng)絡不受攻擊，確保網(wǎng)絡服務的可用性。保證同Internet互聯(lián)的邊界安全能夠防范來自Internet的對提供服務的非法利用防范來自Internet的網(wǎng)絡入侵和攻擊行為的發(fā)生對于內部網(wǎng)絡提供高于網(wǎng)絡邊界更高的安全保護10編輯課件應用層需求分析應用層的安全需求是針對用戶和網(wǎng)絡應用資源的，主要包括：合法用戶可以以指定的方式訪問指定的信息；合法用戶不能以任何方式訪問不允許其訪問的信息；非法用戶不能訪問任何信息；用戶對任何信息的訪問都有記錄。11編輯課件應用層要解決的安全問題包括非法用戶利用應用系統(tǒng)的后門或漏洞，強行進入系統(tǒng)用戶身份假冒非授權訪問數(shù)據(jù)竊取數(shù)據(jù)篡改數(shù)據(jù)重放攻擊抵賴12編輯課件網(wǎng)絡安全解決方案13編輯課件電子政務網(wǎng)絡拓撲概述內部核心子網(wǎng)INTERNET分支機構1分支機構214編輯課件電子政務網(wǎng)絡拓撲詳細分析領導層子網(wǎng)分支機構2業(yè)務處室子網(wǎng)公共處室子網(wǎng)服務處室子網(wǎng)直屬人事機構處室子網(wǎng)共享數(shù)據(jù)庫子網(wǎng)INTERNET分支機構115編輯課件電子政務網(wǎng)絡風險及需求分析領導層子網(wǎng)分支機構2業(yè)務處室子網(wǎng)公共處室子網(wǎng)服務處室子網(wǎng)直屬人事機構處室子網(wǎng)共享數(shù)據(jù)庫子網(wǎng)INTERNET分支機構1此人正試圖進入網(wǎng)絡監(jiān)聽并竊取敏感信息分支機構工作人員正試圖在領導層子網(wǎng)安裝木馬分支機構工作人員正試圖越權訪問業(yè)務子網(wǎng)安裝木馬非內部人員正試圖篡改公共網(wǎng)絡服務器的數(shù)據(jù)16編輯課件電子政務網(wǎng)絡內網(wǎng)基礎網(wǎng)絡平臺安全領導層子網(wǎng)業(yè)務處室子網(wǎng)公共處室子網(wǎng)服務處室子網(wǎng)直屬人事機構處室子網(wǎng)共享數(shù)據(jù)庫子網(wǎng)分支機構2分支機構1NEsec300FW2035968?告警內網(wǎng)接口外網(wǎng)接口電源NEsec300FW2035968?告警內網(wǎng)接口外網(wǎng)接口電源INTERNETNEsec300FW2035968?告警內網(wǎng)接口外網(wǎng)接口電源防火墻FW1防火墻FW2防火墻FW3安全認證服務器安全管理器安全網(wǎng)關SG1安全網(wǎng)關SG2安全網(wǎng)關SG3路由器路由器路由器交換機NEsec300FW2035968?告警內網(wǎng)接口外網(wǎng)接口電源17編輯課件內網(wǎng)核心網(wǎng)絡與各級子網(wǎng)間的安全設計

分支機構2INTERNET分支機構1NEsec300FW2035968?告警內網(wǎng)接口外網(wǎng)接口電源

內部核心子網(wǎng)NEsec300FW2035968?告警內網(wǎng)接口外網(wǎng)接口電源NEsec300FW2035968?告警內網(wǎng)接口外網(wǎng)接口電源NEsec300FW2035968?告警內網(wǎng)接口外網(wǎng)接口電源交換機安全網(wǎng)關SG1安全網(wǎng)關SG2安全網(wǎng)關SG3路由器路由器路由器安全管理器安全認證服務器18編輯課件內網(wǎng)網(wǎng)絡漏洞掃描系統(tǒng)設計分支機構2INTERNET分支機構1NEsec300FW2035968?告警內網(wǎng)接口外網(wǎng)接口電源

內部核心子網(wǎng)NEsec300FW2035968?告警內網(wǎng)接口外網(wǎng)接口電源NEsec300FW2035968?告警內網(wǎng)接口外網(wǎng)接口電源NEsec300FW2035968?告警內網(wǎng)接口外網(wǎng)接口電源交換機安全網(wǎng)關SG1安全網(wǎng)關SG2安全網(wǎng)關SG3路由器路由器路由器安全管理器安全認證服務器網(wǎng)絡漏洞掃描器19編輯課件內網(wǎng)網(wǎng)絡入侵檢測系統(tǒng)設計

分支機構2INTERNET分支機構1NEsec300FW2035968?告警內網(wǎng)接口外網(wǎng)接口電源

內部核心子網(wǎng)NEsec300FW2035968?告警內網(wǎng)接口外網(wǎng)接口電源NEsec300FW2035968?告警內網(wǎng)接口外網(wǎng)接口電源NEsec300FW2035968?告警內網(wǎng)接口外網(wǎng)接口電源交換機安全網(wǎng)關SG1安全網(wǎng)關SG2安全網(wǎng)關SG3路由器路由器路由器安全管理器安全認證服務器網(wǎng)絡入侵檢測探頭網(wǎng)絡入侵策略管理器20編輯課件電子政務外網(wǎng)基礎平臺安全設計INTERNET辦公廳辦公業(yè)務網(wǎng)（簡稱“內網(wǎng)”）路由器交換機安全管理器防火墻FW物理隔離器（K1)E-MAIL服務器WWW服務器應用服務器數(shù)據(jù)庫服務器21編輯課件外網(wǎng)網(wǎng)絡漏洞掃描系統(tǒng)設計INTERNET辦公廳辦公業(yè)務網(wǎng)（簡稱“內網(wǎng)”）路由器交換機安全管理器防火墻FW物理隔離器（K1)E-MAIL服務器WWW服務器應用服務器數(shù)據(jù)庫服務器網(wǎng)絡漏洞掃描器22編輯課件外網(wǎng)網(wǎng)絡入侵檢測系統(tǒng)設計INTERNET辦公廳辦公業(yè)務網(wǎng)（簡稱“內網(wǎng)”）路由器交換機安全管理器物理隔離器（K1)E-MAIL服務器WWW服務器應用服務器數(shù)據(jù)庫服務器網(wǎng)絡漏洞掃描器網(wǎng)絡入侵檢測探頭網(wǎng)絡入侵策略管理器防火墻FW23編輯課件外網(wǎng)WEB服務器安全設計INTERNET辦公廳辦公業(yè)務網(wǎng)（簡稱“內網(wǎng)”）路由器交換機安全管理器物理隔離器（K2)E-MAIL服務器WWW服務器應用服務器數(shù)據(jù)庫服務器防火墻FW物理隔離器（K1)辦公廳辦公業(yè)務網(wǎng)（簡稱“內網(wǎng)”）政府系統(tǒng)辦公業(yè)務資源網(wǎng)（簡稱“專網(wǎng)”）Web網(wǎng)站監(jiān)測&自動修復系統(tǒng)24編輯課件內網(wǎng)、外網(wǎng)和專網(wǎng)的隔離系統(tǒng)設計INTERNET辦公廳辦公業(yè)務網(wǎng)（簡稱“內網(wǎng)”）路由器交換機安全管理器物理隔離器（K2)E-MAIL服務器WWW服務器應用服務器數(shù)據(jù)庫服務器防火墻FW物理隔離器（K1)辦公廳辦公業(yè)務網(wǎng)（簡稱“內網(wǎng)”）政府系統(tǒng)辦公業(yè)務資源網(wǎng)（簡稱“專網(wǎng)”）25編輯課件其它網(wǎng)絡安全設備撥號檢測系統(tǒng)上網(wǎng)行為管理系統(tǒng)DDOS防御網(wǎng)關VPN網(wǎng)關防病毒網(wǎng)關26編輯課件安全掃描技術掃描目的查看目標網(wǎng)絡中哪些主機是存活的（Alive）查看存活的主機運行了哪些服務WWWFTPEMAILTELNET查看主機提供的服務有無漏洞27編輯課件IP掃描IP掃描——PingSweepingPing使用ICMP協(xié)議進行工作28編輯課件IP掃描ICMP協(xié)議負責差錯的報告與控制。比如目標不可達，路由重定向等等ICMP報文格式類型域(type)用來指明該ICMP報文的類型代碼域(code)確定該包具體作用

081631

類型

代碼

校驗和

其他字段（不同的類型可能不一樣）

數(shù)據(jù)區(qū)……

數(shù)據(jù)ICMP包頭IP包頭MAC幀頭29編輯課件IP掃描常用的ICMP報文Ping程序使用ICMPEchoRequest/Reply報文名稱類型ICMPDestinationUnreachable（目標不可達）3ICMPSourceQuench（源抑制）4ICMPRedirection（重定向）5ICMPTimestampRequest/Reply（時間戳）13/14ICMPAddressMaskRequest/Reply（子網(wǎng)掩碼）17/18ICMPEchoRequest/Reply（響應請求/應答）8/030編輯課件端口掃描端口Internet上主機間通訊總是通過端口發(fā)生的

端口是入侵的通道端口分為TCP端口與UDP端口因此，端口掃描可分類為TCP掃描UDP掃描31編輯課件端口掃描基本掃描用Socket開發(fā)TCP應用服務器端客戶端32編輯課件端口掃描connect()函數(shù)intconnect(SOCKETs,conststructsockaddrFAR*name,intnamelen);當connect返回0時，連接成功基本的掃描方法即TCPConnect掃描優(yōu)點實現(xiàn)簡單可以用普通用戶權限執(zhí)行缺點容易被防火墻檢測，也會目標應用所記錄33編輯課件端口掃描隱秘掃描服務器端客戶端connect34編輯課件端口掃描TCP的連接建立過程客戶機服務器發(fā)送SYN

seq=x

接收SYN報文

發(fā)送SYNseq=y,ACKack=x+1

接收SYN+ACK

發(fā)送ACKack=y+1

接受ACK報文段

35編輯課件端口掃描SYN掃描客戶機服務器發(fā)送SYN

seq=x

如果接收到SYN+ACK，表明服務器端口可連接如果服務器端口打開，則返回SYN+ACK如果服務器端口未打開，則返回RSTSYN+ACK如果接收到RST，表明服務器端口不可連接RST36編輯課件端口掃描SYN掃描的實現(xiàn)WinSock2接口RawSock方式，允許自定義IP包SockRaw=socket(AF_INET,SOCK_RAW,IPPROTO_IP);TCP包頭標志位01631源端口

目的端口

序列號

確認號

HLEN

保留

標志位

窗口

校驗和

緊急指針

選項

填充

數(shù)據(jù)

保留保留UrgentpointACKPUSHRESETSYNFIN37編輯課件端口掃描SYN掃描的優(yōu)缺點優(yōu)點：一般不會被目標主機所記錄缺點：運行RawSocket時必須擁有管理員權限38編輯課件端口掃描FIN掃描關閉TCP連接的過程客戶機服務器發(fā)送FIN

seq=x

接收FIN報文

發(fā)送FINseq=y,ACKack=x+1

接收FIN+ACK

發(fā)送ACKack=y+1

接受ACK報文段

39編輯課件端口掃描關閉一個并沒有建立的連接，會產(chǎn)生以下情況對非連接FIN報文的回復TCP標準關閉的端口——返回RST報文打開的端口——忽略BSD操作系統(tǒng)與TCP標準一致其他操作系統(tǒng)均返回RST報文40編輯課件TCPACK掃描掃描主機向目標主機發(fā)送ACK數(shù)據(jù)包。根據(jù)返回的RST數(shù)據(jù)包有兩種方法可以得到端口的信息。方法一是：若返回的RST數(shù)據(jù)包的TTL值小于或等于64，則端口開放，反之端口關閉方法二是：若返回的RST數(shù)據(jù)包的WINDOW值非零，則端口開放，反之端口關閉TCPACK掃描建立連接成功TCPACK掃描建立連接成功41編輯課件NULL掃描掃描主機將TCP數(shù)據(jù)包中的ACK、FIN、RST、SYN、URG、PSH(接收端將數(shù)據(jù)轉由應用處理)標志位置空后（保留的RES1和RES2對掃描的結果沒有任何影響）發(fā)送給目標主機。若目標端口開放，目標主機將不返回任何信息。若目標主機返回RST信息，則表示端口關閉。NULL掃描建立連接成功NULL掃描建立連接未成功42編輯課件Xmastree掃描（圣誕樹掃描）XMAS掃描原理和NULL掃描的類似，將TCP數(shù)據(jù)包中的ACK、FIN、RST、SYN、URG、PSH標志位置1后發(fā)送給目標主機。在目標端口開放的情況下，目標主機將不返回任何信息若目標端口關閉，則目標主機將返回RST信息XMAS掃描建立連接成功XMAS掃描建立連接未成功43編輯課件端口掃描優(yōu)點不會被記錄到日志可以繞過某些防火墻netstat命令不會顯示——netstate命令只能顯示TCP連接或連接的嘗試缺點使用RAWIP編程，實現(xiàn)起來相對比較復雜利用BSD代碼缺陷，可能被修復——OpenBSD不同操作系統(tǒng)結果不同，因此不完全可信44編輯課件端口掃描UDP端口掃描目前掃描UDP端口只有一種方法：向目標UDP端口發(fā)送一些隨機數(shù)據(jù)，如果端口關閉，則目標主機會回復ICMP端口不可達消息45編輯課件慢速掃描隨著防火墻的廣泛應用，普通的掃描很難穿過防火墻去掃描受防火墻保護的網(wǎng)絡。即使掃描能穿過防火墻，掃描的行為仍然有可能會被防火墻記錄下來。如果掃描是對非連續(xù)性端口、源地址不一致、時間間隔很長且沒有規(guī)律的掃描的話，這些掃描的記錄就會淹沒在其他眾多雜亂的日志內容中。使用慢速掃描的目的也就是這樣，騙過防火墻和入侵檢測系統(tǒng)而收集信息。雖然掃描所用的時間較長，但這是一種比較難以被發(fā)現(xiàn)的掃描。46編輯課件亂序掃描亂序掃描也是一種常見的掃描技術，掃描器掃描的時候不是進行有序的掃描，掃描端口號的順序是隨機產(chǎn)生的，每次進行掃描的順序都完全不一樣，這種方式能有效地欺騙某些入侵檢測系統(tǒng)而不會被發(fā)覺。47編輯課件漏洞掃描漏洞是指系統(tǒng)硬件、操作系統(tǒng)、軟件、網(wǎng)絡協(xié)議、數(shù)據(jù)庫等在設計上和實現(xiàn)上出現(xiàn)的可以被攻擊者利用的錯誤、缺陷和疏漏。漏洞掃描程序是用來檢測遠程或本地主機安全漏洞的工具。針對掃描對象的不同，漏洞掃描又可分為網(wǎng)絡掃描、操作系統(tǒng)掃描、WWW服務掃描、數(shù)據(jù)庫掃描以及無線網(wǎng)絡掃描等。48編輯課件端口掃描常用的端口掃描工具UNIX下的端口掃描工具NmapWindows下的端口掃描工具XScanSuperScanNmapforNT49編輯課件防火墻建筑業(yè)中的防火墻用在建筑單位間，防止火勢的蔓延。在網(wǎng)絡安全領域中，防火墻用來指應用于內部網(wǎng)絡（局域網(wǎng)）和外部網(wǎng)絡（Internet）之間的，用來保護內部網(wǎng)絡免受非法訪問和破壞的網(wǎng)絡安全系統(tǒng)。50編輯課件防火墻功能示意

兩個不同網(wǎng)絡安全域間通信流的唯一通道，對流過的網(wǎng)絡數(shù)據(jù)進行檢查，阻止攻擊數(shù)據(jù)包通過。安全網(wǎng)域一安全網(wǎng)域二51編輯課件防火墻主要功能過濾進、出網(wǎng)絡的數(shù)據(jù);防止不安全的協(xié)議和服務；管理進、出網(wǎng)絡的訪問行為；記錄通過防火墻的信息內容與活動；對網(wǎng)絡攻擊進行檢測與告警;防止外部對內部網(wǎng)絡信息的獲取提供與外部連接的集中管理；52編輯課件防火墻不能防范的攻擊來自內部的安全威脅；病毒開放應用服務程序的漏洞；特洛伊木馬；社會工程；不當配置53編輯課件衡量防火墻三大要求安全內部和外部間所有數(shù)據(jù)必須通過防火墻只有符合安全策略的數(shù)據(jù)流才能通過防火墻防火墻自身要安全管理良好的人機交互界面提供強勁的管理及擴展功能速度54編輯課件防火墻發(fā)展歷程主要經(jīng)歷了三個階段：基于路由器的防火墻基于通用操作系統(tǒng)的防火墻基于安全操作系統(tǒng)的防火墻55編輯課件防火墻分類按實現(xiàn)技術分類：包過濾型代理型防火墻按體系結構分類：雙宿/多宿主機防火墻屏蔽主機防火墻屏蔽子網(wǎng)防火墻混合結構56編輯課件包過濾防火墻包過濾防火墻在決定能否及如何傳送數(shù)據(jù)包之外，還根據(jù)其規(guī)則集，看是否應該傳送該數(shù)據(jù)包普通路由器當數(shù)據(jù)包到達時，查看IP包頭信息，根據(jù)路由表決定能否以及如何傳送數(shù)據(jù)包57編輯課件靜態(tài)包過濾防火墻

傳輸層傳輸層傳輸層

58編輯課件路由與包過濾路由進行轉發(fā)，過濾進行篩選源地址目標地址協(xié)議是否允許HostASeverXTCPYESHostASeverXUDPNOHostA外部網(wǎng)絡目標路由SeverX接口1……………………SeverX59編輯課件包過濾所檢查的內容源和目的的IP地址IP選項IP的上層協(xié)議類型（TCP/UDP/ICMP）TCP和UDP的源及目的端口ICMP的報文類型和代碼我們稱這種對包頭內容進行簡單過濾的方式為靜態(tài)包過濾60編輯課件包過濾配置包過濾防火墻配置步驟：知道什么是應該和不應被允許，制定安全策略規(guī)定允許的包類型、包字段的邏輯表達用防火墻支持的語法重寫表達式61編輯課件規(guī)則制定的策略拒絕任何訪問，除非被規(guī)則特別允許允許任何訪問，除非規(guī)則特別地禁止允許拒絕允許拒絕62編輯課件規(guī)則制定的策略過濾的兩種基本方式按服務過濾：根據(jù)安全策略決定是否允許或拒絕某一種服務按規(guī)則過濾：檢查包頭信息，與過濾規(guī)則匹配，決定是否轉發(fā)該數(shù)據(jù)包63編輯課件依賴于服務的過濾

多數(shù)服務對應特定的端口，如要封鎖輸Telnet、SMTP的連接，則Router丟棄端口值為23和25的所有數(shù)據(jù)包。典型的過濾規(guī)則有以下幾種：只允許進來的Telnet會話連接到指定的內部主機只允許進來的FTP會話連接到指定的內部主機允許所有出去的Telnet會話允許所有出去的FTP會話拒絕從某些指定的外部網(wǎng)絡進來的所有信息64編輯課件按規(guī)則過濾有些類型的攻擊很難用基本包頭信息加以鑒別，因為獨立于服務。如果防范則需要定義規(guī)則1）源IP地址欺騙攻擊入侵者從偽裝成源自一臺內部主機的一個外部地點傳送一些信息包；這些信息包似乎像包含了一個內部系統(tǒng)的源IP地址。如果這些信息包到達Router的外部接口，則舍棄每個含有這個源IP地址的信息包，就可以挫敗這種源欺騙攻擊。65編輯課件按規(guī)則過濾2）源路由攻擊攻擊者為信息包指定一個穿越Internet的路由，這類攻擊企圖繞過安全措施，并使信息包沿一條意外(疏漏)的路徑到達目的地?？梢酝ㄟ^舍棄所有包含這類源路由選項的信息包方式，來挫敗這類攻擊。3）殘片攻擊入侵者利用IP分段特性生成一個極小的片斷并將TCP報頭信息肢解成一個分離的信息包片斷，使數(shù)據(jù)包繞過用戶定義的過濾規(guī)則。黑客希望過濾路由器只檢查第一分段，而允許其它分段通過。通過舍棄所有協(xié)議類型為TCP、IP報頭中FragmentOffset=1的數(shù)據(jù)包，即可挫敗殘片的攻擊。66編輯課件推薦的規(guī)則任何進入內網(wǎng)的數(shù)據(jù)包不能將內部地址作為源地址任何進入內網(wǎng)的數(shù)據(jù)包必須將內部地址作為目標地址任何離開內網(wǎng)的數(shù)據(jù)包必須將內部地址作為源地址任何離開內網(wǎng)的數(shù)據(jù)包不能將內部地址作為目標地址任何進入或離開內網(wǎng)的數(shù)據(jù)包不能把一個私有地址或者/8作為源或目標地址67編輯課件靜態(tài)包過濾的優(yōu)缺點優(yōu)點：速度快價格低對用戶透明缺點：配置難把握防范能力低沒有用戶身份驗證機制68編輯課件動態(tài)包過濾動態(tài)包過濾是CheckPoint的一項稱為“

StatefulInspection”的專利技術，也稱狀態(tài)檢測防火墻。動態(tài)包過濾防火墻不僅以一個數(shù)據(jù)包的內容作為過濾的依據(jù)，還根據(jù)這個數(shù)據(jù)包在信息流位置加以判斷。動態(tài)包過濾防火墻可阻止未經(jīng)內網(wǎng)請求的外部通信，而允許內網(wǎng)請求的外部網(wǎng)站傳入的通信。69編輯課件動態(tài)包過濾防火墻70編輯課件使用動態(tài)包過濾制定的規(guī)則Setinternal=/24Denyipfrom$internaltoanyinviaeth0Denyipfromnot$internaltoanyinviaeth1Allow$internalaccessanydnsbyudpkeepstateAllow$InternalacessanywwwbytcpkeepstateAllow$internalaccessanyftpbytcpkeepstateDenyipfromanytoany71編輯課件動態(tài)包過濾的優(yōu)缺點優(yōu)點：基于應用程序信息驗證一個包狀態(tài)的能力記錄通過的每個包的詳細信息缺點：造成網(wǎng)絡連接的遲滯系統(tǒng)資源要求較高72編輯課件防火墻分類：包過濾代理型防火墻：應用代理型代理型防火墻：電路代理型代理型防火墻：NAT73編輯課件代理服務技術

代理服務技術能夠將所有跨越防火墻的網(wǎng)絡通信鏈路分為兩段。防火墻內外計算機系統(tǒng)間應用層的連接，由兩個代理服務器之間的連接來實現(xiàn)，外部計算機的網(wǎng)絡鏈路只能到達代理服務器，從而起到隔離防火墻內外計算機系統(tǒng)的作用。74編輯課件應用代理防火墻工作在應用層對所有規(guī)則內允許的應用程序作中轉轉發(fā)犧牲了對應用程序的透明性75編輯課件應用代理防火墻應用代理防火墻76編輯課件應用代理應用代理工作原理示意緩沖文件應用請求回復應用請求回復77編輯課件應用代理防火墻應用代理服務器的安全性屏蔽內網(wǎng)用戶與外網(wǎng)的直接通信，提供更嚴格的檢查提供對協(xié)議的控制，拒絕所有沒有配置的連接提供用戶級控制，可近一步提供身份認證等信息78編輯課件應用代理的優(yōu)缺點優(yōu)點：可以隱藏內部網(wǎng)絡的信息；可以具有強大的日志審核；可以實現(xiàn)內容的過濾；缺點：價格高速度慢失效時造成網(wǎng)絡的癱瘓79編輯課件電路級代理電路級代理因此可以同時為不同的服務，如WEB、FTP、TELNET提供代理服即SOCKS代理，它工作在傳輸層。80編輯課件應用代理應用代理工作在應用層，對于不同的服務，必須使用不同的代理軟件。應用代理內部主機WEB服務FTP服務WEBFTP81編輯課件電路級代理優(yōu)缺點優(yōu)點：隱藏內部網(wǎng)絡信息配置簡單，無需為每個應用程序配置一個代理缺點：多數(shù)電路級網(wǎng)關都是基于TCP端口配置，不對數(shù)據(jù)包檢測，可能會有漏洞82編輯課件NAT防火墻NAT定義

NAT（NetworkAddressTransla-tion）網(wǎng)絡地址翻譯最初設計目的是用來增加私有組織的可用地址空間和解決將現(xiàn)有的私有TCP/IP網(wǎng)絡連接到網(wǎng)上的IP地址編號問題83編輯課件NAT防火墻NAT提供的功能內部主機地址隱藏網(wǎng)絡負載均衡網(wǎng)絡地址交疊84編輯課件NAT（網(wǎng)絡地址翻譯）根據(jù)內部IP地址和外部IP地址的數(shù)量對應關系，NAT分為：基本NAT：簡單的地址翻譯M-1，多個內部網(wǎng)地址翻譯到1個IP地址M-N，多個內部網(wǎng)地址翻譯到N個IP地址池85編輯課件NAT的優(yōu)缺點優(yōu)點管理方便并且節(jié)約IP地址資源。隱藏內部IP地址信息。僅當向某個外部地址發(fā)送過出站包時，NAT才允許來自該地址的流量入站。

缺點外部應用程序卻不能方便地與NAT網(wǎng)關后面的應用程序聯(lián)系。86編輯課件防火墻布置簡單包過濾路由雙宿/多宿主機模式屏蔽主機模式屏蔽子網(wǎng)模式87編輯課件包過濾路由內部網(wǎng)絡外部網(wǎng)絡包過濾路由器優(yōu)點：配置簡單缺點：日志沒有或很少，難以判斷是否被入侵規(guī)則表會隨著應用變得很復雜單一的部件保護，脆弱88編輯課件雙宿/多宿主機模式堡壘主機：關鍵位置上用于安全防御的某個系統(tǒng)，攻擊者攻擊網(wǎng)絡必須先行攻擊的主機。雙宿/多宿主機防火墻又稱為雙宿/多宿網(wǎng)關防火墻，它是一種擁有兩個或多個連接到不同網(wǎng)絡上的網(wǎng)絡接口的防火墻，通常用一臺裝有兩塊或多塊網(wǎng)卡的堡壘主機做防火墻，兩塊或多塊網(wǎng)卡各自與受保護網(wǎng)和外部網(wǎng)相連89編輯課件雙宿/多宿主機模式內部網(wǎng)絡外部網(wǎng)絡應用代理服務器完成：對外屏蔽內網(wǎng)信息設置訪問控制對應用層數(shù)據(jù)嚴格檢查90編輯課件優(yōu)點：配置簡單檢查內容更細致屏蔽了內網(wǎng)結構缺點：應用代理本身的安全性91編輯課件屏蔽主機內部網(wǎng)絡外部網(wǎng)絡包過濾路由堡壘主機兩道屏障：網(wǎng)絡層的包過濾；應用層代理服務注：與雙宿主機網(wǎng)關不同，這里的應用網(wǎng)關只有一塊網(wǎng)卡。Web服務器92編輯課件屏蔽主機優(yōu)點：雙重保護，安全性更高。實施策略：針對不同的服務，選擇其中的一種或兩種保護措施。93編輯課件屏蔽子網(wǎng)內部網(wǎng)絡外部網(wǎng)絡外部路由器內部路由器周邊網(wǎng)絡（DMZ）94編輯課件屏蔽子網(wǎng)1）周邊網(wǎng)絡：非軍事化區(qū)、?；饏^(qū)（DMZ）周邊網(wǎng)絡是另一個安全層,是在外部網(wǎng)絡與內部網(wǎng)絡之間的附加的網(wǎng)絡。對于周邊網(wǎng)絡，如果某人侵入周邊網(wǎng)上的堡壘主機，他僅能探聽到周邊網(wǎng)上的通信。2）內部路由器（阻塞路由器）：保護內部的網(wǎng)絡使之免受Internet和周邊子網(wǎng)的侵犯。它為用戶的防火墻執(zhí)行大部分的數(shù)據(jù)包過濾工作95編輯課件屏蔽子網(wǎng)3）外部路由器：在理論上，外部路由器保護周邊網(wǎng)和內部網(wǎng)使之免受來自Internet的侵犯。實際上，外部路由器傾向于允許幾乎任何東西從周邊網(wǎng)出站，并且它們通常只執(zhí)行非常少的數(shù)據(jù)包過濾。外部路由器安全任務之一是：阻止從Internet上偽造源地址進來的任何數(shù)據(jù)包。96編輯課件優(yōu)點安全性較高可用性較好缺點配置復雜成本高97編輯課件PIX98編輯課件4種管理訪問模式非特權模式

PIX防火墻開機自檢后，就是處于這種模式。系統(tǒng)顯示為pixfirewall>特權模式輸入enable進入特權模式，可以改變當前配置。顯示為pixfirewall#配置模式輸入configureterminal進入此模式，絕大部分的系統(tǒng)配置都在這里進行。顯示為pixfirewall(config)#監(jiān)視模式

PIX防火墻在開機或重啟過程中，按住Escape鍵或發(fā)送一個"Break"字符，進入監(jiān)視模式。這里可以更新*作系統(tǒng)映象和口令恢復。顯示為monitor>99編輯課件6個基本命令nameifinterfaceipaddressnatglobalroute100編輯課件nameif配置防火墻接口的名字，并指定安全級別Pix525(config)#nameifethernet0outsidesecurity0Pix525(config)#nameifethernet1insidesecurity100Pix525(config)#nameifethernet2dmzsecurity50在缺省配置中，以太網(wǎng)0被命名為外部接口（outside），安全級別是0；以太網(wǎng)1被命名為內部接口（inside），安全級別是100。安全級別取值范圍為1～99，數(shù)字越大安全級別越高。101編輯課件interface配置以太口參數(shù)Pix525(config)#interfaceethernet0autoauto選項表明系統(tǒng)自適應網(wǎng)卡類型Pix525(config)#interfaceethernet1100full100full選項表示100Mbit/s以太網(wǎng)全雙工通信Pix525(config)#interfaceethernet1100fullshutdownshutdown選項表示關閉這個接口，若啟用接口去掉shutdown102編輯課件ipaddressPix525(config)#ipaddressoutside248Pix525(config)#ipaddressinside很明顯，Pix525防火墻在外網(wǎng)的ip地址是2，內網(wǎng)ip地址是

103編輯課件nat指定要進行轉換的內部地址網(wǎng)絡地址翻譯（nat）作用是將內網(wǎng)的私有ip轉換為外網(wǎng)的公有ip.Nat命令總是與global命令一起使用，這是因為nat命令可以指定一臺主機或一段范圍的主機訪問外網(wǎng)，訪問外網(wǎng)時需要利用global所指定的地址池進行對外訪問。104編輯課件nat命令配置語法nat(if_name)nat_idlocal_ip[netmark]其中（if_name）表示內網(wǎng)接口名字，例如inside。nat_id用來標識全局地址池，使它與其相應的global命令相匹配，local_ip表示內網(wǎng)被分配的ip地址。例如表示內網(wǎng)所有主機可以對外訪問。[netmark]表示內網(wǎng)ip地址的子網(wǎng)掩碼。105編輯課件nat例子例1．Pix525(config)#nat(inside)100表示啟用nat,內網(wǎng)的所有主機都可以訪問外網(wǎng)，用0可以代表例2．Pix525(config)#nat(inside)1表示只有這個網(wǎng)段內的主機可以訪問外網(wǎng)。106編輯課件global指定外部地址范圍global命令把內網(wǎng)的ip地址翻譯成外網(wǎng)的ip地址或一段地址范圍。global命令的配置語法：global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]其中（if_name）表示外網(wǎng)接口名字，例如outside.。Nat_id用來標識全局地址池，使它與其相應的nat命令相匹配，ip_address-ip_address表示翻譯后的單個ip地址或一段ip地址范圍。[netmarkglobal_mask]表示全局ip地址的網(wǎng)絡掩碼。107編輯課件global例子例1．Pix525(config)#global(outside)12-8表示內網(wǎng)的主機通過pix防火墻要訪問外網(wǎng)時，pix防火墻將使用2-8這段ip地址池為要訪問外網(wǎng)的主機分配一個全局ip地址。例2．Pix525(config)#global(outside)12表示內網(wǎng)要訪問外網(wǎng)時，pix防火墻將為訪問外網(wǎng)的所有主機統(tǒng)一使用2這個單一ip地址。例3.Pix525(config)#noglobal(outside)12表示刪除這個全局表項。108編輯課件route設置指向內網(wǎng)和外網(wǎng)的靜態(tài)路由（route）定義一條靜態(tài)路由。route命令配置語法：route(if_name)00gateway_ip[metric]其中（if_name）表示接口名字，例如inside，outside。gateway_ip表示網(wǎng)關路由器的ip地址。[metric]表示到gateway_ip的跳數(shù)。通常缺省是1。109編輯課件例1．Pix525(config)#routeoutside00681表示一條指向邊界路由器（ip地址68）的缺省路由。例2．Pix525(config)#routeinside1創(chuàng)建了一條到網(wǎng)絡的靜態(tài)路由，靜態(tài)路由的下一條路由器ip地址是

Pix525(config)#routeinside1110編輯課件static配置靜態(tài)IP地址翻譯如果從外網(wǎng)發(fā)起一個會話，會話的目的地址是一個內網(wǎng)的ip地址，static就把內部地址翻譯成一個指定的全局地址，允許這個會話建立。static(internal_if_name，external_if_name)outside_ip_addressinside_ip_address其中internal_if_name表示內部網(wǎng)絡接口，安全級別較高，如inside。external_if_name為外部網(wǎng)絡接口，安全級別較低，如outside等。outside_ip_address為正在訪問的較低安全級別的接口上的ip地址。inside_ip_address為內部網(wǎng)絡的本地ip地址。111編輯課件conduit管道命令前面講過使用static命令可以在一個本地ip地址和一個全局ip地址之間創(chuàng)建了一個靜態(tài)映射，但從外部到內部接口的連接仍然會被pix防火墻的自適應安全算法(ASA)阻擋。conduit命令用來允許數(shù)據(jù)流從具有較低安全級別的接口流向具有較高安全級別的接口，例如允許從外部到DMZ或內部接口的入方向的會話。對于向內部接口的連接，static和conduit命令將一起使用，來指定會話的建立。112編輯課件conduit命令配置語法conduitpermit|denyglobal_ipport[-port]protocolforeign_ip[netmask]permit|deny允許|拒絕訪問global_ip指的是先前由global或static命令定義的全局ip地址，如果global_ip為0，就用any代替0；如果global_ip是一臺主機，就用host命令參數(shù)。port指的是服務所作用的端口，例如www使用80，smtp使用25等等，我們可以通過服務名稱或端口數(shù)字來指定端口protocol指的是連接協(xié)議，比如：TCP、UDP、ICMP等。foreign_ip表示可訪問global_ip的外部ip。對于任意主機，可以用any表示。如果foreign_ip是一臺主機，就用host命令參數(shù)。113編輯課件例1.Pix525(config)#conduitpermittcphosteqwwwany這個例子表示允許任何外部主機對全局地址的這臺主機進行http訪問。其中使用eq和一個端口來允許或拒絕對這個端口的訪問。Eqftp就是指允許或拒絕只對ftp的訪問。例2.Pix525(config)#conduitdenytcpanyeqftphost9表示不允許外部主機9對任何全局地址進行ftp訪問。例3.Pix525(config)#conduitpermiticmpanyany表示允許icmp消息向內部和外部通過。114編輯課件例4.Pix525(config)#static(inside,outside)2Pix525(config)#conduitpermittcphost2eqwwwany這個例子說明static和conduit的關系。在內網(wǎng)是一臺web服務器，現(xiàn)在希望外網(wǎng)的用戶能夠通過pix防火墻得到web服務。所以先做static靜態(tài)映射：－>2（全局），然后利用conduit命令允許任何外部主機對全局地址2進行http訪問。115編輯課件配置fixup協(xié)議fixup命令作用是啟用，禁止，改變一個服務或協(xié)議通過pix防火墻，由fixup命令指定的端口是pix防火墻要偵聽的服務。例1．Pix525(config)#fixupprotocolftp21啟用ftp協(xié)議，并指定ftp的端口號為21例2．Pix525(config)#fixupprotocolhttp80Pix525(config)#fixupprotocolhttp1080

為http協(xié)議指定80和1080兩個端口。例3．Pix525(config)#nofixupprotocolsmtp80

禁用smtp協(xié)議。116編輯課件telnet從內網(wǎng)telnet：telnet55inside從外網(wǎng)需要使用IPSECVPN117編輯課件防火墻的不足無法發(fā)現(xiàn)和阻止對合法服務的攻擊；無法發(fā)現(xiàn)和阻止源自其它入口的攻擊；無法發(fā)現(xiàn)和阻止來自內部網(wǎng)絡的攻擊；無法發(fā)現(xiàn)和阻止來自特洛伊木馬的威脅；118編輯課件繞過防火墻的攻擊穿過防火墻的攻擊行為IIS4.0和IIS5.0在Unicode字符解碼的實現(xiàn)中存在一個安全漏洞，導致用戶可以遠程通過IIS執(zhí)行任意命令。當IIS打開文件時，如果該文件名包含unicode字符，它會對其進行解碼，如果用戶提供一些特殊的編碼，將導致IIS錯誤的打開或者執(zhí)行某些web根目錄以外的文件。119編輯課件據(jù)統(tǒng)計80%的成功攻擊來自于防火墻內部！120編輯課件入侵檢測技術通過對計算機網(wǎng)絡或計算機系統(tǒng)中若干關鍵點信息的收集和分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略行為和被攻擊跡象的一種安全技術。121編輯課件入侵檢測的作用檢測防護部分阻止不了的入侵檢測入侵的前兆入侵事件的歸檔網(wǎng)絡受威脅程度的評估幫助從入侵事件中恢復122編輯課件防火墻與入侵檢測防火墻屬于信息保障的保護環(huán)節(jié)門禁系統(tǒng)入侵檢測屬于信息保障的檢測環(huán)節(jié)監(jiān)控系統(tǒng)123編輯課件入檢測檢測歷史入侵檢測的發(fā)源1980，JamesAnderson

提出入侵檢測的設想1987，DorothyDenning提出入侵檢測系統(tǒng)抽象模型主機入侵檢測1988，出現(xiàn)一批基于主機審計信息的入侵檢測系統(tǒng)網(wǎng)絡入侵檢測1990，開始出現(xiàn)基于網(wǎng)絡數(shù)據(jù)的入侵檢測系統(tǒng)入侵檢測的新技術與新方法致力于提高入侵檢測系統(tǒng)的可伸縮性、可維護性、容錯性。一些新的思想，如免疫、信息挖掘引入到入侵檢測領域124編輯課件入侵檢測的核心任務攻擊者進行攻擊的時候會留下痕跡，這些痕跡和系統(tǒng)正常運行的時候產(chǎn)生的數(shù)據(jù)混在一起。入侵檢測的任務就是從混合的數(shù)據(jù)中找出入侵的痕跡并作出響應。125編輯課件通用入侵檢測框架CIDF體系結構：闡述了一個標準的IDS的通用模型組件通信：定義了IDS組件之間進行通信的標準協(xié)議語言規(guī)范：定義了一個用來描述各種檢測信息的標準語言編程接口：提供了一整套標準的應用程序接口126編輯課件CIDF體系結構127編輯課件CIDF組件事件產(chǎn)生器（Eventgenerators）事件分析器（Eventanalyzers）事件數(shù)據(jù)庫（Eventdatabases）響應單元（Responseunits）128編輯課件事件產(chǎn)生器數(shù)據(jù)獲取主機入侵檢測：系統(tǒng)審計記錄，應用程序日志網(wǎng)絡入侵檢測：網(wǎng)絡流量復合型入侵檢測：其它安全產(chǎn)品的數(shù)據(jù)，如防火墻的事件記錄129編輯課件事件分析器數(shù)據(jù)分析模式匹配統(tǒng)計分析130編輯課件事件數(shù)據(jù)庫數(shù)據(jù)管理保存事件信息，包括正常事件和入侵事件用來存儲臨時處理數(shù)據(jù)，扮演各個組件之間的數(shù)據(jù)交換中心131編輯課件響應單元行為響應主動響應：自動干涉入侵，如切斷懷疑可能是攻擊行為的TCP連接，與防火墻聯(lián)動操作阻塞后續(xù)的數(shù)據(jù)包，甚至向被懷疑是攻擊來源的主機發(fā)動反擊被動響應：僅僅啟動告警機制，向管理員提供信息，由管理員采取相應行動132編輯課件信息收集技術系統(tǒng)日志文件日志文件中記錄了各種行為類型，每種類型又包含不同的信息，例如記錄“用戶活動”類型的日志，就包含登錄、用戶ID改變、用戶對文件的訪問、授權和認證信息等方面的內容以用戶活動為例，不正常的或不期望的行為就是重復登錄失敗、登錄到不期望的位置以及非授權的訪問企圖等等。133編輯課件信息收集技術網(wǎng)絡流量遠程的網(wǎng)絡攻擊伴隨著攻擊數(shù)據(jù)的發(fā)送，比如掃描、口令攻擊、遠程的緩沖區(qū)溢出、腳本攻擊、假消息攻擊等。另外一些攻擊可能使網(wǎng)絡流量產(chǎn)生異常，比如特洛伊木馬、服務拒絕等等。134編輯課件信息收集技術系統(tǒng)目錄和文件的異常變化入侵者經(jīng)常替換、修改和破壞他們獲得訪問權的系統(tǒng)上的文件，同時為了隱藏系統(tǒng)中他們的表現(xiàn)及活動痕跡，都會盡力去替換系統(tǒng)程序或修改系統(tǒng)日志。目錄和文件中的不期望的改變（包括修改、創(chuàng)建和刪除），特別是那些正常情況下限制訪問的，很可能就是一種入侵產(chǎn)生的指示和信號。135編輯課件信息收集技術程序執(zhí)行中的異常行為針對程序漏洞的攻擊，常導致程序產(chǎn)生異常的行為，如發(fā)生緩沖區(qū)溢出，進行權限提升等。136編輯課件信息分析技術信息分析技術的技術指標誤報率漏報率常用的信息分析技術包括模式匹配（基于知識的檢測）統(tǒng)計分析（基于行為的檢測）137編輯課件模式匹配過程：監(jiān)控特征提取匹配判定138編輯課件模式匹配的特點前提：所有的入侵行為都有可被檢測到的特征特點：系統(tǒng)負擔小準確度高不能檢測未知的入侵139編輯課件統(tǒng)計分析過程：監(jiān)控量化比較判定

修正140編輯課件統(tǒng)計分析的特點前提入侵是異?；顒拥淖蛹?/p>

特點：測系統(tǒng)能針對用戶行為的改變進行自我調整和優(yōu)化能檢測到未知的入侵和更為復雜的入侵對系統(tǒng)資源消耗大系統(tǒng)誤報相對比較高，且不能適應用戶正常行為的突然改變。141編輯課件入侵檢測部署目標：檢測整個網(wǎng)絡信息142編輯課件共享網(wǎng)絡的入侵檢測部署IDSSensorConsoleHUBMonitoredServers143編輯課件交換網(wǎng)絡的入侵檢測部署IDSSensorConsole通過端口鏡像實現(xiàn)（SPAN/PortMonitor）SwitchMonitoredServers144編輯課件分段網(wǎng)絡的部署在一個分段的網(wǎng)絡中，應保證IDS的探測器可以監(jiān)聽到所有網(wǎng)絡數(shù)據(jù)IDSSensorConsoleIDSSensorSwitchMonitoredServersMonitoredServersRouter145編輯課件發(fā)展趨勢分析技術的改進內容恢復和網(wǎng)絡審計功能的引入集成網(wǎng)絡分析和管理功能安全性和易用性的提高改進對大數(shù)據(jù)量網(wǎng)絡的處理方法防火墻聯(lián)動功能入侵防護系統(tǒng)（IPS）146編輯課件IPS147編輯課件TCP/IP協(xié)議棧對應的VPN協(xié)議148編輯課件VPN技術及應用簡介-IPSECIPSEC協(xié)議簡介（RFC2401－2409等）IPSec（網(wǎng)絡安全協(xié)議）協(xié)議是一個協(xié)議集而不是一個單個的協(xié)議；IPSec協(xié)議給出了應用于IP層上網(wǎng)絡數(shù)據(jù)安全的一整套體系結構；自1995年IPSec的研究工作開始以來，IETF組織已經(jīng)積累了大量的標準文件集（RFC）。149編輯課件VPN技術及應用簡介-IPSECIPSec協(xié)議的組成IPSec協(xié)議包括AH協(xié)議、ESP協(xié)議、密鑰管理協(xié)議（IKE協(xié)議）和用于網(wǎng)絡驗證及加密的一些算法等。IPSec規(guī)定了如何在對等層之間選擇安全協(xié)議、確定安全算法和密鑰交換，向上提供了訪問控制、數(shù)據(jù)源驗證、數(shù)據(jù)加密等網(wǎng)絡安全服務。150編輯課件IPSec基本原理對報文進行安全封裝后再在不可信賴網(wǎng)絡上傳輸并檢查和解除接收到的報文的安全封裝IPSEC隧道報文封裝報文解封AB151編輯課件VPN技術及應用簡介-IPSECIPSec認證－AH協(xié)議其使用的包頭號放在標準的IPv4和IPv6包頭和下一個高層協(xié)議幀（如TCP、UDP、ICMP、ESP等）之間；國際IANA機構分配給AH的協(xié)議號為51。IPv4包頭AH包頭高層協(xié)議AH協(xié)議提供數(shù)據(jù)的認證服務；保證數(shù)據(jù)在傳輸過程中沒有被改變或破壞，數(shù)據(jù)的順序也沒有很大變化。152編輯課件VPN技術及應用簡介-IPSECIPSec加密－ESP協(xié)議其使用的包頭號放在標準的IPv4和IPv6包頭和下一個高層協(xié)議幀（如TCP、UDP、ICMP等）之間。國際IANA機構分配給ESP的協(xié)議號為50。IPv4包頭ESP包頭高層協(xié)議ESP協(xié)議為IP數(shù)據(jù)包提供機密性、數(shù)據(jù)源驗證、抗重播以及數(shù)據(jù)完整性等安全服務。153編輯課件安全聯(lián)盟（SA）安全聯(lián)盟簡稱SA，是構成IPSec的基礎。SA是兩個通信實體經(jīng)協(xié)商建立起來的一種協(xié)定。SA是單向的，雙向的通信需要兩個SA。主機A主機BSA（out）SA（in）SA（in）SA（out）共享相同的加密參數(shù)共享相同的加密參數(shù)154編輯課件安全聯(lián)盟（SA）SA是安全策略通常用一個三元組唯一的表示：<SPI，IP目的地址，安全協(xié)議標識符>SPI：安全參數(shù)索引(SecurityParametersIndex)，說明用SA的IP頭類型，它可以包含認證算法、加密算法、用于認證加密的密鑰以及密鑰的生存期；IP目的地址：指定輸出處理的目的IP地址，或輸入處理的源IP地址；安全協(xié)議標識符：指明使用的協(xié)議是AH還是ESP或者兩者同時使用。155編輯課件安全關聯(lián)數(shù)據(jù)庫SADSAD存放著和安全實體相關的所有SA，每個SA由三元組索引。一個SAD條目包含下列域：序列號計數(shù)器：32位整數(shù)，用于生成AH或ESP頭中的序列號；序列號溢出標志：標識是否對序列號計數(shù)器的溢出進行審核；抗重發(fā)窗口：使用一個32位計數(shù)器和位圖確定一個輸入的AH或ESP數(shù)據(jù)包是否是重發(fā)包；IPSec協(xié)議操作模式：傳輸或隧道；AH的認證算法和所需密鑰；ESP的認證算法和所需密鑰；ESP加密算法，密鑰，初始向量（IV）和IV模式；路徑最大傳輸單元；進出標志；SA生存期狀態(tài)。156編輯課件安全策略數(shù)據(jù)庫SPDSPD決定了對數(shù)據(jù)包提供的安全服務，所有IPSec實施方案的策略都保存在該數(shù)據(jù)庫中。IP包的處理過程中，系統(tǒng)要查閱SPD，每一個數(shù)據(jù)包，都有三種可能的選擇：丟棄、繞過IPSec或應用IPSec:丟棄：根本不允許數(shù)據(jù)包離開主機穿過安全網(wǎng)關；繞過：允許數(shù)據(jù)包通過，在傳輸中不使用IPSec進行保護；應用：在傳輸中需要IPSec保護數(shù)據(jù)包，對于這樣的傳輸SPD必須規(guī)定提供的安全服務、所使用的協(xié)議和算法等等。157編輯課件IPSec對數(shù)據(jù)包的處理TCP層產(chǎn)生的或者需要轉發(fā)的數(shù)據(jù)包安全關聯(lián)？處理策略？查詢SPD丟棄繞過IPSec應用IPSec，查詢SADSA不存在或SA無效進行IPSec處理添加IPSec頭SA有效添加IP頭，送到IP層發(fā)送隊列返回丟棄數(shù)據(jù)包，記錄出錯信息

協(xié)商成功？啟動IKE協(xié)商否是158編輯課件SA的管理SA管理的兩大任務創(chuàng)建先協(xié)商SA參數(shù)，再用SA更新SADB刪除SA管理方式手工進行通過Internet密鑰交換協(xié)議來完成，如IKE159編輯課件IPSec兩種安全機制IPSec提供了兩種安全機制：認證和加密。認證機制使IP通信的數(shù)據(jù)接收方能夠確認數(shù)據(jù)發(fā)送方的真實身份以及數(shù)據(jù)在傳輸過程中是否遭篡改；加密機制通過對數(shù)據(jù)進行編碼來保證數(shù)據(jù)的機密性，以防數(shù)據(jù)在傳輸過程中被竊聽。AH定義了認證的應用方法，提供數(shù)據(jù)源認證和完整性保證；ESP定義了加密和可選認證的應用方法，提供可靠性保證。IKE的作用是協(xié)助進行安全管理，它在IPSec進行處理過程中對身份進行鑒別，同時進行安全策略的協(xié)商和處理會話密鑰的交換工作。160編輯課件IP認證包頭AHAH協(xié)議提供無連接的完整性、數(shù)據(jù)源認證和抗重發(fā)保護服務，但不提供保密性服務。它能保護通信免受篡改，但不能防止竊聽，適用于傳輸非機密數(shù)據(jù)。AH在每一個數(shù)據(jù)包上添加一個身份驗證包頭。

IP頭IPSecAH頭傳輸層頭（TCP/UDP）數(shù)據(jù)

下一個包頭長度保留安全參數(shù)索引(SPI)序列號認證數(shù)據(jù)161編輯課件AH包頭字段下一個包頭(NextHeader，8位)：標識緊跟AH頭后面使用IP協(xié)議號的包頭；載荷長度(PayloadLen，8位)：AH包頭長度；保留（Reserved，16位）：為將來的應用保留，（目前為0）；安全參數(shù)索引(SPI，32位)：與目的IP地址一同標識SA；序列號(SequenceNumberField，32位)：從1開始的32位單增序列號，不允許重復，唯一地標識每一個發(fā)送的數(shù)據(jù)包，為SA提供反重發(fā)保護。認證數(shù)據(jù)(AuthenticationData，長度可變)：包含完整性檢查和。162編輯課件VPN技術及應用簡介-IPSEC通道模式的AH報文163編輯課件IP封裝安全負載ESPESP為IP包提供完整性檢查、認證和加密。它使用HMAC-MD5或HMAC-SHA-1算法對IP進行認證。為了保證各種IPSec之間實現(xiàn)互操作性，目前ESP必須提供對56位DES算法的支持。ESP可以單獨使用，也可以和AH結合使用。

安全參數(shù)索引序列號

（SPI）IP頭IPSecESP頭傳輸層頭（TCP/UDP）數(shù)據(jù)ESP尾ESP認證尾

認證數(shù)據(jù)

填充域填充域下一個長度包頭

164編輯課件ESP包頭字段安全參數(shù)索引SPI(SecurityParametersIndex)：同AH；序列號(SequenceNumber)：同AH；填充域(Padding)：0-255個字節(jié)。用來保證加密數(shù)據(jù)部分滿足塊加密的長度要求，若數(shù)據(jù)長度不足，則填充；填充域長度(PaddingLength)：接收端根據(jù)該字段長度去除數(shù)據(jù)中的填充位；下一個包頭(NextHeader)：同AH；認證數(shù)據(jù)(AuthenticationData)：包含完整性檢查和。完整性檢查部分包括ESP包頭、傳輸層協(xié)議、數(shù)據(jù)和ESP包尾，但不包括IP包頭，因此ESP不能保證IP包頭不被篡改。ESP加密部分包括傳輸層協(xié)議、數(shù)據(jù)和ESP包尾。165編輯課件VPN技術及應用簡介-IPSEC通道模式的ESP報文166編輯課件VPN技術及應用簡介-IPSEC通道模式的AH、ESP混合報文167編輯課件IPSec的兩種模式傳輸模式AH和ESP保護的是傳輸頭；AH和ESP會攔截從傳輸層到網(wǎng)絡層的數(shù)據(jù)包，根據(jù)具體的配置提供安全保護。主要用于主機－主機的VPN應用。隧道模式用于數(shù)據(jù)包的最終目的地不是安全終點的情況下。主要用于網(wǎng)關－網(wǎng)關的VPN應用。168編輯課件VPN技術及應用簡介-IPSEC傳輸模式下IPSec數(shù)據(jù)包格式AH＋ESPESPAHIP頭AH(51)網(wǎng)絡載荷加密通道IP頭ESP(50)網(wǎng)絡載荷IP頭AH(51)ESP(50)網(wǎng)絡載荷169編輯課件VPN技術及應用簡介-IPSEC隧道模式下IPSec數(shù)據(jù)包格式AH＋ESPESPAH新IP頭AH(51)上層協(xié)議原IP頭新IP頭ESP(50)上層協(xié)議原IP頭新IP頭AH(51)ESP(50)上層協(xié)議原IP頭加密通道對一個IP報文進行封裝，在原有的IP頭前，又添加一個新的IP報頭的協(xié)議，就像隧道一樣保護原來的IP報文。從而隱藏了網(wǎng)絡的相關信息。170編輯課件AH傳輸模式171編輯課件AH隧道模式172編輯課件ESP傳輸模式173編輯課件ESP隧道模式174編輯課件VPN技術及應用簡介-IKE什么是IKE（RFC2407、2408、2409、2410…）IKE（InternetKeyExchange）是一個密鑰協(xié)商協(xié)議；IKE提供了身份認證，協(xié)商信息的保護，并為IPSec等安全協(xié)議進行安全聯(lián)盟的協(xié)商。IKE是一個通用的協(xié)議，它不僅可以為IPSec協(xié)商安全參數(shù)，也可以為其它的協(xié)議協(xié)商安全參數(shù)。175編輯課件VPN技術及應用簡介-IKEUDP報文，端口號500。對于不同消息，payload內容不同。

IPudpisakmppayloadIKE的報文格式176編輯課件VPN技術及應用簡介-IKE端口：UDP500、4500用處：為IPSec協(xié)商SA兩個階段：第一階段為IKE本身協(xié)商SA；第二階段為IPSec協(xié)商SA三種模式：主模式（身份保護）、野蠻模式，對應第一階段；快速模式，對應第二階段。177編輯課件VPN技術及應用簡介-IKEIKE協(xié)商機制第一階段，協(xié)商創(chuàng)建一個通信信道(ISAKMPSA)，并對該信道進行驗證，為雙方進一步的IKE通信提供機密性、消息完整性以及消息源驗證服務——密鑰協(xié)商階段(6個步驟)第二階段，使用已建立的ISAKMPSA建立IPSecSA，一個ISAKMPSA可以用于建立多個IPSecSA。(3個步驟)178編輯課件VPN技術及應用簡介-IKE第一階段消息1——初始階段，發(fā)起方發(fā)送消息1，攜帶SA、Proposal、Transform等Payload（如自己所支持的算法等信息）。消息2——接收端收到消息1，從中選擇自己所支持的proposal，返回響應消息2。179編輯課件VPN技術及應用簡介-IKE消息3——發(fā)起方隨機選取一個Nonce值如x，并計算gx，發(fā)送消息。消息4——接收方收到消息3，隨機選取一個Nonce值如y，并計算gy，發(fā)響應消息。主密鑰產(chǎn)生：發(fā)起端：(gy)x=gxy接收端：(gx)y=gxy密鑰材料產(chǎn)生——由主密鑰推導出用于后面階段的密鑰材料。180編輯課件VPN技術及應用簡介-IKE消息5——發(fā)起端根據(jù)密鑰材料加密消息，發(fā)送帶有身份信息的消息給對端。消息6——接收端收到消息，解密該消息，獲取對方的身份信息，然后發(fā)送響應報文，并攜帶自己的身份信息。身份認證——通過兩個消息，身份認證若通過，則第一階段即成功了。此時已經(jīng)建立了用于密鑰交換的安全的通道。181編輯課件VPN技術及應用簡介-IKE第二階段（快速模式）消息1——發(fā)起端發(fā)送加密的消息，攜帶自己支持的proposal、transform等。消息2——接收端收到消息，解密該消息，選擇自己所支持的，發(fā)響應報文。消息3——發(fā)起端收到接收端的消息后，發(fā)響應報文。此時，兩端第二階段完成協(xié)商，SA成功建立起來。182編輯課件階段一身份保護模式183編輯課件階段一（說明）在消息(1)中，發(fā)起者生成他認為適當?shù)陌踩岚噶斜?，提交給響應方。消息(2)中，響應者與本地策略進行匹配和選擇之后，將最終決定的安全聯(lián)盟內容同樣用相應載荷回送發(fā)起者。在消息(3)、(4)中，發(fā)起者和響應者交換DH公開值，和隨機信息串nonce，在第四步完成時，雙方已經(jīng)可以經(jīng)計算得出共享的DH公共值，以及各自計算出SKEYID和相關衍生密鑰。消息(5)和消息(6)中，雙方使用前兩步得出的加密、驗證算法和密鑰保護傳輸?shù)臄?shù)據(jù)。當采用數(shù)字簽名的身份驗證方法時，消息(5)和(6)可以包含證書載荷，將自己的公鑰證書發(fā)給對方，驗證數(shù)據(jù)AUTHDATA就是數(shù)字簽名的運算結果，在這里數(shù)字證書也可以是從有效的遠程有效的認證中心通過LDAP、DNSSEC等協(xié)議獲得。184編輯課件第二階段的3個步驟發(fā)起者（客戶端）響應者（服務器端）HDR、散列、SA…HDR、散列、SA…步驟1步驟2SA、寫IPSecSA、寫IPSec步驟3快速模式協(xié)商發(fā)起方在收到響應方的“已連接”消息后，將SA加入自己的IPSecSADB數(shù)據(jù)庫。將SA加入自己的IPSecSADB數(shù)據(jù)庫。IKESA是雙向的，雙方都可以發(fā)起一次快速模式交換。185編輯課件第一階段的6個步驟發(fā)起者（客戶端）響應者（服務器端）HDR、SAHDR、SA步驟1步驟2HDR、KE、NonceHDR、KE、Nonce步驟3步驟4HDR、ID、散列HDR、ID、散列步驟5步驟6預共享密鑰方式、主模式協(xié)商KE：KeyExchangeDH：Diffie-HellmanNonce：隨機數(shù)協(xié)商IKESA的各項參數(shù),并對交換的其余部分擬定規(guī)范。交換DH公共值以及偽隨機nonce。完成DH交換,并生成SKEYID狀態(tài)。標定自己的身份,并相互交換驗證散列摘要。186編輯課件第一階段的6個步驟發(fā)起者（客戶端）響應者（服務器端）HDR、SAHDR、SA步驟1步驟2HDR、KE、NonceHDR、KE、Nonce步驟3步驟4HDR、ID、［Cert］HDR、ID、［Cert］步驟5步驟6數(shù)字簽名方式、主模式協(xié)商187編輯課件第一階段的6個步驟發(fā)起者（客戶端）響應者（服務器端）HDR、SAHDR、SA步驟1步驟2HDR、KE、｛ID｝pub_r，｛Ni｝pub_rHDR、KE、｛ID｝pub_I，｛Nr｝pub_r步驟3步驟4HDR、散列HDR、散列步驟5步驟6公鑰加密方式、主模式協(xié)商188編輯課件隧道建立中易出錯的階段階段一的步驟1協(xié)商算法不一致階段一的步驟5預共享密鑰不一致公鑰過期沒有私鑰沒有CA證書證書ID不一致階段二的步驟7算法不匹配子網(wǎng)不一致189編輯課件IPSEC協(xié)議集回顧IPsec基本原理對報文進行安全封裝后再在不可信賴網(wǎng)絡上傳輸并檢查和解除接收到的報文的安全封裝IPSec認證－AH協(xié)議IPSec加密－ESP協(xié)議安全聯(lián)盟簡稱SA，是構成IPSec的基礎IKE（InternetKeyExchange）是一個密鑰協(xié)商協(xié)議；190編輯課件IPSec技術疑難穿越NAT問題關于MTU問題？191編輯課件IPSec為啥不能穿越NATNAT只對TCP、UDP、ICMP有效，IPSec報文是AH、ESP協(xié)議的，因此NAT無法正確處理這兩類的報文，導致IPSec報文無法穿透NAT設備。AH的目的是保護IP頭部中不變的區(qū)域(包括地址域)，而NAT必須轉換地址，從而使AH完整性檢驗失效。因此，NAT和AH從根本上就是不兼容的。在I