信息安全與技術清華大學出版社信息安全與技術清華大學出版社第8章網(wǎng)絡防御技術本章介紹IPSec的必要性，IPSec中的AH協(xié)議和ESP協(xié)議，介紹防火墻的基本概念、分類、實現(xiàn)模型以及VPN的解決方案等。第8章網(wǎng)絡防御技術本章介紹IPSec的必要性，IPSec中第1節(jié)網(wǎng)絡安全協(xié)議一、網(wǎng)絡體系結構針對現(xiàn)存網(wǎng)絡的不同的體系結構分層有不同的方法，ISO的七層OSI體系結構（物理層、鏈路層、網(wǎng)絡層、傳輸層、會話層、表示層、應用層），TCP/IP的四層體系結構（網(wǎng)絡接口層、IP層、TCP層、應用層）。第1節(jié)網(wǎng)絡安全協(xié)議一、網(wǎng)絡體系結構二、IPSec協(xié)議最初的IP協(xié)議是沒有任何安全措施的。IP數(shù)據(jù)報含有諸如源地址、目的地址、版本、長度、生存周期、承載協(xié)議、承載數(shù)據(jù)等字段。雖然其擁有“首部校驗和”這樣的字段來提供極其簡單的完整性功能，但無力抗拒對數(shù)據(jù)的意外或者故意修改，也無力抗拒對所有報頭字段的惡意修改，也無法阻止信息泄露等問題。為了加強互聯(lián)網(wǎng)的安全性，從1995年開始，IETF著手制定了用以保護IP層通訊的IPSec協(xié)議來保證本層的安全。IPSec是IPv6的組成部分，也是IPv4的可選擴展協(xié)議。二、IPSec協(xié)議“Internet協(xié)議安全性(IPSec)”是一種開放標準的框架結構，通過使用加密的安全服務以確保在Internet協(xié)議(IP)網(wǎng)絡上進行保密而安全的通訊。Microsoft?Windows?2000、WindowsXP和WindowsServer2003家族實施IPSec是基于“Internet工程任務組(IETF)”IPSec

工作組開發(fā)的標準。“Internet協(xié)議安全性(IPSec)”是一種開放標信息安全與技術ppt課件08(清華大學)IPSec協(xié)議定義了一種標準的、健壯的以及包容廣泛的機制，可用它為網(wǎng)絡層提供安全保證。IPSec能為IPv4和IPv6提供具有較強的具有互操作能力、高質(zhì)量和基于密碼的安全功能，在IP層實現(xiàn)多種安全服務。包括訪問控制、數(shù)據(jù)完整性、機密性等。IPSec協(xié)議定義了一種標準的、健壯的以及包容廣泛的機制，可IPSec協(xié)議簇包括兩個安全協(xié)議：AH協(xié)議和ESP協(xié)議。AH協(xié)議（AuthenticationHeader，驗證頭協(xié)議）可以證明數(shù)據(jù)的起源地（即源IP）、承載數(shù)據(jù)的完整性以及防止相同數(shù)據(jù)包在因特網(wǎng)重播。ESP協(xié)議（EncapsulatingSecurityPayload，封裝安全載荷協(xié)議）具有AH的大部分功能，還可以利用加密技術保障數(shù)據(jù)機密性。IPSec協(xié)議簇包括兩個安全協(xié)議：AH協(xié)議和ESP協(xié)議。AH在介紹AH和ESP這兩種具體的IPSec子協(xié)議之前我們首先要介紹兩個內(nèi)容：IPSec協(xié)議的兩種實現(xiàn)方式和安全關聯(lián)的概念1.IPSec的實現(xiàn)方式IPSec協(xié)議有兩種實現(xiàn)方式：傳輸模式和隧道模式。在介紹AH和ESP這兩種具體的IPSec子協(xié)議之前我們首先要信息安全與技術ppt課件08(清華大學)信息安全與技術ppt課件08(清華大學)2.安全關聯(lián)及其建立安全關聯(lián)（SA，SecurityAssociation），是IPSec的重要概念。我們后面介紹AH協(xié)議和ESP協(xié)議的時候大家會看到，這些協(xié)議運行的時候需要消息驗證hash算法和對稱密鑰加密算法，而采用何種算法、密鑰，在進行通訊之前都是需要明確的。這些IPSec通訊所必須的參數(shù)是安全關聯(lián)要有的數(shù)據(jù)內(nèi)容，存儲這些數(shù)據(jù)的數(shù)據(jù)結構將會以安全參數(shù)索引（SPI，SecurityParametersIndex）來標定。給定一個安全關聯(lián)，除了能決定SPI之外，還能決定通訊的目的IP和使用何種協(xié)議（AH還是ESP）；反之，給出這三項數(shù)據(jù)也可以唯一決定一個安全關聯(lián)。2.安全關聯(lián)及其建立安全關聯(lián)存儲著保證IPSec通訊的關鍵數(shù)據(jù)，為了保障安全，通訊參與者在協(xié)商和交換這些數(shù)據(jù)時需要有安全的渠道。換句話說，有了安全關聯(lián)，IPSec可以提供安全的數(shù)據(jù)交流了，但誰來保證建立安全關聯(lián)時所必須的數(shù)據(jù)安全通訊？IPSec協(xié)議采用了一個現(xiàn)成的IKE協(xié)議來建立安全關聯(lián)。安全關聯(lián)存儲著保證IPSec通訊的關鍵數(shù)據(jù)，為了保障安全，通IKE協(xié)議是互聯(lián)網(wǎng)工程任務組（IETF，InternetEngineeringTaskForce）定義的一種由ISAKMP、Oakley和SKEME組成的專供交換安全關聯(lián)這類敏感數(shù)據(jù)的協(xié)議。其中，Oakley協(xié)議采用了Diffei-Hellman密鑰交換算法保證了信息的安全交換，IKE協(xié)議的運行首先使用Oakley協(xié)議建立一個“安全關聯(lián)的安全關聯(lián)”。然后通過SKEME協(xié)議完成安全關聯(lián)本身需要數(shù)據(jù)的協(xié)商與交換。所有數(shù)據(jù)都在ISAKMP（InternetSecurityAssociationandKeyManagementProtocol）協(xié)議規(guī)定的框架下進行交換。IKE協(xié)議是互聯(lián)網(wǎng)工程任務組（IETF，InternetE3.AH協(xié)議IPSec的子協(xié)議頭認證協(xié)議AH，為IP報文提供數(shù)據(jù)完整性校驗和身份驗證，還具備防重放攻擊能力。不過AH協(xié)議不對受其保護的IP數(shù)據(jù)報的任何部分進行加密。AH的協(xié)議分配號為51。3.AH協(xié)議信息安全與技術ppt課件08(清華大學)AH協(xié)議頭主要包含以下字段：（1）下一報頭（8位）：這個報頭之后的報頭類型（2）載荷長度（8位）：以32位為單位的AH頭長度減2。比如說，若身份驗證數(shù)據(jù)為96位的話，AH頭將一共6個32位字。則該段數(shù)值為6-2=4。（3）保留（16位）：供將來使用，目前協(xié)議規(guī)定這個字段應該被置為0.（4）安全參數(shù)索引（SPI，32位）：聯(lián)合協(xié)議類型、目的IP決定數(shù)據(jù)包屬于哪個SA，以決定如何處理。（5）序列號（32位）：一個單調(diào)遞增的計數(shù)器值。（6）驗證數(shù)據(jù)：存放可實現(xiàn)對整個數(shù)據(jù)包的完整性檢查的消息驗證碼，比如可以采用HMAC-MD5-96、HMAC-SHA-1-96之類的算法計算出整個IP數(shù)據(jù)包的消息驗證碼存放于此字段，供信宿端驗證。如何處理由安全關聯(lián)決定。長度可變，取決于采用何種消息驗證算法。AH協(xié)議頭主要包含以下字段：AH協(xié)議通過設置的驗證數(shù)據(jù)字段實現(xiàn)對數(shù)據(jù)和其來源完整性的驗證。當接收端進行AH處理時可以通過計算消息驗證碼來驗證整個數(shù)據(jù)包是否被修改過。這意味著除了能保證載荷數(shù)據(jù)的完整之外，也保證了源IP地址的正確，從而確定數(shù)據(jù)包的數(shù)據(jù)與來源完整性。AH協(xié)議通過序列號字段實現(xiàn)防止重播的功能。此種功能的開啟需要使用者選擇是否啟用抗重放功能。如果該功能不啟用，協(xié)議處理程序?qū)π蛄刑栕侄尾挥枥頃?。若開啟抗重放功能則信宿端將通過設置接受窗口和標記已接受數(shù)據(jù)包這些類似TCP協(xié)議處理的功能進行是否重播檢查，并且會丟棄重播的數(shù)據(jù)包。另外，如果采用了抗重放處理，序號將從0開始，單調(diào)遞增，但不會從232-1循環(huán)到0。當序號達到232-1的時候，相應的安全關聯(lián)將被終止，如果還需要繼續(xù)通訊的話則需要重新建立安全關聯(lián)。AH協(xié)議通過設置的驗證數(shù)據(jù)字段實現(xiàn)對數(shù)據(jù)和其來源完整性的驗證4.ESP協(xié)議ESP為IP報文提供數(shù)據(jù)完整性校驗、身份驗證、數(shù)據(jù)加密以及重放攻擊保護。就是說，除了AH協(xié)議提供的大部分功能以外，ESP協(xié)議還提供對載荷數(shù)據(jù)的機密性服務。ESP協(xié)議的分配號為50。4.ESP協(xié)議ESP頭主要包含以下字段。（1）安全參數(shù)索引（SPI，32位）：聯(lián)合協(xié)議類型、目的IP決定屬于哪個SA，以決定如何處理。（2）序列號（32位）：單調(diào)遞增的計數(shù)器值。（3）加密數(shù)據(jù)載荷：加密內(nèi)容包含原來IP數(shù)據(jù)包的有效載荷和填充數(shù)據(jù)?？梢赃x取不同的加密算法，例如DES、3-DES、RC5、IDEA等等。（4）填充項：長度可以是0~255個字節(jié)。保證加密數(shù)據(jù)的長度適應分組加密算法的長度，比如64比特的整數(shù)倍。也可以用以掩蓋載荷的真實長度對抗流量分析。（6）下一報頭：這個報頭之后的報頭類型（7）驗證數(shù)據(jù)：采用驗證算法計算出來的消息驗證碼，如計算處理理由SA決定，字段長度取決于SA規(guī)定的算法。不同于AH協(xié)議，該字段是可選的，就是說用戶可以根據(jù)自己的需要而不使用ESP協(xié)議的驗證功能。ESP頭主要包含以下字段。ESP協(xié)議能夠?qū)崿F(xiàn)AH的防重播功能和驗證功能，此外還提供對載荷數(shù)據(jù)的加密功能，具有更強大的功能。通過前面的內(nèi)容我們了解到AH協(xié)議和ESP協(xié)議有不同的功能。在很多情況下，AH功能已經(jīng)能夠滿足安全的需要了。ESP由于需要使用高強度的加密算法，需要消耗更多的計算機運算資源，使用上受到一定限制。ESP協(xié)議能夠?qū)崿F(xiàn)AH的防重播功能和驗證功能，此外還提供對載三、SSL/TLS協(xié)議傳輸層是網(wǎng)絡體系結構中任務最為重要和復雜的一層，該層完成面向連接、流量及擁塞控制的任務。TCP協(xié)議保證了網(wǎng)絡上的通訊是滿足無重復、無丟包、以適宜流量進行的通訊。作為這一層上最重要的核心協(xié)議，TCP包頭上包含有源端口、目的端口、序號、確認序號、窗口等字段和URG緊急、ACK確認、PSH推送、SYN同步、RST復位、FIN終止等比特。TCP協(xié)議提供了應用程序間的有連接通訊，但不保證通訊的對象究竟是誰，無法保證通訊的保密性，無法對獲得的信息進行認證。在實際應用中，除了可以通過其下網(wǎng)絡層上的IPSec協(xié)議來實現(xiàn)某些安全功能外，也可以使用人們專門開發(fā)的傳輸層之上運行的安全套接層協(xié)議：SSL/TLS。三、SSL/TLS協(xié)議SSL/TLS協(xié)議的歷史可以追溯到1994年。這年Netscape開發(fā)了在公司內(nèi)部使用的安全套接層協(xié)議SSL1.0（SecureSocketLayer），專門用于保護Web通訊。到1996年發(fā)布了較為完善的SSL3.0。1997年IETF以其為基礎發(fā)布了傳輸層安全協(xié)議TLS1.0（TransportLayerSecurity），該協(xié)議兼容SSL3.0，也被稱為SSL3.1。同時，Microsoft宣布與Netscape一起支持TLS1.0。1999年，RFC2246正式發(fā)布，也就是TLS1.0的正式版本。由于酷似，在很多場合下都認為SSL3.0和TLS1.0等價。SSL/TLS協(xié)議的歷史可以追溯到1994年。這年NetscSSL提供的服務可以歸結為以下三個方面、（1）用戶和服務器的合法性認證。SSL協(xié)議在建立會話的時候可以驗證通訊參與者的數(shù)字證書。從而保證通訊參與者能與正確的對象進行通訊，并將數(shù)據(jù)發(fā)送到正確的機器上。（2）數(shù)據(jù)完整性保障。SSL協(xié)議采用消息驗證碼來驗證獲取數(shù)據(jù)的完整性，確保信息內(nèi)容和來源的完整性。（3）數(shù)據(jù)機密性保證。SSL協(xié)議采用加密算法來加密數(shù)據(jù)，保障數(shù)據(jù)的機密性。SSL協(xié)議本身分也為兩層。低層是SSL記錄協(xié)議層，包含SSL記錄協(xié)議；高層是SSL握手協(xié)議層，該層上有SSL握手協(xié)議、SSL報警協(xié)議、SSL改變密碼規(guī)則協(xié)議。SSL提供的服務可以歸結為以下三個方面、SSL協(xié)議的工作過程可以這樣簡單描述：首先通訊雙方使用SSL握手協(xié)議建立SSL會話，商議好加密算法、密鑰、數(shù)據(jù)壓縮方式之類的通訊安全參數(shù)，這過程中可能需要通過數(shù)字證書驗證對方身份。需要傳輸數(shù)據(jù)時則選擇會話下恰當?shù)倪B接，如果沒有，就建立新的連接。傳輸數(shù)據(jù)時要對信息進行對稱密鑰加密，并計算hash消息驗證碼供對方驗證。由于對稱密鑰加密要消耗一定量的計算資源，SSL協(xié)議一般先要按照建立會話時商定的壓縮方法將數(shù)據(jù)壓縮后再做加密處理。收到信息后則要依次做完整性驗證、解密、解壓縮的操作，最終將數(shù)據(jù)傳送給應用層。SSL協(xié)議的工作過程可以這樣簡單描述：首先通訊雙方使用SSL會話與連接SSL記錄協(xié)議SSL握手協(xié)議SSL警告協(xié)議SSL交換密碼規(guī)范議會話與連接第2節(jié)防火墻技術一、防火墻的概念防火墻被認為最初是一個建筑名詞，指的是修建在房屋之間、院落之間、街區(qū)之間，用以隔絕火災蔓延的高墻。而我們這里介紹的用于計算機網(wǎng)絡安全領域的防火墻則是指設置于網(wǎng)絡之間，通過控制網(wǎng)絡流量、阻隔危險網(wǎng)絡通信以達到保護網(wǎng)絡目的，由硬件設備和軟件組成的防御系統(tǒng)。像建筑防火墻阻擋火災、保護建筑一樣，它有阻擋危險流量、保護網(wǎng)絡的功能。從信息保障的角度來看防火墻是一種保護（protect）手段。第2節(jié)防火墻技術一、防火墻的概念防火墻一般都是布置于網(wǎng)絡之間的。防火墻最常見的形式是布置于公共網(wǎng)絡和企事業(yè)單位內(nèi)部的專用網(wǎng)絡之間，用以保護內(nèi)部專用網(wǎng)絡。有時候在一個網(wǎng)絡內(nèi)部也可能設置防火墻，用來保護某些特定的設備，但被保護關鍵設備的IP地址一般會和其它設備處于不同網(wǎng)段。甚至有類似大防火墻（GFWGreatFireWall）那樣保護整個國家網(wǎng)絡的防火墻。其實，只要是有必要，有網(wǎng)絡流量的地方都可以布置防火墻。防火墻一般都是布置于網(wǎng)絡之間的。防火墻最常見的形式是布置于公防火墻保護網(wǎng)絡的手段就是控制網(wǎng)絡流量。網(wǎng)絡之上的各種信息都是以數(shù)據(jù)包的形式傳遞的，網(wǎng)絡防火墻要實現(xiàn)控制流量就是要對途徑其的各個數(shù)據(jù)包進行分析，判斷其危險與否，據(jù)此決定是否允許其通過。對數(shù)據(jù)包說“Yes”或者“No”是防火墻的基本工作。不同種類的防火墻查看數(shù)據(jù)包的不同內(nèi)容，但是究竟對怎樣的數(shù)據(jù)包內(nèi)容說“Yes”或者“No”，其規(guī)則是由用戶來配置的。就是說防火墻決定數(shù)據(jù)包是否可以通過，要看用戶對防火墻查看的內(nèi)容制定怎樣的規(guī)則。防火墻保護網(wǎng)絡的手段就是控制網(wǎng)絡流量。網(wǎng)絡之上的各種信息都是用以保護網(wǎng)絡的防火墻會有不同的形式和不同的復雜程度。它可以是單一設備也可以是一系列相互協(xié)作的設備；設備可以是專門的硬件設備，也可以是經(jīng)過加固甚至只是普通的通用主機；設備可以選擇不同形式的組合，具有不同的拓撲和結構。我們會在下面的內(nèi)容中做進一步的討論。用以保護網(wǎng)絡的防火墻會有不同的形式和不同的復雜程度。它可以是二、防火墻的分類依據(jù)不同的保護機制和工作原理，人們一般將防火墻分為三類：包過濾防火墻，狀態(tài)檢測包過濾防火墻，應用服務代理防火墻。這些防火墻的功能不同，常見的實現(xiàn)方式，以及它們的性能、安全性都有不同。二、防火墻的分類包過濾防火墻狀態(tài)檢測包過濾防火墻應用服務代理防火墻包過濾防火墻三、防火墻的不同形態(tài)無論是包過濾防火墻還是狀態(tài)檢測包過濾防火墻以及應用代理服務防火墻，本身都會以一定的設備的形態(tài)出現(xiàn)。這里我們簡單看一看不同的防火墻形態(tài)。三、防火墻的不同形態(tài)1.專用硬件設備專門的硬件防火墻設備，將防火墻程序作到芯片中，防火墻還擁有專門的寄存器以存放用戶規(guī)則、連接狀態(tài)之類的信息。無論是防火墻程序還是運行所需的信息都很難被攻擊和篡改，在網(wǎng)絡攻擊面前防火墻很堅固，有很大的安全性。這是包過濾防火墻和狀態(tài)檢測包過濾防火墻常見的形式。1.專用硬件設備2.安排在特定功能的硬件設備（如路由器）上路由器一般都可以設置包過濾功能，起到一定的防火墻效果。由于不是專門的設備，實現(xiàn)防火墻功能的程序和需要的一些信息存放于路由器內(nèi)存中，程序和運行所需信息容易被攻擊和篡改，此種防火墻自身的安全性比較差，一般只是權宜之計。2.安排在特定功能的硬件設備（如路由器）上3.加固主機使用特定硬件、軟件（例如安全操作系統(tǒng)）加固的主機負擔防火墻工作。防火墻程序和需要的規(guī)則等信息都存放于機器內(nèi)存中，由于主機經(jīng)過加固，它們也不那么容易受到攻擊和篡改，安全性也比較好。雖然，由于主機有很好的通用性，此類設備可以負擔各種防火墻，但一般還是用于程序較為復雜，需要運算力較高的應用代理服務防火墻上。3.加固主機4.運行于普通通用計算機之上的軟件由于不采用任何的專門設備，雖然軟件自身一般都會采取一些安全措施，但總的來說，操作系統(tǒng)和防火墻軟件還是容易被攻擊和篡改，導致其失效。這樣形式的防火墻一般只用于單個主機、小規(guī)模網(wǎng)絡的較低安全要求應用。Windows等操作系統(tǒng)自身就帶有此類防火墻功能，一些從事網(wǎng)絡安全的軟件公司也提供這類工具，比如天網(wǎng)個人防火墻、瑞星個人防火墻、金山網(wǎng)鏢等。4.運行于普通通用計算機之上的軟件四、防火墻設備的性能指標吞吐量時延丟包率背靠背并發(fā)連接數(shù)HTTP傳輸速率和HTTP事務處理速率四、防火墻設備的性能指標五、防火墻系統(tǒng)的結構屏蔽路由器雙宿主機網(wǎng)關屏蔽單宿堡壘主機屏蔽雙宿堡壘主機屏蔽子網(wǎng)五、防火墻系統(tǒng)的結構第3節(jié)VPN技術一、VPN含義網(wǎng)絡技術的發(fā)展為人們的生產(chǎn)生活帶來了極大的便利，人類生活的很多方面越來越多的與網(wǎng)絡應用、網(wǎng)絡通訊相聯(lián)系。但是，公共網(wǎng)絡由于其開放性和低安全性并不適用于一些網(wǎng)絡應用的需要。類似電子商務、網(wǎng)絡銀行、具有多家分支結構公司的內(nèi)部通訊這樣對于安全有更高要求的業(yè)務不適合通過公共網(wǎng)絡進行通訊。而為每家公司、每種應用布設專門的網(wǎng)絡也會因為代價高昂而不切實際。為了解決這個矛盾，人們發(fā)展了VPN技術。第3節(jié)VPN技術一、VPN含義虛擬專用網(wǎng)（VirtualPrivateNetwork，VPN）指的是在公用網(wǎng)絡上建立的專用網(wǎng)絡。其具有稍微高于公共網(wǎng)絡的使用價格，基本接近于專用網(wǎng)絡的應用性能，具有極佳的性價比。虛擬專用網(wǎng)（VirtualPrivateNetwork，二、VPN的分類在這一部分，我們會從不同視角介紹不同的VPN看待方法。其實這并不完全是VPN的分類，也是要幫助大家對VPN性能的取舍做一些思辨。首先的一個視角，我們可以把VPN簡單的分為兩個大類，“專線”類和“協(xié)議”類。實際上“專線”都是需要網(wǎng)絡層以下的協(xié)議來實現(xiàn)的，而“協(xié)議”類大部分都是需要網(wǎng)絡層以上協(xié)議來實現(xiàn)的。這個視角其實是依據(jù)虛擬專用網(wǎng)采用怎樣的方式在公共網(wǎng)絡上傳輸自己的數(shù)據(jù)包來分類：是按照固定的、有一定通訊品質(zhì)保障的路線來傳輸；還是用普通公共網(wǎng)絡數(shù)據(jù)包的形式傳輸。二、VPN的分類專線類的網(wǎng)絡主要有物理專線專用網(wǎng)、虛電路虛擬專用網(wǎng)、MPLS虛擬專用網(wǎng)。1.物理專線專用網(wǎng)我們熟悉的局域網(wǎng)就是采用物理上的專門線路。采用物理專線的網(wǎng)絡，是真正的專用網(wǎng)，并非虛擬。對于小范圍的網(wǎng)絡，物理上的專線造就的專用網(wǎng)是可行的。但是更大范圍的專線，比如說跨國公司建立一個跨洲越洋的專線網(wǎng)絡——這種網(wǎng)絡的成本必然由公司自己承擔——是不現(xiàn)實的。當然，如果是類似大國軍隊這樣的機構是可能建立起稍微小型些的物理專線專用網(wǎng)絡的。物理專線的網(wǎng)絡，其時延、網(wǎng)絡自主性都很好，網(wǎng)絡安全性也比較高。但這里要提醒的一個問題是，專線的網(wǎng)絡不是就一定安全。當通訊距離較遠時，通訊線路會經(jīng)歷成百上千公里的距離，也需要若干通訊設備來維持其運行。漫長的距離，眾多設備，想要做到完全安全是很難的，惡意的竊聽者或者篡奪者總能找到可乘之機。在冷戰(zhàn)時期，美國人就曾經(jīng)使用核潛艇潛入鄂霍次克海，堪稱在蘇聯(lián)太平洋艦隊的眼皮底下成功的竊聽了其軍用海底電纜。并且在海底電纜上安置了一臺重達上千公斤的由核電池驅(qū)動、磁帶記錄數(shù)據(jù)并可持續(xù)工作一年以上的竊聽裝置，收集了大量的情報。專線類的網(wǎng)絡主要有物理專線專用網(wǎng)、虛電路虛擬專用網(wǎng)、MPLS2.虛電路VPN物理專線需要布設專門的線路與設備，花費之高昂，能用得起的機構很少。而一些數(shù)據(jù)鏈路層協(xié)議卻可以在公共網(wǎng)絡上實現(xiàn)類似的功能，一個典型的例子就是幀中繼協(xié)議。3.MPLSVPN基于數(shù)據(jù)鏈路層虛電路的VPN，會受到單一網(wǎng)絡覆蓋范圍的限制，其布置的靈活性遠達不到互聯(lián)網(wǎng)的水平。而如果使用MPLS協(xié)議則可以實現(xiàn)更廣泛范圍的“專線”VPN。2.虛電路VPN第二個視角，我們從網(wǎng)絡的應用方式、應用范圍角度來分類。據(jù)此，我們可以將VPN分為遠程接入VPN，內(nèi)聯(lián)網(wǎng)VPN、外聯(lián)網(wǎng)VPN。1.遠程接入VPN（AccessVPN）：又稱為撥號VPN（即VPDN）。是指通過公共網(wǎng)絡遠程撥號之類的方式構建的虛擬網(wǎng)，可提供對特定網(wǎng)絡資源的遠程訪問功能。適用于出差的企業(yè)員工或企業(yè)的小分支機構連接公司網(wǎng)絡。遠程接入VPN為用戶通過離散的各個遠程地點訪問特定的網(wǎng)絡資源提供了便利，有很多合適的應用場景。第二個視角，我們從網(wǎng)絡的應用方式、應用范圍角度來分類。據(jù)此，2.內(nèi)聯(lián)網(wǎng)VPN（IntranetVPN）：一個公司中地理上分布的各個機構之間建立的，用以連接同公司不同機構網(wǎng)絡中資源的虛擬專用網(wǎng)。此種網(wǎng)絡是企業(yè)內(nèi)部網(wǎng)在空間地域上的擴展。對于類似跨國公司這樣具有較多分支機構的企業(yè)是很必要的選擇。3.外聯(lián)網(wǎng)VPN（ExtranetVPN）：某產(chǎn)業(yè)的各個合作伙伴企業(yè)共同構建Extranet，將一系列公司需要彼此共享的資源進行連接的虛擬專用網(wǎng)。2.內(nèi)聯(lián)網(wǎng)VPN（IntranetVPN）：一個公司中地理三、VPN關鍵技術VPN的關鍵技術主要有隧道技術、加密技術、密鑰管理技術、身份認證技術、管理技術。隧道技術隧道技術是VPN的基本技術，可以說，沒有隧道技術就沒有VPN。作為建立于公共網(wǎng)絡上的專用網(wǎng)，VPN一般都需要跨越一定的地理距離，需要穿越公共網(wǎng)絡。如何在公共網(wǎng)絡上傳輸VPN的數(shù)據(jù)包是任何VPN需要解決的基本問題。三、VPN關鍵技術2.加密技術加密技術是VPN建設經(jīng)常選擇的可選項。一些采用“專線”形式，以及一些傳輸數(shù)據(jù)不夠重要的VPN可能對加密技術沒有特別的要求。但對于隧道協(xié)議VPN或者是對數(shù)據(jù)安全有更高要求的情況下，加密技術是必要的選擇。該技術是VPN傳輸數(shù)據(jù)保密性、完整性、抗否認性的保障。加密技術是一項較成熟的技術。傳輸數(shù)據(jù)的對稱加密，消息驗證碼，數(shù)字簽名都需要采用加密技術才可以完成。該技術是實現(xiàn)VPN安全性的核心技術。2.加密技術3.密鑰管理技術有了密碼技術，就必然會涉及到密鑰管理技術。沒有保密的密鑰，加密技術就是空耗時間做的無用功。沒有好的密鑰管理，加密技術的應用是沒有意義的。密鑰管理技術主要涉及密鑰的生成和交換。如何真正等概率隨機的在密鑰空間內(nèi)生產(chǎn)出密鑰是一個重要的事情，尤其是對那些比較重要的機密數(shù)據(jù)傳輸而言。可以在網(wǎng)絡中引入專門的加密機或者其它有硬件生產(chǎn)密鑰功能的網(wǎng)絡設備，一些較新版本的操作系統(tǒng)也有收集用戶敲擊鍵盤的時間等物理事件作為密鑰生成依據(jù)的能力。而密鑰的傳輸則一般需要類似SKIP密鑰管理協(xié)議或者ISAKMP/OAKLEY之類的專門協(xié)議支持。3.密鑰管理技術4.身份認證技術VPN一般都是為了方便內(nèi)部人士方便、安全的訪問網(wǎng)絡資源。但是部分網(wǎng)絡資源由于較為重要和敏感，需要對訪問者進行專門的甄別，這就需要用到身份識別技術。身份識別可以依照被訪問資源的重要性，以及用戶自己的需求與條件，采用不同的形式?？梢圆捎玫姆绞娇梢允呛唵蔚挠脩裘?口令方式，也可以是指紋等生物信息，也可以使用智能卡進行識別。而存儲于智能卡中，基于公鑰密碼算法和PKI的數(shù)字證書是適于廣泛應用且安全水準很高的識別手段。各個網(wǎng)絡銀行使用的“U盾”就是此類識別手段。4.身份認證技術5.管理技術一個好的VPN還需要是便于管理的。對于VPN執(zhí)行的各種安全策略，比如加密算法、訪問權限設置、日志、審計等方面需要有安全有效的管理。特別是VPN比較大和復雜的情況下。能否提供方便、有效的管理也是VPN性能的重要指標。5.管理技術四、VPN的優(yōu)點性能價格比高是VPN最大的優(yōu)點，也是VPN這種網(wǎng)絡安全手段興盛的根本原因。簡單而言，VPN具有“專用網(wǎng)的性能，公共網(wǎng)的價格”。這雖然是近似的情況，但對于廣大普通用戶是正確的。四、VPN的優(yōu)點實際上VPN由于需要做額外的處理，性能上比專用網(wǎng)要差。比如說專線模式的VPN，數(shù)據(jù)鏈路層虛電路的，傳輸性能可以和專用網(wǎng)相當，而MPLS的處理速度會稍微慢一點。而隧道協(xié)議VPN由于隧道協(xié)議的開銷，公共網(wǎng)絡的服務延遲，以及各種加密算法的開銷，性能上有較多損失。但是由于計算機和網(wǎng)絡技術的進步令公共網(wǎng)絡性能有快速的提升，對于大多數(shù)用戶的普通應用來說，這種性能上的差別是可以很容易被公共網(wǎng)絡傳輸速度的進步磨平，從而忽略不計的。從價格上來說，VPN需要向ISP申請?zhí)摂M專線，或者購置支持安全協(xié)議的網(wǎng)關設備，投資上也是要不同程度的高于僅使用公共網(wǎng)絡時的花費。但隨著VPN的普及和相關設備生產(chǎn)的進步，多投入的資金也很容易被接受。實際上VPN由于需要做額外的處理，性能上比專用網(wǎng)要差。比如說而VPN易于擴展，不需要專門的線路，只要具有恰當公共網(wǎng)絡的地方都可以布設VPN的新節(jié)點。當然這種“恰當?shù)墓簿W(wǎng)絡”是要視VPN穿越公共網(wǎng)絡方式而定的，例如MPLSVPN一般需要考慮是否同一ISP內(nèi)，而網(wǎng)絡層隧道協(xié)議VPN則基本沒有限制。VPN還通過成熟的加密技術和認證技術實現(xiàn)了更為安全的通訊，通過結合防火墻等安全措施可以保證網(wǎng)絡有更好的安全性。而VPN易于擴展，不需要專門的線路，只要具有恰當公共網(wǎng)絡的地第4節(jié)蜜罐主機與欺騙網(wǎng)絡一、蜜罐主機蜜罐主機是一種專門引誘網(wǎng)絡攻擊的資源。它被偽裝成一個有價值的攻擊目標，蜜罐主機設置的目的就是吸引別人去攻擊它。此種網(wǎng)絡設備的意義一方面在于吸引攻擊者的注意力，從而減少對真正有價值目標的攻擊。另一方面在于收集攻擊者的各種信息，從而幫助網(wǎng)絡所有者更加了解攻擊者的攻擊行為，以利于更好的防御。蜜罐主機是網(wǎng)絡中可以選擇的一種安全措施。第4節(jié)蜜罐主機與欺騙網(wǎng)絡一、蜜罐主機蜜罐主機上一般不會運行任何具有實際意義、且能產(chǎn)生通訊流量的服務。所以，任何與蜜罐主機發(fā)生的通訊流量都是可疑的。通過收集和分析這些通訊流量，可以為我們提供很多攻擊者的有意義的信息。就收集攻擊者信息的能力和本身的安全性來說，可以通過蜜罐主機的連累等級來將它們分為低連累等級蜜罐主機，中連累等級蜜罐主機，高連累等級蜜罐主機。蜜罐主機上一般不會運行任何具有實際意義、且能產(chǎn)生通訊流量的服蜜罐主機的位置選擇對其功能也是有很大影響的。蜜罐主機的位置選擇主要是相對于防火墻而言的。不同的位置選擇可以有不同的效果。就普通用戶常用的最復雜的屏蔽子網(wǎng)防火墻結構而言，蜜罐主機可以布置在：防火墻之外，DMZ區(qū)，內(nèi)部網(wǎng)絡。蜜罐主機的位置選擇對其功能也是有很大影響的。蜜罐主機的位置選二、欺騙網(wǎng)絡蜜罐主機會通過模擬某些常見的服務，常見的漏洞來吸引攻擊，使其成為一臺“牢籠”(Cage)主機。但蜜罐主機畢竟是單臺主機，本身無法控制外出的通信流。要達到這樣的目的，需要防火墻等設備配合才能對通信流進行限制。這樣便演化成一種更為復雜的網(wǎng)絡欺騙環(huán)境，被稱為欺騙網(wǎng)絡（HoneyNet）。一個典型的欺騙網(wǎng)絡包含多臺蜜罐主機以及防火墻來記錄和限制網(wǎng)絡通信流。通常還會與含入侵檢測系統(tǒng)緊密聯(lián)系，以發(fā)現(xiàn)潛在的攻擊。比較單一的蜜罐主機，欺騙網(wǎng)絡有更大的優(yōu)勢。二、欺騙網(wǎng)絡首先，欺騙網(wǎng)絡是一個網(wǎng)絡系統(tǒng)，而不是單一主機。整個系統(tǒng)隱藏在防火墻后面，可以使用各種不同的操作系統(tǒng)及設備，運行不同的服務。在欺騙網(wǎng)絡中的所有主機都可以是標準的機器，上面運行的都是真實完整的操作