復(fù)習(xí)要點(diǎn)doc - 成都大學(xué)

1、網(wǎng)絡(luò)安全復(fù)習(xí)要點(diǎn)1、網(wǎng)絡(luò)安全涵蓋： 自主計(jì)算機(jī)的安全；互聯(lián)的安全，即用以實(shí)現(xiàn)互聯(lián)的通信設(shè)備、通信鏈路、網(wǎng)絡(luò)軟件、網(wǎng)絡(luò)協(xié)議的安全；各種網(wǎng)絡(luò)應(yīng)用和服務(wù)的安全。2、什么是網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全就是為防范計(jì)算機(jī)網(wǎng)絡(luò)硬件、軟件、數(shù)據(jù)偶然或蓄意被破壞、篡改、竊聽(tīng)、假冒、泄露、非法訪問(wèn)并保護(hù)網(wǎng)絡(luò)系統(tǒng)持續(xù)有效工作的措施總和。3、主要的滲人類(lèi)型的威脅：(1)假冒(2)旁路控制(3)授權(quán)侵犯4、主要的植入類(lèi)型的威脅：(1)特洛伊木馬(2)陷阱門(mén)5、密碼安全是信息安全、網(wǎng)絡(luò)安全和計(jì)算機(jī)系統(tǒng)安全的基礎(chǔ)與核心，也是身份認(rèn)證、訪問(wèn)控制、拒絕否認(rèn)和防止信息竊取的有效手段。6、網(wǎng)絡(luò)安全可以看成是計(jì)算機(jī)網(wǎng)絡(luò)上的信息安全，涉及網(wǎng)絡(luò)信

2、息的可靠性、保密性、完整性、有效性、可控性和拒絕否認(rèn)性的理論、技術(shù)與管理。7、網(wǎng)絡(luò)安全的最終目標(biāo)就是通過(guò)各種技術(shù)與管理手段實(shí)現(xiàn)網(wǎng)絡(luò)信息系統(tǒng)的可靠性、保密性、完整性、有效性、可控性和拒絕否認(rèn)性。 其中，保密性、完整性、有效性是網(wǎng)絡(luò)安全具有的三個(gè)基本屬性。8、網(wǎng)絡(luò)安全機(jī)制n 加密、報(bào)文摘要算法和數(shù)字簽名；n 接入控制和認(rèn)證機(jī)制；n 分組檢測(cè)和信息流管制機(jī)制；n 入侵防御機(jī)制；n 應(yīng)用層安全機(jī)制。9、計(jì)算機(jī)網(wǎng)絡(luò)上的通信面臨以下的四種威脅： (1) 截獲從網(wǎng)絡(luò)上竊聽(tīng)他人的通信內(nèi)容。 (2) 中斷有意中斷他人在網(wǎng)絡(luò)上的通信。 (3) 篡改故意篡改網(wǎng)絡(luò)上傳送的報(bào)文。 (4) 偽造偽造信息在網(wǎng)絡(luò)上傳送。10

3、、截獲信息的攻擊稱為被動(dòng)攻擊，而更改信息和拒絕用戶使用資源的攻擊稱為主動(dòng)攻擊11、密碼編碼學(xué)(cryptography)是密碼體制的設(shè)計(jì)學(xué)，而密碼分析學(xué)(cryptanalysis)則是在未知密鑰的情況下從密文推演出明文或密鑰的技術(shù)。密碼編碼學(xué)與密碼分析學(xué)合起來(lái)即為密碼學(xué)(cryptology)。12、對(duì)稱密鑰系統(tǒng)加密密鑰與解密密鑰是相同的密碼體制。13、公鑰密碼體制使用不同的加密密鑰與解密密鑰14、一般的數(shù)據(jù)加密模型 截獲密文 Y加密密鑰 K密文 Y截取者篡改E 運(yùn)算加密算法D 運(yùn)算解密算法因特網(wǎng)解密密鑰 KAB明文 X15、數(shù)據(jù)加密標(biāo)準(zhǔn) DESv 數(shù)據(jù)加密標(biāo)準(zhǔn) DES 屬于常規(guī)密鑰密碼體制

4、，是一種分組密碼。v 在加密前，先對(duì)整個(gè)明文進(jìn)行分組。每一個(gè)組長(zhǎng)為 64 位。v 然后對(duì)每一個(gè) 64 位 二進(jìn)制數(shù)據(jù)進(jìn)行加密處理，產(chǎn)生一組 64 位密文數(shù)據(jù)。v 最后將各組密文串接起來(lái)，即得出整個(gè)的密文。v 使用的密鑰為 64 位（實(shí)際密鑰長(zhǎng)度為 56 位，有 8 位用于奇偶校驗(yàn))。16、國(guó)際數(shù)據(jù)加密算法IDEA IDEA使用128位密鑰17、非對(duì)稱加密體制v 公鑰密碼體制使用不同的加密密鑰與解密密鑰，是一種“由已知加密密鑰推導(dǎo)出解密密鑰在計(jì)算上是不可行的”密碼體制。 v 公鑰密碼體制的產(chǎn)生主要是因?yàn)閮蓚€(gè)方面的原因，一是由于常規(guī)密鑰密碼體制的密鑰分配問(wèn)題，另一是由于對(duì)數(shù)字簽名的需求。v 現(xiàn)有最

5、著名的公鑰密碼體制是RSA 體制，它基于數(shù)論中大數(shù)分解問(wèn)題的體制。18、加密密鑰與解密密鑰v 在公鑰密碼體制中，加密密鑰(即公鑰) PK 是公開(kāi)信息，而解密密鑰(即私鑰或秘鑰) SK 是需要保密的。v 加密算法 E 和解密算法 D 也都是公開(kāi)的。v 雖然秘鑰 SK 是由公鑰 PK 決定的，但卻不能根據(jù) PK 計(jì)算出 SK。l 19、公鑰算法的特點(diǎn)v 發(fā)送者 A 用 B 的公鑰 PKB 對(duì)明文 X 加密（E 運(yùn)算）后，在接收者 B 用自己的私鑰 SKB 解密（D 運(yùn)算），即可恢復(fù)出明文： v 解密密鑰是接收者專(zhuān)用的秘鑰，對(duì)其他人都保密。v 加密密鑰是公開(kāi)的，但不能用它來(lái)解密，即v 加密和解密的運(yùn)

6、算可以對(duì)調(diào)，即19、數(shù)字簽名必須保證以下三點(diǎn)：(1) 報(bào)文鑒別接收者能夠核實(shí)發(fā)送者對(duì)報(bào)文的簽名；(2) 報(bào)文的完整性發(fā)送者事后不能抵賴對(duì)報(bào)文的簽名；(3) 不可否認(rèn)接收者不能偽造對(duì)報(bào)文的簽名。20、數(shù)字簽名的實(shí)現(xiàn)（原理）密文 D運(yùn)算B因特網(wǎng)簽名 核實(shí)簽名E運(yùn)算密文 A 的公鑰 PKAA 的私鑰 SKAA說(shuō)明n 因?yàn)槌?A 外沒(méi)有別人能具有 A 的私鑰，所以除 A 外沒(méi)有別人能產(chǎn)生這個(gè)密文。因此 B 相信報(bào)文 X 是 A 簽名發(fā)送的。n 若 A 要抵賴曾發(fā)送報(bào)文給 B，B 可將明文和對(duì)應(yīng)的密文出示給第三者。第三者很容易用 A 的公鑰去證實(shí) A 確實(shí)發(fā)送 X 給 B。n 反之，若 B 將 X 偽造

7、成 X，則 B 不能在第三者前出示對(duì)應(yīng)的密文。這樣就證明了 B 偽造了報(bào)文。21、具有保密性的數(shù)字簽名在20的基礎(chǔ)上設(shè)計(jì)具有保密性的數(shù)字簽名。22、報(bào)文摘要 MD (Message Digest)n A 將報(bào)文 X 經(jīng)過(guò)報(bào)文摘要算法運(yùn)算后得出很短的報(bào)文摘要 H。然后然后用自己的私鑰對(duì) H 進(jìn)行 D 運(yùn)算，即進(jìn)行數(shù)字簽名。得出已簽名的報(bào)文摘要 D(H)后，并將其追加在報(bào)文 X 后面發(fā)送給 B。n A 將報(bào)文 X 經(jīng)過(guò)報(bào)文摘要算法運(yùn)算后得出很短的報(bào)文摘要 H。然后然后用自己的私鑰對(duì) H 進(jìn)行 D 運(yùn)算，即進(jìn)行數(shù)字簽名。得出已簽名的報(bào)文摘要 D(H)后，并將其追加在報(bào)文 X 后面發(fā)送給 B。n B

8、收到報(bào)文后首先把已簽名的 D(H) 和報(bào)文 X 分離。然后再做兩件事。n 用A的公鑰對(duì) D(H) 進(jìn)行E運(yùn)算，得出報(bào)文摘要 H 。n 對(duì)報(bào)文 X 進(jìn)行報(bào)文摘要運(yùn)算，看是否能夠得出同樣的報(bào)文摘要 H。如一樣，就能以極高的概率斷定收到的報(bào)文是 A 產(chǎn)生的。否則就不是。23、報(bào)文摘要的實(shí)現(xiàn)A比較簽名 核實(shí)簽名HD 運(yùn)算D(H)A 的私鑰報(bào)文 XD(H)B報(bào)文摘要報(bào)文 XD(H)發(fā)送 E 運(yùn)算H簽名的報(bào)文摘要HA 的公鑰報(bào)文摘要運(yùn)算報(bào)文摘要因特網(wǎng)24、攻擊的類(lèi)型v （1）竊聽(tīng)（interception）：攻擊者未經(jīng)授權(quán)而瀏覽了信息資源。這是對(duì)信息保密性的威脅。例如，通過(guò)搭線捕獲線路上傳輸?shù)臄?shù)據(jù)等。v

9、（2）中斷（interruption）：攻擊者中斷正常的信息傳輸，使接收方收不到信息，正常的信息變得無(wú)用或無(wú)法利用。這是對(duì)信息可用性的威脅。例如，破壞存儲(chǔ)介質(zhì)、切斷通信線路、入侵文件管理系統(tǒng)等。v （3）篡改（modification）：攻擊者未經(jīng)授權(quán)而訪問(wèn)了信息資源，并篡改了信息。這是對(duì)信息完整性的威脅。例如，修改文件中的數(shù)據(jù)、改變程序功能、修改傳輸?shù)膱?bào)文內(nèi)容等。v （4）偽造（fabrication）：攻擊者在系統(tǒng)中加入了偽造的內(nèi)容。這也是對(duì)數(shù)據(jù)完整性的威脅。例如，向網(wǎng)絡(luò)用戶發(fā)送虛假信息、在文件中插入偽造的記錄等。25、被動(dòng)攻擊 在被動(dòng)攻擊中，攻擊者只是觀察和分析某一個(gè)協(xié)議數(shù)據(jù)單元 PDU

10、 而不干擾信息流。 竊聽(tīng)、監(jiān)聽(tīng)屬于被動(dòng)攻擊。 常用采用加密技術(shù)來(lái)屏蔽內(nèi)容。 對(duì)被動(dòng)攻擊強(qiáng)調(diào)的是阻止而不是檢測(cè)。26、主動(dòng)攻擊主動(dòng)攻擊是指攻擊者對(duì)某個(gè)連接中通過(guò)的 PDU 進(jìn)行各種處理。(1)偽裝(2)回答（重放）(3)修改報(bào)文(4)拒絕服務(wù)27、網(wǎng)絡(luò)安全策略 網(wǎng)絡(luò)安全策略是保障機(jī)構(gòu)網(wǎng)絡(luò)安全的指導(dǎo)文件。一般而言，網(wǎng)絡(luò)安全策略包括總體安全策略和具體安全管理實(shí)施細(xì)則28、對(duì)抗攻擊的4個(gè)基本安全服務(wù)：機(jī)密性服務(wù)、完整性服務(wù)、可用性服務(wù)以及可審性服務(wù)。29、Kerberos鑒別v Kerberos鑒別是一種使用對(duì)稱密鑰加密算法來(lái)實(shí)現(xiàn)通過(guò)可信第三方密鑰分發(fā)中心(KDC)的身份認(rèn)證系統(tǒng)。v Kerberos

11、版本5的協(xié)議已被Internet工程部IEIF正式接受為RFC 1510。v Kerberos在學(xué)術(shù)界和工業(yè)界都獲得了廣泛的支持，被眾多系統(tǒng)選作身份認(rèn)證的基礎(chǔ)平臺(tái)。v 目前各主要操作系統(tǒng)都支持Kerberos認(rèn)證系統(tǒng)。v Kerberos協(xié)議中有3個(gè)通信參與方：需要驗(yàn)證身份的通信雙方及一個(gè)雙方都信任的第三方，即密鑰分發(fā)中心(KDC)。30、單個(gè)CA的PKI結(jié)構(gòu) 單個(gè)CA的PKI結(jié)構(gòu)中，只有一個(gè)CA，它是PKI中的所有用戶的信任點(diǎn)，為所有用戶提供PKI服務(wù)。 在這個(gè)結(jié)構(gòu)中，所有用戶都能通過(guò)該CA實(shí)現(xiàn)相互之間的認(rèn)證。 單個(gè)CA的PKI結(jié)構(gòu)簡(jiǎn)單，容易實(shí)現(xiàn)；但對(duì)于具有大量的、不同群體用戶的組織不太適應(yīng)

12、，其擴(kuò)展性較差。31、網(wǎng)絡(luò)體系結(jié)構(gòu)的觀點(diǎn) 不同類(lèi)型的漏洞、攻擊、威脅存在于網(wǎng)絡(luò)的不同層次。例：IP欺騙是在網(wǎng)絡(luò)層的一種攻擊，字典攻擊則發(fā)生在應(yīng)用層，通信竊聽(tīng)是在數(shù)據(jù)鏈路層和物理層，各種病毒的侵入則是在應(yīng)用層。 每個(gè)網(wǎng)絡(luò)環(huán)境因其安裝的硬件、軟件、技術(shù)和配置的不同而有所區(qū)別。主要區(qū)別在于要達(dá)到的目標(biāo)不同。 在網(wǎng)絡(luò)體系結(jié)構(gòu)中不同的層次可能發(fā)生的攻擊、漏洞。 防火墻配置了分組過(guò)濾，這是在網(wǎng)絡(luò)層提供防護(hù)，它抵御拒絕服務(wù)攻擊和碎片攻擊。 代理軟件配置保護(hù)應(yīng)用層，抵御非授權(quán)訪問(wèn)攻擊和分組欺騙攻擊。 網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)工作在網(wǎng)絡(luò)層，可隱藏LAN的IP地址和拓?fù)洹?屏蔽雙絞線(STP)工作在物理層，可以防止

13、網(wǎng)絡(luò)竊聽(tīng)和信號(hào)干擾。32、OSI安全體系結(jié)構(gòu)的5類(lèi)安全服務(wù) 鑒別（認(rèn)證安全服務(wù)） 訪問(wèn)控制 數(shù)據(jù)機(jī)密性 數(shù)據(jù)完整性 抗否認(rèn) 33、為了實(shí)現(xiàn)OSI安全體系結(jié)構(gòu)的5類(lèi)安全服務(wù)，ISO 7408-2中制定了支持安全服務(wù)的8種安全機(jī)制，它們分別是：n 加密機(jī)制（Enciphrement Mechanisms）n 數(shù)字簽名機(jī)制（Digital Signature Mechanisms）n 訪問(wèn)控制機(jī)制（Access Control Mechanisms）n 數(shù)據(jù)完整性機(jī)制（Data Integrity Mechanisms）n 鑒別交換機(jī)制（Authentication Mechanisms）n 通信業(yè)

14、務(wù)填充機(jī)制（Traffic Padding Mechanisms）n 路由控制機(jī)制（Routing Control Mechanisms）n 公證機(jī)制（Notarization Mechanisms）34、防火墻的概念 防火墻是建立在內(nèi)外網(wǎng)絡(luò)邊界上的過(guò)濾封鎖機(jī)制，內(nèi)部網(wǎng)絡(luò)被認(rèn)為是安全和可信賴的，而外部網(wǎng)絡(luò)(通常是Internet)被認(rèn)為是不安全和不可信賴的。 防火墻的作用是防止不希望的、未經(jīng)授權(quán)的通信進(jìn)出被保護(hù)的內(nèi)部網(wǎng)絡(luò)，通過(guò)邊界控制強(qiáng)化內(nèi)部網(wǎng)絡(luò)的安全政策。 防火墻通常是運(yùn)行在一臺(tái)或者多臺(tái)計(jì)算機(jī)之上的一組特別的服務(wù)軟件，用于對(duì)網(wǎng)絡(luò)進(jìn)行防護(hù)和通信控制。 防火墻設(shè)備是安裝了防火墻軟件，并針對(duì)安全防

15、護(hù)進(jìn)行了專(zhuān)門(mén)設(shè)計(jì)的網(wǎng)絡(luò)設(shè)備，本質(zhì)上還是軟件在進(jìn)行控制。35、從總體上看，防火墻應(yīng)具有以下五大基本功能： （1）過(guò)濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包。 （2）管理進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為。 （3）封堵某些禁止的訪問(wèn)行為。 （4）記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng)。 （5）對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警。另外防火墻還有如下附加的功能： (1)流量控制，針對(duì)不同的用戶限制不同的流量，可以合理使用帶寬資源。 (2) NAT，是通過(guò)修改數(shù)據(jù)包的源地址（端口）或者目的地址（端 口），來(lái)達(dá)到節(jié)省IP地址資源，隱藏內(nèi)部IP地址的功能的一種技術(shù)。 (3) VPN，指利用數(shù)據(jù)封裝和加密技術(shù)，使本來(lái)只能在私有網(wǎng)絡(luò)上傳送的數(shù)據(jù)能夠通過(guò)公共網(wǎng)絡(luò)(In

16、ternet)進(jìn)行傳輸，使系統(tǒng)費(fèi)用大大降低。36、防火墻的局限性（1）防火墻不能防范不經(jīng)由防火墻的攻擊（2）防火墻不能防止感染病毒的軟件或文件的傳輸（3）防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)型攻擊（4）防火墻不能防范惡意的內(nèi)部人員入侵（5）防火墻不能防范不斷更新的攻擊方式（6）防火墻難于管理和配置，易造成安全漏洞（7）很難為用戶在防火墻內(nèi)外提供一致的安全策略小結(jié)：一方面，防火墻在當(dāng)今Internet世界中的存在是有生命力的；另一方面，防火墻不能替代內(nèi)部謹(jǐn)慎的安全措施。因此，它不是解決所有網(wǎng)絡(luò)安全問(wèn)題的萬(wàn)能藥方，而只是網(wǎng)絡(luò)安全策略中的一個(gè)組成部分。 37、防火墻的分類(lèi) 從實(shí)現(xiàn)技術(shù)方式來(lái)分類(lèi)，防火墻可分為包過(guò)濾

17、防火墻、應(yīng)用網(wǎng)關(guān)防火墻、代理防火墻和狀態(tài)檢測(cè)防火墻。 從形態(tài)上來(lái)分類(lèi)，防火墻可以分為軟件防火墻和硬件防火墻。38、防火墻的安全控制基本準(zhǔn)則（1）一切未被允許的都是禁止的 基于該準(zhǔn)則，防火墻應(yīng)封鎖所有信息流，然后對(duì)希望提供的服務(wù)逐項(xiàng)開(kāi)放。 這是一種非常實(shí)用的方法，可以造成一種十分安全的環(huán)境，因?yàn)橹挥薪?jīng)過(guò)仔細(xì)挑選的服務(wù)才被允許使用。 其弊端是，安全性高于用戶使用的方便性，用戶所能使用的服務(wù)范圍受限制。（2）一切未被禁止的都是允許的 基于該準(zhǔn)則，防火墻應(yīng)轉(zhuǎn)發(fā)所有信息流，然后逐項(xiàng)屏蔽可能有害的服務(wù)。 這種方法構(gòu)成了一種更為靈活的應(yīng)用環(huán)境，可為用戶提供更多的服務(wù)。 其弊病是，在日益增多的網(wǎng)絡(luò)服務(wù)面前，網(wǎng)

18、絡(luò)管理人員疲于奔命，特別是受保護(hù)的網(wǎng)絡(luò)范圍增大時(shí)，很難提供可靠的安全防護(hù)。39、防火墻主要技術(shù)：包過(guò)濾技術(shù)、代理技術(shù)、狀態(tài)檢測(cè)技術(shù)40、拒絕服務(wù)攻擊主要有以下幾種方式：Syn Flood：該攻擊以多個(gè)源主機(jī)地址向目的主機(jī)發(fā)送SYN包，而在收到目的主機(jī)的SYN ACK后并不回應(yīng)，而目的主機(jī)為這些源主機(jī)建立了大量的連接隊(duì)列，而且由于一直維護(hù)著這些隊(duì)列，造成了資源的大量消耗而不能向正常請(qǐng)求提供服務(wù)。Smurf：該攻擊向一個(gè)子網(wǎng)的廣播地址發(fā)一個(gè)帶有特定請(qǐng)求（如ICMP回應(yīng)請(qǐng)求）的包，并且將源地址偽裝成想要攻擊的主機(jī)地址。子網(wǎng)上所有主機(jī)都回應(yīng)廣播包請(qǐng)求而向被攻擊主機(jī)發(fā)包，使該主機(jī)受到攻擊。Land-ba

19、sed：攻擊者將一個(gè)數(shù)據(jù)包的源地址和目的地址都設(shè)置為目標(biāo)主機(jī)的地址，然后將該數(shù)據(jù)包通過(guò)IP欺騙的方式發(fā)送給被攻擊主機(jī)，這種包可以造成被攻擊主機(jī)因試圖與自己建立連接而陷入死循環(huán)，從而很大程度地降低了系統(tǒng)性能。Ping of Death:一個(gè)IP包的長(zhǎng)度最大為65536B，但發(fā)送較大的IP包時(shí)將進(jìn)行分片，這些IP分片到達(dá)目的主機(jī)時(shí)又重新組合起來(lái)。在各分片組合后的總長(zhǎng)度將超過(guò)65536B，在這種情況下會(huì)造成某些操作系統(tǒng)的宕機(jī)。Teardrop：較大的IP數(shù)據(jù)包在網(wǎng)絡(luò)傳遞時(shí)，數(shù)據(jù)包可以分成更小的片段。設(shè)置錯(cuò)誤的偏移量，使系統(tǒng)不能正常處理，消耗系統(tǒng)資源，甚至系統(tǒng)崩潰。Ping Sweep：使用ICMP

20、Echo輪詢多個(gè)主機(jī)，阻塞網(wǎng)絡(luò)。Ping Flood：該攻擊在短時(shí)間內(nèi)向目的主機(jī)發(fā)送大量ping包，造成網(wǎng)絡(luò)堵塞或主機(jī)資源耗盡。41、從實(shí)現(xiàn)技術(shù)方式來(lái)分類(lèi)，防火墻可分為包過(guò)濾防火墻、應(yīng)用網(wǎng)關(guān)防火墻、代理防火墻和狀態(tài)檢測(cè)防火墻。42、應(yīng)用層網(wǎng)關(guān)系統(tǒng)體系結(jié)構(gòu)代理服務(wù)器可采用雙宿主機(jī)、屏蔽主機(jī)、屏蔽子網(wǎng)三種體系結(jié)構(gòu)。43、雙重宿主主機(jī)體系結(jié)構(gòu) 44、被屏蔽子網(wǎng)體系結(jié)構(gòu) 45、VPN的概念VPN是Virtual Private Network的縮寫(xiě)，是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過(guò)公用骨干網(wǎng)，尤其是Internet連接而成的邏輯上的虛擬子網(wǎng)。為了保障信息的安全，VPN技術(shù)采用了鑒別、訪問(wèn)控制、保密性、

21、完整性等措施，以防止信息被泄露、篡改和復(fù)制。46、VPN有3種類(lèi)型： Access VPN（遠(yuǎn)程訪問(wèn)VPN）、Intranet VPN（企業(yè)內(nèi)部VPN）和Extranet VPN（企業(yè)擴(kuò)展VPN）。47、Intranet VPN企業(yè)內(nèi)部異地分支機(jī)構(gòu)網(wǎng)絡(luò)的互聯(lián)，可以使用Intranet VPN方式，這是所謂的網(wǎng)關(guān)對(duì)網(wǎng)關(guān)VPN。48、隧道技術(shù) 隧道技術(shù)通過(guò)對(duì)數(shù)據(jù)進(jìn)行封裝，在公共網(wǎng)絡(luò)上建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過(guò)這條隧道傳輸。 生成隧道的協(xié)議有兩種：第二層隧道協(xié)議和第三層隧道協(xié)議。(1)第二層隧道協(xié)議是在數(shù)據(jù)鏈路層進(jìn)行的，先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP包中，再把整個(gè)數(shù)據(jù)包裝人隧道協(xié)議中，這種

22、經(jīng)過(guò)兩層封裝的數(shù)據(jù)包由第二層協(xié)議進(jìn)行傳輸。第二層隧道協(xié)議有以下幾種：L2F;PPTP;L2TP。(2)第三層隧道協(xié)議是在網(wǎng)絡(luò)層進(jìn)行的，把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸。第三層隧道協(xié)議有以下幾種： IPSec，是目前最常用的VPN解決方案； GRE。49、IPSec的概念 IPSec(IP Security)是由IETF設(shè)計(jì)的端到端的確保IP層通信安全的機(jī)制。 IPSec不是一個(gè)單獨(dú)的協(xié)議，而是一組協(xié)議。 IPSec協(xié)議的定義文件包括了12個(gè)RFC文件和幾十個(gè)Internet草案，已經(jīng)成為工業(yè)標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全協(xié)議。 IPSec是隨著IPv6的制定而產(chǎn)生的，鑒于I

23、Pv4的應(yīng)用仍然很廣泛，所以后來(lái)在IPSec的制定中也增加了對(duì)IPv4的支持。50、IPSec具有以下功能：(1)作為一個(gè)隧道協(xié)議實(shí)現(xiàn)了VPN通信IPSec作為第三層的隧道協(xié)議，可以在IP層上創(chuàng)建一個(gè)安全的隧道，使兩個(gè)異地的私有網(wǎng)絡(luò)連接起來(lái)，或者使公網(wǎng)上的計(jì)算機(jī)可以訪問(wèn)遠(yuǎn)程的企業(yè)私有網(wǎng)絡(luò)。(2)保證數(shù)據(jù)來(lái)源可靠在IPSec通信之前雙方要先用IKE認(rèn)證對(duì)方身份并協(xié)商密鑰，只有IKE協(xié)商成功之后才能通信。由于第三方不可能知道驗(yàn)證和加密的算法以及相關(guān)密鑰，因此無(wú)法冒充發(fā)送方，即使冒充，也會(huì)被接收方檢測(cè)出來(lái)。(3)保證數(shù)據(jù)完整性IPSec通過(guò)驗(yàn)證算法功能保證數(shù)據(jù)從發(fā)送方到接收方的傳送過(guò)程中的任何數(shù)據(jù)篡

24、改和丟失都可以被檢測(cè)。(4)保證數(shù)據(jù)機(jī)密性IPSec通過(guò)加密算法使只有真正的接收方才能獲取真正的發(fā)送內(nèi)容，而他人無(wú)法獲知數(shù)據(jù)的真正內(nèi)容。51、IPSec包含了3個(gè)最重要的協(xié)議：AH、ESP和IKE。（1）AH為IP數(shù)據(jù)包提供如下3種服務(wù)： 無(wú)連接的數(shù)據(jù)完整性驗(yàn)證、數(shù)據(jù)源身份認(rèn)證和防重放攻擊。 數(shù)據(jù)完整性驗(yàn)證通過(guò)哈希函數(shù)（如MD5）產(chǎn)生的校驗(yàn)來(lái)保證； 數(shù)據(jù)源身份認(rèn)證通過(guò)在計(jì)算驗(yàn)證碼時(shí)加入一個(gè)共享密鑰來(lái)實(shí)現(xiàn)； AH報(bào)序列號(hào)可以防止重放攻擊。(2) ESP除了為IP數(shù)據(jù)包提供AH已有的3種服務(wù)外，還提供另外兩種服務(wù)： 數(shù)據(jù)包加密、數(shù)據(jù)流加密。加密是ESP的基本功能，而數(shù)據(jù)源身份認(rèn)證、數(shù)據(jù)完整性驗(yàn)證以

25、及防重放攻擊都是可選的。 數(shù)據(jù)包加密是指對(duì)一個(gè)IP包進(jìn)行加密。一般用于客戶端計(jì)算機(jī)。 數(shù)據(jù)流加密一般用于支持IPSec的路由器，源端路由器并不關(guān)心IP包的內(nèi)容，對(duì)整個(gè)IP加密后傳輸，目的端路由器將該包解密后將原始包繼續(xù)轉(zhuǎn)發(fā)。(3) IKE協(xié)議負(fù)責(zé)密鑰管理，定義了通信實(shí)體間進(jìn)行身份認(rèn)證、協(xié)商加密算法以及生成共享的會(huì)話密鑰的方法。IKE將密鑰協(xié)商的結(jié)果保留在安全聯(lián)盟（SA）中，供AH和ESP以后通信時(shí)使用。另外：解釋域(DOI)為使用IKE進(jìn)行協(xié)商SA的協(xié)議統(tǒng)一分配標(biāo)識(shí)符。52、IPSec運(yùn)行模式 IPSec有兩種運(yùn)行模式：傳輸模式(Transport Mode)和隧道模式(Tunnel Mode

26、)。 AH和ESP都支持這兩種模式，因此有4種可能的組合：傳輸模式的AH、隧道模式的AH、傳輸模式的ESP和隧道模式的ESP。（1）IPSec傳輸模式 傳輸模式要保護(hù)的內(nèi)容是IP包的載荷，可能是TCP/UDP等傳輸層協(xié)議，也可能是ICMP協(xié)議，還可能是AH或若ESP協(xié)議（在嵌套的情況下）。 傳輸模式為上層協(xié)議提供安全保護(hù)。 通常情況下，傳輸模式只用于兩臺(tái)主機(jī)之間的安全通信。 正常情況下，傳輸層數(shù)據(jù)包在IP中被添加一個(gè)IP頭部構(gòu)成IP包。啟用IPSec后，IPSec會(huì)在傳輸層數(shù)據(jù)前面增加AH或者ESP或者兩者同時(shí)增加，構(gòu)成一個(gè)AH數(shù)據(jù)包或者ESP數(shù)據(jù)包，然后再添加IP頭部組成新的IP包。（2）I

27、PSec隧道模式 隧道模式保護(hù)的內(nèi)容是整個(gè)原始IP包，隧道模式為IP協(xié)議提供安全保護(hù)。 如果路由器要為自己轉(zhuǎn)發(fā)的數(shù)據(jù)包提供IPSec安全服務(wù)，就要使用隧道模式。 路由器將需要進(jìn)行IPSec保護(hù)的原始IP包看作一個(gè)整體，將這個(gè)IP包作為要保護(hù)的內(nèi)容，前面添加AH或者ESP頭部，然后再添加新的IP頭部，組成新的IP包之后再轉(zhuǎn)發(fā)出去。53、AH概述 AH（Authentication Header，驗(yàn)證頭部協(xié)議）由RFC2402定義，是用于增強(qiáng)IP層安全的一個(gè)IPSec協(xié)議，該協(xié)議可以提供無(wú)連接的數(shù)據(jù)完整性、數(shù)據(jù)來(lái)源驗(yàn)證和抗重放攻擊服務(wù)。 AH協(xié)議對(duì)IP層的數(shù)據(jù)使用密碼學(xué)中的驗(yàn)證算法，從而使得對(duì)IP包的修改可以被檢測(cè)出來(lái)。具體： 這個(gè)驗(yàn)證算法是密碼學(xué)中的MAC (Message AuthenticationCodes，