网络安全培训课程提纲

南京市国家保密局培训课程提纲一.网络安全与防火墙技术网络安全概述随着政府上网、海关上网、电子商务、网上娱乐等一系列网络应用的蓬勃发展，Internet正在越来越多地离开原来单纯的学术环境，融入到社会的各个方面。一方面，网络用户成分越来越多样化，出于各种目的的网络入侵和攻击越来越频繁；另一方面，网络应用越来越深地渗透到金融、商务、国防等等关键要害领域。换言之，Internet网的安全，包括其上的信息数据安全和网络设备服务的运行安全，日益成为与国家、政府、企业、个人的利益休戚相关的"大事情"。安全保障能力是新世纪一个国家综合国力、经济竞争实力和生存能力的重要组成部分。不夸张地说，它在下个世纪里完全可以与核武器对一个国家的重要性相提并论。这个问题解决不好将全方位地危及我国的政治、军事、经济、文化、社会生活的各个方面，使国家处于信息战和高度经济金融风险的威胁之中。去年的印尼排华浪潮导致中国黑客对印尼站点的大规模攻击，也招致了印尼黑客的报复；科索沃危机引发南黑客对美国军方站点的报复性攻击；今年台独势力的猖獗引发了大陆黑客对台湾官方站点和台独党派站点的攻击，海峡两岸以及美国各种媒体沸沸扬扬，纷纷长篇累犊地报导。可以说，网络战争已经在另外一个维度上成为"政治的延续"。从网络运行者的角度来看，三月份，宁夏169网主页被修改；四月份，辽宁电信网站被入侵导致停机两次；六月份，中国商务网()被自称inS的黑客更改主页；七月份以来国内多个网站遭到台湾黑客报复性攻击。这些攻击伤害了网络运行者的信誉和形象，同时也使企业蒙受了经济上的损失。美国政府对网络安全的研究起步很早。1985年，美国国防部基于军事计算机系统的保密需要，制订了"可信计算机系统安全评价准则"(TCSEC),随后又制订了关于网络系统、数据库等方面的系列安全建议，形成了安全信息系统体系结构的最早原则。美国政府将网络安全产品当作战略武器，严格限制出口的种类。并且，从新闻报导分析来看，它有意容忍黑客组织的活动，目的是使黑客的攻击置于一定的控制之下，并且通过这一渠道获得防范攻击的实战经验。目前我国对计算机网络安全产品的认证研究刚开始起步，尚没有对计算机安全发布权威性的标准方案。新刑法中关于计算机网络犯罪的条款也没有解决法律上的问题。例如，去年上海热线杨威入侵案的审理过程说明了新刑法在新兴的计算机犯罪的定罪和量刑上的模糊不清。所以，不管在设计网络安全方案时，还是在确认事故、攻击、入侵等级时都显得无所适从。对于企业来说，尤其是大的ISP，等待国家去研究发布相应的标准是不恰当的。应当尽快组织自己的IT部门或购买其它公司的相应服务来确立自己企业网的安全策略，并且下决心去实施，并且定期地检查实际情况与安全策略的差距。应该说，Internet技术是一把双刃剑，它在为我国国民经济建设、人民的物质文化生活带来促进和丰富的同时，也对传统的国家安全体系提出了严峻的挑战，使得国家机密、金融信息等面临巨大的威胁。但是，正确的态度应该是辨证的态度。一方面不能因噎废食，拒绝先进的网络技术和文化，但另一方面一定要对网络威胁给予充分的重视。曙光公司总裁李国杰院士表示：国家标准是一种主权。中国工程院院士沈昌祥说：构筑信息与网络安全防线-事关重大、刻不容缓。网络的安全威胁网络面临的安全威胁大体可分为两种：一是对网络数据的威胁；二是对网络设备的威胁。这些威胁可能来源于各种各样的因素：可能是有意的，也可能是无意的；可能是来源于企业外部的，也可能是内部人员造成的；可能是人为的，也可能是自然力造成的。总结起来，大致有下面几种主要威胁：非人为、自然力造成的数据丢失、设备失效、线路阻断人为但属于操作人员无意的失误造成的数据丢失来自外部和内部人员的恶意攻击和入侵前面两种的预防与传统电信网络基本相同，不在本文讨论范围之内。最后一种是当前Internet网络所面临的最大威胁，是电子商务、政府上网工程等顺利发展的最大障碍，也是企业网络安全策略最需要解决的问题。网络攻击的定义对网络安全管理员来说，可能导致一个网络受到破坏、网络服务受到影响的所有行为都应称为攻击，也可以说攻击是指谋取超越目标网络安全策略所限定的服务(入侵)或者使目标网络服务受到影响甚至停止(攻击)的所有行为。攻击行为从攻击者开始在接触目标机的那个时刻起可以说就已经开始了。攻击的动机招致网络攻击的原因有方方面面。国家机密、商业竞争、对顾主单位的不满、对网络安全技术的挑战、对企业核心机密的企望、网络接入帐号、信用卡号等金钱利益的诱惑、利用攻击网络站点而出名、对网络的好奇心(这方面主要是孩子们)等，当然其它一些原因也都可能引起攻击者的蓄意攻击行为。但是从已见报道的网络犯罪案件来看，多数网络犯罪者都很年轻，它们表示原来并不知道这样做是犯罪。另外，目前国内多数网络系统管理人员和工程施工人员对网络安全问题重视不够，意识淡漠，建设中或建设后在没有采取足够的安全防护措施的情况下，将网络接入因特网上，也为计算机犯罪打开了方便之门。使得一些青少年利用从网络上学来的简单入侵手段就能在网络上通行无阻，在满足自己好奇心的同时，触犯了国家法律。根据美国联邦调查局1998年的统计数据，网络攻击主要包括四种来源，它们分别是国外政府、竞争对手、黑客和不满的雇员。值得注意的是当前出于政治目的和商业竞争目的的网络攻击日益增多。某集成商的演示系统在开标前夕突然失去服务，而该系统之前从未出现类似问题。竞争对手出于竞争目的，为打击对手的商业信誉可能会发动攻击行为。从前言的叙述中，我们也看到了网络攻击和入侵对于获取其它目标国家或机构的机密信息是一种非常重要的手段。3.防火墙技术古时候,人们常在寓所之间砌起一道砖墙,一旦火灾发生,它能够防止火势蔓延到别的寓所。自然这种墙因此而得名“防火墙”。现在如果一个网络接到了Internet上面，它的用户就可以访问外部世界并与之通信。但同时,外部世界也同样可以访问该网络并与之交互。为安全起见,可以在该网络和Internet之间插入一个中介系统,竖起一道安全屏障。这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵,提供扼守本网络的安全和审计的唯一关卡。这种中介系统也叫做“防火墙”,或“防火墙系统”。简言之,一个防火墙在一个被认为是安全和可信的内部网络和一个被认为是不那么安全和可信的外部网络（通常是Internet）之间提供一个封锁工具。在使用防火墙的决定背后，潜藏着这样的推理：假如没有防火墙，一个网络就暴露在不那么安全的Internet诸协议和设施面前，面临来自Internet其他主机的探测和攻击的危险。在一个没有防火墙的环境里，网络的安全性只能体现为每一个主机的功能，在某种意义上，所有主机必须通力合作，才能达到较高程度的安全性。网络越大，这种较高程度的安全性越难管理。随着安全性问题上的失误和缺陷越来越普遍，对网络的入侵不仅来自高超的攻击手段，也有可能来自配置上的低级错误或不合适的口令选择。因此，防火墙的作用是防止不希望的、未授权的通信进出被保护的网络，迫使单位强化自己的网络安全政策。实现防火墙的技术包括两大类型：包过滤（PF）、应用级防火墙。它们之间各有所长，具体使用哪一种或是否混合使用，要看具体需要。包过滤型防火墙检查的范围涉及网络层、传输层和会话层，过滤匹配的原则可以包括源地址、目的地址、传输协议、目的端口等。还可以根据TCP序列号、TCP连接的握手序列（如SYN、ACK）的逻辑分析等进行判断，较为有效地抵御类似IPSpoofing、Syncflooding等类型的攻击。路由器通过配置其中的访问控制列表可以作为包过滤防火墙使用，但是过多的控制列表会严重降低路由器的性能。所以在业务量较大的场合需要将路由和包过滤两种功能分开，也就是说有必要单独购买专门防火墙。访问控制表（ACL）定义了各种规则来表明是否同意或拒绝包的通过，表一是典型ACL示例。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果规则都不符合，则缺省操作为丢弃该包。包过滤型防火墙配置简洁、速度快、费用较低，并且对用户透明，但是对应用层的信息无法控制，对内网的保护有限。表一访问控制列表（ACL）示例源IP源端口目的IP目的端口协议动作记录备注1intra_ipanyanyAnyudp/tcpDeny防止外部IPspoof2anyanyWww_ip80udp/tcpPermit允许WWW3anyanyMail_ip25TcpPermitlog允许Mail服务

4anyanyDns_ip53UdpPermit允许DNS服务5anyanyDns_ip53TcpPermitlog允许DNS转发6anyanyanyAnyudp/tcpDeny禁止其他服务注:在上面配置建议中，各个地址含义如下：WWW服务器地址：www_ipMAIL服务器地址：mail_ipDNS服务器地址：dns_ip外部地址网段：inter_ip内部地址网段：intra_ip2.应用级防火墙应用级防火墙能够检查进出的数据包，透视应用层协议，与既定的安全策略进行比较。该类型防火墙能够进行更加细化复杂的安全访问控制，并做精细的注册和稽核。根据是否允许两侧通信主机直接建立链路，又可以分为网关和代理两种。前者允许两侧建立直接连接而是依靠某种算法来识别进出的应用层数据，这些算法通过已知合法数据包的模式来比较进出数据包。而后者通过特定的代理程序在两侧主机间复制传递数据，不允许建立直接连接每一种应用需要相应的代理软件，使用时防火墙负载较大，效率不如前者。目前在市场上流行的防火墙大多属于应用级防火墙。3.天网防火墙简介天网防火墙在总体上采用软硬件一体化的结构，通过与硬件系统的深层结合，比基于任何传统的软件防火墙都更加高效，安全，而且更加实时化。天网防火墙系统是一套全面、创新、高安全性、高性能的网络安全系统。它根据系统管理者设定的安全规则(SecurityRules)把守企业网络，提供强大的访问控制、身份认证、应用选通、网络地址转换(NetworkAddressTranslation)、信息过滤、虚拟专网(VPN)、流量控制、虚拟网桥等功能。提供完善的安全性设置，通过高性能的网络核心进行访问控制。它采用了WBM(WebBaseManagement管理界面，通过直观、易用的界面管理强大、复杂的系统功能。系统采用中国化的设计，不单是界面全中文化，还提供了符合中国国情的全文过滤系统。系统具有以下特点：特点简要说明1硬件集成设计系统与硬件紧密结合，发挥硬件最高效能，提高系统自身安全性。2高性能系统核心系统米用专用的网络操作系统SNOS(SkyNetOS)系统，防火墙与系统内核融为一体，加上汇编级的网络底层驱动，3完善的访问控制管理员可以根据系统提供的完善选项，设定对网络地址段、网络地址与网络端口服务访问控制政策。系统还可以支持针

对网络物理(MAC)地址绑定的功能，令到IP地址不会被盗用。4虚拟网桥设备系统支持透明多个网桥设备，系统可以将任意的网络端口加入网桥设备中，使防火墙变成一台没有网络地址的网桥设备。5透明的代理服务当内部用户需要访问外部资源时，只要经过身份认证，建立在NetworkLayer的Proxy就会建立透明的通道。6双向地址转换系统支持动态、静态、双向的NAT。7对等三网络端口系统提供对等的三个网络端口，让管理员灵活应用。如建立DMZ(DemilitarizedZone)、连接2个外部物理网段、连接两个内部物理网段等。8智能的内容过滤系统可以对选定内容进彳丁智能分析、过滤功能。当有符合条件的数据流通本防火墙，系统可以检查数据内容，条件成立后会根据预先设定的控制逻辑处理该数据流，如拒绝进入、纪录备案等，实现内容控制。9URL级的统计、屏蔽系统提供精确到具体页面地址的访问统计与数据拦截功能。10统计计费功能系统提供的统计接口，可以对经过防火墙的访问节点地址进行记录，统计分析得出各节点的访问量，访问次数，访问人数，计费信息。11VPN虚拟专网 系统提供IP数据隧道功能，并且在组建VPN时，可以采用多种加密算法(56BitsDES、168Bits3DES、MD5、RC4、SHA1、IDEA)对数据加密。4.网络整体安全策略的必要尽管防火墙已经在Internet业界得到了广泛的应用，关于防火墙的话题仍然十分敏感。防火墙的拥护者们把防火墙看成是一种重要的新型安全措施,因为它把诸多安全功能集中到一点上，大大简化了安装、配置和管理的手续。许多公司把防火墙当做自己单位驻Internet的大使馆，当做关于其项目、产品、服务等公共信息的仓库。从美国生产厂家的观点来看，防火墙技术是很有意义的，因为它不用加密，因而在出口上不受限制。但是，目前提供的大多数防火墙产品确实支持这种或那种的IP层加密功能，从而在这方面受到美国出口政策的控制。防火墙的另一个特色是它不限于TCP/IP协议，从而不只适用于Internet。确实，类似的技术完全可以用在任何分组交换网络当中，例如X.25或ATM都可以。防火墙的批评者们一般关注的是防火墙的使用不便之处，例如:需要多次登录及其他不受约束的机制，影响Internet的使用甚至影响Internet的生存。他们声称：防火墙给人制造一种虚假的安全感，导致在防火墙内部放松安全警惕。他们也注意到，许多攻击是内部犯罪，这是任何基于隔离的防范措施都无能为力的。同样，防火墙也不能解决进入防火墙的数据带来的所有安全问题。如果用户抓来一个程序在本地运行，那个程序很可能就包含一段恶意的代码，或泄露敏感信息，或对之进行破坏。随着Java、JavaScript和ActiveX控件及其相应浏览器的大量持续推广，这一问题变得更加突出和尖锐。防火墙的另一个缺点是很少有防火墙制造商推出简便易用的“监狱看守”型的防火墙，大多数的产品还停留在需要网络管理员手工建立的水平上。当然，这一方面马上会出现重大的变化。

尽管存在这些争议,防火墙的拥护者和批评者都承认,防火墙不能替代墙内的谨慎的安全措施。防火墙在当今Internet世界中的存在是有生命力的。它是一些对高级别的安全性有迫切要求的机构出于实用的原因建造起来的,因此,它不是解决所有网络安全问题的万能药方,而只是网络安全政策和策略中的一个组成部分。企业的安全策略是企业在网络安全工作中的法律。网络安全工作要有法可依。如果说网络安全的目标是一座大厦的话，那么相应的安全策略就是施工的蓝图。它使网络建设和管理过程中的安全工作避免盲目性。但是，它并没有得到足够的重视。国际调查显示，目前55%的企业网没有自己的安全策略。网络安全策略应该对企业的各种网络服务的安全、档次、地位和用户的权限、分类、安全故障处理、网络拓扑结构、管理员的职责、入侵和攻击的防御和检测、备份和灾难恢复计划等内容二.认证与加密1.认证与加密基本知识介绍信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网络会话的完整性。网络加密可以在链路级、网络级、应用级等进行。信息加密过程是由形形色色的加密算法来具体实施。据不完全统计，到目前为止，已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类，可以将这些加密算法分为对称（私钥）密码算法和不对称（公钥）密码算法。在对称密码中，加密和解密使用相同的密钥，即加密密钥和解密密钥是相同或等价的。比较著名的常规密码算法有：美国的DES及其各种变形、欧洲的IDEA、RC4、RC5以及以代换密码和转轮密码为代表的古典密码等。对称密码的优点是有很强的保密强度，且经受住时间的检验和攻击，但其密钥必须通过安全的途径传送。因此，其密钥管理成为系统安全的重要因素。在不对称密码中，加密和解密使用的密钥互不相同，而且几乎不可能从加密密钥推导出解密密钥。比较著名的公钥密码算法有：RSA、Diffe-Hellman等。最有影响的公钥密码算法是RSA，它能抵抗到目前为止已知的所有密码攻击。公钥密码的优点是可以适应网络的开放性要求，且密钥管理问题也较为简单，尤其可方便的实现数字签名和验证。但其算法复杂。加密数据的速率较低。尽管如此，随着现代电子技术和密码技术的发展，公钥密码算法将是一种很有前途的网络安全加密体制。现在流行的PGP和SSL等加密技术将常规密码和公钥密码结合在一起使用，利用DES或IDEA来加密信息，而采用RSA来传递会话密钥。加密技术是网络安全最有效的技术之一2.认证与加密的实现方式介绍2.1网络认证对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户注册时首先输入用户名和口令，服务器将验证所输入的用户名是否合法。如果验证合法，才继续验证用户输入的口令，否则，用户将被拒之网络之外。用户的口令是用户入网的关键所在。为保证口令的安全性，用户口令不能显示在显示屏上，用户口令通常是经过加密后存储在主机系统中的，即使是系统管理员也难以破解。但是，非常遗憾的是传统的因特网上传输的是明文，包括TELNET、FTP、HTTP、POP3等应用，这样网络窃听可以非常容易地得到明文的用户口令。针对明文网络传输的弱点，可以采用的加强措施包括：SSH:加强TELNET，登录时的口令加密后传输。该软件网络上可以免费获得。SSL:几乎可以和大多数应用配合使用。最典型的应用是加强HTTP。它使用公钥与私钥结合的方法，可以抵御重发(replay)、人中介(man-in-the-middle)、穷举分析(plain-text)等攻击。关于三种攻击方法的原理超出了本文的讨论范围。该软件网络上也可以免费获得。但CA证书的申请一般需要交费。一次性用户口令：如S/KEY系统等。这样即使明文口令被截获，但由于下次登录时系统将使用新口令，而使攻击无效。PGP：通用的公钥加密工具。可以用来加密电子邮件、机密文档等。安全性的关键在于私钥本身的安全性。网络上可以免费获得该软件的国际版。自动回呼设备：拨号服务器设定特定用户对特定电话号码的自动回拨可以防止假冒的拨号用户。多数拨号服务器支持该功能。2数据传输加密(基于IPSEC的加密技术)IPSec认证IPSec认证包头(AH)是一个用于提供IP数据报完整性和认证的机制。完整性保证数据报不被无意的或恶意的方式改变，而认证则验证数据的来源(主机、用户、网络等。AH本身其实并不支持任何形式的加密，它不能保护通过Internet发送的数据的可信性。AH只是在加密的出口、进口或使用受到当地政府限制的情况下可以提高全球Intenret的安全性。当全部功能实现后，它将通过认证IP包并且减少基于IP欺骗的攻击机率来提供更好的安全服务。AH使用的包头放在标准的IPv4和IPv6包头和下一个高层协议帧(如TCP、UDP、ICMP等)之间。AH协议通过在整个IP数据报中实施一个消息文摘计算来提供完整性和认证服务。一个消息文摘就是一个特定的单向数据函数，它能够创建数据报的唯一的数字指纹。消息文摘算法的输出结果放到AH包头的认证数据(Authentication_Data)区。消息文摘5算法(MD5)是一个单向数学函数。当应用到分组数据中时，它将整个数据分割成若干个128比特的信息分组。每个128比特为一组的信息是大分组数据的压缩或摘要的表示。当以这种方式使用时，MD5只提供数字的完整性服务。一个消息文摘在被发送之前和数据被接收到以后都可以根据一组数据计算出来。如果两次计算出来的文摘值是一样的，那么分组数据在传输过程中就没有被改变。这样就防止了无意或恶意的窜改。在使用HMAC-MD5认证过的数据交换中，发送者使用以前交换过的密钥来首次计算数据报的64比特分组的MD5文摘。从一系列的16比特中计算出来的文摘值被累加成一个值，然后放到AH包头的认证数据区，随后数据报被发送给接收者。接收者也必须知道密钥值，以便计算出正确的消息文摘并且将其与接收到的认证消息文摘进行适配。如果计算出的和接收到的文摘值相等，那么数据报在发送过程中就没有被改变，而且可以相信是由只知道秘密密钥的另一方发送的。IPSec加密封包安全协议(ESP)包头提供IP数据报的完整性和可信性服务ESP协议是设计以两种模式工作的：隧道(Tunneling)模式和传输(Transport)模式。两者的区别在于IP数据报的ESP负载部分的内容不同。在隧道模式中，整个IP数据报都在ESP负载中进行封装和加密。当这完成以后,真正的IP源地址和目的地址都可以被隐藏为Internet发送的普通数据。这种模式的一种典型用法就是在防火墙－防火墙之间通过虚拟专用网的连接时进行的主机或拓扑隐藏。在传输模式中，只有更高层协议帧（TCP、UDP、ICMP等）被放到加密后的IP数据报的ESP负载部分。在这种模式中，源和目的IP地址以及所有的IP包头域都是不加密发送的。IPSec要求在所有的ESP实现中使用一个通用的缺省算法即DES-CBC算法。美国数据加密标准（DES）是一个现在使用得非常普遍的加密算法。它最早是在由美国政府公布的，最初是用于商业应用。到现在所有DES专利的保护期都已经到期了，因此全球都有它的免费实现。IPSecESP标准要求所有的ESP实现支持密码分组链方式（CBC）的DES作为缺省的算法。DES-CBC通过对组成一个完整的IP数据包（隧道模式）或下一个更高的层协议帧（传输模式）的8比特数据分组中加入一个数据函数来工作。DES-CBC用8比特一组的加密数据（密文）来代替8比特一组的未加密数据（明文）。一个随机的、8比特的初始化向量（IV）被用来加密第一个明文分组，以保证即使在明文信息开头相同时也能保证加密信息的随机性。DES-CBC主要是使用一个由通信各方共享的相同的密钥。正因为如此，它被认为是一个对称的密码算法。接收方只有使用由发送者用来加密数据的密钥才能对加密数据进行解密。因此，DES-CBC算法的有效性依赖于秘密密钥的安全，ESP使用的DES-CBC的密钥长度是56比特。3.VPN技术虚拟专网是指在公共网络中建立专用网络，数据通过安全的“管道”在公共网络中传播。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处，是目前和今后网络服务的重点项目。因此必须充分认识虚拟专网的技术特点，建立完善的服务体系。1、VPN工作原理目前建造虚拟专网的国际标准有IPSEC（RFC1825-1829）和L2TP（草案draft-ietf-pppext-l2tp-10）。其中L2TP是虚拟专用拨号网络协议，是IETF根据各厂家协议（包括微软公司的PPTP、Cisco的L2F）进行起草的，目前尚处于草案阶段oIPSEC是一系列基于IP网络（包括Intranet、Extranet和Internet）的，由IETF正式定制的开放性IP安全标准，是虚拟专网的基础，已经相当成熟可靠丄2TP协议草案中规定它（L2TP标准）必须以IPSEC为安全基础（见draft-ietf-pppext-l2tp-security-01）o因此，阐述VPN的工作原理，主要是分析IPSEC的工作原理。IPSEC提供三种不同的形式来保护通过公有或私有IP网络来传送的私有数据：认证一一作用是可以确定所接受的数据与所发送的数据是一致的，同时可以确定申请发送者在实际上是真实发送者，而不是伪装的。数据完整——作用是保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变。机密性——作用是使相应的接收者能获取发送的真正内容，而无意获取数据的接收者无法获知数据的真正内容。在IPSEC由三个基本要素来提供以上三种保护形式：认证协议头（AH）、安全加载封装（ESP）和互联网密匙管理协议（IKMP）o认证协议头和安全加载封装可以通过分开或组合使用来达到所希望的保护等级。认证协议头（AH）是在所有数据包头加入一个密码。正如整个名称所示，AH通过一个只有密匙持有人才知道的“数字签名”来对用户进行认证。这个签名是数据包通过特别的算法得出的独特结果；AH还能维持数据的完整性，因为在传输过程中无论多小的变化被加载，数据包头的数字签名都能把它检测出来。不过由于AH不能加密数据包所加载的内容，因而它不保证任何的机密性。两个最普遍的AH标准是MD5和SHA-1,MD5使用最高到128位的密匙，而SHA-1通过最高到160位密匙提供更强的保护。安全加载封装（ESP）通过对数据包的全部数据和加载内容进行全加密来严格保证传输信息的机密性，这样可以避免其他用户通过监听来打开信息交换的内容，因为只有受信任的用户拥有密匙打开内容。ESP也能提供认证和维持数据的完整性。最主要的ESP标准是数据加密标准（DES），DES最高支持56位的密匙，而3DES使用三套密匙加密，那就相当于使用最高到168位的密匙。由于ESP实际上加密所有的数据，因而它比AH需要更多的处理时间，从而导致性能下降。密匙管理包括密匙确定和密匙分发两个方面，最多需要四个密匙：AH和ESP各两个发送和接收密匙。密匙本身是一个二进制字符串，通常用十六进制表示，例如，一个56位的密匙可以表示为5F39DA752E0C25B4。注意全部长度总共是64位，包括了8位的奇偶校验。56位的密匙（DES）足够满足大多数商业应用了。密匙管理包括手工和自动两种方式，手工管理系统在有限的安全需要可以工作得很好，而自动管理系统能满足其他所有的应用要求。使用手工管理系统，密匙由管理站点确定然后分发到所有的远程用户。真实的密匙可以用随机数字生成器或简单的任意拼凑计算出来，每一个密匙可以根据集团的安全政策进行修改。使用自动管理系统，可以动态地确定和分发密匙，显然和名称一样，是自动的。自动管理系统具有一个中央控制点，集中的密匙管理者可以令自己更加安全，最大限度的发挥IPSEC的效用。2、IPSEC的实现方式IPSEC的一个最基本的优点是它可以在共享网络访问设备,甚至是所有的主机和服务器上完全实现，这很大程度避免了升级任何网络相关资源的需要。在客户端，IPSEC架构允许使用在远程访问介入路由器或基于纯软件方式使用普通MODEM的PC机和工作站。而ESP通过两种模式在应用上提供更多的弹性：传送模式和隧道模式。BasicPacketIPDataTranportModePacketIPAHESPnOriginalTunnelModePacketIPSECPacket可以在压缩原始IP地址和数据的隧道模式使用传送模式通常当ESP在一台主机（客户机或服务勤）上实现时使用，传送模式使用原始明文IP头，并且只加密数据，包括它的TCP和UDP头。隧道模式通常当ESP在关联到多台主机的网络访问介入装置实现时使用，隧道模式处理整个IP数据包——包括全部TCP/IP或UDP/IP头和数据，它用自己的地址做为源地址加入到新的IP头。当隧道模式用在用户终端设置时，它可以提供更多的便利来隐藏内部服务器主机和客户机的地址。4.利用天网防火墙架构VPN建立虚拟企业专网的工作由专门的网络服务器承担，在VPN中，不同企业内部网之间的通讯通过网络服务器间建立的IPSEC安全通道进行。由广州市众达讯通技术有限公司自行开发的天网防火墙系统在构造VPN方面作为专门的VPN网络服务器具有其独特的优点。它可以建立基于IPSEC的真正的虚拟专网，安全性高；不需要改变目前网络结构，只需要增加一台专用VPN服务器即可做到平滑升级；性价比高，符合经济考虑；扩展能力强，便于日后扩容；虚拟用户可以访问视聆通、Internet，互通性好；用户不需要进行任何额外设置，方便用户。而ISP可以使用天网防火墙系统来架构VPN，建立一个安全可靠的IPSEC安全通道，来进行各种私有数据的传送。具体的解决方案举例如下：天网防火墙VPN网关工作逻辑示意图（这里A与Al、A2和A3为同一虚拟专用网组，B与B1为同一虚拟专用网组）源网络地址目标网络地址使用协议密匙目标VPN网关A(lO.l.x.x)Al(l0.2.x.x)ESP(40Bits)KEY1G2A(lO.l.x.x)A2(l0.3.x.x)ESP(168Bits)KEY2G2A(lO.l.x.x)A3(l0.4.x.x)AH（无加密）无G3天网防火墙VPN网关网络连接地址表示例（VPN网关G1）天网防火墙系统的VPN服务体系采用IPSEC安全标准，利用天网虚拟专网复用技术,通过网络地址进行标识路由。所谓天网虚拟专网复用技术，就是指在一个VPN服务体系中建立起许多组互不干扰、相对独立的虚拟专网。例如图中VP