網(wǎng)絡(luò)安全實(shí)用技術(shù)3版PPT項(xiàng)目2 網(wǎng)絡(luò)協(xié)議及無線網(wǎng)絡(luò)安全

目錄2.3任務(wù)2無線網(wǎng)絡(luò)安全技術(shù)32.4任務(wù)拓展

虛擬專用網(wǎng)VPN42.5項(xiàng)目小結(jié)5

2.2任務(wù)1網(wǎng)絡(luò)協(xié)議安全防范22.1項(xiàng)目分析

網(wǎng)絡(luò)協(xié)議及無線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)1

十三五國家重點(diǎn)出版規(guī)劃項(xiàng)目上海高校精品課程/優(yōu)秀教材獎目錄

教學(xué)目標(biāo)●了解網(wǎng)絡(luò)協(xié)議安全風(fēng)險(xiǎn)及IPv6的安全性●掌握虛擬專用網(wǎng)技術(shù)特點(diǎn)及應(yīng)用●掌握無線局域網(wǎng)安全技術(shù)及其安全設(shè)置●了解網(wǎng)絡(luò)安全新技術(shù)的概念、特點(diǎn)和應(yīng)用

重點(diǎn)十三五國家重點(diǎn)出版規(guī)劃項(xiàng)目上海高校精品課程/優(yōu)秀教材獎重點(diǎn)

利用網(wǎng)絡(luò)協(xié)議攻防成為信息戰(zhàn)雙方致勝的關(guān)鍵。2017財(cái)年《美國國防授權(quán)法》規(guī)定，將網(wǎng)絡(luò)司令部升級為全面作戰(zhàn)司令部。鄧福德贊揚(yáng)這兩年在太空、網(wǎng)絡(luò)空間和電子戰(zhàn)等領(lǐng)域增加預(yù)算的做法。NSA局長兼網(wǎng)絡(luò)司令部司令邁克·羅杰斯繼續(xù)推動明年的預(yù)算增長。預(yù)計(jì)到2018年9月30日，133支網(wǎng)絡(luò)任務(wù)部隊(duì)將全部達(dá)到全面作戰(zhàn)水平，其人員部署將達(dá)到6200人。2.1項(xiàng)目分析

網(wǎng)絡(luò)協(xié)議及無線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)引導(dǎo)案例

2.1.1網(wǎng)絡(luò)協(xié)議風(fēng)險(xiǎn)及安全層次分析

1.網(wǎng)絡(luò)協(xié)議的安全風(fēng)險(xiǎn)網(wǎng)絡(luò)協(xié)議（Protocol）是網(wǎng)絡(luò)設(shè)備進(jìn)行通信和數(shù)據(jù)交換建立的規(guī)則、標(biāo)準(zhǔn)或約定的集合。是各種網(wǎng)絡(luò)上運(yùn)行的服務(wù)器、計(jì)算機(jī)及其它終端、交換機(jī)、路由器、防火墻等設(shè)備之間通信規(guī)則的集合，是規(guī)定網(wǎng)絡(luò)通信時信息必須采用的格式、含義和時序的一種通用語言。

網(wǎng)絡(luò)體系層次結(jié)構(gòu)參考模型主要有兩種：開放系統(tǒng)互連參考模型OSI（OpenSystemInterconnection）模型和TCP/IP模型。國際標(biāo)準(zhǔn)化組織ISO的OSI模型共有七層，由低到高依次是物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會話層、表示層和應(yīng)用層。其設(shè)計(jì)之初旨在為網(wǎng)絡(luò)體系與協(xié)議發(fā)展與研究提供一種國際標(biāo)準(zhǔn)，由于其過于龐雜，致使TCP/IP協(xié)議成為Internet的基礎(chǔ)協(xié)議和實(shí)際應(yīng)用的“網(wǎng)絡(luò)標(biāo)準(zhǔn)”。2.1項(xiàng)目分析

網(wǎng)絡(luò)協(xié)議及無線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

TCP/IP模型由4個部分組成：由低到高依次為網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層。其4層體系對應(yīng)OSI參考模型的7層體系，以及同常用的相關(guān)協(xié)議的對應(yīng)關(guān)系如圖2-1所示。

網(wǎng)絡(luò)協(xié)議是實(shí)現(xiàn)網(wǎng)絡(luò)連接與交互的重要組成部分。在各種網(wǎng)絡(luò)中，需要按照其協(xié)議實(shí)現(xiàn)各結(jié)點(diǎn)之間的互連通信與數(shù)據(jù)傳輸。設(shè)計(jì)之初只注重異構(gòu)網(wǎng)互聯(lián)與交互，沒有考慮安全問題。而且，由于網(wǎng)絡(luò)各層協(xié)議是一個開放體系，具有網(wǎng)絡(luò)及其設(shè)施可以完成的基本功能，網(wǎng)絡(luò)系統(tǒng)的開放性及缺陷增加了安全風(fēng)險(xiǎn)和隱患。

圖2-1OSI模型和TCP/IP模型及協(xié)議對應(yīng)關(guān)系2.1項(xiàng)目分析

網(wǎng)絡(luò)協(xié)議及無線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

卡巴斯基發(fā)布2018第三季度分布式拒絕服務(wù)攻擊DDoS報(bào)告,59%攻擊事件發(fā)生在中國。中國遭受攻擊次數(shù)份額從59.03%飆升至77.67%，美國重新奪回了第二名的位置，占比是12.57%，澳大利亞位居第三2.27%。攻擊目標(biāo)地域分布前三位分別為中國70.58％、美國17.05％和澳大利亞3.71%。其中，SYNFlood從第二季度的80.2%和第一季度的57.3%增長到83.2%，占據(jù)第一位，UDPFlood位居第二11.9%，HTTP仍然是第三，TCP和ICMP分別是第四和第五。網(wǎng)絡(luò)協(xié)議的安全風(fēng)險(xiǎn)，主要可以可歸結(jié)為3個方面：（1）網(wǎng)絡(luò)協(xié)議（軟件）自身設(shè)計(jì)缺陷和存在的漏洞隱患，容易被利用。（2）網(wǎng)絡(luò)協(xié)議無有效認(rèn)證機(jī)制，不能驗(yàn)證通信雙方真實(shí)性。（3）網(wǎng)絡(luò)協(xié)議缺乏保密機(jī)制，無法保護(hù)網(wǎng)上數(shù)據(jù)的機(jī)密性。

案例2-12.1項(xiàng)目分析

網(wǎng)絡(luò)協(xié)議及無線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

2.TCP/IP安全層次分析

1）TCP/IP物理層的安全性

物理層安全問題是指由網(wǎng)絡(luò)環(huán)境及物理特性產(chǎn)生的網(wǎng)絡(luò)設(shè)施和線路安全性，致使網(wǎng)絡(luò)系統(tǒng)出現(xiàn)安全狀況及隱患，如設(shè)備被盜、意外故障、設(shè)備損壞、信息探測與竊聽等。網(wǎng)絡(luò)物理層是承擔(dān)無線傳輸（射頻無線信號傳輸和光傳輸）和有線（光纖、電話線、雙絞線和同軸電纜等）傳輸?shù)娜蝿?wù)。物理層安全主要是利用通信設(shè)備和信道的物理特征，建立安全接入和保密通信體制。

2.1項(xiàng)目分析

網(wǎng)絡(luò)協(xié)議及無線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)TCP/IP模型的網(wǎng)絡(luò)接口層對應(yīng)著OSI模型的物理層和數(shù)據(jù)鏈路層。由于以太網(wǎng)上存在交換設(shè)備并采用廣播方式，容易在某個廣播域中被偵聽、竊取并分析機(jī)密信息。為此，保護(hù)鏈路上的設(shè)備設(shè)施安全是網(wǎng)絡(luò)安全的重要基礎(chǔ)和前提，物理層的安全技術(shù)通常基于認(rèn)證，信息的加密、抗干擾、安全管理和審計(jì)等實(shí)現(xiàn)。為了保證物理層的安全通常還會采用“物理隔離技術(shù)”，使網(wǎng)絡(luò)保證在邏輯上保持連通，并對內(nèi)外網(wǎng)進(jìn)行篩選過濾，加強(qiáng)實(shí)體安全管理與維護(hù)。

2.1項(xiàng)目分析

網(wǎng)絡(luò)協(xié)議及無線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

2)TCP/IP網(wǎng)絡(luò)層的安全性

網(wǎng)絡(luò)層的核心功能是對網(wǎng)絡(luò)傳輸實(shí)現(xiàn)轉(zhuǎn)發(fā)與路由，即將傳輸數(shù)據(jù)分組從路由器的輸入端口轉(zhuǎn)移到合適的輸出端口，并確定分組從源到目的經(jīng)過的路徑。對該層攻擊通常會發(fā)送濫用網(wǎng)絡(luò)層首部字段數(shù)據(jù)、消耗網(wǎng)絡(luò)層資源或隱藏針等。通過網(wǎng)絡(luò)層攻擊主要分為首部濫用、利用網(wǎng)絡(luò)漏洞和跨地啊飽和等。

2.1項(xiàng)目分析

網(wǎng)絡(luò)協(xié)議及無線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)IP協(xié)議是整個TCP/IP協(xié)議體系結(jié)構(gòu)的重要基礎(chǔ)，TCP/IP中所有協(xié)議的數(shù)據(jù)都以IP數(shù)據(jù)報(bào)形式進(jìn)行傳輸。

TCP/IP協(xié)議族常用的兩種IP版本是IPv4和IPv6。IPv4在研發(fā)之初根本沒有兼顧網(wǎng)絡(luò)安全問題，IP包本身又無任何安全措施，從而導(dǎo)致在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包極容易被泄漏或竊取，IP欺騙和ICMP攻擊都是針對IP層的攻擊手段。如偽造IP包地址、攔截、竊取、篡改、重播等。所以，通信雙方無法保證收到IP數(shù)據(jù)報(bào)的真實(shí)性。IPv6簡化了IPv4中的IP頭結(jié)構(gòu)，并增加了對安全性的設(shè)計(jì)。

2.1項(xiàng)目分析

網(wǎng)絡(luò)協(xié)議及無線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)3）TCP/IP傳輸層的安全性TCP/IP傳輸層有兩種協(xié)議，TCP（可靠）和UDP（不可靠），傳輸層在應(yīng)用程序的端點(diǎn)之間傳輸應(yīng)用層報(bào)文，端到端層面，傳輸層負(fù)責(zé)將應(yīng)用層的數(shù)據(jù)分段，提供可靠或者不可靠的傳輸，還處理了端到端的差錯控制和流量控制問題。TCP協(xié)議是一種面向連接的、可靠的、基于字節(jié)流的通信協(xié)議，它完成第四層傳輸層所指定的功能。用戶數(shù)據(jù)報(bào)協(xié)議（UDP）是同一層內(nèi)另一個重要的傳輸協(xié)議。在因特網(wǎng)協(xié)議族中，TCP層是位于IP層之上，應(yīng)用層之下的中間層。不同主機(jī)的應(yīng)用層之間經(jīng)常需要可靠的、像管道一樣的連接，但是IP層不提供這樣的流機(jī)制，而是提供不可靠的包交換。

2.1項(xiàng)目分析

網(wǎng)絡(luò)協(xié)議及無線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

傳輸層的安全主要包括：傳輸與控制安全、數(shù)據(jù)交換與認(rèn)證安全、數(shù)據(jù)保密性與完整性等。TCP是一個面向連接的協(xié)議，用于多數(shù)的互聯(lián)網(wǎng)服務(wù)，如HTTP、FTP和SMTP。Netscape通信公司研發(fā)的安全套接層協(xié)議SSL（SecureSocketLayer）主要用于傳輸層數(shù)據(jù)認(rèn)證、完整性和加密，后更名為傳輸層協(xié)議TLS（TransportLayerSecurity），主要包括SSL握手協(xié)議和SSL記錄協(xié)議兩個協(xié)議。

2.1項(xiàng)目分析

網(wǎng)絡(luò)協(xié)議及無線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

案例2-22.1項(xiàng)目分析

網(wǎng)絡(luò)協(xié)議及無線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)4）TCP/IP應(yīng)用層的安全性

數(shù)百萬臺電腦感染異鬼Ⅱ木馬病毒。2017年8月，騰訊電腦管家捕獲一種惡性Bootkit木馬，在較短時間，已有數(shù)百萬臺電腦感染這種病毒。該木馬可以篡改多種網(wǎng)絡(luò)瀏覽器主頁、劫持導(dǎo)航網(wǎng)站，并在后臺實(shí)施攻擊且刷取上網(wǎng)流量，騰訊電腦管家的安全專家將其命名為“異鬼Ⅱ病毒”，同時采取專門的有效的防范措施，可以及時進(jìn)行查殺過濾。

在應(yīng)用層中，利用TCP/IP協(xié)議運(yùn)行和管理的程序較多。網(wǎng)絡(luò)安全性問題主要出現(xiàn)在需要重點(diǎn)解決的常用協(xié)議，包括HTTP、FTP、SMTP、DNS、Telnet等。

(1)超文本傳輸協(xié)議（HTTP）。是網(wǎng)絡(luò)瀏覽器查看網(wǎng)頁最常用的協(xié)議，使用80端口可能建立不安全連接，并進(jìn)行應(yīng)用程序及網(wǎng)頁瀏覽、數(shù)據(jù)傳輸和服務(wù)。目前，很多網(wǎng)站瀏覽器在HTTP加入SSL層，使用更安全的HTTPS（HyperTextTransferProtocolOverSecureSocketLayer），通過加密和驗(yàn)證方式保證數(shù)據(jù)的完整性和機(jī)密性。

(2)文件傳輸協(xié)議（FTP）。FTP是建立在TCP/IP連接上的文件發(fā)送與接受協(xié)議。由服務(wù)器和客戶端組成，各TCP/IP主機(jī)都有內(nèi)置的FTP客戶端，多數(shù)服務(wù)器都有FTP程序。FTP通常使用20和21兩個端口，由21端口建立連接，連接端口在整個FTP會話中開放具有一定風(fēng)險(xiǎn)，常用于客戶端和服務(wù)器之間發(fā)送控制信息和客戶端命令。

2.1項(xiàng)目分析

網(wǎng)絡(luò)協(xié)議及無線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)(3)簡單郵件傳輸協(xié)議（SMTP）。不法分子在各種網(wǎng)絡(luò)中，可以利用簡單郵件傳輸協(xié)議SMTP漏洞對E-mail服務(wù)器進(jìn)行侵入、干擾、破壞或篡改郵件等。(4)域名系統(tǒng)（DNS）安全。黑客可以借助DNS解析域名的端口，進(jìn)行區(qū)域傳輸或借此攻擊DNS服務(wù)器竊取區(qū)域文件，并從中竊取區(qū)域中所有系統(tǒng)的IP地址和主機(jī)名。(5)遠(yuǎn)程登錄協(xié)議（Telnet）。Telnet的功能是進(jìn)行遠(yuǎn)程終端登錄訪問，曾用于管理UNIX設(shè)備。允許遠(yuǎn)程用戶登錄是產(chǎn)生Telnet安全問題的主要問題，另外，Telnet以明文方式發(fā)送所有用戶名和密碼，給非法者可乘之機(jī)，已成為安全防范重點(diǎn)。

2.1項(xiàng)目分析

網(wǎng)絡(luò)協(xié)議及無線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

案例2-32.1項(xiàng)目分析

網(wǎng)絡(luò)協(xié)議及無線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)2.1.2IPv6的安全性問題

IPv6死亡之ping。2016年5月思科公布了其下產(chǎn)品存在IPv6鄰居惡意報(bào)文拒絕服務(wù)供給漏洞。該漏洞又被稱為IPv6死亡之ping，經(jīng)過CVE網(wǎng)站一段時間的搜索攻可統(tǒng)計(jì)出IPv6相關(guān)漏洞263個，該漏洞所有在處理過程或硬件中，無法在前期就丟棄這類數(shù)據(jù)包的IPv6處理設(shè)備都會受到該漏洞的影響。

1.IPv6的安全性問題IPv6原理和特征發(fā)生很大變化，避免了一些安全性問題，是網(wǎng)絡(luò)安全得到大大的提升，但仍然存在一些安全性問題。主要概況如下：(1)原理和特征發(fā)生很大變化，避免了一些安全性問題，主要包括4個方面。①偵測。龐大的地址空間可以從技術(shù)上解決實(shí)名制和用戶身份溯源的問題。并且對IPv6網(wǎng)絡(luò)進(jìn)行類似IPv4的按照IP地址段進(jìn)行網(wǎng)絡(luò)偵查是不可能了。

2.1項(xiàng)目分析

網(wǎng)絡(luò)協(xié)議及無線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

②非授權(quán)訪問。IPv6協(xié)議支持下的訪問控制同IPv4協(xié)議支持下情形類似，依賴防火墻或路由器訪問控制表(ACL)等控制策略，由地址、端口等信息實(shí)施控制。對地址轉(zhuǎn)換型防火墻，外網(wǎng)的終端看不到被保護(hù)主機(jī)的IP地址，使防火墻內(nèi)部免受攻擊，但是地址轉(zhuǎn)換技術(shù)(NAT)和IPSec功能不匹配，在IPv6下很難穿越地址轉(zhuǎn)換型防火墻以IPSec通信。對包過濾型防火墻，若用IPSec的ESP，由于3層以上的信息不可見，更難控制。此外，對ICMP消息控制更需謹(jǐn)慎，由于ICMPv6對IPv6至關(guān)重要，如自動配置、重復(fù)地址檢測等。

2.1項(xiàng)目分析

網(wǎng)絡(luò)協(xié)議及無線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

③篡改分組頭部和分段信息。在IPv4網(wǎng)絡(luò)中的設(shè)備和端系統(tǒng)都可對分組進(jìn)行分片，分片攻擊通常用于兩種情形：一是利用分片逃避網(wǎng)絡(luò)監(jiān)控設(shè)備，如防火墻和IDS。二是直接利用網(wǎng)絡(luò)設(shè)備中協(xié)議棧實(shí)現(xiàn)的漏洞，以錯誤的分片分組頭部信息直接對網(wǎng)絡(luò)設(shè)備發(fā)動攻擊。IPv6網(wǎng)絡(luò)中的中間設(shè)備不再分片，由于多個IPv6擴(kuò)展頭的存在，防火墻很難計(jì)算有效數(shù)據(jù)報(bào)的最小尺寸，此時傳輸層協(xié)議報(bào)頭可能不在第一個分片分組內(nèi)，從而使網(wǎng)絡(luò)監(jiān)控設(shè)備若不對分片進(jìn)行重組，將無法實(shí)施基于端口信息的訪問控制策略。④偽造源地址。IPv4網(wǎng)絡(luò)的源地址偽造的攻擊很多，對其防范主要有兩類方法：一是基于事前預(yù)防的過濾類方法，二是基于事后追查的回溯類方法。

2.1項(xiàng)目分析

網(wǎng)絡(luò)協(xié)議及無線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)2.移動IPv6的安全性

移動IPv6是IPv6的一個重要組成部分，移動性是其最大的特點(diǎn)。引入的移動IP協(xié)議給網(wǎng)絡(luò)帶來新的安全隱患，應(yīng)采取特殊安全措施。

(1)移動IPv6的特性。從IPv4到IPv6使移動IP技術(shù)發(fā)生根本性變化，IPv6的許多新特性也為結(jié)點(diǎn)移動性提供更好支持，如“無狀態(tài)地址自動配置”和“鄰居發(fā)現(xiàn)”等。IPv6組網(wǎng)技術(shù)極大簡化網(wǎng)絡(luò)重組，更有效促進(jìn)因特網(wǎng)移動性。

(2)移動IPv6面臨的安全威脅。移動IPv6基本工作流程只針對于理想狀態(tài)的互聯(lián)網(wǎng)，并未考慮現(xiàn)實(shí)網(wǎng)絡(luò)的安全問題。而且，移動性的引入也會帶來新安全威脅，如對報(bào)文的竊聽、篡改、拒絕服務(wù)和虛假訪問攻擊等。因此，在移動IPv6的具體實(shí)施中須謹(jǐn)慎處理這些安全威脅，以免降低網(wǎng)絡(luò)安全級別。

2.1項(xiàng)目分析

網(wǎng)絡(luò)協(xié)議及無線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

移動IP主要用于無線網(wǎng)絡(luò)，不僅要面對無線網(wǎng)絡(luò)所有的安全威脅，還要處理由移動性帶來的新安全問題，所以，移動IP相對有線網(wǎng)絡(luò)更脆弱和復(fù)雜。另外，移動IPv6協(xié)議通過定義移動結(jié)點(diǎn)、HA和通信結(jié)點(diǎn)之間的信令機(jī)制，較好地解決了移動IPv4的三角路由問題，但在優(yōu)化同時也出現(xiàn)了新的安全問題。目前，移動IPv6受到的主要威脅包括拒絕服務(wù)攻擊、重放攻擊和信息竊取等。

2.1項(xiàng)目分析

網(wǎng)絡(luò)協(xié)議及無線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

案例2-42.1項(xiàng)目分析

網(wǎng)絡(luò)協(xié)議及無線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)2.1.3無線網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)和隱患

隨著無線網(wǎng)絡(luò)技術(shù)的快速發(fā)展和廣泛應(yīng)用，其安全性越來越引起人們的關(guān)注。無線網(wǎng)絡(luò)的安全主要包括訪問控制和數(shù)據(jù)加密兩個方面，訪問控制保證機(jī)密數(shù)據(jù)只能由授權(quán)用戶訪問，而數(shù)據(jù)加密則要求發(fā)送的數(shù)據(jù)只能被授權(quán)用戶所接受和使用。

世界黑客鐘愛攻擊自動柜員機(jī)ATM。2016年，歐洲至少12個地區(qū)的ATM機(jī)遭到無線網(wǎng)絡(luò)的攻擊。臺灣、泰國和巴基斯坦都有大量的針對ATM的黑客活動，而孟加拉央行經(jīng)歷了SWIFT被攻擊所導(dǎo)致的8100萬美元驚天大劫案。只要侵入其系統(tǒng)，就可以利用ATM機(jī)進(jìn)行自動提款。

無線網(wǎng)絡(luò)在數(shù)據(jù)傳輸時以微波進(jìn)行輻射傳播，只要在無線接入點(diǎn)AP（AccessPoint）和路由覆蓋范圍內(nèi)，所有無線終端都可能接收到無線信號。AP無法將無線信號定向到一個特定的接受設(shè)備，時常被別人免費(fèi)蹭網(wǎng)接入、盜號或泄密等，因此，無線網(wǎng)絡(luò)的安全威脅、風(fēng)險(xiǎn)和隱患更為突出。2.1項(xiàng)目分析

網(wǎng)絡(luò)協(xié)議及無線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)由于WiFi的IEEE802.11規(guī)范安全協(xié)議設(shè)計(jì)與實(shí)現(xiàn)缺陷等原因，致使無線網(wǎng)絡(luò)存在著一些安全漏洞和風(fēng)險(xiǎn)，黑客可進(jìn)行中間人（Man-in-the-Middle）攻擊、拒絕服務(wù)（DoS）攻擊、封包破解攻擊等。鑒于無線網(wǎng)絡(luò)自身特性，黑客很容易搜尋到一個網(wǎng)絡(luò)接口，利用竊取的有關(guān)信息接入客戶網(wǎng)絡(luò)，肆意盜取機(jī)密信息或進(jìn)行破壞。另外，企業(yè)員工對無線設(shè)備不負(fù)責(zé)任地濫用也會造成安全隱患和風(fēng)險(xiǎn)。

2.1項(xiàng)目分析

網(wǎng)絡(luò)協(xié)議及無線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)2.2任務(wù)1網(wǎng)絡(luò)協(xié)議安全防范

本任務(wù)的具體學(xué)習(xí)目標(biāo)要求主要為：（1）了解TCP/IP安全防范的層次體系。（2）掌握IPv6的主要的優(yōu)勢及基本特點(diǎn)。（3）理解IPv6及其移動IPv6的安全機(jī)制。

2.2.1

目標(biāo)要求

2.2.2知識要點(diǎn)1.TCP/IP安全防范層次體系TCP/IP的安全性可以分為多層，各安全層都是一個包含多個特征的實(shí)體。在不同層次上，可以增加不同的安全策略和安全性。SSL及其繼任者TLS是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議。SSL通過簡單易用的方法實(shí)現(xiàn)信息遠(yuǎn)程連通。在網(wǎng)絡(luò)層提供虛擬專用網(wǎng)（VirtualPrivateNetwork，VPN）技術(shù)，任何安裝瀏覽器的機(jī)器都可以使用SSLVPN，這是因?yàn)镾SL內(nèi)嵌在瀏覽器中，它不需要像傳統(tǒng)IPSecVPN一樣必須為每一臺客戶機(jī)安裝客戶端軟件。

互聯(lián)網(wǎng)安全協(xié)議（InternetProtocolSecurityIPsec），是一個協(xié)議包，通過對IP協(xié)議的分組進(jìn)行加密和認(rèn)證來保護(hù)IP協(xié)議的網(wǎng)絡(luò)傳輸協(xié)議族（一些相互關(guān)聯(lián)的協(xié)議的集合）。IPsec被設(shè)計(jì)用來提供入口對入口通信安全和端到端分組通信安全，其中任意一種模式都可以用來構(gòu)建虛擬專用網(wǎng)，而這也是IPsec最主要的用途之一。下面分別介紹TCP/IP不同層次的安全性及提高各層安全性的技術(shù)和方法2.2任務(wù)1網(wǎng)絡(luò)協(xié)議安全防范TCP/IP網(wǎng)絡(luò)安全防范層次體系

2.2任務(wù)1網(wǎng)絡(luò)協(xié)議安全防范

2.IPv6的優(yōu)勢及特點(diǎn)IPv6是在IPv4基礎(chǔ)上改進(jìn)的下一代互聯(lián)網(wǎng)協(xié)議，對其研究和建設(shè)正逐步成為信息技術(shù)領(lǐng)域的熱點(diǎn)之一，IPv6的網(wǎng)絡(luò)安全研究和應(yīng)用已成為新互聯(lián)網(wǎng)研究中一個重要領(lǐng)域。（1)擴(kuò)展地址空間及應(yīng)用。IPv6設(shè)計(jì)之初主要是解決互聯(lián)網(wǎng)迅速發(fā)展使IPv4地址空間將被耗盡問題，以免影響整個互聯(lián)網(wǎng)的進(jìn)一步擴(kuò)展，采用IPv6極大地?cái)U(kuò)展了IP地址空間。2.2任務(wù)1網(wǎng)絡(luò)協(xié)議安全防范

IPv6的研發(fā)還解決了IPv4的其他多種問題，如安全性、端到端IP連接、服務(wù)質(zhì)量、多播、移動性和即插即用等功效。IPv6還對報(bào)頭進(jìn)行了重新設(shè)計(jì)，由一個簡化長度固定的基本報(bào)頭和多個可選的擴(kuò)展報(bào)頭組成。既可加快路由速度，又能靈活地支持多種應(yīng)用，便于擴(kuò)展新的應(yīng)用。2.2任務(wù)1網(wǎng)絡(luò)協(xié)議安全防范圖2-3IPV4的IP報(bào)頭圖2-4IPV6的基本報(bào)頭（2)提高網(wǎng)絡(luò)整體性能。IPv6的數(shù)據(jù)包可以超過64K字節(jié)，使應(yīng)用程序可利用最大傳輸單元（MTU）獲得更快、更可靠的數(shù)據(jù)傳輸，并在設(shè)計(jì)上改進(jìn)了選路結(jié)構(gòu)，采用簡化的報(bào)頭定長結(jié)構(gòu)和更合理的分段方法，使路由器加快數(shù)據(jù)包處理速度，從而提高了轉(zhuǎn)發(fā)效率，并提高了網(wǎng)絡(luò)的整體吞吐量等性能。（3)加強(qiáng)網(wǎng)絡(luò)安全性能。IPv6內(nèi)嵌安全機(jī)制可實(shí)現(xiàn)IP安全協(xié)議IPSec，提供支持?jǐn)?shù)據(jù)源認(rèn)證、完整性和保密性能力，可抗重放攻擊。安全機(jī)制由兩個擴(kuò)展報(bào)頭實(shí)現(xiàn)：認(rèn)證頭AH（AuthenticationHeader）和封裝安全載荷ESP（EncapsulationSecurityPayload）。2.2任務(wù)1網(wǎng)絡(luò)協(xié)議安全防范

2.2任務(wù)1網(wǎng)絡(luò)協(xié)議安全防范（4)提供更好服務(wù)質(zhì)量。IPv6在分組的頭部中定義業(yè)務(wù)流類別字段和流標(biāo)簽字段兩個重要參數(shù)，以提供對服務(wù)質(zhì)量（QualityofService，QoS）的支持。業(yè)務(wù)流類別字段將IP分組的優(yōu)先級分為16個等級。對于需要特殊QoS的業(yè)務(wù)，可在IP數(shù)據(jù)包中設(shè)置相應(yīng)的優(yōu)先級，路由器根據(jù)IP包的優(yōu)先級來分別對這些數(shù)據(jù)進(jìn)行不同處理。流標(biāo)簽用于定義任意一個傳輸?shù)臄?shù)據(jù)流，以便網(wǎng)絡(luò)中各結(jié)點(diǎn)可對此數(shù)據(jù)進(jìn)行識別與特殊處理。

（5)實(shí)現(xiàn)更好地組播功能。組播是一種將信息傳遞給已登記且計(jì)劃接收該消息的主機(jī)功能，可同時給大量用戶傳遞數(shù)據(jù)，傳遞過程只占用一些公共或?qū)Ｓ脦掗_銷而不在整個網(wǎng)絡(luò)廣播，以減少帶寬。IPv6還具有限制組播傳遞范圍的一些特性，組播消息可被限于特定區(qū)域、公司、位置或其他約定范圍，從而減少帶寬的使用并提高安全性。

（6)支持即插即用和移動性。當(dāng)聯(lián)網(wǎng)設(shè)備接入網(wǎng)絡(luò)后，以自動配置可自動獲取IP地址和必要的參數(shù)，實(shí)現(xiàn)即插即用，簡化了網(wǎng)絡(luò)管理，易于支持移動結(jié)點(diǎn)。IPv6不僅從IPv4中借鑒了很多概念和術(shù)語，還提供了移動IPv6所需的新功能。

（7)提供必選的資源預(yù)留協(xié)議（ResourceReservationProtocol，RSVP）功能，用戶可在從源點(diǎn)到目的地的路由器上預(yù)留帶寬，以便提供確保服務(wù)質(zhì)量的圖像和其他實(shí)時業(yè)務(wù)。

2.2任務(wù)1網(wǎng)絡(luò)協(xié)議安全防范

3.IPv6的安全機(jī)制（1)協(xié)議安全。如上所述，在協(xié)議安全層面，IPv6全面支持認(rèn)證頭AH認(rèn)證和封裝安全有效載荷ESP擴(kuò)展頭。支持?jǐn)?shù)據(jù)源發(fā)認(rèn)證、完整性和抗重放攻擊等。（2)網(wǎng)絡(luò)安全。IPv6安全主要體現(xiàn)在4個方面：①實(shí)現(xiàn)端到端安全。在兩端主機(jī)上對報(bào)文IPSec封裝，中間路由器實(shí)現(xiàn)對有IPSec擴(kuò)展頭的IPv6報(bào)文封裝傳輸，可實(shí)現(xiàn)端到端安全。②提供內(nèi)網(wǎng)安全。當(dāng)內(nèi)部主機(jī)與Internet上其他主機(jī)通信時，可通過配置IPSec網(wǎng)關(guān)實(shí)現(xiàn)內(nèi)網(wǎng)安全。

2.2任務(wù)1網(wǎng)絡(luò)協(xié)議安全防范

③由安全隧道構(gòu)建安全VPN。通過IPv6的IPSec隧道實(shí)現(xiàn)的VPN，可在路由器之間建立IPSec安全隧道，是最常用的安全組建VPN的方式。IPSec網(wǎng)關(guān)路由器實(shí)際上是IPSec隧道的終點(diǎn)和起點(diǎn)，為了滿足轉(zhuǎn)發(fā)性能，需要路由器專用加密加速板卡。④以隧道嵌套實(shí)現(xiàn)網(wǎng)絡(luò)安全。通過隧道嵌套的方式可獲得多重安全保護(hù)，當(dāng)配置IPSec的主機(jī)通過安全隧道接入配置IPSec網(wǎng)關(guān)的路由器，且該路由器作為外部隧道的終結(jié)點(diǎn)將外部隧道封裝剝除時，嵌套的內(nèi)部安全隧道便構(gòu)成對內(nèi)網(wǎng)的安全隔離。2.2任務(wù)1網(wǎng)絡(luò)協(xié)議安全防范（3）其他安全保障。由于網(wǎng)絡(luò)的安全威脅為多層且分布于各層之間。對物理層的安全隱患，可通過配置冗余設(shè)備、冗余線路、安全供電、保障電磁兼容環(huán)境和加強(qiáng)安全管理進(jìn)行防護(hù)。

2.2任務(wù)1網(wǎng)絡(luò)協(xié)議安全防范4.移動IPv6的安全機(jī)制

移動IPv6采用IPSec可以為移動節(jié)點(diǎn)與家鄉(xiāng)代理之間的IP分組提供數(shù)據(jù)完整性和機(jī)密保護(hù)，保證MN（移動節(jié)點(diǎn)，MobileNode）與HA（家鄉(xiāng)代理，HomeAgent）間的信令是完整的，且滿足一定的排序規(guī)則；IPSec還提供時間戳和隨機(jī)數(shù)對注冊請求進(jìn)行抗重放攻擊；使用IPSec來提供通信雙方的身份認(rèn)證和數(shù)據(jù)加密保護(hù)，并且移動IPv6利用返回路由可達(dá)過程來驗(yàn)證MN的轉(zhuǎn)交地址和家鄉(xiāng)地址是否正確可達(dá)；

2.2任務(wù)1網(wǎng)絡(luò)協(xié)議安全防范利用邦迪管理秘鑰計(jì)算驗(yàn)證代碼，對綁定更新信消息進(jìn)行驗(yàn)證；MN和CN(通信節(jié)點(diǎn)，CorrespondentNode)之間可以配置一個綁定管理秘鑰來保護(hù)綁定消息，該秘鑰與MN的家鄉(xiāng)地址相聯(lián)系，且必須使用配置成相同的長度的移動IPv6返回路由可達(dá)過程中的輸入消息作為密鑰生成材料；利用IPSec保護(hù)MN和HA之間的通信消息，控制MN和HA之間交換的綁定更新和綁定確認(rèn)報(bào)文；

2.2任務(wù)1網(wǎng)絡(luò)協(xié)議安全防范在移動IPv6中，可以使用其它標(biāo)識符（例如，NAI，MNI,IMSI，或是特有應(yīng)用的不透明標(biāo)識符）來替代IPv6地址來表示移動實(shí)體，它可以使用現(xiàn)有

AAA（Authentication驗(yàn)證、Authorization授權(quán)和Accounting記賬）

設(shè)施或家鄉(xiāng)位置注冊/認(rèn)證中心來實(shí)現(xiàn)認(rèn)證和授權(quán)，可以動態(tài)分配移動錨點(diǎn)，可以動態(tài)分配家鄉(xiāng)地址，同時可以結(jié)合認(rèn)證選項(xiàng)配合使用，在不使用IKE/IPSec（Internetkeyexchange，Internet密鑰交換協(xié)議）的情況下，對綁定更新進(jìn)行認(rèn)證；通過使用MN與HA或家鄉(xiāng)AAA服務(wù)器之間共享密鑰實(shí)現(xiàn)身份認(rèn)證；

2.2任務(wù)1網(wǎng)絡(luò)協(xié)議安全防范它通過在MN和HA之間的綁定更新和綁定確認(rèn)報(bào)文中使用一種認(rèn)證選項(xiàng)來實(shí)現(xiàn)，這種機(jī)制能使沒有集成IPsec的情況下，通過認(rèn)證選項(xiàng)來保證綁定更新和綁定確認(rèn)消息的安全。

討論思考：（1）概述TCP/IP安全防范的層次體系。（2）IPv6的主要的優(yōu)勢及基本特點(diǎn)有哪些？（3）IPv6及其移動IPv6的安全機(jī)制是什么？2.2任務(wù)1網(wǎng)絡(luò)協(xié)議安全防范2.3任務(wù)2無線網(wǎng)絡(luò)安全技術(shù)

2.3.1目標(biāo)要求

2.3.2知識要點(diǎn)（1）理解無線網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)和隱患。（2）了解無線網(wǎng)絡(luò)AP及網(wǎng)絡(luò)路由器的安全。（3）理解用IEEE802.1x進(jìn)行身份認(rèn)證的過程。（4）掌握無線網(wǎng)絡(luò)安全技術(shù)應(yīng)用和WIFI的安全防范。本任務(wù)的具體學(xué)習(xí)目標(biāo)要求主要為：1.無線網(wǎng)絡(luò)AP及網(wǎng)絡(luò)路由器的安全1）無線接入點(diǎn)安全無線接入點(diǎn)AP用于實(shí)現(xiàn)無線客戶端之間的信號互聯(lián)和中繼，其安全措施包括：(1)修改admin密碼。無線AP與其他網(wǎng)絡(luò)設(shè)備一樣，也提供了初始的管理員用戶名和密碼，其默認(rèn)用戶名基本是admin，而密碼大部分為空或也是admin。(2)WEP加密傳輸?？赏ㄟ^協(xié)議WEP（WiredEquivalentPrivacy）進(jìn)行數(shù)據(jù)加密。WEP加密主要用途為：防止數(shù)據(jù)被黑客途中惡意篡改或偽造，用WEP加密算法對數(shù)據(jù)進(jìn)行加密，防止數(shù)據(jù)被黑客竊聽，利用接入控制，防止未授權(quán)用戶對其網(wǎng)絡(luò)進(jìn)行訪問。

2.3任務(wù)2網(wǎng)絡(luò)安全解決方案(3)禁用DHCP服務(wù)。啟用無線AP的DHCP時，黑客可自動獲取IP地址接入無線網(wǎng)絡(luò)。禁用后黑客只能以猜測破譯IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)等，以增加其安全性。(4)修改SNMP字符串。必要時應(yīng)禁用無線AP支持的SNMP功能，特別對無專用網(wǎng)絡(luò)管理軟件且規(guī)模較小的網(wǎng)絡(luò)。(5)禁止遠(yuǎn)程管理。小型網(wǎng)絡(luò)可登錄到無線AP管理，無需開啟AP遠(yuǎn)程管理功能。(6)修改SSID標(biāo)識。無線AP廠商可利用SSID（初始化字符串），在默認(rèn)狀態(tài)下檢驗(yàn)登錄無線網(wǎng)絡(luò)結(jié)點(diǎn)的連接請求，檢驗(yàn)一通過即可連接到無線網(wǎng)絡(luò)。(7)禁止SSID廣播。為了保證無線網(wǎng)絡(luò)安全，應(yīng)當(dāng)禁用SSID通知客戶端所采用的默認(rèn)廣播方式?？墒狗鞘跈?quán)客戶端無法通過廣播獲得SSID，即無法連接到無線網(wǎng)絡(luò)。

2.3任務(wù)2無線網(wǎng)絡(luò)安全技術(shù)(8)過濾MAC地址。利用無線AP的訪問列表功能可精確限制連接到結(jié)點(diǎn)工作站。對不在訪問列表中的工作站，將無權(quán)訪問無線網(wǎng)絡(luò)。(9)合理放置無線AP。由于無線AP的放置位置不僅能決定無線局域網(wǎng)的信號傳輸速度、通信信號強(qiáng)弱，還影響網(wǎng)絡(luò)通信安全。(10)WPA用戶認(rèn)證。WPA（Wi-FiProtectedAccess）利用一種暫時密鑰完整性協(xié)議TKIP（TemporalKeyIntegrityProtocol）處理WEP不能解決的設(shè)備共用一個密鑰的問題。

2.3任務(wù)2無線網(wǎng)絡(luò)安全技術(shù)

2）無線網(wǎng)絡(luò)路由器安全由于無線路由器位于網(wǎng)絡(luò)邊緣，面臨更多安全危險(xiǎn)。不僅具有無線AP的功能，還集成了寬帶路由器的功能，因此，可實(shí)現(xiàn)小型網(wǎng)絡(luò)的Internet連接共享。通常，采用無線AP的安全策略、網(wǎng)絡(luò)防火墻和IP地址過濾等安全防范措施。

2.3任務(wù)2無線網(wǎng)絡(luò)安全技術(shù)2、IEEE802.1x身份認(rèn)證

IEEE802.1x是基于Client/Server的訪問控制和認(rèn)證協(xié)議，它可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過接入端口訪問LAN/WLAN。在獲得交換機(jī)或LAN提供的各種業(yè)務(wù)之前，802.1x對連接到交換機(jī)端口上的用戶/設(shè)備進(jìn)行認(rèn)證。在認(rèn)證通過之前，802.1x只允許EAPoL（基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議）數(shù)據(jù)通過設(shè)備連接的交換機(jī)端口；認(rèn)證通過以后，正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。

2.3任務(wù)2無線網(wǎng)絡(luò)安全技術(shù)

IEEE802.1x認(rèn)證過程為：（1）無線客戶端向AP發(fā)送請求，嘗試與AP進(jìn)行通信。（2）AP將加密數(shù)據(jù)發(fā)送給驗(yàn)證服務(wù)器進(jìn)行用戶身份認(rèn)證。（3）驗(yàn)證服務(wù)器確認(rèn)用戶身份后，AP允許該用戶接入。（4）建立網(wǎng)絡(luò)連接后授權(quán)用戶通過AP訪問網(wǎng)絡(luò)資源。

圖2-6用802.1x及EAP身份認(rèn)證的無線網(wǎng)絡(luò)2.3任務(wù)2無線網(wǎng)絡(luò)安全技術(shù)

3.無線網(wǎng)絡(luò)安全技術(shù)應(yīng)用為了更好地發(fā)揮無線網(wǎng)絡(luò)“有線速度無線自由”的特性，根據(jù)長期積累的經(jīng)驗(yàn)，針對各行業(yè)對無線網(wǎng)絡(luò)的需求，AboveCable公司給出一系列安全方案，最大程度上方便用戶構(gòu)建安全無線網(wǎng)絡(luò)，節(jié)省不必要經(jīng)費(fèi)。1）小型企業(yè)及家庭用戶小型企業(yè)和一般家庭用戶使用的網(wǎng)絡(luò)范圍相對較小，且終端用戶數(shù)量有限，AboveCable公司給出初級安全方案可滿足對網(wǎng)絡(luò)安全需求，且投資成本低，配置方便效果顯著。此方案建議使用傳統(tǒng)的WEP認(rèn)證與加密技術(shù)，各種型號的AP和無線路由器都支持64位、128位WEP認(rèn)證與加密，以保證無線鏈路中的數(shù)據(jù)安全，防止數(shù)據(jù)被盜用。同時，由于這些場合的終端用戶數(shù)量穩(wěn)定且有限，手工配置WEP密鑰也可行。2.3任務(wù)2無線網(wǎng)絡(luò)安全技術(shù)

2）倉庫物流、醫(yī)院、學(xué)校和餐飲娛樂行業(yè)

些行業(yè)網(wǎng)絡(luò)覆蓋范圍及終端用戶數(shù)量增大，AP和無線網(wǎng)卡數(shù)量需要增多，同時安全風(fēng)險(xiǎn)及隱患也有所增加，僅依靠單一的WEP已無法滿足其安全需求。AboveCable公司給出中級安全方案使用IEEE802.1x認(rèn)證技術(shù)作為無線網(wǎng)絡(luò)的安全核心，并通過后臺的RADIUS服務(wù)器進(jìn)行用戶身份驗(yàn)證，有效地阻止未經(jīng)授權(quán)的接入。

對多個AP的管理問題，若管理不當(dāng)也會增加網(wǎng)絡(luò)的安全隱患。為此，需要產(chǎn)品不僅支持IEEE802.1x認(rèn)證機(jī)制，同時還支持SNMP網(wǎng)絡(luò)管理協(xié)議，在此基礎(chǔ)上以AirPanelProAP集群管理系統(tǒng)，便于對AP的管理和監(jiān)控。

2.3任務(wù)2無線網(wǎng)絡(luò)安全技術(shù)

3）公共場所及網(wǎng)絡(luò)運(yùn)營商、大中型企業(yè)和金融機(jī)構(gòu)

在公共地區(qū)，如機(jī)場、火車站等，一些用戶需要通過無線接入Internet、瀏覽web頁面、接收e-mail，對此安全可靠地接入Internet很關(guān)鍵。這些區(qū)域通常由網(wǎng)絡(luò)運(yùn)營商提供網(wǎng)絡(luò)設(shè)施，對用戶認(rèn)證問題至關(guān)重要。否則，可能造成盜用服務(wù)等危險(xiǎn)，為提供商和用戶造成損失。AboveCable公司提出使用IEEE802.1x的認(rèn)證方式，并通過后臺RADIUS服務(wù)器進(jìn)行認(rèn)證計(jì)費(fèi)。

對于大中型企業(yè)和金融機(jī)構(gòu)，網(wǎng)絡(luò)安全性是首選的至關(guān)重要問題。在使用IEEE802.1x認(rèn)證機(jī)制的基礎(chǔ)上，為了更好地解決遠(yuǎn)程辦公用戶安全訪問公司內(nèi)部網(wǎng)絡(luò)信息的要求，AboveCable公司建議利用現(xiàn)有的VPN設(shè)施及應(yīng)用，進(jìn)一步完善網(wǎng)絡(luò)的安全性能。

2.3任務(wù)2無線網(wǎng)絡(luò)安全技術(shù)

WiFi（WirelessFidelity）又稱IEEE802.11b標(biāo)準(zhǔn)，是一種可以將終端（電腦、PDA和手機(jī)）等以無線方式互連的技術(shù)。是由“無線以太網(wǎng)相容聯(lián)盟”所發(fā)布的業(yè)界術(shù)語，用于改善基于IEEE802.11標(biāo)準(zhǔn)的無線網(wǎng)路產(chǎn)品之間的互通性。WiFi廣泛應(yīng)用于無線上網(wǎng)，支持智能手機(jī)、平板電腦和新型照相機(jī)等。實(shí)際上就是將有線網(wǎng)絡(luò)信號轉(zhuǎn)換成無線信號，使用無線路由器供支持其技術(shù)的相關(guān)電腦、手機(jī)、平板等接收上網(wǎng)節(jié)省流量費(fèi)。WiFi信號也需要ADSL、寬帶、無線路由器等，WiFiPhone的使用，如查詢或轉(zhuǎn)發(fā)信息、下載、看新聞、撥VOIP電話（語音及視頻）、收發(fā)郵件、實(shí)時定位、游戲等，很多機(jī)構(gòu)都提供免費(fèi)服務(wù)的WiFi。

2.3任務(wù)2無線網(wǎng)絡(luò)安全技術(shù)

WiFi的安全性因?yàn)榫W(wǎng)銀等事故頻發(fā)備受關(guān)注。2015年10月襄陽日報(bào)訊，市民王滔(化名)因在公共WiFi上進(jìn)行網(wǎng)銀操作，銀行卡被犯罪分子盜刷23.5萬元。所幸經(jīng)過民警幫助，錢被全部追回。2015年4月，美國審計(jì)總署（GAO）在報(bào)告中表示，多數(shù)商業(yè)航空公司可訪問互聯(lián)網(wǎng)，讓黑客控制飛機(jī)成為可能。報(bào)告稱現(xiàn)代飛機(jī)擁有可被恐怖分子侵入并控制的約60個外部天線。

案例2-4WIFI的主要特點(diǎn)體現(xiàn)為：帶寬、信號、功耗、便捷、節(jié)省、安全、融網(wǎng)、個人服務(wù)、移動特性。IEEE啟動項(xiàng)目計(jì)劃將802.11標(biāo)準(zhǔn)數(shù)據(jù)速率提高到千兆或幾千兆，并通過802.11n標(biāo)準(zhǔn)將數(shù)據(jù)速率提高，以適應(yīng)不同的功能和設(shè)備，通過802.11s標(biāo)準(zhǔn)將這些高端結(jié)點(diǎn)連接，形成類似互聯(lián)網(wǎng)的具有冗余能力的WiFi網(wǎng)絡(luò)。2.3任務(wù)2無線網(wǎng)絡(luò)安全技術(shù)

WiFi是由AP和無線網(wǎng)卡組成的無線網(wǎng)絡(luò)，如圖2-8所示。一般架設(shè)無線網(wǎng)絡(luò)的基本配備就是無線網(wǎng)卡及一個AP，便能以無線的模式配合既有的有線架構(gòu)來分享網(wǎng)絡(luò)資源，架設(shè)費(fèi)用和復(fù)雜程序遠(yuǎn)遠(yuǎn)低于傳統(tǒng)的有線網(wǎng)絡(luò)。一般對于只是幾臺電腦的對等網(wǎng)，也可以不使用AP，只需要每臺電腦配備無線網(wǎng)卡。AP可作為“無線訪問結(jié)點(diǎn)”或“橋接器”。主要當(dāng)作傳統(tǒng)的有線局域網(wǎng)絡(luò)與無線局域網(wǎng)絡(luò)之間的橋梁，因此任何一臺裝有無線網(wǎng)卡的PC均可透過AP去分享有線局域網(wǎng)絡(luò)甚至廣域網(wǎng)絡(luò)的資源。圖2-8WiFi的基本原理及組成2.3任務(wù)2無線網(wǎng)絡(luò)安全技術(shù)WIFI的工作原理相當(dāng)于一個內(nèi)置無線發(fā)射器的HUB或者是路由，而無線網(wǎng)卡則是負(fù)責(zé)接收由AP所發(fā)射信號的CLIENT端設(shè)備。有了AP就像有線網(wǎng)絡(luò)的Hub，無線工作站可快速與網(wǎng)絡(luò)相連。特別是對于寬帶使用，WiFi更顯優(yōu)勢，有線寬帶網(wǎng)絡(luò)（ADSL、小區(qū)LAN等）到戶后，連接到一個AP，然后在電腦中安裝一個無線網(wǎng)卡即可。若機(jī)構(gòu)或家庭有AP，用戶獲得授權(quán)后，就可以共享方式上網(wǎng)。

無線路由器密碼破解的速度取決于軟件和硬件，只要注意在密碼設(shè)置時盡量復(fù)雜些，即可增強(qiáng)安全性。

討論思考：（1）無線網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)和隱患有哪些？（2）概述無線網(wǎng)絡(luò)AP及網(wǎng)絡(luò)路由器的安全。（3）無線網(wǎng)絡(luò)安全技術(shù)應(yīng)用方式有哪些。2.3任務(wù)2無線網(wǎng)絡(luò)安全技術(shù)2.4任務(wù)拓展虛擬專用網(wǎng)VPN

本任務(wù)的具體學(xué)習(xí)目標(biāo)要求主要為：（1）理解虛擬專用網(wǎng)的基本概念和系統(tǒng)結(jié)構(gòu)。（2）掌握虛擬專用網(wǎng)的技術(shù)特點(diǎn)和實(shí)現(xiàn)技術(shù)。（3）理解虛擬專用網(wǎng)技術(shù)的實(shí)用解決方案。

2.4.1

目標(biāo)要求

2.4.2知識要點(diǎn)

虛擬專用網(wǎng)（VirtualPrivateNetwork，VPN）是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)，基于安全網(wǎng)絡(luò)協(xié)議的專用網(wǎng)絡(luò)。整個VPN網(wǎng)絡(luò)的任意兩個節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺之上的邏輯網(wǎng)絡(luò)，用戶數(shù)據(jù)在邏輯鏈路中傳輸。1.VPN的概念和系統(tǒng)結(jié)構(gòu)VPN是利用Internet等公共網(wǎng)絡(luò)的基礎(chǔ)設(shè)施，通過隧道技術(shù)，為用戶提供的與專用網(wǎng)絡(luò)具有相同通信功能的安全數(shù)據(jù)通道。其中，“虛擬”是指用戶不需要建立各自專用的物理線路，而是利用Internet等公共網(wǎng)絡(luò)資源和設(shè)備建立一條邏輯上的專用數(shù)據(jù)通道，并實(shí)現(xiàn)與專用數(shù)據(jù)通道相同的通信功能?！皩Ｓ镁W(wǎng)絡(luò)”是指虛擬出來的網(wǎng)絡(luò)并非任何連接在公共網(wǎng)絡(luò)上的用戶都能使用，只有經(jīng)過授權(quán)的用戶才可使用。該通道內(nèi)傳輸?shù)臄?shù)據(jù)經(jīng)過加密和認(rèn)證,可保證傳輸內(nèi)容的完整性和機(jī)密性。IETF草案對基于IP網(wǎng)絡(luò)的VPN的定義為：利用IP機(jī)制模擬的一個專用廣域網(wǎng)。2.4任務(wù)拓展虛擬專用網(wǎng)VPN

2.4任務(wù)拓展虛擬專用網(wǎng)VPNVPN可通過特殊加密通信協(xié)議為Internet上異地企業(yè)內(nèi)網(wǎng)之間建立一條專用通信線路，而無需鋪設(shè)光纜等物理線路。VPN的系統(tǒng)結(jié)構(gòu)如圖2-5所示。

圖2-5VPN的系統(tǒng)結(jié)構(gòu)

2.VPN的技術(shù)特點(diǎn)(1)

安全性高。VPN使用通信協(xié)議、身份驗(yàn)證和數(shù)據(jù)加密三方面技術(shù)保證了通信的安全性。(2)費(fèi)用低廉。遠(yuǎn)程用戶可以利用VPN通過Internet訪問公司局域網(wǎng)，而費(fèi)用僅是傳統(tǒng)網(wǎng)絡(luò)訪問方式的一部分，而且，企業(yè)可以節(jié)省購買和維護(hù)通信設(shè)備的費(fèi)用。(3)管理便利。構(gòu)建VPN不僅只需很少的網(wǎng)絡(luò)設(shè)備及物理線路，而且網(wǎng)絡(luò)管理變得簡單方便。不論分公司或遠(yuǎn)程訪問用戶，都只需要通過一個公用網(wǎng)絡(luò)端口或Internet路徑即可進(jìn)入企業(yè)網(wǎng)絡(luò)。關(guān)鍵是獲得所需的帶寬，網(wǎng)絡(luò)管理的主要工作將由公用網(wǎng)承擔(dān)。

2.4任務(wù)拓展虛擬專用網(wǎng)VPN

(4)靈活性強(qiáng)?？芍С滞ㄟ^各種網(wǎng)絡(luò)的任何類型數(shù)據(jù)流，支持多種類型的傳輸媒介，可以同時滿足傳輸語音、圖像和數(shù)據(jù)等的需求。(5)服務(wù)質(zhì)量佳?？蔀槠髽I(yè)提供不同等級的服務(wù)質(zhì)量（QoS）保證。不同用戶和業(yè)務(wù)對服務(wù)質(zhì)量保證的要求差別較大，如對移動用戶，提供廣泛連接和覆蓋性是保證VPN服務(wù)的一個主要因素。對于擁有眾多分支機(jī)構(gòu)的專線VPN，交互式內(nèi)部企業(yè)網(wǎng)應(yīng)用則要求網(wǎng)絡(luò)能提供良好的穩(wěn)定性。而視頻等其他應(yīng)用則對網(wǎng)絡(luò)提出了更明確的要求，如網(wǎng)絡(luò)時延及誤碼率等，這些網(wǎng)絡(luò)應(yīng)用均要求根據(jù)需要提供不同等級的服務(wù)質(zhì)量。

2.4任務(wù)拓展虛擬專用網(wǎng)VPN

3.VPN的主要實(shí)現(xiàn)技術(shù)VPN是在Internet等公共網(wǎng)絡(luò)基礎(chǔ)上，綜合利用隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和身份認(rèn)證技術(shù)實(shí)現(xiàn)的。1）隧道技術(shù)

隧道技術(shù)是VPN的核心技術(shù)，為一種隱式傳輸數(shù)據(jù)的方法。主要利用已有的Internet等公共網(wǎng)絡(luò)數(shù)據(jù)通信方式，在隧道（虛擬通道）一端將數(shù)據(jù)進(jìn)行封裝，然后通過已建立的隧道進(jìn)行傳輸。在隧道另一端，進(jìn)行解封裝并將還原的原始數(shù)據(jù)交給端設(shè)備。在VPN連接中，可根據(jù)需要創(chuàng)建不同類型的VPN隧道，包括自愿隧道和強(qiáng)制隧道兩種。2）常用加密技術(shù)為了重要數(shù)據(jù)在公共網(wǎng)絡(luò)傳輸?shù)陌踩?，VPN采用了加密機(jī)制。常用的數(shù)據(jù)加密體系主要