第8章网络安全技术.ppt

计算机网络安全基础（第三版）,1,第8章网络安全技术,网络安全技术从理论上来说分为攻击技术和防御技术。攻击技术包括网络监听、网络扫描、网络入侵、网络后门等；防御技术包括加密技术、防火墙技术、入侵检测技术、虚拟专用网技术和网络安全协议等。对于攻击技术我们在第九章中加以介绍，本章主要介绍网络安全协议、网络加密技术、防火墙技术、入侵检测技术和虚拟专用网等网络安全防御技术。,计算机网络安全基础（第三版）,2,8.1网络安全协议,安全协议本质上是关于某种应用的一系列规定，包括功能、参数、格式和模式等，连通的各方只有共同遵守协议，才能相互操作。大部分安全措施都采用特定的协议来实现，如在网络层加密和认证采用IPSec（IPSecurity）协议、在传输层加密和认证采用SSL协议等。,计算机网络安全基础（第三版）,3,8.1网络安全协议,计算机网络安全基础（第三版）,4,8.1网络安全协议,1.安全协议概述（1）应用层安全协议主要有以下五个协议●安全Shell（SSH）协议●SET（SecureElectronicTransaction）协议●S-HTTP●PGP协议●S/MIME协议,计算机网络安全基础（第三版）,5,8.1网络安全协议,（2）传输层安全协议●安全套接层（SecureSocketLayer，SSL）协议工作在传输层，独立于上层应用，为应用提供一个安全的点点通信隧道。SSL机制由协商过程和通信过程组成，协商过程用于确定加密机制、加密算法、交换会话密钥服务器认证以及可选的客户端认证，通信过程秘密传送上层数据。●私密通信技术（PrivateCommunicationTechnology，PCT）协议与SSL协议有很多相似之处。现在PCT协议已经同SSL协议合并为TLS（传输层安全）协议，只是习惯上仍然把TLS协议称为SSL协议。,计算机网络安全基础（第三版）,6,8.1网络安全协议,（3）网络层安全协议为开发在网络层保护IP数据的方法，IETF成立了IP安全协议工作组（IPSec），定义了一系列在IP层对数据进行加密的协议，包括①IP验证头（AuthenticationHeader，AH）协议；②IP封装安全载荷（EncryptionServicePayload，ESP）协议；③Internet密钥交换（InternetKeyExchange，IKE）协议。,计算机网络安全基础（第三版）,7,8.1网络安全协议,2.网络层安全协议IPSecIPSec是一个工业标准网络安全协议，为IP网络通信提供透明的安全服务，保护TCP/IP通信免遭窃听和篡改，可以有效抵御网络攻击。IPSec有两个基本目标保护IP数据包安全；为抵御网络攻击提供防护措施。IPSec结合密码保护服务、安全协议组和动态密钥管理，三者共同实现这两个目标，它不仅能为局域网与拨号用户、域、网站、远程站点以及Extrant之间的通信提供有效且灵活的保护，而且还能用来筛选特定数据流。,计算机网络安全基础（第三版）,8,8.1网络安全协议,IPSec提供3种不同的形式来保护通过公有或私有IP网络传送的私有数据。（1）认证。通过认证可以确定所接受的数据与所发送的数据是否一致，同时可以确定申请发送者在实际上是真实的，还是伪装的发送者。（2）数据完整验证。通过验证，保证数据在从原发地到目的地的传送过程中没有发生任何无法检测的丢失与改变。（3）保密。使相应的接收者能获取发送的真正内容，而无关的接收者无法获知数据的真正内容。,计算机网络安全基础（第三版）,9,8.1网络安全协议,IPSec通过使用两种通信安全协议认证头（AuthenticationHeader，AH）协议、封装安全载荷（EncryptionServicePayload，ESP）协议，并使用像Internet密钥交换（InternetKeyExchange，IKE）协议之类的协议来共同实现安全性。,计算机网络安全基础（第三版）,10,8.1网络安全协议,3.传输层安全协议安全套接层（SecureSocketsLayer，SSL）协议是由Netscape公司开发的一套Internet数据安全协议，目前已广泛用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP与各种应用层协议之间，为数据通信提供安全支持。,计算机网络安全基础（第三版）,11,8.1网络安全协议,（1）SSL协议体系结构SSL协议被设计成使用TCP来提供一种可靠的端到端的安全服务。SSL协议分为两层，其中SSL握手协议、修改密文协议和告警协议位于上层，SSL记录协议为不同的更高层协议提供了基本的安全服务，可以看到HTTP可以在SSL协议上运行。SSL协议中有两个重要概念，即SSL连接和SSL会话。,计算机网络安全基础（第三版）,12,8.1网络安全协议,SSL协议体系结构,,计算机网络安全基础（第三版）,13,8.1网络安全协议,（2）SSL记录协议SSL记录协议为SSL连接提供机密性和报文完整性两种服务。（3）SSL修改密文规约协议SSL修改密文规约协议由值数为1的单个字节组成。这个报文的惟一目的就是使得挂起状态被复制到当前状态，从而改变这个连接将要使用的密文簇。,计算机网络安全基础（第三版）,14,8.1网络安全协议,（4）SSL告警协议告警协议用来将SSL协议有关的警告传送给对方实体。它由两个字节组成，第一个字节的值用来表明警告的严重级别，第二个字节表示特定告警的代码。（5）SSL握手协议SSL协议中最复杂的部分是握手协议。这个协议使得服务器和客户能相互鉴别对方的身份、协商加密和MAC算法以及用来保护在SSL记录中发送数据的加密密钥。在传输任何应用数据前，都必须使用握手协议。,计算机网络安全基础（第三版）,15,8.2网络加密技术,1.链路加密链路加密是目前最常用的一种加密方法，通常用硬件在网络层以下的物理层和数据链路层中实现，它用于保护通信节点间传输的数据。,计算机网络安全基础（第三版）,16,8.2网络加密技术,（1）异步通信加密异步通信时，发送字符中的各位都是按发送方数据加密设备（DEE）的时钟所确定的不同时间间隔来发送的。接收方的数据终端设备（DTE）产生一个频率与发送方时钟脉冲相同，且具有一定相位关系的同步脉冲，并以此同步脉冲为时间基准接收发送过来的字符，从而实现收发双方的通信同步。（2）字节同步通信加密字节同步通信不使用起始位和终止位实现同步，而是首先利用专用同步字符SYN建立最初的同步。传输开始后，接收方从邮过来的信息序列中提取同步信息。（3）位同步通信加密,计算机网络安全基础（第三版）,17,8.2网络加密技术,2.节点加密节点加密是在协议运输层上进行加密，是对源点和目标节点之间传输的数据进行加密保护。它与链路加密类似，只是加密算法要组合在依附于节点的加密模块中。,计算机网络安全基础（第三版）,18,8.2网络加密技术,3.端一端加密网络层以上的加密，通常称为端一端加密。端一端加密是面向网络高层主体进行的加密，即在协议表示层上对传输的数据进行加密，而不对下层协议信息加密。端一端加密具有链路加密和节点加密所不具有的优点（1）成本低。（2）端一端加密比链路加密更安全。（3）端一端加密可以由用户提供，因此对用户来说这种加密方式比较灵活。,计算机网络安全基础（第三版）,19,8.3防火墙技术,1.因特网防火墙（1）防火墙的基本知识防火墙是在两个网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，目的是保护网络不被他人侵扰。本质上，它遵循的是一种允许或阻止业务来往的网络通信安全机制，也就是提供可控的过滤网络通信，只允许授权的通信。通常，防火墙就是位于内部网或Web站点与因特网之间的一个路由器或一台计算机，又称为堡垒主机。其目的如同一个安全门，为门内的部门提供安全，控制那些可被允许出入该受保护环境的人或物。,计算机网络安全基础（第三版）,20,8.3防火墙技术,防火墙是由管理员为保护自己的网络免遭外界非授权访问但又允许与因特网联接而发展起来的。从网际角度，防火墙可以看成是安装在两个网络之间的一道栅栏，根据安全计划和安全策略中的定义来保护其后面的网络。由软件和硬件组成的防火墙应该具有以下功能。（1）所有进出网络的通信流都应该通过防火墙。（2）所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权。（3）理论上说，防火墙是穿不透的。,计算机网络安全基础（第三版）,21,8.3防火墙技术,内部网需要防范的三种攻击有间谍试图偷走敏感信息的黑客、入侵者和闯入者。盗窃盗窃对象包括数据、Web表格、磁盘空间和CPU资源等。破坏系统通过路由器或主机／服务器蓄意破坏文件系统或阻止授权用户访问内部网（外部网）和服务器。这里，防火墙的作用是保护Web站点和公司的内部网，使之免遭因特网上各种危险的侵犯。,计算机网络安全基础（第三版）,22,防火墙在因特网与内部网中的位置,所有来自因特网的传输信息或从内部网络发出的信息都必须穿过防火墙。防火墙能够确保如电子信件、文件传输、远程登录或在特定的系统间信息交换的安全。,,,计算机网络安全基础（第三版）,23,8.3防火墙技术,（2）防火墙的基本功能●防火墙能够强化安全策略●防火墙能有效地记录因特网上的活动●防火墙限制暴露用户点●防火墙是一个安全策略的检查站（3）防火墙的不足之处●不能防范恶意的知情者●防火墙不能防范不通过它的连接●防火墙不能防备全部的威胁●防火墙不能防范病毒,计算机网络安全基础（第三版）,24,8.3防火墙技术,2.包过滤路由器（1）基本概念包是网络上信息流动的单位。在网上传输的文件一般在发出端被划分成一串数据包，经过网上的中间站点，最终传到目的地，然后这些包中的数据又重新组成原来的文件。每个包有两个部分数据部分和包头。包头中含有源地址和目标地址等信息。包过滤器又称为包过滤路由器，它通过将包头信息和管理员设定的规则表比较，如果有一条规则不允许发送某个包，路由器将它丢弃。,计算机网络安全基础（第三版）,25,包过滤路由器,,计算机网络安全基础（第三版）,26,8.3防火墙技术,（2）包过滤路由器的优缺点优点仅用一个放置在重要位置上的包过滤路由器就可保护整个网络。如果站点与因特网间只有一台路由器，那么不管站点规模有多大，只要在这台路由器上设置合适的包过滤，站点就可获得很好的网络安全保护。缺点及局限性在机器中配置包过滤规则比较困难；对系统中的包过滤规则的配置进行测试也较麻烦；许多产品的包过滤功都有这样或那样的局限性，要找一个比较完整的包过滤产品比较困难。,计算机网络安全基础（第三版）,27,8.3防火墙技术,（3）包过滤路由器的配置在配置包过滤路由器时，首先要确定哪些服务允许通过而哪些服务应被拒绝，并将这些规定翻译成有关的包过滤规则。●协议的双向性。●“往内”与“往外”的含义。●“默认允许”与“默认拒绝”。,计算机网络安全基础（第三版）,28,8.3防火墙技术,（4）包过滤设计假设从外部主机发来的因特网邮件在某一特定网关被接收，并且想拒绝从不信任的名为THEHOST的主机发来的数据流。在这个例子中，SMTP使用的网络安全策略必须翻译成包过滤规则。在此可以把网络安全规则翻译成下列中文规则。[过滤器规则1]不相信从THEHOST来的连接。[过滤器规则2]允许与邮件网关的连接。,计算机网络安全基础（第三版）,29,8.3防火墙技术,阻塞任何从（*）THEHOST端口来的到我们任意（*）主机的任意（*）端口的连接。允许任意（*）外部主机从其任意（*）端口到我们的Mail-GW主机端口的连接。,计算机网络安全基础（第三版）,30,SMTP包过滤规则,计算机网络安全基础（第三版）,31,8.3防火墙技术,3.堡垒主机人们把处于防火墙关键部位、运行应用级网关软件的计算机系统称为堡垒主机。堡垒主机在防火墙的建立过程中起着这关重要的作用。（1）建立堡垒主机的原则设计和建立堡垒主机的基本原则有两条●最简化原则●预防原则,计算机网络安全基础（第三版）,32,8.3防火墙技术,（2）堡垒主机的分类堡垒主机目前有3种类型●无路由双宿主主机●牺牲主机●内部堡垒主机。无路由双宿主主机有多个网络接口。牺牲主机是一种没有任何需要保护信息的主机，同时它又不与任何入侵者想利用的主机相连。内部堡垒主机是可与某些内部主机进行交互的堡垒主机。,计算机网络安全基础（第三版）,33,单宿主主机,计算机网络安全基础（第三版）,34,双宿主主机,,计算机网络安全基础（第三版）,35,8.3防火墙技术,（3）堡垒主机的选择●堡垒主机操作系统的选择●堡垒主机速度的选择（4）堡垒主机提供的服务●无风险服务。●低风险服务。●高风险服务。●禁用服务。,计算机网络安全基础（第三版）,36,8.3防火墙技术,4.代理服务代理服务是运行在防火墙主机上的一些特定的应用程序或者服务程序。防火墙主机可以是有一个内部网络接口和一个外部网络接口的双重宿主主机，也可以是一些可以访问因特网并可被内部主机访问的堡垒主机。这些程序接受用户对因特网服务的请求（诸如文件传输FTP和远程登录Telnet等），并按照安全策略转发它们到实际的服务。所谓代理就是一个提供替代连接并且充当服务的网关。代理也称之为应用级网关。,计算机网络安全基础（第三版）,37,代理的实现过程,计算机网络安全基础（第三版）,38,8.3防火墙技术,5.防火墙体系结构（1）双重宿主主机体系结构该计算机至少有两个网络接口，这样的主机可以充当与这些接口相连的网络之间的路由器，并能够从一个网络到另一个网络发送IP数据包。防火墙内部的网络系统能与双重宿主主机通信，同时防火墙外部的网络系统也能与双重宿主主机通信。通过双重宿主主机，防火墙内外的计算机便可进行通信了，但是这些系统不能直接互相通信，它们之间的IP通信被完全阻止。,计算机网络安全基础（第三版）,39,8.3防火墙技术,双重宿主主机的防火墙体系结构是相当简单的，双重宿主主机位于两者之间，并且被连接到因特网和内部的网络。,,计算机网络安全基础（第三版）,40,8.3防火墙技术,（2）主机过滤体系结构提供安全保护的主机仅仅与内部网相连。另外，主机过滤结构还有一台单独的过滤路由器。在这种体系结构中，主要的安全由数据包过滤提供。,,计算机网络安全基础（第三版）,41,8.3防火墙技术,（3）子网过滤体系结构子网过滤体系结构添加了额外的安全层到主机过滤体系结构中，即通过添加参数网络，更进一步地把内部网络与因特网隔离开。最简单的形式为两个过滤路由器，每一个都连接到参数网，一个位于参数网与内部的网络之间，另一个位于参数网与外部网络之间。,,计算机网络安全基础（第三版）,42,子网过滤体系结构,计算机网络安全基础（第三版）,43,小型网络解决方案,计算机网络安全基础（第三版）,44,典型的网络安全解决方案,计算机网络安全基础（第三版）,45,8.4入侵检测技术,1.入侵检测技术概述入侵定义为任何试图破坏信息系统的完整性、保密性或有效性的活动的集合。入侵检测就是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。入侵检测系统（IDS）被认为是防火墙之后的第二道安全闸门，能够检测来自网络内部的攻击。,计算机网络安全基础（第三版）,46,8.4入侵检测技术,（1）基本概念入侵检测是指通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图。（2）入侵检测系统的分类异常检测模型检测与可接受行为之间的偏差。如果可以定义每项可接受的行为，那么每项不可接受的行为就应该是入侵。误用检测模型检测与已知的不可接受行为之间的匹配程度。,计算机网络安全基础（第三版）,47,8.4入侵检测技术,按照监测的对象分●基于主机的入侵检测系统●基于网络的入侵检测系统●混合型入侵检测系统按照工作方式分●离线检测系统●在线检测系统,计算机网络安全基础（第三版）,48,8.4入侵检测技术,（3）入侵检测的过程●信息收集。内容包括系统、网络、数据及用户活动的状态和行为。●信息分析。收集到的信息，被送到检测引擎，检测引擎驻留在传感器中，一般通过三种技术手段进行分析模式匹配、统计分析和完整性分析。当检测到某种误用模式时，产生一个告警并发送给控制台。●结果处理。控制台按照告警产生预先定义的响应采取相应措施，可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性，也可以只是简单的告警。,计算机网络安全基础（第三版）,49,8.4入侵检测技术,（4）入侵检测系统的结构由于入侵检测环境和系统安全策略的不同，IDS在具体实现上也存在差异。从系统构成上看，IDS包括事件提取、入侵分析、入侵响应和远程管理4部分。另外，还可能结合安全知识库、数据存储等功能模块，提供更为完善的安全检测和数据分析功能。,计算机网络安全基础（第三版）,50,入侵检测系统的结构,计算机网络安全基础（第三版）,51,8.4入侵检测技术,2.常用入侵检测技术（1）常用的检测方法●特征检测对已知的攻击或入侵的方式作出确定性的描述，形成相应的事件模式。●统计检测统计模型用于异常检测，常用的参数包括审计事件的数量、间隔时间、资源消耗情况等。●专家系统专家系统的关键技术是对入侵的特征抽取与表达。,计算机网络安全基础（第三版）,52,8.4入侵检测技术,（2）统计异常检测统计异常检测技术可以分为两种阈值检测和基于行为的检测。阈值检测对一段时间之内某种特定事件的出现次数进行统计，如果统计所得的结果超过了预先定义好的阈值，就可以认为有入侵行为发生。基于用户行为的检测技术首先要建立单个用户或群体用户的行为模型，之后检测当前用户行为和该模型是否有较大的偏离。,计算机网络安全基础（第三版）,53,8.4入侵检测技术,基于用户行为的入侵检测所用到的参量计数器、计量器、间隔定时器、资源使用情况。基于用户行为的检测技术的模型操作模型、方差模型、多元模型、马尔柯夫过程模型、时间序列模型。,计算机网络安全基础（第三版）,54,8.4入侵检测技术,（3）基于规则的入侵检测基于规则的入侵检测是通过观察系统里发生的事件并将该事件与系统的规则集进行匹配，来判断该事件是否与某条规则所代表的入侵行为相对应。基于规则的入侵检测分为基于规则的异常检测和基于规则的渗透检测。（4）分布式入侵检测分布式入侵检测系统设计应包含主机代理模块、局域网监测代理模块和中央管理器模块三个模块。,计算机网络安全基础（第三版）,55,分布式入侵检测系统的实现过程,计算机网络安全基础（第三版）,56,8.4入侵检测技术,（5）蜜罐技术蜜罐技术是一种欺骗性的入侵检测系统，其设计目的是将入侵者从关键系统处引诱开。蜜罐技术的主要任务是转移入侵者对关键系统的访问、收集入侵者的活动信息、引诱入侵者在系统中停留足够长的时间，以便于管理员作出反应。有两种类型的蜜罐主机产品型蜜罐主机和研究型蜜罐主机。产品型蜜罐主机用于网络的安全风险；研究型蜜罐主机则用于收集更多的信息。,计算机网络安全基础（第三版）,57,蜜罐技术的应用,计算机网络安全基础（第三版）,58,8.5虚拟专用网技术,1.虚拟专用网的定义虚拟专用网VPNVirtualPrivateNetwork指的是在公用网络上建立专用网络的技术。之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台之上的逻辑网络，用户数据在逻辑链路中传输。从客观上可以认为虚拟专用网就是一种具有私有和专用特点网络通信环境。它是通过虚拟的组网技术，而非构建物理的专用网络的手段来达到的。,计算机网络安全基础（第三版）,59,虚拟专用网的构成,,计算机网络安全基础（第三版）,60,虚拟专用网解决的主要问题,1使用VPN可降低成本可以节省大量的通信费用，而不必投入大量的人力和物力去安装和维护广域网设备和远程访问设备。2传输数据安全可靠虚拟专用网产品均采用加密及身份验证等安全技术，保证连接用户的可靠性及传输数据的安全和保密性。3连接方便灵活用户如果想与合作伙伴联网，如果没有虚拟专用网，双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路，有了虚拟专用网之后，只需双方配置安全连接信息即可。4完全控制虚拟专用网的用户完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源，对于其它的安全设置、网络管理变化可由自己管理。,计算机网络安全基础（第三版）,61,8.5虚拟专用网技术,虚拟专用网具有如下的优点（1）成本较低当使用Internet时，借助ISP来建立虚拟专用网，就可以节省大量的通信费用。（2）扩展容易如果企业想扩大虚拟专用网的容量和覆盖范围，只需与新的ISP签约，建立账户；或者与原有的ISP重签合约，扩大服务范围。（3）方便与合作伙伴的联系（4）完全控制主动权,计算机网络安全基础（第三版）,62,8.5虚拟专用网技术,2.虚拟专用网的类型虚拟专用网分为三种类型企业内部虚拟专用网（IntranetVPN）远程访问虚拟专用网（AccessVPN）企业扩展虚拟专用网（ExtranetVPN）。,计算机网络安全基础（第三版）,63,企业内部虚拟专用网,计算机网络安全基础（第三版）,64,远程访问虚拟专用网,计算机网络安全基础（第三版）,65,企业扩展虚拟网,计算机网络安全基础（第三版）,66,8.5虚拟专用网技术,3.虚拟专用网的工作原理虚拟专用网是一种连接，从表面上看它类似一种专用连接，但实际上是在共享网络实现。它通常使用一种被称作“隧道”的技术，数据包在公共网络上的专用“隧道”内传输。专用“隧道”用于建立点对点的连接。来自不同的数据源的网络业务经由不同的隧道在相同的体系结构上传输，并允许网络协义穿越不兼容的体系结构，还可区分来自不同数据源的业务，因而可将该业务发往指定的目的地，并接受指定的等级服务。,计算机网络安全基础（第三版）,67,8.5虚拟专用网技术,一个隧道的基本组成是隧道启动器、路由网络、可选的隧道交换机和一个或多个隧道终结器。隧道启动和终止可由许多网络设备和软件来实现。此外，还需要一台或多台安全服务器。虚拟专用网除了具备常规的防火墙和地址转换功能外，还应具有数据加密、鉴别和授权的功能。,计算机网络安全基础（第三版）,68,,,计算机网络安全基础（第三版）,69,点对点的VPN技术,（1）点对点隧道协议PPTPPPTP使用用户级别的PPP身份验证方法和用于数据加密的Microsoft点对点加密。（2）带有Internet协议安全性（IPSec）的第二层隧道协议（L2TP）L2TP将用户级别的PPP身份验证方法和计算机级别的证书与用于数据加密的IPSec或隧道模式中的IPSec一起使用。,计算机网络安全基础（第三版）,70,8.5虚拟专用网技术,4.虚拟专用网的关键技术和协议（1）关键技术虚拟专用网中采用的关键技术主要包括隧道技术、加密技术、用户身份认证技术及访问控制技术。●隧道技术隧道是一种通过互联网络在网络之间传递数据的一种方式。所传递的数据在传送之前被封装在相应的隧道协议里，当到达另一端时被解包。被封装的数据在互联网上传递时所经过的路径是一条逻辑路径。,计算机网络安全基础（第三版）,71,隧道技术,计算机网络安全基础（第三版）,72,8.5虚拟专用网技术,●加密技术虚拟专用网上的加密方法主要是发送者在发送数据之前对数据加密，当数据到达接收者时由接收者对数据进行解密的处理过程。加密算法的种类包括对称密钥算法，公共密钥算法等。如DES、3DES、IDEA等。●用户身份认证技术主要用于远程访问的情况。当一个拨号用户要求建立一个会话时，就要对用户的身份进行鉴定，以确定该用户是否是合法用户以及哪些资源可被使用。●访问控制技术确定合法用户对资源的访问权限，以实现对信息资源的最大限度的保护。,计算机网络安全基础（第三版）,73,8.5虚拟专用网技术,（2）相关协议对于虚拟专用网来说，网络隧道技术是关键技术，它涉及三种协议，即网络隧道协议、支持网络隧道协议的承载协议和网络隧道协议所承载的被承载协议。构成网络隧道协议主要有三种●点对点隧道协议（PointtoPointTunnelingProtocol，PPTP）●二层转发协议（Layer2Forwarding，L2F）●二层隧道协议（Layer2TunnelingProtocol，L2TP）。,计算机网络安全基础（第三版）,74,8.5虚拟专用网技术,●点对点隧道协议一个最流行的Internet协议，它提供PPTP客户机与PPTP服务器之间的加密通信，它允许公司使用专用的隧道，通过公共Internet来扩展公司的网络。通过Internet的数据通信，需要对数据流进行封装和加密，PPTP就可以实现这两个功能，从而可以通过Internet实现多功能通信。,计算机网络安全基础（第三版）,75,8.5虚拟专用网技术,●第二层隧道协议VPN通过L2TP来保证在公用网络上的安全性。这种协议通过在发送端对数据加密，在接受端对数据解密，在一个“隧道”中发送数据，其他未经正确加密的数据无法进入“隧道”。用专门层将加密后的数据以及收发端地址全部封装进去。L2TP使用控制消息和数据隧道消息。控制消息负责创建、维护及终止L2TP隧道，而数据隧道消息则负责用户数据的真正传输。L2TP支持标准的安全特性CHAP和PAP，可以进行用户身份认证。,计算机网络安全基础（第三版）,76,8.5虚拟专用网技术,●通用路由封装协议GREGRE是对某些网络层协议（如IP和IPX）的数据报进行封装，使这些被封装的数据报能够在另一个网络层协议（如IP）中传输。GRE是VPN的第三层隧道协议，即在协议层之间采用了一种隧道技术。GRE规定了如何用一种网络协议去封装另一种网络协议的方法。GRE的隧道由两端的源IP地址和目的IP地址来定义，允许用户使用IP包封装IP、IPX、AppleTalk包，并支持全部的路由协议（如RIP2、OSPF等）。,计算机网络安全基础（第三版）,77,小结,1．网络安全协议安全协议本质上是关于某种应用的一系列规定，包括功能、参数、格式和模式等，连通的各方只有共同遵守协议，才能相互操作。（1）应用层安全协议（2）传输层安全协议（3）网络层安全协议2．网络加密技术在计算机网络系统中，数据加密方式有链路加密、节点加密和端端加密等3种方式。,计算机网络安全基础（第三版）,78,小结,3．防火墙技术防火墙是一个或一组在两个网络之间执行访问控制策略的系统，包括硬件和软件，目的是保护网络不被可疑人侵扰。本质上，它遵从的是一种允许或阻止业务往来的网络通信安全机制，也就是提供可控的过滤网络通信，只允许授权的通信。包过滤一直是一种简单而有效的方法。通过拦截数据包，读出并拒绝那些不符合标准的包头，过滤掉不应入站的信息。包过滤器又称为筛选路由器。设计和建立堡垒主机的基本原则有两条最简化原则和预防原则。代理服务是运行在防火墙主机上的一些特定的应用程序或者服务程序。,计算机网络安全基础（第三版）,79,小结,4．入侵检测技术入侵定义为任何试图破坏信息系统的完整性、保密性或有效性的活动的集合。入侵检测就是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。按照检测类型从技术上划分，入侵检测有异常检测模型和误用检测模型。按照监测的对象是主机还是网络分为基于主机的入侵检测系统和基于网络的入侵检测系统以及混合型入侵检测系统。按照工作方式分为离线检测系统与在线检测系统。,计算机网络安全基础（第三版）,80,小结,5．虚拟专用网技术虚拟专用网是利用接入服务器、路由器及虚拟专用网设备在公用的广域网上实现虚拟专用网的技术。也就是说，用户觉察不到他在利用公用网获得专用网的服务。虚拟专用网分为三种类型远程访问虚拟网、企业内部虚拟网和企业扩展虚拟网。虚拟专用网中采用的关键技术主要包括隧道技术、加密技术、用户身份认证技术及访问控制技术。对于虚拟专用网来说，网络隧道技术是关键技术，它涉及三种协议，即网络隧道协议、支持网络隧道协议的承载协议和网络隧道协议所承载的被承载协议。,计算机网络安全基础（第三版）,81,习题与思考题,1．IPSec能对应用层提供保护吗2．按照IPSec协议体系框架，如果需要在AH或ESP中增加新的算法，需要对协议做些什么修改工作3．简述防火墙的工作原理。4．防火墙的体系结构有哪些5．在主机过滤体系结构防火墙中，内部网的主机想要请求外网的服务，有几种方式可以实现6．安装一个简单的防火墙和一个代理服务的软件。7．简述入侵检测系统的工作原理，比较基于主机和基于网络应用的入侵检测系统的优缺点。8．构建一个VPN系统需要解决哪些关键技术这些关键技术各起什么作用9．用IPSec机制实现VPN时，如果企业内部网使用了私用IP地址怎么办IPSec该采用何种模式,