《新一代防火墻技術(shù)及應(yīng)用》課件第2章 防火墻技術(shù)

1學(xué)習(xí)目標(biāo)掌握包過(guò)濾技術(shù)掌握網(wǎng)絡(luò)地址翻譯技術(shù)理解網(wǎng)絡(luò)代理技術(shù)掌握VPN的概念、功能了解VPN的分類理解VPN隧道技術(shù)及相關(guān)協(xié)議理解加密技術(shù)和密鑰的概念理解數(shù)字簽名的、數(shù)字證書的概念及原理2本章重點(diǎn)包過(guò)濾技術(shù)網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)網(wǎng)絡(luò)代理技術(shù)VPN技術(shù)本章難點(diǎn)VPN隧道技術(shù)及相關(guān)協(xié)議32.1包過(guò)濾技術(shù)2.1.1包過(guò)濾技術(shù)的定義包過(guò)濾技術(shù)就是對(duì)通信過(guò)程中數(shù)據(jù)進(jìn)行過(guò)濾(又稱篩選)，使符合事先規(guī)定的安全規(guī)則(或稱“安全策略)的數(shù)據(jù)包通過(guò)，而使那些不符合安全規(guī)則的數(shù)據(jù)包丟棄。42.1.1包過(guò)濾技術(shù)包過(guò)濾防火墻工作在網(wǎng)絡(luò)層和傳輸層，它根據(jù)通過(guò)防火墻的每個(gè)數(shù)據(jù)包的首部信息來(lái)決定是將該數(shù)據(jù)包發(fā)往目的地址還是丟棄。大多數(shù)包過(guò)濾型防火墻只是針對(duì)性地分析數(shù)據(jù)包信息頭的部分域。52.1.1包過(guò)濾技術(shù)包過(guò)濾規(guī)則表定義了什么包可以通過(guò)防火墻，什么包必須丟棄。這些規(guī)則常稱為數(shù)據(jù)包過(guò)濾訪問(wèn)控制列表（ACL）當(dāng)數(shù)據(jù)流進(jìn)入包過(guò)濾防火墻后，防火墻檢查數(shù)據(jù)包的相關(guān)信息，開始從上至下掃描過(guò)濾規(guī)則，如果匹配成功則按照規(guī)則設(shè)定的操作執(zhí)行，不再匹配后續(xù)規(guī)則。所以，在訪問(wèn)控制列表中規(guī)則的出現(xiàn)順序至關(guān)重要。序號(hào)源IP目的IP協(xié)議源端口目的端口標(biāo)志位操作1私網(wǎng)地址公網(wǎng)地址TCP任意80任意允許2公網(wǎng)地址私網(wǎng)地址TCP80>1023ACK允許3anyanyanyanyanyany拒絕62.2.1包過(guò)濾技術(shù)ACL包含的內(nèi)容：規(guī)則執(zhí)行的順序源IP地址目的IP地址協(xié)議類型，如TCP、UDP、ICMP、IGMP等源端口目的端口TCP包頭的標(biāo)志位，如ACK、SYN、FIN、RST數(shù)據(jù)的流向，進(jìn)或出對(duì)數(shù)據(jù)包的操作，允許或拒絕72.2.1包過(guò)濾技術(shù)包過(guò)濾的優(yōu)點(diǎn)：處理速度快，效率高。對(duì)安全要求低的網(wǎng)絡(luò)利用路由器的防火墻功能即可實(shí)現(xiàn)，無(wú)需添加其他設(shè)備。包過(guò)濾對(duì)于用戶層來(lái)說(shuō)是透明的，用戶的應(yīng)用層不愛(ài)影響。防火墻技術(shù)與應(yīng)用防火墻技術(shù)與應(yīng)用8包過(guò)濾的缺點(diǎn)：無(wú)法阻止IP欺騙，黑客可以在網(wǎng)絡(luò)上偽造IP地址、路由信息等欺騙防火墻。對(duì)路由器中過(guò)濾規(guī)則的設(shè)置和配置十分復(fù)雜，涉及規(guī)則的邏輯的一致性、作用端口的有效性和規(guī)則集的正確性，一般的網(wǎng)絡(luò)管理員難于勝任，而且一旦出現(xiàn)新的協(xié)議，管理員需要加上更多的規(guī)則去限制。不支持應(yīng)用層協(xié)議、無(wú)法發(fā)現(xiàn)應(yīng)用層的攻擊，如各種惡意代碼的攻擊。不支持用戶認(rèn)證，只判斷數(shù)據(jù)包來(lái)自哪臺(tái)機(jī)器，不判斷來(lái)自哪個(gè)用戶。由于缺少上下文關(guān)聯(lián)信息，不能有效地過(guò)濾如UDP、RPC、Telnet一類的協(xié)議以及處理動(dòng)態(tài)端口連接。2.1.1包過(guò)濾技術(shù)92.2.1包過(guò)濾技術(shù)【例2-1】假設(shè)通過(guò)部署包過(guò)濾防火墻將內(nèi)部網(wǎng)絡(luò)和外網(wǎng)分隔開，配置過(guò)濾規(guī)則，僅開通內(nèi)部主機(jī)對(duì)外部Web服務(wù)器的訪問(wèn)，并分析該規(guī)則表存在的問(wèn)題。包過(guò)濾處理這種情況只能將客戶端動(dòng)態(tài)分配端口的區(qū)域全部打開(1024~65535)，才能滿足正常通信的需要，而不能根據(jù)每一連接的情況，開放實(shí)際使用的端口。包過(guò)濾防火墻不論是對(duì)待有連接的TCP協(xié)議，還是無(wú)連接的UDP協(xié)議，它都以單個(gè)數(shù)據(jù)包為單位進(jìn)行處理，對(duì)數(shù)據(jù)傳輸?shù)臓顟B(tài)并不關(guān)心，因而傳統(tǒng)包過(guò)濾又稱為無(wú)狀態(tài)包過(guò)濾，它對(duì)基于應(yīng)用層的網(wǎng)絡(luò)入侵無(wú)能為力。防火墻技術(shù)與應(yīng)用102.2.1包過(guò)濾技術(shù)【例2-2】包過(guò)濾防火墻對(duì)于TCPACK隱蔽掃描的處理分析因?yàn)榘^(guò)濾防火墻沒(méi)有狀態(tài)的概念，防火墻將認(rèn)為這個(gè)包是已建立連接的一部分，并讓它通過(guò)(當(dāng)然，如果根據(jù)表2-1的過(guò)濾規(guī)則，ACK置位，但目的端口≤1203的數(shù)據(jù)包將被丟棄)通過(guò)圖2-4中示意的TCPACK掃描，攻擊者穿越了防火墻進(jìn)行探測(cè)，并且獲知端口1204是開放的。為了阻止這樣的攻擊，防火墻需要記住已經(jīng)存在的TCP連接，這樣它將知道ACK掃描是非法連接的一部分。防火墻技術(shù)與應(yīng)用112.2NAT網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation，NAT），也稱IP地址偽裝技術(shù)（IPMasquerading）。最初設(shè)計(jì)NAT的目的是允許將私有IP地址映射到公網(wǎng)（合法的因特網(wǎng)IP地址），以減緩IP地址短缺的問(wèn)題。正是因?yàn)檫@個(gè)原因，我們至今還能使用IPv4，否則早就已經(jīng)升級(jí)到IPv6了。此外，NAT還具有的功能。內(nèi)部主機(jī)地址隱藏。網(wǎng)絡(luò)負(fù)載均衡。網(wǎng)絡(luò)地址交迭處理。防火墻技術(shù)與應(yīng)用122.2NAT網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)2.2.1靜態(tài)NAT技術(shù)在內(nèi)網(wǎng)地址和公網(wǎng)地址間建立一對(duì)一映射而設(shè)計(jì)的。靜態(tài)NAT需要內(nèi)網(wǎng)中的每臺(tái)主機(jī)都擁有一個(gè)真實(shí)的公網(wǎng)IP地址。NAT網(wǎng)關(guān)依賴于指定的內(nèi)網(wǎng)地址到公網(wǎng)地址之間映射關(guān)系來(lái)運(yùn)行。防火墻技術(shù)與應(yīng)用132.2NAT網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)2.2.2動(dòng)態(tài)NAT技術(shù)實(shí)現(xiàn)將一個(gè)內(nèi)網(wǎng)IP地址動(dòng)態(tài)映射為公網(wǎng)IP地址池中的一個(gè)，如圖2-7所示。不必像使用靜態(tài)NAT那樣，進(jìn)行一對(duì)一的映射。動(dòng)態(tài)NAT的映射表對(duì)網(wǎng)絡(luò)管理員和用戶透明。142.2.3NAT網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)動(dòng)態(tài)NAT技術(shù)PAT過(guò)程152.2NAT網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)2.2.3NAT技術(shù)的優(yōu)缺點(diǎn)節(jié)省了公網(wǎng)IP地址隱蔽了內(nèi)部網(wǎng)絡(luò)，使內(nèi)部網(wǎng)絡(luò)安全性提高缺點(diǎn)一些應(yīng)用層協(xié)議的工作特點(diǎn)導(dǎo)致了它們無(wú)法使用NAT技術(shù)。當(dāng)端口改變時(shí)，有些協(xié)議不能正確執(zhí)行它們的功能。靜態(tài)和動(dòng)態(tài)NAT安全問(wèn)題。162.2NAT網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)NAT技術(shù)的缺點(diǎn)3.對(duì)內(nèi)部主機(jī)的引誘和特洛伊木馬攻擊。通過(guò)動(dòng)態(tài)NAT可以使得黑客難以了解網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)，但是無(wú)法阻止內(nèi)部用戶主動(dòng)連接黑客主機(jī)。如果內(nèi)部主機(jī)被引誘連接到一個(gè)惡意外部主機(jī)上，或者連接到一個(gè)已被黑客安裝了木馬的外部主機(jī)上，內(nèi)部主機(jī)將完全暴露，就像沒(méi)有防火墻一樣容易被攻擊。4.狀態(tài)表超時(shí)問(wèn)題。防火墻技術(shù)與應(yīng)用172.3網(wǎng)絡(luò)代理技術(shù)代理防火墻不再圍繞數(shù)據(jù)包，而著重于應(yīng)用級(jí)別，分析經(jīng)過(guò)它們的應(yīng)用信息，決定是傳送或是丟棄。代理服務(wù)一般分為應(yīng)用層代理與傳輸層代理兩種。防火墻技術(shù)與應(yīng)用182.3網(wǎng)絡(luò)代理技術(shù)2.3.1應(yīng)用層代理

也稱為應(yīng)用層網(wǎng)關(guān)（ApplicationGateway）技術(shù)。工作在網(wǎng)絡(luò)體系結(jié)構(gòu)的最高層——應(yīng)用層。應(yīng)用層代理使得網(wǎng)絡(luò)管理員能夠?qū)崿F(xiàn)比包過(guò)濾更加嚴(yán)格的安全策略。應(yīng)用層代理不用依靠包過(guò)濾工具來(lái)管理進(jìn)出防火墻的數(shù)據(jù)流，而是通過(guò)對(duì)每一種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層信息流的作用。防火墻可以代理HTTP、FTP、SMTP、POP3、Telnet等協(xié)議，使得內(nèi)網(wǎng)用戶可以在安全的情況下實(shí)現(xiàn)瀏覽網(wǎng)頁(yè)、收發(fā)郵件、遠(yuǎn)程登錄等應(yīng)用。防火墻技術(shù)與應(yīng)用192.3網(wǎng)絡(luò)代理技術(shù)2.3.1應(yīng)用層代理原理圖客戶機(jī)與代理交互、而代理代表客戶機(jī)與服務(wù)器交互代理服務(wù)器包括代理服務(wù)器端程序和代理客戶端程序兩部分代理服務(wù)器實(shí)際承擔(dān)著客戶機(jī)和服務(wù)器的雙重角色，在客戶機(jī)和服務(wù)器之間傳遞的所有數(shù)據(jù)均由應(yīng)用代理程序轉(zhuǎn)發(fā)，因此它完全控制了會(huì)話過(guò)程，并按需要進(jìn)行詳細(xì)記錄。202.3網(wǎng)絡(luò)代理技術(shù)2.3.1應(yīng)用層網(wǎng)關(guān)技術(shù)防火墻優(yōu)點(diǎn)應(yīng)用層網(wǎng)關(guān)有能力支持可靠的用戶認(rèn)證并提供詳細(xì)的注冊(cè)信息。用于應(yīng)用層的過(guò)濾規(guī)則相對(duì)于包過(guò)濾防火墻來(lái)說(shuō)更容易配置和測(cè)試。代理工作在客戶機(jī)和真實(shí)服務(wù)器之間，完全控制會(huì)話，所以可以提供很詳細(xì)的日志和安全審計(jì)功能。提供代理服務(wù)的防火墻可以被配置成惟一的可被外部看見(jiàn)的主機(jī)，這樣可以隱藏內(nèi)部網(wǎng)的IP地址，可以保護(hù)內(nèi)部主機(jī)免受外部主機(jī)的進(jìn)攻。通過(guò)代理訪問(wèn)因特網(wǎng)可以解決合法IP地址不夠用的問(wèn)題，因?yàn)橐蛱鼐W(wǎng)所見(jiàn)到只是代理服務(wù)器的地址，內(nèi)部的IP則通過(guò)代理可以訪問(wèn)因特網(wǎng)。212.3網(wǎng)絡(luò)代理技術(shù)2.3.1應(yīng)用層網(wǎng)關(guān)技術(shù)防火墻缺點(diǎn)當(dāng)用戶對(duì)內(nèi)外網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時(shí)，代理防火墻就會(huì)成為內(nèi)外網(wǎng)絡(luò)之間的瓶頸。有限的連接性。有限的技術(shù)。防火墻技術(shù)與應(yīng)用222.3網(wǎng)絡(luò)代理技術(shù)2.3.2傳輸層代理傳輸層代理（SOCKS）解決了應(yīng)用層代理一種代理只能針對(duì)一種應(yīng)用的缺陷。SOCKS代理通常也包含兩個(gè)組件：SOCKS服務(wù)端和SOCKS客戶端。SOCKS代理技術(shù)以類似于NAT的方式對(duì)內(nèi)外網(wǎng)的通信連接進(jìn)行轉(zhuǎn)換，與普通代理不同的是，服務(wù)端實(shí)現(xiàn)在應(yīng)用層，客戶端實(shí)現(xiàn)在應(yīng)用層和傳輸層之間。它能夠?qū)崿F(xiàn)SOCKS服務(wù)端兩側(cè)的主機(jī)間互訪，而無(wú)需直接的IP連通性作前提。SOCKS代理對(duì)高層應(yīng)用來(lái)說(shuō)是透明的，即無(wú)論何種具體應(yīng)用都可以通過(guò)SOCKS來(lái)提供代理。防火墻技術(shù)與應(yīng)用232.4虛擬專用網(wǎng)絡(luò)2.4.1VPN定義。本書按照國(guó)家標(biāo)準(zhǔn)GB/T25068.5-2010/ISO/IEC18028-5:2006《信息技術(shù)安全技術(shù):IT網(wǎng)絡(luò)安全第5部分：使用虛擬專用網(wǎng)的跨網(wǎng)通信安全保護(hù)》中的定義VPN提供一種在現(xiàn)有網(wǎng)絡(luò)或點(diǎn)對(duì)點(diǎn)連接上建立一至多條安全數(shù)據(jù)信道的機(jī)制。它只分配給受限的用戶組獨(dú)占使用，并能在需要時(shí)動(dòng)態(tài)地建立和撤銷。主機(jī)網(wǎng)絡(luò)可為專用的或公共的。防火墻技術(shù)與應(yīng)用242.4虛擬專用網(wǎng)絡(luò)利用基于IP的Internet實(shí)現(xiàn)VPN的核心是各種隧道（Tunnel）技術(shù)。通過(guò)隧道，企業(yè)私有數(shù)據(jù)可以跨越公共網(wǎng)絡(luò)安全地傳遞。VPN利用公共網(wǎng)絡(luò)建立虛擬的隧道，在遠(yuǎn)端用戶、駐外機(jī)構(gòu)、合作伙伴、公司總部與分部間建立廣域網(wǎng)連接，既保證連通性又保證了安全性。VPN典型應(yīng)用252.4虛擬專用網(wǎng)絡(luò)VPN的功能一個(gè)虛擬專用網(wǎng)絡(luò)至少應(yīng)該能提供如下功能。數(shù)據(jù)加密：保證通過(guò)公共網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)即使被他人截獲也不至于泄露信息。信息認(rèn)證和身份認(rèn)證：保證信息的完整性、合法性和來(lái)源可靠性（不可抵賴性）。訪問(wèn)控制：不同的用戶應(yīng)該分別具有不同的訪問(wèn)權(quán)限。防火墻技術(shù)與應(yīng)用262.4虛擬專用網(wǎng)絡(luò)VPN安全要求防護(hù)網(wǎng)絡(luò)和與其相連的系統(tǒng)中的信息以及它們所使用的服務(wù)。保護(hù)支撐網(wǎng)絡(luò)基礎(chǔ)設(shè)施。保護(hù)網(wǎng)絡(luò)管理系統(tǒng)。VPN實(shí)施中需要確保以下內(nèi)容VPN端點(diǎn)之間傳輸?shù)臄?shù)據(jù)和代碼的保密性、完整性和可用性。VPN用戶和管理員的真實(shí)性、授權(quán)。VPN端點(diǎn)和網(wǎng)絡(luò)基礎(chǔ)設(shè)施的可用性。2.4虛擬專用網(wǎng)絡(luò)2.4.2VPN分類按業(yè)務(wù)用途分，可分為遠(yuǎn)程訪問(wèn)VPN(AccessVPN)、企業(yè)內(nèi)部VPN（IntranetVPN）、企業(yè)外部VPN（ExtranetVPN）按運(yùn)營(yíng)模式分，可分為基于用戶前端設(shè)備的VPN（CPE-basedVPN）、基于運(yùn)營(yíng)端端配置的VPN（Network-BasedVPN）。按組網(wǎng)模型劃分，可為VPDN（VirtualPrivateDialNetworks，虛擬私有撥號(hào)網(wǎng)絡(luò)）、VPRN（VirtualPrivateRoutedNetworks，虛擬私有路由網(wǎng)絡(luò)）、VLL（VirtualLeasedLines，虛擬專線）、VPLS（VirtualPrivateLANSegment，虛擬私有LAN服務(wù)）。按網(wǎng)絡(luò)層次劃分，可分為L(zhǎng)ayer-2VPN、Layer-3VPN。27282.4虛擬專用網(wǎng)絡(luò)技術(shù)PCA對(duì)PCB發(fā)送數(shù)據(jù)包必須經(jīng)過(guò)以下過(guò)程：首先PCA發(fā)送協(xié)議B數(shù)據(jù)包。數(shù)據(jù)包到達(dá)隧道端點(diǎn)設(shè)備RTA，RTA將其封裝成協(xié)議A數(shù)據(jù)包，通過(guò)協(xié)議A網(wǎng)絡(luò)發(fā)送到隧道的另一端設(shè)備RTB。隧道終點(diǎn)設(shè)備將協(xié)議A數(shù)據(jù)包解開，獲得協(xié)議B的數(shù)據(jù)包，發(fā)送給PCB。292.4虛擬專用網(wǎng)絡(luò)技術(shù)協(xié)議A稱為承載協(xié)議（DeliveryProtocol），協(xié)議B稱為載荷協(xié)議（PayloadProtocol），而決定如何實(shí)現(xiàn)隧道和協(xié)議稱為隧道協(xié)議(TunnelProtocol）。載荷協(xié)議:即被封裝的協(xié)議。如PPP（PointtoPoint）、SLIP等隧道協(xié)議:用于隧道的建立、維護(hù)和斷開，把載荷協(xié)議當(dāng)成自己的數(shù)據(jù)來(lái)傳輸，如L2TP、IPSec等。承載協(xié)議:用于傳輸經(jīng)過(guò)隧道協(xié)議封裝后的數(shù)據(jù)分組，把隧道協(xié)議當(dāng)成自己的數(shù)據(jù)來(lái)傳輸，如IP、ATM、以太網(wǎng)等。302.4虛擬專用網(wǎng)絡(luò)技術(shù)2.4.4主要的VPN技術(shù)1.二層VPN技術(shù)點(diǎn)對(duì)點(diǎn)隧道協(xié)議（Point-to-PointTunnelingProtocol，PPTP）二層隧道協(xié)議（Layer2TunnelingProtocol，L2TP）多協(xié)議標(biāo)簽交換二層VPN（MPLSL2VPN）2.三層VPN技術(shù)GRE（GenericRoutingEncapsulation，通用路由封裝），IP安全（IPSecurity）多協(xié)議BGPVPN（BGP/MPLSVPN）

3.高層VPN技術(shù)高層VPN技術(shù)有安全套接字層（SecureSocketsLayer，SSL）、因特網(wǎng)密鑰交換（InternetKeyExchange，IKE）等312.4虛擬專用網(wǎng)絡(luò)技術(shù)2.4.5IPSec基礎(chǔ)

IPSec概念I(lǐng)PSec是一種開放標(biāo)準(zhǔn)的框架結(jié)構(gòu)，特定的通信方之間在IP層通過(guò)加密和數(shù)據(jù)摘要(hash)等手段，來(lái)保證數(shù)據(jù)包在Internet網(wǎng)上傳輸時(shí)的私密性(confidentiality)、完整性(dataintegrity)和真實(shí)性(originauthentication)。IPSec只能工作在IP層，要求載荷協(xié)議和承載協(xié)議都是IP協(xié)議322.4虛擬專用網(wǎng)絡(luò)技術(shù)

IPSec通過(guò)加密保證數(shù)據(jù)的私密性數(shù)據(jù)加密的基本過(guò)程就是對(duì)原來(lái)為明文的文件和數(shù)據(jù)按某種算法進(jìn)行處理，使其成一段不可讀的代碼；而減密過(guò)程是利用密鑰對(duì)密文進(jìn)行轉(zhuǎn)換變成明文的過(guò)程。數(shù)據(jù)的機(jī)密性由加密算法提供。在明文與密文間相互轉(zhuǎn)換的過(guò)程中，除了加密算法外，還需要一個(gè)加解密的參數(shù)，稱為密鑰33

IPSec通過(guò)加密保證數(shù)據(jù)的私密性如果加密密鑰與解密密鑰相同，就稱為對(duì)稱加密。由于對(duì)稱加密的運(yùn)算速度快，所以IPSec使用對(duì)稱加密算法來(lái)加密數(shù)據(jù)。1.發(fā)送方將明文和密鑰作為加密算法的輸入?yún)?shù)計(jì)算得出密文，并將該密文發(fā)送給接收方。2.接收方收到該密文后，將該密文和密鑰作為秘解算法的輸入?yún)?shù)即可計(jì)算得出原始的明文。34IPSec通過(guò)加密保證數(shù)據(jù)的私密性

常用的對(duì)稱加密算法有DES、3DES、RC4和AES2.4虛擬專用網(wǎng)絡(luò)技術(shù)435

IPSec通過(guò)加密保證數(shù)據(jù)的私密性非對(duì)稱密鑰算法也稱為公開密鑰算法。此類算法為每個(gè)用戶分配一對(duì)密鑰，一個(gè)公鑰、一個(gè)私鑰。用兩個(gè)密鑰之一加密的數(shù)據(jù)，只有用另外一個(gè)密鑰才能解密。發(fā)送方發(fā)送數(shù)據(jù)時(shí)，可以用接收方的公鑰對(duì)數(shù)據(jù)進(jìn)行加密，接收方收到加密數(shù)據(jù)后，用其私鑰進(jìn)行解密。非對(duì)稱加密算法加減密過(guò)程：

用戶B擁有兩個(gè)對(duì)應(yīng)的密鑰

用其中一個(gè)加密，只有另一個(gè)能夠解密，兩者一一對(duì)應(yīng)

用戶B將其中一個(gè)私下保存（私鑰），另一個(gè)公開發(fā)布（公鑰）

公鑰和私鑰不可相互推算

如果A想發(fā)送秘密信息給BA獲得B的公鑰A使用該公鑰加密信息然后發(fā)給BB使用自己的私鑰解密信息36IPSec通過(guò)加密保證數(shù)據(jù)的私密性

常用的非對(duì)稱加密算法有RSA、DSA、DH2.4虛擬專用網(wǎng)絡(luò)技術(shù)37

IPSec通過(guò)加密保證數(shù)據(jù)的完整性數(shù)據(jù)的完整性是指數(shù)據(jù)沒(méi)有被非法篡改。為保證數(shù)據(jù)的完整性，通常采用摘要算法（HASH），采用HASH函數(shù)對(duì)不同長(zhǎng)度的數(shù)據(jù)進(jìn)行HASH運(yùn)算會(huì)得到固定長(zhǎng)度的結(jié)果，這個(gè)數(shù)據(jù)稱為原數(shù)據(jù)的摘要，也稱為消息驗(yàn)證碼（MessageAuthenticationCode，MAC）2.4虛擬專用網(wǎng)絡(luò)技術(shù)38

IPSec通過(guò)加密保證數(shù)據(jù)的完整性摘要算法可驗(yàn)證數(shù)據(jù)的完整性HASH函數(shù)計(jì)算結(jié)果稱為摘要，同一算法，不管輸入長(zhǎng)度多少，結(jié)果定長(zhǎng)摘要結(jié)果具有單向性，不可逆性不同的內(nèi)容其摘要不同39

IPSec通過(guò)加密保證數(shù)據(jù)的完整性如果黑客篡改原始數(shù)據(jù)的同時(shí)，并將截獲到的摘要信息修改為篡改后的數(shù)據(jù)產(chǎn)生的摘要，這樣接收方就不能發(fā)現(xiàn)數(shù)據(jù)被篡改。因此，對(duì)原始單輸入的HASH算法改進(jìn)為HMAC算法。HMAC（HashMessageAuthenticationCode）需要收發(fā)雙方共享一個(gè)MAC密鑰，計(jì)算摘要時(shí)，除了數(shù)據(jù)摘要外，還需