企業(yè)信息化培訓(xùn)三

企業(yè)信息化傅建明武漢大學(xué)計(jì)算機(jī)學(xué)院謝謝羅敏博士第七章網(wǎng)絡(luò)信息安全網(wǎng)絡(luò)信息安全的概念網(wǎng)絡(luò)信息安全的常用技術(shù)網(wǎng)絡(luò)信息安全的概念網(wǎng)絡(luò)信息安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)能連續(xù)可靠地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全性指計(jì)算機(jī)機(jī)密性、完整性和可用性的實(shí)現(xiàn)。網(wǎng)絡(luò)安全性可用性授權(quán)實(shí)體有權(quán)訪問數(shù)據(jù)。機(jī)密性信息不暴露給未授權(quán)實(shí)體或進(jìn)程。完整性保證數(shù)據(jù)不被未授權(quán)修改。網(wǎng)絡(luò)信息安全的常用技術(shù)防火墻技術(shù)入侵檢測技術(shù)反病毒技術(shù)內(nèi)外網(wǎng)隔離技術(shù)VPN技術(shù)電子郵件的安全7.1防火墻技術(shù)有關(guān)知識(shí)和概念體系結(jié)構(gòu)防火墻的設(shè)計(jì)

7.1.1有關(guān)知識(shí)和概念防火墻的概念

Internet防火墻指能增強(qiáng)網(wǎng)絡(luò)安全性的（一組）系統(tǒng)或一種裝置。它是由軟件或硬件設(shè)計(jì)組合而成，通常位于局域網(wǎng)/內(nèi)部網(wǎng)與Internet/外部網(wǎng)之間，用于加強(qiáng)網(wǎng)絡(luò)間的訪問控制，防止外部用戶非法使用內(nèi)部網(wǎng)的資源，保護(hù)內(nèi)部網(wǎng)絡(luò)不被破壞，防止內(nèi)部網(wǎng)的敏感數(shù)據(jù)被竊取。所以防火墻實(shí)際上可以作為內(nèi)部網(wǎng)和外部網(wǎng)之間的一種訪問控制設(shè)備。它可以是路由器，也可以是個(gè)人主機(jī)、主系統(tǒng)或一批主系統(tǒng)，用于把網(wǎng)絡(luò)或子網(wǎng)同子網(wǎng)外的可能是不安全的系統(tǒng)隔離。7.1.1有關(guān)關(guān)知識(shí)和概概念防火墻的訪訪問控制：：1.服務(wù)控制，，決定哪些些服務(wù)可以以被訪問2.方向控制，，決定哪些些方向的服服務(wù)請(qǐng)求被被發(fā)起3.用戶控制，，哪些用戶戶可以訪問問服務(wù)（本本地用戶，，遠(yuǎn)程用戶戶）4.行為控制，，控制具體體的服務(wù)過過程7.1.1有關(guān)關(guān)知識(shí)和概概念防火墻的應(yīng)應(yīng)用：1.設(shè)立單一阻阻塞點(diǎn)2.提供NAT，對(duì)外可以隱隱藏內(nèi)部IP，可計(jì)費(fèi)3.作為IPSec的平臺(tái)（性能管理理、安全管管理、故障障管理、計(jì)計(jì)費(fèi)管理、、配置管理理）7.1.1有關(guān)關(guān)知識(shí)和概概念防火墻的優(yōu)優(yōu)點(diǎn)防止易受攻攻擊的服務(wù)務(wù)控制訪問網(wǎng)網(wǎng)點(diǎn)集中安全性性增強(qiáng)保密，，強(qiáng)化私有有權(quán)有關(guān)網(wǎng)絡(luò)使使用、濫用用的紀(jì)錄和和統(tǒng)計(jì)政策執(zhí)行7.1.1有關(guān)關(guān)知識(shí)和概概念防火墻的主主要組成部部分：網(wǎng)絡(luò)政策（（高級(jí)的、、低級(jí)的））先進(jìn)的驗(yàn)證證工具包過濾應(yīng)用網(wǎng)關(guān)防火墻設(shè)計(jì)計(jì)的基本方方針只允許訪問問特定的服服務(wù)只拒絕訪問問特定的服服7.1.1有關(guān)關(guān)知識(shí)和概概念防火墻的缺缺點(diǎn)不能防范惡惡意的知情情者不能防范不不通過它的的連接幾乎不能防防范病毒只能用來防防備已知的的威脅，不不能防備新新的未知的的威脅7.1.1有關(guān)關(guān)知識(shí)和概概念按位置分：：l個(gè)人防火墻墻（主機(jī)））l企業(yè)防火墻墻（網(wǎng)絡(luò)））按實(shí)現(xiàn)方式式分：l軟件防火墻墻l硬件防火墻墻l軟硬一體化化防火墻按技術(shù)分：：l包過濾器l應(yīng)用層網(wǎng)關(guān)關(guān)電路層網(wǎng)關(guān)關(guān)防防火墻體系系結(jié)構(gòu)雙宿主主機(jī)機(jī)防火墻被屏蔽主機(jī)機(jī)被屏蔽子網(wǎng)網(wǎng)其它防防火墻體系系結(jié)構(gòu)堡壘主機(jī)bastionhost是網(wǎng)絡(luò)安全全的一個(gè)邊邊界點(diǎn)，可可以作為應(yīng)應(yīng)用層網(wǎng)關(guān)關(guān)和電路層層網(wǎng)關(guān)的服服務(wù)平臺(tái)。雙宿主主機(jī)機(jī)防火墻雙宿主主機(jī)機(jī)防火墻被屏蔽主機(jī)機(jī)被屏蔽主機(jī)機(jī)被屏蔽子網(wǎng)網(wǎng)被屏蔽子網(wǎng)網(wǎng)7.1.3防火火墻的設(shè)計(jì)計(jì)包過濾防火火墻網(wǎng)絡(luò)層(IP層)應(yīng)用層防火火墻應(yīng)用層NAT代理服務(wù)包過濾防火火墻包過濾防火火墻l

源IP地址/目的IP地址l

源端口/目的端口l

IP協(xié)議域-TCP,UDP,ICMP.RIP,OSPF…l

TCP標(biāo)志位ACKl

ICMPtype包過濾防火火墻設(shè)計(jì)要求：：1.外網(wǎng)的主機(jī)機(jī)可以訪問問內(nèi)網(wǎng)的SMTP服務(wù)器（25）2.內(nèi)網(wǎng)的主機(jī)機(jī)可以訪問問外網(wǎng)的SMTP服務(wù)器（25）3.

除1，2外不允許其他流量通過該防火墻包過濾防火火墻包過濾防火火墻規(guī)則號(hào)源源地址目目的地址協(xié)協(xié)議類類型源源端口目目的的端口動(dòng)動(dòng)作ACK位A1外部地址內(nèi)內(nèi)部地地址TCP>102425passanyB2內(nèi)部地址外外部地地址TCP25>1024passACKC3內(nèi)部地址外外部地地址TCP>102425passanyD4外部地址內(nèi)內(nèi)部地地址TCP25>1024passACKE5anyanyanyanyanydropany包過濾防火火墻-狀態(tài)檢查應(yīng)用層網(wǎng)關(guān)關(guān)增加驗(yàn)證功功能/實(shí)現(xiàn)應(yīng)用服服務(wù)。應(yīng)用用層網(wǎng)關(guān)，，也稱為代代理服務(wù)器器，proxy，broker，Agent，傳遞消息。。電路層網(wǎng)關(guān)關(guān)應(yīng)用：Web，BBS，F(xiàn)TP，EMAIL，QQSocks4TCP協(xié)議；Socks5TCP/UDP，IPv6，身份驗(yàn)證，，DNS，RFC1928，1929；；HTTPAgent：：80防火墻的發(fā)發(fā)展1.功能：l包過濾：基基于狀態(tài)檢檢查的包過過濾l基于內(nèi)容的的信息過濾濾非法信息/垃圾郵件/端口掃描/拒絕服務(wù)/病毒/木馬/蠕蟲…lVPN，VirtualPrivateNetworklIDS防火墻的發(fā)發(fā)展2.性能：千兆防火墻墻，專用芯芯片（ASIC快速算法stress-test-強(qiáng)力測試規(guī)則數(shù)

性能

防火墻的發(fā)發(fā)展3.管理：lWeblGUIlConsole/CLI安全，認(rèn)證證4.抗攻擊：scanning，firewalk，SNMPwalk7.2入入侵檢測測技術(shù)入侵檢測的的任務(wù)入侵檢測的的原理入侵檢測的的方法7.2入入侵檢測測技術(shù)入侵：指任任何試圖危危及計(jì)算機(jī)機(jī)資源的完完整性、機(jī)機(jī)密性或可可用性的行行為。入侵的分類類：1.入侵者只獲獲得系統(tǒng)訪訪問權(quán)限，，即獲得了了普通級(jí)別別的系統(tǒng)帳帳號(hào)和口令令并登錄主主機(jī)，不做做破壞性的的工作2.入侵者進(jìn)入入系統(tǒng)后，，毀壞改變變數(shù)據(jù)3.入侵得到部部分或整個(gè)個(gè)系統(tǒng)的控控制權(quán)修改系統(tǒng)帳帳戶、口令令、修改日日志、安裝裝后門、木木馬等4.拒絕服務(wù)的的攻擊，入入侵者并沒沒有獲得系系統(tǒng)的訪問問權(quán)，而是是利用一些些拒絕服務(wù)務(wù)的攻擊程程序，引起起網(wǎng)絡(luò)掛起起或重新啟啟動(dòng).7.2入入侵檢測測技術(shù)入侵的來源源：1.外部入侵者者：未授權(quán)權(quán)的用戶2.內(nèi)部入侵者者：逾越了了合法訪問問權(quán)限的系系統(tǒng)授權(quán)用用戶,如：：偽裝者：盜盜用秘密用戶：：躲過審計(jì)計(jì)7.2入入侵檢測測技術(shù)網(wǎng)絡(luò)中的安安全威脅主主要有：1.身份竊取，，用戶身份份在通信時(shí)時(shí)被非法竊竊取3.

數(shù)據(jù)竊取，指非法用戶截獲通信網(wǎng)絡(luò)的數(shù)據(jù)4.

否認(rèn)，知通信方事后否認(rèn)曾經(jīng)參與某次活動(dòng)的行為5.

非授權(quán)訪問6.

拒絕服務(wù)，指合法用戶的正常申請(qǐng)被拒絕、延遲、更改等7.

錯(cuò)誤路由入侵檢測的的任務(wù)識(shí)別入侵者者和入侵行行為檢測和監(jiān)視視已成功的的安全突破破為對(duì)抗措施施及時(shí)提供供重要信息息入侵檢測，，IntrusionDetection，對(duì)入侵行為為的發(fā)覺。。它通過在在系統(tǒng)（計(jì)計(jì)算機(jī)）網(wǎng)網(wǎng)絡(luò)中的若若干關(guān)鍵點(diǎn)點(diǎn)收集信息息并對(duì)其進(jìn)進(jìn)行分析，，從中發(fā)現(xiàn)現(xiàn)網(wǎng)絡(luò)或系系統(tǒng)中是否否有違反安安全策略的的行為和被被攻擊的跡跡象。進(jìn)行行入侵檢測測的軟件與與硬件的組組合便是入入侵檢測系系統(tǒng)（IntrusionDetectionSystem，IDS）。安全模型PDR模型：P（t）>D（t）+R（t）PreventionDetectionResponse黑客：1.scriptkiddy2.利用已有的的漏洞和弱弱點(diǎn)，編制制新的工具具3.發(fā)現(xiàn)已有的的系統(tǒng)的漏漏洞和弱點(diǎn)點(diǎn)入侵檢測的的功能IDS的功能：1.檢測并分析析用戶和系系統(tǒng)的活動(dòng)動(dòng)2.檢查系統(tǒng)的的配置和漏漏洞-scanning3.評(píng)估系統(tǒng)關(guān)關(guān)鍵資源和和數(shù)據(jù)文件件的完整性性4.識(shí)別已知的的攻擊行為為5.統(tǒng)計(jì)分析異異常行為6.管理操作系系統(tǒng)日志，，并識(shí)別違違反安全策策略的用戶戶活動(dòng)入侵檢測的的原理入侵檢測系系統(tǒng)的分類類根據(jù)審計(jì)數(shù)數(shù)據(jù)的來源源可l基于主機(jī)的的IDS保護(hù)關(guān)鍵位位置的服務(wù)務(wù)器，實(shí)時(shí)時(shí)監(jiān)視可疑疑的連接、、系統(tǒng)日志志、非法訪訪問的入侵侵等。一般般通過分析析審計(jì)記錄錄確認(rèn)是否否有入侵發(fā)發(fā)生.Filemonitor(R,W,E,B);registertablemonitor;memorymonitor;portmonitor.l基于網(wǎng)絡(luò)絡(luò)的IDS通過連接接在網(wǎng)絡(luò)絡(luò)的站點(diǎn)點(diǎn)捕獲網(wǎng)網(wǎng)上的數(shù)數(shù)據(jù)包，，并分析析其是否否具有已已知的攻攻擊模式式，以此此來判別別是否為為入侵者者。基于agent的IDS入侵檢測測的方法法異常檢測測誤用檢測測異常入侵侵檢測分析用戶戶正常的的行為活活動(dòng)，并并建立統(tǒng)統(tǒng)計(jì)概率率模型，，然后觀觀察系統(tǒng)統(tǒng)的行為為，決定定在何種種程序上上將一個(gè)個(gè)行為標(biāo)標(biāo)識(shí)為““異?！薄薄Ｔ摲椒ㄖ恢荒茏R(shí)別別出那些些與正常常過程有有較大偏偏差的行行為，而而無法知知道具體體的入侵侵情況，，誤警較較高。異常入侵侵檢測例：用戶名時(shí)間戳主機(jī)用戶主機(jī)機(jī)命令參數(shù)行為……常用算法法：Bayes，HMM，神經(jīng)網(wǎng)絡(luò)絡(luò)，………優(yōu)點(diǎn)：可可以檢測測未知的的攻擊誤用入侵侵檢測是基于已已知的系系統(tǒng)缺陷陷和入侵侵模式；；假設(shè)能精精確的編編碼攻擊擊特征。。檢測：按按先定義義好的入入侵模式式匹配當(dāng)當(dāng)前用戶戶的活動(dòng)動(dòng)，若匹匹配則有有入侵。。常用算法法：規(guī)則則，專家家系統(tǒng)，，Petrinet……誤用入侵侵檢測例：1.%cp/bin/sh/usr/spool/mail/root2.%chmod4755/usr/spool/mail/root3.%touchx4.%mailroot<x5.%/usr/spool/mail/root6.root%檢測結(jié)果果當(dāng)前用戶戶的活動(dòng)動(dòng)有4種可能：：1.入侵但非非異常，，……漏漏檢2.非入侵且且異常，，……誤誤檢3.非入侵且且非異常常4.入侵且異異常入侵檢測測系統(tǒng)指標(biāo)1可靠靠性，容容錯(cuò)能力力，可連連續(xù)運(yùn)行行TolearanceIntrusionSystem2.可用性3.可測性4.適應(yīng)性，，適應(yīng)環(huán)環(huán)境的變變化（未未知攻擊擊）1.實(shí)時(shí)性--PDR2.準(zhǔn)確性，，——falsepositive誤檢MDADfalsenegative漏檢MD5.安全全性，IDS本身安全全入侵檢測測系統(tǒng)發(fā)展和困困難系統(tǒng)的漏漏洞百出出，入侵侵行為表表現(xiàn)為不不確定性性、復(fù)雜雜性、多多樣性等等。關(guān)鍵的問問題：1.高效的檢檢測算法法2.入侵模式式的自動(dòng)動(dòng)生成及及確認(rèn)3.實(shí)時(shí)監(jiān)測測、響應(yīng)應(yīng)4.入侵描述述語言XML、數(shù)據(jù)標(biāo)準(zhǔn)化5.數(shù)據(jù)捕獲，20M，30M，50M6.IDS間的協(xié)同7.IDS評(píng)估8.容容侵研究7.3反反病毒技術(shù)基本知識(shí)病毒的特征病毒的分類反病毒技術(shù)病毒的預(yù)防措措施7.3反反病毒技術(shù)《中華人民共共和國計(jì)算機(jī)機(jī)信息系統(tǒng)安安全保護(hù)條例例》，在《條條例》第二十十八條中明確確指出：“計(jì)算機(jī)病毒毒，是指編制制或者在計(jì)算算機(jī)程序中插插入的破壞計(jì)計(jì)算機(jī)功能或或者毀壞數(shù)據(jù)據(jù)，影響計(jì)算算機(jī)使用，并并能自我復(fù)制制的一組計(jì)算算機(jī)指令或者者程序代碼””7.3反反病毒技術(shù)其產(chǎn)生的原因因有：（1）、一些計(jì)算算機(jī)愛好者出出于好奇或興興趣；（2）、產(chǎn)生于個(gè)個(gè)別人的報(bào)復(fù)復(fù)心理。（3）、來源于軟軟件加密。（4）、產(chǎn)生于游游戲。（5）、用于研究究或?qū)嶒?yàn)而設(shè)設(shè)計(jì)的“有用用”程序，由由于某種原因因失去控制而而擴(kuò)散出來。。（6）、由于政治治、經(jīng)濟(jì)和軍軍事等特殊目目的，一些組組織或個(gè)人也也會(huì)編制一些些程序用于進(jìn)進(jìn)攻對(duì)方電腦腦。7.3反反病毒技術(shù)其特征可以歸歸納為傳染性性，非授權(quán)性性，隱蔽性，，潛伏性，破破壞性，不可可預(yù)見性和可觸發(fā)性。計(jì)算機(jī)病毒的的傳染性是指指病毒具有把把自身復(fù)制到到其它程序的的能力，是病病毒的基本特特征。非授權(quán)權(quán)性強(qiáng)調(diào)病毒毒程序的執(zhí)行行對(duì)用戶是未未知的，即病病毒的執(zhí)行具具有某種主動(dòng)動(dòng)性。隱蔽性性是指病毒生生存的必要條條件。病毒的的非授權(quán)性，，隱蔽性，潛潛伏性使得病病毒的行為是是不可預(yù)見的的，病毒的觸發(fā)條條件越多，則則傳染性越強(qiáng)強(qiáng)，但同時(shí)其其隱蔽性和潛伏伏性降低。病毒的分類按傳染方式分分：引導(dǎo)型病毒文件型病毒混合型病毒按連接方式分分：源碼型病毒入侵型病毒操作系統(tǒng)型病病毒外殼型病毒按破壞性分：：良性病毒惡性病毒計(jì)算機(jī)病毒的狀態(tài)靜態(tài)病毒，指指存在于輔助助存儲(chǔ)介質(zhì)(如軟盤、硬盤盤、磁帶、CD-ROM)上的計(jì)算機(jī)病病毒。靜態(tài)病病毒不能產(chǎn)生生傳染和破壞壞作用。動(dòng)態(tài)病毒，指指進(jìn)入了計(jì)算算機(jī)內(nèi)存的計(jì)計(jì)算機(jī)病毒，，它必定是隨隨病毒宿主的的運(yùn)行而運(yùn)行行，如使用寄寄生了病毒的的軟、硬盤啟啟動(dòng)機(jī)器，或或執(zhí)行染有病病毒的程序文文件時(shí)進(jìn)入內(nèi)內(nèi)存的。計(jì)算機(jī)病毒的組成病毒程序是一一種特殊程序序，其最大特特點(diǎn)是具有感感染能力。病病毒的感染動(dòng)動(dòng)作受到觸發(fā)發(fā)機(jī)制的控制制，病毒觸發(fā)發(fā)機(jī)制還控制制了病毒的破破壞動(dòng)作。病病毒程序一般般由感染模塊塊、觸發(fā)模塊塊、破壞模塊塊、主控模塊塊組成，相應(yīng)應(yīng)為感染機(jī)制制、觸發(fā)機(jī)制制和破壞機(jī)制制三種。有的的病毒不具備備所有的模塊塊，如巴基斯斯坦智囊病毒毒沒有破壞模模塊。常見計(jì)算機(jī)病病毒種類DOS病毒,PE病毒,宏病毒,腳本病毒,蠕蟲--蠕蟲王/沖擊擊波/MyDoom//Netsky/震蕩波反病毒技術(shù)第一代靜態(tài)特征代碼碼掃描第二代靜態(tài)廣譜特征征掃描第三代靜態(tài)掃描和動(dòng)動(dòng)態(tài)仿真相結(jié)結(jié)合第四代多種技術(shù)相結(jié)結(jié)合反病毒技術(shù)特征值檢測技技術(shù)；校驗(yàn)和檢測技技術(shù)；行為監(jiān)測技術(shù)術(shù)；啟發(fā)式掃描技技術(shù)；虛擬機(jī)技術(shù)。。病毒預(yù)防（1）檢查外來來文件（2）局域網(wǎng)預(yù)預(yù)防（3）購買正版版軟件（4）小心運(yùn)行行可執(zhí)行文文件（5）使用確認(rèn)認(rèn)和數(shù)據(jù)完完整性工具具（6）周期性備備份工作文文件病毒預(yù)防（7）留心計(jì)算算機(jī)出現(xiàn)的的異常，如如操作突然然中止、系系統(tǒng)無法啟啟動(dòng)、文件件消失、文文件屬性自自動(dòng)變更、、程序大小小和時(shí)間出出現(xiàn)異常、、非使用者者意圖的電電腦自行操操作、電腦腦有不明音音樂傳出或或死機(jī)、硬硬盤的指示示燈持續(xù)閃閃爍、系統(tǒng)統(tǒng)的運(yùn)行速速度明顯變變慢、上網(wǎng)網(wǎng)速度緩慢慢。（8）及時(shí)升級(jí)級(jí)抗病毒工工具的病毒毒特征庫和和有關(guān)的殺殺毒引擎。。（9）建立健全全的網(wǎng)絡(luò)系系統(tǒng)安全管管理制度“預(yù)防為主，，消滅結(jié)合合”7.4內(nèi)內(nèi)外網(wǎng)隔隔離技術(shù)（（物理隔離離）什么是物理理隔離物理隔離技技術(shù)雙機(jī)物理隔隔離雙硬盤物理理隔離單硬盤物理理隔離系統(tǒng)統(tǒng)網(wǎng)絡(luò)級(jí)物理理隔離隔離網(wǎng)閘7.4內(nèi)內(nèi)外網(wǎng)隔隔離技術(shù)2000年年1月，國國家保密局局發(fā)文：涉涉密網(wǎng)絡(luò)不不能直接或或間接與互互聯(lián)網(wǎng)或公公眾網(wǎng)互聯(lián)聯(lián)。物理隔離：：指內(nèi)部網(wǎng)網(wǎng)絡(luò)與外部部網(wǎng)絡(luò)之間間物理上沒沒有相互連連接的通道道。邏輯隔離：：指內(nèi)部網(wǎng)網(wǎng)絡(luò)與外部部網(wǎng)絡(luò)之間間物理上有有相互連接接的設(shè)備，，但只是邏邏輯上的通通道。7.4內(nèi)內(nèi)外網(wǎng)隔隔離技術(shù)第一代隔離離技術(shù)———完全的隔隔離。此方方法使得網(wǎng)網(wǎng)絡(luò)處于信信息孤島狀狀態(tài)，做到到了完全的的物理隔離離，需要至至少兩套網(wǎng)網(wǎng)絡(luò)和系統(tǒng)統(tǒng)。第二代隔離離技術(shù)———硬件卡隔隔離。在客客戶端增加加一塊硬件件卡，客戶戶端硬盤或或其他存儲(chǔ)儲(chǔ)設(shè)備首先先連接到該該卡，然后后再轉(zhuǎn)接到到主板上，，通過該卡卡能控制客客戶端硬盤盤或其他存存儲(chǔ)設(shè)備。。而在選擇擇不同的硬硬盤時(shí)，同同時(shí)選擇了了該卡上不不同的網(wǎng)絡(luò)絡(luò)接口，連連接到不同同的網(wǎng)絡(luò)。。共享鍵盤盤/cpu/顯示器P2047.4內(nèi)內(nèi)外網(wǎng)隔隔離技術(shù)第三代隔離離技術(shù)—數(shù)數(shù)據(jù)轉(zhuǎn)播隔隔離。利用用轉(zhuǎn)播系統(tǒng)統(tǒng)分時(shí)復(fù)制制文件的途途徑來實(shí)現(xiàn)現(xiàn)隔離，切切換時(shí)間非非常之久，，甚至需要要手工完成成，不僅明明顯地減緩緩了訪問速速度，更不不支持常見見的網(wǎng)絡(luò)應(yīng)應(yīng)用，失去去了網(wǎng)絡(luò)存存在的意義義.第四代隔離離技術(shù)—空空氣開關(guān)隔隔離。它是是通過使用用單刀雙擲擲開關(guān)，使使得內(nèi)外部部網(wǎng)絡(luò)分時(shí)時(shí)訪問臨時(shí)時(shí)緩存器來來完成數(shù)據(jù)據(jù)交換的，，但在安全全和性能上上存在有許許多問題。。-隔離集集線器第五代隔離離技術(shù)—安安全通道隔隔離。此技技術(shù)通過專專用通信硬硬件和專有有安全協(xié)議議等安全機(jī)機(jī)制，來實(shí)實(shí)現(xiàn)內(nèi)外部部網(wǎng)絡(luò)的隔隔離和數(shù)據(jù)據(jù)交換，透透明支持多多種網(wǎng)絡(luò)應(yīng)應(yīng)用。網(wǎng)閘閘/渡船7.5企企業(yè)的虛虛擬專用網(wǎng)網(wǎng)（VPN技術(shù)）VPN的定義和分分類VPN的作用和特特點(diǎn)VPN技術(shù)什么是VPN?VPN(VirtualPrivateNetwork)是通過internet公共網(wǎng)絡(luò)在在局域網(wǎng)絡(luò)絡(luò)之間或單單點(diǎn)之間安安全地傳遞遞數(shù)據(jù)的技技術(shù)ISPModemsVPNGatewayVPNGateway總部網(wǎng)絡(luò)遠(yuǎn)程局域網(wǎng)絡(luò)總部分支機(jī)構(gòu)單個(gè)用戶InternetVPN可以省去專專線租用費(fèi)費(fèi)用或者長長距離電話話費(fèi)用，大大大降低成成本VPN可以充分利利用internet公網(wǎng)資源，，快速地建建立起公司司的廣域連連接VPN的作用數(shù)據(jù)加密信息認(rèn)證和和身份認(rèn)證證訪問權(quán)限控控制VPN技術(shù)術(shù)隧道協(xié)議（（TunnelProtocols））PPTP(PointtoPointTunnelingProtocol)L2TP(Layer2TunnelingProtocol)Ipsec(SecureIP)隧道服務(wù)器器(TunnelServers)認(rèn)證(Authentication)加密(Encryption)PPTP(PointtoPointTunnelingProtocol)由3Com公司和Microsoft公司合作開開發(fā)的PPTP是第一個(gè)廣廣泛使用建建立VPN的協(xié)議。Windows95/98/NT4.0／2000,Linux、SolarisPPTP可以將其他他類型協(xié)議議的數(shù)據(jù)包包提取出來來，然后封封裝在一個(gè)個(gè)PPTP包中，這樣樣就可以支支持從客戶戶機(jī)到VPN網(wǎng)絡(luò)(LAN)服務(wù)器(例如移動(dòng)用用戶到公司司總部LAN)和LAN-to-LAN(例如分支機(jī)機(jī)構(gòu)、合作作伙伴到總總部VPN網(wǎng)絡(luò)服務(wù)器器)兩種隧道。。PPTP是是PPP協(xié)協(xié)議的擴(kuò)展展當(dāng)與遠(yuǎn)程計(jì)計(jì)算機(jī)連接接時(shí)，PPP需要與遠(yuǎn)程程計(jì)算機(jī)一一起按以下下步驟協(xié)商商完成工作作：(1)在遠(yuǎn)程計(jì)算算機(jī)和服務(wù)務(wù)器之間建建立幀傳輸輸規(guī)則，通通過該規(guī)則則的建立，，才允許進(jìn)進(jìn)行連續(xù)的的通信(通常稱為“幀傳輸”)。(2)遠(yuǎn)程訪問服服務(wù)器通過過使用PPP協(xié)議中的身身份驗(yàn)證協(xié)協(xié)議(如：MS-CHAP、EAP、CHAP、SPAP、PAP等)，來驗(yàn)證遠(yuǎn)遠(yuǎn)程用戶的的身份。(3)身份驗(yàn)證完完畢后，如如果用戶啟啟用了回?fù)軗?，則遠(yuǎn)程程訪問服務(wù)務(wù)器將掛斷斷并呼叫遠(yuǎn)遠(yuǎn)程訪問客客戶機(jī)，實(shí)實(shí)現(xiàn)服務(wù)器器回?fù)堋?4)“網(wǎng)絡(luò)控制協(xié)協(xié)議”(NCP)啟用并配置置遠(yuǎn)程客戶戶機(jī)，使得得所用的LAN協(xié)議與服務(wù)務(wù)器端進(jìn)行行PPP通信連接。。PPTP第2層隧道協(xié)議議（L2TP）L2TP也是PPP協(xié)議的擴(kuò)展展，它綜合合了PPTP和L2F兩個(gè)隧道協(xié)協(xié)議的優(yōu)點(diǎn)點(diǎn)。它是由由Cisco、Microsoft、Ascend、3Com和其他網(wǎng)絡(luò)絡(luò)設(shè)備供應(yīng)應(yīng)商開發(fā)-RFC2661。L2TP主要由LAC(L2TPAccessConcentrator，第2層隧道協(xié)議議接入集線線器)和LNS(L2TPNetworkServer，第2層隧道協(xié)議議網(wǎng)絡(luò)服務(wù)務(wù)器)構(gòu)成L2TPPPTP與L2TP比較1.PPTP要求互聯(lián)網(wǎng)網(wǎng)絡(luò)為IP網(wǎng)絡(luò)。L2TP只要求隧道道媒介提供供面向數(shù)據(jù)據(jù)包的點(diǎn)對(duì)對(duì)點(diǎn)的連接接。L2TP可以在IP（使用UDP），，幀中繼永久久虛擬電路路（PVCs））,X.25虛擬電路（（VC）或ATMVC網(wǎng)絡(luò)上使用用。2.PPTP只能在兩端端點(diǎn)間建立立單一隧道道。L2TP支持在兩端端點(diǎn)間使用用多隧道。。3.L2TP可以提供包包頭壓縮。。當(dāng)壓縮包包頭時(shí)，系系統(tǒng)開銷（（overhead））占用4個(gè)字字節(jié)，而PPTP協(xié)議下要占占用6個(gè)字字節(jié)。4.L2TP可以提供隧隧道驗(yàn)證，，而PPTP則不支持隧隧道驗(yàn)證。。但是當(dāng)L2TP或PPTP與IPSEC共同使用時(shí)時(shí)，可以由由IPSEC提供隧道驗(yàn)驗(yàn)證，不需需要在第2層協(xié)議上上驗(yàn)證隧道道VPN技術(shù)-傳輸模式傳輸模式主主要是為上上層協(xié)議提提供保護(hù)，，同時(shí)增加加了IP包載荷荷的保保護(hù)。。例如如，TCP段或UDP段、ICMP包均是是在主主機(jī)協(xié)協(xié)議棧棧的IP層進(jìn)行行操作作。典典型地地，傳傳輸模模式用用于在在兩臺(tái)臺(tái)主機(jī)機(jī)（如如服務(wù)務(wù)器與與工作作站之之間、、兩個(gè)個(gè)工作作站之之間））進(jìn)行行的端端到端端通信信。當(dāng)當(dāng)一個(gè)個(gè)主機(jī)機(jī)在IPv4上運(yùn)行行AH或ESP時(shí)，其其載荷荷是跟跟在IP報(bào)頭后后面的的數(shù)據(jù)據(jù)，對(duì)對(duì)IPv6而言，，其載載荷是是跟在在IP報(bào)頭后后面的的數(shù)據(jù)據(jù)和IPv6的任何何擴(kuò)展展頭。。傳輸模模式的的ESP加密和和認(rèn)證證（可可選））IP載荷，，但不不包括括IP頭。傳傳輸模模式的的AH認(rèn)證IP載荷和和IP頭的選選中部部分。。VPN技術(shù)-隧道模模式隧道模模式對(duì)對(duì)整個(gè)個(gè)IP包提供供保護(hù)護(hù)。為為了達(dá)達(dá)到這這個(gè)目目的，，當(dāng)IP包加AH或ESP域之后后，整整個(gè)數(shù)數(shù)據(jù)包包加安安全域域被當(dāng)當(dāng)作一一個(gè)新新IP包的載載荷，，并擁擁有一一個(gè)新新的外外部IP包頭。。原來來或內(nèi)內(nèi)部的的整個(gè)個(gè)包利利用隧隧道在在網(wǎng)絡(luò)絡(luò)之間間傳輸輸，沿沿途路路由器器不能能檢查查內(nèi)部部IP包頭。。由于于原來來的包包被封封裝起起來，，新的的、更更大的的包可可以擁擁有完完全不不同的的源地地址與與目的的地址址，以以增強(qiáng)強(qiáng)安全全性。。當(dāng)SA的一端端或兩兩端為為安全全網(wǎng)關(guān)關(guān)時(shí)使使用隧隧道模模式，，如使使用IPS