网络安全技术与实训（微课版）（第5版） 课件 杨文虎 第7、8章 加密技术与虚拟专用网络、防火墙

第7章加密技术与虚拟专用网络《网络安全技术与实训》（微课版）（第5版）主讲人：课程引入《中华人民共和国密码法》2020年1月1日正式施行《网络安全审查办法》

2020年6月1日正式施行

三项国家标准正式发布2019年12月1日正式施行《信息安全技术网络安全等级保护基本要求》《信息安全技术网络安全等级保护测评要求》《信息安全技术网络安全等级保护安全设计技术要求》数据安全至关重要山东大学王小云教授成功破解MD5学习要点（思政要点）密码是我们党和国家的“命门”、“命脉”,是国家重要战略资源。直接关系国家政治安全、经济安全、国防安全和信息安全。什么是密码，第二条规定,密码法中的密码,“是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务”怎么管密码，第二章(第十三条至第二十条)规定了核心密码、普通密码的主要管理制度。核心密码、普通密码用于保护国家秘密信息和涉密信息系统。怎么用密码，有线、无线通信中传递的国家秘密信息,以及存储、处理国家秘密信息的信息系统学习要点（思政要点）

掌握对称及非对称加密及应用

了解数字签名与PKI（安全意识）掌握VPN分类及应用（责任与担当）使用PGP进行加密（勤敏思学）33第7章加密技术与虚拟专用网络VPN技术7.3实训PGP应用现代加密算法7.2加密技术概述7.17.1加密技术概述密码的起源可能要追溯到人类刚刚出现，并且尝试去学习如何通信的时候，人们不得不去寻找方法确保他们通信的机密。数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理，使其成为不可读的一段代码，通常称为“密文”，使其只能在输入相应的密钥之后才能显示出本来的内容，通过这样的途径达到保护数据。7.1加密技术概述通常一个加密系统至少包括以下4个组成部分：未加密的报文，也称明文。加密后的报文，也称密文加密、解密设备或算法加密、解密的密钥7.1加密技术概述7.1.1加密技术的应用数据保密性——信息不被泄露给未经授权者的特性数据完整性——信息在存储或传输过程中保持未经授权不能改变的特性数据可用性（认证）——信息可被授权者访问并使用的特性不可否认性——一个实体不能够否认其行为的特性7.1加密技术概述7.1.2加密技术的分类数据传输加密技术，对传输中的数据流进行加密，常用的有以下3种链路加密的传输数据仅在数据链路层进行加密，不考虑信源和信宿，它用于保护通信节点间的数据；节点加密是在节点处采用一个与节点机相连的密码装置，密文在该装置中被解密并被重新加密，明文不通过节点机；端到端加密是数据从一端到另一端的加密方式。数据在发送端被加密，在接收端解密，中间节点处不以明文的形式出现。数据存储加密技术，数据存储加密技术用于防止存储环节上的数据失密。数据存储加密技术可分为密文存储和存取控制两种。全盘加密技术是对磁盘进行全盘加密，并且采用主机监控、防水墙等其他防护手段进行整体防护，磁盘加密主要为用户提供一个安全的运行环境，数据自身未进行加密。驱动级加密技术是信息加密的主流技术，采用“进程+后缀”的方式进行安全防护，用户可以根据实际情况灵活配置33第7章加密技术与虚拟专用网络VPN技术7.3实训PGP应用现代加密算法7.2加密技术概述7.17.2现代加密算法按照发展进程来分，数据加密经历了古典密码阶段、对称密钥密码阶段和公开密钥密码阶段：古典密码阶段——替代加密、置换加密；对称密钥密码文——数据加密标准（DataEncryptionStandard，DES）和高级加密标准（AdvancedEncryptionStandard，AES）；公开密钥密码——

RSA、背包密码、McEliece密码、Rabin、椭圆曲线、EIGamal、D-H等。数据加密通常可分为两大类：“对称式”和“非对称式”。通过这两种算法来保障数据的机密性，在数据的传输过程中加密技术还需要使用单向加密算法和数字签名来保障数据的完整性和抗抵赖性。7.2现代加密算法7.2.1对称加密技术对称式加密是一种基于共享密码的加密技术，即加密和解密使用同一个密钥，通常称为“SessionKey”。典型应用为 DES和3DES算法。特点是加密速度快，能够适应大量数据和信息的加密。密码的管理和安全性方面比较欠缺。加密解密密钥K发送方接收方明文密文明文7.2现代加密算法DES和3DES算法DES是一种对二元数据进行加密的算法，数据分组长度为64位，密文分组长度也是64位，使用的密钥为64位，有效密钥长度为56位，有8位用于奇偶校验。7.2现代加密算法DES和3DES算法3DES使用3个不同的密钥对数据块进行3次（或两次）加密，该方法比进行3次普通加密更加有效。其强度大约和112位的密钥强度相当。7.2现代加密算法2.RC2、RC4、RC5、RC6算法是一种块式密文，把信息加密成64位数据，主要运行在16位主机上，它的密码长度是可变的，运算速度与密码长度有关。3.IDEA算法属于数据块加密算法（BlockCipher）类，使用长度为128位的密钥，数据块大小为64位。应用案例：PGP就使用IDEA作为其分组加密算法，安全套接字层（SSL）也将IDEA包含在其加密算法库SSLRef中。7.2现代加密算法7.2.2非对称加密技术非对称式加密又称为公开密钥加密系统，就是加密和解密所使用的不是同一个密钥，通常有两个密钥，称为“公钥”和“私钥”，它们两个需要配对使用，否则不能打开加密文件。加密解密发送方接收方明文密文明文接收方的公钥接收方的私钥7.2现代加密算法RSA算法目前最著名、应用最广泛的公钥系统，适用于数字签名和密钥交换，特别适用于通过Internet传输的数据。使用了两个非常大的素数来产生公钥和私钥。特点：能够进行数字签名和密钥交换运算。优点：密钥空间大；缺点：加密速度慢。如果RSA和DES结合使用，则正好弥补了RSA的缺点，即DES用于明文加密，RSA用于DES密钥的加密。由于DES加密速度快，适合加密较长的报文，所以RSA可解决DES密钥分配的问题7.2现代加密算法RSA算法应用最广泛的公钥系统，适用于数字签名和密钥交换，特别适用于通过Internet传输的数据。使用了两个非常大的素数来产生公钥和私钥。特点：能够进行数字签名和密钥交换运算。优点：密钥空间大；缺点：加密速度慢。RSA和DES结合使用，则正好弥补了RSA的缺点，即DES用于明文加密，RSA用于DES密钥的加密。由于DES加密速度快，适合加密较长的报文，所以RSA可解决DES密钥分配的问题7.2现代加密算法2.DSA算法数字签名算法（DigitalSignatureAlgorithm，DSA）仅适用于数字签名，是由美国国家安全署发明的。它是基于离散对数问题的数字签名标准，其安全性与RSA差不多。DSA的一个重要特点是两个素数公开。3.Diffie-Hellman算法是一种公开密钥算法；仅用于密钥的分发和交换，不能用于报文加密。不需要公钥基础设施（PKI）。在密钥交换式，没有身份认证，容易产生中间人攻击。计算量较大，系统容易遭受DOS攻击。7.2现代加密算法7.2.3单向散列算法（又称Hash算法）单向散列算法常用于消息摘要，是一种基于密钥的、加密不同的数据转换类型，它通过把一个单向数学函数应用于数据，将任意长度的一块数据转换为一个定长的、不可逆转的数据。这段数据通常叫作消息摘要。消息摘要算法可以敏感地检测到数据是否被篡改。消息摘要算法再结合其他的算法就可以用来保护数据的完整性。单向散列算法广泛用于数字签名和数据完整性方面。其中，最常用的散列函数是MD5和SHA-1。在python中可以使用print（hash（“abcdef”））哈希算法不过是一个更为复杂的运算，它的输入可以是字符串，可以是数据，可以是任何文件，经过哈希运算后，变成一个固定长度的输出，该输出就是哈希值。但是哈希算法有一个很大的特点，就是你不能从结果推算出输入，所以又称为不可逆的算法。7.2现代加密算法MD5算法是使用最普遍的安全散列算法，其输入为任意长度的消息，按照512位分组处理，输出为128位的消息摘要。2004年，山东大学王小云教授攻破了MD5算法2.SHA-1产生一个160位的散列值。SHA-1是流行的用于创建数字签名的单向散列算法SHA-2是SHA-1的后继者,其下又可再分为六个不同的算法标准，包括了:SHA-224、SHA-256、SHA-384、SHA-512、SHA-512/224、SHA-512/256。7.2现代加密算法下载源文件，选择消息摘要，来确保下载数据的完整性，例如SHA256使用消息摘要使用工具或者是利用系统自带的命令进行完整性测试7.2现代加密算法7.2.4数字签名数字签名可用作数据完整性检查，并提供私码凭据，它的目的是认证网络通信双方身份的真实性，防止相互欺骗或抵赖。1.数字签名的3个条件收方条件：接收者能够核实和确认发送者对消息的签名发方条件：发送者事后不能否认和抵赖对消息的签名公证条件：公证方能确认收方的信息，做出仲裁，但不能伪造这一过程2.数字签名的方法直接数字签名：接收者在获得消息发送者的公钥的前提下，发送者用其私钥对整个消息或者消息散列码进行加密来形成数字签名。有仲裁的数字签名：有仲裁的数字签名可以解决直接数字签名中容易产生的发送者否认发送过某个消息的问题。7.2现代加密算法7.2.5公钥基础设施是电子商务、政务系统安全实施的基本保障，所有提供公钥加密和数字签名服务的系统，都可称为PKI系。PKI管理加密和证书的发布，并提供诸如密钥管理（包括密钥更新、密钥恢复和密钥委托等）、证书管理（包括证书产生和撤销等）、策略管理等。PKI系统也允许一个组织通过证书级别或直接交易认证等方式来同其他安全域建立信任关系。典型的PKI系统包括PKI策略、软硬件系统、证书机构（CertificationAuthority，CA）、注册机构（RegistrationAuthority，RA）、证书发布系统、PKI应用等。7.2现代加密算法典型的PKI7.2现代加密算法PKI策略定义了一个组织信息安全方面的指导方针，同时也定义了密码系统使用的处理方法和原则。在PKI中有以下两种类型的策略。证书策略：用于管理证书的使用。例如，可以确认某一CA是选择在Internet上的公有CA，还是选择在某一企业内部的私有CA。证书运作声明（CertificatePracticeStatement，CPS）：由商业证书发放机构（ControllerofCertifyingAuthoriy，CCA）或者可信的第三方操作的PKI系统需要CPS。它包括CA是如何建立和运作的，证书是如何发行、接收和废除的，密钥是如何产生、注册的，以及密钥是如何存储的，用户是如何得到它的等。7.2现代加密算法2.证书机构（CertificationAuthority，CA）是PKI的信任基础，它管理公钥的整个生命周期，其作用包括发放证书、规定证书的有效期和通过发布证书吊销列表（CertificateRevocationList，CRL）3.注册机构（RegistrationAuthority，RA）提供用户和CA之间的一个接口，它获取并认证用户的身份，向CA提出证书请求。主要完成收集用户信息和确认用户身份的功能。用户是指将要向认证中心（即CA）申请数字证书的客户，可以是个人、团体、政府机构等。注册管理一般由一个独立的RA来承担。对于一个规模较小的PKI应用系统来说，可把注册管理的职能交给认证中心CA来完成，而不设立独立运行的RA个独立的RA来承担。4.证书发布系统证书发布系统负责证书的发放，可以通过用户自己，或是通过目录服务发放，它可以是一个组织中现存的，也可以是PKI方案提供的7.2现代加密算法5.PKI典型应用33第7章加密技术与虚拟专用网络VPN技术7.3实训PGP应用现代加密算法7.2加密技术概述7.17.3VPN技术概述《计算机信息系统安全专用产品销售许可证》、《网络安全审查办法》第一章总则

第三条中华人民共和国境内的安全专用产品进入市场销售,实行销售许可证制度。安全专用产品的生产者在其产品进入市场销售之前,必须申领《计算机信息系统安全专用产品销售许可证》。网络安全审查是在中央网络安全和信息化委员会领导下，为保障关键信息基础设施供应链安全，维护国家安全而建立的一项重要制度。2020年4月，国家互联网信息办公室、国家市场监督管理总局等12个部门联合发布了《网络安全审查办法》，并于2020年6月1日起正式实施。网络安全审查办公室设在国家互联网信息办公室。关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。7.3VPN技术概述7.3.1VPN技术概述VPN（虚拟专用网）是企业网在公众网络上的延伸，它可以提供与专用网一样的安全性、可管理性和传输性能VPN技术的概念通过综合利用访问控制技术和加密技术，并通过一定的密钥管理机制，在公共网络中建立起安全的“专用”网络，保证数据在“加密管道”中进行安全传输的技术。7.3VPN技术概述VPN，VirtualPrivateNetwork，虚拟专用网，是指利用公用电信网络为用户提供专用网的所有各种功能。合作伙伴隧道总部异地办事处Internet隧道隧道7.3VPN技术概述RTARTB协议A协议B协议B协议B数据包封装包载荷协议封装协议承载协议封装协议头协议B头协议A头载荷数据隧道PCB7.3VPN技术概述2.VPN技术的特点 安全性：用加密技术对经过隧道传的数据进行加密。专用性：在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接，称为建立一个隧道。经济性：它可以使移动用户和一些小型的分支机构的网络开销减少。扩展性和灵活性：能够支持通过Intranet和Internet的任何类型的数据流，方便增加新的节点。7.3VPN技术概述3.VPN的处理过程V

PN连接由客户机、隧道和服务器3部分组成,其处理过程如下。受保护的主机发送明文信息到连接公共网络的VPN设备。

VPN设备根据网管设置的规则，确定是否需要对数据进行加密或让数据直接通过。对需要加密的数据，VPN设备对整个数据包进行加密并附上数字签名。VPN设备加上新的数据报头，其中包括目的地VPN设备需要的安全信息和一些初始化参数。VPN设备对加密后的数据、鉴别包，以及源IP地址、目标VPN设备IP地址进行重新封装，重新封装后的数据包通过虚拟通道在公网上传输。当数据包到达目标VPN设备，数据包被解封装，数字签名被核对无误后，数据包被解密7.3VPN技术概述7.3.2VPN的分类1.按服务类型分类VPN按照服务类型可以分为远程访问虚拟网（AccessVPN）、企业内部虚拟网（IntranetVPN）和企业扩展虚拟网（ExtranetVPN）这3种类型。虚拟网L2TP典型配置举例https:///cn/d_202203/1572032_30005_0.htm#_Ref5190910247.3VPN技术概述企业内部虚拟网7.3VPN技术概述企业扩展虚拟网企业扩展虚拟网（ExtranetVPN）又称外联网VPN，它通过一个使用专用连接的共享基础设施，将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络相同的策略，包括安全、服务质量（QualityofService，QoS）、可管理性和可靠性。7.3VPN技术概述2.按通信协议分类VPN按照通信协议可以分为MPLSVPN、PPTP/L2TPVPN、SSLVPN和IPSecVPN。MPLSVPN基于MPLS技术的IPVPN，是在网络路由和交换设备上应用多协议标记交换（Multi-ProtocolLabelSwitching，MPLS）技术，简化核心路由器的路由选择方式。MPLSVPN能够利用公用骨干网络强大的传输能力，同时能够满足用户需求。不足：价格高、接入比较麻烦、跨运营商不便7.3VPN技术概述PPTP/L2TPVPNPPTP/L2TPVPN是二层VPN，采用较早期的VPN协议，使用相当广泛。其特点是简单易行，但可扩展性不好，也没有提供内在的安全机制。最多只能连接255个用户。端点用户需要在连接前手动建立加密信道。认证和加密受到限制，没有强加密和认证支持。安全程度低，是PPTP/L2TF简易型VPN最大的弱点。SSLVPN认证方式较为单一，只能采用证书，而且一般是单向认证；在建立隧道后，管理员对用户不能进行任何限制，无法实现“网络—网络”的安全互连。IPSecVPN提供基于互联网的加密隧道，用于局域网之间建立安全连接，在远程移动办公等桌面应用。7.3VPN技术概述远程接入L2TP典型配置举例/cn/d_202203/1572032_30005_0.htm#_Ref519091024企业内部虚拟网/cn/d_201911/1244048_30005_0.htm7.3VPN技术概述7.3.3IPSec互联网安全协议，

IPv4是可选的，提供具有较强的互操作能力、高质量和基于密码的安全，对于IPv6是强制性的。1.IPSec的主要特征对所有IP级的通信进行加密和认证，它实现于传输层之下，对于应用程序和终端用户来说是透明的。IPSec提供了访问控制、无连接完整性、数据源鉴别、载荷机密性和有限流量机密等安全服务。7.3VPN技术概述RTARTB站点A站点B加密报文IPIPsec传输模式7.3VPN技术概述IPsec隧道模式RTARTBIPSecTunnel站点A站点B普通报文加密报文IP普通报文7.3VPN技术概述2.IPSec的主要作用主要用于IP数据包的认证和加密，其目的是保证IP层数据信息的正确性、完整性和保密性。它的主要作用如下。认证：可以确定所接收的数据与所发送的数据是一致的。数据完整性：保证在数据从源发地到目的地的传送过程中没有任何不可检测的数据丢失与改变。机密性：使相应的接收者能获取发送的真正内容，而无意获取数据的接收者无法获知数据的真正内容。7.3VPN技术概述3.IPSec的组成由一系列协议组成的，除IP层协议安全结构外，还包括验证头（AH）、封装安全载荷（ESP）、Internet安全关联SA和密钥管理协议（ISAKMP）、InternetIP安全解释域（DOI），以及Internet密钥交换协议（IKE）、Oakley密钥确定协议等。7.3VPN技术概述安全体系结构：包含了一般的概念、安全需求、定义和定义IPSec的技术机制。 验证头AH：用于将每个数据包中的数据和一个变化的数字签名结合起来，使得通信一方确认发送数据的另一方的身份，并且确认数据在传过程中没有被篡改过，但不能为数据提供加密，常用的算法有MD5、SHA1 封装安全载荷ESP：为数据提供加密，并对数据源进行身份验证和一致性检验，可单独使用或与AH联合使用，常用的算法有DES、3DES等7.3VPN技术概述传输模式AH封装隧道模式AH封装7.3VPN技术概述隧道模式ESP封装传输模式ESP封装7.3VPN技术概述

Internet安全关联SA：一条能够给在其上传的数据信号提供安全服务的单工连接。如果需要一个对等关系，即双向安全交换，则需要两个SA。密钥管理协议：它是密钥管理的一组方案，其中Internet密钥交换协议IKE是默认的密钥自动交换协议。InternetIP安全解释域：彼此相关的各部分标识符及运作参数。Internet密钥交换协议IKE：它是一种功能强大的、灵活的协商协议，使得VPN节点之间达成安全通信的协定。策略：决定两个实体之间能否通信和如何进行通信。策略的核心由如下3部分组成：安全关联SA、SAD和SPD。7.3VPN技术概述4.IPSecVPN的建立建立一个标准的IPSecVPN一般需要以下几个过程。建立安全关联SA。双方需要就如何保护信息、交换信息等公用的安全设置达成一致，必须有一种方法，使两台VPN之间能够安全地交换一套密钥。进行隧道封装，有两种方式。隧道方式：先将IP数据包整个进行加密后再加上ESP头和新的IP头，这个新的IP头中包含隧道源/目的地址，该模式不支持多协议。传输方式：原IP包的地址部分不处理，在报头与数据包之间插入一个AH头，并将数据包进行加密，然后在Internet上传。协商IKE。建立IKESA的一个已通过身份验证和安全保护的通道，接着建立IPSecSA，通过已建立的通道为另一个不同协议协商安全服务。IKE的认证方式主要有预共享密钥和证书方式7.3VPN技术概述5.VPN产品的选择VPN技术的不断成熟，国内多家IT厂商VPN网关产品。加密速度

加密速度应大于或等于网络的出口带宽，以免在VPN安全网关上产生性能瓶颈。同时也应注意加密强度，通常加密强度越高，安全性越好，但加密速度也会降低。根据《中华人民共和国商用密码管理条例》，只有经过国家密码管理局鉴定过的VPN产品才能使用国产加密算法，并得到国家的认可和安全性保障。7.3VPN技术概述5.VPN产品的选择并发隧道数

并发隧道数要满足与所有分支机构连接和移动用户连接。并发会话数要满足内网用户通过VPN连接所能产生的会话数量。可管理性和操作性

应当能够对接入用户的访问权限进行控制，保证其只能访问被授权访问的资源，也可以控制是否为单向访问。同时，应具备完善的VPN网络管理系统完善的资质公安部颁发的“计算机信息系统安全专用产品销售许可证”，必须取得涉密版本，需要一个型号一个涉密检测报告，涉密系统用，保密局的证书IT产品安全认证证书密码产品：国家密码管理局颁发的商用密码产品认证证书。一般过密评项目要求这个。7.3VPN技术概述5.VPN产品的选择7.3VPN技术概述5.VPN产品的选择性价比与售后服务

确保是否具备扩展功能，如攻击防护、入侵检测等功能；是否具有大规模和全国范围的成功案例；是否通过ISO9000质量管理体系认证，同时要确保有及时的现场服务和在线升级服务。本章总结

本章主要讲解了加密技术、现代加密算法、VPN技术。重点是掌握对称与非对称加密及应用、数字签名、VPN的分类，了解公钥基础设施、IPSecVPN。

增强安全意识，将国家安全战略落实到具体行动中，掌握安全产品的国家相关规定、资质要求。对涉密项目或者其他特殊项目，要了解国家保密局和国家密码管理局的相关要求。作业和实训教材P177页课后题实训9PGP加密程序应用（Win7PGPDesktopV10.2）实训10PGP实现VPN实施（在虚拟机中安装XP系统，安装PGP7.0.3）或者使用TeamViewer实现VPN连接拓展实验：使用字典生成器生成一个字典，然后使用RARPasswordunlock进行破解查找PHPstudy用户和密码数据库，通过在线MD5网站()或者MD5CRACK进行拖库破解学习彩虹表攻击：使用各种网站破解hash值、使用ophcrack破解windows密码、使用john破解linux密码作业和实训用户test1的邮箱地址为：test1pgp@163.com用户test2的邮箱地址为：test2pgp@163.com实训9PGP加密应用感谢聆听第8章防火墙《网络安全技术与实训》（微课版）（第5版）主讲人：课程引入防火墙与交换机、路由器功能对比以园区网为例，交换机作用是接入终端和汇聚内部路由，组建内部互联互通的局域网。路由器作用是路由的分发、寻址和转发，构建外部连接网络。突出数据控制防火墙作用是流量控制和安全防护，区分和隔离不同安全区域。突出行为控制异常流量正常流量交换机

组建局域网

二/三层快速转发报文防火墙

控制报文转发

防攻击、病毒、木马路由器

寻址和转发

保证网络互联互通Internet学习要点（思政要点）《中华人民共和国网络安全法》

2017年6月1日开始施行持续检测、威胁情报、快速响应等要求提出了具体的落地要求《网络安全等级保护制度2.0》2019年12月1日开始实施GA/T1177-2014《信息安全技术第二代防火墙安全技术要求》在制定时参考了等级保护要求，将第二代防火墙的功能分级与等级保护的级别进行了关系对应，明确了第二代防火墙功能基本级对应等级保护一、二级，第二代防火墙功能增强级对应等级保护三、四级。学习要点（思政要点）网络支持与促进标准政府投入社会力量网络运行安全

等级保护准入规定运营者责任关键基础设施网络信息安全运营者约束监测预警与应急处理

《网络安全法》主要内容学习要点（思政要点）2019年12月1日，网络安全等级保护2.0制度正式实施，简称等保2.0。信息系统安全等级保护分为五级，一级防护水平最低，最高等保为五级。第一级（自主保护级）：一般适用于小型私营、个体企业、中小学，乡镇所属信息系统、县级单位中一般的信息统

信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级（指导保护级）：一般适用于县级其些单位中的重要信息系统；地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级（监督保护级）：一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统。跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统；中央各部委、省（区、市）门户网站和重要网站；跨省连接的网络系统等。信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。学习要点（思政要点）第四级（强制保护级）：一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如电力、电信、广电、铁路、民航、银行、税务等重要、部门的生产、调度、指挥等涉及国家安全、国计民生的核心系统。信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级（专控保护级）：一般适用于国家重要领域、重要部门中的极端重要系统。信息系统受到破坏后，会对国家安全造成特别严重损害学习要点（思政要点）

掌握防火墙的功能及分类（网络安全意识）

了解防火墙的主要应用掌握防火墙的体系结构掌握硬件防护墙的使用和配置策略（学以致用）第8章防火墙01防火墙概述02防火墙的分类03防火墙的选择04思科防火墙CiscoPacketTracer安装与使用防火墙基本配置防火墙高级配置8.1防火墙概述古时候，人们常在寓所之间砌起一道砖墙，一旦火灾发生，它能够防止火势蔓延到别的寓所。

在网络中，防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。8.1防火墙概述

8.1.1防火墙的基本概念

防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。企业边界防护内网管控与安全隔离数据中心边界防护数据中心安全联动Internet出差人员分支机构UntrustDMZFTP/Web服务器TrustSpineLeaf数据中心内部区域个人客户企业客户UntrustInternet企业园区/分支Internet研发区出口网关市场部生产部财经部8.1防火墙概述

8.1.2防火墙的功能

网络安全的屏障强化网络安全策略对网络存取和访问进行监控和审计防止内部信息的外涉实现VPN的连接防火墙的不足之处：不能防御内部攻击不能防御绕过防火墙的攻击不能防御完全新的威胁不能防止传送已感染病毒的软件或文件影响网络性能8.1防火墙概述

8.1.2防火墙的规则

防火墙的安全规则由匹配条件和处理方式两部分组成。匹配条件处理方式8.1防火墙概述

8.1.2防火墙的规则

配置Win7防火墙8.1防火墙概述

8.1.2防火墙的规则

配置Win7防火墙第8章防火墙01防火墙概述02防火墙的分类03防火墙的选择04思科防火墙CiscoPacketTracer安装与使用防火墙基本配置防火墙高级配置8.2防火墙分类

8.2.1防火墙的分类

防火墙按照使用技术可以分为包过滤型和代理型，按照实现方式可以分为硬件防火墙和软件防火墙。按照部署还可分为单机防火墙和网络防火墙。防火墙根据设备形态分为，框式防火墙、盒式防火墙和软件防火墙，支持在云上云下灵活部署。公有云、私有云软件防火墙盒式防火墙框式防火墙8.2防火墙分类

8.2.1按照实现方式分类硬件防火墙是指采取ASIC芯片设计实现的复杂指令专用系统。深信服、华三、华为等为代表软件防火墙一般安装在隔离内外网的主机或服务器上360安恒瑞星8.2防火墙分类

8.2.2按照使用技术分类包过滤型防火墙，包过滤型防火墙又可分为：静态包过滤（StaticPacketFiltering）状态检测包过滤（StatefulInspection）代理型防火墙,代理型防火墙又可分为:电路级网关（CircuitLevelGateway）应用网关（ApplicationLayerGateway）复合型防火墙综合了包过滤防火墙技术以及应用代理防火墙技术的优点，同时摒弃了两种防火墙的原有缺点，大大提高了防火墙技术在应用实践中的灵活性和安全性。其中AI防火墙是结合AI技术的新一代防火墙。它通过结合AI算法或AI芯片等多种方式，进一步提高了防火墙的安全防护能力和性能。8.2防火墙分类静态包过滤（StaticPacketFiltering）8.2防火墙分类状态检测包过滤（StatefulInspection）8.2防火墙分类代理型防火墙8.2防火墙分类

8.2.3防火墙的选择选择的防火墙的一个前提条件是明确用户的具体需求要考虑网络结构要考虑到业务应用系统需求要考虑用户及通信流量规模方面的需求8.2防火墙分类

8.2.3防火墙的选择把防火墙的主要指标和需求联系起来，可以从以下几个基本标准入手。产品本身的安全性数据处理性能功能指标可管理性与兼容性产品的售后及相应服务完善的资质（参照第7章VPN网关）8.2防火墙的分类

防火墙的性能衡量指标吞吐量，防火墙每秒处理数据单元的比特数，越大处理数据的能力越强。一般使用1K-1.5KBytes的大包来衡量防火墙处理报文的能力，网络常见是200Bytes的报文。连续发送这样的数据包，在没有数据包丢失的前提下，计算每秒传输最大速率。时延防火墙处理报文的时间，即数据包第一个比特进入防火墙到最后一个比特从防火墙输出。时延越小，防火墙处理速度就越快新建连接数每秒防火墙处理的新建连接数量该值越大抵御DDOS能力越强并发连接数每秒钟防火墙同时处理的连接总数新建连接数并发连接数吞吐量时延第8章防火墙01防火墙概述02防火墙的分类03防火墙的选择04思科防火墙CiscoPacketTracer安装与使用防火墙基本配置防火墙高级配置8.3防火墙的应用

8.3.1防火墙在网络中的应用模式堡垒主机（BastionHost）是一种配置了较为全面安全防范措施的网络上的计算机双重宿主机是指通过不同的网络接口连入多个网络的主机系统，它是网络互连的关键设备周边网络是指内部网络与外部网络之间的一个网络，通常将提供各种服务的服务器放置在该区域，又称为DMZ非军事区.8.3防火墙的应用

1.双宿/多宿主机防火墙它是一种拥有两个或多个连接到不同网络上的网络接口的防火墙。8.3防火墙的应用

2.屏蔽主机防火墙由包过滤路由器和堡垒主机组成,屏蔽主机防火墙实现了网络层和应用层的安全。8.3防火墙的应用

3.屏蔽子网防火墙采用了两个包过滤路由器和一个堡垒主机。8.3防火墙的应用

8.3.2防火墙的工作模式防火墙的工作模式包括路由工作模式、透明工作模式和NAT工作模式。路由工作模式

防火墙可以让处于不同网段的计算机通过路由转发的方式互相通信。8.3防火墙的应用

路由工作模式的防火墙，存在两个局限：当防火墙的不同端口所接的局域网都位于同一个网段时，路由模式的防火墙无法完成这种方式的包转发。当网络中引入的防火墙工作在路由模式时，被保护网络原来的路由器应该修改路由表以便转发防火墙的IP报文。如果用户的网络非常复杂，就会给防火墙用户带来设置上的麻烦2.透明工作模式工作于透明模式的防火墙相当于二层交换机；防火墙的网口不设地址。3.NAT工作模式适用于内网中存在一般用户区域和DMZ区域，在DMZ区域中存在对外可以访问的服务器，同时该服务器具备经InterNIC注册过的IP地址。8.3防火墙的应用

8.3防火墙的应用

8.3.3防火墙的配置原则1.基本原则。实现方式简单，越容易理解和使用，而且设计越简单，越不容易出错，防火墙的安全功能越容易得到保证，管理也就越可靠、简便。应系统地对待整个网络的安全防护体系，尽量使各方面的配置相互加强，从深层次上防护整个系统，这体现在两个方面：采用集互联网边界防火墙、部门边界防火墙和主机防火墙于一体的层次防御；将入侵检测、网络加密、病毒查杀等多种安全措施结合在一起成为多层安全体系对内部威胁可以采取其他安全措施，如入侵检测、主机防护、漏洞扫描、病毒查杀等简单实用全面深入内外兼顾8.3防火墙的应用

2.配置布置8.3防火墙的应用

3.注意事项建立规则文件。注重网络地址转换。路由的合理设置。合理的规则次序。注意管理文件的更新。加强审计。第8章防火墙01防火墙概述02防火墙的分类03防火墙的选择04思科防火墙CiscoPacketTracer安装与使用防火墙基本配置防火墙高级配置8.4思科防火墙PIX防火墙是Cisco端到端安全解决方案中的一个关键组件，它是基于专用的硬件和软件的安全解决方案，在不影响网络性能的情况下，提供了高级安全保障。PIX防火墙使用了包括数据包过滤、代理过滤以及状态检测包过滤在内的混合技术，同时它也提高了应用代理的功能，因此它被认为是一种混合系统。8.4思科防火墙思科模拟器CiscoPacketTracer7.3提供的防火墙是5505和5506（建议使用5506进行实训），属于Cisco的ASA（AdaptiveSecurityAppliance）安全产品线，它们源于经典的PIX（PrivateInternetExchange）防火墙系列，PIX防火墙使用了一种称为“自适应性安全算法”的方式处理流量，这就是ASA使用“自适应安全设备”的原因。8.4思科防火墙8.4思科防火墙8.4.1PIX防火墙的功能特点非通用、安全、实时和嵌入式系统01自适应性安全算法（ASA）02直通型代理03基于状态的包过滤04高可靠性058.4思科防火墙8.4.2PIX防火墙的算法与策略1.ASA的特点和优势ASA提供了“基于状态的”连接安全，包括可跟踪源和目的端口、地址、TCP序列号和其他的TCP标志，以及可随机生成初始的TCP序列号。默认情况下，ASA允许来自内部（安全级别高）接口的主机发出的到外部（或者其他安全级别低的接口）主机的连接。默认情况下，ASA拒绝来自外部（安全级别低）接口的主机发出的到内部（安全级别高）主机的连接。ASA支持认证、授权和记账（AAA）。8.4思科防火墙2.安全级别的规则PIX防火墙通过采取安全级别方式，来表明一个接口相对另一个接口是可信（较高的安全级别）还是不可信（较低的安全级别）。安全级别的基本规则是：具有较高安全级别的接口可以访问具有较低安全级别的接口。反过来，在没有设置管道（conduit）和访问控制列表（ACL）的情况下，具有较低安全级别的接口不能访问具有较高安全级别的接口。8.4思科防火墙安全级别的范围0～100，下面是针对这些安全级别给出的更加具体的规则。安全级别100——PIX防火墙的最高安全级别，被用于内部接口，是PIX防火墙的默认设置，且不能改变。安全级别0——PIX防火墙的最低安全级别，被用于外部接口，是PIX防火墙的默认设置，且不能更改。安全级别1～99——这些是分配与PIX防火墙相连的边界接口的安全级别，通常边界接口连接的网络被用作停火区（DMZ）。可以根据每台设备的访问情况来给它们分配相应的安全级别。8.4思科防火墙8.4.3思科防火墙系列产品介绍8.4思科防火墙8.4思科防火墙8.4.3思科防火墙系列产品介绍8.4思科防火墙8.4思科防火墙8.4思科防火墙华为AI防火墙，内置的恶意文件检测引擎CDE、诱捕Sensor、APT检测引擎和探针，支持与沙箱和华为大数据分析平台CIS联动检测，打造智能防御体系。基于大数据的安全态势感知系统沙箱：APT威胁防御检测系统CDE检测联动内置探针内置诱捕Sensor内置APT检测引擎（AIE）文件还原/镜像采集联合检测华为AI防火墙8.4思科防火墙8.4.4PIX防火墙的基本使用

在使用任何一种Cisco设备时，命令行接口（CLI）都是用于配置、监视和维护设备的主要方式。另外也可以通过图形化用户接口方式来配置防火墙，例如PIX设备管理器PDM（PIXDeviceManager）1.PIX防火墙入门PIX防火墙支持基于CiscoIOS的命令集，但在语法上不完全相同。当使用某一特定命令时，必须处于适当的模式，PIX提供了4种管理访问模式。非特权模式（Unprivilegemode），此模式是一种非特权的访问方式，不能对配置进行修改，只能查看防火墙有限的当前配置。特权模式（Privilegemode），此模式下可以改变当前的设置，还可以使用各种在非特权模式下不能使用的命令。配置模式（Configurationmode），此模式下可以改变系统的配置。所有的特权、非特权和配置命令在此模式下都能使用。监控模式（Monitormode），此模式下可以通过网络更新系统映像，通过输入命令，指定简易文件传输协议（TFTP）服务器的位置，并下载二进制映像。8.4思科防火墙2.基本命令在使用PIX防火墙时有许多通用的维护配置命令，表中的命令用于配置、维护和测试PIX防火墙，通常在特权模式下使用。8.4思科防火墙2.基本命令

8.4思科防火墙2.基本命令

8.4思科防火墙3.PIX配置有6个基本配置命令被认为是PIX防火墙的基础。其中nameif、interface和ipaddress是用于接口的设置，必不可少。nat、global和route命令提供地址翻译和路由的作用，用于不同网络之间的通信。此6个命令通常在配置模式下使用。

8.4思科防火墙

区域：Inside等级：100G1//1/24GE1/3/24G1/2/24区域：OM等级：90区域：Outside等级：08.4思科防火墙8.4.5PIX防火墙的高级配置

1.地址转换当防火墙的工作模式为NAT时，当有数据从内部经过防火墙外出时，防火墙此时翻译所有的内部IP地址，那么经过转换后的地址（源地址）必须是在Internet上注册过的地址。当外部用户访问内部网络的某台服务器时，除非配置PIX允许从Internet到目标地址是私有地址的会话，否则这个会话不能被建立。PIX防火墙支持以下两种类型的地址转换：动态地址翻译——把在较安全接口上的主机地址转换成不太安全接口上的一段IP地址或一个地址池。其中动态地址翻译又分为两类：允许内部用户去共享这些地址访问外网络地址翻译NAT通过定义地址池（由多个部网络连续的IP地址组成）端口地址翻译（PAT）—所有本地地址都被翻译成同一个IP地址来访问外部网络。静态地址翻译——在较安全的接口和不太安全的接口之间提供一种永久的、一对一的IP地址的映射除上述分类外，PIX防火墙还有一种NAT的特殊应用“nat0”，它可以禁止地址翻译，使内部地址不经翻译就对外部网络可见。8.4思科防火墙PAT端口地址转换:asacisco(config)#nat(inside)1--转换内部地址asacisco(config)#nat(inside)1---转换所以网段asacisco(config)#nat(dmz)1--转换dmz地址asacisco(config)#global(outside)1interface--NAT转换为外部接口地址上互连网DMZ的NAT:asacisco(config)#global(dmz)100-30netmaskDMZ使用的随机IP地址池(这条命令可以使inside的多台主机访问dmz服务器)一对一映射配置命令:asacisco(config)#static(dmz,outside)tcp外部地址80外部端口0dmz地址80dmz端口netmask55精确主机掩码asacisco(config)#static(dmz,outside)tcp80080netmask55asacisco(config)#