網(wǎng)絡(luò)安全技術(shù)基礎(chǔ)(下)

1、網(wǎng)絡(luò)平安技術(shù)根底下.本講概要本講主要論述目前最常用的信息平安技術(shù)和信息平安產(chǎn)品，內(nèi)容包括了：防火墻入侵檢測VPN破綻評價 本講涉及內(nèi)容廣泛，領(lǐng)域眾多，講師根據(jù)學(xué)員情況做好課時安排。 本講總課時建議為46課時。.本講學(xué)習(xí)目的經(jīng)過本講學(xué)習(xí)，學(xué)員應(yīng)該掌握：各類信息平安技術(shù)的概念、用途，部署方式防火墻的分類、原理、構(gòu)造和用途入侵檢測產(chǎn)品的任務(wù)原理和分類VPN的分類和用途破綻評價的概念和意義.一防火墻技術(shù).防火墻產(chǎn)品防火墻的根本概念防火墻的主要技術(shù)防火墻的用途防火墻的弱點防火墻的體系構(gòu)造防火墻的構(gòu)筑原那么防火墻產(chǎn)品本節(jié)將分以下幾部分引見網(wǎng)絡(luò)防火墻：.防火墻的根本概念 防火墻是一種高級訪問控制設(shè)備，是置于

2、不同網(wǎng)絡(luò)平安域之間的一系列部件的組合，是不同網(wǎng)絡(luò)平安域間通訊流的獨一通道，能根據(jù)企業(yè)有關(guān)平安政策控制(允許、回絕、監(jiān)視、記錄)進出網(wǎng)絡(luò)的訪問行為。不可信的網(wǎng)絡(luò)及效力器可信任的網(wǎng)絡(luò)防火墻路由器InternetIntranet供外部訪問的效力及資源可信任的用戶不可信的用戶 DMZ .防火墻的用途控制對網(wǎng)點的訪問和封鎖網(wǎng)點信息的泄露能限制被維護子網(wǎng)的泄露具有審計作用能強迫平安戰(zhàn)略.防火墻不能防備病毒防火墻對不經(jīng)過它的銜接無能為力防火墻不能防備內(nèi)部人員的攻擊限制有用的網(wǎng)絡(luò)效力防火墻不能防備新的網(wǎng)絡(luò)平安問題防火墻的弱點.形形色色的防火墻.防火墻的分類方法.單機防火墻VS網(wǎng)絡(luò)防火墻.軟件防火墻VS硬件防火

3、墻.防火墻設(shè)備外觀與構(gòu)造.防火墻的主要技術(shù)運用層代理技術(shù) (Application Proxy)包過濾技術(shù) (Packet Filtering)形狀包過濾技術(shù) (Stateful Packet Filtering)運用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層防火墻的主要技術(shù)種類.數(shù)據(jù)包數(shù)據(jù)包查找對應(yīng)的控制戰(zhàn)略拆開數(shù)據(jù)包根據(jù)戰(zhàn)略決議如何處置該數(shù)據(jù)包數(shù)據(jù)TCP報頭IP報頭分組過濾判別信息企業(yè)內(nèi)部網(wǎng)屏蔽路由器數(shù)據(jù)包防火墻的主要技術(shù)包過濾技術(shù)的根本原理數(shù)據(jù)包UDPBlockHost CHost BTCPPassHost CHost ADestinationProtocolPermitSource控制

4、戰(zhàn)略.數(shù)據(jù)包數(shù)據(jù)包查找對應(yīng)的控制戰(zhàn)略拆開數(shù)據(jù)包根據(jù)戰(zhàn)略決議如何處置該數(shù)據(jù)包企業(yè)內(nèi)部網(wǎng)屏蔽路由器數(shù)據(jù)包防火墻的主要技術(shù)形狀檢測包過濾技術(shù)的根本原理數(shù)據(jù)包數(shù)據(jù)3TCP報頭IP報頭分組過濾判別信息數(shù)據(jù)2TCP報頭IP報頭數(shù)據(jù)1TCP報頭IP報頭數(shù)據(jù)1TCP報頭IP報頭數(shù)據(jù)形狀檢測控制戰(zhàn)略.數(shù)據(jù)包數(shù)據(jù)包查找對應(yīng)的控制戰(zhàn)略拆開數(shù)據(jù)包根據(jù)戰(zhàn)略決議如何處置該數(shù)據(jù)包企業(yè)內(nèi)部網(wǎng)屏蔽路由器數(shù)據(jù)包防火墻的主要技術(shù)運用層代理技術(shù)的根本原理數(shù)據(jù)包數(shù)據(jù)TCP報頭IP報頭分組過濾判別信息運用代理判別信息控制戰(zhàn)略.防火墻的體系構(gòu)造 挑選路由器 雙網(wǎng)主機 屏蔽主機 屏蔽子網(wǎng) 防火墻可以設(shè)置成不同的體系構(gòu)造，提供不同級別的平安。

5、常見的體系構(gòu)造有：.防火墻的體系構(gòu)造內(nèi)部網(wǎng)外部網(wǎng)挑選路由器式體系構(gòu)造 包過濾挑選路由器.防火墻的體系構(gòu)造雙網(wǎng)主機式體系構(gòu)造內(nèi)部網(wǎng)外部網(wǎng)雙網(wǎng)主機雙網(wǎng)主機插有兩塊網(wǎng)卡，分別銜接到內(nèi)網(wǎng)和外網(wǎng)。防火墻內(nèi)、外的系統(tǒng)均可以與雙網(wǎng)主機進展通訊，但防火墻兩邊的系統(tǒng)之間不能直接進展通訊。運用此構(gòu)造，必需封鎖雙網(wǎng)主機上的路由分配功能。.防火墻的體系構(gòu)造屏蔽主機式體系構(gòu)造Internet堡壘主機防火墻屏蔽路由器.防火墻的體系構(gòu)造屏蔽子網(wǎng)式體系構(gòu)造Internet堡壘主機屏蔽路由器屏蔽路由器周邊網(wǎng)絡(luò).防火墻的構(gòu)筑原那么構(gòu)筑防火墻要從以下幾方面思索：體系構(gòu)造的設(shè)計平安戰(zhàn)略的制定平安戰(zhàn)略的實施.防火墻的性能目的.主流防火

6、墻產(chǎn)品.二虛擬局域網(wǎng)VLAN. VLAN的定義 VLANVirtual Local Area Network又稱虛擬局域網(wǎng)，是指在交換局域網(wǎng)的根底上，采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。一個VLAN組成一個邏輯子網(wǎng)，即一個邏輯廣播域，它可以覆蓋多個網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng)絡(luò)用戶參與到一個邏輯子網(wǎng)中。 組建VLAN的條件 VLAN是建立在物理網(wǎng)絡(luò)根底上的一種邏輯子網(wǎng)，因此建立VLAN需求相應(yīng)的支持VLAN技術(shù)的網(wǎng)絡(luò)設(shè)備。當(dāng)網(wǎng)絡(luò)中的不同VLAN間進展相互通訊時，需求路由的支持，這時就需求添加路由設(shè)備要實現(xiàn)路由功能，既可采用路由器，也可采用三層交換機來完成。

7、什么是VLAN.從技術(shù)角度講，VLAN的劃分可根據(jù)不同原那么，普通有以下三種劃分方法：1、基于端口的VLAN劃分 這種劃分是把一個或多個交換機上的幾個端口劃分一個邏輯組，這是最簡單、最有效的劃分方法。該方法只需網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)設(shè)備的交換端口進展重新分配即可，不用思索該端口所銜接的設(shè)備。 2、基于MAC地址的VLAN劃分 MAC地址其實就是指網(wǎng)卡的標(biāo)識符，每一塊網(wǎng)卡的MAC地址都是獨一且固化在網(wǎng)卡上的。MAC地址由12位16進制數(shù)表示，前8位為廠商標(biāo)識，后4位為網(wǎng)卡標(biāo)識。網(wǎng)絡(luò)管理員可按MAC地址把一些站點劃分為一個邏輯子網(wǎng)。 3、基于路由的VLAN劃分 路由協(xié)議任務(wù)在網(wǎng)絡(luò)層，相應(yīng)的任務(wù)設(shè)備有路由

8、器和路由交換機即三層交換機。該方式允許一個VLAN跨越多個交換機，或一個端口位于多個VLAN中。 劃分VLAN的根本戰(zhàn)略 . 1、控制廣播風(fēng)暴 一個VLAN就是一個邏輯廣播域，經(jīng)過對VLAN的創(chuàng)建，隔離了廣播，減少了廣播范圍，可以控制廣播風(fēng)暴的產(chǎn)生。 2、提高網(wǎng)絡(luò)整體平安性 經(jīng)過路由訪問列表和MAC地址分配等VLAN劃分原那么，可以控制用戶訪問權(quán)限和邏輯網(wǎng)段大小，將不同用戶群劃分在不同VLAN，從而提高交換式網(wǎng)絡(luò)的整體性能和平安性。 3、網(wǎng)絡(luò)管理簡單、直觀 對于交換式以太網(wǎng)，假設(shè)對某些用戶重新進展網(wǎng)段分配，需求網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)系統(tǒng)的物理構(gòu)造重新進展調(diào)整，甚至需求追加網(wǎng)絡(luò)設(shè)備，增大網(wǎng)絡(luò)管理的任務(wù)

9、量。而對于采用VLAN技術(shù)的網(wǎng)絡(luò)來說，一個VLAN可以根據(jù)部門職能、對象組或者運用將不同地理位置的網(wǎng)絡(luò)用戶劃分為一個邏輯網(wǎng)段。在不改動網(wǎng)絡(luò)物理銜接的情況下可以恣意地將任務(wù)站在任務(wù)組或子網(wǎng)之間挪動。利用虛擬網(wǎng)絡(luò)技術(shù)，大大減輕了網(wǎng)絡(luò)管理和維護任務(wù)的負(fù)擔(dān)，降低了網(wǎng)絡(luò)維護費用。在一個交換網(wǎng)絡(luò)中，VLAN提供了網(wǎng)段和機構(gòu)的彈性組合機制。 VLAN的作用. 三層交換也稱多層交換技術(shù)，或IP交換技術(shù)是相對于傳統(tǒng)交換概念而提出的。眾所周知，傳統(tǒng)的交換技術(shù)是在OSI網(wǎng)絡(luò)規(guī)范模型中的第二層數(shù)據(jù)鏈路層進展操作的，而三層交換技術(shù)是在網(wǎng)絡(luò)模型中的第三層實現(xiàn)了數(shù)據(jù)包的高速轉(zhuǎn)發(fā)。簡單地說，三層交換技術(shù)就是：二層交換技術(shù)三層

10、轉(zhuǎn)發(fā)技術(shù)。 三層交換技術(shù)的出現(xiàn)，處理了局域網(wǎng)中網(wǎng)段劃分之后，網(wǎng)段中子網(wǎng)必需依賴路由器進展管理的局面，處理了傳統(tǒng)路由器低速、復(fù)雜所呵斥的網(wǎng)絡(luò)瓶頸問題。三層交換原理 它是將路由技術(shù)與交換技術(shù)合二為一的技術(shù)。三層交換機在對第一個數(shù)據(jù)流進展路由后，會產(chǎn)生一個MAC地址與IP地址的映射表，當(dāng)同樣的數(shù)據(jù)流再次經(jīng)過時，將根據(jù)此表直接從二層經(jīng)過而不是再次路由，從而消除了路由器進展路由選擇而呵斥網(wǎng)絡(luò)的延遲，提高了數(shù)據(jù)包轉(zhuǎn)發(fā)的效率，消除了路由器能夠產(chǎn)生的網(wǎng)絡(luò)瓶頸問題。可見，三層交換機集路由與交換于一身，在交換機內(nèi)部實現(xiàn)了路由，提高了網(wǎng)絡(luò)的整體性能。 三層交換機分類 1.基于純硬件(ASIC) 2.基于軟件的什么是

11、三層交換？.VLAN環(huán)境表示.三入侵檢測系統(tǒng)IDS.入侵檢測系統(tǒng)IDS關(guān)于入侵檢測系統(tǒng)，我們將就以下部分進展學(xué)習(xí)： IDS簡介 IDS分類 IDS作用 IDS任務(wù)原理 IDS部署方式 IDS運用 IDS技術(shù)的開展方向 IDS產(chǎn)品 IDS資源 .什么是IDS？IDS是什么？ 入侵檢測系統(tǒng)(Intrusion Detection System) 入侵檢測技術(shù)是為了保證計算機系統(tǒng)平安面而設(shè)置和配置的一種可以及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異常行為的技術(shù)，是一種檢測計算機網(wǎng)絡(luò)中違反平安戰(zhàn)略行為的技術(shù)。 入侵檢測被視為防火墻之后的第二道平安闡門，主要用來監(jiān)視和分析用戶和系統(tǒng)的活動，可以反映知的攻擊方式并報警

12、，同時監(jiān)控系統(tǒng)的異常方式，對于異常行為方式，IDS采用報表的方式進展統(tǒng)計分析假設(shè)說防火墻是一幢大樓的門鎖，那入侵監(jiān)測系統(tǒng)就是這幢大樓里的監(jiān)視系統(tǒng)。.IDS的主要類型運用軟件入侵監(jiān)測系統(tǒng)Application Intrusion Detection主機入侵監(jiān)測系統(tǒng)Host Intrusion Detection網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)Network Intrusion Detection集成入侵監(jiān)測系統(tǒng)Integrated Intrusion Detection根據(jù)IDS任務(wù)位置和數(shù)據(jù)來源，可以分為：.網(wǎng)絡(luò)入侵檢測系統(tǒng)NIDS 網(wǎng)絡(luò)入侵檢測系統(tǒng)(NIDS) -在網(wǎng)絡(luò)中的某個節(jié)點上裝有探測器來監(jiān)測整個網(wǎng)絡(luò)

13、(任務(wù)對象 基于網(wǎng)絡(luò))特點：1.擁有較低的本錢-在幾個很少的監(jiān)測點上進展配置就可以監(jiān)控一個網(wǎng)絡(luò)中所發(fā)生的入侵行為;2.能監(jiān)測主機IDS所不能監(jiān)測到的某些攻擊(如DOS、Teardrop)經(jīng)過分析IP包的頭可以捕捉這些須經(jīng)過分析包頭才干發(fā)現(xiàn)的攻擊;3.與操作系統(tǒng)無關(guān)性-基于網(wǎng)絡(luò)的IDS與所監(jiān)測的主機所運轉(zhuǎn)的操作系統(tǒng)無關(guān)，而主機IDS那么必需在特定的操作系統(tǒng)下才干運轉(zhuǎn);4.檢測未勝利能攻擊和不良意圖-與之相比，主機IDS只能檢測到勝利的攻擊，而很多未勝利的攻擊對系統(tǒng)的風(fēng)險評價成到關(guān)鍵的作用;5.實時檢測和呼應(yīng)-網(wǎng)絡(luò)IDS可以在攻擊發(fā)生的同時將其檢測出來，并進展實時的報警和呼應(yīng)。.NIDS CIDF

14、模型CIDF模型 Common Intrusion Detection Frame 組件：事件產(chǎn)生器Event generators事件分析器Event analyzers呼應(yīng)單元Response units事件數(shù)據(jù)庫Event databases .NIDS 部署方式HUBMonitored ServersConsoleIDS SensorsL4或L7交換設(shè)備.主機入侵檢測系統(tǒng)HIDS主機入侵檢測系統(tǒng)(HIDS) -在網(wǎng)絡(luò)中所監(jiān)測的每臺主機上都裝有探測器(任務(wù)對象基于主機)HIDS特點:1.確定攻擊能否勝利-比網(wǎng)絡(luò)IDS更準(zhǔn)確的斷定攻擊能否勝利;2.系統(tǒng)行動監(jiān)視的更好-對于每一個用戶(尤其是

15、系統(tǒng)管理員)上網(wǎng)下網(wǎng)的信息、連入網(wǎng)絡(luò)后的行為和所遭到的入侵行為監(jiān)測的更為詳細，記錄的更準(zhǔn)確; 3.可以檢測到網(wǎng)絡(luò)IDS檢測不到的特殊攻擊-如某效力器上有人 直接對該機進展非法操作;4.適用于加密的環(huán)境 -在某些特殊的加密網(wǎng)絡(luò)環(huán)境中，由于網(wǎng)絡(luò)IDS所需求的網(wǎng)絡(luò)環(huán)境不能滿足，所以在這種地方運用主機IDS就可以完成這一地方的監(jiān)測義務(wù)5.不需求額外的硬件設(shè)備-與網(wǎng)絡(luò)IDS相比，不需求公用的硬件檢測系統(tǒng)，降低的硬件本錢.IDS部署表示InternetIDS 1IDS 2IDS 3IDS 4子網(wǎng) A子網(wǎng) B交換機帶主機IDS感應(yīng)器的效力器效力器含HIDS的網(wǎng)絡(luò)體系構(gòu)造.IDS 檢測技術(shù)簽名分析法Signa

16、ture Analysis統(tǒng)計分析法Statistics Analysis數(shù)據(jù)完好性分析法Data Integration Analysis入侵檢測系統(tǒng)按照其檢測原理可以分為以下類型：.IDS 任務(wù)原理NIDS抓包從鏈路層抓包分析數(shù)據(jù)包方式匹配EthernetIPTCPEthernetIPTCP協(xié)議分析UnicodeXML.IDS 任務(wù)原理方式匹配方式匹配(Pattern Matching) 效率低-對每一條事件都要與事件庫中的 特征事件進展對比，任務(wù)量大。 誤報多-假設(shè)兩個攻擊事件具有極其相近的特征，在對比的過程中容易產(chǎn)生誤報，而錯過真實的問題。方式匹配舉例 較早版本的Sendmail破綻利

17、用$ telnet mail.victim 25WIZshell或者DEBUG# 直接獲得rootshell！方式匹配檢查每個packet能否包含：“WIZ| “DEBUG.IDS 任務(wù)原理協(xié)議分析FrameHeaderIP DatagramHeaderICMP/UDP/TCPHeaderFrame Data AreaIP DataProtocolDataInterface LayerInternet LayerTransport Layer.IDS 技術(shù)的開展方向分布式入侵檢測 1.針對分布式攻擊的檢測方法 2.運用分布式的方法來檢測分布式的攻擊，關(guān)鍵技術(shù)為檢測信息的協(xié)同處置與入侵攻擊的全局

18、信息提取智能化入侵檢測 運用智能化的手法也實現(xiàn)入侵檢測，現(xiàn)階段常用的有神經(jīng)網(wǎng)絡(luò)、模糊算法、遺傳算法、免疫原理等技術(shù)全面的平安防御方案 采用平安工程風(fēng)險管理的實際也來處置網(wǎng)絡(luò)平安問題，將網(wǎng)絡(luò)平安做為一個整體工程來處置，從管理、網(wǎng)絡(luò)構(gòu)造、防火墻、防病毒、入侵檢測、破綻掃描等多方面對網(wǎng)結(jié)進展平安分析 隨著網(wǎng)絡(luò)技術(shù)的開展，還會有更多新技術(shù)運用到入侵檢測系統(tǒng)中來!.IDS 產(chǎn)品免費產(chǎn)品 Snort ( )國內(nèi)市場上的IDS廠商啟明星辰安氏綠盟金諾瑞星等國外的IDS產(chǎn)品CyberCop Monitor, NAIDragon Sensor, EnterasyseTrust ID, CANetProwler,

19、 SymantecNetRanger, CiscoNID-100/200, NFR SecurityRealSecure, ISSSecureNet Pro, Intrusion.IDS 資源 IDS FAQ robertgraham/pubs/ Focus-IDS Mailinglistonline.securityfocus/archive/96 YawlOldHandSinbad/doc.html?board=IDS.四虛擬公用網(wǎng)VPN.VPN網(wǎng)關(guān)VPN的根本概念VPN的功能VPN的分類及用途VPN常用協(xié)議基于IPSec協(xié)議的VPN體系構(gòu)造本節(jié)將分以下幾部分引見VPN網(wǎng)關(guān)：.VPN的根本

20、概念 虛擬公用網(wǎng)VPNVirtual Private Network技術(shù)是指在公共網(wǎng)絡(luò)中建立公用網(wǎng)絡(luò)，數(shù)據(jù)經(jīng)過平安的“加密管道在公共網(wǎng)絡(luò)中傳播。InternetVPN通道隧道交換機挪動用戶VPN的根本概念.VPN必需具備如下功能： VPN的功能保證數(shù)據(jù)的真實性，通訊主機必需是經(jīng)過授權(quán)的，要有抵抗地址冒認(rèn)IP Spoofing的才干。 保證數(shù)據(jù)的完好性，接納到的數(shù)據(jù)必需與發(fā)送時的一致，要有抵抗不法分子纂改數(shù)據(jù)的才干。 保證通道的性，提供強有力的加密手段，必需使偷聽者不能破解攔截到的通道數(shù)據(jù)。 提供動態(tài)密鑰交換功能，提供密鑰中心管理效力器，必需具備防止數(shù)據(jù)重演Replay的功能，保證通道不能被重演

21、。 提供平安防護措施和訪問控制，要有抵抗黑客經(jīng)過VPN通道攻擊企業(yè)網(wǎng)絡(luò)的才干，并且可以對VPN通道進展訪問控制Access Control. 內(nèi) 部 網(wǎng)VPN用VPN銜接公司總部和其分支機構(gòu). 遠程訪問VPN用VPN銜接公司總部和遠程用戶. 外 聯(lián) 網(wǎng)VPN用VPN銜接公司和其業(yè)務(wù)同伴.VPN的分類及用途子公司LAN協(xié)作同伴LAN遠程用戶Internet.InternetVPN效力器VPN效力器路由器路由器加密信道加密認(rèn)證VPN總部LAN子公司LAN一個平安的VPN效力，應(yīng)該為子公司的不同用戶指定不同的訪問權(quán)限。VPN的分類及用途內(nèi)部網(wǎng)VPN .InternetVPN效力器加密信道總部LANV

22、PN的功能：1、訪問控制管理。2、用戶身份認(rèn)證。3、數(shù)據(jù)加密。4、智能監(jiān)視和審計記錄。5、密鑰和數(shù)字簽名管理。PC機挪動用戶公共效力器VPN的分類及用途遠程訪問VPN .InternetVPN效力器VPN效力器加密信道加密認(rèn)證VPN公司內(nèi)聯(lián)網(wǎng)協(xié)作公司內(nèi)聯(lián)網(wǎng)1、VPN效力應(yīng)有詳細的訪問控制。2、與防火墻/協(xié)議兼容。FTP效力器VPN的分類及用途外聯(lián)網(wǎng)VPN .VPN常用協(xié)議OSI七層模型安全技術(shù)安全協(xié)議應(yīng)用層表示層應(yīng)用代理會話層傳輸層會話層代理SOCK V5網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層包過濾IPSecPPTP/L2TP VPN常用的協(xié)議有SOCK v5、IPSec、PPTP以及L2TP等。這些協(xié)議對應(yīng)

23、的OSI層次構(gòu)造如下：VPN常用協(xié)議 .不平安網(wǎng)網(wǎng)關(guān)或主機網(wǎng)關(guān)或主機IP數(shù)據(jù)包傳輸層數(shù)據(jù)運用程序IP數(shù)據(jù)包傳輸層數(shù)據(jù)運用程序SA加密算法加密密鑰認(rèn)證算法認(rèn)證密鑰SA加密算法加密密鑰認(rèn)證算法認(rèn)證密鑰平安聯(lián)絡(luò)基于IPSec協(xié)議的VPN體系構(gòu)造.IP Sec協(xié)議IP Sec共分四種方式AH的傳輸方式(Transport Mode)AH的通道方式(Tunnel Mode)、ESP的傳輸方式(Transport Mode)ESP的通道方式(Tunnel Mode) .IP Sec協(xié)議AH認(rèn)證報頭操作方式 IP 負(fù)載(IP Payload)AH頭原始IP頭(IP Header)AH 傳輸方式IP 負(fù)載(I

24、P Payload)原始IP頭(IP Header)IP Datagram認(rèn)證IP 負(fù)載(IP Payload)原始IP頭(IP Header)AH頭新的IP頭(New IP Header)AH 通道方式認(rèn)證.IP Sec協(xié)議ESP協(xié)議操作方式 加密ESP認(rèn)證ESP TrailerIP負(fù)載(IP Payload)ESP Header原始IP頭(IP Header)傳輸方式加密ESP認(rèn)證ESP TrailerIP 負(fù)載(IP Payload)(IP Header)原始IP頭ESP Header新IP頭通道方式認(rèn)證認(rèn)證.傳輸方式下的ESP任務(wù)原理.通道方式下的ESP任務(wù)原理.基于IPSec協(xié)議的VPN原理.VPN產(chǎn)品.五破綻評價.破綻評價產(chǎn)品破綻評價的概念破綻評價的分類破綻評價產(chǎn)品選擇原那么常見的破綻評價產(chǎn)品本節(jié)將分以下幾部分引見破綻評價產(chǎn)品：.破綻評價的概念根