6、路由交換安全與VPN講義_第1頁(yè)
6、路由交換安全與VPN講義_第2頁(yè)
6、路由交換安全與VPN講義_第3頁(yè)
6、路由交換安全與VPN講義_第4頁(yè)
6、路由交換安全與VPN講義_第5頁(yè)
已閱讀5頁(yè),還剩76頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

路由交換安全與VPN講義中山大學(xué)信息科學(xué)與技術(shù)學(xué)院王常吉

副教授2006年11月局域網(wǎng)與VLAN局域網(wǎng)標(biāo)準(zhǔn)沖突域與廣播域虛擬局域網(wǎng)(VLAN)2|

1/11/2024

局域網(wǎng)設(shè)備在OSI/RM中的位置路由器網(wǎng)絡(luò)層網(wǎng)絡(luò)地址尋址、路由網(wǎng)橋/交換機(jī)數(shù)據(jù)鏈路層用MAC地址尋址集線器/中繼器工作物理層,沒(méi)有尋址能力網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層3|

1/11/2024

局域網(wǎng)標(biāo)準(zhǔn)IEEE,1884年成立,320,000成員,147國(guó)家IEEE802.2LLCIEEE802.3EthernetIEEE802.5TokenRingIEEE802.6MAN(DQDB)IEEE802.10,1QVLANIEEE802.11WirelessLANFDDI,ANSIATM,ATMForum&ITU-T4|

1/11/2024

HowSwitchesLearnHostLocationsInitialMACaddresstableisemptyMACaddresstable0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3ABCD5|

1/11/2024

HowSwitchesLearnHostsLocationsStationAsendsaframetoStationCSwitchcachesstationAMACaddresstoportE0bylearningthesourceaddressofdataframesTheframefromstationAtostationCisfloodedouttoallportsexceptportE0(unknownunicastsareflooded)MACaddresstable0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0:0260.8c01.1111E0E1E2E3DCBA6|

1/11/2024

HowSwitchesLearnHostLocationsStationDsendsaframetostationCSwitchcachesstationDMACaddresstoportE3bylearningthesourceAddressofdataframesTheframefromstationDtostationCisfloodedouttoallportsexceptportE3(unknownunicastsareflooded)MACaddresstable0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0:0260.8c01.1111E3:0260.8c01.4444E0E1E2E3DCAB7|

1/11/2024

HowSwitchesFilterFramesStationAsendsaframetostationCDestinationisknown,frameisnotfloodedE0:0260.8c01.1111E2:0260.8c01.2222E1:0260.8c01.3333E3:0260.8c01.44440260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3XXDCABMACaddresstable8|

1/11/2024

StationDsendsabroadcastormulticastframeBroadcastandmulticastframesarefloodedtoallportsotherthantheoriginatingport0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3DCABE0:0260.8c01.1111E2:0260.8c01.2222E1:0260.8c01.3333E3:0260.8c01.4444MACaddresstableBroadcastandMulticastFrames9|

1/11/2024

廣播域和沖突域沖突域:在同一個(gè)沖突域中的每一個(gè)節(jié)點(diǎn)都能收到所有被發(fā)送的幀廣播域:網(wǎng)絡(luò)中能接收任一設(shè)備發(fā)出的廣播幀的所有設(shè)備的集合廣播域可以跨網(wǎng)段,而沖突域只是發(fā)生的同一個(gè)網(wǎng)段。HUB所有端口都在同一個(gè)廣播域,沖突域內(nèi)。Switch所有端口都在同一個(gè)廣播域內(nèi),而每一個(gè)端口就是一個(gè)沖突域。10|

1/11/2024

沖突域和廣播域CollisionDomain1CollisionDomain2BroadcastDomainBridgesterminatecollisiondomains11Multicast,broadcast,andunknowndestinationeventsbecomeglobaleventsServerAARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPIneedtoknowtheMACaddressforServerAARPARPARPARPARPARPARPARP廣播風(fēng)暴引起的性能問(wèn)題12BroadcastscanconsumeallavailablebandwidthEachdevicemustdecodethebroadcastframeServerA廣播風(fēng)暴1310.1.1.010.1.2.010.1.3.0LANbroadcaststerminateattherouterinterfaceLAN1LAN2LAN3通過(guò)路由器隔離廣播域14SegmentationFlexibility

Security3rdfloor2ndfloor1stfloorSALESHRENGAVLAN=Abroadcastdomain=Logicalnetwork(subnet)通過(guò)VLAN實(shí)現(xiàn)廣播域的隔離15|

1/11/2024

VLAN的類型基于物理端口劃分的VLAN基于MAC地址劃分的VLAN基于網(wǎng)絡(luò)層協(xié)議劃分的VLAN基于網(wǎng)絡(luò)層地址(IP地址)的VLAN16|

1/11/2024

基于物理端口分組(PortBased)主機(jī)A主機(jī)B主機(jī)C主機(jī)D以太網(wǎng)交換機(jī)VLAN表端口所屬VLANPort1VLAN5Port2VLAN10…………Port7VLAN5…………Port10VLAN10Port1Port2Port7Port1017|

1/11/2024

基于物理端口分組(PortBased)優(yōu)點(diǎn)配置簡(jiǎn)單缺點(diǎn)不允許一個(gè)端口同時(shí)屬于多過(guò)VLAN當(dāng)終端計(jì)算機(jī)位置變化時(shí),必須由管理員重新配置VLAN的接口。18|

1/11/2024

二層VLAN:根據(jù)MACAddress分組

MACAddress

VLAN1212354145121

12389234873743

23045834758445

25483573475843

1基于MAC地址分組(MACBased)19|

1/11/2024

基于MAC地址分組(MACBased)VLAN表MAC地址所屬VLANMACAMACBMACCMACDVLAN10VLAN5VLAN10VLAN5主機(jī)A主機(jī)B主機(jī)C主機(jī)DMACAMACBMACCMACD以太網(wǎng)交換機(jī)20|

1/11/2024

基于MAC地址分組(MACBased)優(yōu)點(diǎn)工作站物理移動(dòng)時(shí),不需要重新配置,依然屬于原來(lái)的VLAN。缺點(diǎn)在初始時(shí)所有的用戶必須在至少一個(gè)VLAN上初始化21|

1/11/2024

基于網(wǎng)絡(luò)層協(xié)議分組VLAN表協(xié)議類型所屬VLANIPX協(xié)議IP協(xié)議……VLAN5VLAN10……主機(jī)A主機(jī)B主機(jī)C主機(jī)D使用IPX協(xié)議運(yùn)行IP協(xié)議使用IPX協(xié)議運(yùn)行IP協(xié)議以太網(wǎng)交換機(jī)22|

1/11/2024

基于網(wǎng)絡(luò)地址分組VLAN表IP網(wǎng)絡(luò)所屬VLANIP1.1.1.1/24IP1.1.2.1/24……VLAN5VLAN10……主機(jī)A主機(jī)B主機(jī)C主機(jī)D1.1.1.51.1.2.881.1.1.81.1.2.99以太網(wǎng)交換機(jī)23|

1/11/2024

基于網(wǎng)絡(luò)地址分組優(yōu)點(diǎn)可以根據(jù)協(xié)議類型劃分物理移動(dòng)時(shí),無(wú)需修改網(wǎng)絡(luò)地址缺點(diǎn)交換機(jī)檢查網(wǎng)絡(luò)層協(xié)議信息,消耗資源對(duì)于沒(méi)有層次結(jié)構(gòu)的協(xié)議(不可路由)不適用24|

1/11/2024

交換機(jī)之間傳輸VLAN成員信息交換機(jī)之間必須知道每個(gè)工作站屬于哪一個(gè)VLAN,否則VLAN只能限制在同一臺(tái)交換機(jī)上。交換機(jī)之間三種交換信息的方式TrunkTaggingSigalingTime-DivisionMultiplexingINTER-SWITCHCOMMUNICATIONSWITCH#1SWITCH#225|

1/11/2024

交換機(jī)之間傳輸VLAN成員信息FrameTagging在交換機(jī)之間的主干鏈路(Trunck-Link)上傳輸?shù)腇rame中,在MAC頭標(biāo)中插入VLAN標(biāo)識(shí)符Signalling當(dāng)一臺(tái)工作站發(fā)送第一個(gè)frame時(shí),交換機(jī)記錄它的MAC地址、端口,在地址表中緩存,并定期向其他的交換機(jī)廣播。TimeDivisionMultiplexing通過(guò)時(shí)分多路復(fù)用技術(shù),在交換機(jī)之間的鏈路上為每個(gè)VLAN建立一個(gè)獨(dú)立的信道26|

1/11/2024

VLAN的優(yōu)點(diǎn)易于維護(hù)-容易解決人員位置的變動(dòng)有效地控制廣播流量,提高性能增強(qiáng)網(wǎng)絡(luò)安全性27|

1/11/2024

VLAN的優(yōu)點(diǎn)—易于維護(hù)公司每年有20%-40%的工作人員需要改變工作位置。這種移動(dòng)、添加和改變是網(wǎng)絡(luò)管理中開支的重點(diǎn)。許多移動(dòng)需要重新布線、重新分配地址、重新配置HUB和路由器。VLAN提供了一種有效的機(jī)制來(lái)管理這種業(yè)務(wù)。同一VLAN中的用戶,不管其位置如何,都可以使用同一網(wǎng)絡(luò)地址。當(dāng)用戶移動(dòng)時(shí),只要還連接至交換機(jī)并在同一個(gè)VLAN中,就可以使用原來(lái)的網(wǎng)絡(luò)地址。VLAN需要很少的重新布線、配置和調(diào)試,是對(duì)傳統(tǒng)LAN技術(shù)的重大改進(jìn)。路由器的配置也不受影響,當(dāng)用戶搬遷時(shí),只要還在原來(lái)的子網(wǎng),路由配置就不用改變。28|

1/11/2024

每個(gè)網(wǎng)絡(luò)都有廣播流量。廣播的頻率與應(yīng)用類型、服務(wù)器類型、物理分段以及網(wǎng)絡(luò)資源的使用方式密切相關(guān)。如果需要預(yù)先測(cè)試網(wǎng)絡(luò),確保不會(huì)有與廣播相關(guān)的問(wèn)題。一種有效的方式是對(duì)物理網(wǎng)絡(luò)進(jìn)行分段,用防火墻隔離各個(gè)段。即使一個(gè)網(wǎng)段上有過(guò)量的廣播數(shù)據(jù),其他網(wǎng)段不會(huì)受影響。這種分段能力提供了更高的可靠性,是廣播流量盡可能減小,從而應(yīng)用有更多的帶寬可用。VLAN的優(yōu)點(diǎn)——控制廣播流量29|

1/11/2024

當(dāng)兩個(gè)交換機(jī)之間沒(méi)有路由器時(shí),廣播流量被轉(zhuǎn)發(fā)至每個(gè)交換機(jī)端口。這種整個(gè)網(wǎng)絡(luò)中只有一個(gè)廣播域的網(wǎng)絡(luò)被稱為平坦型網(wǎng)絡(luò)。優(yōu)點(diǎn):低延遲,高流通率,易于管理。缺點(diǎn):容易受到廣播數(shù)據(jù)報(bào)的攻擊。VLAN能有效地提供路由器的防火墻功能,從而保護(hù)網(wǎng)絡(luò)不受有害廣播數(shù)據(jù)的影響。另外,VLAN有所有交換機(jī)的優(yōu)點(diǎn)。VLAN的組越小,一個(gè)VLAN中的廣播風(fēng)暴所影響的用戶就越少。可以根據(jù)應(yīng)用類型以及應(yīng)用的廣播頻率來(lái)劃分VLAN。VLAN的優(yōu)點(diǎn)——控制廣播流量30|

1/11/2024

監(jiān)聽(tīng)的威脅經(jīng)常有重要的、機(jī)密的數(shù)據(jù)通過(guò)LAN。機(jī)密數(shù)據(jù)需要安全的訪問(wèn)控制機(jī)制。LAN的一個(gè)缺點(diǎn)就是它太容易被滲透。插入一個(gè)可用的接口,一個(gè)惡意的用戶就可獲得整個(gè)網(wǎng)段上的數(shù)據(jù)。通過(guò)物理隔離,可以實(shí)現(xiàn)控制一個(gè)組中的用戶數(shù)量防止其它用戶在沒(méi)有申請(qǐng)的情況下進(jìn)入VLAN把未使用的端口劃到一個(gè)低性能的網(wǎng)段VLAN的優(yōu)點(diǎn)——增強(qiáng)網(wǎng)絡(luò)安全性31|

1/11/2024

實(shí)現(xiàn)這種結(jié)構(gòu)的VLAN相當(dāng)直觀。交換機(jī)端口按應(yīng)用類型和訪問(wèn)級(jí)別進(jìn)行分組。有安全要求的應(yīng)用和資源一般放在一個(gè)安全的VLAN中。交換機(jī)限制對(duì)安全VLAN的訪問(wèn)??梢愿鶕?jù)主機(jī)地址、應(yīng)用類型和協(xié)議類型設(shè)置安全控制機(jī)制??梢杂迷L問(wèn)控制列表來(lái)增強(qiáng)安全性,這種技術(shù)在VLAN之間通訊時(shí)特別有用。在安全子網(wǎng)中,路由器也象交換機(jī)一樣提供安全控制。路由器可以根據(jù)工作站地址、應(yīng)用類型和協(xié)議類型甚至?xí)r間來(lái)設(shè)置安全控制機(jī)制。VLAN的優(yōu)點(diǎn)——增強(qiáng)網(wǎng)絡(luò)安全性32|

1/11/2024

VLAN的問(wèn)題互操作性問(wèn)題標(biāo)準(zhǔn)滯后,實(shí)現(xiàn)上的不一致不同廠商實(shí)現(xiàn)方式不同,除非選擇單一廠家的產(chǎn)品硬件設(shè)備、VLAN軟件、管理軟件設(shè)備的廢棄,造成投資的浪費(fèi)增加了管理的復(fù)雜性33|

1/11/2024

目錄VPN技術(shù)概述IP安全體系結(jié)構(gòu)認(rèn)證頭協(xié)議(AH)封裝安全載荷(ESP)安全關(guān)聯(lián)(SA)密鑰管理34|

1/11/2024

VPN概述VirtualPrivateNetwork虛擬專用網(wǎng)虛擬專用網(wǎng)不是真的專用網(wǎng)絡(luò),但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。虛擬專用網(wǎng)指的是依靠ISP(Internet服務(wù)提供商)和其它NSP(網(wǎng)絡(luò)服務(wù)提供商),在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。利用像Internet這樣的公共的或不安全的媒體,通過(guò)應(yīng)用多種技術(shù)提供用戶認(rèn)證、數(shù)據(jù)完整性和訪問(wèn)控制,從而提供網(wǎng)絡(luò)應(yīng)用程序之間的安全通信。在虛擬專用網(wǎng)中,任意兩個(gè)節(jié)點(diǎn)之間的連接并沒(méi)有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路,而是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組成的。VPN不是一種單一的技術(shù),而是具有若干特性的系統(tǒng)35|

1/11/2024

VPN概述IETF草案理解基于IP的VPN為:“使用IP機(jī)制仿真出一個(gè)私有的廣域網(wǎng)”。通過(guò)私有的隧道技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點(diǎn)到點(diǎn)的專線技術(shù)。虛擬:用戶不再需要擁有實(shí)際的長(zhǎng)途數(shù)據(jù)線路,而是使用公共網(wǎng)絡(luò)資源。但它建立的只是一種臨時(shí)的邏輯連接,一旦通信會(huì)話結(jié)束,這種連接就斷開了。專用:用戶可以定制最符合自身需求的網(wǎng)絡(luò)。以IP為主要通訊協(xié)議的VPN,也可稱之為IP-VPN。36|

1/11/2024

VPN概述VPN技術(shù)雖然種類眾多,但I(xiàn)ETF下的IPSec工作組推出的IPSec協(xié)議是目前工業(yè)界IPVPN標(biāo)準(zhǔn),以IPSec協(xié)議構(gòu)建虛擬專用網(wǎng)已成為主流?;贗PSec構(gòu)建IPVPN是指利用實(shí)現(xiàn)IPsec協(xié)議的安全網(wǎng)關(guān)(SecurityGateway)充當(dāng)邊界路由器,完成安全的遠(yuǎn)程接入和在廣域網(wǎng)上內(nèi)部網(wǎng)絡(luò)的“虛擬”專線互聯(lián)等37|

1/11/2024

VPN概述IPSec的應(yīng)用:IPSec提供對(duì)跨越LAN/WAN,Internet的通訊提供安全性分支辦公機(jī)構(gòu)通過(guò)Internet安全互聯(lián)遠(yuǎn)程安全訪問(wèn)Internet與合作伙伴建立extranet與intranet的互連增強(qiáng)電子商務(wù)安全性38|

1/11/2024

VPN的類型每種VPN都具有特定的要求和優(yōu)先權(quán),實(shí)現(xiàn)的目的、解決的問(wèn)題也不同用于移動(dòng)工作者的遠(yuǎn)程訪問(wèn)Client-LANVPN,也叫AccessVPN替代早期的撥號(hào)遠(yuǎn)程訪問(wèn)網(wǎng)絡(luò)用于局域網(wǎng)間連接的PNLAN-LAN型IntranetVPN和ExtranetVPN39|

1/11/2024

VPN的安全性VPN的主要目的是保護(hù)傳輸數(shù)據(jù),必須具備4個(gè)關(guān)鍵功能認(rèn)證:數(shù)據(jù)傳輸?shù)膩?lái)源確如其聲明所言,目的地確實(shí)是數(shù)據(jù)期望到達(dá)的位置訪問(wèn)控制:限制對(duì)網(wǎng)絡(luò)未經(jīng)授權(quán)的訪問(wèn)機(jī)密性:防止數(shù)據(jù)在通過(guò)網(wǎng)絡(luò)時(shí)被察看數(shù)據(jù)完整性:防止傳輸中對(duì)數(shù)據(jù)的任何篡改VPN的目的是保護(hù)從信道的一個(gè)端點(diǎn)到另一端點(diǎn)傳輸?shù)男畔⒘鳎诺赖亩它c(diǎn)之前和之后,VPN不提供任何的數(shù)據(jù)包保護(hù)40|

1/11/2024

VPN系統(tǒng)組成41|

1/11/2024

VPN系統(tǒng)組成VPN服務(wù)器:接受來(lái)自VPN客戶機(jī)的連接請(qǐng)求;VPN客戶機(jī):可以是終端計(jì)算機(jī),也可以是路由器;隧道:數(shù)據(jù)傳輸通道,在其中傳輸?shù)臄?shù)據(jù)必須經(jīng)過(guò)封裝;VPN連接:在VPN連接中,數(shù)據(jù)必須經(jīng)過(guò)加密;隧道協(xié)議:封裝數(shù)據(jù)、管理隧道的通信標(biāo)準(zhǔn)傳輸數(shù)據(jù):經(jīng)過(guò)封裝、加密后在隧道上傳輸?shù)臄?shù)據(jù);公共網(wǎng)絡(luò):如Internet,也可以是其他共享型網(wǎng)絡(luò)42|

1/11/2024

VPN關(guān)鍵技術(shù)RFC(RequestForComments):“請(qǐng)求注解”,包含了關(guān)于Internet的幾乎所有重要的文字資料。RFC享有網(wǎng)絡(luò)知識(shí)圣經(jīng)之美譽(yù)。RFC2194:第一個(gè)VPNRFC,1997年9月14日發(fā)布。自1999年4月17日之后,有10個(gè)RFC直接涉及VPN,如RFC2401-2411和RFC2451。有80多個(gè)RFC涉及隧道。43|

1/11/2024

VPN關(guān)鍵技術(shù)隧道技術(shù):VPN的基本技術(shù),它在公用網(wǎng)建立一條數(shù)據(jù)通道(隧道),讓數(shù)據(jù)包通過(guò)這條隧道傳輸。隧道由隧道協(xié)議形成,常用的有第2、3層隧道協(xié)議。密碼技術(shù):加解密技術(shù):在VPN應(yīng)用中將認(rèn)證信息、通信數(shù)據(jù)等由明文轉(zhuǎn)換為密文的相關(guān)技術(shù),其可靠性主要取決于加解密的算法及強(qiáng)度。身份認(rèn)證技術(shù):在正式的隧道連接開始之前需要確認(rèn)用戶的身份,以便系統(tǒng)進(jìn)一步實(shí)施資源訪問(wèn)控制或用戶授權(quán)。密鑰管理技術(shù):如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取。QoS技術(shù):保證VPN的性能穩(wěn)定,在管理上滿足企業(yè)的要求。44|

1/11/2024

VPN的隧道技術(shù)對(duì)通過(guò)隧道的數(shù)據(jù)進(jìn)行處理的兩個(gè)基本過(guò)程:加密和封裝。加密:保證VPN的“私有性”;通信雙方數(shù)據(jù)的加密涉及到:加密方法的選擇、密鑰的交換、密鑰的管理等。封裝:構(gòu)建隧道的基本手段;使得隧道能夠?qū)崿F(xiàn)信息的隱蔽和信息的抽象。將一種協(xié)議封裝在另一種協(xié)議中傳輸,從而實(shí)現(xiàn)被封裝協(xié)議對(duì)封裝協(xié)議的透明性,保持被封裝協(xié)議的安全特性。45|

1/11/2024

VPN的隧道技術(shù)安全協(xié)議:就是構(gòu)建隧道的“隧道協(xié)議”。IP隧道協(xié)議:使用IP協(xié)議作為封裝協(xié)議的隧道協(xié)議。第二層隧道協(xié)議:首先把各種網(wǎng)絡(luò)協(xié)議封裝到數(shù)據(jù)鏈路層的PPP幀中,再把整個(gè)PPP幀裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包依靠第二層協(xié)議進(jìn)行傳輸。如:PPTP(點(diǎn)到點(diǎn)隧道協(xié)議,Point-to-PointTunnelingProtocol)、L2F(第二層轉(zhuǎn)發(fā)協(xié)議,LayerTwoForwarding)和L2TP(第二層隧道協(xié)議,LayerTwoTunnelingProtocol)等;46|

1/11/2024

VPN的隧道技術(shù)第三層隧道協(xié)議:把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中,封裝的是網(wǎng)絡(luò)層協(xié)議數(shù)據(jù)包。如:GRE(通用路由封裝協(xié)議,GenericRoutingEncapsulation)和IPSec(IP層安全協(xié)議,InternetProtocolSecurity)IPSec的應(yīng)用最為廣泛,是事實(shí)上的網(wǎng)絡(luò)層安全標(biāo)準(zhǔn)。不同協(xié)議層次的隧道協(xié)議各有優(yōu)缺點(diǎn),可考慮將其結(jié)合以構(gòu)建虛擬專用網(wǎng)的完整解決方案。47|

1/11/2024

IPSec架構(gòu)IPSec是提供網(wǎng)絡(luò)層通信安全的一套協(xié)議簇IPSec只是一個(gè)開放的結(jié)構(gòu),通過(guò)在主IP報(bào)頭后面接續(xù)擴(kuò)展報(bào)頭,為目前流行的數(shù)據(jù)加密或認(rèn)證算法的實(shí)現(xiàn)提供統(tǒng)一的數(shù)據(jù)結(jié)構(gòu)需求:身份認(rèn)證、數(shù)據(jù)完整性和保密性IPSec在IPv6中是強(qiáng)制的,在IPv4中是可選的48|

1/11/2024

IPSec發(fā)展歷史1994年IETF專門成立IP安全協(xié)議工作組,來(lái)制定和推動(dòng)一套稱為IPSec的IP安全協(xié)議標(biāo)準(zhǔn)。1995年8月公布了一系列關(guān)于IPSec的建議標(biāo)準(zhǔn)。1996年,IETF公布下一代IP的標(biāo)準(zhǔn)IPv6,把鑒別和加密作為必要的特征,IPSec成為其必要的組成部分。1999年底,IETF安全工作組完成了IPSec的擴(kuò)展,在IPSec協(xié)議中加上ISAKMP(因特網(wǎng)安全關(guān)聯(lián)和密鑰管理協(xié)議),IKE(密鑰交換協(xié)議)、Oakley(密鑰確定協(xié)議)。ISAKMP/IKE/Oakley支持自動(dòng)建立加密、鑒別信道,以及密鑰的自動(dòng)安全分發(fā)和更新。幸運(yùn)的是,IPv4也可以實(shí)現(xiàn)這些安全特性。49|

1/11/2024

IPSec的應(yīng)用方式端到端(end-end):主機(jī)到主機(jī)的安全通信端到路由(end-router):主機(jī)到路由設(shè)備之間的安全通信路由到路由(router-router):路由設(shè)備之間的安全通信,常用于在兩個(gè)網(wǎng)絡(luò)之間建立虛擬專用網(wǎng)50|

1/11/2024

IPSec的內(nèi)容協(xié)議部分,分為:AH(認(rèn)證頭,AuthenticationHeader):提供完整性保護(hù)和抗重放攻擊;ESP(封裝安全載荷,EncapsulatingSecurityPayload):提供機(jī)密性、完整性保護(hù)和抗重放攻擊;密鑰管理(KeyManagement)SA(SecurityAssociation)ISAKMP定義了密鑰管理框架IKE是目前正式確定用于IPSec的密鑰交換協(xié)議51|

1/11/2024

VPN概述IPSEC的優(yōu)點(diǎn)在防火墻或路由器中實(shí)現(xiàn)時(shí),可以對(duì)所有通過(guò)其邊界的流量實(shí)施強(qiáng)安全性,而公司內(nèi)部或工作組內(nèi)部的通信不會(huì)招致與安全處理相關(guān)的開銷防火墻內(nèi)的IPSec能在所有外部流量均使用IP時(shí)阻止旁路IPSec在傳輸層以下,對(duì)所有應(yīng)用透明,因此在防火墻或路由器使用IPSec時(shí),不需要對(duì)用戶系統(tǒng)或服務(wù)系統(tǒng)做任何改變IPSec可以對(duì)最終用戶透明IPSec可以為單個(gè)用戶提供安全性52|

1/11/2024

IPSec安全體系結(jié)構(gòu)53|

1/11/2024

IP安全體系結(jié)構(gòu)IPSEC文檔體系結(jié)構(gòu)(Architecture):定義IPSec技術(shù)的一般性概念、需求和機(jī)制封裝安全有效載荷(ESP-EncapsulatingSecurityPayload)認(rèn)證頭(AH-AuthenticationHeader)加密算法(EncryptionAlgorithm)認(rèn)證算法(AuthenticationAlgorithm)密鑰管理(KeyManagement):ISAKMP解釋域(DOI-DomainofInterpretation):其他文檔需要的為了彼此間互相聯(lián)系的一些值,包括經(jīng)過(guò)檢驗(yàn)的加密和認(rèn)證算法的標(biāo)識(shí)以及操作參數(shù),比如密鑰的生存期54|

1/11/2024

IP安全體系結(jié)構(gòu)IPSEC協(xié)議框架:綜合了密碼技術(shù)和協(xié)議安全機(jī)制,IPSec協(xié)議的設(shè)計(jì)目標(biāo)是在IPV4和IPV6環(huán)境中為網(wǎng)絡(luò)層流量提供靈活的安全服務(wù)。IPSEC文檔RFC2401:AnoverviewofsecurityarchitectureRFC2402:DescriptionofapacketencryptionextensiontoIPv4andIPv6RFC2406:DescriptionofapacketemcryptionextensiontoIPv4andIPv6RFC2408:Specificationofkeymanagamentcapabilities55|

1/11/2024

IP安全體系結(jié)構(gòu)

IPSec在IP層提供安全服務(wù),系統(tǒng)可以選擇所需要的安全協(xié)議,確定該服務(wù)所用的算法,并提供安全服務(wù)所需加密密鑰。訪問(wèn)控制無(wú)連接完整性數(shù)據(jù)源認(rèn)證拒絕重放數(shù)據(jù)包保密性(加密)有限的信息流保密性56|

1/11/2024

IP安全體系結(jié)構(gòu)AHESP(只加密)ESP(加密并認(rèn)證)訪問(wèn)控制√√√無(wú)連接的完整性√√數(shù)據(jù)源發(fā)認(rèn)證√√檢測(cè)重放攻擊√√√機(jī)密性√√有限的通信流保密√√57|

1/11/2024

IP安全體系結(jié)構(gòu)安全關(guān)聯(lián)(SecurityAssociation)是兩個(gè)通信實(shí)體經(jīng)過(guò)協(xié)商建立起來(lái)的一種協(xié)定,他們決定了用來(lái)保護(hù)數(shù)據(jù)包安全的IPSec協(xié)議、密碼算法、密鑰等信息,IPSec實(shí)體要建立一個(gè)本地SA數(shù)據(jù)庫(kù)(SADB),SPI(SAParameterIndex)是AH或ESP中的一個(gè)字段,用來(lái)標(biāo)識(shí)數(shù)據(jù)包對(duì)應(yīng)的SASA是單向的,該連接為其運(yùn)載的流量提供安全服務(wù)。多個(gè)SA聯(lián)合使用構(gòu)成SA束(SAbundle)。SA是協(xié)議相關(guān)的,根據(jù)安全協(xié)議不同,SA分為:AHSA和ESPSA;根據(jù)使用模式不同,SA又分為傳輸模式SA和隧道模式SA58|

1/11/2024

IP安全體系結(jié)構(gòu)

SA由三個(gè)參數(shù)唯一確定:SecurityParametersIndex(SPI)IP目的地址(IPDA):安全協(xié)議:AH或者ESP。sourcedstprotospiSA記錄1.1.1.12.2.2.2AH11MD5,K12.2.2.21.1.1.1ESP12DES,K22.2.2.21.1.1.1AH13SHA,K3A(1.1.1.1)B(2.2.2.2)A的SADB59|

1/11/2024

IP安全體系結(jié)構(gòu)SA參數(shù)序數(shù)計(jì)數(shù)器:一個(gè)32位用于生成AH或ESP頭中的序數(shù)字段計(jì)數(shù)器溢出位:一個(gè)標(biāo)志位表明該序數(shù)計(jì)數(shù)器是否溢出,如果是,將生成一個(gè)審計(jì)事件,并禁止本SA的進(jìn)一步的包傳送。反重放窗口:用于確定一個(gè)入站的AH或ESP是否是一個(gè)回放AH信息:認(rèn)證算法,密鑰,密鑰生存期,以及與密鑰一起的其他參數(shù)ESP信息:加密和認(rèn)證算法,密鑰,初始值,密鑰生存期,以及與密鑰一起的其他參數(shù)60|

1/11/2024

IP安全體系結(jié)構(gòu)SA的生存期:一個(gè)時(shí)間間隔或字節(jié)計(jì)數(shù)。到時(shí)候一個(gè)SA必須用一個(gè)新的SA替換或終止IPSec協(xié)議模式:隧道,傳輸PathMTU:最大傳輸單元(不需要分段傳輸?shù)淖畲蟀L(zhǎng)度)路徑和遲滯變量61|

1/11/2024

IP安全體系結(jié)構(gòu)安全策略(Policy)決定了為哪種類型的包提供何種安全服務(wù),IP信息流與SA關(guān)聯(lián)的手段是通過(guò)安全策略數(shù)據(jù)庫(kù)SPD(SecurityPolicyDatabase)每一個(gè)SPD入口通過(guò)一組IP和更高層協(xié)議域值,稱選擇符來(lái)定義,以下的選擇符確定SPD入口:源地址目標(biāo)地址協(xié)議(TCP/UDP/ICMP)源端口和目標(biāo)端口用戶ID數(shù)據(jù)敏感性級(jí)別服務(wù)類型(ToS)62|

1/11/2024

IPSEC外發(fā)數(shù)據(jù)報(bào)處理LookupSPDtofindpolicyfordatagramCreatenewSAifneeded.ApplykeysinSAforencryption/MACing.PassprocesseddatagramdowntoLinkLayer.PasstonextinstanceofIPSecprocessing.FurtherIPSecprocessingrequired?Drop,passthroughorprocessdatagram?63|

1/11/2024

IP安全體系結(jié)構(gòu)安全策略數(shù)據(jù)庫(kù)SPD和安全關(guān)聯(lián)數(shù)據(jù)庫(kù)SADBsourcedstprotospiSA記錄1.1.1.12.2.2.2AH11MD5,K1,…1.1.1.12.2.2.2ESP12DES,K2,…2.2.2.21.1.1.1AH13DES,K3,…A(1.1.1.1)B(2.2.2.2)A的SADBsourcedestprotocolportpolicy1.1.1.12.2.2.2TCP80AH1.1.1.13.3.3.3TCP25ESPA的SPD64|

1/11/2024

傳輸模式HeaderPayloadIPdatagramNetworkHeaderPayloadIPdatagramIPSECTransportMode65|

1/11/2024

隧道模式IPSECTunnelMode:ProtectionforentireIPdatagram.Entiredatagramplussecurityfieldstreatedasnewpayloadof‘outer’IPdatagram.Sooriginal‘inner’IPdatagramencapsulatedwithin‘outer’IPdatagram.IPSecprocessingperformedatsecuritygatewaysonbehalfofendpointhosts.Gatewaycouldbeperimeterfirewallorrouter.Gateway-to-gatewayratherthanend-to-endsecurity.HostsneednotbeIPSec-aware.IntermediateroutershavenovisibilityofinnerIPdatagram.Evenorginalsourceanddestinationaddressesencapsulatedandso‘hidden’.66|

1/11/2024

隧道模式HeaderPayloadHeaderPayloadHeaderPayloadInnerIPdatagramOuterHeaderNetworkHeaderPayloadInnerIPdatagramInnerIPdatagramInnerIPdatagramSecurityGatewaySecurityGatewayOuterHeaderIPSECTunnelMode67|

1/11/2024

AH協(xié)議AH=AuthenticationHeader(RFC2402).Providesdataoriginauthenticationanddataintegrity.AHauthenticateswholepayloadandmostofheader.PreventsIPaddressspoofing.SourceIPaddressisauthenticated.Createsstatefulchannel.Useofsequencenumbers.Preventsreplayofolddatagrams.AHsequencenumberisauthenticated.UsesMACandsecretkeysharedbetweenendpoints68|

1/11/2024

AH協(xié)議認(rèn)證頭支持?jǐn)?shù)據(jù)完整性和IP包認(rèn)證,數(shù)據(jù)完整性確保在包的傳輸過(guò)程中內(nèi)容不可更改,認(rèn)證確保終端系統(tǒng)或網(wǎng)絡(luò)設(shè)備能對(duì)用戶或應(yīng)用程序進(jìn)行認(rèn)證,并相應(yīng)地提供流量過(guò)濾功能,同時(shí)還能夠防止地址欺詐攻擊和重放攻擊在IPV4和IPV6中,AH使用約定的協(xié)議號(hào)51NextHeaderSequenceNumberSPI31AuthenticationData完整性保護(hù)的數(shù)據(jù)Payload

Lengthreserved數(shù)據(jù)IP頭069|

1/11/2024

AH協(xié)議Nextheader:8bit,標(biāo)識(shí)數(shù)據(jù)載荷中的封裝方式或協(xié)議Payloadlength(有效載荷長(zhǎng)度):8bit,以32位字為單位的認(rèn)證數(shù)據(jù)字段的長(zhǎng)度。最小值是0,僅僅用于“null”認(rèn)證算法的情況。這不應(yīng)該在IPSec中發(fā)生,IPSec中必須指定一位。Reserved:16bit,保留以供將來(lái)使用。發(fā)送時(shí)必需設(shè)置為全零。Securityparametersindex(SPI):

為數(shù)據(jù)報(bào)識(shí)別安全聯(lián)合的32位偽隨機(jī)值。SPI值0被保留來(lái)表明“沒(méi)有安全聯(lián)合存在”。70|

1/11/2024

AH協(xié)議完整性校驗(yàn)值:認(rèn)證數(shù)據(jù)域考慮因素

計(jì)算MAC值:

產(chǎn)生完整性校驗(yàn)值(

IntegrityCheckValue,ICV)利用秘密密鑰加密

雙方必須協(xié)商好:

ICV加密的秘密密鑰

采用何種

MAC演算法

(如HMAC-SHA-1)選擇那些數(shù)據(jù)域來(lái)計(jì)算

ICV值71|

1/11/2024

AH–TransportandTunnelPayload(egTCP,UDP,ICMP)InnerIPheaderAHintransportmode:AHintunnelmode:MACscope-allimmutablefieldsPayload(egTCP,UDP,ICMP)OriginalIPheaderOuterIPheaderMACscope-allimmutablefieldsAHLen,SPI,seqno,MACAHLen,SPI,seqno,MAC72|

1/11/2024

ESP協(xié)議ESP=EncapsulatingSecurityPayload(RFC2406).Providesoneorbothof:confidentialityforpayload/innerdatagram.NBsequencenumbernotprotectedbyencryption.authenticationofpayload/innerdatagrambutnot

ofanyheaderfields(originalheaderorouterheader).Traffic-flowconfidentialityintunnelmode.UsessymmetricencryptionandMACsbasedonsecretkeyssharedbetweenendpoints.TherearebothengineeringandpoliticalreasonsfortheseparateexistenceofauthenticationinAHandinESP.73|

1/11/2024

ESP協(xié)議0SP

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論