招標(biāo)系統(tǒng)安全整體解決方案設(shè)計(jì)

1、指導(dǎo)老師評(píng)閱成績(jī)表指導(dǎo)老師評(píng)閱成績(jī)表學(xué)習(xí)與工作態(tài)度（30%）選題的價(jià)值與意義（10%）文獻(xiàn)綜述（10%）研究水平與設(shè)計(jì)能力（20%）課程設(shè)計(jì)說(shuō)明說(shuō)（論文）撰寫(xiě)質(zhì)量（20%）學(xué)術(shù)水平與創(chuàng)新（10%）總分指導(dǎo)老師簽名： 年 月 日課程設(shè)計(jì)答辯記錄及評(píng)價(jià)表課程設(shè)計(jì)答辯記錄及評(píng)價(jià)表學(xué)生講述情況教師主要提問(wèn)記錄學(xué)生回答問(wèn)題情況評(píng)價(jià)參考標(biāo)準(zhǔn)評(píng)分項(xiàng)目分值優(yōu)良中及格差評(píng)分總分選題的價(jià)值與意義1098764文獻(xiàn)綜述1098764研究水平與設(shè)計(jì)能力201917151310課程設(shè)計(jì)說(shuō)明書(shū)（論文）撰寫(xiě)質(zhì)量201917151310學(xué)術(shù)水平與創(chuàng)新1098764答辯評(píng)分答辯效果302825221915是否同意論文（設(shè)計(jì)）通

2、過(guò)答辯同意 不同意答辯小組成員簽名答辯小組組長(zhǎng)簽名： 年 月 日課程設(shè)計(jì)成績(jī)?cè)u(píng)定表課程設(shè)計(jì)成績(jī)?cè)u(píng)定表評(píng)分項(xiàng)目評(píng)分比例分?jǐn)?shù)課程設(shè)計(jì)總分成績(jī)匯總指導(dǎo)老師評(píng)分50%課程設(shè)計(jì)成績(jī)?cè)u(píng)價(jià)表答辯小組評(píng)分50%成成 都都 信信 息息 工工 程程 學(xué)學(xué) 院院課課 程程 設(shè)設(shè) 計(jì)計(jì)題目：某招標(biāo)系統(tǒng)安全設(shè)計(jì)解決方案題目：某招標(biāo)系統(tǒng)安全設(shè)計(jì)解決方案作者姓名：作者姓名：班班 級(jí)級(jí)： ：學(xué)學(xué) 號(hào)：號(hào)：指指導(dǎo)導(dǎo)教教師師： ：日日 期：期：2010 年年 12 月月 13 日日 作者簽名：封面摘摘 要要 隨著計(jì)算機(jī)技術(shù)和通訊技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)正逐步改變著人們的工作方式和生活方式，成為當(dāng)今社會(huì)發(fā)展的一個(gè)主題。由于網(wǎng)絡(luò)的開(kāi)放性

3、，互連性，共享性程度的擴(kuò)大，特別是 Internet 的出現(xiàn)，使網(wǎng)絡(luò)的重要性和對(duì)社會(huì)的影響也越來(lái)越大。隨著網(wǎng)絡(luò)上電子商務(wù)，電子現(xiàn)金，數(shù)字貨幣，網(wǎng)絡(luò)國(guó)稅等新興業(yè)務(wù)的興起，網(wǎng)絡(luò)犯罪也充斥著整個(gè)網(wǎng)絡(luò)，給網(wǎng)絡(luò)中的用戶(hù)帶來(lái)了很大的損失。因此對(duì)于這些企業(yè)的網(wǎng)絡(luò)安全問(wèn)題的解決已經(jīng)刻不容緩。 本設(shè)計(jì)方案是針對(duì)某招標(biāo)系統(tǒng)的安全管理出發(fā)，大家都知道招標(biāo)系統(tǒng)含有大量的商業(yè)絕密信息，對(duì)于商業(yè)用戶(hù)有著至關(guān)重要的影響，因此這套安全設(shè)計(jì)方案有著非凡的意義。本方案首先提出了系統(tǒng)所面臨的主要威脅再針對(duì)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備等因素進(jìn)行了分析；然后針對(duì)前面的需求以及分析提出了網(wǎng)絡(luò)安全解決方案的設(shè)計(jì)原則，策略等總體規(guī)劃；最后介紹的是方案的

4、詳細(xì)設(shè)計(jì)問(wèn)題，用到的各方面技術(shù)，例如 IPSEC，防火墻的運(yùn)用等。設(shè)計(jì)方案里面也特別強(qiáng)調(diào)到了在運(yùn)用系統(tǒng)中的認(rèn)為因素，俗話(huà)說(shuō) 3 分技術(shù) 7 分管理，可見(jiàn)人為的因素是相當(dāng)重要的，我們因該在日常生活中培養(yǎng)好良好的安全防范意識(shí)，把技術(shù)與人為管理完美的結(jié)合起來(lái)，建立一個(gè)真正意義上安全的招標(biāo)系統(tǒng)。關(guān)鍵詞關(guān)鍵詞：Internet；IPSEC；招標(biāo)系統(tǒng)；防火墻與入侵檢測(cè)。目目 錄錄1 引言.11.1 課題背景.11.2 國(guó)內(nèi)外現(xiàn)狀.11.3 本課題研究的迫切性.11.4 本課題的研究作用.22 招標(biāo)系統(tǒng)安全體系概述.22.1 安全威脅.22.2 平臺(tái)安全的需求.22.3 平臺(tái)安全的體系結(jié)構(gòu).32.4 平臺(tái)安

5、全的管理因素.33 招標(biāo)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)分析及安全需求.43.1 招標(biāo)系統(tǒng)現(xiàn)行網(wǎng)絡(luò)整體結(jié)構(gòu)分析.43.1.1 網(wǎng)絡(luò)結(jié)構(gòu).43.1.2 網(wǎng)絡(luò)設(shè)備.53.1.3 主機(jī)設(shè)備.53.1.4 系統(tǒng)軟件平臺(tái).53.2 系統(tǒng)面臨主要網(wǎng)絡(luò)安全威脅.54 網(wǎng)絡(luò)安全系統(tǒng)的總體規(guī)劃.64.1 安全體系結(jié)構(gòu).64.2 安全體系設(shè)計(jì).64.2.1 安全體系設(shè)計(jì)原則.74.2.2 安全管理的實(shí)現(xiàn).84.2.3 網(wǎng)絡(luò)安全設(shè)計(jì).85 網(wǎng)絡(luò)安全整體解決方案詳細(xì)設(shè)計(jì).95.1 應(yīng)用防火墻技術(shù),控制訪(fǎng)問(wèn)權(quán)限,實(shí)現(xiàn)網(wǎng)絡(luò)安全管理.95.1.1 使用 FIREWALL 的意義.95.1.2 設(shè)置 FIREWALL 的要素.105.2 應(yīng)用入

6、侵檢測(cè)技術(shù)保護(hù)主機(jī)資源，防止非法訪(fǎng)問(wèn)和惡意攻擊.115.2.1 入侵檢測(cè)系統(tǒng).125.2.2 選擇入侵監(jiān)視系統(tǒng)的要點(diǎn).125.2.3 具體實(shí)施方案.125.3 應(yīng)用 VPN 技術(shù)，保證移動(dòng)用戶(hù)訪(fǎng)問(wèn)內(nèi)部網(wǎng)的安全性.135.3.1 網(wǎng)絡(luò)系統(tǒng)對(duì) VPN 技術(shù)的需求.135.3.2 IPSEC.135.3.3 如何保證移動(dòng)用戶(hù)遠(yuǎn)程訪(fǎng)問(wèn)內(nèi)部網(wǎng)的安全性.14結(jié) 論.15參考文獻(xiàn).151 引言引言1.1 課題背景課題背景隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)技術(shù)越來(lái)越受到人們的重視，它已逐漸滲入我們生活各個(gè)層面。在人們盡情享受網(wǎng)絡(luò)帶來(lái)的便捷的同時(shí)也同樣在遭受網(wǎng)絡(luò)犯罪所帶來(lái)的危害。病毒是網(wǎng)絡(luò)安全最大的隱患，它對(duì)網(wǎng)

7、絡(luò)的威脅占導(dǎo)致經(jīng)濟(jì)損失的安全問(wèn)題的 76%。幾乎所有的企業(yè)都不同程度的遭受過(guò)病毒的侵襲。目前全球已發(fā)現(xiàn)二萬(wàn)余種病毒樣本，并且以每月新增 300 多種的速度繼續(xù)破壞著網(wǎng)絡(luò)和單機(jī)上寶貴的信息資源。病毒給每個(gè)計(jì)算機(jī)用戶(hù)和企業(yè)帶來(lái)了無(wú)法估量和彌補(bǔ)的損失。1.2 國(guó)內(nèi)外現(xiàn)狀國(guó)內(nèi)外現(xiàn)狀計(jì)算機(jī)網(wǎng)絡(luò)犯罪所造成的經(jīng)濟(jì)損失非常令人吃驚。在中國(guó)雖然已經(jīng)由國(guó)家頒布了相關(guān)的法律法規(guī)但是網(wǎng)絡(luò)犯罪依然泛濫，具體數(shù)據(jù)這里我就不多加講述，總之每天是有增五減。而在國(guó)外，情況也很?chē)?yán)重，僅在美國(guó)每年因計(jì)算機(jī)犯罪所造成的直接經(jīng)濟(jì)損失就達(dá) 150 億美元。在全球平均每二十秒就發(fā)生一次網(wǎng)上入侵事件。有近 80%的公司至少每周在網(wǎng)絡(luò)上要被大

8、規(guī)模的入侵一次，并且一旦黑客找到系統(tǒng)的薄弱環(huán)節(jié)，所有用戶(hù)都會(huì)遭殃。面對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的種種安全威脅，必須采取有力的措施來(lái)保證安全。1.3 本課題研究的本課題研究的迫切性迫切性隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，復(fù)雜性不斷增加，異構(gòu)性不斷提高，用戶(hù)對(duì)網(wǎng)絡(luò)性能要求的不斷提高，網(wǎng)絡(luò)管理也逐步成為網(wǎng)絡(luò)技術(shù)發(fā)展中一個(gè)極為關(guān)鍵的任務(wù)，對(duì)網(wǎng)絡(luò)的發(fā)展產(chǎn)生很大的影響，成為現(xiàn)代信息網(wǎng)絡(luò)中最重要的問(wèn)題之一。如果沒(méi)有一個(gè)高效的網(wǎng)絡(luò)管理系統(tǒng)對(duì)網(wǎng)絡(luò)進(jìn)行管理，就很難向廣大用戶(hù)提供令人滿(mǎn)意的服務(wù)。據(jù)測(cè)算，管理一臺(tái)連網(wǎng)的 PC 機(jī)五年的成本就超過(guò) 65,000 美元。因此，找到一種使網(wǎng)絡(luò)運(yùn)作更高效，更實(shí)用，更低廉的解決方案已成為每一個(gè)企業(yè)領(lǐng)導(dǎo)

9、人和網(wǎng)絡(luò)管理人員的迫切要求。雖然其重要性已在各方面得到體現(xiàn)，并為越來(lái)越多的人所認(rèn)識(shí)，可迄今為止，在網(wǎng)絡(luò)管理領(lǐng)域里仍有許多漏洞和亟待完善的問(wèn)題存在。1.4 本課題的研究本課題的研究作作用用本課題研究主要針對(duì)商業(yè)系統(tǒng)的安全問(wèn)題，首先提出安全威脅，分析規(guī)劃并提出解決方案，以保證企業(yè)的信息安全。2 2 招標(biāo)系統(tǒng)安全體系概述招標(biāo)系統(tǒng)安全體系概述 2.1 安全威脅安全威脅自信息系統(tǒng)開(kāi)始運(yùn)行以來(lái)就存在信息系統(tǒng)安全問(wèn)題，通過(guò)網(wǎng)絡(luò)遠(yuǎn)程訪(fǎng)問(wèn)而構(gòu)成的安全威脅成為日益受到嚴(yán)重關(guān)注的問(wèn)題。根據(jù)美國(guó) FBI 的調(diào)查，美國(guó)每年因?yàn)榫W(wǎng)絡(luò)安全造成的經(jīng)濟(jì)損失超過(guò) 170 億美元。由于招標(biāo)系統(tǒng)網(wǎng)絡(luò)內(nèi)運(yùn)行的主要是多種網(wǎng)絡(luò)協(xié)議，而這些

10、網(wǎng)絡(luò)協(xié)議并非專(zhuān)為安全通訊而設(shè)計(jì)。所以，研究所網(wǎng)絡(luò)可能存在的安全威脅來(lái)自以下方面：(1) 操作系統(tǒng)的安全性，目前流行的許多操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞，如 UNIX 服務(wù)器，NT 服務(wù)器及 Windows 桌面 PC；(2) 防火墻的安全性，防火墻產(chǎn)品自身是否安全，是否設(shè)置錯(cuò)誤，需要經(jīng)過(guò)檢驗(yàn)；(3) 來(lái)自?xún)?nèi)部網(wǎng)用戶(hù)的安全威脅；(4) 缺乏有效的手段監(jiān)視、評(píng)估網(wǎng)絡(luò)系統(tǒng)的安全性；(5) 采用的 TCP/IP 協(xié)議族軟件，本身缺乏安全性；(6) 應(yīng)用服務(wù)的安全，許多應(yīng)用服務(wù)系統(tǒng)在訪(fǎng)問(wèn)控制及安全通訊方面考慮較少，并且，如果系統(tǒng)設(shè)置錯(cuò)誤，很容易造成損失。 2.2 平臺(tái)安全的需求平臺(tái)安全的需求滿(mǎn)足基本的安全要

11、求，是該網(wǎng)絡(luò)成功運(yùn)行的必要條件，在此基礎(chǔ)上提供強(qiáng)有力的安全保障，是該網(wǎng)絡(luò)系統(tǒng)安全的重要原則。招標(biāo)系統(tǒng)網(wǎng)絡(luò)內(nèi)部部署了眾多的網(wǎng)絡(luò)設(shè)備、服務(wù)器，保護(hù)這些設(shè)備的正常運(yùn)行，維護(hù)主要辦公網(wǎng)，網(wǎng)站服務(wù)器系統(tǒng)的安全，是該網(wǎng)絡(luò)的基本安全需求。對(duì)于各種各樣的網(wǎng)絡(luò)攻擊，如何在提供靈活且高效的網(wǎng)絡(luò)通訊及信息服務(wù)的同時(shí)，抵御和發(fā)現(xiàn)網(wǎng)絡(luò)攻擊，并且提供跟蹤攻擊的手段，是本項(xiàng)目需要解決的問(wèn)題。該網(wǎng)絡(luò)基本安全要求：(1) 網(wǎng)絡(luò)正常運(yùn)行。在受到攻擊的情況下，能夠保證網(wǎng)絡(luò)系統(tǒng)繼續(xù)運(yùn)行。(2) 網(wǎng)絡(luò)管理/網(wǎng)絡(luò)部署的資料不被竊取。(3) 具備先進(jìn)的入侵檢測(cè)及跟蹤體系。(4) 提供靈活而高效的內(nèi)外通訊服務(wù)。 2.3 平臺(tái)安全的平臺(tái)安全的

12、體系結(jié)構(gòu)體系結(jié)構(gòu)本招標(biāo)系統(tǒng)安全涉及到平臺(tái)的各個(gè)方面。按照網(wǎng)絡(luò) OSI 的 7 層模型，網(wǎng)絡(luò)安全貫穿于整個(gè) 7 層模型。針對(duì)招標(biāo)系統(tǒng)網(wǎng)絡(luò)網(wǎng)絡(luò)實(shí)際運(yùn)行的 TCP/IP 協(xié)議，網(wǎng)絡(luò)安全貫穿于信息系統(tǒng)的 4 個(gè)層次。 物理層的安全：物理層信息安全，主要防止物理通路的損壞、物理通路的竊聽(tīng)、對(duì)物理通路的攻擊（干擾等） 。鏈路層的安全：鏈路層的網(wǎng)絡(luò)安全需要保證通過(guò)網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被竊聽(tīng)。主要采用劃分 VLAN（局域網(wǎng)） 、加密通訊（遠(yuǎn)程網(wǎng)）等手段。網(wǎng)絡(luò)層的安全：網(wǎng)絡(luò)層的安全需要保證網(wǎng)絡(luò)只給授權(quán)的客戶(hù)使用授權(quán)的服務(wù)，保證網(wǎng)絡(luò)路由正確，避免被攔截或監(jiān)聽(tīng)。操作系統(tǒng)的安全：操作系統(tǒng)安全要求保證客戶(hù)資料、操作系統(tǒng)

13、訪(fǎng)問(wèn)控制的安全，同時(shí)能夠?qū)υ摬僮飨到y(tǒng)上的應(yīng)用進(jìn)行審計(jì)。應(yīng)用平臺(tái)的安全：應(yīng)用平臺(tái)指建立在網(wǎng)絡(luò)系統(tǒng)之上的應(yīng)用軟件服務(wù)，如數(shù)據(jù)庫(kù)服務(wù)器、電子郵件服務(wù)器、Web 服務(wù)器等。由于應(yīng)用平臺(tái)的系統(tǒng)非常復(fù)雜，通常采用多種技術(shù)（如 SSL 等)來(lái)增強(qiáng)應(yīng)用平臺(tái)的安全性。應(yīng)用系統(tǒng)的安全：應(yīng)用系統(tǒng)完成網(wǎng)絡(luò)系統(tǒng)的最終目的-為用戶(hù)服務(wù)。應(yīng)用系統(tǒng)的安全與系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)關(guān)系密切。應(yīng)用系統(tǒng)使用應(yīng)用平臺(tái)提供的安全服務(wù)來(lái)保證基本安全，如通訊內(nèi)容安全，通訊雙方的認(rèn)證，審計(jì)等手段。2.4 平臺(tái)安全的管理因素平臺(tái)安全的管理因素平臺(tái)安全可以采用多種技術(shù)來(lái)增強(qiáng)和執(zhí)行。但是，很多安全威脅來(lái)源于管理上的松懈及對(duì)安全威脅的認(rèn)識(shí)。安全威脅主要利用以

14、下途徑：（1）系統(tǒng)實(shí)現(xiàn)存在的漏洞；（2）系統(tǒng)安全體系的缺陷；（3）使用人員的安全意識(shí)薄弱；(4）管理制度的薄弱；良好的平臺(tái)管理有助于增強(qiáng)系統(tǒng)的安全性：（1）及時(shí)發(fā)現(xiàn)系統(tǒng)安全的漏洞；（2）加強(qiáng)對(duì)使用人員的安全知識(shí)教育；（3）建立完善的系統(tǒng)管理制度；（4）審查系統(tǒng)安全體系；3 招標(biāo)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)分析及安全需求招標(biāo)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)分析及安全需求3.1 招標(biāo)系統(tǒng)現(xiàn)行網(wǎng)絡(luò)整體結(jié)構(gòu)分析招標(biāo)系統(tǒng)現(xiàn)行網(wǎng)絡(luò)整體結(jié)構(gòu)分析3.1.1 網(wǎng)絡(luò)結(jié)構(gòu)網(wǎng)絡(luò)結(jié)構(gòu)以下我們將從內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)和外部網(wǎng)絡(luò)連接兩個(gè)方面討論研究所網(wǎng)絡(luò)的結(jié)構(gòu)。（1）內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)：從網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)鋱D中可以看出，將整個(gè)托管服務(wù)器網(wǎng)站與辦公自動(dòng)化網(wǎng)設(shè)為內(nèi)部網(wǎng)絡(luò)，它包括：各

15、種服務(wù)器（如：Lotus domino SERVER,Proxy server 等）運(yùn)行 Win9x 的工作站通過(guò) DDN 專(zhuān)線(xiàn)連接的托管服務(wù)器網(wǎng)站與辦公自動(dòng)化網(wǎng)托管服務(wù)器網(wǎng)站通過(guò) ISP 與 Internet 連通，辦公自動(dòng)化網(wǎng)通過(guò) ADSL 與Internet 連通，托管服務(wù)器網(wǎng)站與辦公自動(dòng)化網(wǎng)之間通過(guò)路由器通過(guò) DDN 專(zhuān)線(xiàn)連接。網(wǎng)絡(luò)間各節(jié)點(diǎn)通過(guò) TCP/IP 協(xié)議進(jìn)行通訊。（2）外部網(wǎng)絡(luò)連接：由于業(yè)務(wù)需要，某研究所員工經(jīng)常需要出差，并且要保證該移動(dòng)用戶(hù)能使用當(dāng)?shù)?ISP 撥號(hào)上網(wǎng)連接上 Internet，安全進(jìn)入內(nèi)部網(wǎng)網(wǎng)絡(luò)，形成一個(gè)虛擬私有網(wǎng)絡(luò)（VPN） 。以上連接屬于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)

16、絡(luò)的連接，一方面雖然滿(mǎn)足了該研究所的需要，同時(shí)也導(dǎo)致了新的安全問(wèn)題。這些外部連接的安全防范也成為研究所網(wǎng)絡(luò)安全的重要方面之一。3.1.2 網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)設(shè)備在整個(gè)網(wǎng)絡(luò)中，各節(jié)點(diǎn)是通過(guò)租用 ISP 的通訊線(xiàn)路進(jìn)行連接的，局域網(wǎng)主要使用了以下設(shè)備：MODEM 以太網(wǎng)交換機(jī)；HUB；以太網(wǎng)接口卡；3.1.3 主機(jī)設(shè)備主機(jī)設(shè)備PC SERVER；PC 機(jī)； 3.1.4 系統(tǒng)軟件平臺(tái)系統(tǒng)軟件平臺(tái)操作系統(tǒng)平臺(tái)主要包括以下內(nèi)容：WINDOWS NT/2000 網(wǎng)絡(luò)操作系統(tǒng)；WINDOWS 95/98；3.2 系統(tǒng)面臨主要網(wǎng)絡(luò)安全威脅系統(tǒng)面臨主要網(wǎng)絡(luò)安全威脅網(wǎng)絡(luò)系統(tǒng)的可靠運(yùn)轉(zhuǎn)是基于通訊子網(wǎng)、計(jì)算機(jī)硬件和操作系統(tǒng)

17、及各種應(yīng)用軟件等各方面、各層次的良好運(yùn)行。因此，它的風(fēng)險(xiǎn)將來(lái)自對(duì)企業(yè)的各個(gè)關(guān)鍵點(diǎn)可能造成的威脅，這些威脅可能造成總體功能的失效。由于在這種廣域網(wǎng)分布式計(jì)算環(huán)境中，相對(duì)于過(guò)去的局域網(wǎng)、主機(jī)環(huán)境、單機(jī)環(huán)境，安全問(wèn)題變得越來(lái)越復(fù)雜和突出，所以網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析成為制定有效的安全管理策略和選擇有作用的安全技術(shù)實(shí)施措施的基礎(chǔ)。安全保障不能完全基于思想教育或信任。而應(yīng)基于“最低權(quán)限”和“相互監(jiān)督”的法則，減少保密信息的介入范圍，盡力消除使用者為使用資源不得不信任他人或被他人信任的問(wèn)題，建立起完整的安全控制體系和保證體系。通過(guò)以上對(duì)網(wǎng)絡(luò)結(jié)構(gòu)的分析不難看出，目前研究所網(wǎng)絡(luò)的規(guī)模龐大，結(jié)構(gòu)復(fù)雜，網(wǎng)絡(luò)上運(yùn)行著各種各

18、樣的主機(jī)和應(yīng)用程序，使用了多種網(wǎng)絡(luò)設(shè)備；同時(shí)，由于多種業(yè)務(wù)的需要，又和許多其他網(wǎng)絡(luò)進(jìn)行連接。因此，我們認(rèn)為，研究所計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)該從以下幾個(gè)層面進(jìn)行考慮：第一層：第一層：外部網(wǎng)絡(luò)連接及數(shù)據(jù)訪(fǎng)問(wèn)，其中包括出差在外的移動(dòng)用戶(hù)的連接托管服務(wù)器網(wǎng)站對(duì)外提供的公共服務(wù)辦公自動(dòng)化網(wǎng)使用 ADSL 與 Internet 連接第二層：第二層：內(nèi)部網(wǎng)絡(luò)連接，其中包括通過(guò) DDN 專(zhuān)線(xiàn)連接的托管服務(wù)器網(wǎng)站與辦公自動(dòng)化網(wǎng)第三層：第三層：同一網(wǎng)段中不同部門(mén)間的連接這里主要是指同一網(wǎng)段中，即連接在同一個(gè) HUB 或交換機(jī)上的不同部門(mén)的主機(jī)和工作站的安全問(wèn)題。其中外部網(wǎng)絡(luò)攻擊威脅主要來(lái)自第一層，內(nèi)部網(wǎng)絡(luò)的安全問(wèn)題集中在

19、第二、三層上。以下我們將就外部網(wǎng)絡(luò)安全和內(nèi)部網(wǎng)絡(luò)的安全問(wèn)題展開(kāi)具體討論。4 網(wǎng)絡(luò)安全系統(tǒng)的總體規(guī)劃網(wǎng)絡(luò)安全系統(tǒng)的總體規(guī)劃4.1 安全體系結(jié)構(gòu)安全體系結(jié)構(gòu)網(wǎng)絡(luò)安全體系結(jié)構(gòu)主要考慮安全對(duì)象和安全機(jī)制，安全對(duì)象主要有網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)庫(kù)安全、信息安全、設(shè)備安全、信息介質(zhì)安全和計(jì)算機(jī)病毒防治等，其安全體系結(jié)構(gòu)如圖 3-1 所示：4.2 安全體系設(shè)計(jì)安全體系設(shè)計(jì)企業(yè)安全策略用戶(hù)責(zé)任病毒防治保密教育信息安全信息服務(wù)操作系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)安全網(wǎng)絡(luò)拓?fù)鋱D如上：網(wǎng)絡(luò)拓?fù)鋱D如上：4.2.1 安全體系設(shè)計(jì)原則安全體系設(shè)計(jì)原則在進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)計(jì)、規(guī)劃時(shí)，應(yīng)遵循以下原則： 需求、風(fēng)險(xiǎn)、代價(jià)平衡分析的原則 ：對(duì)任

20、一網(wǎng)絡(luò)來(lái)說(shuō)，絕對(duì)安全難以達(dá)到，也不一定必要。對(duì)一個(gè)網(wǎng)絡(luò)要進(jìn)行實(shí)際分析，對(duì)網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。保護(hù)成本、被保護(hù)信息的價(jià)值必須平衡，價(jià)值僅 1 萬(wàn)元的信息如果用 5 萬(wàn)元的技術(shù)和設(shè)備去保護(hù)是一種不適當(dāng)?shù)谋Ｗo(hù)。綜合性、整體性原則 ：運(yùn)用系統(tǒng)工程的觀(guān)點(diǎn)、方法，分析網(wǎng)絡(luò)的安全問(wèn)題，并制定具體措施。一個(gè)較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)包括個(gè)人、設(shè)備、軟件、數(shù)據(jù)等環(huán)節(jié)。它們?cè)诰W(wǎng)絡(luò)安全中的地位和影響作用，只有從系統(tǒng)綜合的整體角度去看待和分析，才可能獲得有效、可行的措施。 一致性原則 ：這主要是指網(wǎng)絡(luò)安

21、全問(wèn)題應(yīng)與整個(gè)網(wǎng)絡(luò)的工作周期（或生命周期）同時(shí)存在，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。實(shí)際上，在網(wǎng)絡(luò)建設(shè)之初就考慮網(wǎng)絡(luò)安全對(duì)策，比等網(wǎng)絡(luò)建設(shè)好后再考慮，不但容易，而且花費(fèi)也少得多。易操作性原則 ：安全措施要由人來(lái)完成，如果措施過(guò)于復(fù)雜，對(duì)人的要求過(guò)高，本身就降低了安全性。其次，采用的措施不能影響系統(tǒng)正常運(yùn)行。 適應(yīng)性、靈活性原則 安全措施必須能隨著網(wǎng)絡(luò)性能及安全需求的變化而變化，要容易適應(yīng)、容易修改。多重保護(hù)原則 任何安全保護(hù)措施都不是絕對(duì)安全的，都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時(shí)，其它層保護(hù)仍可保護(hù)信息的安全。4.2.2 安全管理的實(shí)現(xiàn)安

22、全管理的實(shí)現(xiàn)信息系統(tǒng)的安全管理部門(mén)應(yīng)根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性，制訂相應(yīng)的管理制度或采用相應(yīng)規(guī)范，其具體工作是：確定該系統(tǒng)的安全等級(jí)；根據(jù)確定的安全等級(jí)，確定安全管理的范圍；制訂相應(yīng)的機(jī)房出入管理制度，對(duì)安全等級(jí)要求較高的系統(tǒng)，要實(shí)行分區(qū)控制，限制工作人員出入與己無(wú)關(guān)的區(qū)域；制訂嚴(yán)格的操作規(guī)程，操作規(guī)程要根據(jù)職責(zé)分離和多人負(fù)責(zé)的原則，各負(fù)其責(zé)，不能超越自己的管轄范圍；制訂完備的系統(tǒng)維護(hù)制度，維護(hù)時(shí)，要首先經(jīng)主管部門(mén)批準(zhǔn)，并有安全管理人員在場(chǎng)，故障原因、維護(hù)內(nèi)容和維護(hù)前后的情況要詳細(xì)記錄；制訂應(yīng)急措施，要制訂在緊急情況下，系統(tǒng)如何盡快恢復(fù)的應(yīng)急措施，使損失減至最小；建立人員雇用和解聘制

23、度，對(duì)工作調(diào)動(dòng)和離職人員要及時(shí)調(diào)整相應(yīng)的授權(quán)。安全系統(tǒng)需要由人來(lái)計(jì)劃和管理，任何系統(tǒng)安全設(shè)施也不能完全由計(jì)算機(jī)系統(tǒng)獨(dú)立承擔(dān)系統(tǒng)安全保障的任務(wù)。一方面，各級(jí)領(lǐng)導(dǎo)一定要高度重視并積極支持有關(guān)系統(tǒng)安全方面的各項(xiàng)措施。其次，對(duì)各級(jí)用戶(hù)的培訓(xùn)也十分重要，只有當(dāng)用戶(hù)對(duì)網(wǎng)絡(luò)安全性有了深入了解后，才能降低網(wǎng)絡(luò)信息系統(tǒng)的安全風(fēng)險(xiǎn)?？傊贫ㄏ到y(tǒng)安全策略、安裝網(wǎng)絡(luò)安全系統(tǒng)只是網(wǎng)絡(luò)系統(tǒng)安全性實(shí)施的第一步，只有當(dāng)各級(jí)組織機(jī)構(gòu)均嚴(yán)格執(zhí)行網(wǎng)絡(luò)安全的各項(xiàng)規(guī)定，認(rèn)真維護(hù)各自負(fù)責(zé)的分系統(tǒng)的網(wǎng)絡(luò)安全性，才能保證整個(gè)系統(tǒng)網(wǎng)絡(luò)的整體安全性。4.2.3 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全設(shè)計(jì)設(shè)計(jì)由于網(wǎng)絡(luò)的互連是在鏈路層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層不同協(xié)議層

24、來(lái)實(shí)現(xiàn)，各個(gè)層的功能特性和安全特性也不同，因而其網(wǎng)絡(luò)安全措施也不相同。物理層安全涉及傳輸介質(zhì)的安全特性，抗干擾、防竊聽(tīng)將是物理層安全措施制定的重點(diǎn)。在鏈路層，通過(guò)“橋”這一互連設(shè)備的監(jiān)視和控制作用，使我們可以建立一定程度的虛擬局域網(wǎng)，對(duì)物理和邏輯網(wǎng)段進(jìn)行有效的分割和隔離，消除不同安全級(jí)別邏輯網(wǎng)段間的竊聽(tīng)可能。在網(wǎng)絡(luò)層，可通過(guò)對(duì)不同子網(wǎng)的定義和對(duì)路由器的路由表控制來(lái)限制子網(wǎng)間的接點(diǎn)通信，通過(guò)對(duì)主機(jī)路由表的控制來(lái)控制與之直接通信的節(jié)點(diǎn)。同時(shí)，利用網(wǎng)關(guān)的安全控制能力，可以限制節(jié)點(diǎn)的通信、應(yīng)用服務(wù)，并加強(qiáng)外部用戶(hù)識(shí)別和驗(yàn)證能力。對(duì)網(wǎng)絡(luò)進(jìn)行級(jí)別劃分與控制，網(wǎng)絡(luò)級(jí)別的劃分大致包括Internet/企業(yè)網(wǎng)、

25、骨干網(wǎng)/區(qū)域網(wǎng)、區(qū)域網(wǎng)/部門(mén)網(wǎng)、部門(mén)網(wǎng)/工作組網(wǎng)等，其中Internet/企業(yè)網(wǎng)的接口要采用專(zhuān)用防火墻，骨干網(wǎng)/區(qū)域網(wǎng)、區(qū)域網(wǎng)/部門(mén)網(wǎng)的接口利用路由器的可控路由表、安全郵件服務(wù)器、安全撥號(hào)驗(yàn)證服務(wù)器和安全級(jí)別較高的操作系統(tǒng)。增強(qiáng)網(wǎng)絡(luò)互連的分割和過(guò)濾控制，也可以大大提高安全保密性。隨著企業(yè)個(gè)人與個(gè)人之間、各部門(mén)之間、企業(yè)和企業(yè)之間、國(guó)際間信息交流的日益頻繁，信息傳輸?shù)陌踩猿蔀橐粋€(gè)重要的問(wèn)題。盡管個(gè)人、部門(mén)和整個(gè)企業(yè)都已認(rèn)識(shí)到信息的寶貴價(jià)值和私有性，但商場(chǎng)上的無(wú)情競(jìng)爭(zhēng)已迫使機(jī)構(gòu)打破原有的界限，在企業(yè)內(nèi)部或企業(yè)之間共享更多的信息，只有這樣才能縮短處理問(wèn)題的時(shí)間，并在相互協(xié)作的環(huán)境中孕育出更多的革新

26、和創(chuàng)造。然而，在群件系統(tǒng)中共享的信息卻必須保證其安全性，以防止有意無(wú)意的破壞。5 網(wǎng)絡(luò)安全整體解決方案詳細(xì)設(shè)計(jì)網(wǎng)絡(luò)安全整體解決方案詳細(xì)設(shè)計(jì)5.1 應(yīng)用防火墻技術(shù)應(yīng)用防火墻技術(shù),控制訪(fǎng)問(wèn)權(quán)限控制訪(fǎng)問(wèn)權(quán)限,實(shí)現(xiàn)網(wǎng)絡(luò)安全管理實(shí)現(xiàn)網(wǎng)絡(luò)安全管理防火墻是近年發(fā)展起來(lái)的重要安全技術(shù)，其主要作用是在網(wǎng)絡(luò)入口點(diǎn)檢查網(wǎng)絡(luò)通訊，根據(jù)客戶(hù)設(shè)定的安全規(guī)則，在保護(hù)內(nèi)部網(wǎng)絡(luò)安全的前提下，提供內(nèi)外網(wǎng)絡(luò)通訊。5.1.1 使用使用 FirewallFirewall 的意義的意義（1）保護(hù)脆弱的服務(wù)：通過(guò)過(guò)濾不安全的服務(wù)，F(xiàn)irewall 可以極大地提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機(jī)的風(fēng)險(xiǎn)。例如，F(xiàn)irewall 可以禁止 NIS、NF

27、S 服務(wù)通過(guò)，F(xiàn)irewall 同時(shí)可以拒絕源路由和 ICMP 重定向封包。（2）控制對(duì)系統(tǒng)的訪(fǎng)問(wèn)：Firewall 可以提供對(duì)系統(tǒng)的訪(fǎng)問(wèn)控制。如允許從外部訪(fǎng)問(wèn)某些主機(jī)，同時(shí)禁止訪(fǎng)問(wèn)另外的主機(jī)。例如，F(xiàn)irewall 允許外部訪(fǎng)問(wèn)特定的 Mail Server 和Web Server。（3）集中的安全管理：Firewall 對(duì)企業(yè)內(nèi)部網(wǎng)實(shí)現(xiàn)集中的安全管理，在 Firewall 定義的安全規(guī)則可以運(yùn)用于整個(gè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)，而無(wú)須在內(nèi)部網(wǎng)每臺(tái)機(jī)器上分別設(shè)立安全策略。如在 Firewall 可以定義不同的認(rèn)證方法，而不需在每臺(tái)機(jī)器上分別安裝特定的認(rèn)證軟件。外部用戶(hù)也只需要經(jīng)過(guò)次認(rèn)證即可訪(fǎng)問(wèn)內(nèi)部網(wǎng)。（4

28、）增強(qiáng)的保密性：使用 Firewall 可以阻止攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息，如 Finger和 DNS。（5）記錄和統(tǒng)計(jì)網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)：Firewall 可以記錄和統(tǒng)計(jì)通過(guò) Firewall 的網(wǎng)絡(luò)通訊，提供關(guān)于網(wǎng)絡(luò)使用的統(tǒng)計(jì)數(shù)據(jù)，并且，F(xiàn)irewall 可以提供統(tǒng)計(jì)數(shù)據(jù)，來(lái)判斷可能的攻擊和探測(cè)。（6）策略執(zhí)行：Firewall 提供了制定和執(zhí)行網(wǎng)絡(luò)安全策略的手段。未設(shè)置 Firewall 時(shí)，網(wǎng)絡(luò)安全取決于每臺(tái)主機(jī)的用戶(hù)。5.1.2 設(shè)置設(shè)置 FirewallFirewall 的要素的要素（1）網(wǎng)絡(luò)策略：影響 Firewall 系統(tǒng)設(shè)計(jì)、安裝和使用的網(wǎng)絡(luò)策略可分為兩級(jí)，高

29、級(jí)的網(wǎng)絡(luò)策略定義允許和禁止的服務(wù)以及如何使用服務(wù)，低級(jí)的網(wǎng)絡(luò)策略描述 Firewall如何限制和過(guò)濾在高級(jí)策略中定義的服務(wù)。（2）服務(wù)訪(fǎng)問(wèn)策略：服務(wù)訪(fǎng)問(wèn)策略集中在外部網(wǎng)絡(luò)訪(fǎng)問(wèn)（如撥入策略、SLIP/PPP 連接等） 。服務(wù)訪(fǎng)問(wèn)策略必須是可行的和合理的?？尚械牟呗员仨氃谧柚辜褐木W(wǎng)絡(luò)風(fēng)險(xiǎn)和提供用戶(hù)服務(wù)之間獲得平衡。典型的服務(wù)訪(fǎng)問(wèn)策略是：允許通過(guò)增強(qiáng)認(rèn)證的用戶(hù)在必要的情況下從外部訪(fǎng)問(wèn)某些內(nèi)部主機(jī)和服務(wù)；允許內(nèi)部用戶(hù)訪(fǎng)問(wèn)指定的外部主機(jī)和服務(wù)。（3）Firewall 設(shè)計(jì)策略：Firewall 設(shè)計(jì)策略基于特定的 Firewall，定義完成服務(wù)訪(fǎng)問(wèn)策略的規(guī)則。通常有兩種基本的設(shè)計(jì)策略： 允許任何服務(wù)除

30、非被明確禁止； 禁止任何服務(wù)除非被明確允許。通常采用第二種類(lèi)型的設(shè)計(jì)策略。（4）增強(qiáng)的認(rèn)證：許多發(fā)生在網(wǎng)絡(luò)上的入侵事件源于脆弱的傳統(tǒng)用戶(hù)/口令機(jī)制。多年來(lái)，用戶(hù)被告知使用難于猜測(cè)和破譯的口令，雖然如此，攻擊者仍然在外部網(wǎng)絡(luò)監(jiān)視傳輸?shù)目诹蠲魑模箓鹘y(tǒng)的口令機(jī)制形同虛設(shè)。增強(qiáng)的認(rèn)證機(jī)制包含智能卡、認(rèn)證令牌、生理特征(指紋)以及基于軟件(RSA)等技術(shù)，來(lái)克服傳統(tǒng)口令的弱點(diǎn)。雖然存在多種認(rèn)證技術(shù)，它們均使用增強(qiáng)的認(rèn)證機(jī)制產(chǎn)生難于被攻擊者重用的口令和密鑰。目前許多流行的增強(qiáng)認(rèn)證機(jī)制使用一次有效的口令和密鑰(如 SmartCard 和認(rèn)證令牌)。5.2 應(yīng)用入侵檢測(cè)技術(shù)保護(hù)主機(jī)資源，防止非法訪(fǎng)問(wèn)和惡應(yīng)用

31、入侵檢測(cè)技術(shù)保護(hù)主機(jī)資源，防止非法訪(fǎng)問(wèn)和惡意攻擊意攻擊利用防火墻技術(shù)，經(jīng)過(guò)仔細(xì)的配置，通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù)，降低了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。但是，僅僅使用防火墻、網(wǎng)絡(luò)安全還遠(yuǎn)遠(yuǎn)不夠： （1）入侵者可尋找防火墻背后可能敞開(kāi)的后門(mén)；（2）入侵者可能就在防火墻內(nèi)；（3）由于性能的限制，防火墻通常不能提供實(shí)時(shí)的入侵檢測(cè)能力。入侵檢測(cè)系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)，目的是提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段，如記錄證據(jù)用于跟蹤和恢復(fù)、斷開(kāi)網(wǎng)絡(luò)連接等。 實(shí)時(shí)入侵檢測(cè)能力之所以重要首先它能夠?qū)Ω秮?lái)自?xún)?nèi)部網(wǎng)絡(luò)的攻擊，其次它能夠縮短黑客入侵的時(shí)間。5.2.1 入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)基于主機(jī)的入侵檢測(cè)

32、系統(tǒng)用于保護(hù)關(guān)鍵應(yīng)用的服務(wù)器，實(shí)時(shí)監(jiān)視可疑的連接、系統(tǒng)日志檢查，非法訪(fǎng)問(wèn)的闖入等，并且提供對(duì)典型應(yīng)用的監(jiān)視。5.2.2 選擇入侵監(jiān)視系統(tǒng)的要點(diǎn)選擇入侵監(jiān)視系統(tǒng)的要點(diǎn) (1)協(xié)議分析及檢測(cè)能力；(2)解碼效率(速度)；(3)自身安全的完備性；(4)精確度及完整度，防欺騙能力；(5)模式更新速度。入侵監(jiān)測(cè)系統(tǒng)可實(shí)時(shí)監(jiān)視：可疑的連接、異常進(jìn)程、非法訪(fǎng)問(wèn)的闖入等；檢查系統(tǒng)日志；通過(guò)監(jiān)視來(lái)自網(wǎng)絡(luò)的攻擊，入侵監(jiān)測(cè)系統(tǒng)能夠?qū)崟r(shí)地檢測(cè)出攻擊，并對(duì)非法入侵行為作出切斷服務(wù)、重啟服務(wù)器進(jìn)程、發(fā)出警報(bào)、記錄入侵過(guò)程等動(dòng)作；提供對(duì)典型應(yīng)用的監(jiān)視；因此，在提供關(guān)鍵服務(wù)的服務(wù)器上使用入侵監(jiān)測(cè)系統(tǒng)，安裝實(shí)時(shí)的安全監(jiān)控系統(tǒng)，

33、可以提高服務(wù)器系統(tǒng)的可靠性,使網(wǎng)絡(luò)安全系統(tǒng)更加強(qiáng)健。5.2.3 具體實(shí)施方案具體實(shí)施方案如下圖所示，在每個(gè)網(wǎng)段上我們都安全一臺(tái)入侵檢測(cè)系統(tǒng)，可以實(shí)時(shí)監(jiān)視各個(gè)網(wǎng)段的訪(fǎng)問(wèn)請(qǐng)求，并及時(shí)將信息反饋給控制臺(tái)，這樣全網(wǎng)任何一臺(tái)主機(jī)受到攻擊時(shí)系統(tǒng)都可以及時(shí)發(fā)現(xiàn)。5.3 應(yīng)用應(yīng)用 VPNVPN 技術(shù)技術(shù)，保證移動(dòng)用戶(hù)訪(fǎng)問(wèn)內(nèi)部網(wǎng)的安全性，保證移動(dòng)用戶(hù)訪(fǎng)問(wèn)內(nèi)部網(wǎng)的安全性5.3.1 網(wǎng)絡(luò)系統(tǒng)對(duì)網(wǎng)絡(luò)系統(tǒng)對(duì) VPNVPN 技術(shù)的需求技術(shù)的需求出差員工采用公網(wǎng)網(wǎng)絡(luò)進(jìn)行連接，其最大的弱點(diǎn)在于缺乏足夠的安全性。企業(yè)網(wǎng)絡(luò)接入到公網(wǎng)中，暴露出兩個(gè)主要危險(xiǎn)：來(lái)自公網(wǎng)的未經(jīng)授權(quán)的對(duì)企業(yè)內(nèi)部網(wǎng)的存取。當(dāng)網(wǎng)絡(luò)系統(tǒng)通過(guò)公網(wǎng)進(jìn)行通訊時(shí)，信息

34、可能受到竊聽(tīng)和非法修改。完整的集成化的企業(yè)范圍的 VPN 安全解決方案，提供在公網(wǎng)上安全的雙向通訊，以及透明的加密方案以保證數(shù)據(jù)的完整性和保密性。 5.3.2 IPSecIPSec 作為在 IP v4 及 IP v6 上的加密通訊框架，已為大多數(shù)廠(chǎng)商所支持，預(yù)計(jì)在 1998 年將確定為 IETF 標(biāo)準(zhǔn)，是 VPN 實(shí)現(xiàn)的 Internet 標(biāo)準(zhǔn)。IPSec 主要提供 IP 網(wǎng)絡(luò)層上的加密通訊能力。該標(biāo)準(zhǔn)為每個(gè) IP 包增加了新的包頭格式，Authentication Header(AH)及 encapsualting security payload(ESP)。IPsec 使用 ISAKMP/

35、Oakley 及 SKIP 進(jìn)行密鑰交換、管理及加密通訊協(xié)商(Security Association)。Ipsec 包含兩個(gè)部分：(1)IP security Protocol proper，定義 Ipsec 報(bào)文格式。(2)ISAKMP/Oakley，負(fù)責(zé)加密通訊協(xié)商。Ipsec 提供了兩種加密通訊手段：Ipsec Tunnel：整個(gè) IP 封裝在 Ipsec 報(bào)文。提供 Ipsec-gateway 之間的通訊。Ipsec transport：對(duì) IP 包內(nèi)的數(shù)據(jù)進(jìn)行加密，使用原來(lái)的源地址和目的地址。Ipsec Tunnel 不要求修改已配備好的設(shè)備和應(yīng)用，網(wǎng)絡(luò)黑客戶(hù)不能看到實(shí)際的的通訊源地址和目的地址，并且能夠提供專(zhuān)用網(wǎng)絡(luò)通過(guò) Internet