《路由交換技術(shù)》部署和實(shí)施企業(yè)網(wǎng)絡(luò)安全（任務(wù)3）

部署和實(shí)施企業(yè)網(wǎng)絡(luò)安全引例描述本項(xiàng)目忽略廣州分公司的網(wǎng)絡(luò)拓?fù)?，運(yùn)維部工程師需要完成的任務(wù)如下。（1）按照IP地址規(guī)劃配置各臺(tái)設(shè)備的IP地址。（2）在深圳總部園區(qū)網(wǎng)絡(luò)部署端口安全、DHCPSnooping和DAI技術(shù)，防止總部園區(qū)網(wǎng)絡(luò)設(shè)備和主機(jī)遭受MAC地址泛洪攻擊、DHCP攻擊和ARP欺騙攻擊，實(shí)現(xiàn)員工主機(jī)安全接入總部園區(qū)網(wǎng)絡(luò)。（3）在深圳總部部署ACL，實(shí)現(xiàn)數(shù)據(jù)訪(fǎng)問(wèn)控制和網(wǎng)絡(luò)設(shè)備安全管理。（4）在深圳總部與重慶辦事處邊界路由器之間部署IPSecVPN，實(shí)現(xiàn)辦事處員工通過(guò)Internet安全訪(fǎng)問(wèn)公司總部服務(wù)器區(qū)的數(shù)據(jù)。引例描述項(xiàng)目任務(wù)任務(wù)4-1部署和實(shí)施總部園區(qū)網(wǎng)絡(luò)主機(jī)安全接入任務(wù)4-2部署和實(shí)施ACL實(shí)現(xiàn)網(wǎng)絡(luò)訪(fǎng)問(wèn)控制任務(wù)4-3部署和實(shí)施IPSecVPN實(shí)現(xiàn)辦事處和總部數(shù)據(jù)安全傳輸任務(wù)4-3部署和實(shí)施IPSecVPN實(shí)現(xiàn)辦事處和總部數(shù)據(jù)安全傳輸任務(wù)陳述知識(shí)準(zhǔn)備任務(wù)實(shí)施任務(wù)陳述本任務(wù)主要要求讀者夯實(shí)和理解VPN優(yōu)勢(shì)和分類(lèi)、IPSecVPN特點(diǎn)和協(xié)議框架、AH和ESP、IKE協(xié)議和IPSecVPN基本配置命令等基礎(chǔ)知識(shí)，通過(guò)在企業(yè)總部和辦事處部署網(wǎng)絡(luò)和實(shí)施IPSecVPN，掌握IKE安全提議配置、IKE對(duì)等體配置、IPSecVPN安全提議配置、安全策略配置和接口上應(yīng)用安全策略組配置和IPSecVPN配置驗(yàn)證等職業(yè)技能，為總部和辦事處數(shù)據(jù)安全傳輸做好準(zhǔn)備。知識(shí)準(zhǔn)備2.1VPN概述2.2IPSec技術(shù)詳解2.3IKE基礎(chǔ)3.1VPN概述虛擬專(zhuān)用網(wǎng)VPN(VirtualPrivateNetwork)是一種“通過(guò)共享的公共網(wǎng)絡(luò)建立私有的數(shù)據(jù)通道，將各個(gè)需要接入這張?zhí)摂M網(wǎng)的網(wǎng)絡(luò)或終端通過(guò)通道連接起來(lái)，構(gòu)成一個(gè)專(zhuān)用的、具有一定安全性和服務(wù)質(zhì)量保證的網(wǎng)絡(luò)”。虛擬：用戶(hù)不再需要擁有實(shí)際的專(zhuān)用長(zhǎng)途數(shù)據(jù)線(xiàn)路，而是利用Internet的長(zhǎng)途數(shù)據(jù)線(xiàn)路建立自己的私有網(wǎng)絡(luò)。專(zhuān)用網(wǎng)絡(luò)：用戶(hù)可以為自己制定一個(gè)最符合自己需求的網(wǎng)絡(luò)。3.1VPN概述數(shù)據(jù)鏈路層網(wǎng)絡(luò)層L3VPNL2VPNGREIPSecL2TPPPTPL2F傳輸層SSLVPN3.1VPN概述數(shù)據(jù)鏈路層網(wǎng)絡(luò)層L3VPNL2VPNGREIPSecL2TPPPTPL2F傳輸層SSLVPN3.1VPN概述Site-to-SiteVPN用于兩個(gè)局域網(wǎng)之間建立連接?？刹捎玫腣PN技術(shù)：IPSec、L2TP、L2TPoverIPSec、GREoverIPSec、IPSecoverGRE。Client-to-SiteVPN用于客戶(hù)端與企業(yè)內(nèi)網(wǎng)之間建立連接。可采用的VPN技術(shù)：SSL、IPSec、L2TP、L2TPoverIPSec。3.2IPSecVPN技術(shù)詳解IPSec（Internet協(xié)議安全）是一個(gè)工業(yè)標(biāo)準(zhǔn)網(wǎng)絡(luò)安全協(xié)議，為IP網(wǎng)絡(luò)通信提供透明的安全服務(wù)，保護(hù)TCP/IP通信免遭竊聽(tīng)和篡改，可以有效抵御網(wǎng)絡(luò)攻擊，同時(shí)保持易用性。IPSec通過(guò)在IPSec對(duì)等體間建立雙向安全聯(lián)盟，形成一個(gè)安全互通的IPSec隧道，來(lái)實(shí)現(xiàn)Internet上數(shù)據(jù)的安全傳輸?？偛糠种C(jī)構(gòu)IPSecVPN

安全隧道3.2IPSecVPN技術(shù)詳解3.2IPSecVPN技術(shù)詳解訪(fǎng)問(wèn)控制通信對(duì)等體認(rèn)證機(jī)制，對(duì)于通信的對(duì)等體進(jìn)行認(rèn)證，從而完成訪(fǎng)問(wèn)控制功能。無(wú)連接的完整性、數(shù)據(jù)來(lái)源驗(yàn)證對(duì)接收到的數(shù)據(jù)包進(jìn)行完整性驗(yàn)證，確保數(shù)據(jù)在傳輸過(guò)程中沒(méi)有被篡改。驗(yàn)證數(shù)據(jù)源，以保證數(shù)據(jù)來(lái)自真實(shí)的發(fā)送者（IP報(bào)文頭內(nèi)的源地址）。防重放通過(guò)AH或者ESP的防重放窗口結(jié)合認(rèn)證，來(lái)抵御重放攻擊。機(jī)密性（加密）通過(guò)ESP的加密功能以及ESP協(xié)議的報(bào)文填充功能來(lái)完成。3.2IPSecVPN技術(shù)詳解IPSec基本組件包括：IPSec對(duì)等體IPSec隧道安全聯(lián)盟安全協(xié)議數(shù)據(jù)的封裝模式3.2IPSecVPN技術(shù)詳解安全聯(lián)盟定義：安全聯(lián)盟是要建立IPSec隧道的通信雙方對(duì)隧道參數(shù)的約定，包括隧道兩端的IP地址、隧道采用的驗(yàn)證方式、驗(yàn)證算法、驗(yàn)證密鑰、加密算法、加密密鑰、共享密鑰以及生存周期等一系列參數(shù)。SA由三元組來(lái)唯一標(biāo)識(shí)，包括：目的IP地址安全參數(shù)索引安全協(xié)議號(hào)3.2IPSecVPN技術(shù)詳解IPSec通過(guò)驗(yàn)證頭AH（AuthenticationHeader）和封裝安全載荷ESP（EncapsulatingSecurityPayload）兩個(gè)安全協(xié)議實(shí)現(xiàn)IP報(bào)文的安全保護(hù)。認(rèn)證頭協(xié)議AH：提供數(shù)據(jù)來(lái)源認(rèn)證、數(shù)據(jù)完整性校驗(yàn)和報(bào)文防重放功能。AH的工作原理是在每一個(gè)數(shù)據(jù)包的標(biāo)準(zhǔn)IP報(bào)頭后面添加一個(gè)AH報(bào)頭（AHHeader）。AH對(duì)數(shù)據(jù)包和認(rèn)證密鑰進(jìn)行Hash計(jì)算，接收方收到帶有計(jì)算結(jié)果的數(shù)據(jù)包后，執(zhí)行同樣的Hash計(jì)算并與原計(jì)算結(jié)果比較，傳輸過(guò)程中對(duì)數(shù)據(jù)的任何更改將使計(jì)算結(jié)果無(wú)效，這樣就提供了數(shù)據(jù)來(lái)源認(rèn)證和數(shù)據(jù)完整性校驗(yàn)。3.2IPSecVPN技術(shù)詳解封裝安全載荷ESP：ESP的工作原理是在每一個(gè)數(shù)據(jù)包的標(biāo)準(zhǔn)IP報(bào)頭后面添加一個(gè)ESP報(bào)頭（ESPHeader），并在數(shù)據(jù)包后面追加一個(gè)ESP尾（ESPTail和ESPAuthdata）。與AH不同的是，ESP尾中ESPAuthdata用于對(duì)數(shù)據(jù)提供來(lái)源認(rèn)證和完整性校驗(yàn)，并且ESP將數(shù)據(jù)中的有效載荷進(jìn)行加密后再封裝到數(shù)據(jù)包中，以保證數(shù)據(jù)的機(jī)密性，但ESP沒(méi)有對(duì)IP頭的內(nèi)容進(jìn)行保護(hù)。3.2IPSecVPN技術(shù)詳解IPSec協(xié)議封裝模式傳輸模式隧道模式NewIPHIPSecDataOrgIPH隧道模式DataIPHDataIPHIPSec傳輸模式在傳輸模式下，IPSec頭被插入到IP頭之后但在所有傳輸層協(xié)議之前，或所有其他IPSec協(xié)議之前。在隧道模式下，IPSec頭插在原始IP頭之前，另外生成一個(gè)新的報(bào)文頭放到AH或ESP之前。3.2IPSecVPN技術(shù)詳解傳輸模式3.2IPSecVPN技術(shù)詳解隧道模式3.3IKE基礎(chǔ)IKE負(fù)責(zé)自動(dòng)建立和維護(hù)IKESAs和IPSecSAs。功能主要體現(xiàn)在如下幾個(gè)方面：對(duì)雙方進(jìn)行認(rèn)證。交換公共密鑰，產(chǎn)生密鑰資源，管理密鑰。協(xié)商協(xié)議參數(shù)（封裝，加密，驗(yàn)證……）。3.3IKE基礎(chǔ)IKE協(xié)議分IKEv1和IKEv2兩個(gè)版本。IKEv1IKEv1使用兩個(gè)階段為IPSec進(jìn)行密鑰協(xié)商并建立IPSecSA。第一階段，通信雙方協(xié)商和建立IKE本身使用的安全通道，建立一個(gè)IKESA。第二階段，利用這個(gè)已通過(guò)了認(rèn)證和安全保護(hù)的安全通道，建立一對(duì)IPSecSA。IKEv2IKEv2則簡(jiǎn)化了協(xié)商過(guò)程。在一次協(xié)商中可直接產(chǎn)生IPSec的密鑰，生成IPSecSA。3.3IKE基礎(chǔ)3.3IKE基礎(chǔ)IKEv2保留了IKEv1的大部分特性，IKEv1的一部分?jǐn)U展特性（如NAT穿越）作為IKEv2協(xié)議的組成部分被引入到IKEv2框架中。IKEv2中所有消息都以“請(qǐng)求-響應(yīng)”的形式成對(duì)出現(xiàn)，響應(yīng)方都要對(duì)發(fā)起方發(fā)送的消息進(jìn)行確認(rèn)，如果在規(guī)定的時(shí)間內(nèi)沒(méi)有收到確認(rèn)報(bào)文，發(fā)起方需要對(duì)報(bào)文進(jìn)行重傳處理，提高了安全性。3.3IKE基礎(chǔ)任務(wù)實(shí)施（1）定義需要保護(hù)的數(shù)據(jù)流。（2）配置IKE安全提議。

（3）配置IKE對(duì)等體。（4）配置IPSecVPN安全提議。

（5）配置安全策略。（6）接口上應(yīng)用安全策略組。（7）驗(yàn)證IPSecVPN配置。1．GRE屬于第（）層VPN。A．2 B．3 C．4 D．72．IKEv1建立一對(duì)IPSecSA的過(guò)程只有（）模式。A．主 B．野蠻 C．快速 D．手動(dòng)3