XXX企業(yè)網(wǎng)絡(luò)規(guī)劃和安全防護設(shè)計方案論文

中南大學網(wǎng)絡(luò)教育學院畢業(yè)大作業(yè)學習中心：婁底學習中心 專業(yè)：計算機應(yīng)用學生姓名： 楊璜 學號：09111510105001評定成績： 評閱老師：XXX企業(yè)網(wǎng)絡(luò)規(guī)劃和安全防護設(shè)計方案摘要：隨著各中小型企業(yè)的飛速發(fā)展，越來越多的企業(yè)的數(shù)據(jù)和信息交流使用網(wǎng)絡(luò)，但很多企業(yè)都忽視了對網(wǎng)絡(luò)的規(guī)劃和安全，導(dǎo)致各種各樣的問題及信息泄露。在這里結(jié)合XXX企業(yè)的網(wǎng)絡(luò)實例，淺談中小企業(yè)的網(wǎng)絡(luò)規(guī)劃，重點介紹中小企業(yè)的網(wǎng)絡(luò)安全中遇到的問題和解決方法。采用端口匯聚、MAC綁定、DHCP、WINDOWS2003及防火墻ISA2006、VPN及IPSEC加密進行網(wǎng)絡(luò)的安全防護。關(guān)鍵詞：網(wǎng)絡(luò)規(guī)劃、安全防護、數(shù)據(jù)加密、MAC綁定、DHCP、IPSEC網(wǎng)絡(luò)規(guī)劃動態(tài)、不斷演進的數(shù)據(jù)網(wǎng)絡(luò)環(huán)境來說，更強大的網(wǎng)絡(luò)連接是不變的需求。無論是企業(yè)或公共服務(wù)數(shù)據(jù)中心，都要盡可能保障網(wǎng)絡(luò)基礎(chǔ)設(shè)施能夠提供可擴展帶寬、冗余業(yè)務(wù)備份、靈活性、安全性并方便移動、增加和變更。為保障服務(wù)的可信賴性，數(shù)據(jù)中心必須使用高密度、方便使用與部署的高品質(zhì)規(guī)劃系統(tǒng)。以XXX商場的網(wǎng)絡(luò)拓撲圖為例：如圖所示，通過三個主交換機，把公司的網(wǎng)絡(luò)分成三個主塊。一塊為收銀區(qū)域，一塊為辦公區(qū)，辦公區(qū)內(nèi)又分樓層辦公區(qū)和五樓集中辦公區(qū)。每一個主交換機負責一塊區(qū)域。區(qū)域內(nèi)的數(shù)據(jù)交換頻繁也不會影響到其它區(qū)域的數(shù)據(jù)交換。收銀區(qū)域為主交換機二負責，主要的數(shù)據(jù)交換為收銀數(shù)據(jù)和會員數(shù)據(jù)的交換流通。非常的時候，要以斷開主交換機二和主交換機連接，來保證收銀系統(tǒng)的正常。如辦公區(qū)域發(fā)生大范圍的中毒情況。此區(qū)域內(nèi)連接了所以收銀需要的數(shù)據(jù)服務(wù)器（IBM服務(wù)器），會員服務(wù)器（CRM）。及需要和其它門店交換數(shù)據(jù)的線路（由H3C-MSR3016路由器轉(zhuǎn)2M的數(shù)字鏈路到其它門店）。并且每一層由一個樓層交換機控制一層的收銀臺，在出故障的時候能夠很快確認出在哪個樓層哪根線路。辦公區(qū)域包括各樓層辦公室和五樓集中辦公區(qū)，播音室、總服務(wù)臺、一個文件服務(wù)器（HP服務(wù)器）、一個防火墻和一個外網(wǎng)路由器及外網(wǎng)線路，并且用主交換機連接收銀區(qū)域和五樓集中辦公區(qū)域。此區(qū)域的機器可通過防火墻與外網(wǎng)聯(lián)接，滿足辦公區(qū)用戶對外網(wǎng)交換數(shù)據(jù)的需求。并且提供一臺文件服務(wù)器（HP服務(wù)器）進行文件共享交換。兩個區(qū)域的劃分，基本上把商場的收銀和辦公分開，數(shù)據(jù)各走一邊，存在少量的數(shù)據(jù)查詢也可通過主交換機到主交換二的線路，優(yōu)化網(wǎng)絡(luò)流量；減少安全隱患。兩個區(qū)域間加一個防火墻進行數(shù)據(jù)過濾保護收銀區(qū)域及服務(wù)器區(qū)的安全，必要的時候可以完全斷開兩個區(qū)域來排查故障。而兩個區(qū)域的擴展也根據(jù)功能合理分工，明確用途。各設(shè)備的型號功能：設(shè)備名品牌型號備注主交換機樓層交換機TPLINK24+4G千兆二層全網(wǎng)管交換機TL-SL5428具備網(wǎng)管功能，各交換機之間用千兆線路連接。數(shù)據(jù)交換大時可以做端口匯聚H3C路由器H3C-MSR3016加光纖模塊連接2M光纖數(shù)字鏈路外網(wǎng)路由器TPLINKVPN路由器TL-R400VPNIBM服務(wù)器IBMSYSTEMP5小型機收銀數(shù)據(jù)CRM服務(wù)器HPHSTNS-5118刀片機會員數(shù)據(jù)HP服務(wù)器HPHSTNS-5118刀片機文件服務(wù)器及OA服務(wù)器防火墻普通柜式服務(wù)器裝WINDOWS2003和ISA防火墻軟件WIN2003SERVER+ISA2006收銀臺海信HK300-3100公司自制的收銀系統(tǒng)工作電腦聯(lián)想揚天M4300辦公電腦2M數(shù)字鏈路電信光纖與集團公司信息交換二、安全防護安全包括五個基本要素：機密性、完整性、可用性、可控性與可審查性。機密性：確保信息不暴露給未授權(quán)的實體或進程。完整性：只有得到允許的人才能修改數(shù)據(jù)，并且能夠判別出數(shù)據(jù)是否可用性?？煽匦裕嚎梢钥刂剖跈?quán)范圍內(nèi)的信息流向及行為方式?？蓪彶樾裕簩Τ霈F(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段?，F(xiàn)在計算機面臨威脅主要表現(xiàn)在以下幾個方面：1.內(nèi)部竊密和破壞。內(nèi)部人員可能對網(wǎng)絡(luò)系統(tǒng)形成下列威脅：內(nèi)部涉密人員有意或無意泄密、更改記錄信息；內(nèi)部非授權(quán)人員有意無意偷竊機密信息、更改網(wǎng)絡(luò)配置和記錄信息；內(nèi)部人員破壞網(wǎng)絡(luò)系統(tǒng)。2．非法訪問。非法訪問指的是未經(jīng)授使用網(wǎng)絡(luò)資源或以未授權(quán)的方式使用網(wǎng)絡(luò)資源，它包括非法用戶如黑客進入網(wǎng)絡(luò)或系統(tǒng)進行違法操作，合法用戶以未授權(quán)的方式進行操作。3．破壞信息的完整性。攻擊可能從三個方面破壞信息的完整性：改變信息流的次序、時序，更改信息的內(nèi)容、形式；刪除某個消息或消息的某些部分；在消息中插入一些信息，讓收方讀不懂或接收錯誤的信息。4．截收。攻擊者可能通過搭線或在電磁波輻射的范圍內(nèi)安裝截收裝置等方式，截獲機密信息，或通過對信息流和流向、通信頻度和長度等參數(shù)的分析，推出有用信息。它不破壞傳輸信息的內(nèi)容，不易被查覺。5．冒充。攻擊者可能進行下列冒充：冒充領(lǐng)導(dǎo)發(fā)布命令、調(diào)閱文件；冒充主機欺騙合法主機及合法用戶；冒充網(wǎng)絡(luò)控制程序套取或修改使用權(quán)限、口令、密鑰等信息，越權(quán)使用網(wǎng)絡(luò)設(shè)備和資源；接管合法用戶、欺騙系統(tǒng)、占用合法用戶的資源。6．破壞系統(tǒng)的可用性。攻擊者可能從下列幾個方面破壞網(wǎng)絡(luò)系統(tǒng)的可用性：使合法用戶不能正常訪問網(wǎng)絡(luò)資源；使有嚴格時間要求的服務(wù)不能及時得到響應(yīng)；摧毀系統(tǒng)。7．重演。重演指的是攻擊者截獲并錄制信息，然后在必要的時候重發(fā)或反復(fù)發(fā)送這些信息。8．抵賴?？赡艹霈F(xiàn)下列抵賴行為：發(fā)信者事后否認曾經(jīng)發(fā)送過某條消息；發(fā)信者事后否認曾經(jīng)發(fā)送過某條消息的內(nèi)容；發(fā)信者事后否認曾經(jīng)接收過某條消息；發(fā)信者事后否認曾經(jīng)接收過某條消息的內(nèi)容。9．其它威脅。對網(wǎng)絡(luò)系統(tǒng)的威脅還包括計算機病毒、電磁泄漏、各種災(zāi)害、操作失誤等。（一）針對公司內(nèi)部網(wǎng)安全方案：對于更改網(wǎng)絡(luò)設(shè)置和非法訪問，可在服務(wù)器、路由器、防火墻綁定所有網(wǎng)絡(luò)設(shè)備及收銀臺、工作電腦的MAC地址和IP一一對應(yīng)。并建立DHCP服務(wù)，在用戶忘記自己網(wǎng)絡(luò)配置的情況下，可自動獲得授權(quán)的IP。剩余的空閑IP也進行鎖定，防止非授權(quán)機器進入網(wǎng)絡(luò)訪問。在訪問服務(wù)器及防火墻時需要授權(quán)的帳號及密碼。最重的是要在所有的網(wǎng)管型交換機上配置好每個端口通過的IP及MAC，IP和MAC跟端口不對應(yīng)也拒絕訪問。破壞、截收、冒充、破壞、重演、抵賴?？梢苑阑饓胺?wù)器還有路由器上定義好用戶的權(quán)限，開啟日志記錄，記錄所有的用戶操作和信息數(shù)據(jù)。并在防火墻的ISA2006防火墻軟件中定義具體策略，允許或拒絕用戶的某些訪問。如下面圖1、圖2、圖3所示圖1圖2圖3經(jīng)常查看日志可以查出隱患，并排除，因保密原因IP就隱藏了。病毒防治在公司人員混雜，個人的使用水平，U盤等交叉使用，上網(wǎng)查詢資料的情況下是非常重要的一環(huán)。有條件的企業(yè)，可以購買網(wǎng)絡(luò)版的殺毒軟件進行防護，例如金山、瑞星、江民等都有網(wǎng)絡(luò)版的殺毒軟件可以使用，在服務(wù)器上統(tǒng)一升級殺毒。沒有購買網(wǎng)絡(luò)殺毒的，也可考慮現(xiàn)在流行的幾款免費或收費單機殺毒軟件如360、金山等已經(jīng)免費。對所有的工作人員進行培訓(xùn)，介紹病毒防治的重要性、特征，和預(yù)防方法。多查看防火墻日志，了解并防止網(wǎng)絡(luò)病毒傳播。網(wǎng)絡(luò)風暴及ARP欺騙，則開啟網(wǎng)管型交換機里的風暴過濾及綁定MAC和IP對應(yīng)端口。把風暴和欺騙終止在最底層交換機。外網(wǎng)入侵的防范在于隱藏IP和防火墻。在外網(wǎng)接口處用一路由器代理，外網(wǎng)只能直接訪問到外網(wǎng)，路由器開啟防止PING，和日志記錄，可以有效的防止對方的掃描有效IP，記錄攻擊的行為和源頭，進一步過濾。路由器后安裝一個防火墻，用策略封掉不需要使用的端口，如圖1所示。過濾訪問內(nèi)網(wǎng)和內(nèi)網(wǎng)出去的數(shù)據(jù)，甚至了過濾掉部份后綴名的文件傳入傳出如圖4所示。圖4可以有效的防止黑客入侵。養(yǎng)成查看日志的習慣可以提前防止攻擊的先兆。打好系統(tǒng)的補丁，防止黑客利用漏洞入侵。對于停電、電磁干擾如打雷、火災(zāi)鼠患等防預(yù)：對于停電，需要安裝在線式UPS，防止停電造成的網(wǎng)絡(luò)中斷及數(shù)據(jù)丟失。電磁干擾需要安裝接地線，接地電阻必須少于4歐。火災(zāi)鼠患，線路套防火套管，防止火燒和鼠咬。接電位置安裝短路安全開關(guān)，重要位置安裝火警報警裝置和安放消防器材。有條件的地方還可以用OrionNetworkPerformanceMonitor監(jiān)控線路設(shè)備的使用情況，出現(xiàn)緊急情況可以短信第一時間發(fā)送到用戶手機上。7. 做好服務(wù)器及重要數(shù)據(jù)的備份，有條件的情況下，可以用磁帶機或外置硬盤把重 要數(shù)據(jù)備份。每天進行增量備份，每隔一定時間做一次完整備份，可以通過計 劃任務(wù)的形式進行定時處理。（二）針對外部線路的安全及加密：在網(wǎng)絡(luò)高速發(fā)展的今天，很多用戶需要在外地接入公司網(wǎng)絡(luò)進行辦公，子公司和集團公司的數(shù)據(jù)交換都需要從外部線路接入企業(yè)網(wǎng)絡(luò)。這就引出來更多的安全問題。數(shù)據(jù)怎么才不被人截取，如何保證數(shù)據(jù)的安全性，和公司網(wǎng)絡(luò)的保密性。在這里可以引用到VPN技術(shù)。在企業(yè)網(wǎng)絡(luò)里的ISA2006防火墻里啟用VPN撥入，針對公司的用戶設(shè)定VPN帳號，設(shè)定撥入的權(quán)限和IP分配。因為VPN是明碼發(fā)送，為了保證數(shù)據(jù)的安全，我們需要啟用IPSEC加密,保證數(shù)據(jù)的安全。如圖5所示。圖5客戶端的VPN設(shè)置以XP為例，如圖6所示：圖6在這里輸入服務(wù)端預(yù)定義的共享密鑰?；蛞宰C書的形式發(fā)放密鑰。這樣，客戶端與服務(wù)器的連接就是通過IPSEC加密了。XXX公司與集團公司的傳輸用的是2M數(shù)據(jù)鏈路。H3C-MSR3016路由器安裝DLC加密模式。通過DLC加密傳輸數(shù)據(jù)到集團公司。集團公司的對端通過DLC解密數(shù)據(jù)包達到交換數(shù)據(jù)的目的。也可以用WIN2003+ISA2006的遠程站點模式，通過IPSEC加密實現(xiàn)VPN局域網(wǎng)對局域網(wǎng)。如圖7所示：兩邊加密模式設(shè)置為一樣。分別輸入對端和本端的IP地址。這樣兩邊的WIN2003+ISA2006就起一個編碼轉(zhuǎn)碼的作用，實現(xiàn)兩個局域網(wǎng)的互通。并且可以在ISA防火墻策略里定義訪問規(guī)則來加強安全性。注：注意一點的是：IPSEC除了WINDOWS系統(tǒng)的客戶端和服務(wù)端外。其它系統(tǒng)和設(shè)備發(fā)出的的IPSEC加密數(shù)據(jù)包一般不能通過NAT路由器。也就是說VPN服務(wù)器前端不能有NAT路由器，不支持IPSEC數(shù)據(jù)包通過NAT路由器。在這里我使用的是WINDOWS2003+ISA2006做服務(wù)端，客戶端用XP自帶的VPN撥號，所以可以通過NAT路由。如需要用別的設(shè)備或系統(tǒng)VPN+IPSEC撥入。需要把VPN服務(wù)器前的NAT路由器去掉,把VPN服務(wù)端曝露在外網(wǎng)。觀點引用文獻：利用IPSec武裝NAT服務(wù)通過端口映射或者地址映射使用軟件：FPINGER5.0網(wǎng)絡(luò)拓撲圖軟件WINDOWS2003高級服務(wù)器版ISA2006防火墻和VPN服務(wù)器結(jié)束語現(xiàn)在網(wǎng)絡(luò)安全方面的產(chǎn)品有很多，比如有防火墻、殺毒軟件、入侵檢測系統(tǒng)，但黑客的非法入侵無孔不入。其根本原因是網(wǎng)絡(luò)自身的安全隱患無法根除。所以我們不要過份依賴工具和軟件，以人為本，加強自身的安全意識，規(guī)劃好網(wǎng)絡(luò)環(huán)境，對網(wǎng)絡(luò)安全能起到一個更好的防護作用。.面對不斷變化著的病毒和侵入，我們必須時刻提高警惕，不斷發(fā)展網(wǎng)絡(luò)安全技術(shù)，創(chuàng)造安全通暢的網(wǎng)絡(luò)環(huán)境。在完成本作業(yè)的過程中，我積極參與了XXX單位的網(wǎng)絡(luò)規(guī)劃設(shè)計工作，從其他工程師那里學到了大量實用的技術(shù)，將學校學到的理論應(yīng)用到了實際的工程之中，從中受益匪淺，同時也要感謝婁底電大吳老師的細心指導(dǎo)，考慮到實際網(wǎng)絡(luò)應(yīng)用的安全問題，本作業(yè)中具體的單位信息沒有公開，敬請諒解。名詞解釋：端口匯聚：TRUNK是端口匯聚的意思，就是通過配置軟件的設(shè)置，將2個或多個物理端口組合在一起成為一條邏輯的路徑從而增加在交換機和網(wǎng)絡(luò)節(jié)點之間的帶寬，將屬于這幾個端口的帶寬合并，給端口提供一個幾倍于獨立端口的獨享的高帶寬。Trunk是一種封裝技術(shù)，它是一條點到點的鏈路，鏈路的兩端可以都是交換機，也可以是交換機和路由器，還可以是主機和交換機或路由器?；诙丝趨R聚（Trunk）功能，允許交換機與交換機、交換機與路由器、主機與交換機或路由器之間通過兩個或多個端口并行連接同時傳輸以提供更高帶寬、更大吞吐量，大幅度提供整個網(wǎng)絡(luò)能力。（引用百度百科/view/2054029.htm）數(shù)字鏈路：目前，很多企業(yè)在構(gòu)建Intranet時，會更多的選擇基于光通信網(wǎng)絡(luò)傳遞信息的數(shù)字鏈路技術(shù)。數(shù)字鏈路的兩種認識：1、廣義上：一切以數(shù)字信號傳輸?shù)?，并采用時分復(fù)用技術(shù)提供線路分幀能力的數(shù)據(jù)傳輸鏈路技術(shù)。比如，DDN（數(shù)字數(shù)據(jù)網(wǎng)）技術(shù)和衛(wèi)星微波數(shù)字通信技術(shù)2、狹義上：其實是數(shù)字傳輸鏈路技術(shù)的一種。對一光纖為骨干傳輸?shù)?，采用?shù)字信號傳輸數(shù)據(jù)并使用時分復(fù)用技術(shù)提供線路分幀能力，可以承載多種傳輸協(xié)議并要求在傳輸時進行協(xié)議轉(zhuǎn)換的數(shù)據(jù)傳輸鏈路技術(shù)，稱為數(shù)字鏈路。連接拓撲：用戶設(shè)備-----協(xié)議轉(zhuǎn)換器-----局端光端機（ISP光傳輸網(wǎng)絡(luò)）（引用百度百科/view/4686941.htm）ISA2006：ISA（InternetSecurityAcceleration）目前的版本有ISA2000ISA2004ISA2006ISA2008，是一款微軟出品的著名路由級網(wǎng)絡(luò)防火墻。其主要功能有：1、防火墻（firewall）防火墻可以過濾進出內(nèi)部網(wǎng)絡(luò)的流量，可以利用它來控制內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)之間的通信，以增加網(wǎng)絡(luò)的安全性。也可以用它安全地發(fā)布（publishing）企業(yè)內(nèi)部的服務(wù)器，以便讓客戶與合作伙伴來分享內(nèi)部網(wǎng)絡(luò)的資源，例如電子郵件服務(wù)器，網(wǎng)站等。除了一般的數(shù)據(jù)包篩選功能外，ISA還提供了許多應(yīng)用程序篩選器，它可以針對應(yīng)用程序來篩選數(shù)據(jù)包。2、虛擬專用網(wǎng)（VPN）虛擬專用網(wǎng)（VPN）可以讓遠程用戶與局域網(wǎng)(LAN)之間，或者是分別位于兩地的局域網(wǎng)之間，通過因特網(wǎng)來建立一個安全的通道。3、網(wǎng)頁緩存（webcache）通過將用戶經(jīng)常訪問的網(wǎng)頁保存到ISA服務(wù)器的硬盤與內(nèi)存，不但讓用戶更快的訪問網(wǎng)頁，同時也提高網(wǎng)絡(luò)資源的利用，節(jié)省網(wǎng)絡(luò)帶寬。（引用百度百科/view/13594.htm）在線式UPS：在市電正常時，市電經(jīng)由突波吸收濾波電路→交流電轉(zhuǎn)換直流電電路→直流電轉(zhuǎn)換交流電電路→并轉(zhuǎn)換交流電輸出供應(yīng)負載，并同時對電池充電；一旦微處理器控制電路偵測到市電中斷，則立即由電池放電→直流電轉(zhuǎn)換交流電電路→并轉(zhuǎn)換交流電輸出供應(yīng)負載使用。如果，微處理器控制電路偵測到UPS故障，此時UPS會借由繼電器（RELAY）跳至旁路（BYPASS），由市電供應(yīng)負載電力，并發(fā)出聲響警告使用者。（引用百度百科/view/3308310.htm）OrionNetworkPerformanceMonitor是完全的帶寬性能和故障管理軟件，從路由器、轉(zhuǎn)換器、服務(wù)器和其他SNMP設(shè)備中監(jiān)控和收集數(shù)據(jù)，您可以直接從Web瀏覽器上觀察您網(wǎng)絡(luò)信息的實時統(tǒng)計表。另外，Orion還能監(jiān)控CPU負載、內(nèi)存利用率和可用硬盤空間。OrionNPM高度可升級，能夠監(jiān)控10到10,000個網(wǎng)絡(luò)節(jié)點。VPN：虛擬專用網(wǎng)絡(luò)(VirtualPrivateNetwork，簡稱VPN)指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。其之所以稱為虛擬網(wǎng)，主要是因為整個VPN網(wǎng)絡(luò)的任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺，如Internet、ATM(異步傳輸模式〉、FrameRelay(幀中繼)等之上的邏輯網(wǎng)絡(luò)，用戶數(shù)據(jù)在邏輯鏈路中傳輸。它涵蓋了跨共享網(wǎng)絡(luò)或公共網(wǎng)絡(luò)的封裝、加密和身份驗證鏈接的專用網(wǎng)絡(luò)的擴展。VPN主要采用了彩隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份認證技術(shù)。IPSEC：IPSec是安全聯(lián)網(wǎng)的長期方向。它通過端對端的安全性來提供主動的保護以防止專用網(wǎng)絡(luò)與Internet的攻擊。在通信中，只有發(fā)送方和接收方才是唯一必須了解IPSec保護的計算機。在WindowsXP和WindowsServer2003家族中，IPSec提供了一種能力，以保護工作組、局域網(wǎng)計算機、域客戶端和服務(wù)器、分支機構(gòu)（物理上為遠程機構(gòu)）、Extranet以及漫游客戶端之間的通信。參考文獻：利用IPSec武裝NAT服務(wù)通過端口映射或者地址映射/htmlnews/2009-04-02/92542.htmNAT技術(shù)可以通過端口映射或者地址映射，讓外部用戶能夠訪問企業(yè)內(nèi)部的應(yīng)用服務(wù)器;也可以把內(nèi)部計算機隱藏起來，以加強其安全性。無論是哪一種功能，NAT服務(wù)器都是通過數(shù)據(jù)包包頭的地址與端口信息來實現(xiàn)的。即當數(shù)據(jù)包從企業(yè)內(nèi)網(wǎng)通過NAT服務(wù)器傳到互聯(lián)網(wǎng)的時候，NAT服務(wù)器會改變數(shù)據(jù)包包頭中的信息。會把內(nèi)網(wǎng)的IP地址信息轉(zhuǎn)變?yōu)镹AT服務(wù)器的公網(wǎng)IP地址。但是，此時如果網(wǎng)絡(luò)管理員同時想用IPSec技術(shù)來加強NAT技術(shù)的安全，就會出現(xiàn)問題。因為IPSec機護送會檢查數(shù)據(jù)包的包頭信息。如果數(shù)據(jù)包的包頭信息被修改的話，則IPSec會認為這個包被篡改過，而丟棄。也就是說IPSec安全技術(shù)是不允許變更數(shù)據(jù)包的包頭。一、利用IPSec武裝NAT服務(wù)時可能遇到的問題描述IPSec技術(shù)主要采用AH(傳輸模式)或者ESP(隧道模式)兩種安全措施。傳輸模式會將所傳送的信息簽名。這個信息簽名主要用來確認收到的信息沒有被篡改，由此接收方可以確認信息確實是由索要通信的計算機發(fā)送過來的，從而防止欺騙攻擊以及傳送過程中信息被非法修改。隧道模式同傳輸模式一樣，也會對所需要傳送的信息簽名。不過他與隧道模式有一個很大的不同，就是隧道模式會對信息進行加密。但是傳輸模式卻不會對信息進行加密處理。但是無論采用哪種方式，IPSec都不允許在傳輸過程中對包頭信息進行更改。如在傳輸模式下，IPSec會將整個數(shù)據(jù)包簽名，也就是說在傳輸過程中若對數(shù)據(jù)包進行任何的更改，都會影響這個數(shù)據(jù)包的簽名信息。所以如果NAT服務(wù)器改變數(shù)據(jù)包內(nèi)的IP地址或者端口信息，IPSec服務(wù)器就會將認為這個數(shù)據(jù)包被非法篡改了，而將此數(shù)據(jù)包視為無效而丟棄掉。如ESP傳輸或者隧道模式中，雖然ESP傳輸模式的原始IP包頭或者ESP隧道模式的新建隧道模式還是保留原狀，并沒有被IPSec技術(shù)簽名或者加密。但是數(shù)據(jù)包中的端口信息會被加密，因而NAT服務(wù)器無法讀取。所以雖然在這種情況下，NAT服務(wù)器可以改變在傳輸模式中的客戶端IP地址，或者是隧道模式中的端點計算機的IP地址，但是卻無法更改被IPSec技術(shù)加密過的端口信息。為此NAT服務(wù)器在此時也將無用武之地。雖然通訊計算機之間存在的所有路由器或交換機等網(wǎng)絡(luò)設(shè)備都會將加密的數(shù)據(jù)包轉(zhuǎn)發(fā)給它們的目的地。但是，如果這個傳輸路徑中有防火墻、安全路由器或代理服務(wù)器，就可能不會轉(zhuǎn)發(fā)IPSec技術(shù)加密過的數(shù)據(jù)包。此時必須配置這些設(shè)備以允許IPSec協(xié)議數(shù)據(jù)包經(jīng)過。如果IPSec數(shù)據(jù)包未加密(即采用AH模式，只簽名不加密)，防火墻或安全路由器仍可以檢查端口或數(shù)據(jù)包中的其他內(nèi)容。如果這些數(shù)據(jù)包的內(nèi)容在發(fā)出之后被修改，那么接收計算機就會檢測出這種修改并丟棄這些數(shù)據(jù)包。UDP-ESP封裝在Windows服務(wù)器中，為了解決IPSec無法跨越NAT服務(wù)器的問題，專門設(shè)計了一套UDP-ESP封裝的方案。即支持將ESP模式的IPSec數(shù)據(jù)包，封裝到UDP包頭內(nèi)的功能。由于ESP包頭被裝到UDP包頭內(nèi)，數(shù)據(jù)包內(nèi)的原始包頭與UDP包頭都沒有被加密與簽名，為此NAT服務(wù)器可以改變這個數(shù)據(jù)包的IP地址與UDP端口。微軟之所以所以使用UDP來封裝ESP數(shù)據(jù)包是因為UDP提供了最小標準的封裝，8比特就夠了。如果換做TCP封裝則需要20比特而且是面向無連接協(xié)議。TCP的建鏈和拆鏈過程會引入諸如RESET攻擊這類影響IPSec性能的負面效果。所以Windows服務(wù)器操作系統(tǒng)產(chǎn)品的IPSec技術(shù)實現(xiàn)為新的互聯(lián)網(wǎng)規(guī)范提供了支持。該規(guī)范允許網(wǎng)絡(luò)地址轉(zhuǎn)換器(NAT服務(wù)器)修改IPSec加密或者簽名過數(shù)據(jù)包。IPSec技術(shù)封裝安全有效負載(ESP)數(shù)據(jù)包可以越過允許UDP通信的NAT服務(wù)器。相關(guān)協(xié)議會自動檢測NAT服務(wù)器是否存在并使用用戶數(shù)據(jù)報協(xié)議(UDP-ESP)封裝來允許IPSec通信，允許其越過NAT服務(wù)器。為此如果要用IPSec技術(shù)來武裝NAT服務(wù)的話，必須同時滿足兩個條件。一是IPSec通信的雙方計算機都必須支持這種UDP-ESP封裝的數(shù)據(jù)包，即能夠辨識UDP目的端口為800、后面跟著八個0的這種格式的數(shù)據(jù)據(jù)包。二是IPSec必須采用ESP模式。目前只有ESP模式支持UDP-ESP封裝。通常無情況下，NAT服務(wù)器上的IPSec功