版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
网络安全架构设计和
网络安全设备(shèbèi)的部署1第一页,共二百三十六页。主要(zhǔyào)内容内网安全架构的设计与安全产品的部署(bùshǔ)安全扫描技术防火墙技术入侵检测技术IPSecVPN和SSLVPN技术2第二页,共二百三十六页。网络(wǎngluò)信息安全的基本问题网络信息安全的基本(jīběn)问题保密性完整性可用性可控性可审查性最终要解决是使用者对基础设施的信心和责任感的问题。3第三页,共二百三十六页。网络(wǎngluò)与信息安全体系要实施一个完整的网络与信息安全体系,至少应包括三类措施,并且三者缺一不可。社会的法律政策、规章制度措施技术(jìshù)措施审计和管理措施4第四页,共二百三十六页。网络安全设计的基本(jīběn)原则要使信息系统免受攻击,关键要建立起安全防御体系,从信息的保密性,拓展到信息的完整性、信息的可用性、信息的可控性、信息的不可否认性等。在进行计算机网络安全设计、规划时,应遵循(zūnxún)以下原则:需求、风险、代价平衡分析的原则综合性、整体性原则一致性原则易操作性原则适应性、灵活性原则多重保护原则5第五页,共二百三十六页。网络安全解决方案网络安全解决方案的基本概念网络安全解决方案可以看作是一张有关网络系统安全工程的图纸,图纸设计的好坏直接关系到工程质量的优劣。总体来说,网络安全解决方案涉及安全操作系统技术、防火墙技术、病毒(bìngdú)防护技术、入侵检测技术、安全扫描技术、认证和数字签名技术、VPN技术等多方面的安全技术。6第六页,共二百三十六页。一份好的网络安全解决方案,不仅仅要考虑到技术,还要考虑到策略和管理。技术是关键策略是核心(héxīn)管理是保证在整个网络安全解决方案中,始终要体现出这三个方面的关系。7第七页,共二百三十六页。网络安全解决(jiějué)方案设计8第八页,共二百三十六页。安全需求(xūqiú)分析网络系统的总体安全需求是建立在对网络安全层次分析基础上的。对于基于TCP/IP协议的网络系统来说,安全层次是与TCP/IP协议层次相对应的。针对该企业网络的实际情况,可以将安全需求层次归纳为网络层安全和应用层安全两个技术层次,同时(tóngshí)将在各层都涉及的安全管理部分单独作为一部分进行分析。9第九页,共二百三十六页。网络层需求(xūqiú)分析网络层安全需求是保护网络不受攻击,确保网络服务的可用性。保证同Internet互联的边界安全能够防范来自Internet的对提供服务(fúwù)的非法利用防范来自Internet的网络入侵和攻击行为的发生对于内部网络提供高于网络边界更高的安全保护10第十页,共二百三十六页。应用层需求(xūqiú)分析应用层的安全需求是针对用户和网络应用资源(zīyuán)的,主要包括:合法用户可以以指定的方式访问指定的信息;合法用户不能以任何方式访问不允许其访问的信息;非法用户不能访问任何信息;用户对任何信息的访问都有记录。11第十一页,共二百三十六页。应用层要解决的安全(ānquán)问题包括非法用户利用应用系统的后门或漏洞,强行进入系统用户身份假冒非授权访问(fǎngwèn)数据窃取数据篡改数据重放攻击抵赖12第十二页,共二百三十六页。网络安全解决方案13第十三页,共二百三十六页。电子政务网络拓扑概述(ɡàishù)14内部核心子网INTERNET分支机构1分支机构2第十四页,共二百三十六页。电子政务网络拓扑详细分析15领导层子网分支机构2业务处室子网公共处室子网服务处室子网直属人事机构处室子网共享数据库子网INTERNET分支机构1第十五页,共二百三十六页。电子政务网络风险(fēngxiǎn)及需求分析16领导层子网分支机构2业务(yèwù)处室子网公共处室子网服务处室子网直属人事机构处室子网共享数据库子网INTERNET分支机构1此人正试图进入网络监听并窃取敏感信息分支机构工作人员正试图在领导层子网安装木马分支机构工作人员正试图越权访问业务子网安装木马非内部人员正试图篡改公共网络服务器的数据第十六页,共二百三十六页。电子政务网络(wǎngluò)内网基础网络(wǎngluò)平台安全17领导层子网业务(yèwù)处室子网公共处室子网服务处室子网直属人事机构处室子网共享数据库子网分支机构2分支机构1NEsec300FW2035968?告警内网接口外网接口电源NEsec300FW2035968?告警内网接口外网接口电源INTERNETNEsec300FW2035968?告警内网接口外网接口电源防火墙FW1防火墙FW2防火墙FW3安全认证服务器安全管理器安全网关SG1安全网关SG2安全网关SG3路由器路由器路由器交换机NEsec300FW2035968?告警内网接口外网接口电源第十七页,共二百三十六页。内网核心网络与各级(ɡèjí)子网间的安全设计
18分支机构2INTERNET分支机构1NEsec300FW2035968?告警内网接口外网接口电源
内部核心子网NEsec300FW2035968?告警内网接口外网接口电源NEsec300FW2035968?告警内网接口外网接口电源NEsec300FW2035968?告警内网接口外网接口电源交换机安全(ānquán)网关SG1安全网关SG2安全网关SG3路由器路由器路由器安全管理器安全认证服务器第十八页,共二百三十六页。内网网络(wǎngluò)漏洞扫描系统设计19分支机构2INTERNET分支机构1NEsec300FW2035968?告警内网接口外网接口电源
内部核心子网NEsec300FW2035968?告警内网接口外网接口电源NEsec300FW2035968?告警内网接口外网接口电源NEsec300FW2035968?告警内网接口外网接口电源交换机安全(ānquán)网关SG1安全网关SG2安全网关SG3路由器路由器路由器安全管理器安全认证服务器网络漏洞扫描器第十九页,共二百三十六页。内网网络(wǎngluò)入侵检测系统设计
20分支机构2INTERNET分支机构1NEsec300FW2035968?告警内网接口外网接口电源
内部核心子网NEsec300FW2035968?告警内网接口外网接口电源NEsec300FW2035968?告警内网接口外网接口电源NEsec300FW2035968?告警内网接口外网接口电源交换机安全(ānquán)网关SG1安全网关SG2安全网关SG3路由器路由器路由器安全管理器安全认证服务器网络入侵检测探头网络入侵策略管理器第二十页,共二百三十六页。电子政务外网基础平台安全(ānquán)设计21INTERNET办公(bàngōng)厅办公(bàngōng)业务网(简称“内网”)路由器交换机安全管理器防火墙FW物理隔离器(K1)E-MAIL服务器WWW服务器应用服务器数据库服务器第二十一页,共二百三十六页。外网网络漏洞(lòudòng)扫描系统设计22INTERNET办公(bàngōng)厅办公(bàngōng)业务网(简称“内网”)路由器交换机安全管理器防火墙FW物理隔离器(K1)E-MAIL服务器WWW服务器应用服务器数据库服务器网络漏洞扫描器第二十二页,共二百三十六页。外网网络入侵检测系统(xìtǒng)设计23INTERNET办公(bàngōng)厅办公(bàngōng)业务网(简称“内网”)路由器交换机安全管理器物理隔离器(K1)E-MAIL服务器WWW服务器应用服务器数据库服务器网络漏洞扫描器网络入侵检测探头网络入侵策略管理器防火墙FW第二十三页,共二百三十六页。外网WEB服务器安全(ānquán)设计24INTERNET办公(bàngōng)厅办公(bàngōng)业务网(简称“内网”)路由器交换机安全管理器物理隔离器(K2)E-MAIL服务器WWW服务器应用服务器数据库服务器防火墙FW物理隔离器(K1)办公厅办公业务网(简称“内网”)政府系统办公业务资源网(简称“专网”)Web网站监测&自动修复系统第二十四页,共二百三十六页。内网、外网和专网的隔离(gélí)系统设计25INTERNET办公(bàngōng)厅办公(bàngōng)业务网(简称“内网”)路由器交换机安全管理器物理隔离器(K2)E-MAIL服务器WWW服务器应用服务器数据库服务器防火墙FW物理隔离器(K1)办公厅办公业务网(简称“内网”)政府系统办公业务资源网(简称“专网”)第二十五页,共二百三十六页。其它(qítā)网络安全设备拨号检测系统上网行为(xíngwéi)管理系统DDOS防御网关VPN网关防病毒网关26第二十六页,共二百三十六页。安全(ānquán)扫描技术扫描目的查看目标(mùbiāo)网络中哪些主机是存活的(Alive)查看存活的主机运行了哪些服务WWWFTPEMAILTELNET查看主机提供的服务有无漏洞27第二十七页,共二百三十六页。IP扫描(sǎomiáo)IP扫描——PingSweepingPing使用(shǐyòng)ICMP协议进行工作28第二十八页,共二百三十六页。IP扫描(sǎomiáo)ICMP协议负责差错的报告与控制。比如目标不可达,路由重定向等等ICMP报文格式类型域(type)用来(yònɡlái)指明该ICMP报文的类型代码域(code)确定该包具体作用29
081631
类型
代码
校验和
其他字段(不同的类型可能不一样)
数据区……
数据ICMP包头IP包头MAC帧头第二十九页,共二百三十六页。IP扫描(sǎomiáo)名称类型ICMPDestinationUnreachable(目标不可达)3ICMPSourceQuench(源抑制)4ICMPRedirection(重定向)5ICMPTimestampRequest/Reply(时间戳)13/14ICMPAddressMaskRequest/Reply(子网掩码)17/18ICMPEchoRequest/Reply(响应请求/应答)8/030常用(chánɡyònɡ)的ICMP报文Ping程序使用ICMPEchoRequest/Reply报文第三十页,共二百三十六页。端口扫描端口Internet上主机间通讯总是通过端口发生的
端口是入侵的通道端口分为TCP端口与UDP端口因此(yīncǐ),端口扫描可分类为TCP扫描UDP扫描31第三十一页,共二百三十六页。端口扫描基本扫描用Socket开发(kāifā)TCP应用32服务器端客户端第三十二页,共二百三十六页。端口扫描connect()函数intconnect(SOCKETs,conststructsockaddrFAR*name,intnamelen);当connect返回0时,连接成功基本的扫描方法即TCPConnect扫描优点实现(shíxiàn)简单可以用普通用户权限执行缺点容易被防火墙检测,也会目标应用所记录33第三十三页,共二百三十六页。端口扫描隐秘(yǐnmì)扫描34服务器端客户端connect第三十四页,共二百三十六页。端口扫描TCP的连接建立(jiànlì)过程35客户机服务器发送SYN
seq=x
接收SYN报文
发送SYNseq=y,ACKack=x+1
接收SYN+ACK
发送ACKack=y+1
接受ACK报文段
第三十五页,共二百三十六页。端口扫描SYN扫描(sǎomiáo)36客户机服务器发送SYN
seq=x
如果(rúguǒ)接收到SYN+ACK,表明服务器端口可连接如果服务器端口打开,则返回SYN+ACK如果服务器端口未打开,则返回RSTSYN+ACK如果接收到RST,表明服务器端口不可连接RST第三十六页,共二百三十六页。端口扫描SYN扫描的实现(shíxiàn)WinSock2接口RawSock方式,允许自定义IP包SockRaw=socket(AF_INET,SOCK_RAW,IPPROTO_IP);TCP包头标志位3701631源端口
目的端口
序列号
确认号
HLEN
保留
标志位
窗口
校验和
紧急指针
选项
填充
数据
保留保留UrgentpointACKPUSHRESETSYNFIN第三十七页,共二百三十六页。端口扫描SYN扫描的优缺点优点:一般不会被目标主机所记录缺点(quēdiǎn):运行RawSocket时必须拥有管理员权限38第三十八页,共二百三十六页。端口扫描FIN扫描关闭(guānbì)TCP连接的过程39客户机服务器发送FIN
seq=x
接收FIN报文
发送FINseq=y,ACKack=x+1
接收FIN+ACK
发送ACKack=y+1
接受ACK报文段
第三十九页,共二百三十六页。端口扫描关闭一个并没有建立的连接,会产生以下情况对非连接FIN报文的回复TCP标准关闭的端口——返回RST报文打开(dǎkāi)的端口——忽略BSD操作系统与TCP标准一致其他操作系统均返回RST报文40第四十页,共二百三十六页。TCPACK扫描(sǎomiáo)扫描主机向目标主机发送ACK数据包。根据返回的RST数据包有两种方法(fāngfǎ)可以得到端口的信息。方法一是:若返回的RST数据包的TTL值小于或等于64,则端口开放,反之端口关闭方法二是:若返回的RST数据包的WINDOW值非零,则端口开放,反之端口关闭41TCPACK扫描建立连接成功TCPACK扫描建立连接成功第四十一页,共二百三十六页。NULL扫描(sǎomiáo)扫描主机将TCP数据包中的ACK、FIN、RST、SYN、URG、PSH(接收端将数据转由应用处理)标志位置空后(保留的RES1和RES2对扫描的结果没有任何影响)发送给目标主机。若目标端口开放(kāifàng),目标主机将不返回任何信息。若目标主机返回RST信息,则表示端口关闭。42NULL扫描建立连接成功NULL扫描建立连接未成功第四十二页,共二百三十六页。Xmastree扫描(sǎomiáo)(圣诞树扫描)XMAS扫描原理和NULL扫描的类似,将TCP数据包中的ACK、FIN、RST、SYN、URG、PSH标志位置(wèizhi)1后发送给目标主机。在目标端口开放的情况下,目标主机将不返回任何信息若目标端口关闭,则目标主机将返回RST信息43XMAS扫描建立连接成功XMAS扫描建立连接未成功第四十三页,共二百三十六页。端口扫描优点不会被记录到日志可以绕过某些防火墙netstat命令不会显示——netstate命令只能显示TCP连接或连接的尝试缺点使用RAWIP编程,实现起来相对比较复杂利用BSD代码缺陷,可能被修复——OpenBSD不同(bùtónɡ)操作系统结果不同(bùtónɡ),因此不完全可信44第四十四页,共二百三十六页。端口扫描UDP端口扫描目前扫描UDP端口只有一种(yīzhǒnɡ)方法:向目标UDP端口发送一些随机数据,如果端口关闭,则目标主机会回复ICMP端口不可达消息45第四十五页,共二百三十六页。慢速扫描(sǎomiáo)随着防火墙的广泛应用,普通的扫描很难穿过(chuānɡuò)防火墙去扫描受防火墙保护的网络。即使扫描能穿过(chuānɡuò)防火墙,扫描的行为仍然有可能会被防火墙记录下来。如果扫描是对非连续性端口、源地址不一致、时间间隔很长且没有规律的扫描的话,这些扫描的记录就会淹没在其他众多杂乱的日志内容中。使用慢速扫描的目的也就是这样,骗过防火墙和入侵检测系统而收集信息。虽然扫描所用的时间较长,但这是一种比较难以被发现的扫描。46第四十六页,共二百三十六页。乱序扫描(sǎomiáo)乱序扫描也是一种常见的扫描技术,扫描器扫描的时候不是进行有序的扫描,扫描端口号的顺序(shùnxù)是随机产生的,每次进行扫描的顺序(shùnxù)都完全不一样,这种方式能有效地欺骗某些入侵检测系统而不会被发觉。47第四十七页,共二百三十六页。漏洞(lòudòng)扫描漏洞是指系统硬件、操作系统、软件、网络协议、数据库等在设计上和实现上出现的可以被攻击者利用的错误、缺陷和疏漏。漏洞扫描程序是用来检测(jiǎncè)远程或本地主机安全漏洞的工具。针对扫描对象的不同,漏洞扫描又可分为网络扫描、操作系统扫描、WWW服务扫描、数据库扫描以及无线网络扫描等。48第四十八页,共二百三十六页。端口扫描常用(chánɡyònɡ)的端口扫描工具UNIX下的端口扫描工具NmapWindows下的端口扫描工具XScanSuperScanNmapforNT49第四十九页,共二百三十六页。防火墙建筑业中的防火墙用在建筑单位间,防止火势的蔓延(mànyán)。在网络安全领域中,防火墙用来指应用于内部网络(局域网)和外部网络(Internet)之间的,用来保护内部网络免受非法访问和破坏的网络安全系统。50第五十页,共二百三十六页。防火墙功能(gōngnéng)示意
两个不同(bùtónɡ)网络安全域间通信流的唯一通道,对流过的网络数据进行检查,阻止攻击数据包通过。51安全网域一安全网域二第五十一页,共二百三十六页。防火墙主要(zhǔyào)功能过滤进、出网络的数据;防止不安全的协议和服务;管理进、出网络的访问(fǎngwèn)行为;记录通过防火墙的信息内容与活动;对网络攻击进行检测与告警;防止外部对内部网络信息的获取提供与外部连接的集中管理;52第五十二页,共二百三十六页。防火墙不能防范(fángfàn)的攻击来自内部的安全威胁;病毒开放应用服务程序的漏洞(lòudòng);特洛伊木马;社会工程;不当配置53第五十三页,共二百三十六页。衡量(héngliáng)防火墙三大要求安全(ānquán)内部和外部间所有数据必须通过防火墙只有符合安全策略的数据流才能通过防火墙防火墙自身要安全管理良好的人机交互界面提供强劲的管理及扩展功能速度54第五十四页,共二百三十六页。防火墙发展(fāzhǎn)历程主要经历了三个阶段:基于路由器的防火墙基于通用(tōngyòng)操作系统的防火墙基于安全操作系统的防火墙55第五十五页,共二百三十六页。防火墙分类(fēnlèi)按实现(shíxiàn)技术分类:包过滤型代理型防火墙按体系结构分类:双宿/多宿主机防火墙屏蔽主机防火墙屏蔽子网防火墙混合结构56第五十六页,共二百三十六页。包过滤(guòlǜ)防火墙包过滤防火墙在决定能否及如何传送数据包之外,还根据其规则集,看是否应该传送该数据包普通路由器当数据包到达时,查看(chákàn)IP包头信息,根据路由表决定能否以及如何传送数据包57第五十七页,共二百三十六页。静态(jìngtài)包过滤防火墙58
传输层传输层传输层
第五十八页,共二百三十六页。路由与包过滤(guòlǜ)路由进行转发(zhuǎnfā),过滤进行筛选59源地址目标地址协议是否允许HostASeverXTCPYESHostASeverXUDPNOHostA外部网络目标路由SeverX接口1……………………SeverX第五十九页,共二百三十六页。包过滤所检查(jiǎnchá)的内容源和目的的IP地址IP选项IP的上层协议类型(TCP/UDP/ICMP)TCP和UDP的源及目的端口ICMP的报文类型和代码我们称这种对包头内容(nèiróng)进行简单过滤的方式为静态包过滤60第六十页,共二百三十六页。包过滤(guòlǜ)配置包过滤防火墙配置步骤:知道什么是应该和不应被允许,制定(zhìdìng)安全策略规定允许的包类型、包字段的逻辑表达用防火墙支持的语法重写表达式61第六十一页,共二百三十六页。规则制定(zhìdìng)的策略拒绝任何访问,除非被规则特别允许(yǔnxǔ)
允许任何访问,除非规则特别地禁止62允许拒绝允许拒绝第六十二页,共二百三十六页。规则(guīzé)制定的策略过滤的两种基本方式按服务过滤:根据安全策略决定是否允许或拒绝某一种服务按规则过滤:检查包头信息,与过滤规则匹配(pǐpèi),决定是否转发该数据包63第六十三页,共二百三十六页。依赖于服务(fúwù)的过滤
多数服务对应特定的端口,如要封锁输Telnet、SMTP的连接(liánjiē),则Router丢弃端口值为23和25的所有数据包。典型的过滤规则有以下几种:只允许进来的Telnet会话连接到指定的内部主机只允许进来的FTP会话连接到指定的内部主机允许所有出去的Telnet会话允许所有出去的FTP会话拒绝从某些指定的外部网络进来的所有信息64第六十四页,共二百三十六页。按规则(guīzé)过滤有些类型的攻击很难用基本包头信息加以鉴别,因为(yīnwèi)独立于服务。如果防范则需要定义规则1)源IP地址欺骗攻击入侵者从伪装成源自一台内部主机的一个外部地点传送一些信息包;这些信息包似乎像包含了一个内部系统的源IP地址。如果这些信息包到达Router的外部接口,则舍弃每个含有这个源IP地址的信息包,就可以挫败这种源欺骗攻击。65第六十五页,共二百三十六页。按规则(guīzé)过滤2)源路由攻击攻击者为信息包指定一个穿越Internet的路由,这类攻击企图绕过安全措施,并使信息包沿一条意外(疏漏)的路径到达(dàodá)目的地。可以通过舍弃所有包含这类源路由选项的信息包方式,来挫败这类攻击。3)残片攻击入侵者利用IP分段特性生成一个极小的片断并将TCP报头信息肢解成一个分离的信息包片断,使数据包绕过用户定义的过滤规则。黑客希望过滤路由器只检查第一分段,而允许其它分段通过。通过舍弃所有协议类型为TCP、IP报头中FragmentOffset=1的数据包,即可挫败残片的攻击。66第六十六页,共二百三十六页。推荐(tuījiàn)的规则任何进入内网的数据包不能将内部地址(dìzhǐ)作为源地址(dìzhǐ)任何进入内网的数据包必须将内部地址作为目标地址任何离开内网的数据包必须将内部地址作为源地址任何离开内网的数据包不能将内部地址作为目标地址任何进入或离开内网的数据包不能把一个私有地址或者/8作为源或目标地址67第六十七页,共二百三十六页。静态(jìngtài)包过滤的优缺点优点:速度快价格低对用户透明缺点(quēdiǎn):配置难把握防范能力低没有用户身份验证机制68第六十八页,共二百三十六页。动态(dòngtài)包过滤动态包过滤是CheckPoint的一项称为“
StatefulInspection”的专利技术,也称状态检测防火墙。动态包过滤防火墙不仅以一个数据包的内容作为过滤的依据,还根据(gēnjù)这个数据包在信息流位置加以判断。动态包过滤防火墙可阻止未经内网请求的外部通信,而允许内网请求的外部网站传入的通信。69第六十九页,共二百三十六页。动态(dòngtài)包过滤防火墙70第七十页,共二百三十六页。使用动态(dòngtài)包过滤制定的规则Setinternal=/24Denyipfrom$internaltoanyinviaeth0Denyipfromnot$internaltoanyinviaeth1Allow$internalaccessanydnsbyudpkeepstateAllow$InternalacessanywwwbytcpkeepstateAllow$internalaccessanyftpbytcpkeepstateDenyipfromanytoany71第七十一页,共二百三十六页。动态(dòngtài)包过滤的优缺点优点:基于应用程序信息验证一个包状态(zhuàngtài)的能力记录通过的每个包的详细信息缺点:造成网络连接的迟滞系统资源要求较高72第七十二页,共二百三十六页。防火墙分类:包过滤代理型防火墙:应用(yìngyòng)代理型代理型防火墙:电路代理型代理型防火墙:NAT73第七十三页,共二百三十六页。代理服务技术(jìshù)
代理服务技术能够将所有跨越防火墙的网络通信链路分为两段。防火墙内外(nèiwài)计算机系统间应用层的连接,由两个代理服务器之间的连接来实现,外部计算机的网络链路只能到达代理服务器,从而起到隔离防火墙内外(nèiwài)计算机系统的作用。74第七十四页,共二百三十六页。应用(yìngyòng)代理防火墙工作在应用层对所有规则内允许的应用程序作中转(zhōngzhuǎn)转发牺牲了对应用程序的透明性75第七十五页,共二百三十六页。应用(yìngyòng)代理防火墙76应用(yìngyòng)代理防火墙第七十六页,共二百三十六页。应用(yìngyòng)代理应用代理工作(gōngzuò)原理示意77缓冲文件应用请求回复应用请求回复第七十七页,共二百三十六页。应用(yìngyòng)代理防火墙应用代理服务器的安全性屏蔽内网用户与外网的直接通信,提供更严格的检查(jiǎnchá)提供对协议的控制,拒绝所有没有配置的连接提供用户级控制,可近一步提供身份认证等信息78第七十八页,共二百三十六页。应用(yìngyòng)代理的优缺点优点:可以隐藏内部网络的信息;可以具有强大的日志审核;可以实现内容的过滤;缺点:价格高速度慢失效时造成(zàochénɡ)网络的瘫痪79第七十九页,共二百三十六页。电路(diànlù)级代理电路级代理因此可以(kěyǐ)同时为不同的服务,如WEB、FTP、TELNET提供代理服即SOCKS代理,它工作在传输层。80第八十页,共二百三十六页。应用(yìngyòng)代理应用(yìngyòng)代理工作在应用(yìngyòng)层,对于不同的服务,必须使用不同的代理软件。81应用代理内部主机WEB服务FTP服务WEBFTP第八十一页,共二百三十六页。电路(diànlù)级代理优缺点优点(yōudiǎn):隐藏内部网络信息配置简单,无需为每个应用程序配置一个代理缺点:多数电路级网关都是基于TCP端口配置,不对数据包检测,可能会有漏洞82第八十二页,共二百三十六页。NAT防火墙NAT定义
NAT(NetworkAddressTransla-tion)网络地址翻译最初设计目的是用来增加(zēngjiā)私有组织的可用地址空间和解决将现有的私有TCP/IP网络连接到网上的IP地址编号问题83第八十三页,共二百三十六页。NAT防火墙NAT提供的功能(gōngnéng)内部主机地址隐藏网络负载均衡网络地址交叠84第八十四页,共二百三十六页。NAT(网络地址翻译(fānyì))根据内部IP地址(dìzhǐ)和外部IP地址的数量对应关系,NAT分为:基本NAT:简单的地址翻译M-1,多个内部网地址翻译到1个IP地址M-N,多个内部网地址翻译到N个IP地址池85第八十五页,共二百三十六页。NAT的优缺点优点管理方便并且节约IP地址资源。隐藏(yǐncáng)内部IP地址信息。仅当向某个外部地址发送过出站包时,NAT才允许来自该地址的流量入站。
缺点外部应用程序却不能方便地与NAT网关后面的应用程序联系。86第八十六页,共二百三十六页。防火墙布置(bùzhì)简单包过滤路由双宿/多宿主机模式(móshì)屏蔽主机模式屏蔽子网模式87第八十七页,共二百三十六页。包过滤(guòlǜ)路由88内部网络外部网络包过滤(guòlǜ)路由器优点:配置简单缺点:日志没有或很少,难以判断是否被入侵规则表会随着应用变得很复杂单一的部件保护,脆弱第八十八页,共二百三十六页。双宿/多宿主机模式(móshì)堡垒主机:关键位置上用于安全防御的某个系统,攻击者攻击网络必须(bìxū)先行攻击的主机。双宿/多宿主机防火墙又称为双宿/多宿网关防火墙,它是一种拥有两个或多个连接到不同网络上的网络接口的防火墙,通常用一台装有两块或多块网卡的堡垒主机做防火墙,两块或多块网卡各自与受保护网和外部网相连89第八十九页,共二百三十六页。双宿/多宿主机模式(móshì)90内部网络外部网络应用代理服务器完成:对外屏蔽(píngbì)内网信息设置访问控制对应用层数据严格检查第九十页,共二百三十六页。优点:配置简单(jiǎndān)检查内容更细致屏蔽了内网结构缺点:应用代理本身的安全性91第九十一页,共二百三十六页。屏蔽(píngbì)主机92内部网络外部网络包过滤路由堡垒主机两道屏障:网络层的包过滤;应用层代理服务注:与双宿主机网关不同,这里的应用(yìngyòng)网关只有一块网卡。Web服务器第九十二页,共二百三十六页。屏蔽(píngbì)主机优点:双重保护,安全性更高。实施策略:针对(zhēnduì)不同的服务,选择其中的一种或两种保护措施。93第九十三页,共二百三十六页。屏蔽(píngbì)子网94内部网络外部网络外部路由器内部路由器周边网络(DMZ)第九十四页,共二百三十六页。屏蔽(píngbì)子网1)周边网络:非军事化区、停火区(DMZ)周边网络是另一个安全层,是在外部网络与内部网络之间的附加(fùjiā)的网络。对于周边网络,如果某人侵入周边网上的堡垒主机,他仅能探听到周边网上的通信。2)内部路由器(阻塞路由器):保护内部的网络使之免受Internet和周边子网的侵犯。它为用户的防火墙执行大部分的数据包过滤工作95第九十五页,共二百三十六页。屏蔽(píngbì)子网3)外部路由器:在理论上,外部路由器保护周边网和内部网使之免受来自Internet的侵犯。实际上,外部路由器倾向于允许几乎任何东西从周边网出站,并且它们通常只执行非常少的数据包过滤(guòlǜ)。外部路由器安全任务之一是:阻止从Internet上伪造源地址进来的任何数据包。96第九十六页,共二百三十六页。优点安全性较高可用性较好缺点配置(pèizhì)复杂成本高97第九十七页,共二百三十六页。PIX98第九十八页,共二百三十六页。4种管理访问(fǎngwèn)模式非特权模式
PIX防火墙开机自检后,就是处于这种模式。系统显示为pixfirewall>特权模式输入enable进入特权模式,可以改变当前配置。显示为pixfirewall#配置模式输入configureterminal进入此模式,绝大部分的系统配置都在这里进行。显示为pixfirewall(config)#监视模式
PIX防火墙在开机或重启过程中,按住Escape键或发送一个"Break"字符(zìfú),进入监视模式。这里可以更新*作系统映象和口令恢复。显示为monitor>99第九十九页,共二百三十六页。6个基本(jīběn)命令nameifinterfaceipaddressnatglobalroute100第一百页,共二百三十六页。nameif配置防火墙接口的名字,并指定(zhǐdìng)安全级别Pix525(config)#nameifethernet0outsidesecurity0Pix525(config)#nameifethernet1insidesecurity100Pix525(config)#nameifethernet2dmzsecurity50在缺省配置中,以太网0被命名为外部接口(outside),安全级别是0;以太网1被命名为内部接口(inside),安全级别是100。安全级别取值范围为1~99,数字越大安全级别越高。101第一百零一页,共二百三十六页。interface配置以太口参数Pix525(config)#interfaceethernet0autoauto选项表明系统自适应网卡类型Pix525(config)#interfaceethernet1100full100full选项表示100Mbit/s以太网全双工通信Pix525(config)#interfaceethernet1100fullshutdownshutdown选项表示关闭这个接口(jiēkǒu),若启用接口(jiēkǒu)去掉shutdown102第一百零二页,共二百三十六页。ipaddressPix525(config)#ipaddressoutside248Pix525(config)#ipaddressinside很明显(míngxiǎn),Pix525防火墙在外网的ip地址是2,内网ip地址是
103第一百零三页,共二百三十六页。nat指定要进行转换的内部地址网络地址翻译(nat)作用是将内网的私有ip转换为外网的公有ip.Nat命令总是与global命令一起使用,这是因为nat命令可以指定一台主机或一段范围(fànwéi)的主机访问外网,访问外网时需要利用global所指定的地址池进行对外访问。104第一百零四页,共二百三十六页。nat命令(mìnglìng)配置语法nat(if_name)nat_idlocal_ip[netmark]其中(if_name)表示内网接口名字,例如inside。nat_id用来标识全局地址池,使它与其相应(xiāngyīng)的global命令相匹配,local_ip表示内网被分配的ip地址。例如表示内网所有主机可以对外访问。[netmark]表示内网ip地址的子网掩码。105第一百零五页,共二百三十六页。nat例子(lìzi)例1.Pix525(config)#nat(inside)100表示启用nat,内网的所有主机都可以访问外网,用0可以代表例2.Pix525(config)#nat(inside)1表示只有(zhǐyǒu)这个网段内的主机可以访问外网。106第一百零六页,共二百三十六页。global指定外部地址范围(fànwéi)
global命令把内网的ip地址翻译成外网的ip地址或一段地址范围。global命令的配置语法:global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]其中(if_name)表示外网接口名字,例如outside.。Nat_id用来标识全局地址池,使它与其相应的nat命令相匹配,ip_address-ip_address表示翻译后的单个ip地址或一段ip地址范围。[netmarkglobal_mask]表示全局ip地址的网络掩码。107第一百零七页,共二百三十六页。global例子(lìzi)例1.Pix525(config)#global(outside)12-8表示内网的主机通过pix防火墙要访问外网时,pix防火墙将使用2-8这段ip地址池为要访问外网的主机分配一个全局ip地址。例2.Pix525(config)#global(outside)12表示内网要访问外网时,pix防火墙将为访问外网的所有主机统一(tǒngyī)使用2这个单一ip地址。例3.Pix525(config)#noglobal(outside)12表示删除这个全局表项。108第一百零八页,共二百三十六页。route设置指向内网和外网的静态路由(route)定义一条静态路由。route命令配置语法:route(if_name)00gateway_ip[metric]其中(if_name)表示接口名字,例如inside,outside。gateway_ip表示网关路由器的ip地址(dìzhǐ)。[metric]表示到gateway_ip的跳数。通常缺省是1。109第一百零九页,共二百三十六页。例1.Pix525(config)#routeoutside00681表示一条指向边界(biānjiè)路由器(ip地址68)的缺省路由。例2.Pix525(config)#routeinside1创建了一条到网络的静态路由,静态路由的下一条路由器ip地址是
Pix525(config)#routeinside1110第一百一十页,共二百三十六页。static配置静态IP地址翻译如果从外网发起一个会话,会话的目的地址是一个内网的ip地址,static就把内部地址翻译成一个指定的全局地址,允许这个会话建立。static(internal_if_name,external_if_name)outside_ip_addressinside_ip_address其中internal_if_name表示内部网络接口,安全级别较高,如inside。external_if_name为外部网络接口,安全级别较低,如outside等。outside_ip_address为正在访问的较低安全级别的接口上的ip地址。inside_ip_address为内部网络(wǎngluò)的本地ip地址。111第一百一十一页,共二百三十六页。conduit管道命令前面讲过使用static命令可以在一个本地ip地址和一个全局ip地址之间创建了一个静态映射,但从外部到内部接口的连接(liánjiē)仍然会被pix防火墙的自适应安全算法(ASA)阻挡。conduit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口,例如允许从外部到DMZ或内部接口的入方向的会话。对于向内部接口的连接,static和conduit命令将一起使用,来指定会话的建立。112第一百一十二页,共二百三十六页。conduit命令(mìnglìng)配置语法conduitpermit|denyglobal_ipport[-port]protocolforeign_ip[netmask]permit|deny允许|拒绝访问global_ip指的是先前由global或static命令定义的全局ip地址,如果(rúguǒ)global_ip为0,就用any代替0;如果global_ip是一台主机,就用host命令参数。port指的是服务所作用的端口,例如www使用80,smtp使用25等等,我们可以通过服务名称或端口数字来指定端口protocol指的是连接协议,比如:TCP、UDP、ICMP等。foreign_ip表示可访问global_ip的外部ip。对于任意主机,可以用any表示。如果foreign_ip是一台主机,就用host命令参数。113第一百一十三页,共二百三十六页。例1.Pix525(config)#conduitpermittcphosteqwwwany这个例子表示(biǎoshì)允许任何外部主机对全局地址的这台主机进行http访问。其中使用eq和一个端口来允许或拒绝对这个端口的访问。Eqftp就是指允许或拒绝只对ftp的访问。例2.Pix525(config)#conduitdenytcpanyeqftphost9表示不允许外部主机9对任何全局地址进行ftp访问。例3.Pix525(config)#conduitpermiticmpanyany表示允许icmp消息向内部和外部通过。114第一百一十四页,共二百三十六页。例4.Pix525(config)#static(inside,outside)2Pix525(config)#conduitpermittcphost2eqwwwany这个例子说明static和conduit的关系。在内网是一台web服务器,现在希望外网的用户能够(nénggòu)通过pix防火墙得到web服务。所以先做static静态映射:->2(全局),然后利用conduit命令允许任何外部主机对全局地址2进行http访问。115第一百一十五页,共二百三十六页。配置(pèizhì)fixup协议fixup命令作用是启用,禁止,改变一个服务或协议通过(tōngguò)pix防火墙,由fixup命令指定的端口是pix防火墙要侦听的服务。例1.Pix525(config)#fixupprotocolftp21启用ftp协议,并指定ftp的端口号为21例2.Pix525(config)#fixupprotocolhttp80Pix525(config)#fixupprotocolhttp1080
为http协议指定80和1080两个端口。例3.Pix525(config)#nofixupprotocolsmtp80
禁用smtp协议。116第一百一十六页,共二百三十六页。telnet从内网telnet:telnet55inside从外网需要(xūyào)使用IPSECVPN117第一百一十七页,共二百三十六页。防火墙的不足(bùzú)无法发现和阻止对合法服务的攻击;无法发现和阻止源自其它入口的攻击;无法发现和阻止来自内部(nèibù)网络的攻击;无法发现和阻止来自特洛伊木马的威胁;118第一百一十八页,共二百三十六页。绕过防火墙的攻击(gōngjī)穿过(chuānɡuò)防火墙的攻击行为119IIS4.0和IIS5.0在Unicode字符解码的实现中存在一个安全漏洞,导致用户可以远程通过IIS执行任意命令。当IIS打开文件时,如果该文件名包含unicode字符,它会对其进行解码,如果用户提供一些特殊的编码,将导致IIS错误的打开或者执行某些web根目录以外的文件。第一百一十九页,共二百三十六页。120据统计80%的成功(chénggōng)攻击来自于防火墙内部!第一百二十页,共二百三十六页。入侵检测(jiǎncè)技术通过对计算机网络或计算机系统中若干关键点信息的收集和分析,从中发现网络或系统中是否有违反安全(ānquán)策略行为和被攻击迹象的一种安全(ānquán)技术。121第一百二十一页,共二百三十六页。入侵(rùqīn)检测的作用检测防护(fánghù)部分阻止不了的入侵检测入侵的前兆入侵事件的归档网络受威胁程度的评估帮助从入侵事件中恢复122第一百二十二页,共二百三十六页。防火墙与入侵(rùqīn)检测防火墙属于信息保障的保护环节(huánjié)门禁系统入侵检测属于信息保障的检测环节监控系统123第一百二十三页,共二百三十六页。入检测(jiǎncè)检测(jiǎncè)历史入侵检测的发源1980,JamesAnderson
提出入侵检测的设想1987,DorothyDenning提出入侵检测系统抽象模型(móxíng)主机入侵检测1988,出现一批基于主机审计信息的入侵检测系统网络入侵检测1990,开始出现基于网络数据的入侵检测系统入侵检测的新技术与新方法致力于提高入侵检测系统的可伸缩性、可维护性、容错性。一些新的思想,如免疫、信息挖掘引入到入侵检测领域124第一百二十四页,共二百三十六页。入侵检测的核心(héxīn)任务攻击者进行攻击的时候会留下痕迹,这些(zhèxiē)痕迹和系统正常运行的时候产生的数据混在一起。入侵检测的任务就是从混合的数据中找出入侵的痕迹并作出响应。125第一百二十五页,共二百三十六页。通用(tōngyòng)入侵检测框架CIDF体系结构:阐述了一个(yīɡè)标准的IDS的通用模型组件通信:定义了IDS组件之间进行通信的标准协议语言规范:定义了一个用来描述各种检测信息的标准语言编程接口:提供了一整套标准的应用程序接口126第一百二十六页,共二百三十六页。CIDF体系结构127第一百二十七页,共二百三十六页。CIDF组件(zǔjiàn)事件(shìjiàn)产生器(Eventgenerators)事件分析器(Eventanalyzers)事件数据库(Eventdatabases)响应单元(Responseunits)128第一百二十八页,共二百三十六页。事件(shìjiàn)产生器数据获取主机入侵检测:系统审计记录,应用程序日志网络入侵检测:网络流量复合型入侵检测:其它安全产品(chǎnpǐn)的数据,如防火墙的事件记录129第一百二十九页,共二百三十六页。事件(shìjiàn)分析器数据分析模式匹配统计分析130第一百三十页,共二百三十六页。事件(shìjiàn)数据库数据管理保存事件信息,包括正常事件和入侵事件用来存储临时(línshí)处理数据,扮演各个组件之间的数据交换中心131第一百三十一页,共二百三十六页。响应(xiǎngyìng)单元行为响应主动响应:自动干涉入侵,如切断怀疑(huáiyí)可能是攻击行为的TCP连接,与防火墙联动操作阻塞后续的数据包,甚至向被怀疑是攻击来源的主机发动反击被动响应:仅仅启动告警机制,向管理员提供信息,由管理员采取相应行动132第一百三十二页,共二百三十六页。信息收集(shōují)技术系统日志文件日志文件中记录了各种行为(xíngwéi)类型,每种类型又包含不同的信息,例如记录“用户活动”类型的日志,就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等方面的内容以用户活动为例,不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的访问企图等等。133第一百三十三页,共二百三十六页。信息(xìnxī)收集技术网络流量远程的网络攻击伴随着攻击数据的发送,比如扫描、口令(kǒulìng)攻击、远程的缓冲区溢出、脚本攻击、假消息攻击等。另外一些攻击可能使网络流量产生异常,比如特洛伊木马、服务拒绝等等。134第一百三十四页,共二百三十六页。信息(xìnxī)收集技术系统目录和文件的异常变化入侵者经常替换、修改和破坏他们获得访问权的系统上的文件,同时为了隐藏系统中他们的表现及活动痕迹,都会尽力去替换系统程序或修改系统日志。目录和文件中的不期望的改变(包括修改、创建和删除),特别是那些正常情况下限制(xiànzhì)访问的,很可能就是一种入侵产生的指示和信号。135第一百三十五页,共二百三十六页。信息(xìnxī)收集技术程序执行中的异常行为针对程序漏洞的攻击,常导致程序产生(chǎnshēng)异常的行为,如发生缓冲区溢出,进行权限提升等。136第一百三十六页,共二百三十六页。信息(xìnxī)分析技术信息分析(fēnxī)技术的技术指标误报率漏报率常用的信息分析技术包括模式匹配(基于知识的检测)统计分析(基于行为的检测)137第一百三十七页,共二百三十六页。模式匹配过程(guòchéng):监控特征提取匹配判定138第一百三十八页,共二百三十六页。模式匹配的特点(tèdiǎn)前提:所有的入侵行为(xíngwéi)都有可被检测到的特征特点:系统负担小准确度高不能检测未知的入侵139第一百三十九页,共二百三十六页。统计分析140过程:监控量化比较(bǐjiào)判定
修正第一百四十页,共二百三十六页。统计分析的特点(tèdiǎn)前提入侵是异常活动的子集
特点:测系统能针对用户行为的改变进行自我调整和优化能检测到未知的入侵和更为复杂的入侵对系统资源消耗(xiāohào)大系统误报相对比较高,且不能适应用户正常行为的突然改变。141第一百四十一页,共二百三十六页。入侵检测(jiǎncè)部署目标(mùbiāo):检测整个网络信息142第一百四十二页,共二百三十六页。共享网络的入侵(rùqīn)检测部署143IDSSensorConsoleHUBMonitoredServers第一百四十三页,共二百三十六页。交换网络(wǎngluò)的入侵检测部署144IDSSensorConsole通过(tōngguò)端口镜像实现(SPAN/PortMonitor)SwitchMonitoredServers第一百四十四页,共二百三十六页。分段网络(wǎngluò)的部署在一个分段的网络中,应保证IDS的探测器可以监听到所有(suǒyǒu)网络数据145IDSSensorConsoleIDSSensorSwitchMonitoredServersMonitoredServersRouter第一百四十五页,共二百三十六页。发展趋势分析技术的改进内容(nèiróng)恢复和网络审计功能的引入集成网络分析和管理功能安全性和易用性的提高改进对大数据量网络的处理方法防火墙联动功能入侵防护系统(IPS)146第一百四十六页,共二百三十六页。IPS147第一百四十七页,共二百三十六页。TCP/IP协议(xiéyì)栈对应的VPN协议148第一百四十八页,共二百三十六页。VPN技术(jìshù)及应用简介-IPSECIPSEC协议简介(RFC2401-2409等)IPSec(网络安全协议)协议是一个协议集而不是一个单个的协议;IPSec协议给出了应用于IP层上网络数据安全的一整套体系结构;自1995年IPSec的研究工作开始以来,IETF组织(zǔzhī)已经积累了大量的标准文件集(RFC)。149第一百四十九页,共二百三十六页。VPN技术及应用(yìngyòng)简介-IPSECIPSec协议的组成IPSec协议包括AH协议、ESP协议、密钥管理协议(IKE协议)和用于网络验证及加密的一些算法等。IPSec规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上(xiàngshàng)提供了访问控制、数据源验证、数据加密等网络安全服务。150第一百五十页,共二百三十六页。IPSec基本原理对报文进行安全(ānquán)封装后再在不可信赖网络上传输并检查和解除接收到的报文的安全(ānquán)封装151IPSEC隧道报文封装报文解封AB第一百五十一页,共二百三十六页。VPN技术(jìshù)及应用简介-IPSECIPSec认证(rènzhèng)-AH协议152其使用的包头号放在标准的IPv4和IPv6包头和下一个高层协议帧(如TCP、UDP、ICMP、ESP等)之间;国际IANA机构分配给AH的协议号为51。IPv4包头AH包头高层协议AH协议提供数据的认证服务;保证数据在传输过程中没有被改变或破坏,数据的顺序也没有很大变化。第一百五十二页,共二百三十六页。VPN技术(jìshù)及应用简介-IPSECIPSec加密(jiāmì)-ESP协议153其使用的包头号放在标准的IPv4和IPv6包头和下一个高层协议帧(如TCP、UDP、ICMP等)之间。国际IANA机构分配给ESP的协议号为50。IPv4包头ESP包头高层协议ESP协议为IP数据包提供机密性、数据源验证、抗重播以及数据完整性等安全服务。第一百五十三页,共二百三十六页。安全(ānquán)联盟(SA)安全联盟简称SA,是构成IPSec的基础。SA是两个通信实体经协商建立起来的一种(yīzhǒnɡ)协定。SA是单向的,双向的通信需要两个SA。154主机A主机BSA(out)SA(in)SA(in)SA(out)共享相同的加密参数共享相同的加密参数第一百五十四页,共二百三十六页。安全(ānquán)联盟(SA)SA是安全策略通常用一个三元组唯一的表示:<SPI,IP目的地址,安全协议标识符>SPI:安全参数索引(SecurityParametersIndex),说明用SA的IP头类型,它可以包含认证算法、加密算法、用于认证加密的密钥以及密钥的生存期;IP目的地址:指定(zhǐdìng)输出处理的目的IP地址,或输入处理的源IP地址;安全协议标识符:指明使用的协议是AH还是ESP或者两者同时使用。155第一百五十五页,共二百三十六页。安全(ānquán)关联数据库SADSAD存放着和安全实体相关的所有SA,每个SA由三元组索引。一个SAD条目包含下列域:序列号计数器:32位整数,用于生成AH或ESP头中的序列号;序列号溢出标志:标识是否对序列号计数器的溢出进行审核;抗重发窗口:使用一个32位计数器和位图确定一个输入的AH或ESP数据包是否是重发包;IPSec协议操作模式:传输(chuánshū)或隧道;AH的认证算法和所需密钥;ESP的认证算法和所需密钥;ESP加密算法,密钥,初始向量(IV)和IV模式;路径最大传输单元;进出标志;SA生存期状态。156第一百五十六页,共二百三十六页。安全策略数据库SPDSPD决定了对数据包提供的安全服务,所有IPSec实施方案的策略都保存在该数据库中。IP包的处理过程中,系统要查阅SPD,每一个数据包,都有三种可能的选择:丢弃、绕过IPSec或应用IPSec:丢弃:根本不允许数据包离开主机穿过安全网关;绕过:允许数据包通过,在传输中不使用IPSec进行保护(bǎohù);应用:在传输中需要IPSec保护数据包,对于这样的传输SPD必须规定提供的安全服务、所使用的协议和算法等等。157第一百五十七页,共二百三十六页。IPSec对数据包的处理(chǔlǐ)158TCP层产生的或者需要转发的数据包安全关联?处理策略?查询SPD丢弃绕过IPSec应用IPSec,查询SADSA不存在或SA无效进行IPSec处理添加IPSec头SA有效添加IP头,送到IP层发送队列返回丢弃数据包,记录出错信息
协商成功?启动IKE协商否是第一百五十八页,共二百三十六页。SA的管理(guǎnlǐ)SA管理的两大任务创建先协商(xiéshāng)SA参数,再用SA更新SADB删除SA管理方式手工进行通过Internet密钥交换协议来完成,如IKE159第一百五十九页,共二百三十六页。IPSec两种安全(ānquán)机制IPSec提供了两种安全机制:认证和加密。认证机制使IP通信的数据(shùjù)接收方能够确认数据(shùjù)发送方的真实身份以及数据(shùjù)在传输过程中是否遭篡改;加密机制通过对数据进行编码来保证数据的机密性,以防数据在传输过程中被窃听。AH定义了认证的应用方法,提供数据源认证和完整性保证;ESP定义了加密和可选认证的应用方法,提供可靠性保证。IKE的作用是协助进行安全管理,它在IPSec进行处理过程中对身份进行鉴别,同时进行安全策略的协商和处理会话密钥的交换工作。160第一百六十页,共二百三十六页。IP认证(rènzhèng)包头AHAH协议提供无连接的完整性、数据源认证和抗重发保护服务,但不提供保密性服务。它能保护通信免受篡改,但不能防止窃听(qiètīnɡ),适用于传输非机密数据。AH在每一个数据包上添加一个身份验证包头。161
IP头IPSecAH头传输层头(TCP/UDP)数据
下一个包头长度保留安全参数索引(SPI)序列号认证数据第一百六十一页,共二百三十六页。AH包头(bāotóu)字段下一个包头(NextHeader,8位):标识紧跟AH头后面使用(shǐyòng)IP协议号的包头;载荷长度(PayloadLen,8位):AH包头长度;保留(Reserved,16位):为将来的应用保留,(目前为0);安全参数索引(SPI,32位):与目的IP地址一同标识SA;序列号(SequenceNumberField,32位):从1开始的32位单增序列号,不允许重复,唯一地标识每一个发送的数据包,为SA提供反重发保护。认证数据(AuthenticationData,长度可变):包含完整性检查和。162第一百六十二页,共二百三十六页。VPN技术及应用(yìngyòng)简介-IPSEC163通道(tōngdào
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 电台承包合同(2篇)
- 区域配送承包协议书(2篇)
- 单位和个人签的销售合同范本(2篇)
- 二零二四年度企业级云存储服务合同
- 二零二四年度盆栽艺术品买卖合同
- 二零二四年度甲方乙方就现代农业产业园区建设的合同
- 代持股票协议合规性分析报告
- 服务外包合同的合规性
- 生态园艺花木合同
- 抵押合同解除还款责任解除协议
- 标准中介服务合同样本
- 河北省唐山市部分学校2024-2025学年高一上学期11月期中联考化学试卷(含答案)
- 肠道菌群与炎症性肠病
- 2024-2030年中国汽车模具行业竞争模式及投资战略分析报告
- 第14课《山水画的意境》跨学科教学设计+2023-2024学年初中语文统编版九年级下册
- 学校心理辅导谈话方案预案
- PMP项目管理师考试试卷及答案指导(2024年)
- 航空运输数据挖掘
- 领导干部离任交接表
- 品酒师(四级)资格认证考试题及答案
- 2024秋期国家开放大学专科《基础会计》一平台在线形考(形考任务一至四)试题及答案
评论
0/150
提交评论