1、信息安全概論,第16講 2008年x月y日,6.2 IPSec,簡介 IPSec（IP Security）工作在TCP/IP協(xié)議棧的網(wǎng)絡層。 為應用程序提供共同的安全服務和密鑰管理。 它將密碼技術應用在網(wǎng)絡層，提供發(fā)送、接收端的身份識別、數(shù)據(jù)完整性、訪問控制、以及機密性等安全服務。 IPSec是IPv6的標準協(xié)議子集，但也可在IPv4上實施。,特點 1、對IP層的所有信息進行過濾處理工作； 2、有比較好的兼容性，比高層的安全協(xié)議更靈活，比底層協(xié)議更能夠適應通信介質(zhì)的多樣性; 3、透明性好，IP層以上的所有應用都不需要經(jīng)過修改，即可獲得安全性的保障，同時終端用戶不需要了解相關安全機制就可使用；

2、4、可以輕松實現(xiàn)VPN，可以保護、確認路由信息，使路由器不會受欺騙而阻斷通信等。,6.2.1. IPSec體系結構,IPSec提供三種不同的形式來保護IP網(wǎng)絡的數(shù)據(jù)： 原發(fā)方鑒別 數(shù)據(jù)完整 機密性 IPSec通過三個基本的協(xié)議來實現(xiàn)上述三種保護 鑒別報頭（AH）協(xié)議 載荷安全封裝（ESP）協(xié)議 密鑰管理與交換協(xié)議（IKE） 鑒別報頭協(xié)議和載荷安全封裝協(xié)議可以通過分開或組合使用來達到所希望的保護等級。此外還涉及鑒別算法、加密算法和安全關聯(lián)SA等，我們在后面的部分將對這些關鍵組件進行詳細描述。它們之間的關系如圖6.2所示：,圖6.2 IPsec協(xié)議文檔關系圖,6.2.2 IPSec提供的安全服務,

3、表6.1IPSec提供的服務,6.2.3 安全關聯(lián),安全關聯(lián)的參數(shù)包括： （1）序列號計數(shù)器 （2）序列號計數(shù)器溢出標志 （3）反重放窗口 （4）AH信息 （5）ESP信息 （6）安全關聯(lián)的生存期 （7）IPSec協(xié)議模式 （8）路徑最大傳輸單元。,安全關聯(lián)（Security Association，SA）是安全策略（Security Policy）一種具體實現(xiàn)，它指定了對IP數(shù)據(jù)報提供何種保護，并以何種方式實施保護。它是發(fā)送方和接收方之間的一個單向邏輯連接，決定保護什么、如何保護以及誰來保護通信數(shù)據(jù)。如果需要雙向的安全服務，那就要建立起兩條（或更多條）安全連接，安全關聯(lián)通過指定AH或ESP協(xié)

4、議來實現(xiàn)。,6.2.4 封裝安全載荷,封裝安全載荷（Encapsulating Security Payload，ESP）協(xié)議利用加密機制為通過不可信網(wǎng)絡傳輸?shù)腎P數(shù)據(jù)提供機密性服務，同時也可以提供鑒別服務。 加密算法：DES、三重DES、RC5、IDEA，CAST等算法。 鑒別算法：NULL、MD5和SHA-1算法。 通過這些加密和鑒別機制為IP數(shù)據(jù)報提供原發(fā)方鑒別、數(shù)據(jù)完整性、反重放和機密性安全服務，可在傳輸模式和隧道模式下使用（見后文）。,ESP,安全參數(shù)索引SPI（32位）：標識一個安全關聯(lián)（SA）。 序列號（32位）：增量計數(shù)器的值，用來提供反重放與完整性服務。 載荷數(shù)據(jù)（長度可變）

5、：通過加密進行保護的數(shù)據(jù)。 填充（0255Byte）：主要用來實現(xiàn)某些加密算法對明文分組字節(jié)數(shù)的要求。 填充長度（8位）：表示填充字段的字節(jié)數(shù)。,下一報頭（8位）：通過標識有效載荷的第一個報頭來說明有效載荷數(shù)據(jù)字段中包含的數(shù)據(jù)類型。 鑒別數(shù)據(jù)（可變長）：一個可變長字段（必須是32位字的整數(shù)倍），用來填入對ESP包中除鑒別數(shù)據(jù)字段外的數(shù)據(jù)進行完整性校驗時的校驗值。該字段的默認長度是96比特。,6.2.5鑒別頭協(xié)議,鑒別報頭（Authentication Header，AH）可以保證IP分組的可靠性和完整性。其原理是將IP分組頭、上層數(shù)據(jù)和公共密鑰通過鑒別算法計算出AH報頭鑒別數(shù)據(jù)，將AH報頭數(shù)據(jù)

6、加入IP分組，接收方將收到的IP分組運行同樣的計算，并與接收到的AH報頭比較進行鑒別。 數(shù)據(jù)完整性可以對傳輸過程中的非授權修改進行檢測；鑒別服務可使末端系統(tǒng)或網(wǎng)絡設備鑒別用戶或通信數(shù)據(jù)，根據(jù)需要過濾通信量，驗證服務還可防止地址欺騙攻擊及重放攻擊。 鑒別算法：MD5和SHA-1算法。 其結構如圖所示：,AH,下一報頭（8位）：表示緊跟驗證頭的下一個頭的類型。 載荷長度（8位）：以32位字節(jié)為單位的鑒別頭長度再減去2，其缺省值為4。 保留（16位）：留作將來使用。 安全參數(shù)索引SPI（32位）：用來標識一個安全關聯(lián)。 序列號（32位）：增量計數(shù)器的值，與ESP中的功能相同。 鑒別數(shù)據(jù)（可變長）：一

7、個可變長字段（必須是32位字的整數(shù)倍），用來填入對AH包中除鑒別數(shù)據(jù)字段外的數(shù)據(jù)進行完整性校驗時的校驗值。該字段的默認長度是96比特。,6.2.6 IPSec的工作模式,IPSec的工作模式分為傳輸模式和隧道模式，AH和ESP均支持這兩種模式。如圖所示：,（1）傳輸模式主要為上層協(xié)議提供保護，用于兩臺主機之間，實現(xiàn)端到端的安全。 （2）隧道模式的安全連接實質(zhì)上是一種應用在IP隧道上的安全連接。隧道模式對整個原始數(shù)據(jù)報提供了所需的服務，常用于主機與路由器或兩臺路由器之間。 IPSec支持隧道的嵌套，即對已隧道化的數(shù)據(jù)再進行隧道化處理。,解釋域與密鑰管理,6.2.7 解釋域 它是Internet統(tǒng)

8、一協(xié)議參數(shù)分配機構（IANA）中數(shù)字分配機制的一部分，它將所有IPSec協(xié)議捆綁在一起，包括如被認可的加密、鑒別算法標識和密鑰生存周期等IPSec安全參數(shù)。 6.2.8 密鑰管理 IPSec的密鑰管理包括密鑰的確定和分配，分為手工和自動兩種方式。IPSec默認的自動密鑰管理協(xié)議是Internet密鑰交換（Internet Key Exchange，IKE），它規(guī)定了對IPSec對等實體自動驗證、協(xié)商安全服務和產(chǎn)生共享密鑰的標準。,6.3 防火墻 6.3.1 概述,6.3.1 概述,不同的網(wǎng)段、不同的局域網(wǎng)之間，就好像不同的省市、不同的國家一樣有一個邊界。通過在邊界設立邊境檢查站，并要求所有的人

9、員只能從檢查站出入邊境，就可以檢查、控制、記錄、管理出入邊界的人員，知道有哪些人、攜帶什么東西進出邊境，還可以根據(jù)這些人是否有合法的出入境證件、攜帶的東西是否合法等決定是否允許其出入邊境。 防火墻就是計算機網(wǎng)絡中的邊境檢查站，保護內(nèi)部網(wǎng)絡： 所有進出內(nèi)部網(wǎng)絡的數(shù)據(jù)流都通過防火墻，并根據(jù)安全策略進行檢查，只有符合安全策略、被授權的數(shù)據(jù)流才可以通過，由此保護內(nèi)部網(wǎng)絡的安全。 是一種按照預先制定的安全策略來進行訪問控制的軟件或設備，主要是用來阻止外部網(wǎng)絡對內(nèi)部網(wǎng)絡的侵擾。 是一種邏輯隔離部件，而不是物理隔離部件。,1. 防火墻的防護機制與局限,（1）所有進出內(nèi)部網(wǎng)絡的通信，都必須經(jīng)過防火墻 （2）所

10、有通過防火墻的通信，都必須經(jīng)過安全策略的過濾 （3）防火墻本身是安全可靠的 內(nèi)部網(wǎng)絡的相互訪問，因沒有穿越防火墻，所以防火墻是無法進行控制的。,2. 防火墻的形態(tài),（1）純軟件 防火墻是運行在通用計算機上的純軟件，簡單易用，配置靈活，但因底層操作系統(tǒng)是一個通用型的系統(tǒng)，其數(shù)據(jù)處理能力、安全性能水平都比較低。 （2）純硬件 為了解決純軟件防火墻的不足，設計人員將防火墻軟件固化在專門設計的硬件上，數(shù)據(jù)處理能力與安全性能水平都得到了很大的提高。但因來自網(wǎng)絡的威脅不斷變化，防火墻的安全策略、配置等也需要經(jīng)常進行調(diào)整，而純硬件防火墻的調(diào)整非常困難。 （3）軟硬件結合 這種防火墻結合了上述兩種防火墻的優(yōu)點

11、，針對防火墻的特殊要求，對硬件、操作系統(tǒng)進行裁減，設計、開發(fā)出了防火墻專用的硬件、安全操作系統(tǒng)平臺，然后在此平臺上運行防火墻軟件。,3. 防火墻的功能,（1）訪問控制 訪問控制是防火墻最基本、也是最重要的功能。如防火墻通過身份識別，辨別請求訪問內(nèi)部網(wǎng)絡者的身份，然后根據(jù)該用戶所獲得的授權，控制其訪問授權范圍的內(nèi)容，保護網(wǎng)絡的內(nèi)部信息。 防火墻還可以對所提供的網(wǎng)絡服務進行控制，通過限制一些不安全的服務，減少威脅，提高網(wǎng)絡安全的保護程度。 （2）內(nèi)容控制 防火墻可以對穿越防火墻的數(shù)據(jù)內(nèi)容進行控制，阻止不安全的數(shù)據(jù)內(nèi)容進入內(nèi)部網(wǎng)絡，影響內(nèi)部網(wǎng)絡的安全。 病毒、木馬等經(jīng)常隱藏在可執(zhí)行文件或Active

12、X控件中。通過限制網(wǎng)絡內(nèi)部人員從外部網(wǎng)絡下載這些文件或控件，就可以減少威脅。,3. 防火墻的功能,（3）安全日志 因為所有進出內(nèi)部網(wǎng)絡的通信，都必須經(jīng)過防火墻，所以防火墻可以完整地記錄網(wǎng)絡通信情況，通過分析、審計日志文件，可以發(fā)現(xiàn)潛在的威脅，并及時調(diào)整安全策略進行防范；還可以在發(fā)生網(wǎng)絡破壞事件時，發(fā)現(xiàn)破壞者。 （4）集中管理 在一個網(wǎng)絡的安全防護體系中，會有多臺防火墻分布式部署，便于進行集中管理，實施統(tǒng)一的安全策略，避免出現(xiàn)安全漏洞。 （5）其它附加功能 VPN（Virtual Private Network，虛擬專用網(wǎng)） 因防火墻所處的位置是網(wǎng)絡的出入口，它是支持VPN連接的理想接點。目前的許多防火墻都提供VPN連接功能。 NAT（Network Address Translation，網(wǎng)絡地址轉換） NAT是將內(nèi)部網(wǎng)絡的IP地址，轉換為外部網(wǎng)絡的IP地址的技術。 NAT相當于網(wǎng)絡級