2022年網(wǎng)絡(luò)安全復(fù)習(xí)筆記

第一章信息安全是防止對知識、事實、數(shù)據(jù)或能力非授權(quán)使用、誤用、篡改或拒絕使用所采取的措施（量度）。網(wǎng)絡(luò)安全是在分布網(wǎng)絡(luò)環(huán)境中，對信息載體（處理載體、存儲載體、傳輸載體）和信息的處理、傳輸、存儲、訪問提供安全保護(hù)，以防止數(shù)據(jù)、信息內(nèi)容或能力被非授權(quán)使用、篡改或拒絕服務(wù)。計算機(jī)網(wǎng)絡(luò)的安全隱患IP安全:口令竊聽、IP欺騙、路由攻擊：DNS安全拒絕服務(wù)（DenialofService,DoS）攻擊:發(fā)送SYN信息分組、郵件炸彈：分布式拒絕服務(wù)（DistributedDenialofService,DDoS）攻擊網(wǎng)絡(luò)安全具有三個基本屬性機(jī)密性（保密性）是指保證信息與信息系統(tǒng)不被非授權(quán)者所獲取與使用，主要防范措施是密碼技術(shù)完整性是指信息是真實可信的，其發(fā)布者不被冒充，來源不被偽造，內(nèi)容不被篡改，主要防范措施是校驗與認(rèn)證技術(shù)可用性是指保證信息與信息系統(tǒng)可被授權(quán)人正常使用，主要防范措施是確保信息與信息系統(tǒng)處于一個可靠的運(yùn)行狀態(tài)之下網(wǎng)絡(luò)安全模型為了在開放網(wǎng)絡(luò)環(huán)境中保護(hù)信息的傳輸，需要提供安全機(jī)制和安全服務(wù)，主要包含兩個部分：一部分是對發(fā)送的信息進(jìn)行與安全相關(guān)的轉(zhuǎn)換，另一部分是由兩個主體共享的秘密信息，而對開放網(wǎng)絡(luò)是保密的。在設(shè)計網(wǎng)絡(luò)安全系統(tǒng)時，該網(wǎng)絡(luò)安全模型應(yīng)完成4個基本任務(wù)：設(shè)計一個算法以實現(xiàn)和安全有關(guān)的轉(zhuǎn)換。產(chǎn)生一個秘密信息用于設(shè)計的算法。開發(fā)一個分發(fā)和共享秘密信息的方法。確定兩個主體使用的協(xié)議，用于使用秘密算法與秘密信息以得到特定的安全服務(wù)。網(wǎng)絡(luò)訪問安全模型黑客攻擊可以形成兩類威脅：信息訪問威脅、服務(wù)威脅信息安全分成3個階段通信安全的主要目的是解決數(shù)據(jù)傳輸?shù)陌踩珕栴}，主要的措施是密碼技術(shù)計算機(jī)安全的主要目的是解決計算機(jī)信息載體及其運(yùn)行的安全問題，主要的措施是根據(jù)主、客體的安全級別，正確實施主體對客體的訪問控制網(wǎng)絡(luò)安全的主要目的是解決在分布網(wǎng)絡(luò)環(huán)境中對信息載體及其運(yùn)行提供的安全保護(hù)問題，主要的措施是提供完整的信息安全保障體系，包括防護(hù)、檢測、響應(yīng)、恢復(fù)。對稱密鑰密碼技術(shù)從加密模式上可分為兩類：序列密碼和分組密碼。序列密碼：RC4分組密碼：DES、IDEA、AES公鑰算法：RSA第二章風(fēng)險分析是對需要保護(hù)的資產(chǎn)及其受到的潛在威脅進(jìn)行鑒別的過程，風(fēng)險是威脅和漏洞（脆弱性）的組合，正確的風(fēng)險分析是保證網(wǎng)絡(luò)環(huán)境安全的極其重要的一步。資產(chǎn)的類型一般可分成以下4類：物理資源、知識資源、時間資源、信譽(yù)（感覺）資源網(wǎng)絡(luò)安全最終是一個折中的方案，需要對危害和降低危害的代價進(jìn)行權(quán)衡：用戶的方便程度、管理的復(fù)雜性、對現(xiàn)有系統(tǒng)的影響、對不同平臺的支持。安全屬性來看，攻擊類型分為4類：阻斷攻擊截取攻擊篡改攻擊偽造攻擊。從攻擊方式來看，攻擊類型可分為被動攻擊和主動攻擊。從攻擊目的和效果將攻擊類型分為：訪問攻擊篡改攻擊拒絕服務(wù)攻擊否認(rèn)攻擊，拒絕服務(wù)攻擊主要是針對計算機(jī)和網(wǎng)絡(luò)系統(tǒng)。否認(rèn)攻擊是針對信息的可審性進(jìn)行的風(fēng)險管理：從本質(zhì)上講，安全就是風(fēng)險管理，漏洞和威脅是測定風(fēng)險的兩個組成部分。風(fēng)險是威脅和漏洞的綜合結(jié)果，沒有漏洞的威脅沒有風(fēng)險，沒有威脅的漏洞也沒有風(fēng)險，風(fēng)險的度量是要確定事件發(fā)生的可能性和造成的損失。第三章信息策略定義一個組織內(nèi)的敏感信息以及如何保護(hù)敏感信息。包括：識別敏感信息，信息分類，敏感信息標(biāo)記，敏感信息存儲，敏感信息傳輸，敏感信息銷毀安全策略兩個主要任務(wù)：確定安全的實施，使員工的行動一致第四章機(jī)密性服務(wù)機(jī)密性服務(wù)提供信息的保密。機(jī)密性服務(wù)能對抗訪問攻擊。機(jī)密性服務(wù)必須和可審性服務(wù)配合工作。機(jī)密性服務(wù)應(yīng)考慮信息所在的形式和狀態(tài)完整性服務(wù)完整性服務(wù)提供信息的正確性。正確地使用完整性服務(wù)，可使用戶確信信息是正確的，未經(jīng)非授權(quán)者修改過。完整性服務(wù)必須和可審性服務(wù)配合工作。完整性服務(wù)應(yīng)考慮信息所在的形式和狀態(tài)。完整性服務(wù)可阻止篡改攻擊和否認(rèn)攻擊?？捎眯苑?wù)可用性服務(wù)提供的信息是可用的?？捎眯允购戏ㄓ脩裟茉L問計算機(jī)系統(tǒng)，存取該系統(tǒng)上的信息，運(yùn)行各種應(yīng)用程序。可用性還提供兩個計算機(jī)系統(tǒng)之間可用的傳輸信息的通信系統(tǒng)?？捎眯苑?wù)可用來減少拒絕服務(wù)攻擊的影響，使系統(tǒng)得以在線恢復(fù)、正常運(yùn)行。可審性服務(wù)可審性服務(wù)本身并不能針對攻擊提供保護(hù)，必須和其他安全服務(wù)結(jié)合?？蓪徯苑?wù)會增加系統(tǒng)的復(fù)雜性，降低系統(tǒng)的使用能力。如果沒有可審性服務(wù)，機(jī)密性服務(wù)和完整性服務(wù)也會失效。身份認(rèn)證技術(shù)口令技術(shù)采用物理形式的身份認(rèn)證標(biāo)記進(jìn)行身份認(rèn)證的鑒別技術(shù)身份認(rèn)證協(xié)議身份認(rèn)證協(xié)議一般有兩個通信方，可能還會有一個雙方都信任的第三方參與進(jìn)行。身份認(rèn)證協(xié)議可分為以下幾類：會話密鑰：傳統(tǒng)密鑰共享密鑰認(rèn)證公鑰認(rèn)證審計功能可審性的另一個重要功能是審計。審計提供歷史事件的記錄。數(shù)字簽名數(shù)字簽名是通信雙方在網(wǎng)上交換信息用公鑰密碼防止偽造和欺騙的一種身份認(rèn)證。數(shù)字簽名的作用：保證信息完整性；提供信息發(fā)送者的身份認(rèn)證。數(shù)字簽名的特征必須能夠驗證作者及其簽名的日期時間必須能夠認(rèn)證簽名時刻的內(nèi)容簽名必須能夠由第三方驗證，以解決爭議數(shù)字簽名分類數(shù)字簽名的執(zhí)行方式直接數(shù)字簽名：數(shù)字簽名的執(zhí)行過程只有通信雙方參與，弱點(diǎn)：方案的有效性取決于發(fā)方私鑰的安全性仲裁數(shù)字簽名數(shù)字簽名算法：RSA，DSS/DSA，ElGamal消息摘要消息X和已簽名的消息摘要D(H)合在一起是不可偽造的，是可檢驗的和不可否認(rèn)的。消息摘要算法常用的散列函數(shù)有MD5、SHA-1消息摘要算法是精心選擇的一種單向函數(shù)Kerberos鑒別是一種使用對稱密鑰加密算法來實現(xiàn)通過可信第三方密鑰分發(fā)中心的身份認(rèn)證系統(tǒng)。提供網(wǎng)絡(luò)通信方之間相互的身份認(rèn)證手段。Kerberos使用兩個服務(wù)器：鑒別服務(wù)器（AuthenticationServer,AS）、憑據(jù)授予服務(wù)器（Ticket-GrantingServer,TGS）。到目前共有5個版本。1、2、3版為實驗室版。第4、5版得到廣泛應(yīng)用。第5版和第4版基本原理一致，只對第4版做了部分改進(jìn)。公鑰基礎(chǔ)設(shè)施公鑰基礎(chǔ)設(shè)施（PublicKeyInfrastructure,PKI）是在分布式計算機(jī)系統(tǒng)中提供的使用公鑰密碼系統(tǒng)和X.509證書安全服務(wù)的基礎(chǔ)設(shè)施。主要任務(wù)是在開放環(huán)境中為開放性業(yè)務(wù)提供基于公開密鑰技術(shù)的一系列安全服務(wù)，包括身份證書和密鑰管理、機(jī)密性、完整性、身份認(rèn)證和數(shù)字簽名等。PKI提供的基本服務(wù)認(rèn)證：采用數(shù)字簽名技術(shù)，簽名作用于相應(yīng)的數(shù)據(jù)之上完整性：數(shù)字簽名：既可以是實體認(rèn)證，也可以是數(shù)據(jù)完整性保密性：用公鑰分發(fā)隨機(jī)密鑰，然后用隨機(jī)密鑰對數(shù)據(jù)加密不可否認(rèn)性：發(fā)送方的不可否認(rèn)——數(shù)字簽名，接受方的不可否認(rèn)——收條+數(shù)字簽名訪問控制訪問控制是確定來訪實體有否訪問權(quán)以及實施訪問權(quán)限的過程。訪問控制表（AccessControlList,ACL）按行存儲矩陣。權(quán)利表（Capability）按列存儲矩陣。訪問控制分類根據(jù)能夠控制的訪問對象粒度可以分為：粗粒度訪問控制，中粒度訪問控制，細(xì)粒度訪問控制根據(jù)訪問控制策略的不同，訪問控制可以分為：自主訪問控制，強(qiáng)制訪問控制，基于角色的訪問控制第五章系統(tǒng)安全體系結(jié)構(gòu)可信系統(tǒng)體系結(jié)構(gòu)要素包括定義主體和客體的子集、可信計算基、安全邊界、基準(zhǔn)監(jiān)控器和安全內(nèi)核、安全域、資源隔離、安全策略和最小特權(quán)在計算機(jī)系統(tǒng)中全部保護(hù)機(jī)制的組合定義為可信計算基（trustedcomputingbase,TCB）。TCB涉及硬件、軟件和固件。網(wǎng)絡(luò)體系結(jié)構(gòu)的觀點(diǎn)ISO7498-2標(biāo)準(zhǔn)定義了5類安全服務(wù)、8種特定的安全機(jī)制、5種普遍性安全機(jī)制OSI安全體系結(jié)構(gòu)的5類安全服務(wù):鑒別（對等實體鑒別，數(shù)據(jù)原發(fā)鑒別），訪問控制，數(shù)據(jù)機(jī)密性（連接機(jī)密性，無連接機(jī)密性，選擇字段機(jī)密性，通信業(yè)務(wù)流機(jī)密性），數(shù)據(jù)完整性(帶恢復(fù)的連接完整性，無恢復(fù)的連接完整性，選擇字段的連接完整性，無連接完整性，選擇字段無連接完整性)，抗否認(rèn)（有數(shù)據(jù)原發(fā)證明的抗否認(rèn)，有交付證明的抗否認(rèn)）普遍性安全機(jī)制：可信功能度，安全標(biāo)記，事件檢測，安全審計跟蹤，安全恢復(fù)特定的安全機(jī)制：加密機(jī)制，數(shù)字簽名機(jī)制，訪問控制機(jī)制，數(shù)據(jù)完整性機(jī)制，交換鑒別機(jī)制，業(yè)務(wù)流量填充機(jī)制，路由控制機(jī)制，公證機(jī)制安全特性是基于ISO7498-2的5種安全服務(wù)，包括鑒別、訪問控制、數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性、抗否認(rèn)。第六章物理網(wǎng)絡(luò)風(fēng)險及安全攻擊包括：竊聽回答（重放）插入拒絕服務(wù)（DoS）局域網(wǎng)LAN的安全攻擊類型 破壞干擾故意攻擊防御方法：防火墻特權(quán)區(qū) LAN連接DMZ：DMZ是在LAN和WAN之間的一個隔離的網(wǎng)段，DMZ對網(wǎng)絡(luò)安全提供3個關(guān)鍵的好處：限制數(shù)據(jù)流、限制物理連接以及監(jiān)控訪問點(diǎn)無線網(wǎng)絡(luò)安全無線網(wǎng)風(fēng)險分組嗅測：無線網(wǎng)攻擊的最簡單方式。無線網(wǎng)上的數(shù)據(jù)流本質(zhì)上是一總線結(jié)構(gòu)服務(wù)集標(biāo)識SSID信息：SSID通常設(shè)置為一個公司名、家庭名或街道地址。這種數(shù)據(jù)類型能被潛在的攻擊者破壞假冒寄生者直接安全漏洞風(fēng)險緩解的方法SSID打標(biāo)簽，不使SSID廣播，天線放置，MAC過濾，WEP，其他密碼系統(tǒng)，網(wǎng)絡(luò)體系結(jié)構(gòu)數(shù)據(jù)鏈路層風(fēng)險及安全數(shù)據(jù)鏈路層風(fēng)險隨意模式：隨意模式攻擊：隨意模式通常用于網(wǎng)絡(luò)分析和查錯工具，但是攻擊者也能利用該模式進(jìn)行攻擊。隨意模式的檢測方法：使用ARP檢測連接隨意模式，使用ICMP檢測隨意模式，使用DNS檢測隨意模式負(fù)載攻擊，地址攻擊，幀外數(shù)據(jù)，轉(zhuǎn)換通道，物理風(fēng)險數(shù)據(jù)鏈路層風(fēng)險緩解方法：硬編碼，數(shù)據(jù)鏈路身份鑒別，高層身份鑒別，分析器和工具PPP和SLIP的風(fēng)險：身份鑒別，雙向通信，用戶教育MAC和ARP的風(fēng)險：MAC的風(fēng)險：硬件框架攻擊，偽裝攻擊，負(fù)載攻擊ARP受損的影響：資源攻擊，DoS攻擊，中間人攻擊（MitM攻擊）緩解ARP的受損：硬編碼ARP表，ARP過期，過濾ARP回答，鎖住ARP表交換機(jī)攻擊：交換機(jī)中毒攻擊，交換機(jī)淹沒攻擊網(wǎng)絡(luò)層風(fēng)險及安全路由風(fēng)險;直接路由器攻擊,路由表中毒，路由表淹沒，路由度量攻擊，路由器環(huán)路攻擊地址機(jī)制的風(fēng)險：假地址，地址攔截，假釋放攻擊，假的動態(tài)分配分段的風(fēng)險：丟失分段攻擊，最大的不分段大小，分段重組網(wǎng)絡(luò)層安全：安全協(xié)議，網(wǎng)絡(luò)不兼容能力，體系結(jié)構(gòu)，安全過濾，防火墻和出口過濾IP風(fēng)險：地址沖突，IP攔截，回答攻擊，分組風(fēng)暴，分段攻擊，轉(zhuǎn)換通道IP安全可選方案：禁用ICMP，非路由地址，網(wǎng)絡(luò)地址轉(zhuǎn)換NAT，反向NAT，IP過濾，出口過濾，IPSec，IPv6匿名：網(wǎng)絡(luò)匿名是阻止識別連接的參與者。網(wǎng)絡(luò)匿名有3個不同屬性：源匿名、目的匿名和鏈路匿名。第七章傳輸層核心功能傳輸層定義網(wǎng)絡(luò)層和面向應(yīng)用層之間的接口，從應(yīng)用層抽象連網(wǎng)功能，包括連接管理、分組組裝和服務(wù)識別，傳輸層有兩個核心成分，即傳輸層端口和序列。傳輸層風(fēng)險:緩解對TCP攻擊的方法:改變系統(tǒng)框架,阻斷攻擊指向,識別網(wǎng)絡(luò)設(shè)備,狀態(tài)分組檢驗,入侵檢測系統(tǒng)（IDS）,入侵防御系統(tǒng)（IPS），高層協(xié)議UDP風(fēng)險:非法的進(jìn)入源,UDP攔截，UDP保持存活攻擊，UDPSmurf攻擊，UDP偵察安全套接字層SSLSSL分為兩層，上面是SSL協(xié)商層，雙方通過協(xié)商約定有關(guān)加密的算法、進(jìn)行身份鑒別等；下面是SSL記錄層，它把上層的數(shù)據(jù)經(jīng)分段、壓縮后加密，由傳輸層傳送出去。SSL采用公鑰方式進(jìn)行身份鑒別，但大量數(shù)據(jù)傳輸仍使用對稱密鑰方式。通過雙方協(xié)商，SSL可支持多種身份鑒別、加密和檢驗算法同網(wǎng)絡(luò)層安全機(jī)制相比，傳輸層安全機(jī)制的主要優(yōu)點(diǎn)是它提供基于進(jìn)程對進(jìn)程的（而不是主機(jī)對主機(jī)的）安全服務(wù)和加密傳輸信道，利用公鑰體系進(jìn)行身份鑒別，安全強(qiáng)度高，支持用戶選擇的加密算法DNS風(fēng)險及緩解方法直接風(fēng)險無身份鑒別的響應(yīng)DNS緩存受損ID盲目攻擊破壞DNS分組技術(shù)風(fēng)險DNS域攔截DNS服務(wù)器攔截：DNS攔截通常發(fā)生的兩種情況，即系統(tǒng)被破壞或IP攔截更新持續(xù)時間動態(tài)DNS社會風(fēng)險相似的主機(jī)名自動名字實現(xiàn)社會工程域更新緩解風(fēng)險的方法直接威脅緩解：補(bǔ)丁，內(nèi)部和外部域分開，限制域的轉(zhuǎn)換，鑒別的域轉(zhuǎn)換，有限的緩沖間隔，拒絕不匹配的回答技術(shù)威脅的緩解：加固服務(wù)器，防火墻偵察威脅的緩解：限制提供DNS信息，限制域轉(zhuǎn)換，限制請求，去除反向查找，分開內(nèi)部和外部域，去除額外信息，隱藏版本社會威脅緩解：鎖住域，使用有效聯(lián)系，不間斷支持，自己主持優(yōu)化DNS配置確定可信的回答SMTP郵件風(fēng)險偽裝報頭及垃圾郵件中繼和攔截SMTP和DNS低層協(xié)議E-mail的倫理問題HTTP風(fēng)險URL漏洞：主機(jī)名求解攻擊，主機(jī)偽裝，統(tǒng)一資源標(biāo)識符（URI）偽裝，剪切和拼接，濫用查詢，SQL插入，跨站腳本常見的HTTP風(fēng)險：無身份鑒別的客戶，無身份鑒別的服務(wù)器，客戶端隱私，信息泄露，服務(wù)器定位輪廓，訪問操作系統(tǒng)，低層協(xié)議，不安全的應(yīng)用程序第八章防火墻防火墻是建立在內(nèi)外網(wǎng)絡(luò)邊界上的過濾封鎖機(jī)制，內(nèi)部網(wǎng)絡(luò)被認(rèn)為是安全和可信賴的，而外部網(wǎng)絡(luò)（通常是Internet）被認(rèn)為是不安全和不可信賴的。防火墻的作用是防止不希望的、未經(jīng)授權(quán)的通信進(jìn)出被保護(hù)的內(nèi)部網(wǎng)絡(luò)，通過邊界控制強(qiáng)化內(nèi)部網(wǎng)絡(luò)的安全政策。防火墻的功能：訪問控制功能內(nèi)容控制功能全面的日志功能集中管理功能自身的安全和可用性附加功能：流量控制，NAT，VPN防火墻的局限性不能防范不經(jīng)防火墻的攻擊。不能防止感染病毒的軟件或文件的傳輸。不能防止數(shù)據(jù)驅(qū)動式攻擊。不能防止內(nèi)部用戶的破壞。不能防備不斷更新的攻擊防火墻的分類從實現(xiàn)技術(shù)方式，可分為包過濾防火墻、應(yīng)用網(wǎng)關(guān)防火墻、代理防火墻和狀態(tài)檢測防火墻。從形態(tài)上，可分為軟件防火墻和硬件防火墻。包過濾技術(shù)是防火墻根據(jù)數(shù)據(jù)包中包頭信息有選擇地實施允許通過或阻斷。核心是安全策略即過濾規(guī)則的設(shè)計。應(yīng)用網(wǎng)關(guān)技術(shù)是建立在應(yīng)用層上的協(xié)議過濾，針對特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議即數(shù)據(jù)過濾協(xié)議，且能夠?qū)?shù)據(jù)包進(jìn)行分析并形成相關(guān)的報告。代理服務(wù)器是運(yùn)行在防火墻主機(jī)上的專門的應(yīng)用程序或者服務(wù)器程序被屏蔽子網(wǎng)體系結(jié)構(gòu)的優(yōu)點(diǎn)入侵者必須突破3個不同的設(shè)備（而且外部網(wǎng)絡(luò)無法探測到）才能非法入侵內(nèi)部網(wǎng)絡(luò)、外部路由器、堡壘主機(jī)，還有內(nèi)部路由器。網(wǎng)絡(luò)管理員就可以保證內(nèi)部網(wǎng)絡(luò)是“不可見”的，并且只有在DMZ網(wǎng)絡(luò)上選定的服務(wù)才對Internet開放。內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)不能直接通往Internet，保證了內(nèi)部網(wǎng)絡(luò)上的用戶必須通過駐留在堡壘主機(jī)上的代理服務(wù)才能訪問Internet。包過濾路由器直接將數(shù)據(jù)引向DMZ網(wǎng)絡(luò)上所指定的系統(tǒng)，消除了堡壘主機(jī)雙重宿主的必要。能夠支持比雙重宿主堡壘主機(jī)更大的數(shù)據(jù)包吞吐量。NAT（網(wǎng)絡(luò)地址變換）可以安裝在堡壘主機(jī)上，從而避免在內(nèi)部網(wǎng)絡(luò)上重新編址或重新劃分子網(wǎng)。在數(shù)據(jù)包過濾規(guī)則中有兩種基本的安全策略：默認(rèn)接受和默認(rèn)拒絕，默認(rèn)拒絕應(yīng)該是更安全的第九章1.VPNVPN有3種類型：AccessVPN（遠(yuǎn)程訪問VPN）、IntranetVPN（企業(yè)內(nèi)部VPN，網(wǎng)關(guān)對網(wǎng)關(guān)VPN）和ExtranetVPN（企業(yè)擴(kuò)展VPN）VPN的優(yōu)點(diǎn)：降低成本，易于擴(kuò)展，保證安全密碼技術(shù)是實現(xiàn)VPN的關(guān)鍵核心技術(shù)之一隧道技術(shù)通過對數(shù)據(jù)進(jìn)行封裝，在公共網(wǎng)絡(luò)上建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過這條隧道傳輸?shù)诙铀淼绤f(xié)議有以下幾種：L2F，PPTP，L2TP第三層隧道協(xié)議有以下幾種：IPSec,GRE無論何種隧道協(xié)議，其數(shù)據(jù)包格式都是由乘客協(xié)議、封裝協(xié)議和傳輸協(xié)議3部分組成的。根據(jù)隧道的端點(diǎn)是用戶計算機(jī)還是撥號接入服務(wù)器，隧道可以分為兩種：自愿隧道（VoluntaryTunnel）強(qiáng)制隧道（CompulsoryTunnel）自愿隧道是最普遍使用的隧道類型,創(chuàng)建自愿隧道的前提是客戶端和服務(wù)器之間要有一條IP連接（通過局域網(wǎng)或撥號線路）?？蛻舳擞嬎銠C(jī)可以通過發(fā)送VPN請求來配置和創(chuàng)建一條自愿隧道強(qiáng)制隧道由支持VPN的撥號接入服務(wù)器來配置和創(chuàng)建。用戶端的計算機(jī)不作為隧道端點(diǎn)，而是由位于客戶計算機(jī)和隧道服務(wù)器之間的撥號接入服務(wù)器作為隧道客戶端，成為隧道的一個端點(diǎn)。能夠代替客戶端計算機(jī)來創(chuàng)建隧道的網(wǎng)絡(luò)設(shè)備包括支持PPTP協(xié)議的FEP（Front-EndProcessor，前端處理器）、支持L2TP協(xié)議的LAC（L2TPAccessConcentrator，L2TP接入集中器）或支持IPSec的安全I(xiàn)P網(wǎng)關(guān)。自愿隧道技術(shù)為每個客戶創(chuàng)建獨(dú)立的隧道，而強(qiáng)制隧道中FEP和隧道服務(wù)器之間建立的隧道可以被多個撥號客戶共享，而不必為每個客戶建立一條新的隧道。PPTP協(xié)議提供了PPTP客戶端和PPTP服務(wù)器之間的加密通信。PPTP客戶端和服務(wù)器之間的報文有兩種：控制報文負(fù)責(zé)PPTP隧道的建立、維護(hù)和斷開；數(shù)據(jù)報文負(fù)責(zé)傳輸用戶的真正數(shù)據(jù)L2TP主要由LAC和LNS構(gòu)成，LAC支持客戶端的L2TP，它用于發(fā)起呼叫，接收呼叫和建立隧道；LNS是所有隧道的終點(diǎn)。L2TP客戶端和服務(wù)器之間的報文也有兩種：控制報文和數(shù)據(jù)報文。這兩種報文均采用UDP協(xié)議封裝和傳送PPP幀。PPP幀的有效載荷即用戶傳輸數(shù)據(jù)，可以經(jīng)過加密和/或壓縮。在GRE中，乘客協(xié)議就是上面這些被封裝的協(xié)議，封裝協(xié)議就是GRE，傳輸協(xié)議就是IP。GRE只提供封裝，既不進(jìn)行加密，也不進(jìn)行驗證，因此通常與其他安全協(xié)議結(jié)合使用。第十章IPSec安全體系結(jié)構(gòu)IPSec不是一個單獨(dú)的協(xié)議，而是一組協(xié)議。IPSec在IPv6中是必須支持的，而在IPv4中是可選的。IPSec的功能：作為一個隧道協(xié)議實現(xiàn)了VPN通信，保證數(shù)據(jù)來源可靠，保證數(shù)據(jù)完整性，保證數(shù)據(jù)機(jī)密性IPSec包含了3個最重要的協(xié)議：AH、ESP和IKE。AH為IP數(shù)據(jù)包提供3種服務(wù)：無連接的數(shù)據(jù)完整性驗證、數(shù)據(jù)源身份認(rèn)證和防重放攻擊。ESP除了為IP數(shù)據(jù)包提供AH已有的3種服務(wù)外，還提供另外兩種服務(wù)：數(shù)據(jù)包加密、數(shù)據(jù)流加密。IKE協(xié)議負(fù)責(zé)密鑰管理，定義了通信實體間進(jìn)行身份認(rèn)證、協(xié)商加密算法以及生成共享的會話密鑰的方法。IKE將密鑰協(xié)商的結(jié)果保留在安全聯(lián)盟（SA）中，供AH和ESP以后通信時使用。SA（SecurityAssociation，安全聯(lián)盟）是兩個IPSec實體（主機(jī)、安全網(wǎng)關(guān)）之間經(jīng)過協(xié)商建立起來的一種協(xié)定。SA是單向的，進(jìn)入（inbound）SA負(fù)責(zé)處理接收到的數(shù)據(jù)包，外出（outbound）SA負(fù)責(zé)處理要發(fā)送的數(shù)據(jù)包。每個SA由三元組<SPI，源/目的IP地址，IPSec協(xié)議>唯一標(biāo)識IPSec有兩種運(yùn)行模式：傳輸模式（TransportMode）和隧道模式（TunnelMode）。AH和ESP都支持這兩種模式，因此有4種可能的組合：傳輸模式的AH、隧道模式的AH、傳輸模式的ESP和隧道模式的ESP。傳輸模式要保護(hù)的內(nèi)容是IP包的載荷，傳輸模式為上層協(xié)議提供安全保護(hù)。通常情況下，傳輸模式只用于兩臺主機(jī)之間的安全通信隧道模式保護(hù)的內(nèi)容是整個原始IP包，隧道模式為IP協(xié)議提供安全保護(hù)。通常情況下，只要IPSec雙方有一方是安全網(wǎng)關(guān)或路由器，就必須使用隧道模式。MAC算法將一段給定的任意長度的報文和一個密鑰作為輸入，產(chǎn)生一個固定長度的輸出報文，稱為報文摘要或者指紋。AH傳輸模式：被AH驗證的區(qū)域是整個IP包（可變字段除外），包括IP包頭部，因此源IP地址、目的IP地址是不能修改的，否則會被檢測出來。AH在傳輸模式下和NAT是沖突的，不能同時使用，或者可以說AH不能穿越NAT。AH隧道模式：在隧道模式中，AH插入到原始IP頭部字段之前，然后在AH之前再增加一個新的IP頭部。隧道模式下，AH驗證的范圍也是整個IP包，因此AH和NAT的沖突在隧道模式下也存在。ESP協(xié)議除了可以提供無連接的完整性、數(shù)據(jù)來源驗證和抗重放攻擊服務(wù)之外，還提供數(shù)據(jù)包加密和數(shù)據(jù)流加密服務(wù)。ESP協(xié)議提供數(shù)據(jù)完整性和數(shù)據(jù)來源驗證的原理和AH一樣，也是通過驗證算法實現(xiàn)。ESP協(xié)議規(guī)定了所有IPSec系統(tǒng)必須實現(xiàn)的驗證算法：HMAC-MD5、HMAC-SHA1、NULL。NULL認(rèn)證算法是指實際不進(jìn)行認(rèn)證。ESP的加密采用的是對稱密鑰加密算法。ESP協(xié)議規(guī)定了所有IPSec系統(tǒng)都必須實現(xiàn)的算法：DES-CBC、NULL。NULL加密算法是指實際不進(jìn)行加密。ESP協(xié)議規(guī)定加密和認(rèn)證不能同時為NULL。傳輸模式保護(hù)的是IP包的載荷，ESP插入到IP頭部（含選項字段）之后，任何被IP協(xié)議所封裝的協(xié)議（如傳輸層協(xié)議TCP、UDP、ICMP，或者IPSec協(xié)議）之前。如果使用了加密，SPI和序號字段不能被加密。如果使用了驗證，驗證數(shù)據(jù)也不會被加密，因為如果需要ESP的驗證服務(wù)，那么接收端會在進(jìn)行任何后續(xù)處理（例如檢查重放、解密）之前進(jìn)行先驗證。SP的驗證不會對整個IP包進(jìn)行驗證，IP包頭部（含選項字段）不會被驗證。因此，ESP不存在像AH那樣的和NAT模式?jīng)_突的問題。除了ESP頭部之外，任何IP頭部字段都可以修改，只要保證其校驗和計算正確，接收端就不能檢測出這種修改。ESP頭部包含SPI和序列號字段。ESP尾部包含填充、填充長度和下一個頭字段ESP隧道模式：隧道模式保護(hù)的是整個IP包，對整個IP包進(jìn)行加密。ESP插入到原IP頭部（含選項字段）之前，在ESP之前再插入新的IP頭部。ESP頭部含有SPI和序號字段；ESP尾部含有填充、填充頭部和下一個頭字段；如果選用了驗證，ESP的驗證數(shù)據(jù)字段中包含了驗證數(shù)據(jù)。ESP頭部和ESP驗證數(shù)據(jù)字段不被加密。在隧道模式中，內(nèi)部IP頭部被加密和驗證。外部IP頭部既不被加密也不被驗證，不被加密是因為路由器需要這些信息來為其尋找路由；不被驗證是為了能適用于NAT等情況。隧道模式下對整個原始IP包進(jìn)行驗證和加密，可以提供數(shù)據(jù)流加密服務(wù)；而ESP在傳輸模式下不能提供流加密服務(wù)，因為源、目的IP地址不被加密SAKMP只是為SA的屬性和協(xié)商、修改、刪除SA的方法提供了一個通用的框架，并沒有定義具體