信息安全技术（HCIA-Security）（微课版）（第2版） 课件 第11、12章 数据传输与验证安全、VPN技术应用

加密与解密原理网络空间不是“法外之地”。网络空间是虚拟的，但运用网络空间的主体是真实存在的，大家都应该遵守法律，明确各方的权利和义务。文字学习王小云：全球密码学界传奇拓展主题爱国主义、科技强国、技能强国在Internet的传输中，基于TCP/IP协议栈封装的数据是明文传输的，这样就会存在很多潜在的危险。比如：密码、银行帐户的信息被窃取、篡改，用户的身份被冒充，遭受网络恶意攻击等。网络中应用加解密技术，可对传输的数据进行保护处理，降低信息泄漏的风险。学完本课程后，您将能够：描述加解密的发展历程描述不同加解密的过程掌握加解密算法的原理描述PKI证书体系架构掌握PKI证书体系工作机制加密技术发展加解密技术原理加解密常见算法数字证书PKI体系架构PKI工作机制加密技术加密是利用数学方法将明文（需要被隐蔽的数据）转换为密文（不可读的数据）从而达到保护数据的目的。密钥K信息密文C信息明文PC=En(K,

P)加密技术作用加密技术保密性鉴别性抗抵赖性完整性加密技术发展史Scytale凯撒密码双轨算法密码机加密技术发展加解密技术原理加解密常见算法数字证书PKI体系架构PKI工作机制加密技术分类对称加密又称为共享密钥加密，它使用同一个密钥对数据进行加密和解密。非对称加密加解密使用两个不同的密钥，私钥用来保护数据，公钥则由同一系统的人公用，用来检验信息及其发送者的真实性和身份。密钥：公钥&私钥。对称加密算法对称密钥对称密钥加密解密对称密钥对称密钥⑥④①②③⑤非对称加密算法乙的公钥乙的私钥乙的公钥乙的私钥加密解密⑥④①②③⑤缺点优点对称和非对称加密比较密钥分发问题加解密速度快加解密对速度敏感密钥安全性高对称加密非对称加密数据加密-

数字信封乙的私钥乙的公钥对称密钥对称密钥对称密钥对称密钥对称密钥乙的公钥乙的私钥加密加密解密解密⑥④①②③⑤⑦⑧⑨⑩⑦数据验证

-数字签名乙的私钥乙的公钥甲的私钥甲的公钥指纹指纹指纹乙的公钥乙的私钥甲的私钥甲的公钥加密HashHash数字签名数字签名加密解密解密指纹一致，接收报文；指纹不一致，丢弃报文。⑥④①②③⑤⑦⑧⑨⑩⑧⑪⑫⑬⑭加密技术发展加解密技术原理加解密常见算法数字证书PKI体系架构PKI工作机制对称加密算法流加密算法RC4分组加密算法DES3DESAESIDEARC2，RC5，RC6SM1，SM4非对称加密算法非对称加密算法DHRSADSA散列算法散列算法：把任意长度的输入变换成固定长度的输出。常见散列算法MD5（MessageDigestAlgorithm5）SHA（SecureHashAlgorithm）SM3（SeniorMiddle3）加密技术发展加解密技术原理加解密常见算法数字证书PKI体系架构PKI工作机制数字证书数字证书简称证书，它是一个经证书授权中心（即在PKI中的证书认证机构CA）数字签名的文件，包含拥有者的公钥及相关身份信息。数字证书可以说是Internet上的安全护照或身份证。当人们到其他国家旅行时，用护照可以证实其身份，并被获准进入这个国家。数字证书提供的是网络上的身份证明。数字证书技术解决了数字签名技术中无法确定公钥是指定拥有者的问题。数字证书证书有四种类型自签名证书：又称为根证书，是自己颁发给自己的证书，即证书中的颁发者和主体名相同。申请者无法向CA申请本地证书时，可以通过设备生成自签名证书，可以实现简单证书颁发功能。设备不支持对其生成的自签名证书进行生命周期管理（如证书更新、证书撤销等）。设备本地证书：设备根据CA证书给自己颁发的证书，证书中的颁发者名称是CA服务器的名称。申请者无法向CA申请本地证书时，可以通过设备生成设备本地证书，可以实现简单证书颁发功能。数字证书证书有四种类型CA证书：CA自身的证书。如果PKI系统中没有多层级CA，CA证书就是自签名证书；如果有多层级CA，则会形成一个CA层次结构，最上层的CA是根CA，它拥有一个CA“自签名”的证书。申请者通过验证CA的数字签名从而信任CA，任何申请者都可以得到CA的证书（含公钥），用以验证它所颁发的本地证书。本地证书：CA颁发给申请者的证书。证书结构最简单的证书包含一个公钥、名称以及证书授权中心的数字签名。证书结构一般情况下证书中还包括密钥的有效期，颁发者（证书授权中心）的名称，该证书的序列号等信息，证书的结构遵循X.509v3版本的规范。证书内容中各字段含义版本：即使用X.509的版本，目前普遍使用的是v3版本（0x2）。序列号：颁发者分配给证书的一个正整数，同一颁发者颁发的证书序列号各不相同，可用与颁发者名称一起作为证书唯一标识。签名算法：颁发者颁发证书使用的签名算法。证书结构颁发者：颁发该证书的设备名称，必须与颁发者证书中的主体名一致。通常为CA服务器的名称。有效期：包含有效的起、止日期，不在有效期范围的证书为无效证书。主体名：证书拥有者的名称，如果与颁发者相同则说明该证书是一个自签名证书。公钥信息：用户对外公开的公钥以及公钥算法信息。扩展信息：通常包含了证书的用法、CRL的发布地址等可选字段。签名：颁发者用私钥对证书信息的签名。证书格式设备支持三种文件格式保存证书。格式描述PKCS#12以二进制格式保存证书，可以包含私钥，也可以不包含私钥。常用的后缀有：.P12和.PFX。DER以二进制格式保存证书，不包含私钥。常用的后缀有：.DER、.CER和.CRT。PEM以ASCII码格式保存证书，可以包含私钥，也可以不包含私钥。常用的后缀有：.PEM、.CER和.CRT。加密技术发展加解密技术原理加解密常见算法数字证书PKI体系架构PKI工作机制PKI必要性PKI基本概念公钥基础设施PKI（PublicKeyInfrastructure），是一种遵循既定标准的证书管理平台，它利用公钥技术能够为所有网络应用提供安全服务。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。PKI体系架构一个PKI体系由终端实体、证书认证机构、证书注册机构和证书/CRL存储库四部分共同组成。PKI体系架构终端实体EE（EndEntity）：也称为PKI实体，它是PKI产品或服务的最终使用者，可以是个人、组织、设备（如路由器、防火墙）或计算机中运行的进程。证书认证机构CA（CertificateAuthority）：CA是PKI的信任基础，是一个用于颁发并管理数字证书的可信实体。它是一种权威性、可信任性和公正性的第三方机构，通常由服务器充当，例如WindowsServer2008。PKI体系架构CA通常采用多层次的分级结构，根据证书颁发机构的层次，可以划分为根CA和从属CA。根CA是公钥体系中第一个证书颁发机构，它是信任的起源。根CA可以为其它CA颁发证书，也可以为其它计算机、用户、服务颁发证书。对大多数基于证书的应用程序来说，使用证书的认证都可以通过证书链追溯到根CA。根CA通常持有一个自签名证书。从属CA必须从上级CA处获取证书。上级CA可以是根CA或者是一个已由根CA授权可颁发从属CA证书的从属CA。上级CA负责签发和管理下级CA的证书，最下一级的CA直接面向用户。例如，CA2和CA3是从属CA，持有CA1发行的CA证书；CA4、CA5和CA6是从属CA，持有CA2发行的CA证书。PKI体系架构当某个PKI实体信任一个CA，则可以通过证书链来传递信任，证书链就是从用户的证书到根证书所经过的一系列证书的集合。当通信的PKI实体收到待验证的证书时，会沿着证书链依次验证其颁发者的合法性。CA的核心功能就是发放和管理数字证书，包括：证书的颁发、证书的更新、证书的撤销、证书的查询、证书的归档、证书废除列表CRL（CertificateRevocationList）的发布等。PKI体系架构证书注册机构RA（RegistrationAuthority）：是数字证书注册审批机构，RA是CA面对用户的窗口，是CA的证书发放、管理功能的延伸，它负责接受用户的证书注册和撤销申请，对用户的身份信息进行审查，并决定是否向CA提交签发或撤销数字证书的申请。RA作为CA功能的一部分，实际应用中，通常RA并不一定独立存在，而是和CA合并在一起。RA也可以独立出来，分担CA的一部分功能，减轻CA的压力，增强CA系统的安全性。PKI体系架构证书/CRL存储库：由于用户名称的改变、私钥泄漏或业务中止等原因，需要存在一种方法将现行的证书吊销，即撤消公钥及相关的PKI实体身份信息的绑定关系。在PKI中，所使用的这种方法为证书废除列表CR。任何一个证书被撤消以后，CA就要发布CRL来声明该证书是无效的，并列出所有被废除的证书的序列号。因此，CRL提供了一种检验证书有效性的方式。证书/CRL存储库用于对证书和CRL等信息进行存储和管理，并提供查询功能。PKI体系架构构建证书/CRL存储库可以采用LDAP（LightweightDirectoryAccessProtocol）服务器、FTP（FileTransferProtocol）服务器、HTTP（HypertextTransferProtocol）服务器或者数据库等等。其中，LDAP规范简化了笨重的X.500目录访问协议，支持TCP/IP，已经在PKI体系中被广泛应用于证书信息发布、CRL信息发布、CA政策以及与信息发布相关的各个方面。如果证书规模不是太大，也可以选择架设HTTP、FTP等服务器来储存证书，并为用户提供下载服务。PKI生命周期PKI的核心技术就围绕着本地证书的申请、颁发、存储、下载、安装、验证、更新和撤销的整个生命周期进行展开。PKI生命周期证书申请：证书申请即证书注册，就是一个PKI实体向CA自我介绍并获取证书的过程。证书颁发：PKI实体向CA申请本地证书时，如果有RA，则先由RA审核PKI实体的身份信息，审核通过后，RA将申请信息发送给CA。CA再根据PKI实体的公钥和身份信息生成本地证书，并将本地证书信息发送给RA。如果没有RA，则直接由CA审核PKI实体身份信息。证书存储：CA生成本地证书后，CA/RA会将本地证书发布到证书/CRL存储库中，为用户提供下载服务和目录浏览服务PKI生命周期证书下载：PKI实体通过SCEP或CMPv2协议向CA服务器下载已颁发的证书，或者通过LDAP、HTTP或者带外方式，下载已颁发的证书。该证书可以是自己的本地证书，也可以是CA/RA证书或者其他PKI实体的本地证书。证书安装：PKI实体下载证书后，还需安装证书，即将证书导入到设备的内存中，否则证书不生效。该证书可以是自己的本地证书，也可以是CA/RA证书，或其他PKI实体的本地证书。通过SCEP协议申请证书时，PKI实体先获取CA证书并将CA证书自动导入设备内存中，然后获取本地证书并将本地证书自动导入设备内存中。PKI生命周期证书验证：PKI实体获取对端实体的证书后，当需要使用对端实体的证书时，例如与对端建立安全隧道或安全连接，通常需要验证对端实体的本地证书和CA的合法性（证书是否有效或者是否属于同一个CA颁发等）。如果证书颁发者的证书无效，则由该CA颁发的所有证书都不再有效。但在CA证书过期前，设备会自动更新CA证书，异常情况下才会出现CA证书过期现象。PKI生命周期PKI实体可以使用CRL或者OCSP（OnlineCertificateStatusProtocol）方式检查证书是否有效。使用CRL方式时，PKI实体先查找本地内存的CRL，如果本地内存没有CRL，则需下载CRL并安装到本地内存中，如果证书在CRL中，表示此证书已被撤销。使用OCSP方式时，PKI实体向OCSP服务器发送一个对于证书状态信息的请求，OCSP服务器会回复一个“有效”（证书没有被撤消）、“过期”（证书已被撤消）或“未知”（OCSP服务器不能判断请求的证书状态）的响应。PKI生命周期证书更新：当证书过期、密钥泄漏时，PKI实体必须更换证书，可以通过重新申请来达到更新的目的，也可以使用SCEP或CMPv2协议自动进行更新。证书撤销：由于用户身份、用户信息或者用户公钥的改变、用户业务中止等原因，用户需要将自己的数字证书撤消，即撤消公钥与用户身份信息的绑定关系。在PKI中，CA主要采用CRL或OCSP协议撤销证书，而PKI实体撤销自己的证书是通过带外方式申请。证书申请通常情况下PKI实体会生成一对公私钥，公钥和自己的身份信息（包含在证书注册请求消息中）被发送给CA用来生成本地证书，私钥PKI实体自己保存用来数字签名和解密对端实体发送过来的密文。PKI实体向CA申请本地证书有以下两种方式在线申请离线申请（PKCS#10方式）证书申请在线申请：PKI实体支持通过SCEP（SimpleCertificateEnrollmentProtocol）或CMPv2（CertificateManagementProtocolversion2）协议向CA发送证书注册请求消息来申请本地证书。离线申请：是指PKI实体使用PKCS#10格式打印出本地的证书注册请求消息并保存到文件中，然后通过带外方式（如Web、磁盘、电子邮件等）将文件发送给CA进行证书申请。加密技术发展加解密技术原理加解密常见算法数字证书PKI体系架构PKI工作机制PKI工作过程针对一个使用PKI的网络，配置PKI的目的就是为指定的PKI实体向CA申请一个本地证书，并由设备对证书的有效性进行验证。PKI工作过程PKI实体向CA请求CA证书，即CA服务器证书。CA收到PKI实体的CA证书请求时，将自己的CA证书回复给PKI实体。PKI实体收到CA证书后，安装CA证书。当PKI实体通过SCEP协议申请本地证书时，PKI实体会用配置的HASH算法对CA证书进行运算得到数字指纹，与提前配置的CA服务器的数字指纹进行比较，如果一致，则PKI实体接受CA证书，否则PKI实体丢弃CA证书。PKI工作过程PKI实体向CA发送证书注册请求消息（包括配置的密钥对中的公钥和PKI实体信息）。当PKI实体通过SCEP协议申请本地证书时，PKI实体对证书注册请求消息使用CA证书的公钥进行加密和自己的私钥进行数字签名。如果CA要求验证挑战密码，则证书注册请求消息必须携带挑战密码（与CA的挑战密码一致）。当PKI实体通过CMPv2协议申请本地证书时，PKI实体可以使用额外证书（其他CA颁发的本地证书）或者消息认证码方式进行身份认证。额外证书方式：PKI实体对证书注册请求消息使用CA证书的公钥进行加密和PKI实体的额外证书相对应的私钥进行数字签名。PKI工作过程消息认证码方式：PKI实体对证书注册请求消息使用CA证书的公钥进行加密，而且证书注册请求消息必须包含消息认证码的参考值和秘密值（与CA的消息认证码的参考值和秘密值一致）。CA收到PKI实体的证书注册请求消息。当PKI实体通过SCEP协议申请本地证书时，CA使用自己的私钥和PKI实体的公钥解密数字签名并验证数字指纹。数字指纹一致时，CA才会审核PKI实体身份等信息，审核通过后，同意PKI实体的申请，颁发本地证书。然后CA使用PKI实体的公钥进行加密和自己的私钥进行数字签名，将证书发送给PKI实体，也会发送到证书/CRL存储库。PKI工作过程当PKI实体通过CMPv2协议申请本地证书时：额外证书方式：CA使用自己的私钥解密和PKI实体的额外证书中的公钥解密数字签名并验证数字指纹。数字指纹一致时，CA才会审核PKI实体身份等信息，审核通过后，同意PKI实体的申请，颁发本地证书。然后CA使用PKI实体的额外证书中的公钥进行加密和自己的私钥进行数字签名，将证书发送给PKI实体，也会发送到证书/CRL存储库。消息认证码方式：CA使用自己的私钥解密后，并验证消息认证码的参考值和秘密值。参考值和秘密值一致时，CA才会审核PKI实体身份等信息，审核通过后，同意PKI实体的申请，颁发本地证书。然后CA使用PKI实体的公钥进行加密，将证书发送给PKI实体，也会发送到证书/CRL存储库。PKI工作过程PKI实体收到CA发送的证书信息。当PKI实体通过SCEP协议申请本地证书时，PKI实体使用自己的私钥解密，并使用CA的公钥解密数字签名并验证数字指纹。数字指纹一致时，PKI实体接受证书信息，然后安装本地证书。当PKI实体通过CMPv2协议申请本地证书时：额外证书方式：PKI实体使用额外证书相对应的私钥解密，并使用CA的公钥解密数字签名并验证数字指纹。数字指纹一致时，PKI实体接受证书信息，然后安装本地证书。消息认证码方式：PKI实体使用自己的私钥解密，并验证消息认证码的参考值和秘密值。参考值和秘密值一致时，PKI实体接受证书信息，然后安装本地证书。PKI工作过程PKI实体间互相通信时，需各自获取并安装对端实体的本地证书。PKI实体可以通过HTTP/LDAP等方式下载对端的本地证书。在一些特殊的场景中，例如IPSec，PKI实体会把各自的本地证书发送给对端。PKI实体安装对端实体的本地证书后，通过CRL或OCSP方式验证对端实体的本地证书的有效性。对端实体的本地证书有效时，PKI实体间才可以使用对端证书的公钥进行加密通信。如果PKI认证中心有RA，则PKI实体也会下载RA证书。由RA审核PKI实体的本地证书申请，审核通过后将申请信息发送给CA来颁发本地证书。证书应用场景-

通过HTTPS登录Web证书应用场景-IPSecVPN证书应用场景-SSLVPN以下哪些属于对称加密算法？（）MD5RSADESAES以下哪项是数字信封采用的算法？（）。对称加密算法非对称加密算法散列算法

下列那些不属于PKI生命周期的内容?()申请颁发存储修改PKI体系由哪几个部分组成?()终端实体证书认证机构证书注册机构证书/CRL存储库对称和非对称加密算法区别？数字信封、数字签名主要用于解决什么问题？常见的对称、非对称、散列算法有哪些？PKI体系架构组成及生命周期PKI工作机制证书的格式及证书内容的含义证书的常见应用场景加密技术应用维护网络安全不应有双重标准，不能一个国家安全而其他国家不安全,一部分国家安全而另—部分国家不安全,更不能以牺牲别国安全谋求自身所谓的“绝对安全”。文字学习“中国卫星之父”孙家栋，国家需要，我就去做！拓展主题爱国主义、科技强国、技能强国通过加密技术，可以保证网络中数据传输的安全性，数据不会被篡改和窥探；通过签名技术，可以保证数据的完整性，证明了数据发送方的身份；通过PKI证书认证技术，可以验证公钥的合法性，从而可以保证用户接入到安全、合法的网络中。通过使用这些技术，企业可以防止非法用户接入企业网络中。企业分支之间可以建立安全通道，保证企业数据的安全性。学完本课程后，您将能够：描述加密技术的应用场景掌握不同VPN技术的配置方法加密学的应用VPN简介VPN配置密码学应用密码学的应用主要有数字信封、数字签名和数字证书。数字信封：结合对称和非对称加密，从而保证数据传输的机密性。数字签名：采用散列算法，从而保证数据传输的完整性。数字证书：通过第三方机构（CA）对公钥进行公证，从而保证数据传输的不可否认性。应用场景结合到实际的网络应用场景，数字信封、数字签名和数字证书又有对应场景的应用。VPNIPv6HTTPS登录系统登录授权加密学的应用VPN简介VPN配置VPN定义虚拟专用网VPN(VirtualPrivateNetwork)是一种“通过共享的公共网络建立私有的数据通道，将各个需要接入这张虚拟网的网络或终端通过通道连接起来，构成一个专用的、具有一定安全性和服务质量保证的网络”。虚拟：用户不再需要拥有实际的专用长途数据线路，而是利用Internet的长途数据线路建立自己的私有网络。专用网络：用户可以为自己制定一个最符合自己需求的网络。VPN分类数据链路层网络层L3VPNL2VPNGREIPSecL2TPPPTPL2F传输层SSLVPNVPN的应用场景Site-to-SiteVPN用于两个局域网之间建立连接。可采用的VPN技术：IPSec、L2TP、L2TPoverIPSec、GREoverIPSec、IPSecoverGRE。Client-to-SiteVPN用于客户端与企业内网之间建立连接。可采用的VPN技术：SSL、IPSec、L2TP、L2TPoverIPSec。L2TPVPN简介L2TP(LayerTwoTunnelingProtocol)二层隧道协议为在用户和企业的服务器之间透明传输PPP报文而设置的隧道协议。提供了对PPP链路层数据包的通道（Tunnel）传输支持。L2TPVPN主要有三种使用场景NAS-InitiatedVPNLAC自动拨号Client-InitiatedVPNClient-InitiatedVPN方式L2TPVPN一般用于出差员工使用PC、手机等移动设备接入总部服务器，实现移动办公的场景，也是最为常用L2TP拨号方式。Client-InitiatedVPN隧道和会话建立过程GREVPN简介GeneralRoutingEncapsulation，简称GRE，是一种三层VPN封装技术。GRE可以对某些网络层协议（如IPX、AppleTalk、IP等）的报文进行封装，使封装后的报文能够在另一种网络中（如IPv4）传输，从而解决了跨越异种网络的报文传输问题。异种报文传输的通道称为Tunnel（隧道）。GRE报文处理过程GRE安全策略PC_A发出的原始报文进入Tunnel接口这个过程中，报文经过的安全域间是Trust—>DMZ；原始报文被GRE封装后，FW_A在转发这个报文时，报文经过的安全域间是Local—>Untrust当报文到达FW_B时，FW_B会进行解封装。在此过程中，报文经过的安全域间是Untrust—>Local；GRE报文被解封装后，FW_B在转发原始报文时，报文经过的安全域间是DMZ—>Trust。IPSecVPN简介IPSec（IPSecurity）协议族是IETF制定的一系列安全协议，它为端到端IP报文交互提供了基于密码学的、可互操作的、高质量的安全保护机制。IPSecVPN是利用IPSec隧道建立的网络层VPN。IPSec协议体系IPSec通过验证头AH（AuthenticationHeader）和封装安全载荷ESP（EncapsulatingSecurityPayload）两个安全协议实现IP报文的安全保护。IPSec安全联盟IPSec安全传输数据的前提是在IPSec对等体（即运行IPSec协议的两个端点）之间成功建立安全联盟SA（SecurityAssociation）。SA是通信的IPSec对等体间对某些要素的约定。封装模式-

传输模式在传输模式中，AH头或ESP头被插入到IP头与传输层协议头之间，保护TCP/UDP/ICMP负载。封装模式-

隧道模式在隧道模式下，AH头或ESP头被插到原始IP头之前，另外生成一个新的报文头放到AH头或ESP头之前，保护IP头和负载。IKESAIKE

SA是为IPSecSA服务的，为IPSec提供了自动协商密钥、建立IPSec安全联盟的服务。IPSec加解密及验证过程SSLVPN简介SSL是一个安全协议，为基于TCP的应用层协议提供安全连接。IPTCPHTTPSSLNotSecureSecureIPTCPHTTPSSLVPN主要功能SVN安全接入网关网络扩展端口转发用户认证Web代理可靠性文件共享USG系列设备加密学的应用VPN简介VPN配置Client-Initialized方式L2TP应用场景描述组网需求某公司建有自己的VPN网络，在公司总部的公网出口处，放置了一台VPN网关，即USG防火墙。要求出差人员能够通过L2TP隧道与公司内部业务服务器进行通信。L2TPVPN配置流程开启L2TP功能选择“网络>L2TP>L2TP”，在“配置L2TP”中，选中L2TP后的“启用”，单击“应用”。配置L2TP参数在“L2TP组列表”中，点击新建，设置L2TP组的参数。设置拨号用户信息选择“对象>用户”。选中“default”认证域，在“用户管理”中，单击“新建”，并选择“新建用户”，配置拨号用户名和密码。VPN客户端设置及验证GRE应用场景描述需求描述运行IP协议的两个子网网络1和网络2，通过在防火墙A和防火墙B之间建立的GRE隧道实现互访。GREVPN配置流程GRE接口配置-FWA选择“网络>GRE>GRE”。单击“新建”，配置GRE接口的各项参数。路由配置-FWA选择“网络>路由>静态路由”。单击“新建”,配置到网络2的静态路由。结果验证网络1中的PC与网络2中的PC能够相互ping通。查看FWA“网络>路由>路由表”可以看到目的地址为/24，出接口为Tunnel1的路由。点到点IPSecVPN应用场景描述需求描述网络A和网络B通过防火墙A和B之间建立的IPSec隧道互联互通IPSec和IKE提议参数采用默认值采用IKE方式建立IPSec隧道IPSecVPN配置流程路由配置设置到达对端的路由，以FW_A为例，下一跳设置为FW_B的地址。域间安全策略IPSecFW_AFW_B允许网络A和网络B互访ipsec1方向：trsut>untrust源地址：/24目的地址：/24动作：允许方向：trsut>untrust源地址：/24目的地址：/24动作：允许ipsec2方向：untrsut>trust源地址：/24目的地址：/24动作：允许方向：untrsut>trust源地址：/24目的地址：/24动作：允许允许IKE协商报文通过ipsec3方向：local>untrust源地址：/24目的地址：/24动作：允许方向：local>untrust源地址：/24目的地址：/24动作：允许ipsec4方向：untrust>local源地址：/24目的地址：/24动作：允许方向：untrust>local源地址：/24目的地址：/24动作：允许IPSec策略参数配置-FW_A加密数据流配置应用IPSec策略配置结束后单击配置界面最下方的“应用”，保存并应用IPSec策略。判断：IPSec采用的是非对称加密算法加密用户数据的方式来保证信息传递机密性的？（）正确错误以下哪些属于USG6000系列防火墙SSLVPN的主要功能？（）端口转发网络扩展文件共享Web代理

加密技术的应用VPN的基本概念GREVPN、L2TPVPN的工作原理IPSecVPN加解密及验证过程四种VPN的配置流程防火墙配置综合实训维护网络安全不应有双重标准，不能一个国家安全而其他国家不安全,一部分国家安全而另—部分国家不安全,更不能以牺牲别国安全谋求自身所谓的“绝对安全”。文字学习“中国卫星之父”孙家栋，国家需要，我就去做！拓展主题爱国主义、科技强国、技能强国随着教育信息化的加速，高校网络建设日趋完善，在师生畅享丰富网络资源的同时，校园网络的安全问题也逐渐凸显，并直接影响学校的教学、管理、科研等活动。如何构建一个安全、高速的校园网络，已成为高校网络管理者需要迫切解决的问题。学完本课程后，您将能够：描述校园网的基本需求描述校园网的组网结构区分不同的安全风险规划对校园网业务进行规划对校园网策略进行配置与管理对网络进行测试需求分析典型组网业务规划注意事项配置步骤结果验证需求分析校园网从网络层到应用层的各个层面都面临着不同的安全威胁：网络边界防护：校园网一般拥有多个出口，链路带宽高，网络结构复杂；病毒、蠕虫的传播成为最大安全隐患；越来越多的远程网络接入，对安全性构成极大挑战。内容安全防护：无法及时发现和阻断网络入侵行为；需要对用户访问的URL进行控制，允许或禁止访问某些网页资源，规范上网行为；需要防范不当的网络留言和内容发布，防止造成不良的社会影响。网络拓扑FW作为高性能的下一代防火墙，可以部署在校园网出口，帮助高校降低安全威胁，实现有效的网络管理。FW不仅可以提供安全隔离和日常攻击防范，还具备多种高级应用安全能力，如攻击防范、IPS、防病毒、上网行为审计等，在实施边界防护的同时提供应用层防护。业务规划FW可以满足校园网的所有需求，下面给出具体功能的介绍并结合组网进行业务规划。网络基础及访问控制配置入侵防御与DNS透明代理智能选路与服务器负载均衡智能DNSNAT攻击防范与审计策略网管设备注意事项ISP地址集中的IP地址是否齐全直接影响智能选路、智能NDS功能的实施效果，请充分收集各ISP中的常用地址。多出口场景下，策略路由智能选路不能和IP欺骗攻击防范功能或URPF（UnicastReversePathForwarding，单播逆向路径转发）功能一起使用。如果开启IP欺骗攻击防范功能或URPF功能，可能导致FW丢弃报文。智能DNS功能需要License授权，并通过动态加载功能加载相应组件包后方可使用。注意事项服务器负载均衡功能的虚拟服务器的IP地址不能和下列IP地址相同：NATServer的公网IP地址（globalIP）NAT地址池中的IP地址、网关的IP地址、FW的接口IP地址服务器负载均衡功能的实服务器的IP地址不能和下列IP地址相同：虚拟服务器的IP地址、NATServer的公网IP（globalIP）NATServer的内网服务器IP地址（insideIP注意事项配置服务器负载均衡功能后，在配置安全策略和路由功能时，需针对实服务器的IP地址进行配置，而不是虚拟服务器的IP地址。配置NAT地址池和NATServer后，需要针对地址池中的地址和NATServer的公网地址配置黑洞路由，防止产生路由环路。只有审计管理员才能配置审计功能和查看审计日志。只有支持安装硬盘且硬盘在位的设备才能在Web界面上查看和导出审计日志。在报文来回路径不一致的组网环境中，审计日志记录的内容可能不完整。配置步骤配置接口和安全区域，并为参与选路的出接口配置网关地址、带宽和过载保护阈值。配置安全策略。分别为教育网、ISP1、ISP2创建安全区域，并将各接口加入安全区域。为各域间配置安全策略，控制域间互访。在安全策略中引用缺省的入侵防御配置文件，配置入侵防御功能。配置入侵防御特征库的定时升级功能。配置升级中心。设备可访问升级服务器或可通过代理服务器访问升级服务器。配置定时升级功能，设置定时升级时间。配置步骤配置IP-Link功能，探测各ISP链路状态是否正常。配置路由。配置DNS透明代理。配置各接口绑定DNS服务器的IP地址。配置排除域名。配置DNS透明代理策略。为DNS请求报文配置策略路由智能选路，使报文能够负载分担到各链路上。配置步骤配置智能选路。配置ISP地址集。新建对应远程教学系统软件的应用，并在策略路由中引用，使远程教学系统软件的流量从教育网和ISP2链路转发。配置策略路由智能选路，使P2P流量从ISP1链路转发。配置单