《工業(yè)控制系統(tǒng)信息安全技術(shù)與實(shí)踐》課件 第5-7章 工業(yè)防火墻技術(shù)、NAT技術(shù)、數(shù)據(jù)加密技術(shù)及應(yīng)用

工業(yè)防火墻技術(shù)目錄CONTENTS1防火墻原理2工業(yè)防火墻技術(shù)3菲尼克斯安全路由器及防火墻mGuard4本章實(shí)訓(xùn)PART1防火墻原理術(shù)語(yǔ)防火墻的定義防火墻就像是是防止火蔓延的屏障。安全網(wǎng)絡(luò)(LAN)不安全網(wǎng)絡(luò)(Internet,WAN)1.1

防火墻系統(tǒng)概述1.防火墻系統(tǒng)的組成防火墻通常是由專用硬件和相關(guān)軟件組成的一套系統(tǒng)，當(dāng)然也有純軟件的防火墻，比如Windows系統(tǒng)自帶的WindowsDefender防火墻、Linux系統(tǒng)的Iptables等，但純軟件防火墻無論在功能和性能上都不如專用的硬件防火墻。一般來說，防火墻由四大要素組成。（1）防火墻規(guī)則集：在防火墻上定義的規(guī)則列表，是一個(gè)防火墻能否充分發(fā)揮其作用的關(guān)鍵，這些規(guī)則決定了哪些數(shù)據(jù)不能通過防火墻、哪些數(shù)據(jù)可以通過防火墻。（2）內(nèi)部網(wǎng)絡(luò)：需要受保護(hù)的網(wǎng)絡(luò)。（3）外部網(wǎng)絡(luò)：需要防范的外部網(wǎng)絡(luò)。（4）技術(shù)手段：具體的實(shí)施技術(shù)。1.1

防火墻系統(tǒng)概述2.防火墻與OSI參考模型的關(guān)系網(wǎng)絡(luò)接入層網(wǎng)絡(luò)層傳輸層應(yīng)用層第1-2層

第3層第4層第5-7層MAC地址IP地址端口號(hào)EthernetIPTCP/UDPHTTP/FTP等ISO/OSI模型任務(wù)協(xié)議尋址常用TCP端口有：HTTP80、FTP20/21、SSH22、Telnet23、SMTP25、DNS53等；常用UDP端口有：DNS53、BootP67（server）/68（client）、TFTP69、SNMP161等。1.2防火墻規(guī)則集1.防火墻規(guī)則的組成網(wǎng)絡(luò)協(xié)議：如IP、ICMP、TCP、UDP等；發(fā)送方的IP地址；發(fā)送方的端口號(hào)；接收方的IP地址；接收方的端口號(hào)；操作（Action）：定義滿足過濾規(guī)則的數(shù)據(jù)包的處理方式，是被拒絕、丟棄或是允許；日志功能：用來確定是否有一些滿足特殊規(guī)則的數(shù)據(jù)包。1.2防火墻規(guī)則集2.數(shù)據(jù)包的處理方式防火墻對(duì)滿足規(guī)則的數(shù)據(jù)包的處理方式有允許（Accept）、拒絕（Reject）和丟棄（Drop）三種。拒絕（Reject）VS丟棄（Drop），應(yīng)該怎么選？1.2防火墻規(guī)則集3.規(guī)則集的應(yīng)用流程防火墻有輸入（Incoming）和輸出（Outgoing）兩個(gè)方向的規(guī)則集1.2防火墻規(guī)則集防火墻規(guī)則集是是包過濾的基礎(chǔ)；

防火墻規(guī)則列表；

規(guī)則依次序進(jìn)行處理；

首條適用規(guī)則被應(yīng)用；隨后的規(guī)則將被忽略；

規(guī)則次序很重要!1.2防火墻規(guī)則集4.規(guī)則集的應(yīng)用機(jī)制01白名單機(jī)制02黑名單機(jī)制設(shè)置允許的規(guī)則設(shè)置禁止的規(guī)則一般來說，傳統(tǒng)IT防火墻可根據(jù)需要選擇“白名單”或“黑名單”的方式進(jìn)行規(guī)則設(shè)置，而工業(yè)防火墻大多依據(jù)“白名單”設(shè)置規(guī)則。1.2防火墻規(guī)則集4.常見的錯(cuò)誤配置1）順序錯(cuò)誤

2）源端口設(shè)置錯(cuò)誤1.3防火墻分類根據(jù)過濾方式的不同，可以分為:包過濾防火墻

或：訪問控制表(ACL)狀態(tài)檢測(cè)防火墻(SIF)

或:狀態(tài)包檢測(cè)(SPI)應(yīng)用網(wǎng)關(guān)防火墻（AGF）地址轉(zhuǎn)換防火墻基于主機(jī)的防火墻混和防火墻1.3防火墻分類1.包過濾防火墻包過濾防火墻是最簡(jiǎn)單的防火墻。包過濾防火墻工作在OSI的第3層和第4層。一個(gè)包過濾防火墻可以是一臺(tái)有數(shù)據(jù)包過濾能力的路由器。絕大多數(shù)包過濾防火墻支持多種協(xié)議，包括TCP/IP、IPX、AppleTalk、Decnet和第2層的MAC地址以及橋接信息。TCP/IP協(xié)議是現(xiàn)在應(yīng)用最廣泛的協(xié)議。應(yīng)用層表示層傳輸層會(huì)話層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層第7層第6層第5層第4層第3層第2層第1層IP地址端口號(hào)1.3防火墻分類1.包過濾防火墻包過濾規(guī)則：決定哪些包被允許和哪些包被拒絕包過濾防火墻能過濾以下類型的信息:第3層的源和目的地址第3層的協(xié)議信息，如IP、ICMP、OSPF等IP優(yōu)先級(jí)域（服務(wù)類型typeofservice）信息第4層的協(xié)議信息，如TCP、UDP第4層的端口號(hào)，包括TCP和UDP的端口號(hào)TCP控制標(biāo)記，如SYN、ACK、FIN、PSH、RST等1.3防火墻分類1.包過濾防火墻WANLAN允許:TCP端口=80端口:80200端口:21允許:IP地址=2永久防火墻規(guī)則規(guī)則源地址目的地址協(xié)議端口號(hào)操作12任意IP任意允許2任意TCP80允許3任意任意任意任意丟棄XX1.3防火墻分類1.包過濾防火墻

優(yōu)點(diǎn)能以很快的速度處理數(shù)據(jù)包；易于匹配絕大多數(shù)第3層和第4層的信息，在實(shí)施安全策略時(shí)提供許多靈活性；簡(jiǎn)易性和低成本（和其他類型的防火墻相比）。

缺點(diǎn)需要熟悉各種TCP/IP的操作和它們的包頭中的域，否則容易出錯(cuò)；不能阻止應(yīng)用層的攻擊；不能檢測(cè)和阻止某些TCP/IP攻擊，比如TCPSYN洪水和IP欺騙攻擊；不支持用戶的連接認(rèn)證；只有有限的日志功能。1.3防火墻分類1.包過濾防火墻作為第一線防御(邊界路由器)；當(dāng)用包過濾就能完全實(shí)現(xiàn)安全策略，并且認(rèn)證不是問題的時(shí)候；在要求最低安全性，并要考慮成本的SOHO網(wǎng)絡(luò)中。包過濾防火墻已經(jīng)在工業(yè)控制網(wǎng)絡(luò)中普通使用，但其缺陷也慢慢顯現(xiàn)出來。1.3防火墻分類2.狀態(tài)防火墻狀態(tài)防火墻使用一種機(jī)制保持跟蹤連接的狀態(tài)：連接是否處于初始化、數(shù)據(jù)傳輸或終止?fàn)顟B(tài)。特別適用于想拒絕來自外部設(shè)備的連接初始化，但允許內(nèi)部用戶和設(shè)備建立連接，并允許響應(yīng)返回的場(chǎng)景。狀態(tài)檢測(cè)防火墻工作在OSI的第3層、第4層和第5層應(yīng)用層表示層傳輸層會(huì)話層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層第7層第6層第5層第4層第3層第2層第1層WANLANWEB服務(wù)器BWEB服務(wù)器C0狀態(tài)防火墻用戶A狀態(tài)防火墻是如何工作的X規(guī)則源地址目的地址協(xié)議端口號(hào)操作1任意TCP80允許2任意任意任意任意丟棄WANLANWEB服務(wù)器BWEB服務(wù)器C0狀態(tài)防火墻用戶A狀態(tài)防火墻是如何工作的規(guī)則源地址目的地址協(xié)議端口號(hào)操作1任意TCP80允許2任意任意任意任意丟棄1、SYN源端口：10000目的端口：80WANLANWEB服務(wù)器BWEB服務(wù)器C0狀態(tài)防火墻用戶A狀態(tài)防火墻是如何工作的1、SYN1、SYN源端口：10000目的端口：80規(guī)則源地址目的地址協(xié)議端口號(hào)操作10TCP源：80目的：10000允許2任意TCP80允許3任意任意任意任意丟棄WANLANWEB服務(wù)器BWEB服務(wù)器C0狀態(tài)防火墻用戶A狀態(tài)防火墻是如何工作的規(guī)則源地址目的地址協(xié)議端口號(hào)操作10TCP源：80目的：10000允許2任意TCP80允許3任意任意任意任意丟棄2、SYN/ACK一定時(shí)間后規(guī)則失效1.3防火墻分類狀態(tài)防火墻基于狀態(tài)的過濾規(guī)則自動(dòng)生成狀態(tài)包檢測(cè)(SPI)跟蹤安全網(wǎng)絡(luò)傳出的數(shù)據(jù)包狀態(tài)僅接受被請(qǐng)求的響應(yīng)一定時(shí)間后規(guī)則失效UDP：典型的20–40秒TCP:：典型的15–60分

WANLAN臨時(shí)防火墻規(guī)則1.3防火墻分類狀態(tài)防火墻的優(yōu)點(diǎn)狀態(tài)防火墻知曉連接的狀態(tài)狀態(tài)防火墻無須打開很大范圍的端口以允許通信狀態(tài)防火墻能比包過濾防火墻阻止更多類型的DoS攻擊有更豐富的日志功能狀態(tài)防火墻雖然成本稍微高一點(diǎn)，但能提供更多的控制、更智能的包過濾功能、更高的安全性和更好的性能，因而在工業(yè)控制中的應(yīng)用越來越廣泛。1.3防火墻分類狀態(tài)防火墻的局限性需要熟悉各種TCP/IP的操作和它們的包頭中的域，否則容易出錯(cuò)；不能阻止應(yīng)用層的攻擊;不支持用戶的連接認(rèn)證；不是所有的協(xié)議都包含狀態(tài)信息。一些應(yīng)用會(huì)打開多個(gè)連接，其中的一些附加連接需要使用動(dòng)態(tài)端口號(hào)；在維護(hù)狀態(tài)表時(shí)會(huì)涉及到其他開銷。1.3防火墻分類3.應(yīng)用網(wǎng)關(guān)防火墻應(yīng)用網(wǎng)關(guān)防火墻（ApplicationGatewayFirewall，AGF），也叫代理防火墻，工作在OSI的第3、4、5和7層，可以處理第7層應(yīng)用層的數(shù)據(jù)信息，其大多數(shù)控制和過濾的功能是通過軟件實(shí)現(xiàn)的，可以提供更多的功能和安全性，但延時(shí)比包過濾防火墻和狀態(tài)防火墻會(huì)更大一些。AGF通常不能支持所有的應(yīng)用，不能監(jiān)控所有的數(shù)據(jù)流量。AGF可以支持的應(yīng)用包括E-mail、Web服務(wù)、DNS、Telnet、FTP、Usenet新聞、LDAP和Finger等，用戶可以根據(jù)需要選擇AGF支持的應(yīng)用和需要通過它發(fā)送的應(yīng)用。應(yīng)用層表示層傳輸層會(huì)話層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層第7層第6層第5層第4層第3層第2層第1層1.3防火墻分類3.應(yīng)用網(wǎng)關(guān)防火墻與包過濾防火墻和狀態(tài)防火墻相比，AGF有很多優(yōu)點(diǎn)：（1）可以基于用戶進(jìn)行身份驗(yàn)證，而不是設(shè)備，這樣就可以阻止絕大多數(shù)的欺騙攻擊。（2）AGF能檢測(cè)DOS攻擊，減輕在內(nèi)部資源上的負(fù)荷。（3）能監(jiān)控和過濾應(yīng)用層的數(shù)據(jù)，這樣就能檢測(cè)應(yīng)用層的攻擊，如不良的URL、緩存溢出、未授權(quán)的訪問等等，甚至能基于認(rèn)證和授權(quán)信息控制允許用戶執(zhí)行哪些命令和功能。（4）能生成非常詳細(xì)的日志。使用AGF時(shí)，能監(jiān)控用戶發(fā)送的實(shí)際數(shù)據(jù)，這樣當(dāng)黑客進(jìn)行新的攻擊時(shí)，就能監(jiān)控他做什么和他是如何做的，以便能解決這個(gè)問題。日志功能除了用于安全目的之外，還能用于管理目的，如跟蹤誰(shuí)正在訪問哪些資源、多少帶寬被使用、多長(zhǎng)時(shí)間資源被訪問一次。1.3防火墻分類3.應(yīng)用網(wǎng)關(guān)防火墻AGF也存在以下局限性：（1）AGF通常用軟件處理數(shù)據(jù)包，它需要大量的CPU和內(nèi)存資源來處理經(jīng)過它的每個(gè)數(shù)據(jù)包，有時(shí)還會(huì)產(chǎn)生吞吐量瓶頸；詳盡的日志功能會(huì)占用大量的磁盤空間。當(dāng)然，這可以通過讓AGF只監(jiān)控關(guān)鍵應(yīng)用來進(jìn)行緩解。（2）AGF有時(shí)要求在客戶端上安裝廠商指定的軟件，用來處理認(rèn)證過程和任何可能的連接重定向。如果需要AGF支持?jǐn)?shù)千臺(tái)客戶端，這將產(chǎn)生擴(kuò)展性和管理問題。綜上所述，應(yīng)用網(wǎng)關(guān)防火墻可以用在一些對(duì)實(shí)時(shí)性要求不高的場(chǎng)景，不太適用于工業(yè)控制系統(tǒng)。1.3防火墻分類4.主機(jī)防火墻主機(jī)防火墻通常是指部署在工作站或控制器上的軟件防火墻解決方案，用于控制進(jìn)出特定設(shè)備的流量。可根據(jù)工作站或控制器的操作系統(tǒng)和重要程度來選擇合適的免費(fèi)或收費(fèi)的防火墻產(chǎn)品。這種基于主機(jī)的防火墻技術(shù)具有與工業(yè)防火墻類似的能力，包括狀態(tài)包檢測(cè)，用來增強(qiáng)安全方案或?qū)ψ烂嫣峁┢渌Ｗo(hù)。1.3防火墻分類4.主機(jī)防火墻主機(jī)防火墻有以下優(yōu)點(diǎn)：（1）主機(jī)防火墻軟件可以為網(wǎng)絡(luò)內(nèi)部關(guān)鍵的設(shè)備提供額外的保護(hù)，增強(qiáng)設(shè)備的安全性。（2）有的主機(jī)防火墻產(chǎn)品提供用戶認(rèn)證功能，就算網(wǎng)絡(luò)里沒有AGF防火墻，也可以對(duì)訪問資源的用戶進(jìn)行身份認(rèn)證。（3）主機(jī)防火墻的產(chǎn)品很多，有免費(fèi)也有收費(fèi)的，用戶可以根據(jù)安全需求和成本預(yù)算靈活選擇。1.3防火墻分類4.主機(jī)防火墻主機(jī)防火墻有以下局限性：（1）主機(jī)防火墻通常是基于軟件的防火墻，它要求更多的內(nèi)存和CPU資源來處理流量，還要求較大的磁盤空間來保存日志信息。（2）很多主機(jī)防火墻是基本的包過濾防火墻，可以過濾IP地址、TCP和UDP端口號(hào)和ICMP消息，在配置時(shí)必須小心，否則可能產(chǎn)生很多安全問題。（3）主機(jī)防火墻通常只有簡(jiǎn)單的日志功能，無法檢測(cè)應(yīng)用層的攻擊。（4）主機(jī)防火墻一般運(yùn)行在Windows、Linux等商業(yè)操作系統(tǒng)上，這些操作系統(tǒng)自身就存在很多安全問題，所以這些系統(tǒng)上的主機(jī)防火墻比專用的防火墻設(shè)備更容易遭到攻擊。而專用的防火墻設(shè)備通常使用專用的操作系統(tǒng)，這使得它們更難被攻擊。（5）防火墻需要定義適當(dāng)?shù)囊?guī)則才能發(fā)揮其作用，當(dāng)主機(jī)防火墻大規(guī)模使用時(shí)，單單管理規(guī)則集（包括添加、修改和刪除規(guī)則）就已經(jīng)是一個(gè)困難的過程。1.3防火墻分類5.混合防火墻很多防火墻類型和安全特性都被整合到一個(gè)單一的產(chǎn)品中（1）絕大多數(shù)防火墻支持DHCP功能，為網(wǎng)絡(luò)中的客戶端動(dòng)態(tài)分配IP地址等信息，這在SOHO環(huán)境中尤為重要。另外，防火墻可能需要直接連接到ISP，ISP可能使用DHCP或者PPPOE（Point-to-PointProtocoloverEthernet，基于以太網(wǎng)的點(diǎn)對(duì)點(diǎn)協(xié)議）來動(dòng)態(tài)地給防火墻指定地址信息。（2）很多防火墻支持VPN功能，用來在通過不安全網(wǎng)絡(luò)（如Internet）時(shí)加密流量防止信息被竊聽。（3）有些防火墻支持入侵檢測(cè)功能，用來檢測(cè)一些常見的網(wǎng)絡(luò)攻擊，如DoS攻擊、IP欺騙攻擊、SYN泛洪攻擊等，增強(qiáng)安全功能。當(dāng)然，為了能檢測(cè)更多的網(wǎng)絡(luò)威脅和攻擊，應(yīng)該使用專門的入侵檢測(cè)系統(tǒng)方案。（4）很多防火墻還可以作為路由器使用，并支持OSPF、IGRP等多種動(dòng)態(tài)路由選擇協(xié)議。（5）很多防火墻還能管理基于Web的內(nèi)容，如可能包含危險(xiǎn)代碼的Java和ActiveX腳本，有些防火墻甚至能過濾URL信息。1.4防火墻的限制沒有防火墻可以提供100％的安全大多數(shù)的攻擊都來自于內(nèi)部，而防火墻不能夠阻止來自內(nèi)部或者繞過防火墻的數(shù)據(jù)流量的攻擊。防火墻無法防護(hù)端口反彈木馬的攻擊，像灰鴿子之類的木馬或惡意鏈接使用的都是合法的業(yè)務(wù)端口，如80端口。防火墻本身沒有針對(duì)加密通道可信賴性的判斷能力，無法防護(hù)非法通道出現(xiàn)。不能代替入侵檢測(cè)和審計(jì)設(shè)備防火墻無法防護(hù)系統(tǒng)層面的直接漏洞攻擊，無法防護(hù)病毒的侵襲。新的安全漏洞層出不窮，需要通過起草全新的安全措施或擴(kuò)展現(xiàn)有的措施來面對(duì)，所以必須持續(xù)地對(duì)網(wǎng)絡(luò)進(jìn)行安全監(jiān)控。防火墻會(huì)依據(jù)規(guī)則對(duì)流經(jīng)它的數(shù)據(jù)流量進(jìn)行處理，必然會(huì)造成一些延遲，在使用時(shí)應(yīng)充分考慮，尤其是對(duì)實(shí)時(shí)性要求極高的工業(yè)控制網(wǎng)絡(luò)。PART2工業(yè)防火墻技術(shù)2.1工業(yè)防火墻與傳統(tǒng)防火墻的區(qū)別（1）傳統(tǒng)IT防火墻希望吞吐率越高越好，對(duì)轉(zhuǎn)發(fā)率的要求高，而工業(yè)防火墻只要求合適的吞吐率，但對(duì)實(shí)時(shí)性的要求卻非常嚴(yán)格。（2）傳統(tǒng)IT防火墻一般只要求解析和過濾以太網(wǎng)協(xié)議，而工業(yè)防火墻要求解析和過濾各種工業(yè)控制協(xié)議和自定義協(xié)議，具備深度包檢測(cè)功能，比如對(duì)ModbusTCP、OPC、IEC-104、DNP3、PROFINET等工業(yè)協(xié)議的深度解析，甚至包括協(xié)議的指令級(jí)別、寄存器級(jí)別、值域級(jí)別，實(shí)現(xiàn)對(duì)協(xié)議通信內(nèi)容的深度解析、過濾、阻斷、報(bào)警、審計(jì)等各類功能。（3）傳統(tǒng)IT防火墻一般部署在內(nèi)網(wǎng)和外網(wǎng)的位置或其他邊界區(qū)域，而工業(yè)防火墻一般部署在工控網(wǎng)絡(luò)的分層區(qū)域之間。（4）傳統(tǒng)IT防火墻一般使用基于黑名單策略的訪問控制，而工業(yè)防火墻一般使用黑白名單相結(jié)合的防御技術(shù)，既實(shí)現(xiàn)基于工業(yè)漏洞庫(kù)的黑名單被動(dòng)防御功能，又實(shí)現(xiàn)基于智能機(jī)器學(xué)習(xí)引擎的白名單主動(dòng)防御功能。2.1工業(yè)防火墻與傳統(tǒng)防火墻的區(qū)別（5）傳統(tǒng)IT防火墻一般不需要考慮OPC協(xié)議，而工業(yè)防火墻要求支持動(dòng)態(tài)開放OPC協(xié)議端口。（6）傳統(tǒng)IT防火墻通常放置在恒溫、恒濕的標(biāo)準(zhǔn)機(jī)房環(huán)境，工作環(huán)境優(yōu)良，而工業(yè)防火墻一般放置在工業(yè)現(xiàn)場(chǎng)環(huán)境，工作環(huán)境惡劣，比如野外零下幾十度的低溫、潮濕、高原、鹽霧等環(huán)境。工業(yè)防火墻應(yīng)具有嚴(yán)苛的工業(yè)級(jí)硬件技術(shù)要求，實(shí)現(xiàn)高可靠性和穩(wěn)定性，包括故障自恢復(fù)、多電源冗余、全封閉、硬件Bypass、硬件加密、無風(fēng)扇、寬溫支持、支持導(dǎo)軌式或機(jī)架式安裝、低功耗、防塵防輻射等。（7）工業(yè)防火墻支持多種工作模式，保證防火墻區(qū)分部署和工作過程以實(shí)現(xiàn)對(duì)被防護(hù)系統(tǒng)的最小影響。例如，學(xué)習(xí)模式、驗(yàn)證模式或測(cè)試模式、工作模式等。2.2工業(yè)防火墻技術(shù)新特點(diǎn)透明接入技術(shù)：對(duì)用戶是透明的，即潛行模式分布式防火墻技術(shù)：負(fù)責(zé)對(duì)網(wǎng)絡(luò)邊界、各子網(wǎng)和網(wǎng)絡(luò)內(nèi)部各節(jié)點(diǎn)之間的安全防護(hù)，分布式防火墻是一個(gè)完整的系統(tǒng)，而不是單一的產(chǎn)品。網(wǎng)絡(luò)防火墻主機(jī)防火墻中心管理智能型防火墻技術(shù)：融合智能機(jī)器學(xué)習(xí)技術(shù)、深度數(shù)據(jù)包解析技術(shù)、特征匹配技術(shù)、黑白名單相結(jié)合的防御技術(shù)等多項(xiàng)技術(shù)，實(shí)現(xiàn)對(duì)多種工控網(wǎng)絡(luò)協(xié)議數(shù)據(jù)的檢查、過濾、報(bào)警、阻斷。2.3工業(yè)防火墻的具體服務(wù)規(guī)則域名解析系統(tǒng)（DNS）：控制網(wǎng)絡(luò)很少使用超文本傳輸協(xié)議（HTTP）：控制網(wǎng)應(yīng)用HTTPS文件傳輸協(xié)議（FTP）和簡(jiǎn)單文件傳輸協(xié)議（TFTP）：禁止TFTP，僅在安全情況下使用FTP。盡量使用較安全的SFTP和SCP。用于遠(yuǎn)程連接服務(wù)的標(biāo)準(zhǔn)協(xié)議（Telnet）：禁止從公司網(wǎng)進(jìn)入控制網(wǎng)的入站Telnet，出站Telnet僅在加密通道（如VPN）中使用，用于訪問某些設(shè)備。簡(jiǎn)單郵件傳輸協(xié)議（SMTP）：禁止入站郵件，允許出站SMTP從控制網(wǎng)到公司發(fā)送警告信息。簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP）：控制網(wǎng)不建議用分布式組件對(duì)象模型（DCOM)：只允許在控制網(wǎng)和DMZ網(wǎng)絡(luò)之間使用SCADA與工業(yè)網(wǎng)絡(luò)協(xié)議：只允許在控制網(wǎng)使用2.4工業(yè)防火墻的安全策略（1）不僅僅依靠網(wǎng)絡(luò)層來進(jìn)行數(shù)據(jù)過濾，如果可能的話盡可能綜合使用網(wǎng)絡(luò)層、傳輸層和應(yīng)用層數(shù)據(jù)過濾技術(shù)。（2）嚴(yán)格遵守最小權(quán)限原則。（3）使用白名單設(shè)置防火墻過濾規(guī)則，也就是在缺省情況下的任何網(wǎng)絡(luò)連接，只有符合白名單設(shè)置規(guī)則的數(shù)據(jù)流可以允許通過。工控系統(tǒng)要求嚴(yán)格限制內(nèi)外網(wǎng)通信，所以允許建立網(wǎng)絡(luò)連接的規(guī)則較少，建立和維護(hù)白名單相對(duì)傳統(tǒng)信息網(wǎng)絡(luò)環(huán)境更為可行。（4）在部署防火墻保護(hù)邊界安全的時(shí)候，需要認(rèn)證評(píng)估對(duì)控制系統(tǒng)網(wǎng)絡(luò)通信延遲的影響。（5）注意賬號(hào)管理的安全，設(shè)置密碼和賬戶策略，避免出現(xiàn)弱口令和長(zhǎng)時(shí)間不修改等問題。（6）關(guān)閉不必要的服務(wù)及應(yīng)用，如TELNET、HTTP、PING、SNMP等，使用SSH進(jìn)行遠(yuǎn)程登錄管理。PART3菲尼克斯安全路由器及防火墻mGuard3.1mGuard概述為了讓學(xué)生更好地學(xué)習(xí)工控安全知識(shí)，學(xué)?；ň拶Y搭建了工業(yè)自動(dòng)化信息安全實(shí)驗(yàn)室，引進(jìn)了菲尼克斯電氣公司推出的專業(yè)工業(yè)安全產(chǎn)品，包括工業(yè)PROFINET交換機(jī)、智能防火墻路由器、PLC、無線WLAN、DIO/AIO模塊、信息安全攻防服務(wù)器等。智能防火墻有多達(dá)250個(gè)IPsec加密的VPN通道，安全裝置功能全面。為可用性要求高的場(chǎng)合和復(fù)雜的安全架構(gòu)提供較高安全性。其中核心產(chǎn)品是智能防火墻mGuard，它是由工業(yè)安全路由器和防火墻組成的網(wǎng)絡(luò)組件產(chǎn)品，集路由器、防火墻、NAT、VPN等功能于一體，適合各種應(yīng)用，旨在實(shí)現(xiàn)最高的系統(tǒng)安全性和可用性，幫助客戶守護(hù)工業(yè)網(wǎng)絡(luò)安全。3.1mGuard概述FLMGUARDRS4004TX/DTXVPN

FLMGUARDSMART2VPNFLMGUARDGT/GTVPN工業(yè)自動(dòng)化信息安全實(shí)驗(yàn)室引進(jìn)的工業(yè)防火墻：3.1mGuard概述1.mGuard的基本功能不同的防護(hù)模式：?jiǎn)我粷撔心Ｊ?多重潛行模式/路由模式基于WEB的配置界面NAT/1:1NAT/IP和端口轉(zhuǎn)發(fā)VPN防火墻支持SNMP固件升級(jí)OPC檢查器CIFS完整性監(jiān)測(cè)冗余功能3.1mGuard概述2.mGuard上的指示燈P1：綠燈常亮，電源指示燈；P2：綠燈常亮，電源指示燈；Stat：綠燈閃爍，心跳燈，說明設(shè)備正常工作；Err：紅燈閃爍，說明出現(xiàn)系統(tǒng)錯(cuò)誤，可嘗試重啟設(shè)備，或者切斷電源再重新連接；如果仍舊無法解決，則可聯(lián)系供應(yīng)商。Stat+Err：綠燈紅燈交替閃爍，說明正在啟動(dòng)進(jìn)程中；Mod：綠燈常亮，說明正在通過modem連接；Info：說明已建立配置的VPN連接，或激活了定義的防火墻規(guī)則記錄3.2mGuard相關(guān)配置進(jìn)入mGuard的配置頁(yè)面https://https://其他配置的IP默認(rèn)情況下，只能利用LAN口地址進(jìn)行Web配置界面，若想使用其他接口地址遠(yuǎn)程連接，必須單擊左側(cè)菜單的Management>>WebSettings，切換到Access選項(xiàng)卡，啟用HTTPSremoteaccess。3.2mGuard相關(guān)配置1.mGuard的重置第一種方法緩慢按下復(fù)位按鈕六次>大約2秒后，STAT燈將亮起綠色；再次緩慢按下復(fù)位按鈕六次>如果成功，STATLED將亮起綠色>如果不成功，ERRLED將亮起紅色如果成功，設(shè)備將在兩秒鐘后重新啟動(dòng)，切換到潛行模式。重置后，固件版本為8.4.0及以上的MGuard將丟失配置，固件版本為8.4.0之前的MGuard只需重置IP地址和登錄密碼。復(fù)位按鈕3.2mGuard相關(guān)配置1.mGuard的重置第二種方法3.2mGuard相關(guān)配置2.mGuard的網(wǎng)絡(luò)配置mGuard要發(fā)揮作用，必須根據(jù)網(wǎng)絡(luò)拓?fù)溥M(jìn)行正確的網(wǎng)絡(luò)配置和路由配置。1）網(wǎng)絡(luò)模式設(shè)置2）接口地址及路由設(shè)置3.2mGuard相關(guān)配置3.mGuard的防火墻相關(guān)功能配置1）設(shè)置防火墻規(guī)則集

3.2mGuard相關(guān)配置3.mGuard的防火墻相關(guān)功能配置2）使用規(guī)則記錄簡(jiǎn)化配置可以將各個(gè)防火墻規(guī)則匯總在規(guī)則記錄（RuleRecords）中，然后在防火墻規(guī)則中使用這些規(guī)則記錄來簡(jiǎn)化配置。舉例：有下面的網(wǎng)絡(luò)，允許通過網(wǎng)絡(luò)服務(wù)FTP、Telnet和HTTPS對(duì)內(nèi)部網(wǎng)絡(luò)中的三臺(tái)特定服務(wù)器進(jìn)行外部訪問，禁止從外部網(wǎng)絡(luò)（WAN）訪問所有其他服務(wù)和網(wǎng)絡(luò)地址，需要?jiǎng)?chuàng)建多少條防火墻規(guī)則？

3.2mGuard相關(guān)配置3.mGuard的防火墻相關(guān)功能配置2）使用規(guī)則記錄簡(jiǎn)化配置mGuard支持兩種類型的規(guī)則記錄（1）“服務(wù)器”規(guī)則記錄：對(duì)服務(wù)器進(jìn)行匯總（2）“服務(wù)”規(guī)則記錄：對(duì)網(wǎng)絡(luò)服務(wù)進(jìn)行匯總使用規(guī)則記錄的步驟：（1）創(chuàng)建規(guī)則記錄：NetworkSecurity>>PacketFilter>>RuleRecords（2）使用規(guī)則記錄：IncomingRules或OutgoingRules

3.2mGuard相關(guān)配置（1）“服務(wù)器”規(guī)則記錄要?jiǎng)?chuàng)建規(guī)則記錄，請(qǐng)按照下列步驟操作：登錄到mGuard設(shè)備的Web界面；轉(zhuǎn)到NetworkSecurity>>PacketFilter>>RuleRecords；創(chuàng)建一個(gè)名為Server的新規(guī)則記錄，然后單擊“EditRow”圖標(biāo)；按照下圖配置規(guī)則記錄。

3.2mGuard相關(guān)配置（1）“服務(wù)器”規(guī)則記錄要在防火墻規(guī)則中使用規(guī)則記錄，請(qǐng)按照下列步驟操作：登錄到mGuard設(shè)備的Web界面；轉(zhuǎn)到NetworkSecurity>>PacketFilter；在“IncomingRules”選項(xiàng)卡中，選擇“Usethefirewallrulesetbelow”。根據(jù)下圖創(chuàng)建三個(gè)防火墻規(guī)則。

3.2mGuard相關(guān)配置（2）“服務(wù)”規(guī)則記錄：除了服務(wù)器IP地址，還可以在規(guī)則記錄中匯總網(wǎng)絡(luò)服務(wù)，并在防火墻規(guī)則中使用它們。

案例3使用防火墻規(guī)則記錄簡(jiǎn)化配置（2）“服務(wù)”規(guī)則記錄除了服務(wù)器IP地址，還可以在規(guī)則記錄中匯總網(wǎng)絡(luò)服務(wù)，并在防火墻規(guī)則中使用它們使用服務(wù)規(guī)則記錄3.2mGuard相關(guān)配置3.mGuard的防火墻相關(guān)功能配置3）設(shè)置深度包檢測(cè)功能OPC通過TCP端口135建立OPC連接，但之后進(jìn)行數(shù)據(jù)交換的端口是動(dòng)態(tài)變化的。這就要求工控網(wǎng)絡(luò)中防火墻上的所有端口都必須打開才能實(shí)現(xiàn)OPC客戶機(jī)和服務(wù)器的通訊，但開放所有端口會(huì)造成極大的安全隱患。設(shè)置了OPC深度包檢測(cè)功能，則防火墻只需開放TCP端口135即可，OPC深度監(jiān)測(cè)可動(dòng)態(tài)追蹤端口，自行開放相應(yīng)端口。3.2mGuard相關(guān)配置4.用戶防火墻可以通過用戶防火墻（UserFirewall）來啟用針對(duì)特定的防火墻用戶（FirewallUser）或用戶組的防火墻規(guī)則（防火墻用戶或用戶組提前定義）。用戶防火墻適用于靜態(tài)配置的通用防火墻規(guī)則（如IncomingRules、OutgoingRules）不允許訪問目標(biāo)，但允許防火墻用戶登錄后動(dòng)態(tài)訪問。用戶防火墻規(guī)則優(yōu)先于其他位置配置的規(guī)則，并在適用時(shí)覆蓋這些規(guī)則。配置步驟：創(chuàng)建所需的防火墻用戶或用戶組創(chuàng)建用戶防火墻模板以防火墻用戶的身份登錄mGuard，激活用戶防火墻規(guī)則PART4本章實(shí)訓(xùn)4.1基于潛行模式的防火墻mGuard設(shè)置為Stealth模式，對(duì)PC1進(jìn)行保護(hù)，避免其受到ARP攻擊。4.1基于潛行模式的防火墻步驟1：按拓?fù)溥B線，并配置PC1和PC2的IP地址（注意兩臺(tái)電腦IP在同一網(wǎng)段）。步驟2：進(jìn)入mGuard，將NetworkMode改成Stealth>>Multupleclients即為隱藏模式，WAN口與LAN口下的設(shè)備在同一網(wǎng)段，MGUARD所起的作用僅為防火墻，并設(shè)置潛行模式的管理IP。4.1基于潛行模式的防火墻步驟3：在PC2上開啟ARP攻擊，（若用ArpSpoof，可用WIRESHARK查看目標(biāo)地址），此時(shí)抓包可看到大量ARP包。在PC1上開啟抓包，同樣可看到大量從PC2發(fā)出的ARP攻擊包。4.1基于潛行模式的防火墻步驟4：關(guān)閉ARP攻擊。登陸mGuard，進(jìn)入NetworkSecurity>>Packetfilter中，將MACFiltering中添加如下一行（注意：此處就輸入步驟3查看到的目標(biāo)地址）4.1基于潛行模式的防火墻步驟5：配置了MACFiltering，若過濾的地址是F，則通過ARP學(xué)習(xí)MAC地址的功能將無法正常工作，此時(shí)需手動(dòng)在PC2上設(shè)置靜態(tài)的MAC地址表，設(shè)置方式如下：在PC1上，打開命令提示符，輸入ipconfig/all，查看IP地址與MAC地址。在PC2上，以管理員身份運(yùn)行CMD，打開命令提示符?？梢杂胊rp-a查看ARP緩存，如果還有PC1的記錄，可用arp-d*刪除PINGPC1，看是否能通？輸入netshiishowin，查看與PC1通訊的網(wǎng)卡對(duì)應(yīng)的IDX號(hào)輸入netsh-c“ii”addneighbors209c-5a-44-25-e8-7f，手工添加靜態(tài)映射關(guān)系。（PC1的

IP地址為0，MAC地址為9c-5a-44-25-e8-7f）再用arp-a查看ARP表，可以看到PC1的IP地址與MAC地址的靜態(tài)映射已經(jīng)添加成功。4.1基于潛行模式的防火墻步驟5：配置了MACFiltering，若過濾的地址是F，則通過ARP學(xué)習(xí)MAC地址的功能將無法正常工作，此時(shí)需手動(dòng)在PC2上設(shè)置靜態(tài)的MAC地址表，設(shè)置方式如下：4.1基于潛行模式的防火墻步驟6：若不設(shè)置靜態(tài)地址表，則PC2無法訪問PC1，因無法解析MAC地址，無法生成MAC地址表，設(shè)置完后，PC2即可正常訪問PC1。步驟7：在PC2上開啟ARP攻擊且開啟抓包軟件，可發(fā)現(xiàn)系統(tǒng)中大量ARP包存在，同時(shí)在PC1上開啟抓包，會(huì)發(fā)現(xiàn)PC1中不再有ARP攻擊存在。4.2從公司網(wǎng)絡(luò)訪問內(nèi)部生產(chǎn)網(wǎng)絡(luò)生產(chǎn)網(wǎng)絡(luò)（內(nèi)部網(wǎng)絡(luò)）和公司網(wǎng)絡(luò)（外部網(wǎng)絡(luò)）通過mGuard路由器連接。要求：配置防火墻，只允許PC1從公司網(wǎng)絡(luò)訪問生產(chǎn)網(wǎng)絡(luò)中的PLC的Web界面，并且PLC能響應(yīng)發(fā)送給它的ping請(qǐng)求4.2從公司網(wǎng)絡(luò)訪問內(nèi)部生產(chǎn)網(wǎng)絡(luò)步驟1：按拓?fù)溥B線，并使公司網(wǎng)絡(luò)的所有PC可以訪問內(nèi)部生產(chǎn)網(wǎng)絡(luò)的PLC。配置好PC和PLC的IP地址。進(jìn)入mGuard配置界面，設(shè)置mGuard為路由器模式，并根據(jù)拓?fù)錇閙Guard配置正確的LAN口地址和WAN口地址，防火墻配置為AcceptAllConnections。在MGUARD2上，配置AdditionalInternalRoutes。驗(yàn)證連通性：在PC1和PC2上可以訪問PLC的Web界面，并且能ping通PLC。4.2從公司網(wǎng)絡(luò)訪問內(nèi)部生產(chǎn)網(wǎng)絡(luò)步驟2：可以按下面的步驟配置防火墻規(guī)則：1)登錄到mGuard1的Web界面（54）；2)轉(zhuǎn)到NetworkSecurity>>PacketFilter>>IncomingRules；3)創(chuàng)建兩個(gè)防火墻規(guī)則4.3使用用戶防火墻啟用對(duì)外部網(wǎng)絡(luò)的訪問可以通過創(chuàng)建用戶防火墻來啟用針對(duì)于特定用戶或用戶組的防火墻規(guī)則，這些規(guī)則僅適用于已定義的防火墻用戶或用戶組。適用于靜態(tài)配置的防火墻規(guī)則不允許訪問目標(biāo)，而允許防火墻用戶登錄后動(dòng)態(tài)訪問目標(biāo)的場(chǎng)景。用戶防火墻規(guī)則優(yōu)先于其他位置配置的防火墻規(guī)則（例如Incoming/Outgoing規(guī)則），并在適用時(shí)覆蓋這些規(guī)則。操作步驟：創(chuàng)建防火墻用戶（Authentication>>FirewallUsers）；使用防火墻規(guī)則創(chuàng)建用戶防火墻模板（NetworkSecurity>>UserFirewall）；啟用用戶防火墻；以防火墻用戶身份登錄。4.3使用用戶防火墻啟用對(duì)外部網(wǎng)絡(luò)的訪問舉例，下面的網(wǎng)絡(luò)，通過NAT（IP偽裝）啟用了從生產(chǎn)網(wǎng)絡(luò)（內(nèi)部）到公司網(wǎng)絡(luò)（外部）的訪問，同時(shí)，通用防火墻規(guī)則（傳出規(guī)則）禁止從生產(chǎn)網(wǎng)絡(luò)到公司網(wǎng)絡(luò)的所有訪問流量?？梢酝ㄟ^配置用戶防火墻，使防火墻用戶USERA可以從內(nèi)部生產(chǎn)網(wǎng)絡(luò)訪問公司網(wǎng)絡(luò)的WEB服務(wù)器（WEB服務(wù)器用PLC2來代替）。4.3使用用戶防火墻啟用對(duì)外部網(wǎng)絡(luò)的訪問步驟1按照拓?fù)溥M(jìn)行網(wǎng)絡(luò)連接，并更改PC1、PC2和PC3的IP設(shè)置。步驟2禁用無線網(wǎng)卡，并打開控制面板->系統(tǒng)和安全，點(diǎn)擊“啟用或關(guān)閉WindowsDefender防火墻”，關(guān)閉Windows防火墻。步驟3

對(duì)MGUARD進(jìn)行復(fù)位操作，并按照拓?fù)鋱D配置MGUARD的LAN口和WAN口的地址。步驟4

配置IP偽裝，并將防火墻配置為AcceptAllConnections。步驟5驗(yàn)證網(wǎng)絡(luò)的連通性：此時(shí)生產(chǎn)網(wǎng)絡(luò)和公司網(wǎng)絡(luò)的所有設(shè)備應(yīng)該都能相互通訊。4.3使用用戶防火墻啟用對(duì)外部網(wǎng)絡(luò)的訪問步驟6配置通用防火墻規(guī)則（傳出規(guī)則）禁止從生產(chǎn)網(wǎng)絡(luò)到公司網(wǎng)絡(luò)的所有訪問流量。在PC1上驗(yàn)證能否訪問PLC2的WEB界面。此時(shí)應(yīng)該無法訪問！生產(chǎn)網(wǎng)絡(luò)的所有設(shè)備都無法訪問公司網(wǎng)絡(luò)！4.3使用用戶防火墻啟用對(duì)外部網(wǎng)絡(luò)的訪問步驟7：轉(zhuǎn)到Authentication>>FirewallUsers，創(chuàng)建防火墻用戶4.3使用用戶防火墻啟用對(duì)外部網(wǎng)絡(luò)的訪問步驟8：轉(zhuǎn)到NetworkSecurity>>UserFirewall，創(chuàng)建用戶防火墻模板4.3使用用戶防火墻啟用對(duì)外部網(wǎng)絡(luò)的訪問步驟9：在PC1上以防火墻用戶身份登錄mGuard設(shè)備，激活防火墻規(guī)則。步驟10：在PC1上驗(yàn)證能否訪問PLC2的WEB界面。此時(shí)只有PC1可以訪問PLC2的WEB界面！生產(chǎn)網(wǎng)絡(luò)的其他設(shè)備都無法訪問公司網(wǎng)絡(luò)！4.4使用用戶防火墻限制對(duì)內(nèi)網(wǎng)設(shè)備的訪問工作站

服務(wù)器生產(chǎn)防火墻控制器現(xiàn)場(chǎng)設(shè)備受控訪問

辦公室第三方公司的維護(hù)工程師

用戶防火墻限制第三方的服務(wù)工程師對(duì)內(nèi)部網(wǎng)絡(luò)的訪問?？蓪?duì)防火墻進(jìn)行配置，使得服務(wù)工程師只能訪問其工作所需要的設(shè)備，對(duì)所有其它設(shè)備的訪問都將封掉。服務(wù)工程師的筆記本連接到FLMGUARD的外部端口，并且由FLMGUARD通過DHCP分配網(wǎng)絡(luò)地址。然后，他或者她使用名字登錄到FLMGUARD的Web接口，激活一組預(yù)定義的防火墻規(guī)則。這組規(guī)則將僅允許從通過DHCP分配得到的IP地址到生產(chǎn)網(wǎng)絡(luò)中選定的目的地的訪問。如果需要，F(xiàn)LMGUARD能記錄服務(wù)工程師的活動(dòng)。4.4使用用戶防火墻限制對(duì)內(nèi)網(wǎng)設(shè)備的訪問生產(chǎn)網(wǎng)絡(luò)（內(nèi)部網(wǎng)絡(luò)）和公司網(wǎng)絡(luò)（外部網(wǎng)絡(luò)）通過mGuard路由器連接。要求：配置DHCP，使服務(wù)工程師PC3自動(dòng)獲得網(wǎng)絡(luò)配置。對(duì)防火墻進(jìn)行配置，使得PC3只能訪問他所需維護(hù)的設(shè)備PLC1，不能訪問其它任何設(shè)備。4.4使用用戶防火墻限制對(duì)內(nèi)網(wǎng)設(shè)備的訪問步驟1：根據(jù)網(wǎng)絡(luò)拓?fù)?，配置MGUARD及其他設(shè)備，并將防火墻配置為AcceptAllConnections，使生產(chǎn)網(wǎng)絡(luò)（內(nèi)部網(wǎng)絡(luò)）和公司網(wǎng)絡(luò)（外部網(wǎng)絡(luò)）能相互通信。步驟2：配置MGUARD為DHCP服務(wù)器，并配置相關(guān)選項(xiàng)。4.4使用用戶防火墻限制對(duì)內(nèi)網(wǎng)設(shè)備的訪問步驟3：配置MGUARD1，使用戶可通過WAN口對(duì)其進(jìn)行HTTPSWEB訪問。4.4使用用戶防火墻限制對(duì)內(nèi)網(wǎng)設(shè)備的訪問步驟4：配置MGUARD1的防火墻，拒絕第三方服務(wù)工程師訪問生產(chǎn)網(wǎng)絡(luò)的任何設(shè)備，但允許公司網(wǎng)絡(luò)中的其他設(shè)備訪問生產(chǎn)網(wǎng)絡(luò)。步驟5：驗(yàn)證網(wǎng)絡(luò)的連通性。此時(shí)第三方服務(wù)工程師PC3無法訪問生產(chǎn)網(wǎng)絡(luò)的任何設(shè)備，公司網(wǎng)絡(luò)中的其他設(shè)備可以訪問生產(chǎn)網(wǎng)絡(luò)！4.4使用用戶防火墻限制對(duì)內(nèi)網(wǎng)設(shè)備的訪問步驟6：轉(zhuǎn)到Authentication>>FirewallUsers，為第三方服務(wù)工程師創(chuàng)建防火墻用戶，并允許其通過WAN口訪問。4.4使用用戶防火墻限制對(duì)內(nèi)網(wǎng)設(shè)備的訪問步驟6：轉(zhuǎn)到NetworkSecurity>>UserFirewall，創(chuàng)建用戶防火墻模板或114.4使用用戶防火墻限制對(duì)內(nèi)網(wǎng)設(shè)備的訪問步驟7：將PC3接入公司網(wǎng)絡(luò)，并設(shè)置為自動(dòng)獲取IP地址。步驟8：在PC3上以防火墻用戶身份登錄mGuard設(shè)備，激活防火墻規(guī)則。步驟9：在PC3上驗(yàn)證能否訪問PLC1的WEB界面，能否訪問生產(chǎn)網(wǎng)絡(luò)的其他設(shè)備。此時(shí)第三方服務(wù)工程師PC3只能訪問PLC1的WEB界面，無法訪問生產(chǎn)網(wǎng)絡(luò)的任何設(shè)備！感謝觀看NAT網(wǎng)絡(luò)地址轉(zhuǎn)換目錄CONTENTS1NAT原理2利用菲尼克斯MGUARD實(shí)現(xiàn)NAT3本章實(shí)訓(xùn)PART1NAT原理LANInternet接入Internet的設(shè)備越來越多，43億個(gè)IPv4地址即將耗盡，為設(shè)備分配地址以允許通信成了一個(gè)問題。長(zhǎng)期解決方案是IPv6IETF提供了兩個(gè)短期解決方案RFC1918的私有IPv4地址RFC1631的網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）NAT技術(shù)相關(guān)原理1.1專用私有地址RFC1918規(guī)定的專用私有地址任何公司或企業(yè)都可以使用相同的私有地址私有IPv4地址不能通過Internet路由類地址A-55B-55C-551.1專用私有地址重疊的地址Internet/WAN服務(wù)器B服務(wù)器CLAN邊界路由器用戶A00LAN邊界路由器公司A/8公司B/8私有IPv4地址造成的問題1.2網(wǎng)絡(luò)地址轉(zhuǎn)換RFC1631定義了網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation，NAT），將數(shù)據(jù)包中的地址信息從一個(gè)地址轉(zhuǎn)換為另一個(gè)地址。NAT一般用來將私有地址轉(zhuǎn)換到公共地址，反之亦可。Internet/WAN服務(wù)器B服務(wù)器CLAN地址轉(zhuǎn)換設(shè)備用戶A00LAN地址轉(zhuǎn)換設(shè)備公司A/8公司B/81.2網(wǎng)絡(luò)地址轉(zhuǎn)換以下情況可能需要使用NAT：當(dāng)前的ISP只給我們分配了有限數(shù)目的公共地址，這些地址不足以分配給所有的設(shè)備；當(dāng)前有足夠的公共地址，但正在換ISP，新的ISP將不支持老的公共地址空間；需要合并兩個(gè)網(wǎng)絡(luò)，但它們使用相同的地址空間；正在使用給別人分配的公共地址；用一個(gè)虛擬IP地址來代表多個(gè)設(shè)備來實(shí)現(xiàn)負(fù)載平衡；隱藏內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，保護(hù)內(nèi)部網(wǎng)絡(luò)，并對(duì)進(jìn)出網(wǎng)絡(luò)的流量有更好的控制。1.2網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的優(yōu)點(diǎn)：只需使用少量的公有地址，就可以讓整個(gè)企業(yè)所有需要上網(wǎng)的設(shè)備連上互聯(lián)網(wǎng)，內(nèi)部網(wǎng)絡(luò)可以使用1個(gè)A類地址、16個(gè)B類地址和256個(gè)C類地址，總共超過一千七百萬(wàn)個(gè)地址，而且不同網(wǎng)絡(luò)可以同時(shí)使用這些私有地址；增強(qiáng)了與公有網(wǎng)絡(luò)連接的靈活性。如果更換ISP，只需要改變地址轉(zhuǎn)換設(shè)備上的地址轉(zhuǎn)換規(guī)則，而無須改變內(nèi)部網(wǎng)絡(luò)各個(gè)設(shè)備的地址；對(duì)外部隱藏網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，提高了網(wǎng)絡(luò)安全性。如果在離開網(wǎng)絡(luò)時(shí)私有地址沒有被轉(zhuǎn)換，ISP將會(huì)丟棄帶有這些私有地址的數(shù)據(jù)包，這使我們對(duì)離開網(wǎng)絡(luò)的流量有更嚴(yán)格的控制。1.2網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的缺點(diǎn)：NAT更改地址信息，重新計(jì)算校驗(yàn)和，會(huì)影響網(wǎng)絡(luò)性能；需轉(zhuǎn)換的設(shè)備越多，NAT設(shè)備的負(fù)擔(dān)越重，可能會(huì)產(chǎn)生擴(kuò)展性問題；NAT可以提供更堅(jiān)固的安全，但同時(shí)也隱藏了被轉(zhuǎn)換設(shè)備的身份，使問題排查更困難；跟蹤攻擊源更困難，尤其是經(jīng)過多次NAT轉(zhuǎn)換之后；許多互聯(lián)網(wǎng)協(xié)議和應(yīng)用程序取決于從源到目的地的端到端尋址，NAT會(huì)導(dǎo)致端到端尋址的丟失，這使某些應(yīng)用程序不能與NAT配合使用，如數(shù)字簽名；使隧道協(xié)議（如IPsec）更加復(fù)雜，因?yàn)镹AT會(huì)修改報(bào)頭的值，從而干擾IPsec和其他隧道協(xié)議執(zhí)行的完整性檢查。PART2利用菲尼克斯MGUARD實(shí)現(xiàn)NATMGUARD實(shí)現(xiàn)NAT的三種方式2.1IP偽裝可將內(nèi)部專用網(wǎng)的所有地址映射成單個(gè)公有（動(dòng)態(tài)）IP地址，讓內(nèi)部網(wǎng)絡(luò)的多個(gè)設(shè)備使用一個(gè)和多個(gè)公有IP地址來連接互聯(lián)網(wǎng)。端口號(hào)50001

端口號(hào)500020端口號(hào)50003

端口號(hào)500045端口號(hào)500050分配表Internet(動(dòng)態(tài)地址)005缺點(diǎn)：因特網(wǎng)上的用戶無法訪問到內(nèi)部專用網(wǎng)上的計(jì)算機(jī)。2.2端口轉(zhuǎn)發(fā)可以讓用戶通過Internet訪問內(nèi)部網(wǎng)絡(luò)上使用私有地址的專門設(shè)備上，而且可以使用不同的端口號(hào)。端口轉(zhuǎn)發(fā)規(guī)則取代防火墻規(guī)則->無需配置其他防火墻規(guī)則內(nèi)部網(wǎng)絡(luò)中的Web服務(wù)器00可以通過URLhttps://4:80訪問2.31:1NAT使用1:1NAT來實(shí)現(xiàn)地址轉(zhuǎn)換，在mGuard上配置虛擬IP地址來轉(zhuǎn)換目標(biāo)IP地址，可以實(shí)現(xiàn)一對(duì)一的映射，也可以實(shí)現(xiàn)多對(duì)多的映射。1、使用1:1NAT映射公有IP2、利用1:1NAT解決標(biāo)準(zhǔn)機(jī)器的問題使用1:1NAT映射公有IP將內(nèi)部專用網(wǎng)絡(luò)中需要被互聯(lián)網(wǎng)用戶訪問的設(shè)備地址一對(duì)一映射到給指定的公共IP地址，MGUARD負(fù)責(zé)維護(hù)一對(duì)一的映射表。僅和內(nèi)部專用網(wǎng)中其它計(jì)算機(jī)進(jìn)行通信的計(jì)算機(jī)不需要公共IP地址。Internet分配表005

550000一對(duì)一的分配意味著內(nèi)部網(wǎng)絡(luò)的設(shè)備不僅有能力訪問因特網(wǎng)，還能從因特網(wǎng)上被訪問到。但是，內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)對(duì)外界仍保持隱藏。利用1:1NAT解決標(biāo)準(zhǔn)機(jī)器的問題192.168.2.0/24上一層網(wǎng)絡(luò)192.168.2.0/24=利用1:1NAT解決標(biāo)準(zhǔn)機(jī)器的問題利用1:1NAT解決標(biāo)準(zhǔn)機(jī)器的問題通過1:1NAT功能，使用虛擬地址具有以下優(yōu)越性：無需單獨(dú)配置；無需對(duì)機(jī)器作修改→無制造商的保修損失；直接的故障排除；提高有效性。PART3本章實(shí)訓(xùn)3.1配置IP偽裝配置IP偽裝，用一個(gè)IP地址隱藏整個(gè)網(wǎng)絡(luò)，所有來自網(wǎng)段的數(shù)據(jù)經(jīng)MGUARD轉(zhuǎn)發(fā)后，數(shù)據(jù)的原地址被替換為MGUARD的地址。3.1配置IP偽裝步驟1按照拓?fù)溥M(jìn)行網(wǎng)絡(luò)連接，并更改PC1、PC2和PC3的IP設(shè)置。步驟2禁用無線網(wǎng)卡。步驟3打開控制面板->系統(tǒng)和安全，點(diǎn)擊“啟用或關(guān)閉WindowsDefender防火墻”，關(guān)閉Windows防火墻。步驟4對(duì)MGUARD進(jìn)行復(fù)位操作，之后連接到MGUARD，按照拓?fù)鋱D配置MGUARD的LAN口和WAN口地址。請(qǐng)問：此時(shí)在PC3上pingPC2，能通嗎？如果不通，需做哪些調(diào)整？3.1配置IP偽裝步驟5在PC3上pingPC2，并在PC2上用wireshark捕獲數(shù)據(jù)包。3.1配置IP偽裝步驟5配置IP偽裝。3.1配置IP偽裝步驟6重新在PC3上pingPC2，并在PC2上用wireshark捕獲數(shù)據(jù)包，查看數(shù)據(jù)包的源地址。3.2配置端口轉(zhuǎn)發(fā)假設(shè)PC2為Internet上的主機(jī)，配置端口轉(zhuǎn)發(fā)，使PC2能通過MGUARD的WAN口地址訪問內(nèi)網(wǎng)的WEB服務(wù)器（在此用PLC來代替，即使PC2能用訪問PLC1）。3.2配置端口轉(zhuǎn)發(fā)步驟1

按照拓?fù)溥M(jìn)行網(wǎng)絡(luò)連接，并更改PC1和PC2的IP設(shè)置。步驟2設(shè)置PLC1的IP地址為00/24，網(wǎng)關(guān)為。此時(shí)，在PC1上輸入00，可以打開PLC1的歡迎頁(yè)。3.2配置端口轉(zhuǎn)發(fā)步驟3對(duì)MGUARD進(jìn)行復(fù)位操作，之后再在PC1上打開瀏覽器，輸入，連接到MGUARD，用戶名：admin，密碼：mGuard；步驟4按照拓?fù)鋱D配置MGUARD的LAN口（/24）和WAN口的地址（/16）；步驟5設(shè)置NAT，配置“IPandPortForwarding”步驟6在PC2上打開瀏覽器，輸入，可以打開PLC1的歡迎頁(yè)。擴(kuò)展任務(wù)配置端口轉(zhuǎn)發(fā)假設(shè)PC2為Internet上的主機(jī)，配置端口轉(zhuǎn)發(fā)，使PC2能使用訪問PLC1。3.3用1:1NAT映射單個(gè)IP地址要求：通過1：1NAT從公司網(wǎng)絡(luò)訪問兩個(gè)生產(chǎn)網(wǎng)絡(luò)（具有相同的網(wǎng)絡(luò)設(shè)置）中的指定設(shè)備。RealnetworkVirtualnetworkNetmaskAssignedIPaddresses0003200<->0在mGuard1：RealnetworkVirtualnetworkNetmaskAssignedIPaddresses0003200<->0在mGuard2：3.3用1:1NAT映射單個(gè)IP地址要求從公司網(wǎng)絡(luò)（PC3）訪問兩個(gè)具有相同的網(wǎng)絡(luò)設(shè)置的生產(chǎn)網(wǎng)絡(luò)中的指定設(shè)備PLC1和PLC23.3用1:1NAT映射單個(gè)IP地址步驟1按照拓?fù)溥M(jìn)行網(wǎng)絡(luò)連接，并更改PC1、PC2、PC3、PLC1、PLC2的IP設(shè)置。步驟2對(duì)MGUARD1和MGUARD2進(jìn)行復(fù)位操作。步驟3分別在PC1和PC2上打開瀏覽器，輸入，分別連接到MGUARD1和MGUARD2，用戶名：admin，密碼：mGuard；按上述拓?fù)鋱D更改MGUARD1的LAN口和WAN口的地址。3.3用1:1NAT映射單個(gè)IP地址步驟4分別修改MGUARD1和MGUARD2的NAT設(shè)置。實(shí)際網(wǎng)絡(luò)是客戶端的真實(shí)IP地址，虛擬網(wǎng)絡(luò)是公司網(wǎng)絡(luò)中的虛擬IP地址，NETMASK的值為32。3.3用1:1NAT映射單個(gè)IP地址步驟5通過PING命令驗(yàn)證配置完成的效果：（1） 在公司網(wǎng)絡(luò)PC3上，用虛擬IP地址0能訪問生產(chǎn)網(wǎng)絡(luò)1中的實(shí)際IP地址為00的設(shè)備，即ping0能通。（2） 在公司網(wǎng)絡(luò)PC3上，用虛擬IP地址0能訪問生產(chǎn)網(wǎng)絡(luò)2中的實(shí)際IP地址為00的設(shè)備，即ping0能通。3.4用1:1NAT映射整個(gè)網(wǎng)絡(luò)RealnetworkVirtualnetworkNetmaskAssignedIPaddresses192.168.1.0

10.1.1.0

24<-><->…54<->5455<->55在mGuard1：要求：可以通過1：1NAT從公司網(wǎng)絡(luò)訪問具有相同網(wǎng)絡(luò)設(shè)置的兩個(gè)生產(chǎn)網(wǎng)絡(luò)。3.4用1:1NAT映射整個(gè)網(wǎng)絡(luò)用1:1NAT除了可以映射單個(gè)地址，也可以映射整個(gè)網(wǎng)絡(luò)。在上面的案例中，不只要求訪問生產(chǎn)網(wǎng)絡(luò)的PLC，而是要求整個(gè)生產(chǎn)網(wǎng)絡(luò)都可以從公司網(wǎng)絡(luò)訪問。3.4用1:1NAT映射整個(gè)網(wǎng)絡(luò)步驟1按照拓?fù)溥M(jìn)行網(wǎng)絡(luò)連接，并更改PC1、PC2、PC3、PLC1、PLC2的IP設(shè)置。步驟2對(duì)MGUARD1和MGUARD2進(jìn)行復(fù)位操作。步驟3分別在PC1和PC2上打開瀏覽器，輸入，分別連接到MGUARD1和MGUARD2，用戶名：admin，密碼：mGuard；按上述拓?fù)鋱D更改MGUARD1的LAN口和WAN口的地址。3.4用1:1NAT映射整個(gè)網(wǎng)絡(luò)步驟4分別修改MGUARD1和MGUARD2的NAT設(shè)置。實(shí)際網(wǎng)絡(luò)是生產(chǎn)網(wǎng)絡(luò)的真實(shí)網(wǎng)絡(luò)號(hào)，虛擬網(wǎng)絡(luò)是公司網(wǎng)絡(luò)中的虛擬網(wǎng)絡(luò)號(hào)，NETMASK的值為24。在mGuard1：在mGuard2：3.4用1:1NAT映射整個(gè)網(wǎng)絡(luò)步驟5實(shí)驗(yàn)結(jié)果如下（可用PING命令驗(yàn)證連通性）：（1） 可在公司網(wǎng)絡(luò)或生產(chǎn)網(wǎng)絡(luò)2中通過虛擬地址10.1.1.X訪問生產(chǎn)網(wǎng)絡(luò)1上的各個(gè)設(shè)備，即在PC2和PC3上可用52訪問PC1，用00訪問PLC1；（2） 可在公司網(wǎng)絡(luò)或生產(chǎn)網(wǎng)絡(luò)1中通過虛擬地址10.1.2.X訪問生產(chǎn)網(wǎng)絡(luò)2上的各個(gè)設(shè)備，即在PC1和PC3上可用52訪問PC2，用00訪問PLC2；（3） 可在PC1或PC2上訪問公司網(wǎng)絡(luò)的各個(gè)設(shè)備，即可在PC1或PC2上PING通PC3的IP（6）?；仡櫴裁词荖AT為什么要使用NATNAT的優(yōu)缺點(diǎn)利用MGUARD實(shí)現(xiàn)NAT的三種方式IP偽裝端口轉(zhuǎn)發(fā)1:1NAT四個(gè)實(shí)驗(yàn)配置任務(wù)感謝觀看數(shù)據(jù)加密技術(shù)現(xiàn)代密碼系統(tǒng)的組成一個(gè)現(xiàn)代密碼系統(tǒng)包括：明文、密文、加/解密算法、加/解密密鑰。(1)明文/消息(Plaintext/Message)：作為加密輸入的原始消息，即消息的原始形式，一般用M表示。(2)密文(Cyphertext)：明文變換后的一種隱蔽形式，一般用C表示。(3)加/解密算法(Encryption/DecryptionAlgorithm)：將明文變換為密文的一組規(guī)則稱為加密算法；將密文變換為明文的一組規(guī)則稱為解密算法。加密算法可以用函數(shù)E()表示；解密算法可以用函數(shù)D()表示。(4)加/解密密鑰(Key)：控制加密或解密過程的數(shù)據(jù)稱為加/解密密鑰，用K表示（加密密鑰Ke，解密密鑰Kd）。使用相同的加密算法，通過變換不同的密鑰可以得到不同的密文。加密：C=EKe(M)解密：M=DKd(C)對(duì)稱加密算法概述對(duì)稱加密算法有時(shí)又被稱為傳統(tǒng)加密算法，是指加密時(shí)使用的密鑰與解密時(shí)使用的密鑰相同或者可以相互推算出來的加密算法，即Ke=Kd。由于加密算法是公開的，所以被加密數(shù)據(jù)的安全性取決于密鑰。對(duì)稱加密算法可以分為兩類：流密碼和分組加密。流密碼是指一次只對(duì)明文中的一個(gè)比特或一個(gè)字節(jié)運(yùn)算的加密算法，有時(shí)也被成為序列算法或序列密碼，常用的算法包括RC4、SEAL、ZUC(祖沖之算法）等。分組密碼是指一次對(duì)明文中的一組比特進(jìn)行運(yùn)算，這組比特被稱為分組?，F(xiàn)代計(jì)算機(jī)加密算法的典型分組大小為64比特，這個(gè)長(zhǎng)度大到足以防止分析破譯，但小到方便使用的程度，常用算法包括DES、IDEA、AES、SM4等。數(shù)據(jù)加密標(biāo)準(zhǔn)DES

首先，DES把輸入的64位數(shù)據(jù)塊按位重新組合，并把輸出分為L(zhǎng)0、R0兩部分，每部分各長(zhǎng)32位，并進(jìn)行前后置換（輸入的第58位換到第一位，第50位換到第2位，依此類推，最后一位是原來的第7位），最終由L0輸出左32位，R0輸出右32位，根據(jù)這個(gè)法則經(jīng)過16次迭代運(yùn)算后，得到L16、R16，將此作為輸入，進(jìn)行與初始置換相反的逆置換，即得到密文輸出。

解密過程：DES算法加密和解密使用相同的算法，但密鑰的次序相反。如果各輪加密子密鑰分別是K1,K2,K3,…,K16，那么解密子密鑰就是K16,K15,K14,…,K1。L0R0L1=R0IPL2=R1L15=R14R1=L0

f(R0,K1)R2=L1

f(R1,K2)R15=L14

f(R14,K15)L16=R15R16=L15

f(R15,K16)IP1f

ff輸出密文Y(64bit)明文X(64bit)輸入K16(48bit)K2(48bit)K1(48bit)X0的左半邊

(32

bit)X0(64bit)X0的右半邊

(32

bit)R16L16(64bit)DES算法分析對(duì)稱加密算法使用“位運(yùn)算”方式對(duì)數(shù)據(jù)進(jìn)行加密和解密操作，數(shù)據(jù)處理效率相對(duì)比較高，是加密系統(tǒng)中對(duì)消息進(jìn)行加密的通用方式。DES算法屬于對(duì)稱加密算法，加/解密密鑰相同，所以通信雙方首先要保證在安全的傳輸介質(zhì)上分發(fā)密鑰，另外通信雙方也要同時(shí)安全存儲(chǔ)密鑰。DES算法的一個(gè)主要缺點(diǎn)是密鑰長(zhǎng)度較短，有效密鑰僅56比特，密鑰空間是256。針對(duì)這個(gè)弱點(diǎn)的攻擊主要是窮舉攻擊，即利用一個(gè)已知明文和密文消息對(duì)兒，直到找到正確的密鑰，這就是所謂的蠻力攻擊(BruteForceAttack)。但是到目前為止，除了用窮舉搜索法對(duì)DES算法進(jìn)行攻擊以外，還沒有發(fā)現(xiàn)更有效的辦法，這也證明了DES算法具有極高的抗密碼分析能力。三重DES(3DES):加密：解密：

三重DES加/解密過程中分別進(jìn)行了3次DES算法，并且使用了兩個(gè)不同的密鑰，這個(gè)方案不僅能夠擴(kuò)大密鑰空間，同時(shí)可以與單密鑰DES加密系統(tǒng)兼容，使用戶在升級(jí)加密系統(tǒng)的過程中可以減少投入的成本。IDEA算法簡(jiǎn)介

IDEA是InternationalDataEncryptionAlgorithm(國(guó)際數(shù)據(jù)加密算法)的縮寫，是1990年由瑞士聯(lián)邦技術(shù)學(xué)院的中國(guó)學(xué)者萊學(xué)嘉(X.J.Lai)博士和著名的密碼學(xué)家馬西(Massey)聯(lián)合提出的建議標(biāo)準(zhǔn)算法。萊學(xué)嘉和馬西在1992年進(jìn)行了改進(jìn)，強(qiáng)化了抗差分分析的能力。IDEA是對(duì)64比特大小的數(shù)據(jù)塊加密的分組加密算法，密鑰長(zhǎng)度為128比特。該算法用硬件和軟件實(shí)現(xiàn)都很容易，并且效率高。IDEA自問世以來經(jīng)歷了大量的詳細(xì)審查，對(duì)密碼分析具有很強(qiáng)的抵抗能力，在多種商業(yè)產(chǎn)品中被使用。高級(jí)加密標(biāo)準(zhǔn)AES簡(jiǎn)介

1997年1月，美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究所(NIST)宣布征集新的加密算法。2000年10月2日，由比利時(shí)設(shè)計(jì)者JoanDeameen和VincentRijmen設(shè)計(jì)的Rijndeal算法以其優(yōu)秀的性能和抗攻擊能力，最終贏得了勝利，成為新一代的加密標(biāo)準(zhǔn)AES(AdvancedEncryptionStandard)。AES加密算法是分組加密算法，分組大小為128比特。AES的密鑰長(zhǎng)度與輪數(shù)相關(guān)：輪數(shù)為10，密鑰為128比特；輪數(shù)為12，密鑰為192比特；輪數(shù)為14，密鑰為256比特。SM1/SM4/SM7算法簡(jiǎn)介

SM1/SM4/SM7算法是我國(guó)研發(fā)的國(guó)家商用密碼算法。SM1算法分組長(zhǎng)度、秘鑰長(zhǎng)度都是128bit，算法安全保密強(qiáng)度跟AES相當(dāng)，但是算法不公開，僅以IP核的形式存在于芯片中，需要通過加密芯片的接口進(jìn)行調(diào)用。采用該算法已經(jīng)研制了系列芯片、智能IC卡、智能密碼鑰匙、加密卡、加密機(jī)等安全產(chǎn)品，廣泛應(yīng)用于電子政務(wù)、電子商務(wù)及國(guó)民經(jīng)濟(jì)的各個(gè)應(yīng)用領(lǐng)域(包括國(guó)家政務(wù)通、警務(wù)通等重要領(lǐng)域)。跟SM1類似，SM4是我國(guó)自主設(shè)計(jì)的分組對(duì)稱密碼算法，于2012年3月21日發(fā)布，用于替代DES/AES等國(guó)際算法。SM4算法與AES算法具有相同的密鑰長(zhǎng)度、分組長(zhǎng)度，都是128bit。SM7算法沒有公開，它適用于非接IC卡應(yīng)用包括身份識(shí)別類應(yīng)用(門禁卡、工作證、參賽證)，票務(wù)類應(yīng)用(大型賽事門票、展會(huì)門票)，支付與通卡類應(yīng)用(積分消費(fèi)卡、校園一卡通、企業(yè)一卡通、公交一卡通)。對(duì)稱加密工作模式(1)電碼本模式：電碼本模式簡(jiǎn)稱為ECB(ElectronicCodeBook)。在這種模式下，將需要加密的消息按照塊密碼的塊大小分為數(shù)個(gè)塊，并對(duì)每個(gè)塊進(jìn)行獨(dú)立加密。(2)密碼分組鏈模式：密碼分組鏈模式簡(jiǎn)稱CBC(Cipher-BlockChaining)。在CBC模式中，每個(gè)明文塊先與前一個(gè)密文塊進(jìn)行異或后，再進(jìn)行加密。(3)密碼反饋模式：密碼反饋模式簡(jiǎn)稱CFB(CipherFeedback)。在CFB模式中，先加密前一個(gè)分組，然后將得到的結(jié)果與明文相結(jié)合產(chǎn)生當(dāng)前分組，從而有效地改變用于加密當(dāng)前分組的密鑰。(4)輸出反饋模式：輸出反饋模式簡(jiǎn)稱OFB(OutputFeedback)。OFB模式可以將分組密碼變成同步的流密碼。它產(chǎn)生密鑰流的分組，然后將其與明文分組進(jìn)行異或，得到密文。(5)計(jì)數(shù)器模式：計(jì)數(shù)器模式簡(jiǎn)稱CTR(CounterMode)，也被稱為ICM模式（IntegerCounterMode，整數(shù)計(jì)數(shù)模式）和SIC模式（SegmentedIntegerCounter）。與OFB相似，CTR將分組密碼變?yōu)榱髅艽a。

X0Y0

X1Y1

X2Y2

X3Y3…初始向量密鑰明文密文加密EEEE

X0Y0

X1Y1

X2Y2

X3Y3…初始向量密鑰明文密文解密DDDD密碼分組鏈模式公鑰加密算法概述公鑰加密算法的一對(duì)兒密鑰具有如下兩個(gè)特性：(1)用公鑰加密的消息只能用相應(yīng)的私鑰解密，反之亦然。(2)如果想要從一個(gè)密鑰推知另一個(gè)密鑰，在計(jì)算上是不可行的。公鑰加密算法的思想是由W.Difie和Hellman在1976年提出的。使用公鑰加密算法，加密和解密時(shí)使不同密鑰，即。用于加密的密鑰稱為公鑰，可以公開；用于解密的密鑰稱為私鑰，必須被所有者秘密保存。即Ke≠Kd。公鑰加密算法的使用過程是：由消息接收方生成一對(duì)兒密鑰，其中公鑰用于加密，可以公開；私鑰用于解密，必須由接收方秘密保存。消息發(fā)送方利用接收方的公鑰加密消息并發(fā)送給接收方，接收方利用私鑰解密消息。公鑰加密算法均基于數(shù)學(xué)難解問題。基于“大數(shù)分解”難題的公鑰加密算法包括RSA、ECDSA、Rabin等算法；基于“離散對(duì)數(shù)”難題的公鑰加密算法包括ElGamal、ECC、ECDH、SM2、SM9等算法。RSA算法1)密鑰對(duì)的產(chǎn)生(1)選擇兩個(gè)大素?cái)?shù)p和q。p和q的值越大，RSA越難攻破，推薦公司使用的p和q的乘積是1024比特的量級(jí)；(2)計(jì)算n和z，其中n=p*q，z=(p-1)*(q-1)；(3)選擇小于n的一個(gè)數(shù)e，并且e與z沒有公因數(shù)；(4)找到一個(gè)d數(shù)，使得e*d-1除以z沒有余數(shù)；(5)公鑰是二元組(n,e)，私鑰是二元組(n,d)。2)加密與解密加密表示為：c=memodn解密表示為：m=cdmodn接收者發(fā)送者E加密算法D解密算法加密密鑰PK解密密鑰SK明文X密文Y=EPK(X)密鑰對(duì)產(chǎn)生源明文X=DSK(EPK(X))RSA算法舉例設(shè)選擇了兩個(gè)素?cái)?shù)，p

7,q

17。得到，公開密鑰PK

(e,n)

{5,119},

秘密密鑰SK

（e,d)={77,119}。明文

1919==20807公開密鑰={5,119}加密52476099119及余數(shù)

66密文

6666==1.0610秘密密鑰={77,119}解密771.27...10119及余數(shù)

19

明文

19140138RSA算法存在的問題

RSA算法的安全性依賴于大數(shù)分解，但是否等同于大數(shù)分解一直未能得到理論上的證明，不管怎樣，分解模數(shù)n是最顯然的攻擊方法。目前，人們已經(jīng)能分解150多個(gè)十進(jìn)制位的大素?cái)?shù)。因此，模數(shù)n必須選大一些。

RSA算法的主要缺點(diǎn)體現(xiàn)在以下兩個(gè)方面：

(1)密鑰產(chǎn)生很麻煩：由于受到素?cái)?shù)產(chǎn)生技術(shù)的限制，難以做到一次一密。

(2)加密/解密運(yùn)算效率低：為保證安全性，n至少也要600比特以上，這樣使分組長(zhǎng)度太大，運(yùn)算代價(jià)很高。由于進(jìn)行的都是大數(shù)計(jì)算，無論是軟件還是硬件實(shí)現(xiàn)，RSA最快的情況也要比DES慢100倍。因此，速度一直是RSA最主要的缺陷，一般來說只用于少量數(shù)據(jù)加密。目前，SET協(xié)議中要求數(shù)據(jù)證書認(rèn)證中心采用2048比特的密鑰，其他實(shí)體采用1024比特的密鑰。RSA算法的優(yōu)點(diǎn)

使用RSA算法(也包括其他公鑰加密算法)進(jìn)行安全通信，有以下優(yōu)點(diǎn)：

(1)通信雙方事先不需要通過保密信息交換密鑰。

(2)密鑰持有量大大減小。一個(gè)安全通信系統(tǒng)中有m個(gè)用戶，如果使用公鑰加密算法通信，每個(gè)用戶只需要持有自己的私鑰，而公鑰可以放置在公共數(shù)據(jù)庫(kù)上供其他用戶取用，這樣整個(gè)系統(tǒng)僅需要m對(duì)密鑰就可以滿足相互之間進(jìn)行安全通信的需要。如果使用對(duì)稱加密算法進(jìn)行通信，則每個(gè)用戶需要擁有(m-1)個(gè)密鑰，系統(tǒng)總的密鑰數(shù)量是m*(m-1)/2，這還僅僅只考慮了用戶之間只使用一個(gè)會(huì)話密鑰的情況，如此龐大數(shù)量密鑰的生成、管理、分發(fā)確實(shí)是一個(gè)難以處理的問題。

(3)公鑰加密算法還提供了對(duì)稱加密算法無法或很難提供的服務(wù)，如與散列函數(shù)聯(lián)合運(yùn)用組成數(shù)字簽名等。公鑰加密技術(shù)的產(chǎn)生可以說是信息安全領(lǐng)域中的一個(gè)里程碑，是PKI(PublicKeyInfrastructure,公鑰基礎(chǔ)設(shè)施)技術(shù)的重要支撐。其它公鑰加密算法

(1)ECC算法：同RSA算法一樣，橢圓曲線加密算法(EllipticCurvesCryptography,ECC)也屬于公鑰加密算法，其安全性依賴于計(jì)算“橢圓曲線上的離散對(duì)數(shù)”難題。ECC算法優(yōu)于RSA算法的地方表現(xiàn)在：安全性能高；計(jì)算量小，處理速度快；存儲(chǔ)空間小；帶寬要求低?；谝陨蟽?yōu)點(diǎn)，ECC加密算法在移動(dòng)通信和無線通信領(lǐng)域應(yīng)用廣泛。

(2)SM2/SM9算法：SM2/SM9算法是我國(guó)研發(fā)的國(guó)家商用密碼算法。SM2是基于橢圓曲線密碼的公鑰密碼算法標(biāo)準(zhǔn)，其秘鑰長(zhǎng)度256bit，包含數(shù)字簽名、密鑰交換和公鑰加密，用于替換RSA/DH/ECDSA/ECDH等國(guó)際算法。可以滿足電子認(rèn)證服務(wù)系統(tǒng)等應(yīng)用需求，由國(guó)家密碼管理局于2010年12月17號(hào)發(fā)布。SM2采用的是ECC256位的一種，其安全強(qiáng)度比RSA2048位高，且運(yùn)算速度快于RSA。SM9是基于標(biāo)識(shí)的公鑰加密算法，可以實(shí)現(xiàn)基于標(biāo)識(shí)的數(shù)字簽名、密鑰交換協(xié)議、密鑰封裝機(jī)制和公鑰加密與解密。SM9可以替代基于數(shù)字證書的PKI/CA體系。SM9主要用于用戶的身份認(rèn)證。據(jù)公開報(bào)道，SM9的加密強(qiáng)度等同于3072位密鑰的RSA加密算法，于2016年3月28日發(fā)布。數(shù)字信封公鑰加密算法與對(duì)稱加密算法相比的優(yōu)點(diǎn)是能夠很好地解決密鑰分發(fā)問題，而缺點(diǎn)是加密效率低。目前的加密系統(tǒng)通常都綜合應(yīng)用對(duì)稱和公鑰加密算法，保證加密運(yùn)算的效率的同時(shí)解決密鑰分發(fā)問題，這一應(yīng)用方式被成為數(shù)字信封。感謝觀看數(shù)字簽名與驗(yàn)證散列算法概述

散列算法(也被稱為散列函數(shù))提供了這樣一種服務(wù)：它對(duì)不同長(zhǎng)度的輸入消息，產(chǎn)生固定長(zhǎng)度的輸出。這個(gè)固定長(zhǎng)度的輸出成為原輸入消息的“散列”或“消息摘要”(MessageDigest)。

對(duì)于一個(gè)安全的散列算法，這個(gè)消息摘要通?？梢灾苯幼鳛橄⒌恼J(rèn)證標(biāo)簽。所以這個(gè)消息摘要又被稱為消息的數(shù)字指紋。散列函數(shù)表示為，所以音譯為“哈?！焙瘮?shù)。

如下所示是通過MD5散列算法分別計(jì)算出的字符串以及一份文件的散列值(128bit)。

MD5() =C50E7667F83F34D1197EB5405702D69C

MD5(

) =3222C661B778BF214E5A28F06889FF99壓縮性散列函數(shù)的輸入長(zhǎng)度是任意的。也就是所散列函數(shù)可以應(yīng)用到大小不一的數(shù)據(jù)上。散列函數(shù)的輸出長(zhǎng)度是固定的。根據(jù)目前的計(jì)算技術(shù)，散列函數(shù)的輸出長(zhǎng)度應(yīng)至