CISM0202密碼和網(wǎng)絡安全技術

1、密碼和網(wǎng)絡安全技術中國信息安全測評中心1課程內容密碼和網(wǎng)絡安全技術網(wǎng)絡安全基礎密碼及PKI技術基礎常見網(wǎng)絡安全設備VPN技術2知識體：密碼和網(wǎng)絡安全技術知識域：密碼及PKI技術基礎了解密碼學的基本概念和術語，包括密碼編碼學、密碼分析學、加密、解密、算法、明文、密文等了解常見對稱密碼算法，理解對稱算法特點了解常見非對稱密碼算法，理解非對稱算法特點了解常見哈希算法和簽名算法，理解其作用和特點了解PKI和數(shù)字證書概念理解PKI的典型應用場景，包括網(wǎng)上銀行、軟件代碼簽名和安全郵件通信等3什么是密碼學密碼學研究什么密碼編碼學主要研究對信息進行編碼，實現(xiàn)對信息的隱蔽、完整性驗證等密碼分析學主要研究加密信息

2、的破譯或信息的偽造密碼學在信息安全中的地位信息安全的重要基礎技術4密碼學發(fā)展古典密碼學（ 1949年之前）1949年之前，密碼學是一門藝術主要特點：數(shù)據(jù)的安全基于算法的保密近代密碼學（19491975年）19491975年，密碼學成為科學主要特點：數(shù)據(jù)的安全基于密鑰而不是算法的保密現(xiàn)代密碼學（ 1976年以后）密碼學的新方向公鑰密碼學主要特點：公鑰密碼使得發(fā)送端和接收端無密鑰傳輸?shù)谋Ｃ芡ㄐ懦蔀榭赡?密碼學基本術語明文：被隱蔽的消息被稱做明文（Plain Text），通常用P或M表示。密文：隱蔽后的消息被稱做密文(Cipher Text)，通常用C表示。發(fā)送者：在信息傳送過程中，主動提供信息的一

3、方稱為發(fā)送者。接受者：在信息傳送過程中，得到信息的一方稱為接收者。 加密：將明文變換成密文的過程稱為加密(Encryption)。解密：將密文變換成明文的過程稱為解密(Decryption)。加密算法：對明文進行加密時所采用的一組規(guī)則稱為加密算法(Encryption Algorithm)。通常用E表示。解密算法：對密文進行解密時所采用的一組規(guī)則稱為解密算法(Decryption Algorithm)。通常用D表示。密鑰:加密和解密算法的操作通常都是在一組密鑰(Key)的控制下進行的，分別稱為加密密鑰和解密密鑰。通常用Ke和Kd表示。6對稱加密算法DES算法：56bit的密鑰強度3DES：三重

4、DES算法IDEA：128bit密鑰強度AES：高級數(shù)據(jù)加密標準，簡單、靈活、適應性好7對稱密碼算法的優(yōu)缺點 優(yōu)點：效率高，算法簡單，系統(tǒng)開銷小 適合加密大量數(shù)據(jù) 缺點：需要以安全方式進行密鑰交換 密鑰管理復雜8非對稱加密（公鑰）算法RSA算法：基于大數(shù)因子分解ECC算法：基于橢圓曲線的離散對數(shù)問題SM2算法：一種基于橢圓曲線的算法9公鑰密碼體制的優(yōu)缺點優(yōu)點：解決密鑰傳遞的問題大大減少密鑰持有量提供了對稱密碼技術無法或很難提供的服務（數(shù)字簽名）缺點：計算復雜、耗用資源大 非對稱會導致得到的密文變長10哈希運算完整性用戶A用戶B數(shù)據(jù)數(shù)據(jù)哈希值哈希算法數(shù)據(jù)哈希值哈希值哈希算法如果哈希值匹配，說明數(shù)

5、據(jù)有效 用戶A發(fā)送數(shù)據(jù)和哈希值給用戶 B哈希算法：MD5、SHA111數(shù)字簽名抗抵賴性用戶A用戶B數(shù)據(jù)哈希值哈希算法用戶A的私鑰 數(shù)據(jù)哈希值用戶A的公鑰哈希算法哈希值如果哈希值匹配，說明該數(shù)據(jù)由該私鑰簽名。12基于密碼技術的安全支撐體系-PKI什么是PKIPKI是公鑰基礎設施（Public Key Infrastructure）的簡稱，PKI利用公開密鑰技術建立的提供信息安全服務的在線基礎設施。它利用加密、數(shù)字簽名、數(shù)字證書來保護應用、通信或事務處理的安全。PKI體系組成CA（認證權威）RA（注冊權威）證書存放管理（目錄服務）證書持有者和應用程序13CA：認證權威簽發(fā)證書更新證書管理證書撤銷、

6、查詢審計、統(tǒng)計驗證數(shù)字證書黑名單認證（CRL）在線認證 (OCSP)CA是PKI體系的核心14CRL：證書撤銷列表CRL (Certificate Revocation List):證書撤銷列表，也稱“證書黑名單”在證書的有效期期間，因為某種原因（如人員調動、私鑰泄漏等等），導致相應的數(shù)字證書內容不再是真實可信，此時，進行證書撤銷，說明該證書已是無效CRL中列出了被撤銷的證書序列號15RA：注冊權威受理用戶的數(shù)字證書申請對證書申請者身份進行審核并提交CA制證類似于申請身份證的派出所提供證書生命期的維護工作受理用戶證書申請協(xié)助頒發(fā)用戶證書審核用戶真實身份受理證書更新請求受理證書吊銷16目錄服務（

7、LDAP）信息的存儲庫 ，提供了證書的保存，修改，刪除和獲取的能力 CA采用LDAP標準的目錄服務存放證書，其作用與數(shù)據(jù)庫相同，優(yōu)點是在修改操作少的情況下，對于訪問的效率比傳統(tǒng)數(shù)據(jù)庫要高17數(shù)字證書數(shù)字證書是一段電子數(shù)據(jù)，是經(jīng)證書權威機構CA簽名的、包含擁有者身份信息和公開密鑰的數(shù)據(jù)體 數(shù)字證書主要包括三部分內容：證書體、簽名算法類型以及CA簽名數(shù)據(jù)，其中證書體包括以下內容： 版本號（version）：標示證書的版本。 序列號（serialNumber）：由證書頒發(fā)者分配的本證書的唯一標識符。 簽名算法標識（signature）：簽署證書所用的算法及相應的參數(shù)，由對象標識符加上相關參數(shù)組成。

8、簽發(fā)者（issuer）：指建立和簽署證書的CA名稱。 有效期（validity）：包括證書有效期的起始時間和終止時間。 主體名（subject）：指證書擁有者名稱。 主體的公鑰（subjectPublicKeyInfo）：包括證書擁有者的公鑰。 發(fā)行者唯一識別符（issuerUniqueIdentifier）：可選項，標識唯一的CA。 主體唯一識別符（subjectUniqueIdentifier）：可選項，用來識別唯一主體。 擴展域（extensions）：其中包括一個或多個擴展的數(shù)據(jù)項18用戶申請證書 獲取用戶的身份信息 進行證書廢止檢查 檢查證書的有效期 校驗數(shù)字證書 解密數(shù)據(jù) 證書下載

9、到用戶本地審核通過的注冊請求發(fā)送給CA證書同時要被發(fā)布出去應用程序通過證書：RA系統(tǒng)審核用戶身份發(fā)送注冊信息給RACA為用戶簽發(fā)證書下載憑證.RA將證書下載憑證發(fā)放給用戶應用/其他用戶Directory提交證書申請請求CARAPKI體系工作流程19PKI/CA技術的典型應用PKI/CA應用通信領域WiFi 部署釣魚身份盜竊電子政務領域公文扭轉政務門戶訪問控制領域機房門禁（物理）Windows登錄（邏輯）硬件設備領域Web 服務器域名控制器VPN 軟件開發(fā)領域代碼簽名電子商務領域銀行網(wǎng)購20安全網(wǎng)上銀行因特網(wǎng)部分內網(wǎng)部分案例 - 網(wǎng)上銀行安全21知識體：密碼和網(wǎng)絡安全技術知識域：網(wǎng)絡安全基礎了解

10、網(wǎng)絡安全面臨的威脅和基本安全目標了解如何構建安全的網(wǎng)絡22網(wǎng)絡面臨的安全威脅物理安全威脅自然災害：火災、水浸、雷擊、地震、設備問題：電力故障、電磁泄漏、人為破壞：爆炸、盜竊網(wǎng)絡攻擊威脅設計缺陷：協(xié)議設計缺陷、協(xié)議實現(xiàn)缺陷網(wǎng)絡攻擊：欺騙、拒絕服務、嗅探等人為錯誤誤操作收買23構建安全的網(wǎng)絡系統(tǒng)安全的物理環(huán)境合理的網(wǎng)絡規(guī)劃正確配置的網(wǎng)絡安全設備完善的網(wǎng)絡安全管理24安全的物理環(huán)境機房位置選址地下、一樓、頂樓、其他樓層等基礎支撐設備電力、防火、防水、防雷擊、防塵、抗干擾等安保門禁、攝像頭、保安員等25合理的網(wǎng)絡規(guī)劃網(wǎng)絡結構星型、環(huán)形、總線型、網(wǎng)狀等網(wǎng)絡安全域劃分把大規(guī)模負責系統(tǒng)安全問題化解為更小區(qū)域

11、的安全保護問題IP地址規(guī)劃提高運行效率、性能及可管理性VLAN規(guī)劃控制網(wǎng)絡的廣播風暴提高網(wǎng)絡安全性及簡化網(wǎng)絡管理26正確配置的網(wǎng)絡安全設備網(wǎng)絡安全設備部署邊界網(wǎng)絡安全設備（防火墻、流量管理、網(wǎng)閘等）旁路網(wǎng)絡安全設備（IDS、審計、網(wǎng)絡分析等）管理型網(wǎng)絡安全設備（SOC、準入控制等）網(wǎng)絡安全設備策略配置先緊后松，不是明確允許的就是禁止設備自身安全設備日志保護27完善的網(wǎng)絡安全管理管理目標管理制度組織架構人員職責28知識體：網(wǎng)絡安全和密碼技術知識域：常見網(wǎng)絡安全設備掌握防火墻有關基本概念，包括功能、作用和適用場景了解防火墻的常見分類和主要技術原理，包括靜態(tài)包過濾、狀態(tài)檢測、代理等技術掌握防火墻的主

12、要部署方式和特點，包括無DMZ、有DMZ兩種部署方式的特點比較29知識體：密碼和網(wǎng)絡安全技術知識域：常見網(wǎng)絡安全設備（2）了解入侵檢測系統(tǒng)的基本概念，包括功能、作用和使用場景了解入侵檢測系統(tǒng)的常見分類方法和主要技術原理，包括異常檢測和誤用檢測等技術理解基于主機和基于網(wǎng)絡的入侵檢測系統(tǒng)的區(qū)別掌握入侵檢測系統(tǒng)的主要部署方式，包括基于主機的和基于網(wǎng)絡的入侵檢測系統(tǒng)部署位置和特點理解防火墻和入侵檢測系統(tǒng)的優(yōu)缺點30防火墻技術防火墻的基本概念防火墻實現(xiàn)技術防火墻的工作模式防火墻典型部署31防火墻基本概念什么是防火墻一種協(xié)助確保信息安全的設備，會依照特定的規(guī)則，允許或是限制傳輸?shù)臄?shù)據(jù)通過。防火墻部署在哪可

13、信網(wǎng)絡與不可信網(wǎng)絡之間不同安全級別網(wǎng)絡之間兩個需要隔離的區(qū)域之間Internet防火墻32為什么需要防火墻控制：在網(wǎng)絡連接點上建立一個安全控制點，對進出數(shù)據(jù)進行限制隔離：將需要保護的網(wǎng)絡與不可信任網(wǎng)絡進行隔離，隱藏信息并進行安全防護記錄：對進出數(shù)據(jù)進行檢查，記錄相關信息防火墻基本概念安全網(wǎng)域一33防火墻基本概念防火墻的分類按防火墻形態(tài)硬件防火墻軟件防火墻按體系結構分雙宿/多宿主機防火墻屏蔽主機防火墻屏蔽子網(wǎng)防火墻混合結構其他分類方法34防火墻的實現(xiàn)技術包過濾技術代理網(wǎng)關技術狀態(tài)檢測技術自適應代理技術35防火墻的實現(xiàn)技術-包過濾實現(xiàn)機制：依據(jù)數(shù)據(jù)包的基本標記來控制數(shù)據(jù)包網(wǎng)絡層地址：IP地址（源地

14、址及目的地址）傳輸層地址：端口（源端口及目的端口）協(xié)議：協(xié)議類型安全網(wǎng)域一36防火墻的實現(xiàn)技術-包過濾優(yōu)點:只對數(shù)據(jù)包的 IP 地址、 TCP/UDP 協(xié)議和端口進行分析，規(guī)則簡單，處理速度較快 易于配置對用戶透明，用戶訪問時不需要提供額外的密碼或使用特殊的命令缺點：檢查和過濾器只在網(wǎng)絡層，不能識別應用層協(xié)議或維持連接狀態(tài)安全性薄弱，不能防止IP欺騙等37防火墻的實現(xiàn)技術-代理網(wǎng)關每一個內外網(wǎng)絡之間的連接都要通過防火墻的介入和轉換，加強了控制分類電路級代理應用代理38防火墻的實現(xiàn)技術-電路級代理建立回路，對數(shù)據(jù)包進行轉發(fā)優(yōu)點能提供NAT，為內部地址管理提供靈活性，隱藏內部網(wǎng)絡等適用面廣缺點僅簡

15、單的在兩個連接間轉發(fā)數(shù)據(jù)，不能識別數(shù)據(jù)包的內容39防火墻的實現(xiàn)技術-應用代理工作在應用層使用代理技術，對應用層數(shù)據(jù)包進行檢查對應用或內容進行過濾，例如：禁止FTP的 “put”命令40防火墻的實現(xiàn)技術-應用代理優(yōu)點可以檢查應用層內容，根據(jù)內容進行審核和過濾提供良好的安全性缺點支持的應用數(shù)量有限性能表現(xiàn)欠佳41防火墻的實現(xiàn)技術-NAT什么是NAT一種將私有（保留）地址轉化為合法IP地址的轉換技術，它被廣泛應用于各種類型Internet接入方式和各種類型的網(wǎng)絡中。NAT技術設計初衷增加私有組織的可用地址空間解決現(xiàn)有私有網(wǎng)絡接入的IP地址編號問題42防火墻的實現(xiàn)技術-NATNAT實現(xiàn)方式靜態(tài)地址轉換

16、動態(tài)地址轉換端口轉換安全網(wǎng)域一00043NAT的優(yōu)缺點優(yōu)點管理方便并且節(jié)約IP地址資源隱藏內部 IP 地址信息可用于實現(xiàn)網(wǎng)絡負載均衡缺點外部應用程序卻不能方便地與 NAT 網(wǎng)關后面的應用程序聯(lián)系。 44防火墻實現(xiàn)技術-狀態(tài)檢測數(shù)據(jù)鏈路層物理層網(wǎng)絡層表示層會話層傳輸層檢測引擎應用層動態(tài)狀態(tài)表動態(tài)狀態(tài)表動態(tài)狀態(tài)表在數(shù)據(jù)鏈路層和網(wǎng)絡層之間對數(shù)據(jù)包進行檢測創(chuàng)建狀態(tài)表用于維護連接上下文應用層表示層會話層傳輸層數(shù)據(jù)鏈路層物理層網(wǎng)絡層應用層表示層會話層傳輸層數(shù)據(jù)鏈路層物理層網(wǎng)絡層45防火墻實現(xiàn)技術-狀態(tài)檢測狀態(tài)檢測技術的特點安全性高，可根據(jù)通信和應用程序狀態(tài)確定是否允許包的通行性能高，在數(shù)據(jù)包進入防火墻時就

17、進行識別和判斷適應性好對用戶、應用程序透明46防火墻實現(xiàn)技術-自適應代理技術特點根據(jù)用戶定義安全規(guī)則動態(tài)“適應”傳輸中的分組流量高安全要求：在應用層進行檢查明確會話安全細則：鏈路層數(shù)據(jù)包轉發(fā)兼有高安全性和高效率47防火墻技術-防火墻的工作模式路由模式透明模式混合模式48防火墻的工作模式-路由模式內部網(wǎng)絡/24GW:54外部網(wǎng)絡/24GW:防火墻InternetIntranet/2454/2449防火墻的工作模式-透明模式內部網(wǎng)絡/24GW:54外部網(wǎng)絡路由器InternetIntranet54/2450防火墻的工作模式-混合模式內部網(wǎng)絡/2454外部網(wǎng)絡/24GW:防火墻InternetInt

18、ranetIntranet內部網(wǎng)絡00/24GW:53路由模式透明模式51防火墻的典型部署區(qū)域劃分：可信網(wǎng)絡、不可信網(wǎng)絡、DMZ區(qū)可信網(wǎng)絡不可信的網(wǎng)絡防火墻路由器InternetIntranetDMZ非軍事化區(qū)52防護墻的策略設置沒有明確允許的就是禁止先阻止所有數(shù)據(jù)包需要的給予開放沒有明確禁止的就是允許對明確禁止的設置策略53防火墻的策略設置可信網(wǎng)絡可向DMZ區(qū)和不可信網(wǎng)絡發(fā)起連接請求可信網(wǎng)絡不可信的網(wǎng)絡防火墻路由器InternetIntranetDMZ非軍事化區(qū)54防火墻的策略設置DMZ區(qū)可接受可信網(wǎng)絡和不可信網(wǎng)絡的連接請求DMZ區(qū)不可向可信網(wǎng)絡發(fā)起連接請求DMZ區(qū)與不可信網(wǎng)絡的連接請求根據(jù)

19、業(yè)務需要確定可信網(wǎng)絡不可信的網(wǎng)絡防火墻路由器InternetIntranetDMZ非軍事化區(qū)55防火墻的不足和局限性無法發(fā)現(xiàn)和阻止對合法服務的攻擊；無法發(fā)現(xiàn)和阻止源自其它入口的攻擊；無法發(fā)現(xiàn)和阻止來自內部網(wǎng)絡的攻擊；無法發(fā)現(xiàn)和阻止應用層的攻擊；防火墻本身也會出現(xiàn)問題和受到攻擊。56入侵檢測技術57入侵檢測的基本概念入侵檢測實現(xiàn)技術入侵檢測的典型部署57什么是入侵檢測系統(tǒng)？58什么是入侵檢測系統(tǒng)一種通過對計算機網(wǎng)絡或計算機系統(tǒng)中若干關鍵點收集信息并對其進行分析以發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象的設備入侵檢測系統(tǒng)部署在哪數(shù)據(jù)流入流出點關鍵位置58入侵檢測系統(tǒng)的價值及作用為什么

20、需要入侵檢測系統(tǒng)防火墻的重要補充構建網(wǎng)絡安全防御體系重要環(huán)節(jié)克服傳統(tǒng)防御機制的限制入侵檢測系統(tǒng)能做什么檢測對網(wǎng)絡和系統(tǒng)的攻擊行為對攻擊行為作出響應59入侵檢測系統(tǒng)的分類按入侵檢測形態(tài)硬件入侵檢測軟件入侵檢測按目標系統(tǒng)的類型網(wǎng)絡入侵檢測主機入侵檢測按系統(tǒng)結構集中式分布式60主機入侵檢測系統(tǒng)什么是主機入侵檢測運行在被檢測主機上，通過對主機數(shù)據(jù)包和主機上的系統(tǒng)調研、資源使用狀態(tài)進行分析，發(fā)現(xiàn)可能的入侵通常是軟件形式61主機入侵檢測系統(tǒng)優(yōu)點運行在被檢測的主機上，不僅能檢測主機網(wǎng)卡上的數(shù)據(jù)流，還可以分析主機日志、檢測系統(tǒng)調用等主機內部活動能精確地判斷攻擊行為是否成功監(jiān)控主機上特定用戶活動、系統(tǒng)運行情況H

21、IDS能夠檢測到NIDS無法檢測的攻擊適用加密環(huán)境62主機入侵檢測系統(tǒng)不足無法檢測到網(wǎng)絡中的其他數(shù)據(jù)流需要消耗主機資源，影響主機性能安全性受宿主操作系統(tǒng)限制數(shù)據(jù)源受系統(tǒng)審計功能限制針對不同的操作系統(tǒng)需要單獨開發(fā)維護/升級不方便63網(wǎng)絡入侵檢測系統(tǒng)部署在核心網(wǎng)絡或重要網(wǎng)絡位置對通信數(shù)據(jù)的偵聽采集數(shù)據(jù)，分析可疑現(xiàn)象通常是硬件形式64網(wǎng)絡入侵檢測系統(tǒng)優(yōu)勢實時分析網(wǎng)絡數(shù)據(jù)，檢測網(wǎng)絡系統(tǒng)的非法行為；網(wǎng)絡IDS系統(tǒng)單獨架設，不占用其它計算機系統(tǒng)的任何資源；網(wǎng)絡IDS系統(tǒng)是一個獨立的網(wǎng)絡設備，不提供對外服務，因此其本身的安全性高；通過與防火墻的聯(lián)動，不但可以對攻擊預警，還可以更有效地阻止非法入侵和破壞。不會

22、增加網(wǎng)絡中主機的負擔65網(wǎng)絡入侵檢測系統(tǒng)的不足不適合交換環(huán)境和高速環(huán)境不能處理加密數(shù)據(jù)資源及處理能力局限無法分析攻擊是否成功66入侵檢測的實現(xiàn)技術關鍵技術數(shù)據(jù)采集技術數(shù)據(jù)檢測技術外圍技術聯(lián)動日志分析事件合并過濾漏洞機理研究67數(shù)據(jù)采集技術嗅探技術交換環(huán)境下的數(shù)據(jù)采集鏡像口1對1鏡像多對1鏡像1234復制一份將端口4鏡像到端口168數(shù)據(jù)檢測技術誤用檢測技術建立入侵行為模型(攻擊特征)；假設可以識別和表示所有可能的特征；基于系統(tǒng)和基于用戶的誤用；異常檢測技術設定“正常”的行為模式；假設所有的入侵行為是異常的；基于系統(tǒng)和基于用戶的異常；69誤用檢測70優(yōu)點準確率高；算法簡單。關鍵問題有所有的攻擊特征

23、，建立完備的特征庫；特征庫要不斷更新；無法檢測新的入侵。70異常檢測71誤報率、漏報率較高優(yōu)點可檢測未知攻擊自適應、自學習能力關鍵問題“正常”行為特征的選擇統(tǒng)計算法、統(tǒng)計點的選擇71入侵檢測系統(tǒng)的典型部署72可信網(wǎng)絡不可信的網(wǎng)絡防火墻InternetIntranet旁路的方式接入部署位置防火墻外核心交換機關鍵位置HIDSNIDSNIDSNIDS72部署中需注意的問題73入侵檢測需要發(fā)揮效果，需要大量管理機制作為后盾攻擊特征庫決定入侵檢測系統(tǒng)對入侵行為的發(fā)現(xiàn)能力事件分析器優(yōu)化非常重要，確保能夠準確快速的產(chǎn)生相關警告信息（避免重復報警、漏報等）73入侵檢測的選擇結構分布式、集中式通訊方式（加密、不

24、加密）探頭檢測能力事件通知自身安全控制中心策略設置靈活檢測庫更新自定義事件查詢報表綜合分析能力易用性74其他網(wǎng)絡安全設備整合型邊界安全防護設備入侵防御系統(tǒng)（IPS）統(tǒng)一威脅管理系統(tǒng)（UTM）邊界防病毒網(wǎng)關等數(shù)據(jù)交換管理設備安全隔離與信息交換系統(tǒng)（網(wǎng)閘）流量管理、上網(wǎng)行為管理安全管理設備安全管理平臺（Soc）網(wǎng)絡準入控制（NAC）75知識子域：密碼和網(wǎng)絡安全技術知識域：VPN技術了解VPN的定義、作用和基本功能了解VPN分類方法，包括按協(xié)議層次分、按應用部署方式分和按照體系結構分等理解IPSec VPN和SSL VPN的作用和使用場景了解IPSec VPN和SSL VPN的工作原理理解IPSec

25、 VPN和SSL VPN的特點和不同點76VPN的基本概念什么是VPN虛擬專用網(wǎng)絡（Virtual Private Network ，簡稱VPN)指的是在公用網(wǎng)絡上建立專用網(wǎng)絡的技術。為什么需要VPN專用網(wǎng)絡：安全性好、價格昂貴、難擴展、不靈活分組交換：安全性差、價格便宜、擴展性好將專用網(wǎng)的安全特性和分組交換網(wǎng)的廉價和易于擴展的特性結合在一起，這就是VPN的動機利用共享的互聯(lián)網(wǎng)設施，模擬“專用”廣域網(wǎng)，最終以極低的費用為遠程用戶提供能和專用網(wǎng)絡相媲美的保密通信服務77VPN的特點安全保障VPN通過建立一個隧道，利用加密技術對傳輸數(shù)據(jù)進行加密，以保證數(shù)據(jù)的私有性和安全性。服務質量保證VPN可以為

26、不同要求用戶提供不同等級的服務質量保證?？蓴U充、靈活性VPN支持通過Internet和Extranet的任何類型的數(shù)據(jù)流。管理性VPN可以從用戶和運營商角度方便進行管理。78對企業(yè)的優(yōu)勢降低成本易于擴展可隨意與合作伙伴聯(lián)網(wǎng)完全控制主動權VPN對企業(yè)的優(yōu)勢79加密數(shù)據(jù)，保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會泄露。信息認證和身份認證，確保用戶的合法性信息的完整性、合法性，確保信息不會被篡改提供訪問控制，不同的用戶有不同的訪問權限VNP基本功能80VPN的類型按協(xié)議層次可以分為二層VPN，三層VPN和應用層VPN。按應用范圍遠程訪問VPN、內聯(lián)網(wǎng)VPN和外聯(lián)網(wǎng)VPN 按體系結構網(wǎng)關到網(wǎng)關VPN、

27、主機到網(wǎng)關VPN和主機到主機VPN81按協(xié)議層次分類的VPN數(shù)據(jù)鏈路層VPN可以用于各種網(wǎng)絡協(xié)議，比如IP、IPX、AppleTalk等網(wǎng)絡層VPN可以適用于所有應用（即不是應用特定的）。傳輸層VPN常用于保護單獨的HTTP應用通信的安全，并且也可以保護其它應用的通信。每個應用服務器必須支持該協(xié)議。目前主要的web瀏覽器默認支持該協(xié)議。應用層VPN保護單個應用的部分或全部通信。82按應用劃分的VPN遠程訪問VPN用于實現(xiàn)移動用戶或遠程辦公室安全訪問企業(yè)網(wǎng)絡。 內聯(lián)網(wǎng)VPN用于組建跨地區(qū)的企業(yè)內部互聯(lián)網(wǎng)絡 。 外聯(lián)網(wǎng)VPN 用于企業(yè)與客戶、合作伙伴之間建立互聯(lián)網(wǎng)絡。 內聯(lián)網(wǎng)VPNRouterIn

28、ternetPOPor遠程訪問VPN外聯(lián)網(wǎng)VPN83按體系結構分類的VPN網(wǎng)關到網(wǎng)關體系結構示例主機到主機體系結構示例主機到網(wǎng)關體系結構示例84IPSec協(xié)議SSL協(xié)議VPN有關協(xié)議的工作原理85IPSec是IP Security的縮寫，是目前遠程訪問VPN網(wǎng)絡的基礎。IPSec的加密功能可以在因特網(wǎng)上創(chuàng)建出安全的信道來。 IPSec協(xié)議實際上是一個協(xié)議包而不是單個的協(xié)議，IPSec的安全協(xié)議由三個主要的協(xié)議組成。AH(認證頭)ESP（封裝安全荷載）IKE（密鑰交換與管理）IPSec協(xié)議86傳輸模式下的AH認證工作原理Internet負 載IP頭部Host AHost BVPN網(wǎng)關VPN網(wǎng)關負

29、 載AH頭部IP頭部負 載AH頭部IP頭部負 載IP頭部經(jīng)過IPSec 核心處理以后經(jīng)過IPSec 核心處理以后負 載AH頭部IP頭部87隧道模式下的AH認證工作原理Internet負 載IP 頭Host AHost BVPN網(wǎng)關1VPN網(wǎng)關2負 載IP 頭經(jīng)過IPSec 核心處理以后經(jīng)過IPSec 核心處理以后負 載IP頭AH頭新IP頭負 載IP頭AH頭新IP頭負 載IP頭AH頭新IP頭Source IP=VPN網(wǎng)關1Destination IP=VPN網(wǎng)關2Source IP=Host ADestination IP=Host B88傳輸模式下的ESP工作原理Internet負 載IP頭部

30、Host AHost BVPN網(wǎng)關VPN網(wǎng)關負 載IP頭部經(jīng)過IPSec 核心處理以后經(jīng)過IPSec 核心處理以后ESP認證ESP尾負 載ESP頭IP頭加密數(shù)據(jù)認證數(shù)據(jù)ESP認證ESP尾負 載ESP頭IP頭ESP認證ESP尾負 載ESP頭IP頭加密數(shù)據(jù)認證數(shù)據(jù)89隧道模式下的ESP工作原理Internet負 載IP 頭Host AHost BVPN網(wǎng)關1VPN網(wǎng)關2負 載IP 頭經(jīng)過IPSec 核心處理以后經(jīng)過IPSec 核心處理以后Source IP=VPN網(wǎng)關1Destination IP=VPN網(wǎng)關2Source IP=Host ADestination IP=Host B負載ESP認證

31、ESP尾IP頭ESP頭新IP頭負載ESP認證ESP尾IP頭ESP頭新IP頭負載ESP認證ESP尾IP頭ESP頭新IP頭90IPSEC VPN功能數(shù)據(jù)機密性保護數(shù)據(jù)完整性保護數(shù)據(jù)源身份認證91IPSEC VPN功能-數(shù)據(jù)機密性完整性保護示例內部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內部WWW重點子網(wǎng)下屬機構Internet原始數(shù)據(jù)包對原始數(shù)據(jù)包進行Hash加密后的數(shù)據(jù)包摘要Hash摘要對原始數(shù)據(jù)包進行加密加密后的數(shù)據(jù)包加密加密后的數(shù)據(jù)包摘要加密后的數(shù)據(jù)包摘要摘要解密原始數(shù)據(jù)包Hash原始數(shù)據(jù)包與原摘要進行比較，驗證數(shù)據(jù)的完整性92什么是SSL VPN安全套接字層（Secure Socket Layer，SSL）屬于高層安全機制，廣泛應用于Web瀏覽程序和We