網(wǎng)絡(luò)安全講義

192.16192.16&0.3第1講緒論-信息安全概述網(wǎng)絡(luò)安全特性網(wǎng)絡(luò)安全的六個方面：機(jī)密性：信息不泄漏給非授權(quán)的用戶、實體或者過程的特性完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性，即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性可用性：可被授權(quán)實體訪問并按需求使用的特性，可認(rèn)證性：對等實體認(rèn)證和數(shù)據(jù)源點認(rèn)證?？珊瞬樾裕簩π畔⒌膫鞑ゼ皟?nèi)容具有控制能力，訪問控制即屬于可控性可靠性：系統(tǒng)可靠性基本威脅：信息泄露完整性破壞拒絕服務(wù)非法使用(3)?1-2X.800定義的5類安全曜務(wù)分類特定眼毀內(nèi) 容認(rèn)證(確保通信實體就是它所聲稱的同等實體認(rèn)if用于運執(zhí)連接起立和數(shù)撇傳輸階段?為該連接的實體的身份提供可信性保障效據(jù)瀝點認(rèn)證在無連接傳軸時?保證收到的倍息來源是所聲啄的來源訪問控制防止對資源的非授權(quán)訪問.包括防止以非授權(quán)的方式使用某一庚源.這斡訪問控制耍與不同的安全策略協(xié)調(diào)一敕放據(jù)保密性(保護(hù)敗據(jù)?使之不被非授權(quán)地M>連按保密性保護(hù)一次連接中所有的用戶數(shù)據(jù)無連按保密性保護(hù)飢個效據(jù)車元里的所有用戶數(shù)據(jù)選擇域保密性對一次連接或童個數(shù)據(jù)址無里選定的分提供保密性漬就保密性保護(hù)那些可以通過觀索流傲而獲得的信息數(shù)據(jù)完復(fù)性(保證按牧到的確實是授權(quán)實體發(fā)出的數(shù)據(jù)?即沒有修改.ttA.m除成K￡>具有恢復(fù)功能的連接完整性提供一次連接中所有用戶數(shù)據(jù)的完整性.檢測整個敢18序列內(nèi)存在的修改、描入、曲除或離發(fā)?且試圖恢復(fù)之無恢復(fù)功能的連接完整性捱供一次連接中所有用戶數(shù)攜的完皴性。檢謝賅個效據(jù)序列內(nèi)存在的修改、摘入、般除或賣發(fā)?但無恢復(fù)功施數(shù)據(jù)完整性(保證接收到的険實￡授權(quán)實體發(fā)出的數(shù)據(jù)?即沒有修改除或選擇域連按完整性提供一次連接中傳輸?shù)膯蝹€效拯職無用戶數(shù)據(jù)中選定祁分的數(shù)據(jù)完皴性，并判斷選定城趙否有修改、涵人.■除戒黛發(fā)無連接完整性為單個無連接數(shù)據(jù)華元提供完整性保護(hù)；判斷進(jìn)定域是否被修改不可否認(rèn)性(防止整個或祁分通值過悝中?任一通信實體進(jìn)行否認(rèn)的行為)漁點的不可否認(rèn)性證明消.目是由特定的一方發(fā)岀的信宿的不可否認(rèn)性證明消息at將定方收到第二講協(xié)議的安全性Jolt2攻擊01/10-14:21:00.2982S2192.168.0.9->192.16S.0.1UI〕FTTL:255TOS：0k0ID:1109IpLen：20IigniLen：29FragOffset：OklFFEFragSize：0x904D304D20009000061 a*甘片稱忑位旺鞏明足最后一平井片。+偏移量為OxlEFE,計算重組后的長度為(OxlFTE+8)+29=65549>65535,溢出.*IF包的11:^1109,,可以作為I恥檢測的一個特征。ARP欺騙因特網(wǎng)網(wǎng)關(guān)192.168.Q.2 j1ARP欺騙的危害攻擊者可在2臺正在通信的主機(jī)A,B之間充當(dāng)中間人(man-in-the-middle),假冒主機(jī)B的IP地址，而MAC地址為攻擊者的MAC地址來欺騙主機(jī)A將數(shù)據(jù)發(fā)往攻擊者的機(jī)器，并且攻擊者可開啟IP路由功能，將數(shù)據(jù)包再轉(zhuǎn)發(fā)至主機(jī)B。同樣，對主機(jī)B可實施類似的欺騙，因此，主機(jī)A,B之間的所有通信內(nèi)容都被攻擊者竊聽。對主機(jī)A發(fā)送偽造的ARP應(yīng)答報文，假冒主機(jī)B的IP地址，但MAC地址設(shè)為不存在的一個硬件地址，主機(jī)A接收此報文后錯誤地刷新ARP高速緩存中主機(jī)B的IP地址與MAC地址的映射關(guān)系，導(dǎo)致主機(jī)A與主機(jī)B的網(wǎng)絡(luò)通信中斷。這種方法屬于拒絕服務(wù)(DenialofService,DoS)攻擊，3.ICMP消息欺騙-重定向ICMP重定向報文是當(dāng)主機(jī)采用非最優(yōu)路由發(fā)送數(shù)據(jù)報時，路由器會發(fā)回ICMP重定向報文來通知主機(jī)最優(yōu)路由的存在。并且重定向報文必須由路由器生成，當(dāng)主機(jī)作為路由器使用時，必須將其內(nèi)核配置成可以發(fā)送重定向報文。ICMP重定向攻擊也可以達(dá)到類似ARP欺騙的攻擊效果。假設(shè)主機(jī)A(IP地址為)經(jīng)默認(rèn)路由器(IP地址為)與另一個網(wǎng)絡(luò)中的主機(jī)D(IP地址為)通信，與主機(jī)A同屬一個網(wǎng)絡(luò)的攻擊者(IP地址為)，通過修改內(nèi)核設(shè)置，充當(dāng)與主機(jī)A直接相連的路由器。攻擊者要想監(jiān)聽主機(jī)A的通信內(nèi)容，可以構(gòu)造ICMP重定向報文，指示主機(jī)A將數(shù)據(jù)包轉(zhuǎn)發(fā)到攻擊者的機(jī)器上，攻擊者對所有的數(shù)據(jù)進(jìn)行過濾后再轉(zhuǎn)發(fā)給默認(rèn)路由器，這就是“中間人”攻擊。同樣，ICMP重定向攻擊也可以達(dá)到拒絕服務(wù)(DoS)攻擊的目的。PingofDeathPingofdeath攻擊是一種網(wǎng)絡(luò)級的攻擊，利用ICMP協(xié)議對目標(biāo)機(jī)進(jìn)行碎片攻擊，使目標(biāo)機(jī)拒絕服務(wù)。攻擊者發(fā)送一個長度超過65535的ICMPEchoRequest數(shù)據(jù)包，目標(biāo)主機(jī)在重組分片的時候會造成事先分配的65535字節(jié)緩沖區(qū)溢出，導(dǎo)致TCP/IP堆棧崩潰，系統(tǒng)通常會死機(jī)或重新啟動。TCP欺騙盲攻擊與非盲攻擊：非盲攻擊：攻擊者和被欺騙的目的主機(jī)在同一個網(wǎng)絡(luò)上，攻擊者可以簡單地使用協(xié)議分析器(嗅探器)捕獲TCP報文段，從而獲得需要的序列號。盲攻擊：由于攻擊者和被欺騙的目標(biāo)主機(jī)不在同一個網(wǎng)絡(luò)上，攻擊者無法使用嗅探器捕獲TCP報文段。其攻擊步驟與非盲攻擊幾乎相同，只不過在步驟三無法使用嗅探器，可以使用TCP初始序列號預(yù)測技術(shù)得到初始序列號。在步驟五，攻擊者X可以發(fā)送第一個數(shù)據(jù)包，但收不到A的響應(yīng)包，較難實現(xiàn)交互。TCP序列號產(chǎn)生的方法：64K規(guī)則、機(jī)器時鐘、偽隨機(jī)數(shù)TCP會話劫持TCP會話劫持的攻擊方式可以對基于TCP的任何應(yīng)用發(fā)起攻擊，如HTTP、FTP、Telnet等。對于攻擊者來說，所必須要做的就是窺探到正在進(jìn)行TCP通信的兩臺主機(jī)之間傳送的報文，這樣攻擊者就可以得知該報文的源IP、源TCP端口號、目的IP、目的TCP端號，從而可以得知其中一臺主機(jī)對將要收到的下一個TCP報文段中seq和ackseq值的要求。這樣，在該合法主機(jī)收到另一臺合法主機(jī)發(fā)送的TCP報文前，攻擊者根據(jù)所截獲的信息向該主機(jī)發(fā)出一個帶有凈荷的TCP報文，如果該主機(jī)先收到攻擊報文，就可以把合法的TCP會話建立在攻擊主機(jī)與被攻擊主機(jī)之間。帶有凈荷的攻擊報文能夠使被攻擊主機(jī)對下一個要收到的TCP報文中的確認(rèn)序號

(ackseq)的值的要求發(fā)生變化，從而使另一臺合法的主機(jī)向被攻擊主機(jī)發(fā)出的報文被被攻擊主機(jī)拒絕。TCP會話劫持攻擊方式的好處在于使攻擊者避開了被攻擊主機(jī)對訪問者的身份驗證和安全認(rèn)證，從而使攻擊者直接進(jìn)入對被攻擊主機(jī)的的訪問狀態(tài)，因此對系統(tǒng)安全構(gòu)成的威脅比較嚴(yán)重。Unicode：統(tǒng)一的字符編碼標(biāo)準(zhǔn)，采用雙字節(jié)對字符進(jìn)行編碼。問題出現(xiàn)在IIS虛擬目錄與真是目錄的映射。http://192.168.1.251/scripts對應(yīng)的是c:\inetpub\scripts，因此利用\或/可以突破限制7.SQL注入式攻擊的防范在服務(wù)端正式處理之前對提交數(shù)據(jù)的合法性進(jìn)行檢查；(2)封裝客戶端提交信息；替換或刪除敏感字符/字符串；屏蔽出錯信息。不要用字串連接建立SQL查詢，而使用SQL變量，因為變量不是可以執(zhí)行的腳本；目錄最小化權(quán)限設(shè)置，給靜態(tài)網(wǎng)頁目錄和動態(tài)網(wǎng)頁目錄分別設(shè)置不同權(quán)限，盡量不給寫目錄權(quán)限；修改或者去掉Web服務(wù)器上默認(rèn)的一些危險命令，例如ftp、cmd、wscript等，需要時再復(fù)制到相應(yīng)目錄；數(shù)據(jù)敏感信息非常規(guī)加密，通過在程序中對口令等敏感信息加密都是采用md5函數(shù)進(jìn)行加密，即密文=md5(明文)，本文推薦在原來的加密的基礎(chǔ)上增加一些非常規(guī)的方式，即在md5加密的基礎(chǔ)上附帶一些值，如密文=md5(md5(明文)+123456)；8.緩沖區(qū)溢出原理緩沖區(qū)溢出的根本原因來自C語言(以及其后代C++)本質(zhì)的不安全性：?沒有邊界來檢查數(shù)組和指針的引用；?標(biāo)準(zhǔn)C庫中還存在許多非安全字符串操作，如strcpy()、sprintf()、gets()等。為了說明這個問題還必須看一看程序的內(nèi)存映像。9?網(wǎng)絡(luò)信息收集：針對IP及更底層的掃描、端口掃描、漏洞掃描、操作系統(tǒng)辨別端口掃描：端口掃描的目的是找出目標(biāo)系統(tǒng)上提供的服務(wù)列表。端口掃描程序逐個嘗試與TCP/UDP端口連接，然后根據(jù)著名端口與服務(wù)的對應(yīng)關(guān)系，結(jié)合服務(wù)器端的反應(yīng)推斷目標(biāo)系統(tǒng)上是否運行了某項服務(wù)。通過這些服務(wù)，攻擊者可能獲得關(guān)于目標(biāo)系統(tǒng)的進(jìn)一步的知識或通往目標(biāo)系統(tǒng)的途徑。開放掃描半開放掃描秘密掃描10.SYNFlooding原理：TCP連接的三次握手和半開連接攻擊者：發(fā)送大量偽造的TCP連接請求方法1：偽裝成當(dāng)時不在線的IP地址發(fā)動攻擊方法2：在主機(jī)或路由器上阻截目標(biāo)機(jī)的SYN/ACK分組目標(biāo)機(jī)：堆棧溢出崩潰或無法處理正常請求防御：縮短SYNTimeout時間(設(shè)置為20秒以下)設(shè)置SYNCookie缺陷：依賴于對方使用真實的IP地址設(shè)置路由器和防火墻，在給定的時間內(nèi)只允許數(shù)量有限的半開TCP連接發(fā)往主機(jī)第三講密碼學(xué)與身份認(rèn)證密碼技術(shù)的四要素：明文空間密文空間密鑰空間加密/解密算法數(shù)據(jù)加密模型四要素：信息明文、密鑰、信息密文、算法Caesar密碼凱撒密碼是把字母表中的每個字母用該字母后面第3個字母進(jìn)行代替。例如，明文：meetmeafter thetogaparty密文: PHHWPHDIWHUWKHWRJDSDUWB讓每個字母等價一個數(shù)：g卻Ptn*212心3心伽12併n*葉qaU-P晉ZP121知17心1如222222^23心232知加密算法：對于每個明文字母P，C=(p+k)mod26解密算法：p=(C-K)mod26例題：已知一密文為字符串“OTLUXSGZOUT”，且知道采用的加密算法為凱撒密碼，試推算該密文所對應(yīng)的明文(凱撒密碼的密鑰k<10，且明文為一常見單詞)。Playfair密碼該矩陣的構(gòu)造是：從左到右，從上到下填入該關(guān)鍵詞的字母(去除重復(fù)字母)，然后再按字母表順序?qū)⒂嘞碌淖帜敢来颂钊刖仃囀Ｓ嗫臻g。字母i和j被算做一個字母。首先對明文進(jìn)行分組，每個字母一對，屬于相同對中的重復(fù)的明文字母用X填充進(jìn)行分隔。.如果兩個字母在同一行可以用它右邊的字母替換，如果在最右邊，可以有最左邊的替換.如果兩個字母在同一列可以用它下邊的字母替換，如果在最下邊，可以用最上邊的替換.如果兩個字母在不同的行或列，則在密碼表中找兩個字母使四個字母組成一個矩形就用另外兩個字母替換。(既由該字母同行另一個字母同列進(jìn)行替換)。置換密碼：置換密碼就是明文字母本身不變，根據(jù)某種規(guī)則改變明文字母在原文中的相應(yīng)位置，使之成為密文的一種方法。TOC\o"1-5"\h\z密鑰：3 4 1 2 5 6 7明文：a t t a c k po s t p o n eTTNAAPTMAODWTSUOCOIXKNLYPETZ6?仲裁數(shù)字簽名w o a m x y z引入仲裁者。通常的做法是所有從發(fā)送方X到接收方Y(jié)的簽名消息首先送到仲裁者A(KDC)，A負(fù)責(zé)檢查消息及其簽名，以驗證其來源和內(nèi)容，然后將消息加上日期，發(fā)給Y,同時指明該消息已經(jīng)通過仲裁者的檢驗。仲裁者在這一類簽名模式中扮演敏感和關(guān)鍵的角色。所有的參與者必須極大地相信這一仲裁機(jī)制工作正常。對稱密鑰加密方式，仲裁者可以閱讀消息XtA:M||EKxa[IDx||H(M)]AtY：EKay[IDx||M||EKxa[IDx||H(M)]||T]X與A之間共享密鑰Kxa，Y與A之間共享密鑰KayX：準(zhǔn)備消息M,計算其Hash值H(M)，用X的標(biāo)識符IDx和Hash值經(jīng)Kxa加密后構(gòu)成簽名，并將消息及簽名發(fā)送給A;A：解密簽名，用H(M)驗證消息M,然后將IDx，M,簽名，和時間戳一起經(jīng)Kay加密后發(fā)送給Y；Y：解密A發(fā)來的信息，并可將M和簽名保存起來。發(fā)生爭執(zhí)時：Y：向A發(fā)送EKay[IDx||M||EKxa[IDx||H(M)]]A：用Kay恢復(fù)IDx，M,和簽名(EKxa[IDx||H(M)])，然后用Kxa解密簽名并驗證Hash值.對稱密鑰加密方式，仲裁者不可以閱讀消息XtA：IDx||EKxy[M]||EKxa[IDx||H(EKxy[M])]AtY：EKay[IDx||EKxy[M]||EKxa[IDx||H(EKxy[M])]||T]在這種情況下，X與Y之間共享密鑰KxyX：將標(biāo)識符IDx,密文EKxy[M]，以及對IDx和密文消息的散列碼用Kxa加密后形成簽名發(fā)送給A。a：解密簽名，用散列碼驗證消息，這時A只能驗證消息的密文而不能讀取其內(nèi)容。然后A將來自X的所有信息加上時間戳并用Kay加密后發(fā)送給Y。公鑰加密方式，仲裁者不能閱讀消息XtA：IDx||EPRx[IDx||EPUy(EPRx[M])]AtY：EPRa[IDx||EPUy[EPRx[M]]||T]X：對消息M雙重加密：首先用X的私有密鑰PRx,然后用Y的公開密鑰PUy。形成一個簽名的、保密的消息。然后將該信息以及X的標(biāo)識符一起用PRx簽名后與IDx一起發(fā)送給A。這種內(nèi)部、雙重加密的消息對A以及對除Y以外的其它人都是安全的。A：檢查X的公開/私有密鑰對是否仍然有效，如果是，則認(rèn)證消息。并將包含IDx、雙重加密的消息和時間戳構(gòu)成的消息用PRa簽名后發(fā)送給Y本模式比上述兩個模式具有以下好處：在通信之前各方無須共享任何信息，從而避免了聯(lián)合欺詐；即使PRx泄密，只要PRa未泄密，那么時間戳錯誤的消息是不會被發(fā)送的；消息對A和他人是保密的。第四講網(wǎng)絡(luò)身份認(rèn)證傳統(tǒng)對稱加密方法相互認(rèn)證AtKDC：IDA||IDB||N1KDCtA：EKa[Ks||IDB||N1||EKb[Ks||IDA]]At B： EKb[Ks||IDA]Bt A： EKs[N2]At B： EKs[f(N2)]保密密鑰Ka和Kb分別是A和KDC、B和KDC之間共享的密鑰。本協(xié)議的目的就是要安全地分發(fā)一個會話密鑰Ks給A和B。A在第2步安全地得到了一個新的會話密鑰，第3步只能由B解密、并理解。第4步表明B已知道Ks了。第5步使得B相信A知道Ks并且消息不是偽造的。第4，5步目的是為了防止某種類型的重放攻擊。特別是，如果攻擊方能夠在第3步捕獲該消息，并重放之，這將在某種程度上干擾破壞B方的運行操作。Needham/schroeder的修改1

ATKDC: IDaIIIDgKDCtA: EKa[Ksf|IDb||T|| H/Da||T\]AtB: E心區(qū)||?Il7]BtA: EkJNJAtB: E規(guī)（NJ](6).無第三方的相互認(rèn)證(1)A->B：EKUb[N1||IDa]B->A：EKUa[N1||N2]A->B：EKUb[N2]A->B：EKUb[EKRa[Ks]]B計算DKUa[DKRb[EKUb[EKRa[Ks]]]]得到KsA使用B的公開密鑰KUb加密一個報文發(fā)給B,報文內(nèi)容包括一個A的標(biāo)識符IDa和一個現(xiàn)時值N1,該現(xiàn)時值用于惟一地標(biāo)識本次交互。B返回一個用A的公開密鑰KUa加密的報文給A,報文內(nèi)容包括A的現(xiàn)時值N1和B新產(chǎn)生的現(xiàn)時值N2。因為只有B才可以解密(1)中的報文，報文(2)中的N1存在使得A確信對方是B。A返回一個用B的公開密鑰KUb加密的報文給B，因為只有A才可以解密(2)中的報文，報文(3)中的N2存在使得B確信對方是A。A產(chǎn)生一個常規(guī)加密密鑰Ks，并對這個報文用A的私有密鑰KRa加密，保證只有A才可能發(fā)送它，再用B的公有密鑰KUb加密，保證只有B才可能解讀它。一次性口令機(jī)制不確定因子選擇口令序列挑戰(zhàn)/應(yīng)答時間同步事件同步單點登陸技術(shù)(singlesign-on)基于經(jīng)紀(jì)人的SSO模型基于代理人的SSO模型TOKEN-based的SSO模型基于代理人和經(jīng)紀(jì)人的SSO模型基于網(wǎng)關(guān)的SSO模型Kerberos分布式單點登錄的實例，使用對稱加密算法體系(1)Kerberos的幾種身份及票據(jù)Client：客戶端-請求認(rèn)證者AS:認(rèn)證服務(wù)器TGS：票據(jù)授予服務(wù)器Server:提供服務(wù)的服務(wù)器Kerberos弱點：單點故障時間同步代價太大必須實施處理大量信息密鑰需要暫時性的存在工作站上，存在威脅會話密鑰被解密后仍保留在緩存中，存在威脅對密碼猜測的字典攻擊密鑰更新過程復(fù)雜Kerberos認(rèn)證過程用戶向AS認(rèn)證AS發(fā)送初時票證給用戶用戶請求訪問文件服務(wù)器TGS使用會話密鑰創(chuàng)建新票證用戶提取一個會話密鑰并將票證發(fā)給文件服務(wù)器X.509的數(shù)字證書數(shù)字證書的結(jié)構(gòu)：版本：用于識別證書版本號，版本號可以是V1、V2和V3，目前常用的版本是V3序列號：是由CA分配給證書的唯一的數(shù)字型標(biāo)識符。當(dāng)證書被取消時，將此證書的序列號放入由CA簽發(fā)的CRL中簽名算法標(biāo)識：用來標(biāo)識對證書進(jìn)行簽名的算法和算法所需的參數(shù)。協(xié)議規(guī)定，這個算法同證書格式中出現(xiàn)的簽名算法必須是同一個算法簽發(fā)者：為CA的名稱有效期：是一對日期——起始日期和結(jié)束日期，證書在這段日期之內(nèi)有效主體：為證書持有者的名稱主體的公開密鑰：包括算法名稱，需要的參數(shù)和公開密鑰可選項：簽發(fā)者唯一標(biāo)識、主體唯一標(biāo)識和擴(kuò)展項都是可選項，可根據(jù)具體需求進(jìn)行選擇第五講網(wǎng)絡(luò)訪問控制1.防火墻過濾規(guī)則表如表所示規(guī)則的作用在于只允許內(nèi)、外網(wǎng)的郵件通信，其他的通信都禁止。包過濾型防火墻對用戶透明，合法用戶在進(jìn)出網(wǎng)絡(luò)時，感覺不到它的存在，使用起來很方便。在實際網(wǎng)絡(luò)安全管理中，包過濾技術(shù)經(jīng)常用來進(jìn)行網(wǎng)絡(luò)訪問控制。動態(tài)包過濾防火墻-netfilterLinux中的netfilter，其實現(xiàn)是在系統(tǒng)核心完成的。用戶使用iptables配置防火墻。在Netfilter中為協(xié)議定義了四種狀態(tài)：NEW、ESTABLISHED、RELATED、INVALID。Netfiller計框架分為3個我，分別為Mangle,Nai和Fiher,毎個我包含不同的鏈.在數(shù)據(jù)包經(jīng)過防火墻轉(zhuǎn)發(fā)的不同階段對數(shù)堀包進(jìn)行不同的處理“Mangle主嚶改變包的KDC=AS+TGSTGT：票據(jù)授予票據(jù)TS：服務(wù)票據(jù)Netfilter的跟蹤信息存儲在/proc/net/ip_conntrack中。TOSKDC=AS+TGSTGT：票據(jù)授予票據(jù)TS：服務(wù)票據(jù)Netfilter的跟蹤信息存儲在/proc/net/ip_conntrack中。tcp6117SYN-SENTsrc=192.168.I.6dsi=8sport=32775dport=22[UNREPLIED]sic=35.115.106.88dst=211.154.172.2sport=22dport=32775use=2系統(tǒng)核心的狀態(tài)：只有轉(zhuǎn)發(fā)三次握手的最后一個包，狀態(tài)才改變。防火墻的體系結(jié)構(gòu)雙宿主機(jī)：雙重宿主主機(jī)體系結(jié)構(gòu)是圍繞具有雙重宿主的主體計算機(jī)而構(gòu)筑的。該計算機(jī)至少有兩個網(wǎng)絡(luò)接口，這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器，并能夠從一個網(wǎng)絡(luò)向另一個網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。屏蔽主機(jī)：強(qiáng)迫所有外部主機(jī)與一個堡壘主機(jī)相連接，禁止它們與內(nèi)部主機(jī)相連。包過濾路由器+堡壘主機(jī)。堡壘主機(jī)是一種被強(qiáng)化的可以防御進(jìn)攻的計算機(jī)，被暴露于因特網(wǎng)之上，作為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個檢查點，以達(dá)到把整個網(wǎng)絡(luò)的安全問題集中在某個主機(jī)上解決，從而省時省力。屏蔽子網(wǎng)：兩個包過濾路由器+一個堡壘主機(jī)，被屏蔽子網(wǎng)就是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個被隔離的子網(wǎng)，用兩臺分組過濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開。組合結(jié)構(gòu)：第五講網(wǎng)絡(luò)通信安全虛擬專用網(wǎng)絡(luò)定義：通過公共網(wǎng)絡(luò)(通常指Internet)建立的一個臨時的網(wǎng)絡(luò)連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道，它是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。PPTP控制報文負(fù)責(zé)PPTP隧道的創(chuàng)建、維護(hù)和斷開PPTP客戶端撥號到PPTP服務(wù)器創(chuàng)建PPTP隧道，并不是撥服務(wù)器的電話號碼，而是連接服務(wù)器的TCP1723端口建立控制連接。創(chuàng)建基于PPTP的VPN連接過程中，使用的認(rèn)證機(jī)制與PPP鏈接是相同。例如：PAP，CHAP數(shù)據(jù)報文：數(shù)據(jù)報文負(fù)責(zé)傳輸用戶的真正數(shù)據(jù)PPP幀封裝成GRE報文(有效數(shù)據(jù)載荷進(jìn)行進(jìn)行加密)GRE報文封裝成IP報文IP報文經(jīng)數(shù)據(jù)鏈路層封裝(1)PPTP的數(shù)據(jù)封裝初始PPP有效載荷如IP數(shù)據(jù)報、IPX數(shù)據(jù)報或NetBEUI幀等經(jīng)過加密后，添加PPP報頭，封裝形成PPP幀。PPP幀再進(jìn)一步添加GRE報頭，經(jīng)過第二層封裝形成GRE報文；第三層封裝添加IP報頭。IP報頭包含數(shù)據(jù)包源端及目的端IP地址。數(shù)據(jù)鏈路層封裝是IP數(shù)據(jù)報多層封裝的的最后一層，依據(jù)不同的外發(fā)物理網(wǎng)絡(luò)再添加相應(yīng)的數(shù)據(jù)鏈路層報頭和報尾(2)PPTP數(shù)據(jù)包的接收處理處理并去除數(shù)據(jù)鏈路層報頭和報尾處理并去除IP報頭處理并去除GRE和PPP報頭如果需要的話，對PPP有效載荷即傳輸數(shù)據(jù)進(jìn)行解密或解壓縮。對傳輸數(shù)據(jù)進(jìn)行接收或轉(zhuǎn)發(fā)處理鏈路層安全-L2TPL2TP協(xié)議是PPTP協(xié)議和L2F融合的產(chǎn)物。L2TP結(jié)合了L2F和PPTP的優(yōu)點，可以讓用戶從客戶端或訪問服務(wù)器端發(fā)起VPN連接°L2TP是把鏈路層PPP幀封裝在公共網(wǎng)絡(luò)設(shè)施如IP、ATM、幀中繼中進(jìn)行隧道傳輸?shù)姆庋b協(xié)議。Cisco、Ascend、Microsoft和RedBack公司的專家們在修改了十幾個版本后，終于在1999年8月公布了L2TP的標(biāo)準(zhǔn)RFC2661?？刂茍笪腖2TP通過UDP協(xié)議進(jìn)行封裝和隧道維護(hù)控制報文由IPsec加密L2TP支持一條隧道多路呼叫(TUNnelID控制)L2TP數(shù)據(jù)封裝PPP幀首先被封裝L2TP頭部并在不可靠數(shù)據(jù)通道上進(jìn)行傳輸，然后進(jìn)行UDP、FrameRelay、ATM等包傳輸過程?？刂葡⒃诳煽康腖2TP控制通道內(nèi)傳輸。通常L2TP以UDP報文的形式發(fā)送。L2TP連接過程用戶通過公共電話網(wǎng)或ISDN撥號至本地的接入服務(wù)器LAC；LAC接收呼叫并進(jìn)行基本的辨別，這一過程可以采用幾種標(biāo)準(zhǔn)，如域名或用戶名、呼叫線路識別(CLID)或撥號ID業(yè)務(wù)(DNIS)等。當(dāng)用戶被確認(rèn)為合法企業(yè)用戶時，就建立一個通向LNS的撥號VPN隧道。企業(yè)內(nèi)部的安全服務(wù)器如RADIUS鑒定撥號用戶。LNS與遠(yuǎn)程用戶交換PPP信息，分配IP地址。LNS可采用企業(yè)專用地址(未注冊的IP地址)或服務(wù)提供商提供的地址空間分配IP地址。因為內(nèi)部源IP地址與目的地IP地址實際上都通過服務(wù)提供商的IP網(wǎng)絡(luò)在PPP信息包內(nèi)傳送，企業(yè)專用地址對提供者的網(wǎng)絡(luò)是透明的。端到端的數(shù)據(jù)從撥號用戶傳到LNS。在實際應(yīng)用中，LAC將撥號用戶的PPP幀封裝后，傳送到LNS，LNS去掉封裝包頭，得到PPP幀，再去掉PPP幀頭，得到網(wǎng)絡(luò)層數(shù)據(jù)包。6.IPSec體系仃［SecurityArchitectureforIpnetwork，是一種開放的結(jié)構(gòu)，包括安全協(xié)議和密鑰協(xié)商兩個通信協(xié)議：AH,ESP兩種操作模式：傳輸模式，隧道模式密鑰交換管理協(xié)議：ISAKMP與IKE兩個數(shù)據(jù)庫：安全策略數(shù)據(jù)庫SPD，安全關(guān)聯(lián)數(shù)據(jù)庫SADIPSec協(xié)議提供的安全服務(wù)包括：訪問控制、無連接完整性、數(shù)據(jù)源鑒別、重傳攻擊保護(hù)、機(jī)密性、有限的流量保密等。(2)IPsec數(shù)據(jù)封裝AH：為IP包提供數(shù)據(jù)完整性和鑒別功能利用MAC碼實現(xiàn)鑒別，雙方必須共享一個密鑰鑒別算法由SA指定，鑒別的范圍：整個包兩種鑒別模式：傳輸模式：不改變IP地址，插入一個AH。特點：保護(hù)端到端通信，通信的終點必須是IPSec終點隧道模式：生成一個新IP頭，把AH和原來整個IP包放到新IP包的載荷

數(shù)據(jù)中。特點：保護(hù)點到點通信，通信的終點必須是IPSec終點，克服了傳輸模式的一些缺點ESP：提供保密功能，包括報文內(nèi)容的機(jī)密性和有限的通信量的機(jī)密性，也可以提供鑒別服務(wù)將需要保密用戶數(shù)據(jù)進(jìn)行加密后再封裝到一個新的IP包中，ESP只鑒別ESP頭之后的信息加密算法