網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署

編輯課件1網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和

網(wǎng)絡(luò)安全設(shè)備的部署網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第1頁(yè)。編輯課件2主要內(nèi)容內(nèi)網(wǎng)安全架構(gòu)的設(shè)計(jì)與安全產(chǎn)品的部署安全掃描技術(shù)防火墻技術(shù)入侵檢測(cè)技術(shù)IPSecVPN和SSLVPN技術(shù)網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第2頁(yè)。編輯課件3網(wǎng)絡(luò)信息安全的基本問(wèn)題網(wǎng)絡(luò)信息安全的基本問(wèn)題保密性完整性可用性可控性可審查性最終要解決是使用者對(duì)基礎(chǔ)設(shè)施的信心和責(zé)任感的問(wèn)題。網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第3頁(yè)。編輯課件4網(wǎng)絡(luò)與信息安全體系要實(shí)施一個(gè)完整的網(wǎng)絡(luò)與信息安全體系，至少應(yīng)包括三類措施，并且三者缺一不可。社會(huì)的法律政策、規(guī)章制度措施技術(shù)措施審計(jì)和管理措施網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第4頁(yè)。編輯課件5網(wǎng)絡(luò)安全設(shè)計(jì)的基本原則要使信息系統(tǒng)免受攻擊，關(guān)鍵要建立起安全防御體系，從信息的保密性，拓展到信息的完整性、信息的可用性、信息的可控性、信息的不可否認(rèn)性等。在進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)計(jì)、規(guī)劃時(shí)，應(yīng)遵循以下原則：需求、風(fēng)險(xiǎn)、代價(jià)平衡分析的原則綜合性、整體性原則一致性原則易操作性原則適應(yīng)性、靈活性原則多重保護(hù)原則網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第5頁(yè)。編輯課件6網(wǎng)絡(luò)安全解決方案網(wǎng)絡(luò)安全解決方案的基本概念網(wǎng)絡(luò)安全解決方案可以看作是一張有關(guān)網(wǎng)絡(luò)系統(tǒng)安全工程的圖紙，圖紙?jiān)O(shè)計(jì)的好壞直接關(guān)系到工程質(zhì)量的優(yōu)劣?？傮w來(lái)說(shuō)，網(wǎng)絡(luò)安全解決方案涉及安全操作系統(tǒng)技術(shù)、防火墻技術(shù)、病毒防護(hù)技術(shù)、入侵檢測(cè)技術(shù)、安全掃描技術(shù)、認(rèn)證和數(shù)字簽名技術(shù)、VPN技術(shù)等多方面的安全技術(shù)。網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第6頁(yè)。編輯課件7一份好的網(wǎng)絡(luò)安全解決方案，不僅僅要考慮到技術(shù)，還要考慮到策略和管理。技術(shù)是關(guān)鍵策略是核心管理是保證在整個(gè)網(wǎng)絡(luò)安全解決方案中，始終要體現(xiàn)出這三個(gè)方面的關(guān)系。網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第7頁(yè)。編輯課件8網(wǎng)絡(luò)安全解決方案設(shè)計(jì)網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第8頁(yè)。編輯課件9安全需求分析網(wǎng)絡(luò)系統(tǒng)的總體安全需求是建立在對(duì)網(wǎng)絡(luò)安全層次分析基礎(chǔ)上的。對(duì)于基于TCP/IP協(xié)議的網(wǎng)絡(luò)系統(tǒng)來(lái)說(shuō)，安全層次是與TCP/IP協(xié)議層次相對(duì)應(yīng)的。針對(duì)該企業(yè)網(wǎng)絡(luò)的實(shí)際情況，可以將安全需求層次歸納為網(wǎng)絡(luò)層安全和應(yīng)用層安全兩個(gè)技術(shù)層次，同時(shí)將在各層都涉及的安全管理部分單獨(dú)作為一部分進(jìn)行分析。網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第9頁(yè)。編輯課件10網(wǎng)絡(luò)層需求分析網(wǎng)絡(luò)層安全需求是保護(hù)網(wǎng)絡(luò)不受攻擊，確保網(wǎng)絡(luò)服務(wù)的可用性。保證同Internet互聯(lián)的邊界安全能夠防范來(lái)自Internet的對(duì)提供服務(wù)的非法利用防范來(lái)自Internet的網(wǎng)絡(luò)入侵和攻擊行為的發(fā)生對(duì)于內(nèi)部網(wǎng)絡(luò)提供高于網(wǎng)絡(luò)邊界更高的安全保護(hù)網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第10頁(yè)。編輯課件11應(yīng)用層需求分析應(yīng)用層的安全需求是針對(duì)用戶和網(wǎng)絡(luò)應(yīng)用資源的，主要包括：合法用戶可以以指定的方式訪問(wèn)指定的信息；合法用戶不能以任何方式訪問(wèn)不允許其訪問(wèn)的信息；非法用戶不能訪問(wèn)任何信息；用戶對(duì)任何信息的訪問(wèn)都有記錄。網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第11頁(yè)。編輯課件12應(yīng)用層要解決的安全問(wèn)題包括非法用戶利用應(yīng)用系統(tǒng)的后門或漏洞，強(qiáng)行進(jìn)入系統(tǒng)用戶身份假冒非授權(quán)訪問(wèn)數(shù)據(jù)竊取數(shù)據(jù)篡改數(shù)據(jù)重放攻擊抵賴網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第12頁(yè)。編輯課件13網(wǎng)絡(luò)安全解決方案網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第13頁(yè)。編輯課件14電子政務(wù)網(wǎng)絡(luò)拓?fù)涓攀鰞?nèi)部核心子網(wǎng)INTERNET分支機(jī)構(gòu)1分支機(jī)構(gòu)2網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第14頁(yè)。編輯課件15電子政務(wù)網(wǎng)絡(luò)拓?fù)湓敿?xì)分析領(lǐng)導(dǎo)層子網(wǎng)分支機(jī)構(gòu)2業(yè)務(wù)處室子網(wǎng)公共處室子網(wǎng)服務(wù)處室子網(wǎng)直屬人事機(jī)構(gòu)處室子網(wǎng)共享數(shù)據(jù)庫(kù)子網(wǎng)INTERNET分支機(jī)構(gòu)1網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第15頁(yè)。編輯課件16電子政務(wù)網(wǎng)絡(luò)風(fēng)險(xiǎn)及需求分析領(lǐng)導(dǎo)層子網(wǎng)分支機(jī)構(gòu)2業(yè)務(wù)處室子網(wǎng)公共處室子網(wǎng)服務(wù)處室子網(wǎng)直屬人事機(jī)構(gòu)處室子網(wǎng)共享數(shù)據(jù)庫(kù)子網(wǎng)INTERNET分支機(jī)構(gòu)1此人正試圖進(jìn)入網(wǎng)絡(luò)監(jiān)聽(tīng)并竊取敏感信息分支機(jī)構(gòu)工作人員正試圖在領(lǐng)導(dǎo)層子網(wǎng)安裝木馬分支機(jī)構(gòu)工作人員正試圖越權(quán)訪問(wèn)業(yè)務(wù)子網(wǎng)安裝木馬非內(nèi)部人員正試圖篡改公共網(wǎng)絡(luò)服務(wù)器的數(shù)據(jù)網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第16頁(yè)。編輯課件17電子政務(wù)網(wǎng)絡(luò)內(nèi)網(wǎng)基礎(chǔ)網(wǎng)絡(luò)平臺(tái)安全領(lǐng)導(dǎo)層子網(wǎng)業(yè)務(wù)處室子網(wǎng)公共處室子網(wǎng)服務(wù)處室子網(wǎng)直屬人事機(jī)構(gòu)處室子網(wǎng)共享數(shù)據(jù)庫(kù)子網(wǎng)分支機(jī)構(gòu)2分支機(jī)構(gòu)1NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源INTERNETNEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源防火墻FW1防火墻FW2防火墻FW3安全認(rèn)證服務(wù)器安全管理器安全網(wǎng)關(guān)SG1安全網(wǎng)關(guān)SG2安全網(wǎng)關(guān)SG3路由器路由器路由器交換機(jī)NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第17頁(yè)。編輯課件18內(nèi)網(wǎng)核心網(wǎng)絡(luò)與各級(jí)子網(wǎng)間的安全設(shè)計(jì)

分支機(jī)構(gòu)2INTERNET分支機(jī)構(gòu)1NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源

內(nèi)部核心子網(wǎng)NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源交換機(jī)安全網(wǎng)關(guān)SG1安全網(wǎng)關(guān)SG2安全網(wǎng)關(guān)SG3路由器路由器路由器安全管理器安全認(rèn)證服務(wù)器網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第18頁(yè)。編輯課件19內(nèi)網(wǎng)網(wǎng)絡(luò)漏洞掃描系統(tǒng)設(shè)計(jì)分支機(jī)構(gòu)2INTERNET分支機(jī)構(gòu)1NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源

內(nèi)部核心子網(wǎng)NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源交換機(jī)安全網(wǎng)關(guān)SG1安全網(wǎng)關(guān)SG2安全網(wǎng)關(guān)SG3路由器路由器路由器安全管理器安全認(rèn)證服務(wù)器網(wǎng)絡(luò)漏洞掃描器網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第19頁(yè)。編輯課件20內(nèi)網(wǎng)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)設(shè)計(jì)

分支機(jī)構(gòu)2INTERNET分支機(jī)構(gòu)1NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源

內(nèi)部核心子網(wǎng)NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源NEsec300FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源交換機(jī)安全網(wǎng)關(guān)SG1安全網(wǎng)關(guān)SG2安全網(wǎng)關(guān)SG3路由器路由器路由器安全管理器安全認(rèn)證服務(wù)器網(wǎng)絡(luò)入侵檢測(cè)探頭網(wǎng)絡(luò)入侵策略管理器網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第20頁(yè)。編輯課件21電子政務(wù)外網(wǎng)基礎(chǔ)平臺(tái)安全設(shè)計(jì)INTERNET辦公廳辦公業(yè)務(wù)網(wǎng)（簡(jiǎn)稱“內(nèi)網(wǎng)”）路由器交換機(jī)安全管理器防火墻FW物理隔離器（K1)E-MAIL服務(wù)器WWW服務(wù)器應(yīng)用服務(wù)器數(shù)據(jù)庫(kù)服務(wù)器網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第21頁(yè)。編輯課件22外網(wǎng)網(wǎng)絡(luò)漏洞掃描系統(tǒng)設(shè)計(jì)INTERNET辦公廳辦公業(yè)務(wù)網(wǎng)（簡(jiǎn)稱“內(nèi)網(wǎng)”）路由器交換機(jī)安全管理器防火墻FW物理隔離器（K1)E-MAIL服務(wù)器WWW服務(wù)器應(yīng)用服務(wù)器數(shù)據(jù)庫(kù)服務(wù)器網(wǎng)絡(luò)漏洞掃描器網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第22頁(yè)。編輯課件23外網(wǎng)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)設(shè)計(jì)INTERNET辦公廳辦公業(yè)務(wù)網(wǎng)（簡(jiǎn)稱“內(nèi)網(wǎng)”）路由器交換機(jī)安全管理器物理隔離器（K1)E-MAIL服務(wù)器WWW服務(wù)器應(yīng)用服務(wù)器數(shù)據(jù)庫(kù)服務(wù)器網(wǎng)絡(luò)漏洞掃描器網(wǎng)絡(luò)入侵檢測(cè)探頭網(wǎng)絡(luò)入侵策略管理器防火墻FW網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第23頁(yè)。編輯課件24外網(wǎng)WEB服務(wù)器安全設(shè)計(jì)INTERNET辦公廳辦公業(yè)務(wù)網(wǎng)（簡(jiǎn)稱“內(nèi)網(wǎng)”）路由器交換機(jī)安全管理器物理隔離器（K2)E-MAIL服務(wù)器WWW服務(wù)器應(yīng)用服務(wù)器數(shù)據(jù)庫(kù)服務(wù)器防火墻FW物理隔離器（K1)辦公廳辦公業(yè)務(wù)網(wǎng)（簡(jiǎn)稱“內(nèi)網(wǎng)”）政府系統(tǒng)辦公業(yè)務(wù)資源網(wǎng)（簡(jiǎn)稱“專網(wǎng)”）Web網(wǎng)站監(jiān)測(cè)&自動(dòng)修復(fù)系統(tǒng)網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第24頁(yè)。編輯課件25內(nèi)網(wǎng)、外網(wǎng)和專網(wǎng)的隔離系統(tǒng)設(shè)計(jì)INTERNET辦公廳辦公業(yè)務(wù)網(wǎng)（簡(jiǎn)稱“內(nèi)網(wǎng)”）路由器交換機(jī)安全管理器物理隔離器（K2)E-MAIL服務(wù)器WWW服務(wù)器應(yīng)用服務(wù)器數(shù)據(jù)庫(kù)服務(wù)器防火墻FW物理隔離器（K1)辦公廳辦公業(yè)務(wù)網(wǎng)（簡(jiǎn)稱“內(nèi)網(wǎng)”）政府系統(tǒng)辦公業(yè)務(wù)資源網(wǎng)（簡(jiǎn)稱“專網(wǎng)”）網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第25頁(yè)。編輯課件26其它網(wǎng)絡(luò)安全設(shè)備撥號(hào)檢測(cè)系統(tǒng)上網(wǎng)行為管理系統(tǒng)DDOS防御網(wǎng)關(guān)VPN網(wǎng)關(guān)防病毒網(wǎng)關(guān)網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第26頁(yè)。編輯課件27安全掃描技術(shù)掃描目的查看目標(biāo)網(wǎng)絡(luò)中哪些主機(jī)是存活的（Alive）查看存活的主機(jī)運(yùn)行了哪些服務(wù)WWWFTPEMAILTELNET查看主機(jī)提供的服務(wù)有無(wú)漏洞網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第27頁(yè)。編輯課件28IP掃描IP掃描——PingSweepingPing使用ICMP協(xié)議進(jìn)行工作網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第28頁(yè)。編輯課件29IP掃描ICMP協(xié)議負(fù)責(zé)差錯(cuò)的報(bào)告與控制。比如目標(biāo)不可達(dá)，路由重定向等等ICMP報(bào)文格式類型域(type)用來(lái)指明該ICMP報(bào)文的類型代碼域(code)確定該包具體作用

081631

類型

代碼

校驗(yàn)和

其他字段（不同的類型可能不一樣）

數(shù)據(jù)區(qū)……

數(shù)據(jù)ICMP包頭IP包頭MAC幀頭網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第29頁(yè)。編輯課件30IP掃描常用的ICMP報(bào)文Ping程序使用ICMPEchoRequest/Reply報(bào)文名稱類型ICMPDestinationUnreachable（目標(biāo)不可達(dá)）3ICMPSourceQuench（源抑制）4ICMPRedirection（重定向）5ICMPTimestampRequest/Reply（時(shí)間戳）13/14ICMPAddressMaskRequest/Reply（子網(wǎng)掩碼）17/18ICMPEchoRequest/Reply（響應(yīng)請(qǐng)求/應(yīng)答）8/0網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第30頁(yè)。編輯課件31端口掃描端口Internet上主機(jī)間通訊總是通過(guò)端口發(fā)生的

端口是入侵的通道端口分為TCP端口與UDP端口因此，端口掃描可分類為TCP掃描UDP掃描網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第31頁(yè)。編輯課件32端口掃描基本掃描用Socket開(kāi)發(fā)TCP應(yīng)用服務(wù)器端客戶端網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第32頁(yè)。編輯課件33端口掃描connect()函數(shù)intconnect(SOCKETs,conststructsockaddrFAR*name,intnamelen);當(dāng)connect返回0時(shí)，連接成功基本的掃描方法即TCPConnect掃描優(yōu)點(diǎn)實(shí)現(xiàn)簡(jiǎn)單可以用普通用戶權(quán)限執(zhí)行缺點(diǎn)容易被防火墻檢測(cè)，也會(huì)目標(biāo)應(yīng)用所記錄網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第33頁(yè)。編輯課件34端口掃描隱秘掃描服務(wù)器端客戶端connect網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第34頁(yè)。編輯課件35端口掃描TCP的連接建立過(guò)程客戶機(jī)服務(wù)器發(fā)送SYN

seq=x

接收SYN報(bào)文

發(fā)送SYNseq=y,ACKack=x+1

接收SYN+ACK

發(fā)送ACKack=y+1

接受ACK報(bào)文段

網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第35頁(yè)。編輯課件36端口掃描SYN掃描客戶機(jī)服務(wù)器發(fā)送SYN

seq=x

如果接收到SYN+ACK，表明服務(wù)器端口可連接如果服務(wù)器端口打開(kāi)，則返回SYN+ACK如果服務(wù)器端口未打開(kāi)，則返回RSTSYN+ACK如果接收到RST，表明服務(wù)器端口不可連接RST網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第36頁(yè)。編輯課件37端口掃描SYN掃描的實(shí)現(xiàn)WinSock2接口RawSock方式，允許自定義IP包SockRaw=socket(AF_INET,SOCK_RAW,IPPROTO_IP);TCP包頭標(biāo)志位01631源端口

目的端口

序列號(hào)

確認(rèn)號(hào)

HLEN

保留

標(biāo)志位

窗口

校驗(yàn)和

緊急指針

選項(xiàng)

填充

數(shù)據(jù)

保留保留UrgentpointACKPUSHRESETSYNFIN網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第37頁(yè)。編輯課件38端口掃描SYN掃描的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：一般不會(huì)被目標(biāo)主機(jī)所記錄缺點(diǎn)：運(yùn)行RawSocket時(shí)必須擁有管理員權(quán)限網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第38頁(yè)。編輯課件39端口掃描FIN掃描關(guān)閉TCP連接的過(guò)程客戶機(jī)服務(wù)器發(fā)送FIN

seq=x

接收FIN報(bào)文

發(fā)送FINseq=y,ACKack=x+1

接收FIN+ACK

發(fā)送ACKack=y+1

接受ACK報(bào)文段

網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第39頁(yè)。編輯課件40端口掃描關(guān)閉一個(gè)并沒(méi)有建立的連接，會(huì)產(chǎn)生以下情況對(duì)非連接FIN報(bào)文的回復(fù)TCP標(biāo)準(zhǔn)關(guān)閉的端口——返回RST報(bào)文打開(kāi)的端口——忽略BSD操作系統(tǒng)與TCP標(biāo)準(zhǔn)一致其他操作系統(tǒng)均返回RST報(bào)文網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第40頁(yè)。編輯課件41TCPACK掃描掃描主機(jī)向目標(biāo)主機(jī)發(fā)送ACK數(shù)據(jù)包。根據(jù)返回的RST數(shù)據(jù)包有兩種方法可以得到端口的信息。方法一是：若返回的RST數(shù)據(jù)包的TTL值小于或等于64，則端口開(kāi)放，反之端口關(guān)閉方法二是：若返回的RST數(shù)據(jù)包的WINDOW值非零，則端口開(kāi)放，反之端口關(guān)閉TCPACK掃描建立連接成功TCPACK掃描建立連接成功網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第41頁(yè)。編輯課件42NULL掃描掃描主機(jī)將TCP數(shù)據(jù)包中的ACK、FIN、RST、SYN、URG、PSH(接收端將數(shù)據(jù)轉(zhuǎn)由應(yīng)用處理)標(biāo)志位置空后（保留的RES1和RES2對(duì)掃描的結(jié)果沒(méi)有任何影響）發(fā)送給目標(biāo)主機(jī)。若目標(biāo)端口開(kāi)放，目標(biāo)主機(jī)將不返回任何信息。若目標(biāo)主機(jī)返回RST信息，則表示端口關(guān)閉。NULL掃描建立連接成功NULL掃描建立連接未成功網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第42頁(yè)。編輯課件43Xmastree掃描（圣誕樹掃描）XMAS掃描原理和NULL掃描的類似，將TCP數(shù)據(jù)包中的ACK、FIN、RST、SYN、URG、PSH標(biāo)志位置1后發(fā)送給目標(biāo)主機(jī)。在目標(biāo)端口開(kāi)放的情況下，目標(biāo)主機(jī)將不返回任何信息若目標(biāo)端口關(guān)閉，則目標(biāo)主機(jī)將返回RST信息XMAS掃描建立連接成功XMAS掃描建立連接未成功網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第43頁(yè)。編輯課件44端口掃描優(yōu)點(diǎn)不會(huì)被記錄到日志可以繞過(guò)某些防火墻netstat命令不會(huì)顯示——netstate命令只能顯示TCP連接或連接的嘗試缺點(diǎn)使用RAWIP編程，實(shí)現(xiàn)起來(lái)相對(duì)比較復(fù)雜利用BSD代碼缺陷，可能被修復(fù)——OpenBSD不同操作系統(tǒng)結(jié)果不同，因此不完全可信網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第44頁(yè)。編輯課件45端口掃描UDP端口掃描目前掃描UDP端口只有一種方法：向目標(biāo)UDP端口發(fā)送一些隨機(jī)數(shù)據(jù)，如果端口關(guān)閉，則目標(biāo)主機(jī)會(huì)回復(fù)ICMP端口不可達(dá)消息網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第45頁(yè)。編輯課件46慢速掃描隨著防火墻的廣泛應(yīng)用，普通的掃描很難穿過(guò)防火墻去掃描受防火墻保護(hù)的網(wǎng)絡(luò)。即使掃描能穿過(guò)防火墻，掃描的行為仍然有可能會(huì)被防火墻記錄下來(lái)。如果掃描是對(duì)非連續(xù)性端口、源地址不一致、時(shí)間間隔很長(zhǎng)且沒(méi)有規(guī)律的掃描的話，這些掃描的記錄就會(huì)淹沒(méi)在其他眾多雜亂的日志內(nèi)容中。使用慢速掃描的目的也就是這樣，騙過(guò)防火墻和入侵檢測(cè)系統(tǒng)而收集信息。雖然掃描所用的時(shí)間較長(zhǎng)，但這是一種比較難以被發(fā)現(xiàn)的掃描。網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第46頁(yè)。編輯課件47亂序掃描亂序掃描也是一種常見(jiàn)的掃描技術(shù)，掃描器掃描的時(shí)候不是進(jìn)行有序的掃描，掃描端口號(hào)的順序是隨機(jī)產(chǎn)生的，每次進(jìn)行掃描的順序都完全不一樣，這種方式能有效地欺騙某些入侵檢測(cè)系統(tǒng)而不會(huì)被發(fā)覺(jué)。網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第47頁(yè)。編輯課件48漏洞掃描漏洞是指系統(tǒng)硬件、操作系統(tǒng)、軟件、網(wǎng)絡(luò)協(xié)議、數(shù)據(jù)庫(kù)等在設(shè)計(jì)上和實(shí)現(xiàn)上出現(xiàn)的可以被攻擊者利用的錯(cuò)誤、缺陷和疏漏。漏洞掃描程序是用來(lái)檢測(cè)遠(yuǎn)程或本地主機(jī)安全漏洞的工具。針對(duì)掃描對(duì)象的不同，漏洞掃描又可分為網(wǎng)絡(luò)掃描、操作系統(tǒng)掃描、WWW服務(wù)掃描、數(shù)據(jù)庫(kù)掃描以及無(wú)線網(wǎng)絡(luò)掃描等。網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第48頁(yè)。編輯課件49端口掃描常用的端口掃描工具UNIX下的端口掃描工具NmapWindows下的端口掃描工具XScanSuperScanNmapforNT網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第49頁(yè)。編輯課件50防火墻建筑業(yè)中的防火墻用在建筑單位間，防止火勢(shì)的蔓延。在網(wǎng)絡(luò)安全領(lǐng)域中，防火墻用來(lái)指應(yīng)用于內(nèi)部網(wǎng)絡(luò)（局域網(wǎng)）和外部網(wǎng)絡(luò)（Internet）之間的，用來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)免受非法訪問(wèn)和破壞的網(wǎng)絡(luò)安全系統(tǒng)。網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第50頁(yè)。編輯課件51防火墻功能示意

兩個(gè)不同網(wǎng)絡(luò)安全域間通信流的唯一通道，對(duì)流過(guò)的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行檢查，阻止攻擊數(shù)據(jù)包通過(guò)。安全網(wǎng)域一安全網(wǎng)域二網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第51頁(yè)。編輯課件52防火墻主要功能過(guò)濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù);防止不安全的協(xié)議和服務(wù)；管理進(jìn)、出網(wǎng)絡(luò)的訪問(wèn)行為；記錄通過(guò)防火墻的信息內(nèi)容與活動(dòng)；對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)與告警;防止外部對(duì)內(nèi)部網(wǎng)絡(luò)信息的獲取提供與外部連接的集中管理；網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第52頁(yè)。編輯課件53防火墻不能防范的攻擊來(lái)自內(nèi)部的安全威脅；病毒開(kāi)放應(yīng)用服務(wù)程序的漏洞；特洛伊木馬；社會(huì)工程；不當(dāng)配置網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第53頁(yè)。編輯課件54衡量防火墻三大要求安全內(nèi)部和外部間所有數(shù)據(jù)必須通過(guò)防火墻只有符合安全策略的數(shù)據(jù)流才能通過(guò)防火墻防火墻自身要安全管理良好的人機(jī)交互界面提供強(qiáng)勁的管理及擴(kuò)展功能速度網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第54頁(yè)。編輯課件55防火墻發(fā)展歷程主要經(jīng)歷了三個(gè)階段：基于路由器的防火墻基于通用操作系統(tǒng)的防火墻基于安全操作系統(tǒng)的防火墻網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第55頁(yè)。編輯課件56防火墻分類按實(shí)現(xiàn)技術(shù)分類：包過(guò)濾型代理型防火墻按體系結(jié)構(gòu)分類：雙宿/多宿主機(jī)防火墻屏蔽主機(jī)防火墻屏蔽子網(wǎng)防火墻混合結(jié)構(gòu)網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第56頁(yè)。編輯課件57包過(guò)濾防火墻包過(guò)濾防火墻在決定能否及如何傳送數(shù)據(jù)包之外，還根據(jù)其規(guī)則集，看是否應(yīng)該傳送該數(shù)據(jù)包普通路由器當(dāng)數(shù)據(jù)包到達(dá)時(shí)，查看IP包頭信息，根據(jù)路由表決定能否以及如何傳送數(shù)據(jù)包網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第57頁(yè)。編輯課件58靜態(tài)包過(guò)濾防火墻

傳輸層傳輸層傳輸層

網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第58頁(yè)。編輯課件59路由與包過(guò)濾路由進(jìn)行轉(zhuǎn)發(fā)，過(guò)濾進(jìn)行篩選源地址目標(biāo)地址協(xié)議是否允許HostASeverXTCPYESHostASeverXUDPNOHostA外部網(wǎng)絡(luò)目標(biāo)路由SeverX接口1……………………SeverX網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第59頁(yè)。編輯課件60包過(guò)濾所檢查的內(nèi)容源和目的的IP地址IP選項(xiàng)IP的上層協(xié)議類型（TCP/UDP/ICMP）TCP和UDP的源及目的端口ICMP的報(bào)文類型和代碼我們稱這種對(duì)包頭內(nèi)容進(jìn)行簡(jiǎn)單過(guò)濾的方式為靜態(tài)包過(guò)濾網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第60頁(yè)。編輯課件61包過(guò)濾配置包過(guò)濾防火墻配置步驟：知道什么是應(yīng)該和不應(yīng)被允許，制定安全策略規(guī)定允許的包類型、包字段的邏輯表達(dá)用防火墻支持的語(yǔ)法重寫表達(dá)式網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第61頁(yè)。編輯課件62規(guī)則制定的策略拒絕任何訪問(wèn)，除非被規(guī)則特別允許允許任何訪問(wèn)，除非規(guī)則特別地禁止允許拒絕允許拒絕網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第62頁(yè)。編輯課件63規(guī)則制定的策略過(guò)濾的兩種基本方式按服務(wù)過(guò)濾：根據(jù)安全策略決定是否允許或拒絕某一種服務(wù)按規(guī)則過(guò)濾：檢查包頭信息，與過(guò)濾規(guī)則匹配，決定是否轉(zhuǎn)發(fā)該數(shù)據(jù)包網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第63頁(yè)。編輯課件64依賴于服務(wù)的過(guò)濾

多數(shù)服務(wù)對(duì)應(yīng)特定的端口，如要封鎖輸Telnet、SMTP的連接，則Router丟棄端口值為23和25的所有數(shù)據(jù)包。典型的過(guò)濾規(guī)則有以下幾種：只允許進(jìn)來(lái)的Telnet會(huì)話連接到指定的內(nèi)部主機(jī)只允許進(jìn)來(lái)的FTP會(huì)話連接到指定的內(nèi)部主機(jī)允許所有出去的Telnet會(huì)話允許所有出去的FTP會(huì)話拒絕從某些指定的外部網(wǎng)絡(luò)進(jìn)來(lái)的所有信息網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第64頁(yè)。編輯課件65按規(guī)則過(guò)濾有些類型的攻擊很難用基本包頭信息加以鑒別，因?yàn)楠?dú)立于服務(wù)。如果防范則需要定義規(guī)則1）源IP地址欺騙攻擊入侵者從偽裝成源自一臺(tái)內(nèi)部主機(jī)的一個(gè)外部地點(diǎn)傳送一些信息包；這些信息包似乎像包含了一個(gè)內(nèi)部系統(tǒng)的源IP地址。如果這些信息包到達(dá)Router的外部接口，則舍棄每個(gè)含有這個(gè)源IP地址的信息包，就可以挫敗這種源欺騙攻擊。網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第65頁(yè)。編輯課件66按規(guī)則過(guò)濾2）源路由攻擊攻擊者為信息包指定一個(gè)穿越Internet的路由，這類攻擊企圖繞過(guò)安全措施，并使信息包沿一條意外(疏漏)的路徑到達(dá)目的地?？梢酝ㄟ^(guò)舍棄所有包含這類源路由選項(xiàng)的信息包方式，來(lái)挫敗這類攻擊。3）殘片攻擊入侵者利用IP分段特性生成一個(gè)極小的片斷并將TCP報(bào)頭信息肢解成一個(gè)分離的信息包片斷，使數(shù)據(jù)包繞過(guò)用戶定義的過(guò)濾規(guī)則。黑客希望過(guò)濾路由器只檢查第一分段，而允許其它分段通過(guò)。通過(guò)舍棄所有協(xié)議類型為TCP、IP報(bào)頭中FragmentOffset=1的數(shù)據(jù)包，即可挫敗殘片的攻擊。網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第66頁(yè)。編輯課件67推薦的規(guī)則任何進(jìn)入內(nèi)網(wǎng)的數(shù)據(jù)包不能將內(nèi)部地址作為源地址任何進(jìn)入內(nèi)網(wǎng)的數(shù)據(jù)包必須將內(nèi)部地址作為目標(biāo)地址任何離開(kāi)內(nèi)網(wǎng)的數(shù)據(jù)包必須將內(nèi)部地址作為源地址任何離開(kāi)內(nèi)網(wǎng)的數(shù)據(jù)包不能將內(nèi)部地址作為目標(biāo)地址任何進(jìn)入或離開(kāi)內(nèi)網(wǎng)的數(shù)據(jù)包不能把一個(gè)私有地址或者/8作為源或目標(biāo)地址網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第67頁(yè)。編輯課件68靜態(tài)包過(guò)濾的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：速度快價(jià)格低對(duì)用戶透明缺點(diǎn)：配置難把握防范能力低沒(méi)有用戶身份驗(yàn)證機(jī)制網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第68頁(yè)。編輯課件69動(dòng)態(tài)包過(guò)濾動(dòng)態(tài)包過(guò)濾是CheckPoint的一項(xiàng)稱為“

StatefulInspection”的專利技術(shù)，也稱狀態(tài)檢測(cè)防火墻。動(dòng)態(tài)包過(guò)濾防火墻不僅以一個(gè)數(shù)據(jù)包的內(nèi)容作為過(guò)濾的依據(jù)，還根據(jù)這個(gè)數(shù)據(jù)包在信息流位置加以判斷。動(dòng)態(tài)包過(guò)濾防火墻可阻止未經(jīng)內(nèi)網(wǎng)請(qǐng)求的外部通信，而允許內(nèi)網(wǎng)請(qǐng)求的外部網(wǎng)站傳入的通信。網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第69頁(yè)。編輯課件70動(dòng)態(tài)包過(guò)濾防火墻網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第70頁(yè)。編輯課件71使用動(dòng)態(tài)包過(guò)濾制定的規(guī)則Setinternal=/24Denyipfrom$internaltoanyinviaeth0Denyipfromnot$internaltoanyinviaeth1Allow$internalaccessanydnsbyudpkeepstateAllow$InternalacessanywwwbytcpkeepstateAllow$internalaccessanyftpbytcpkeepstateDenyipfromanytoany網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第71頁(yè)。編輯課件72動(dòng)態(tài)包過(guò)濾的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：基于應(yīng)用程序信息驗(yàn)證一個(gè)包狀態(tài)的能力記錄通過(guò)的每個(gè)包的詳細(xì)信息缺點(diǎn)：造成網(wǎng)絡(luò)連接的遲滯系統(tǒng)資源要求較高網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第72頁(yè)。編輯課件73防火墻分類：包過(guò)濾代理型防火墻：應(yīng)用代理型代理型防火墻：電路代理型代理型防火墻：NAT網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第73頁(yè)。編輯課件74代理服務(wù)技術(shù)

代理服務(wù)技術(shù)能夠?qū)⑺锌缭椒阑饓Φ木W(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的連接，由兩個(gè)代理服務(wù)器之間的連接來(lái)實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第74頁(yè)。編輯課件75應(yīng)用代理防火墻工作在應(yīng)用層對(duì)所有規(guī)則內(nèi)允許的應(yīng)用程序作中轉(zhuǎn)轉(zhuǎn)發(fā)犧牲了對(duì)應(yīng)用程序的透明性網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第75頁(yè)。編輯課件76應(yīng)用代理防火墻應(yīng)用代理防火墻網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第76頁(yè)。編輯課件77應(yīng)用代理應(yīng)用代理工作原理示意緩沖文件應(yīng)用請(qǐng)求回復(fù)應(yīng)用請(qǐng)求回復(fù)網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第77頁(yè)。編輯課件78應(yīng)用代理防火墻應(yīng)用代理服務(wù)器的安全性屏蔽內(nèi)網(wǎng)用戶與外網(wǎng)的直接通信，提供更嚴(yán)格的檢查提供對(duì)協(xié)議的控制，拒絕所有沒(méi)有配置的連接提供用戶級(jí)控制，可近一步提供身份認(rèn)證等信息網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第78頁(yè)。編輯課件79應(yīng)用代理的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：可以隱藏內(nèi)部網(wǎng)絡(luò)的信息；可以具有強(qiáng)大的日志審核；可以實(shí)現(xiàn)內(nèi)容的過(guò)濾；缺點(diǎn)：價(jià)格高速度慢失效時(shí)造成網(wǎng)絡(luò)的癱瘓網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第79頁(yè)。編輯課件80電路級(jí)代理電路級(jí)代理因此可以同時(shí)為不同的服務(wù)，如WEB、FTP、TELNET提供代理服即SOCKS代理，它工作在傳輸層。網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第80頁(yè)。編輯課件81應(yīng)用代理應(yīng)用代理工作在應(yīng)用層，對(duì)于不同的服務(wù)，必須使用不同的代理軟件。應(yīng)用代理內(nèi)部主機(jī)WEB服務(wù)FTP服務(wù)WEBFTP網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第81頁(yè)。編輯課件82電路級(jí)代理優(yōu)缺點(diǎn)優(yōu)點(diǎn)：隱藏內(nèi)部網(wǎng)絡(luò)信息配置簡(jiǎn)單，無(wú)需為每個(gè)應(yīng)用程序配置一個(gè)代理缺點(diǎn)：多數(shù)電路級(jí)網(wǎng)關(guān)都是基于TCP端口配置，不對(duì)數(shù)據(jù)包檢測(cè)，可能會(huì)有漏洞網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第82頁(yè)。編輯課件83NAT防火墻NAT定義

NAT（NetworkAddressTransla-tion）網(wǎng)絡(luò)地址翻譯最初設(shè)計(jì)目的是用來(lái)增加私有組織的可用地址空間和解決將現(xiàn)有的私有TCP/IP網(wǎng)絡(luò)連接到網(wǎng)上的IP地址編號(hào)問(wèn)題網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第83頁(yè)。編輯課件84NAT防火墻NAT提供的功能內(nèi)部主機(jī)地址隱藏網(wǎng)絡(luò)負(fù)載均衡網(wǎng)絡(luò)地址交疊網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第84頁(yè)。編輯課件85NAT（網(wǎng)絡(luò)地址翻譯）根據(jù)內(nèi)部IP地址和外部IP地址的數(shù)量對(duì)應(yīng)關(guān)系，NAT分為：基本NAT：簡(jiǎn)單的地址翻譯M-1，多個(gè)內(nèi)部網(wǎng)地址翻譯到1個(gè)IP地址M-N，多個(gè)內(nèi)部網(wǎng)地址翻譯到N個(gè)IP地址池網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第85頁(yè)。編輯課件86NAT的優(yōu)缺點(diǎn)優(yōu)點(diǎn)管理方便并且節(jié)約IP地址資源。隱藏內(nèi)部IP地址信息。僅當(dāng)向某個(gè)外部地址發(fā)送過(guò)出站包時(shí)，NAT才允許來(lái)自該地址的流量入站。

缺點(diǎn)外部應(yīng)用程序卻不能方便地與NAT網(wǎng)關(guān)后面的應(yīng)用程序聯(lián)系。網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第86頁(yè)。編輯課件87防火墻布置簡(jiǎn)單包過(guò)濾路由雙宿/多宿主機(jī)模式屏蔽主機(jī)模式屏蔽子網(wǎng)模式網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第87頁(yè)。編輯課件88包過(guò)濾路由內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)包過(guò)濾路由器優(yōu)點(diǎn)：配置簡(jiǎn)單缺點(diǎn)：日志沒(méi)有或很少，難以判斷是否被入侵規(guī)則表會(huì)隨著應(yīng)用變得很復(fù)雜單一的部件保護(hù)，脆弱網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第88頁(yè)。編輯課件89雙宿/多宿主機(jī)模式堡壘主機(jī)：關(guān)鍵位置上用于安全防御的某個(gè)系統(tǒng)，攻擊者攻擊網(wǎng)絡(luò)必須先行攻擊的主機(jī)。雙宿/多宿主機(jī)防火墻又稱為雙宿/多宿網(wǎng)關(guān)防火墻，它是一種擁有兩個(gè)或多個(gè)連接到不同網(wǎng)絡(luò)上的網(wǎng)絡(luò)接口的防火墻，通常用一臺(tái)裝有兩塊或多塊網(wǎng)卡的堡壘主機(jī)做防火墻，兩塊或多塊網(wǎng)卡各自與受保護(hù)網(wǎng)和外部網(wǎng)相連網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第89頁(yè)。編輯課件90雙宿/多宿主機(jī)模式內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)應(yīng)用代理服務(wù)器完成：對(duì)外屏蔽內(nèi)網(wǎng)信息設(shè)置訪問(wèn)控制對(duì)應(yīng)用層數(shù)據(jù)嚴(yán)格檢查網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第90頁(yè)。編輯課件91優(yōu)點(diǎn)：配置簡(jiǎn)單檢查內(nèi)容更細(xì)致屏蔽了內(nèi)網(wǎng)結(jié)構(gòu)缺點(diǎn)：應(yīng)用代理本身的安全性網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第91頁(yè)。編輯課件92屏蔽主機(jī)內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)包過(guò)濾路由堡壘主機(jī)兩道屏障：網(wǎng)絡(luò)層的包過(guò)濾；應(yīng)用層代理服務(wù)注：與雙宿主機(jī)網(wǎng)關(guān)不同，這里的應(yīng)用網(wǎng)關(guān)只有一塊網(wǎng)卡。Web服務(wù)器網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第92頁(yè)。編輯課件93屏蔽主機(jī)優(yōu)點(diǎn)：雙重保護(hù)，安全性更高。實(shí)施策略：針對(duì)不同的服務(wù)，選擇其中的一種或兩種保護(hù)措施。網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第93頁(yè)。編輯課件94屏蔽子網(wǎng)內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)外部路由器內(nèi)部路由器周邊網(wǎng)絡(luò)（DMZ）網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第94頁(yè)。編輯課件95屏蔽子網(wǎng)1）周邊網(wǎng)絡(luò)：非軍事化區(qū)、?；饏^(qū)（DMZ）周邊網(wǎng)絡(luò)是另一個(gè)安全層,是在外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間的附加的網(wǎng)絡(luò)。對(duì)于周邊網(wǎng)絡(luò)，如果某人侵入周邊網(wǎng)上的堡壘主機(jī)，他僅能探聽(tīng)到周邊網(wǎng)上的通信。2）內(nèi)部路由器（阻塞路由器）：保護(hù)內(nèi)部的網(wǎng)絡(luò)使之免受Internet和周邊子網(wǎng)的侵犯。它為用戶的防火墻執(zhí)行大部分的數(shù)據(jù)包過(guò)濾工作網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第95頁(yè)。編輯課件96屏蔽子網(wǎng)3）外部路由器：在理論上，外部路由器保護(hù)周邊網(wǎng)和內(nèi)部網(wǎng)使之免受來(lái)自Internet的侵犯。實(shí)際上，外部路由器傾向于允許幾乎任何東西從周邊網(wǎng)出站，并且它們通常只執(zhí)行非常少的數(shù)據(jù)包過(guò)濾。外部路由器安全任務(wù)之一是：阻止從Internet上偽造源地址進(jìn)來(lái)的任何數(shù)據(jù)包。網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第96頁(yè)。編輯課件97優(yōu)點(diǎn)安全性較高可用性較好缺點(diǎn)配置復(fù)雜成本高網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第97頁(yè)。編輯課件98PIX網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第98頁(yè)。編輯課件994種管理訪問(wèn)模式非特權(quán)模式

PIX防火墻開(kāi)機(jī)自檢后，就是處于這種模式。系統(tǒng)顯示為pixfirewall>特權(quán)模式輸入enable進(jìn)入特權(quán)模式，可以改變當(dāng)前配置。顯示為pixfirewall#配置模式輸入configureterminal進(jìn)入此模式，絕大部分的系統(tǒng)配置都在這里進(jìn)行。顯示為pixfirewall(config)#監(jiān)視模式

PIX防火墻在開(kāi)機(jī)或重啟過(guò)程中，按住Escape鍵或發(fā)送一個(gè)"Break"字符，進(jìn)入監(jiān)視模式。這里可以更新*作系統(tǒng)映象和口令恢復(fù)。顯示為monitor>網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第99頁(yè)。編輯課件1006個(gè)基本命令nameifinterfaceipaddressnatglobalroute網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第100頁(yè)。編輯課件101nameif配置防火墻接口的名字，并指定安全級(jí)別Pix525(config)#nameifethernet0outsidesecurity0Pix525(config)#nameifethernet1insidesecurity100Pix525(config)#nameifethernet2dmzsecurity50在缺省配置中，以太網(wǎng)0被命名為外部接口（outside），安全級(jí)別是0；以太網(wǎng)1被命名為內(nèi)部接口（inside），安全級(jí)別是100。安全級(jí)別取值范圍為1～99，數(shù)字越大安全級(jí)別越高。網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第101頁(yè)。編輯課件102interface配置以太口參數(shù)Pix525(config)#interfaceethernet0autoauto選項(xiàng)表明系統(tǒng)自適應(yīng)網(wǎng)卡類型Pix525(config)#interfaceethernet1100full100full選項(xiàng)表示100Mbit/s以太網(wǎng)全雙工通信Pix525(config)#interfaceethernet1100fullshutdownshutdown選項(xiàng)表示關(guān)閉這個(gè)接口，若啟用接口去掉shutdown網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第102頁(yè)。編輯課件103ipaddressPix525(config)#ipaddressoutside248Pix525(config)#ipaddressinside很明顯，Pix525防火墻在外網(wǎng)的ip地址是2，內(nèi)網(wǎng)ip地址是

網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第103頁(yè)。編輯課件104nat指定要進(jìn)行轉(zhuǎn)換的內(nèi)部地址網(wǎng)絡(luò)地址翻譯（nat）作用是將內(nèi)網(wǎng)的私有ip轉(zhuǎn)換為外網(wǎng)的公有ip.Nat命令總是與global命令一起使用，這是因?yàn)閚at命令可以指定一臺(tái)主機(jī)或一段范圍的主機(jī)訪問(wèn)外網(wǎng)，訪問(wèn)外網(wǎng)時(shí)需要利用global所指定的地址池進(jìn)行對(duì)外訪問(wèn)。網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第104頁(yè)。編輯課件105nat命令配置語(yǔ)法nat(if_name)nat_idlocal_ip[netmark]其中（if_name）表示內(nèi)網(wǎng)接口名字，例如inside。nat_id用來(lái)標(biāo)識(shí)全局地址池，使它與其相應(yīng)的global命令相匹配，local_ip表示內(nèi)網(wǎng)被分配的ip地址。例如表示內(nèi)網(wǎng)所有主機(jī)可以對(duì)外訪問(wèn)。[netmark]表示內(nèi)網(wǎng)ip地址的子網(wǎng)掩碼。網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第105頁(yè)。編輯課件106nat例子例1．Pix525(config)#nat(inside)100表示啟用nat,內(nèi)網(wǎng)的所有主機(jī)都可以訪問(wèn)外網(wǎng)，用0可以代表例2．Pix525(config)#nat(inside)1表示只有這個(gè)網(wǎng)段內(nèi)的主機(jī)可以訪問(wèn)外網(wǎng)。網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第106頁(yè)。編輯課件107global指定外部地址范圍global命令把內(nèi)網(wǎng)的ip地址翻譯成外網(wǎng)的ip地址或一段地址范圍。global命令的配置語(yǔ)法：global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]其中（if_name）表示外網(wǎng)接口名字，例如outside.。Nat_id用來(lái)標(biāo)識(shí)全局地址池，使它與其相應(yīng)的nat命令相匹配，ip_address-ip_address表示翻譯后的單個(gè)ip地址或一段ip地址范圍。[netmarkglobal_mask]表示全局ip地址的網(wǎng)絡(luò)掩碼。網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第107頁(yè)。編輯課件108global例子例1．Pix525(config)#global(outside)12-8表示內(nèi)網(wǎng)的主機(jī)通過(guò)pix防火墻要訪問(wèn)外網(wǎng)時(shí)，pix防火墻將使用2-8這段ip地址池為要訪問(wèn)外網(wǎng)的主機(jī)分配一個(gè)全局ip地址。例2．Pix525(config)#global(outside)12表示內(nèi)網(wǎng)要訪問(wèn)外網(wǎng)時(shí)，pix防火墻將為訪問(wèn)外網(wǎng)的所有主機(jī)統(tǒng)一使用2這個(gè)單一ip地址。例3.Pix525(config)#noglobal(outside)12表示刪除這個(gè)全局表項(xiàng)。網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第108頁(yè)。編輯課件109route設(shè)置指向內(nèi)網(wǎng)和外網(wǎng)的靜態(tài)路由（route）定義一條靜態(tài)路由。route命令配置語(yǔ)法：route(if_name)00gateway_ip[metric]其中（if_name）表示接口名字，例如inside，outside。gateway_ip表示網(wǎng)關(guān)路由器的ip地址。[metric]表示到gateway_ip的跳數(shù)。通常缺省是1。網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第109頁(yè)。編輯課件110例1．Pix525(config)#routeoutside00681表示一條指向邊界路由器（ip地址68）的缺省路由。例2．Pix525(config)#routeinside1創(chuàng)建了一條到網(wǎng)絡(luò)的靜態(tài)路由，靜態(tài)路由的下一條路由器ip地址是

Pix525(config)#routeinside1網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第110頁(yè)。編輯課件111static配置靜態(tài)IP地址翻譯如果從外網(wǎng)發(fā)起一個(gè)會(huì)話，會(huì)話的目的地址是一個(gè)內(nèi)網(wǎng)的ip地址，static就把內(nèi)部地址翻譯成一個(gè)指定的全局地址，允許這個(gè)會(huì)話建立。static(internal_if_name，external_if_name)outside_ip_addressinside_ip_address其中internal_if_name表示內(nèi)部網(wǎng)絡(luò)接口，安全級(jí)別較高，如inside。external_if_name為外部網(wǎng)絡(luò)接口，安全級(jí)別較低，如outside等。outside_ip_address為正在訪問(wèn)的較低安全級(jí)別的接口上的ip地址。inside_ip_address為內(nèi)部網(wǎng)絡(luò)的本地ip地址。網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第111頁(yè)。編輯課件112conduit管道命令前面講過(guò)使用static命令可以在一個(gè)本地ip地址和一個(gè)全局ip地址之間創(chuàng)建了一個(gè)靜態(tài)映射，但從外部到內(nèi)部接口的連接仍然會(huì)被pix防火墻的自適應(yīng)安全算法(ASA)阻擋。conduit命令用來(lái)允許數(shù)據(jù)流從具有較低安全級(jí)別的接口流向具有較高安全級(jí)別的接口，例如允許從外部到DMZ或內(nèi)部接口的入方向的會(huì)話。對(duì)于向內(nèi)部接口的連接，static和conduit命令將一起使用，來(lái)指定會(huì)話的建立。網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第112頁(yè)。編輯課件113conduit命令配置語(yǔ)法conduitpermit|denyglobal_ipport[-port]protocolforeign_ip[netmask]permit|deny允許|拒絕訪問(wèn)global_ip指的是先前由global或static命令定義的全局ip地址，如果global_ip為0，就用any代替0；如果global_ip是一臺(tái)主機(jī)，就用host命令參數(shù)。port指的是服務(wù)所作用的端口，例如www使用80，smtp使用25等等，我們可以通過(guò)服務(wù)名稱或端口數(shù)字來(lái)指定端口protocol指的是連接協(xié)議，比如：TCP、UDP、ICMP等。foreign_ip表示可訪問(wèn)global_ip的外部ip。對(duì)于任意主機(jī)，可以用any表示。如果foreign_ip是一臺(tái)主機(jī)，就用host命令參數(shù)。網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第113頁(yè)。編輯課件114例1.Pix525(config)#conduitpermittcphosteqwwwany這個(gè)例子表示允許任何外部主機(jī)對(duì)全局地址的這臺(tái)主機(jī)進(jìn)行http訪問(wèn)。其中使用eq和一個(gè)端口來(lái)允許或拒絕對(duì)這個(gè)端口的訪問(wèn)。Eqftp就是指允許或拒絕只對(duì)ftp的訪問(wèn)。例2.Pix525(config)#conduitdenytcpanyeqftphost9表示不允許外部主機(jī)9對(duì)任何全局地址進(jìn)行ftp訪問(wèn)。例3.Pix525(config)#conduitpermiticmpanyany表示允許icmp消息向內(nèi)部和外部通過(guò)。網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第114頁(yè)。編輯課件115例4.Pix525(config)#static(inside,outside)2Pix525(config)#conduitpermittcphost2eqwwwany這個(gè)例子說(shuō)明static和conduit的關(guān)系。在內(nèi)網(wǎng)是一臺(tái)web服務(wù)器，現(xiàn)在希望外網(wǎng)的用戶能夠通過(guò)pix防火墻得到web服務(wù)。所以先做static靜態(tài)映射：－>2（全局），然后利用conduit命令允許任何外部主機(jī)對(duì)全局地址2進(jìn)行http訪問(wèn)。網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第115頁(yè)。編輯課件116配置fixup協(xié)議fixup命令作用是啟用，禁止，改變一個(gè)服務(wù)或協(xié)議通過(guò)pix防火墻，由fixup命令指定的端口是pix防火墻要偵聽(tīng)的服務(wù)。例1．Pix525(config)#fixupprotocolftp21啟用ftp協(xié)議，并指定ftp的端口號(hào)為21例2．Pix525(config)#fixupprotocolhttp80Pix525(config)#fixupprotocolhttp1080

為http協(xié)議指定80和1080兩個(gè)端口。例3．Pix525(config)#nofixupprotocolsmtp80

禁用smtp協(xié)議。網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第116頁(yè)。編輯課件117telnet從內(nèi)網(wǎng)telnet：telnet55inside從外網(wǎng)需要使用IPSECVPN網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第117頁(yè)。編輯課件118防火墻的不足無(wú)法發(fā)現(xiàn)和阻止對(duì)合法服務(wù)的攻擊；無(wú)法發(fā)現(xiàn)和阻止源自其它入口的攻擊；無(wú)法發(fā)現(xiàn)和阻止來(lái)自內(nèi)部網(wǎng)絡(luò)的攻擊；無(wú)法發(fā)現(xiàn)和阻止來(lái)自特洛伊木馬的威脅；網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第118頁(yè)。編輯課件119繞過(guò)防火墻的攻擊穿過(guò)防火墻的攻擊行為IIS4.0和IIS5.0在Unicode字符解碼的實(shí)現(xiàn)中存在一個(gè)安全漏洞，導(dǎo)致用戶可以遠(yuǎn)程通過(guò)IIS執(zhí)行任意命令。當(dāng)IIS打開(kāi)文件時(shí)，如果該文件名包含unicode字符，它會(huì)對(duì)其進(jìn)行解碼，如果用戶提供一些特殊的編碼，將導(dǎo)致IIS錯(cuò)誤的打開(kāi)或者執(zhí)行某些web根目錄以外的文件。網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第119頁(yè)。編輯課件120據(jù)統(tǒng)計(jì)80%的成功攻擊來(lái)自于防火墻內(nèi)部！網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第120頁(yè)。編輯課件121入侵檢測(cè)技術(shù)通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)信息的收集和分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略行為和被攻擊跡象的一種安全技術(shù)。網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第121頁(yè)。編輯課件122入侵檢測(cè)的作用檢測(cè)防護(hù)部分阻止不了的入侵檢測(cè)入侵的前兆入侵事件的歸檔網(wǎng)絡(luò)受威脅程度的評(píng)估幫助從入侵事件中恢復(fù)網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第122頁(yè)。編輯課件123防火墻與入侵檢測(cè)防火墻屬于信息保障的保護(hù)環(huán)節(jié)門禁系統(tǒng)入侵檢測(cè)屬于信息保障的檢測(cè)環(huán)節(jié)監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第123頁(yè)。編輯課件124入檢測(cè)檢測(cè)歷史入侵檢測(cè)的發(fā)源1980，JamesAnderson

提出入侵檢測(cè)的設(shè)想1987，DorothyDenning提出入侵檢測(cè)系統(tǒng)抽象模型主機(jī)入侵檢測(cè)1988，出現(xiàn)一批基于主機(jī)審計(jì)信息的入侵檢測(cè)系統(tǒng)網(wǎng)絡(luò)入侵檢測(cè)1990，開(kāi)始出現(xiàn)基于網(wǎng)絡(luò)數(shù)據(jù)的入侵檢測(cè)系統(tǒng)入侵檢測(cè)的新技術(shù)與新方法致力于提高入侵檢測(cè)系統(tǒng)的可伸縮性、可維護(hù)性、容錯(cuò)性。一些新的思想，如免疫、信息挖掘引入到入侵檢測(cè)領(lǐng)域網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第124頁(yè)。編輯課件125入侵檢測(cè)的核心任務(wù)攻擊者進(jìn)行攻擊的時(shí)候會(huì)留下痕跡，這些痕跡和系統(tǒng)正常運(yùn)行的時(shí)候產(chǎn)生的數(shù)據(jù)混在一起。入侵檢測(cè)的任務(wù)就是從混合的數(shù)據(jù)中找出入侵的痕跡并作出響應(yīng)。網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第125頁(yè)。編輯課件126通用入侵檢測(cè)框架CIDF體系結(jié)構(gòu)：闡述了一個(gè)標(biāo)準(zhǔn)的IDS的通用模型組件通信：定義了IDS組件之間進(jìn)行通信的標(biāo)準(zhǔn)協(xié)議語(yǔ)言規(guī)范：定義了一個(gè)用來(lái)描述各種檢測(cè)信息的標(biāo)準(zhǔn)語(yǔ)言編程接口：提供了一整套標(biāo)準(zhǔn)的應(yīng)用程序接口網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第126頁(yè)。編輯課件127CIDF體系結(jié)構(gòu)網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第127頁(yè)。編輯課件128CIDF組件事件產(chǎn)生器（Eventgenerators）事件分析器（Eventanalyzers）事件數(shù)據(jù)庫(kù)（Eventdatabases）響應(yīng)單元（Responseunits）網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第128頁(yè)。編輯課件129事件產(chǎn)生器數(shù)據(jù)獲取主機(jī)入侵檢測(cè)：系統(tǒng)審計(jì)記錄，應(yīng)用程序日志網(wǎng)絡(luò)入侵檢測(cè)：網(wǎng)絡(luò)流量復(fù)合型入侵檢測(cè)：其它安全產(chǎn)品的數(shù)據(jù)，如防火墻的事件記錄網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第129頁(yè)。編輯課件130事件分析器數(shù)據(jù)分析模式匹配統(tǒng)計(jì)分析網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第130頁(yè)。編輯課件131事件數(shù)據(jù)庫(kù)數(shù)據(jù)管理保存事件信息，包括正常事件和入侵事件用來(lái)存儲(chǔ)臨時(shí)處理數(shù)據(jù)，扮演各個(gè)組件之間的數(shù)據(jù)交換中心網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第131頁(yè)。編輯課件132響應(yīng)單元行為響應(yīng)主動(dòng)響應(yīng)：自動(dòng)干涉入侵，如切斷懷疑可能是攻擊行為的TCP連接，與防火墻聯(lián)動(dòng)操作阻塞后續(xù)的數(shù)據(jù)包，甚至向被懷疑是攻擊來(lái)源的主機(jī)發(fā)動(dòng)反擊被動(dòng)響應(yīng)：僅僅啟動(dòng)告警機(jī)制，向管理員提供信息，由管理員采取相應(yīng)行動(dòng)網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第132頁(yè)。編輯課件133信息收集技術(shù)系統(tǒng)日志文件日志文件中記錄了各種行為類型，每種類型又包含不同的信息，例如記錄“用戶活動(dòng)”類型的日志，就包含登錄、用戶ID改變、用戶對(duì)文件的訪問(wèn)、授權(quán)和認(rèn)證信息等方面的內(nèi)容以用戶活動(dòng)為例，不正常的或不期望的行為就是重復(fù)登錄失敗、登錄到不期望的位置以及非授權(quán)的訪問(wèn)企圖等等。網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第133頁(yè)。編輯課件134信息收集技術(shù)網(wǎng)絡(luò)流量遠(yuǎn)程的網(wǎng)絡(luò)攻擊伴隨著攻擊數(shù)據(jù)的發(fā)送，比如掃描、口令攻擊、遠(yuǎn)程的緩沖區(qū)溢出、腳本攻擊、假消息攻擊等。另外一些攻擊可能使網(wǎng)絡(luò)流量產(chǎn)生異常，比如特洛伊木馬、服務(wù)拒絕等等。網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第134頁(yè)。編輯課件135信息收集技術(shù)系統(tǒng)目錄和文件的異常變化入侵者經(jīng)常替換、修改和破壞他們獲得訪問(wèn)權(quán)的系統(tǒng)上的文件，同時(shí)為了隱藏系統(tǒng)中他們的表現(xiàn)及活動(dòng)痕跡，都會(huì)盡力去替換系統(tǒng)程序或修改系統(tǒng)日志。目錄和文件中的不期望的改變（包括修改、創(chuàng)建和刪除），特別是那些正常情況下限制訪問(wèn)的，很可能就是一種入侵產(chǎn)生的指示和信號(hào)。網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第135頁(yè)。編輯課件136信息收集技術(shù)程序執(zhí)行中的異常行為針對(duì)程序漏洞的攻擊，常導(dǎo)致程序產(chǎn)生異常的行為，如發(fā)生緩沖區(qū)溢出，進(jìn)行權(quán)限提升等。網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第136頁(yè)。編輯課件137信息分析技術(shù)信息分析技術(shù)的技術(shù)指標(biāo)誤報(bào)率漏報(bào)率常用的信息分析技術(shù)包括模式匹配（基于知識(shí)的檢測(cè)）統(tǒng)計(jì)分析（基于行為的檢測(cè)）網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第137頁(yè)。編輯課件138模式匹配過(guò)程：監(jiān)控特征提取匹配判定網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第138頁(yè)。編輯課件139模式匹配的特點(diǎn)前提：所有的入侵行為都有可被檢測(cè)到的特征特點(diǎn)：系統(tǒng)負(fù)擔(dān)小準(zhǔn)確度高不能檢測(cè)未知的入侵網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第139頁(yè)。編輯課件140統(tǒng)計(jì)分析過(guò)程：監(jiān)控量化比較判定

修正網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第140頁(yè)。編輯課件141統(tǒng)計(jì)分析的特點(diǎn)前提入侵是異常活動(dòng)的子集

特點(diǎn)：測(cè)系統(tǒng)能針對(duì)用戶行為的改變進(jìn)行自我調(diào)整和優(yōu)化能檢測(cè)到未知的入侵和更為復(fù)雜的入侵對(duì)系統(tǒng)資源消耗大系統(tǒng)誤報(bào)相對(duì)比較高，且不能適應(yīng)用戶正常行為的突然改變。網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第141頁(yè)。編輯課件142入侵檢測(cè)部署目標(biāo)：檢測(cè)整個(gè)網(wǎng)絡(luò)信息網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第142頁(yè)。編輯課件143共享網(wǎng)絡(luò)的入侵檢測(cè)部署IDSSensorConsoleHUBMonitoredServers網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第143頁(yè)。編輯課件144交換網(wǎng)絡(luò)的入侵檢測(cè)部署IDSSensorConsole通過(guò)端口鏡像實(shí)現(xiàn)（SPAN/PortMonitor）SwitchMonitoredServers網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第144頁(yè)。編輯課件145分段網(wǎng)絡(luò)的部署在一個(gè)分段的網(wǎng)絡(luò)中，應(yīng)保證IDS的探測(cè)器可以監(jiān)聽(tīng)到所有網(wǎng)絡(luò)數(shù)據(jù)IDSSensorConsoleIDSSensorSwitchMonitoredServersMonitoredServersRouter網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第145頁(yè)。編輯課件146發(fā)展趨勢(shì)分析技術(shù)的改進(jìn)內(nèi)容恢復(fù)和網(wǎng)絡(luò)審計(jì)功能的引入集成網(wǎng)絡(luò)分析和管理功能安全性和易用性的提高改進(jìn)對(duì)大數(shù)據(jù)量網(wǎng)絡(luò)的處理方法防火墻聯(lián)動(dòng)功能入侵防護(hù)系統(tǒng)（IPS）網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第146頁(yè)。編輯課件147IPS網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第147頁(yè)。編輯課件148TCP/IP協(xié)議棧對(duì)應(yīng)的VPN協(xié)議網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第148頁(yè)。編輯課件149VPN技術(shù)及應(yīng)用簡(jiǎn)介-IPSECIPSEC協(xié)議簡(jiǎn)介（RFC2401－2409等）IPSec（網(wǎng)絡(luò)安全協(xié)議）協(xié)議是一個(gè)協(xié)議集而不是一個(gè)單個(gè)的協(xié)議；IPSec協(xié)議給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)；自1995年IPSec的研究工作開(kāi)始以來(lái)，IETF組織已經(jīng)積累了大量的標(biāo)準(zhǔn)文件集（RFC）。網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第149頁(yè)。編輯課件150VPN技術(shù)及應(yīng)用簡(jiǎn)介-IPSECIPSec協(xié)議的組成IPSec協(xié)議包括AH協(xié)議、ESP協(xié)議、密鑰管理協(xié)議（IKE協(xié)議）和用于網(wǎng)絡(luò)驗(yàn)證及加密的一些算法等。IPSec規(guī)定了如何在對(duì)等層之間選擇安全協(xié)議、確定安全算法和密鑰交換，向上提供了訪問(wèn)控制、數(shù)據(jù)源驗(yàn)證、數(shù)據(jù)加密等網(wǎng)絡(luò)安全服務(wù)。網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第150頁(yè)。編輯課件151IPSec基本原理對(duì)報(bào)文進(jìn)行安全封裝后再在不可信賴網(wǎng)絡(luò)上傳輸并檢查和解除接收到的報(bào)文的安全封裝IPSEC隧道報(bào)文封裝報(bào)文解封AB網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第151頁(yè)。編輯課件152VPN技術(shù)及應(yīng)用簡(jiǎn)介-IPSECIPSec認(rèn)證－AH協(xié)議其使用的包頭號(hào)放在標(biāo)準(zhǔn)的IPv4和IPv6包頭和下一個(gè)高層協(xié)議幀（如TCP、UDP、ICMP、ESP等）之間；國(guó)際IANA機(jī)構(gòu)分配給AH的協(xié)議號(hào)為51。IPv4包頭AH包頭高層協(xié)議AH協(xié)議提供數(shù)據(jù)的認(rèn)證服務(wù)；保證數(shù)據(jù)在傳輸過(guò)程中沒(méi)有被改變或破壞，數(shù)據(jù)的順序也沒(méi)有很大變化。網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第152頁(yè)。編輯課件153VPN技術(shù)及應(yīng)用簡(jiǎn)介-IPSECIPSec加密－ESP協(xié)議其使用的包頭號(hào)放在標(biāo)準(zhǔn)的IPv4和IPv6包頭和下一個(gè)高層協(xié)議幀（如TCP、UDP、ICMP等）之間。國(guó)際IANA機(jī)構(gòu)分配給ESP的協(xié)議號(hào)為50。IPv4包頭ESP包頭高層協(xié)議ESP協(xié)議為IP數(shù)據(jù)包提供機(jī)密性、數(shù)據(jù)源驗(yàn)證、抗重播以及數(shù)據(jù)完整性等安全服務(wù)。網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第153頁(yè)。編輯課件154安全聯(lián)盟（SA）安全聯(lián)盟簡(jiǎn)稱SA，是構(gòu)成IPSec的基礎(chǔ)。SA是兩個(gè)通信實(shí)體經(jīng)協(xié)商建立起來(lái)的一種協(xié)定。SA是單向的，雙向的通信需要兩個(gè)SA。主機(jī)A主機(jī)BSA（out）SA（in）SA（in）SA（out）共享相同的加密參數(shù)共享相同的加密參數(shù)網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第154頁(yè)。編輯課件155安全聯(lián)盟（SA）SA是安全策略通常用一個(gè)三元組唯一的表示：<SPI，IP目的地址，安全協(xié)議標(biāo)識(shí)符>SPI：安全參數(shù)索引(SecurityParametersIndex)，說(shuō)明用SA的IP頭類型，它可以包含認(rèn)證算法、加密算法、用于認(rèn)證加密的密鑰以及密鑰的生存期；IP目的地址：指定輸出處理的目的IP地址，或輸入處理的源IP地址；安全協(xié)議標(biāo)識(shí)符：指明使用的協(xié)議是AH還是ESP或者兩者同時(shí)使用。網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署全文共234頁(yè)，當(dāng)前為第155頁(yè)。編輯課件156安全關(guān)聯(lián)數(shù)據(jù)庫(kù)SADSAD存放著和安全實(shí)體相關(guān)的所有SA，每個(gè)SA由三元組索引。一個(gè)SAD條目包含下列域：序列號(hào)計(jì)數(shù)器：32位整數(shù)，用于生成AH或ESP頭中的序列號(hào)；序列號(hào)溢出標(biāo)志：標(biāo)識(shí)是否對(duì)序列號(hào)計(jì)數(shù)器的溢出進(jìn)行審核；抗重發(fā)窗口：使用一個(gè)32位計(jì)數(shù)器和位圖確定一個(gè)輸入的AH或ESP數(shù)據(jù)包是否是重發(fā)包；IPSec協(xié)議操作模式：傳輸或隧道；AH的認(rèn)證算法和所需密鑰；ESP的認(rèn)證算法和所需密鑰；ESP加