網(wǎng)絡(luò)安全隔離技術(shù)

網(wǎng)絡(luò)安全隔離技術(shù)第1頁，課件共132頁，創(chuàng)作于2023年2月網(wǎng)絡(luò)隔離技術(shù)1、防火墻2、虛擬專網(wǎng)技術(shù)3、物理隔離技術(shù)隔離的本質(zhì)是在需要交換信息甚至共享資源的情況下才出現(xiàn)，既要信息交換或共享資源，又要隔離。第2頁，課件共132頁，創(chuàng)作于2023年2月基帶和寬帶基帶是一種信號傳輸方法，它通過直接將電流送到電纜上完成。占用整個電纜傳輸。寬帶，通常將電纜分為通道，以便不同的數(shù)據(jù)能同時發(fā)送，即在同一電纜中可以發(fā)送多個信號。第3頁，課件共132頁，創(chuàng)作于2023年2月資源隔離基本概念對資源分組取決于：資源的敏感程度、資源受到損害的可能性，或者是設(shè)計(jì)者所選擇的資源分組的標(biāo)準(zhǔn)。安全區(qū)域，是資源的一個邏輯分組（如系統(tǒng)、網(wǎng)絡(luò)或進(jìn)程），這些分組與可接受的風(fēng)險(xiǎn)級別類似。安全區(qū)域的思想不只局限于網(wǎng)絡(luò)。在某種程度上，安全區(qū)域可以這樣來實(shí)現(xiàn)：將某些性質(zhì)相類似的應(yīng)用程序駐留在專門的服務(wù)器上第4頁，課件共132頁，創(chuàng)作于2023年2月隔離的必要性例如Slammer等蠕蟲病毒對交換機(jī)的沖擊，就是利用了流轉(zhuǎn)發(fā)技術(shù)的三層交換機(jī)的工作原理，第一個數(shù)據(jù)包進(jìn)來的時候，三層交換機(jī)要像路由器那樣通過查找路由表，確定如何轉(zhuǎn)發(fā)，并形成一個用ASIC完成轉(zhuǎn)發(fā)查找的硬件流轉(zhuǎn)發(fā)表。感染Slammer等蠕蟲病毒的計(jì)算機(jī)會在很大的一段地址空間中，逐個發(fā)送指向不同IP地址的數(shù)據(jù)包。這種行為是惡意的。這樣的操作會導(dǎo)致交換機(jī)的硬件流轉(zhuǎn)發(fā)表溢出，導(dǎo)致CPU資源的大量浪費(fèi)，甚至使交換機(jī)的CPU資源完全耗盡。第5頁，課件共132頁，創(chuàng)作于2023年2月同軸電纜網(wǎng)絡(luò)隔離——同軸電纜0101010010101001010100101010應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層第6頁，課件共132頁，創(chuàng)作于2023年2月7網(wǎng)絡(luò)隔離——集線器…應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層第7頁，課件共132頁，創(chuàng)作于2023年2月網(wǎng)絡(luò)隔離——交換機(jī)物理編址網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)錯誤校驗(yàn)幀序列化流控應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層第8頁，課件共132頁，創(chuàng)作于2023年2月網(wǎng)絡(luò)隔離——虛擬子網(wǎng)(VLAN)InternetVLAN2VLAN1VLAN3第9頁，課件共132頁，創(chuàng)作于2023年2月網(wǎng)絡(luò)隔離——虛擬子網(wǎng)(Cont.)VLAN在是交換機(jī)上的實(shí)現(xiàn)劃分基于端口劃分的VLAN基于MAC地址劃分VLAN基于網(wǎng)絡(luò)層劃分VLAN根據(jù)IP組播劃分VLAN第10頁，課件共132頁，創(chuàng)作于2023年2月路由器的協(xié)議層次第11頁，課件共132頁，創(chuàng)作于2023年2月路由器與網(wǎng)絡(luò)隔離網(wǎng)絡(luò)互連數(shù)據(jù)處理網(wǎng)絡(luò)管理應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層第12頁，課件共132頁，創(chuàng)作于2023年2月路由器與網(wǎng)絡(luò)隔離(Cont.)RouterARouterBRouterCRouterD/8/8/8/24/24/24/24/24/24DestinationNexthopInterface…/8P1/8P2/8P3第13頁，課件共132頁，創(chuàng)作于2023年2月路由器與網(wǎng)絡(luò)隔離(Cont.)路由器作為唯一安全組件相對交換機(jī)，集線器，能提供更高層次的安全功能路由器作為安全組件的一部分在一個全面安全體系結(jié)構(gòu)中，常用作屏蔽設(shè)備，執(zhí)行包過濾功能，而防火墻對能夠通過路由器的數(shù)據(jù)包進(jìn)行檢查第14頁，課件共132頁，創(chuàng)作于2023年2月典型的網(wǎng)絡(luò)環(huán)境第15頁，課件共132頁，創(chuàng)作于2023年2月防火墻的定義傳統(tǒng)的防火墻概念概念：防火墻被設(shè)計(jì)用來防止火從大廈的一部分傳播到另一部分第16頁，課件共132頁，創(chuàng)作于2023年2月IT領(lǐng)域使用的防火墻概念兩個安全域之間通信流的唯一通道安全域1HostAHostB安全域2HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根據(jù)訪問控制規(guī)則決定進(jìn)出網(wǎng)絡(luò)的行為一種高級訪問控制設(shè)備，置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，它是不同網(wǎng)絡(luò)安全域間通信流的唯一通道，能根據(jù)企業(yè)有關(guān)的安全政策控制（允許、拒絕、監(jiān)視、記錄）進(jìn)出網(wǎng)絡(luò)的訪問行為。第17頁，課件共132頁，創(chuàng)作于2023年2月IT領(lǐng)域使用的防火墻概念

防火墻（FireWall）是一種隔離控制技術(shù)，在某個機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)（如Internet）之間設(shè)置屏障，阻止對信息資源的非法訪問，也可以使用防火墻阻止重要信息從企業(yè)的網(wǎng)絡(luò)上被非法輸出。FireWall一般安裝在路由器上以保護(hù)一個子網(wǎng)，也可以安裝在一臺主機(jī)上，保護(hù)這臺主機(jī)不受侵犯。

第18頁，課件共132頁，創(chuàng)作于2023年2月防火墻的發(fā)展歷程將過濾功能從路由器中獨(dú)立出來，針對用戶需求，提供模塊化的軟件包用戶可根據(jù)需要構(gòu)造防火墻安全性提高了，價格降低了利用路由器本身對分組的解析,進(jìn)行分組過濾過濾判斷依據(jù)：地址、端口號防火墻與路由器合為一體，只有過濾功能適用于對安全性要求不高的網(wǎng)絡(luò)環(huán)境是批量上市的專用防火墻產(chǎn)品包括分組過濾或者借用路由器的分組過濾功能裝有專用的代理系統(tǒng)，監(jiān)控所有協(xié)議的數(shù)據(jù)和指令保護(hù)用戶編程空間和用戶可配置內(nèi)核參數(shù)的設(shè)置安全性和速度大為提高。防火墻廠商具有操作系統(tǒng)的源代碼，并可實(shí)現(xiàn)安全內(nèi)核在功能上包括了分組過濾、應(yīng)用網(wǎng)關(guān)、電路級網(wǎng)關(guān)增加了許多附加功能：加密、鑒別、審計(jì)、NAT轉(zhuǎn)換透明性好，易于使用基于通用操作系統(tǒng)的防火墻防火墻工具套基于安全操作系統(tǒng)的防火墻第19頁，課件共132頁，創(chuàng)作于2023年2月防火墻在網(wǎng)絡(luò)中的位置防火墻放置于不同網(wǎng)絡(luò)安全域之間第20頁，課件共132頁，創(chuàng)作于2023年2月21防火墻分類分組過濾防火墻應(yīng)用代理防火墻狀態(tài)檢測防火墻第21頁，課件共132頁，創(chuàng)作于2023年2月防火墻——分組過濾防火墻HTTPDNS未經(jīng)授權(quán)的用戶Internet用戶子網(wǎng)分組過濾也被稱為包過濾。分組過濾防火墻根據(jù)數(shù)據(jù)包頭信息對網(wǎng)絡(luò)流量進(jìn)行處理。分組過濾防火墻應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層第22頁，課件共132頁，創(chuàng)作于2023年2月分組過濾技術(shù)網(wǎng)絡(luò)級防火墻，一般是基于源地址和目的地址、應(yīng)用、協(xié)議以及每個IP包的端口來作出通過與否的判斷。一個路由器便是一個“傳統(tǒng)”的網(wǎng)絡(luò)級防火墻，大多數(shù)的路由器都能通過檢查這些信息來決定是否將所收到的包轉(zhuǎn)發(fā)，但它不能判斷出一個IP包來自何方，去向何處。防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符。如果沒有一條規(guī)則能符合，防火墻就會使用默認(rèn)規(guī)則，一般情況下，默認(rèn)規(guī)則就是要求防火墻丟棄該包。其次，通過定義基于TCP或UDP數(shù)據(jù)包的端口號，防火墻能夠判斷是否允許建立特定的連接，如Telnet、FTP連接。表示層會話層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層傳輸層應(yīng)用層表示層會話層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層傳輸層應(yīng)用層表示層會話層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層傳輸層非信任域防火墻信任域應(yīng)用層網(wǎng)絡(luò)層網(wǎng)絡(luò)層網(wǎng)絡(luò)層第23頁，課件共132頁，創(chuàng)作于2023年2月分組過濾原理安全網(wǎng)域HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包查找對應(yīng)的控制策略拆開數(shù)據(jù)包根據(jù)策略決定如何處理該數(shù)據(jù)包控制策略數(shù)據(jù)包過濾依據(jù)主要是TCP/IP報(bào)頭里面的信息，不能對應(yīng)用層數(shù)據(jù)進(jìn)行處理數(shù)據(jù)TCP報(bào)頭IP報(bào)頭分組過濾判斷信息第24頁，課件共132頁，創(chuàng)作于2023年2月分組過濾防火墻的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：容易實(shí)現(xiàn)，費(fèi)用少，對性能的影響不大，對流量的管理較出色。缺點(diǎn)較多，主要有：過濾規(guī)則表隨著應(yīng)用的深化會很快變得很大而且復(fù)雜，這樣不僅規(guī)則難以測試，而且規(guī)則結(jié)構(gòu)出現(xiàn)漏洞的可能性也會增加。包過濾技術(shù)只對數(shù)據(jù)包頭進(jìn)行檢查，沒有身份驗(yàn)證機(jī)制，因此不能分辨正常用戶和入侵者。包過濾技術(shù)不能進(jìn)行應(yīng)用層的深度檢查，因此不能發(fā)現(xiàn)傳輸?shù)膼阂獯a及攻擊數(shù)據(jù)包。包過濾技術(shù)容易遭受源地址欺騙。外部攻擊者可通過將攻擊數(shù)據(jù)包源地址改為內(nèi)部地址而穿透防火墻。雖然分組過濾防火墻有以上的缺點(diǎn)，但是由于其方便性，分組過濾仍是重要的安全措施。第25頁，課件共132頁，創(chuàng)作于2023年2月26防火墻——應(yīng)用代理防火墻HTTPDNS未經(jīng)授權(quán)的用戶Internet用戶子網(wǎng)應(yīng)用代理防火墻HTTP服務(wù)器客戶瀏覽器實(shí)際TCP連接1實(shí)際TCP連接2用戶感覺的TCP連接應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層第26頁，課件共132頁，創(chuàng)作于2023年2月應(yīng)用代理技術(shù)防火墻應(yīng)用層表示層會話層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層傳輸層應(yīng)用層表示層會話層NETWORK數(shù)據(jù)鏈路層物理層傳輸層應(yīng)用層表示層會話層NETWORK數(shù)據(jù)鏈路層物理層傳輸層非信任域防火墻信任域網(wǎng)絡(luò)層網(wǎng)絡(luò)層第27頁，課件共132頁，創(chuàng)作于2023年2月應(yīng)用代理技術(shù)應(yīng)用代理防火墻(applicationgateway)又被稱為“堡壘主機(jī)”、“代理網(wǎng)關(guān)”、“應(yīng)用級網(wǎng)關(guān)”、“代理服務(wù)器”。它的邏輯位置在OSI7層協(xié)議的應(yīng)用層上，所以主要采用協(xié)議代理服務(wù)(proxyservices)。應(yīng)用代理防火墻比分組過濾防火墻提供更高層次的安全性，但這是以喪失對應(yīng)用程序的透明性為代價的。在實(shí)際工作中，應(yīng)用網(wǎng)關(guān)一般由專用工作站系統(tǒng)來完成。但每一種協(xié)議需要相應(yīng)的代理軟件，使用時工作量大，效率不如網(wǎng)絡(luò)級防火墻。

一般情況下，附加proxy服務(wù)器，如squid，能有效增加效率，并能實(shí)施關(guān)鍵字過濾。應(yīng)用級網(wǎng)關(guān)有較好的訪問控制，是目前最安全的防火墻技術(shù)，但實(shí)現(xiàn)困難，而且有的應(yīng)用級網(wǎng)關(guān)缺乏“透明度”。在實(shí)際使用中，用戶在受信任的網(wǎng)絡(luò)上通過防火墻訪問Internet時，經(jīng)常會發(fā)現(xiàn)存在延遲并且必須進(jìn)行多次登錄（Login）才能訪問Internet或Intranet。

第28頁，課件共132頁，創(chuàng)作于2023年2月應(yīng)用代理原理安全網(wǎng)域HostCHostD數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包查找對應(yīng)的控制策略拆開數(shù)據(jù)包根據(jù)策略決定如何處理該數(shù)據(jù)包數(shù)據(jù)包應(yīng)用代理可以對數(shù)據(jù)包的數(shù)據(jù)區(qū)進(jìn)行分析，并以此判斷數(shù)據(jù)是否允許通過控制策略數(shù)據(jù)TCP報(bào)頭IP報(bào)頭分組過濾判斷信息應(yīng)用代理判斷信息第29頁，課件共132頁，創(chuàng)作于2023年2月應(yīng)用代理防火墻的優(yōu)缺點(diǎn)與分組過濾技術(shù)相比，應(yīng)用代理技術(shù)有以下的缺點(diǎn)：應(yīng)用代理防火墻工作在OSI模型最高層，因此開銷較大。對每項(xiàng)服務(wù)必須使用專門設(shè)計(jì)的代理服務(wù)器。應(yīng)用代理防火墻通常支持常用的協(xié)議，例如：HTTP，F(xiàn)TP，Telnet等等，但不能所有的應(yīng)用層協(xié)議。應(yīng)用代理防火墻配置的方便性較差，對用戶不透明。例如使用HTTP代理，需要用戶配置自己的IE，從而使之指向代理服務(wù)器。優(yōu)點(diǎn)：比起分組過濾防火墻，應(yīng)用代理防火墻能夠提供更高層次的安全性。應(yīng)用代理防火墻將保護(hù)網(wǎng)絡(luò)與外界完全隔離。并提供更細(xì)致的日志，有助于發(fā)現(xiàn)入侵。應(yīng)用代理防火墻本身是一臺主機(jī)，可以執(zhí)行諸如身份驗(yàn)證等功能。應(yīng)用代理防火墻檢測的深度更深，能夠進(jìn)行應(yīng)用級的過濾。例如，有的應(yīng)用代理防火墻可以過濾FTP連接并禁止FTP的“put”命令，從而保證用戶不能往匿名FTP服務(wù)器上寫入數(shù)據(jù)。第30頁，課件共132頁，創(chuàng)作于2023年2月防火墻——狀態(tài)檢測防火墻監(jiān)聽是否在連接狀態(tài)表中YES轉(zhuǎn)發(fā)是否匹配規(guī)則集NO丟棄或拒絕YESNO應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層一種基于連接的狀態(tài)檢測機(jī)制，將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對表中的各個連接狀態(tài)因素加以識別。第31頁，課件共132頁，創(chuàng)作于2023年2月狀態(tài)檢測技術(shù)表示層會話層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層應(yīng)用層表示層會話層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層應(yīng)用層表示層會話層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層非信任域防火墻信任域傳輸層傳輸層傳輸層應(yīng)用層檢測引擎第32頁，課件共132頁，創(chuàng)作于2023年2月狀態(tài)檢測原理安全網(wǎng)域HostCHostD數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包查找對應(yīng)的控制策略拆開數(shù)據(jù)包根據(jù)策略決定如何處理該數(shù)據(jù)包數(shù)據(jù)包狀態(tài)檢測可以結(jié)合前后數(shù)據(jù)包里的數(shù)據(jù)信息進(jìn)行綜合分析決定是否允許該包通過控制策略數(shù)據(jù)3TCP報(bào)頭IP報(bào)頭數(shù)據(jù)2TCP報(bào)頭IP報(bào)頭數(shù)據(jù)1TCP報(bào)頭IP報(bào)頭狀態(tài)檢測第33頁，課件共132頁，創(chuàng)作于2023年2月狀態(tài)檢測技術(shù)狀態(tài)檢測防火墻的運(yùn)行方式：當(dāng)一個數(shù)據(jù)包到達(dá)狀態(tài)檢測防火墻時，首先通過查看一個動態(tài)建立的連接狀態(tài)表判斷數(shù)據(jù)包是否屬于一個已建立的連接。這個連接狀態(tài)表包括源地址、目的地址、源端口號、目的端口號等及對該數(shù)據(jù)連接采取的策略（丟棄，拒絕或是轉(zhuǎn)發(fā)）。連接狀態(tài)表中記錄了所有已建立連接的數(shù)據(jù)包信息。如果數(shù)據(jù)包與連接狀態(tài)表匹配，屬于一個已建立的連接，則根據(jù)連接狀態(tài)表的策略對數(shù)據(jù)包實(shí)施丟棄，拒絕或是轉(zhuǎn)發(fā)。如果數(shù)據(jù)包不屬于一個已建立的連接，數(shù)據(jù)包與連接狀態(tài)表不匹配，那么防火墻則會檢查數(shù)據(jù)包是否與它所配置的規(guī)則集匹配。大多數(shù)狀態(tài)檢測防火墻的規(guī)則仍然與普通的包過濾相似。也有的狀態(tài)檢測防火墻對應(yīng)用層的信息進(jìn)行檢查。例如可以通過檢查內(nèi)網(wǎng)發(fā)往外網(wǎng)的FTP協(xié)議數(shù)據(jù)包中是否有put命令來阻斷內(nèi)網(wǎng)用戶向外網(wǎng)的服務(wù)器上傳數(shù)據(jù)。與此同時，狀態(tài)檢測防火墻將建立起連接狀態(tài)表，記錄該連接的地址信息以及對此連接數(shù)據(jù)包的策略。第34頁，課件共132頁，創(chuàng)作于2023年2月35防火墻的典型體系結(jié)構(gòu)——包過濾路由器模型HTTPDNS包過濾路由器Internet工作站工作站FTP第35頁，課件共132頁，創(chuàng)作于2023年2月防火墻的典型體系結(jié)構(gòu)——單宿主堡壘主機(jī)模型HTTPDNS包過濾路由器Internet工作站工作站堡壘主機(jī)第36頁，課件共132頁，創(chuàng)作于2023年2月HTTPDNS包過濾路由器Internet工作站工作站FTP防火墻的典型體系結(jié)構(gòu)——雙宿主堡壘主機(jī)模型堡壘主機(jī)第37頁，課件共132頁，創(chuàng)作于2023年2月HTTPDNS包過濾路由器InternetFTP防火墻的典型體系結(jié)構(gòu)——子網(wǎng)屏蔽防火墻模型堡壘主機(jī)工作站工作站工作站ModemPool包過濾路由器第38頁，課件共132頁，創(chuàng)作于2023年2月防火墻的功能、性能防火墻的功能防火墻的性能第39頁，課件共132頁，創(chuàng)作于2023年2月狀態(tài)檢測表

提高了效率防止假冒IP攻擊HostCHostDNo訪問控制規(guī)則表Yes數(shù)據(jù)包狀態(tài)檢測第40頁，課件共132頁，創(chuàng)作于2023年2月防火墻訪問控制的范圍源和目的地址；源和目的端口；“欺詐”的IP地址；IP協(xié)議號；端口范圍；ICMP信息類型；IP和TCP中都有的選項(xiàng)類型；IP和TCP標(biāo)記組合；VLAN信息。第41頁，課件共132頁，創(chuàng)作于2023年2月防火墻的防御攻擊的能力抵抗DOS/DDOS攻擊防止入侵者的掃描防止源路由攻擊防止IP碎片攻擊防止ICMP/IGMP攻擊防止IP假冒攻擊第42頁，課件共132頁，創(chuàng)作于2023年2月應(yīng)用控制可以對常用的高層應(yīng)用做更細(xì)的控制如HTTP的GET、POST、HEAD

如FTP的GET、PUT等物理層鏈路層網(wǎng)絡(luò)層傳輸層會話層表示層應(yīng)用層物理層鏈路層網(wǎng)絡(luò)層傳輸層會話層表示層應(yīng)用層內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)防火墻內(nèi)部接口外部接口根據(jù)策略檢查應(yīng)用層的數(shù)據(jù)符合策略應(yīng)用層應(yīng)用層應(yīng)用層應(yīng)用代理第43頁，課件共132頁，創(chuàng)作于2023年2月InternetHostAHostBHostCHostD00-50-04-BB-71-A600-50-04-BB-71-BCBINDTo00-50-04-BB-71-A6BINDTo00-50-04-BB-71-BCIP與MAC地址綁定后，不允許HostB假冒HostA的IP地址上網(wǎng)防火墻允許HostA上網(wǎng)IP和MAC地址綁定第44頁，課件共132頁，創(chuàng)作于2023年2月網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT:NetworkAddressTranslation)將每個局域網(wǎng)節(jié)點(diǎn)的地址轉(zhuǎn)換成一個IP地址，反之亦然。交換機(jī)port:5133port:5134port:5120路由器(NAT)Internet3:51333:51343:5120第45頁，課件共132頁，創(chuàng)作于2023年2月Internet4HostA受保護(hù)網(wǎng)絡(luò)HostCHostD15防火墻Eth2：3Eth0：數(shù)據(jù)IP報(bào)頭數(shù)據(jù)IP報(bào)頭源地址：1目地址：4源地址：目地址：4

隱藏了內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)內(nèi)部網(wǎng)絡(luò)可以使用私有IP地址公開地址不足的網(wǎng)絡(luò)可以使用這種方式提供IP復(fù)用功能NAT地址轉(zhuǎn)換第46頁，課件共132頁，創(chuàng)作于2023年2月反向地址映射Internet公開服務(wù)器可以使用私有地址隱藏內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)WWWFTPMAILDNS8MAP：53TO：53MAP：21TO：21MAP：80TO：80MAP：25TO：25WWW第47頁，課件共132頁，創(chuàng)作于2023年2月分布式防火墻傳統(tǒng)防火墻技術(shù)的幾個問題依賴于防火墻一端可信，另一端是潛在的敵人Internet的發(fā)展使從外部穿過防火墻訪問內(nèi)部網(wǎng)的需求增加了一些內(nèi)部主機(jī)需要更多的權(quán)限只依賴于端-端加密并不能完全解決問題過于依賴物理拓?fù)浣Y(jié)構(gòu)考慮到下面幾個事實(shí)個人防火墻已得到了廣泛的應(yīng)用操作系統(tǒng)大多已提供了許多在傳統(tǒng)意義上還屬于防火墻的手段IPv6以及IPSec技術(shù)的發(fā)展防火墻這一概念還不能拋棄第48頁，課件共132頁，創(chuàng)作于2023年2月分布式防火墻(續(xù)一)思路主要防護(hù)工作在主機(jī)端打破傳統(tǒng)防火墻的物理拓?fù)浣Y(jié)構(gòu)，不單純依靠物理位置來劃分內(nèi)外由安全策略來劃分內(nèi)外網(wǎng)具體方法：依賴于下面三點(diǎn)策略描述語言：說明什么連接允許，什么連接不允許一系列系統(tǒng)管理工具：用于將策略發(fā)布到每一主機(jī)處，以保證機(jī)構(gòu)的安全I(xiàn)PSec技術(shù)及其他高層安全協(xié)議第49頁，課件共132頁，創(chuàng)作于2023年2月防火墻的性能指標(biāo)延時并發(fā)連接數(shù)平均無故障時間

吞吐量防火墻在不丟包的情況下能夠達(dá)到的最大包轉(zhuǎn)發(fā)速率

數(shù)據(jù)包通過防火墻所用的時間防火墻能夠同時處理的點(diǎn)對點(diǎn)連接的最大數(shù)目系統(tǒng)平均能夠正常運(yùn)行多長時間，才發(fā)生一次故障第50頁，課件共132頁，創(chuàng)作于2023年2月防火墻的應(yīng)用

“訪問控制”的應(yīng)用“防火墻在VLAN網(wǎng)絡(luò)”應(yīng)用“內(nèi)網(wǎng)安全分段”的應(yīng)用“動態(tài)IP分配”的應(yīng)用“多出口”的應(yīng)用“端口映射”應(yīng)用第51頁，課件共132頁，創(chuàng)作于2023年2月“訪問控制”的應(yīng)用第52頁，課件共132頁，創(chuàng)作于2023年2月Vlan2財(cái)務(wù)部Vlan3技術(shù)部Vlan4培訓(xùn)中心internetVlan網(wǎng)關(guān)“防火墻在VLAN網(wǎng)絡(luò)”應(yīng)用第53頁，課件共132頁，創(chuàng)作于2023年2月internet財(cái)務(wù)部工程部銷售部行政部“內(nèi)網(wǎng)安全分段”的應(yīng)用第54頁，課件共132頁，創(chuàng)作于2023年2月InternetInternetInternetLAN可以根據(jù)需要，按照源IP地址、服務(wù)，將數(shù)據(jù)流從不同的端口送出“多出口”的應(yīng)用第55頁，課件共132頁，創(chuàng)作于2023年2月財(cái)務(wù)VLAN工程技術(shù)VLAN項(xiàng)目VLAN內(nèi)部WEB服務(wù)器內(nèi)部數(shù)據(jù)庫服務(wù)器內(nèi)部文件服務(wù)器寬帶網(wǎng)(城域網(wǎng))內(nèi)部服務(wù)器VLAN動態(tài)獲得IP“動態(tài)IP分配”的應(yīng)用第56頁，課件共132頁，創(chuàng)作于2023年2月托管主機(jī)Internet電信機(jī)房8800“端口映射”應(yīng)用

第57頁，課件共132頁，創(chuàng)作于2023年2月防火墻不足之處無法防護(hù)內(nèi)部用戶之間的攻擊無法防護(hù)基于操作系統(tǒng)漏洞的攻擊無法防護(hù)內(nèi)部用戶的其他行為無法防護(hù)端口反彈木馬的攻擊無法防護(hù)病毒的侵襲無法防護(hù)非法通道出現(xiàn)第58頁，課件共132頁，創(chuàng)作于2023年2月企業(yè)部署防火墻的誤區(qū)

最全的就是最好的，最貴的就是最好的軟件防火墻部署后不對操作系統(tǒng)加固一次配置，永遠(yuǎn)運(yùn)行測試不夠完全審計(jì)是可有可無的第59頁，課件共132頁，創(chuàng)作于2023年2月防火墻攔截畫面

第60頁，課件共132頁，創(chuàng)作于2023年2月IP的安全性IP包本身并不繼承任何安全特性不安全的表現(xiàn)偽造出IP包的地址修改其內(nèi)容重播以前的包傳輸途中攔截并查看包的內(nèi)容解決方案VPN第61頁，課件共132頁，創(chuàng)作于2023年2月虛擬專用網(wǎng)絡(luò)VPN虛擬專用網(wǎng)(VPN)被定義為通過一個公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。

第62頁，課件共132頁，創(chuàng)作于2023年2月虛擬專用網(wǎng)絡(luò)VPNVPN采用四種技術(shù)來保證安全隧道技術(shù)（Tuneling）加密技術(shù)密鑰管理技術(shù)身份認(rèn)證技術(shù)第63頁，課件共132頁，創(chuàng)作于2023年2月VPN分類標(biāo)準(zhǔn)1、按VPN的協(xié)議分類：VPN的隧道協(xié)議主要有三種，PPTP、L2TP和IPSec，其中PPTP和L2TP協(xié)議工作在OSI模型的第二層，又稱為二層隧道協(xié)議；IPSec是第三層隧道協(xié)議。2、按VPN的應(yīng)用分類：（1）AccessVPN（遠(yuǎn)程接入VPN）：客戶端到網(wǎng)關(guān)，使用公網(wǎng)作為骨干網(wǎng)在設(shè)備之間傳輸VPN數(shù)據(jù)流量；（2）IntranetVPN（內(nèi)聯(lián)網(wǎng)VPN）：網(wǎng)關(guān)到網(wǎng)關(guān)，通過公司的網(wǎng)絡(luò)架構(gòu)連接來自同公司的資源；（3）ExtranetVPN（外聯(lián)網(wǎng)VPN）：與合作伙伴企業(yè)網(wǎng)構(gòu)成Extranet，將一個公司與另一個公司的資源進(jìn)行連接。3、按所用的設(shè)備類型進(jìn)行分類：（1）路由器式VPN：路由器式VPN部署較容易，只要在路由器上添加VPN服務(wù)即可；（2）交換機(jī)式VPN：主要應(yīng)用于連接用戶較少的VPN網(wǎng)絡(luò)；（3）防火墻式VPN：防火墻式VPN是最常見的一種VPN的實(shí)現(xiàn)方式，許多廠商都提供這種配置類型4．按照實(shí)現(xiàn)原理劃分：（1）重疊VPN：此VPN需要用戶自己建立端節(jié)點(diǎn)之間的VPN鏈路，主要包括：GRE、L2TP、IPSec等眾多技術(shù)。（2）對等VPN：由網(wǎng)絡(luò)運(yùn)營商在主干網(wǎng)上完成VPN通道的建立，主要包括MPLS、VPN技術(shù)。第64頁，課件共132頁，創(chuàng)作于2023年2月VPN關(guān)鍵技術(shù)---隧道技術(shù)隧道技術(shù)類似于點(diǎn)對點(diǎn)連接技術(shù)，隧道技術(shù)在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過這條隧道傳輸。實(shí)現(xiàn)以下功能將數(shù)據(jù)流量強(qiáng)制到特定的目的地 隱藏私有的網(wǎng)絡(luò)地址在IP網(wǎng)上傳輸非IP協(xié)議數(shù)據(jù)包提供數(shù)據(jù)安全支持協(xié)助完成用戶基于AAA(authentication鑒定,authorization授權(quán),accounting計(jì)費(fèi))的管理。第65頁，課件共132頁，創(chuàng)作于2023年2月VPN的關(guān)鍵技術(shù)－安全隧道封裝、傳輸和拆封過程稱為“隧道”。隧道技術(shù)類似于點(diǎn)對點(diǎn)連接技術(shù)，它是為了在公網(wǎng)上傳輸私有數(shù)據(jù)而發(fā)展出來的“信息封裝”（Encapsulation）方式，即在公網(wǎng)上建立一條數(shù)據(jù)通道（隧道），讓封裝的數(shù)據(jù)包通過這條隧道傳輸。在Internet上傳輸?shù)募用軘?shù)據(jù)包中，只有VPN端口或網(wǎng)關(guān)的IP地址暴露在外面,隱藏了發(fā)送者、接收者的IP地址和其他協(xié)議信息。隧道技術(shù)解決了專網(wǎng)與公網(wǎng)的兼容問題。第66頁，課件共132頁，創(chuàng)作于2023年2月數(shù)據(jù)鏈路層的隧道協(xié)議數(shù)據(jù)鏈路層的隧道協(xié)議，如L2TP、PPTP等，建立在點(diǎn)對點(diǎn)協(xié)議PPP的基礎(chǔ)上，充分利用了PPP支持多協(xié)議的特性，先把各種網(wǎng)絡(luò)協(xié)議（IP,IPX,AppleTalk等）封裝到PPP幀中，再把整個數(shù)據(jù)包裝入隧道協(xié)議。由于這種封裝方法形成的數(shù)據(jù)包依靠第二層（數(shù)據(jù)鏈路層）協(xié)議進(jìn)行傳輸，所以稱之為“第二層隧道協(xié)議”。第67頁，課件共132頁，創(chuàng)作于2023年2月PPTPPPTP協(xié)議(PointtoPointTunnelingProtocol)是PPP協(xié)議的擴(kuò)展，增強(qiáng)了PPP的身份驗(yàn)證、壓縮和加密機(jī)制。PPTP利用PPP的功能通過因特網(wǎng)建立一條指向目的站點(diǎn)的隧道來實(shí)現(xiàn)遠(yuǎn)程訪問。PPTP提供PPTP客戶機(jī)和PPTP服務(wù)器之間的加密通信。通過PPTP,客戶可采用撥號方式接入公共IP網(wǎng)絡(luò)Internet。撥號客戶首先按常規(guī)方式撥號到ISP的接入服務(wù)器，建立PPP連接；在此基礎(chǔ)上，客戶進(jìn)行二次撥號建立到PPTP服務(wù)器的連接，該連接稱為PPTP隧道。第68頁，課件共132頁，創(chuàng)作于2023年2月L2TPL2TP是由Microsoft支持的PPTP和由Cisco支持的L2F相結(jié)合的產(chǎn)物，Bay等網(wǎng)絡(luò)公司均是該工作組的成員。L2TP使用PPP來實(shí)現(xiàn)數(shù)據(jù)包的可靠性發(fā)送，L2TP隧道通過在兩端VPN服務(wù)器之間采用口令握手協(xié)議CHAP來驗(yàn)證對方的身份，并可采用IPsec協(xié)議對數(shù)據(jù)包進(jìn)行加密傳送，以保證數(shù)據(jù)安全。在安全性的考慮上，L2TP對傳輸中的數(shù)據(jù)并不加密。因此，L2TP并不能滿足用戶對安全性的需求，當(dāng)用戶需要安全的撥號VPN時，就需要結(jié)合IPsec一起使用，對數(shù)據(jù)封裝和加密，以創(chuàng)建安全的虛擬網(wǎng)絡(luò)連接。第69頁，課件共132頁，創(chuàng)作于2023年2月L2TP(續(xù))第70頁，課件共132頁，創(chuàng)作于2023年2月L2TP－VPN連接拓?fù)銹PP連接ISP的PPP服務(wù)器企業(yè)專用網(wǎng)絡(luò)進(jìn)行PPTP或L2TP連接InternetVPN服務(wù)器VPN隧道第71頁，課件共132頁，創(chuàng)作于2023年2月網(wǎng)絡(luò)層隧道

第三層隧道協(xié)議，如IPsec、GRE，是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層（網(wǎng)絡(luò)層）協(xié)議進(jìn)行傳輸，所以稱之為“第三層隧道協(xié)議”。它在可擴(kuò)充性、安全性、可靠性方面優(yōu)于第二層隧道協(xié)議。第72頁，課件共132頁，創(chuàng)作于2023年2月IPSec協(xié)議主要協(xié)議集：123認(rèn)證報(bào)文頭（AuthenticationHeader,AH）封裝安全載荷（EncapsulatingSecurityPayload,ESP）Internet密鑰交換（InternetKeyExchange,IKE）目標(biāo)： 實(shí)現(xiàn)比較全面的網(wǎng)絡(luò)層安全，包括網(wǎng)絡(luò)之間的相互認(rèn)證、加密鏈路的建立和保密通信。第73頁，課件共132頁，創(chuàng)作于2023年2月IPSec協(xié)議IPsec不是一個單獨(dú)的協(xié)議，而是一組協(xié)議。?在IPv6中是必須的，在IPv4中可選。?最主要應(yīng)用是作為第三層隧道協(xié)議實(shí)現(xiàn)VPN通信，為IP網(wǎng)絡(luò)通信提供透明的安全服務(wù)。數(shù)據(jù)源鑒別數(shù)據(jù)完整性防止數(shù)據(jù)重傳數(shù)據(jù)加密不可否認(rèn)第74頁，課件共132頁，創(chuàng)作于2023年2月IPSec的安全體系結(jié)構(gòu)第75頁，課件共132頁，創(chuàng)作于2023年2月2023/7/2676IPSec的AH和ESP協(xié)議

數(shù)據(jù)完整性驗(yàn)證：Hash函數(shù)產(chǎn)生的驗(yàn)證碼數(shù)據(jù)源身份認(rèn)證：計(jì)算驗(yàn)證碼時加入共享會話密鑰防重放攻擊：在AH報(bào)頭中加入序列號封裝安全載荷ESP：除上述三種服務(wù)，還能夠數(shù)據(jù)加密

兩臺主機(jī)之間

兩臺安全網(wǎng)關(guān)之間

主機(jī)與安全網(wǎng)關(guān)之間鑒別頭AHAH和ESP可單獨(dú)/嵌套使用第76頁，課件共132頁，創(chuàng)作于2023年2月2023/7/2677IPSec的IKE協(xié)議?

密鑰交換協(xié)議IKE——負(fù)責(zé)密鑰管理，定義了通信實(shí)體間進(jìn)行身份認(rèn)證、協(xié)商加密算法以及生成共享的會話密鑰的方法。?IKE將密鑰協(xié)商結(jié)果保留在安全關(guān)聯(lián)SA中，供AH和ESP以后通信時使用。第77頁，課件共132頁，創(chuàng)作于2023年2月IPSec的通信流程第78頁，課件共132頁，創(chuàng)作于2023年2月IPSec封裝模式IPSec支持兩種封裝模式：傳輸模式和隧道模式傳輸模式隧道模式第79頁，課件共132頁，創(chuàng)作于2023年2月AH協(xié)議AH功能：為IP包提供數(shù)據(jù)完整性校驗(yàn)和身份認(rèn)證具備可選擇的重放攻擊保護(hù)保護(hù)上層協(xié)議（傳輸模式）或完整的IP數(shù)據(jù)包（隧道模式）AH的結(jié)構(gòu)：第80頁，課件共132頁，創(chuàng)作于2023年2月AH協(xié)議續(xù)AH的兩種傳輸模式：

傳輸模式和隧道模式傳輸模式隧道模式第81頁，課件共132頁，創(chuàng)作于2023年2月ESP協(xié)議ESP協(xié)議功能：

為IP報(bào)文提供數(shù)據(jù)完整性校驗(yàn)、身份認(rèn)證、數(shù)據(jù)加密以及重放攻擊保護(hù)等。ESP頭格式：第82頁，課件共132頁，創(chuàng)作于2023年2月IKE協(xié)議IKE協(xié)議：基于ISAKMP、Oakley和SKEME,是一種混合型協(xié)議，它建立在由ISAKMP定義的一個框架上，同時實(shí)現(xiàn)了Oakley和SKEME協(xié)議的一部分。IKE協(xié)議理論模型：第83頁，課件共132頁，創(chuàng)作于2023年2月IKE的安全基礎(chǔ)1.Diffie-Hellman密鑰交換2.安全散列3.對稱密鑰加密4.公開密鑰加密5.數(shù)字簽名第84頁，課件共132頁，創(chuàng)作于2023年2月IKE的安全性分析中間人攻擊：IKEv2的推出：IPSec工作組于2005年12月推出了IKE2。IKE：RFC2409IKEv2：RFC4306第85頁，課件共132頁，創(chuàng)作于2023年2月基于IPSec的VPN應(yīng)用IPsecVPN提供完整的網(wǎng)絡(luò)層連接功能，因此是實(shí)現(xiàn)多VPN安全連接的最佳選項(xiàng)。IPsec工作在網(wǎng)絡(luò)層，對終端站點(diǎn)間的所有傳輸數(shù)據(jù)進(jìn)行保護(hù)，而不管是哪類網(wǎng)絡(luò)應(yīng)用。IPsecVPN事實(shí)上將遠(yuǎn)程客戶端置于企業(yè)內(nèi)部網(wǎng)，使遠(yuǎn)程客戶端擁有內(nèi)部網(wǎng)用戶一樣的權(quán)限和操作功能。VPN的主要技術(shù)： 1.IPSec技術(shù) 2.MPLS技術(shù) 3.SSL技術(shù)第86頁，課件共132頁，創(chuàng)作于2023年2月端到端IPSecVPN的工作原理

第87頁，課件共132頁，創(chuàng)作于2023年2月IKE階段1第88頁，課件共132頁，創(chuàng)作于2023年2月IKE階段2第89頁，課件共132頁，創(chuàng)作于2023年2月IPSecSA(SecurityAssociation)◆SPI(SecurityParameterIndex)，由IKE自動分配

◆發(fā)送數(shù)據(jù)包時，會把SPI插入到IPSec頭中

◆接收到數(shù)據(jù)包后，根據(jù)SPI值查找SAD和SPD，從而獲知解密數(shù)據(jù)包所需的加解密算法、hash算法等。

◆一個SA只記錄單向的參數(shù)，所以一個IPSec連接會有兩個IPSecSA。

第90頁，課件共132頁，創(chuàng)作于2023年2月選用VPN的原因VPN以Internet為支撐，布署靈活（和專線比較）大多數(shù)ISP能承受商務(wù)連接所帶來的負(fù)荷VPN是靈活的、動態(tài)的、可升級的，可以極大節(jié)省企業(yè)專線聯(lián)網(wǎng)的費(fèi)用可以很好地解決全網(wǎng)的統(tǒng)一管理問題VPN能夠解決“移動用戶”的安全接入問題（也可認(rèn)為Firewall的漏洞）VPN能充分利用公司現(xiàn)有投資（對應(yīng)用透明）基于TCP/IP的VPN容易理解和實(shí)現(xiàn)因各國對加密技術(shù)的限制，使得VPN產(chǎn)品具有按照國家劃分的嚴(yán)格的地域性質(zhì)。

第91頁，課件共132頁，創(chuàng)作于2023年2月VPN的常見問題遠(yuǎn)程撥號用戶定位VPN網(wǎng)關(guān)設(shè)備LANtoLAN，策略一致性問題VPN的域設(shè)置認(rèn)證服務(wù)內(nèi)部VPN路由動態(tài)尋址與NAT穿透多端VPN的管理和配置安全傳輸和信息監(jiān)控的矛盾第92頁，課件共132頁，創(chuàng)作于2023年2月建設(shè)VPN所需考慮問題構(gòu)造網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)地址空間DNS問題網(wǎng)絡(luò)地址轉(zhuǎn)換路由問題ISP是否阻塞加密分組確定新設(shè)備位置如何鑒別用戶用戶能夠訪問子網(wǎng)的范圍數(shù)據(jù)流的安全等級第93頁，課件共132頁，創(chuàng)作于2023年2月適合VPN的環(huán)境遠(yuǎn)程用戶訪問企業(yè)外部網(wǎng)應(yīng)用不同地理位置的客戶基地適當(dāng)帶寬需求廉價的全球訪問的需要專線不適合VPN的環(huán)境性能成為額外開銷的系統(tǒng)時延不能被接受的地方非標(biāo)準(zhǔn)協(xié)議同步通信的系統(tǒng)第94頁，課件共132頁，創(chuàng)作于2023年2月VPN的典型應(yīng)用（1）典型案例1：安全網(wǎng)關(guān)設(shè)備與ERP系統(tǒng)的結(jié)合案例第95頁，課件共132頁，創(chuàng)作于2023年2月VPN的典型應(yīng)用（2）典型案例2：授權(quán)企業(yè)員工的遠(yuǎn)程安全接入第96頁，課件共132頁，創(chuàng)作于2023年2月VPN的典型應(yīng)用（3）典型案例3：動態(tài)IPVPN組網(wǎng)方案ADSL安全網(wǎng)關(guān)策略服務(wù)器固定IPModem接入財(cái)務(wù)子網(wǎng)工作子網(wǎng)ADSL財(cái)務(wù)子網(wǎng)移動用戶分支機(jī)構(gòu)合作伙伴公司總部防火墻安全網(wǎng)關(guān)安全網(wǎng)關(guān)ADSL第97頁，課件共132頁，創(chuàng)作于2023年2月VPN的典型應(yīng)用（4）典型案例4：無線接入VPN網(wǎng)構(gòu)建第98頁，課件共132頁，創(chuàng)作于2023年2月虛擬私用網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)總經(jīng)理辦公室財(cái)務(wù)室

用途：使物理連接在同一網(wǎng)絡(luò)構(gòu)架上的不同小組之間進(jìn)行安全保密的通信，主要用于防止內(nèi)部的泄密和黑客。例如：對公司的財(cái)務(wù)部門數(shù)據(jù)的安全訪問。在公司局域網(wǎng)上的構(gòu)建安全小組網(wǎng)絡(luò)以太網(wǎng)安全網(wǎng)關(guān)VPN的典型應(yīng)用（5）第99頁，課件共132頁，創(chuàng)作于2023年2月用途：使企業(yè)和合作伙伴，供應(yīng)商之間進(jìn)行安全保密的通信企業(yè)間的虛擬專用網(wǎng)絡(luò)

ExtranetVPN的典型應(yīng)用（6）第100頁，課件共132頁，創(chuàng)作于2023年2月基于VPN的互連與隔離第101頁，課件共132頁，創(chuàng)作于2023年2月SSLVPN：產(chǎn)生背景SSLVPN：在Internet上，使用SSL加密連接訪問私網(wǎng)資源的VPN方式。產(chǎn)生背景IPsecVPN弱點(diǎn)遠(yuǎn)程主機(jī)要預(yù)先安裝客戶端軟件訪問控制不夠細(xì)致組網(wǎng)受限技術(shù)的發(fā)展帶來了新的需求多種接入方式移動技術(shù)的發(fā)展Extranet網(wǎng)絡(luò)安全問題日益嚴(yán)重操作系統(tǒng)平臺的多樣化第102頁，課件共132頁，創(chuàng)作于2023年2月SSL/TLS協(xié)議(1)1994年Netscape開發(fā)了SSL(SecureSocketLayer)協(xié)議，專門用于保護(hù)Web通訊。版本和歷史1.0，不成熟2.0，基本上解決了Web通訊的安全問題Microsoft公司發(fā)布了PCT(PrivateCommunicationTechnology)，并在IE中支持3.0，1996年發(fā)布，增加了一些算法，修改了一些缺陷TLS1.0(TransportLayerSecurity,也被稱為SSL3.1)，1997年IETF發(fā)布了Draft，同時，Microsoft宣布放棄PCT，與Netscape一起支持TLS1.01999年，發(fā)布RFC2246(TheTLSProtocolv1.0)第103頁，課件共132頁，創(chuàng)作于2023年2月SSL/TLS協(xié)議(2)協(xié)議的設(shè)計(jì)目標(biāo)為兩個通訊個體之間提供保密性和完整性(身份認(rèn)證)互操作性、可擴(kuò)展性、相對效率協(xié)議分為兩層底層：TLS記錄協(xié)議上層：TLS握手協(xié)議、TLS密碼變化協(xié)議、TLS警告協(xié)議第104頁，課件共132頁，創(chuàng)作于2023年2月第105頁，課件共132頁，創(chuàng)作于2023年2月SSL體系結(jié)構(gòu)SSL由記錄協(xié)議子層(RecordProtocol)和握手協(xié)議子層(HandshakeProtocol)組成記錄協(xié)議子層定義了傳輸?shù)母袷轿帐謪f(xié)議子層用于實(shí)現(xiàn)雙向身份認(rèn)證和協(xié)商密碼算法以及會話密鑰IPTCPSSL記錄協(xié)議SSL握手協(xié)議SSL修改密文協(xié)議SSL告警協(xié)議HTTP協(xié)議第106頁，課件共132頁，創(chuàng)作于2023年2月SSL會話與連接SSL會話（session）一個SSL會話是在客戶與服務(wù)器之間的一個關(guān)聯(lián)。會話由HandshakeProtocol創(chuàng)建。會話定義了一組可供多個連接共享的加密安全參數(shù)會話用以避免為每一個連接提供新的安全參數(shù)所需昂貴的談判代價一對對等實(shí)體之間可以有多個會話SSL連接（connection)一個連接是提供一種合適類型服務(wù)的傳輸（OSI分層的定義）SSL的連接是點(diǎn)對點(diǎn)的關(guān)系連接是暫時的，每一個連接和一個會話關(guān)聯(lián)第107頁，課件共132頁，創(chuàng)作于2023年2月SSL實(shí)現(xiàn)OpenSSL,最新0.9.6c,實(shí)現(xiàn)了SSL(2,3),TLS(1.0)Openssl——acommandlinetool.SSL(3)——theOpenSSLSSL/TLSlibrary.crypto(3)——theOpenSSLCryptolibrary.URL:SSLeay.au/~ftp/Crypto/MicrosoftWin2kSSLimplementation第108頁，課件共132頁，創(chuàng)作于2023年2月SSL/TLS握手的步驟Client_helloServer_helloCertificateServer_key_exchangeCertificate_requestServer_hello_doneCertificateClient_key_exchangeCertificate_verifyChange_cipher_specFinishedChange_cipher_specFinished建立安全能力,包括協(xié)議版本、會話ID、密碼組、壓縮方法和初始隨機(jī)數(shù)字服務(wù)器可以發(fā)送證書、密鑰交換和請求證書。服務(wù)器信號以hello消息結(jié)束客戶機(jī)可以發(fā)送證書；客戶機(jī)發(fā)送密鑰交換；客戶機(jī)可以發(fā)送證書驗(yàn)證更改密碼組完成握手協(xié)議紅色勾除的步驟是可選的第109頁，課件共132頁，創(chuàng)作于2023年2月SSL單項(xiàng)認(rèn)證模式在采用單向認(rèn)證時，主要是客戶端驗(yàn)證服務(wù)器端是否合法。在建立SSL握手的時候，服務(wù)器將其證書傳送給客戶端進(jìn)行驗(yàn)證?？蛻舳酥饕?yàn)證有三個方面：服務(wù)器證書是否在有效時間內(nèi)服務(wù)器證書中的域名是否與用戶訪問的域名一致服務(wù)器證書是否由瀏覽器認(rèn)可的根證發(fā)放第110頁，課件共132頁，創(chuàng)作于2023年2月SSL雙向認(rèn)證模式在雙向認(rèn)證模式下，除客戶端驗(yàn)證服務(wù)器端是否合法外，服務(wù)器端也需要驗(yàn)證客戶端是否為合法用戶。服務(wù)器端需要安裝頒發(fā)客戶端證書的CA的根證書和中間證書，要求客戶端提交客戶端證書，并通過已經(jīng)安裝的根證書和中間證書對客戶端證書進(jìn)行逐級驗(yàn)證第111頁，課件共132頁，創(chuàng)作于2023年2月證書認(rèn)證CA證書驗(yàn)證用戶證書是CA簽發(fā)的。用戶證書驗(yàn)證用戶數(shù)字簽名的正確性，從而證明遠(yuǎn)端用戶持有對應(yīng)的私鑰。網(wǎng)關(guān)簽名證書數(shù)字簽名DataSign第112頁，課件共132頁，創(chuàng)作于2023年2月SSLVPN:實(shí)現(xiàn)原理靜態(tài)授權(quán)主機(jī)安全狀態(tài)檢查動態(tài)授權(quán)第113頁，課件共132頁，創(chuàng)作于2023年2月SSLVPN概述:實(shí)現(xiàn)原理Web接入與URL改寫SSL加速與SSL代理相對連接與絕對連接URL改寫Web服務(wù)器SSL終結(jié)SSLTCPSSL密文明文第114頁，課件共132頁，創(chuàng)作于2023年2月SSLVPN概述:實(shí)現(xiàn)原理Samba文件共享目標(biāo)：以Web方式訪問共享文件Samba服務(wù)器SSLVPN網(wǎng)關(guān)Samba協(xié)議htmlWeb頁面第115頁，課件共132頁，創(chuàng)作于2023年2月SSLVPN概述:實(shí)現(xiàn)原理OWA/INotes目標(biāo)：以Web方式訪問郵件服務(wù)郵件服務(wù)服務(wù)器SSLVPN網(wǎng)關(guān)郵件傳輸協(xié)議htmlWeb頁面第116頁，課件共132頁，創(chuàng)作于2023年2月SSLVPN概述:實(shí)現(xiàn)原理TCP接入目標(biāo)：在不升級原TCP應(yīng)用程序的基礎(chǔ)上，實(shí)現(xiàn)對傳輸數(shù)據(jù)的加密。應(yīng)用服務(wù)器SSLVPN網(wǎng)關(guān)TCPSSLTCP客戶端TCP代理Hosts127.0.0.X:PortTCP第117頁，課件共132頁，創(chuàng)作于2023年2月SSLVPN概述:實(shí)現(xiàn)原理IP接入目標(biāo)：實(shí)現(xiàn)遠(yuǎn)程主機(jī)與內(nèi)網(wǎng)資源的IP層互連SSLVPN網(wǎng)關(guān)IPSSLIP程序虛網(wǎng)卡6路由表IP虛接口/249第118頁，課件共132頁，創(chuàng)作于2023年2月SSLVPN與IPsecVPN的比較IPsecVPNSSLVPN基于的通訊層IP