網(wǎng)絡(luò)隔離技術(shù)分析

1、第四章 網(wǎng)絡(luò)隔離技術(shù)1、防火墻2、虛擬專網(wǎng)技術(shù)3、物理隔離技術(shù) 隔離的本質(zhì)是在需要交換信息甚至共享資源的情況下才出現(xiàn)，既要信息交換或共享資源，又要隔離。haohao基帶和寬帶基帶是一種信號(hào)傳輸方法，它通過直接將電流送到電纜上完成。占用整個(gè)電纜傳輸。寬帶，通常將電纜分為通道，以便不同的數(shù)據(jù)能同時(shí)發(fā)送，即在同一電纜中可以發(fā)送多個(gè)信號(hào)。資源隔離基本概念對(duì)資源分組取決于：資源的敏感程度、資源受到損害的可能性，或者是設(shè)計(jì)者所選擇的資源分組的標(biāo)準(zhǔn)。安全區(qū)域，是資源的一個(gè)邏輯分組（如系統(tǒng)、網(wǎng)絡(luò)或進(jìn)程），這些分組與可接受的風(fēng)險(xiǎn)級(jí)別類似。安全區(qū)域的思想不只局限于網(wǎng)絡(luò)。在某種程度上，安全區(qū)域可以這樣來實(shí)現(xiàn)：將某些

2、性質(zhì)相類似的應(yīng)用程序駐留在專門的服務(wù)器上隔離的必要性 例如Slammer等蠕蟲病毒對(duì)交換機(jī)的沖擊，就是利用了流轉(zhuǎn)發(fā)技術(shù)的三層交換機(jī)的工作原理，第一個(gè)數(shù)據(jù)包進(jìn)來的時(shí)候，三層交換機(jī)要像路由器那樣通過查找路由表，確定如何轉(zhuǎn)發(fā)，并形成一個(gè)用ASIC完成轉(zhuǎn)發(fā)查找的硬件流轉(zhuǎn)發(fā)表。感染Slammer等蠕蟲病毒的計(jì)算機(jī)會(huì)在很大的一段地址空間中，逐個(gè)發(fā)送指向不同IP地址的數(shù)據(jù)包。這種行為是惡意的。這樣的操作會(huì)導(dǎo)致交換機(jī)的硬件流轉(zhuǎn)發(fā)表溢出，導(dǎo)致CPU資源的大量浪費(fèi)，甚至使交換機(jī)的CPU資源完全耗盡。典型的網(wǎng)絡(luò)環(huán)境防火墻的定義傳統(tǒng)的防火墻概念概念：防火墻被設(shè)計(jì)用來防止火從大廈的一部分傳播到另一部分I T 領(lǐng)域使用的

3、防火墻概念兩個(gè)安全域之間通信流的唯一通道安全域1Host A Host B 安全域2Host C Host D UDPBlockHost CHost BTCPPassHost CHost ADestinationProtocolPermitSource根據(jù)訪問控制規(guī)則決定進(jìn)出網(wǎng)絡(luò)的行為一種高級(jí)訪問控制設(shè)備，置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，它是不同網(wǎng)絡(luò)安全域間通信流的唯一通道，能根據(jù)企業(yè)有關(guān)的安全政策控制（允許、拒絕、監(jiān)視、記錄）進(jìn)出網(wǎng)絡(luò)的訪問行為。I T 領(lǐng)域使用的防火墻概念 防火墻（FireWall）是一種隔離控制技術(shù)，在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)（如Internet）之間設(shè)置屏

4、障，阻止對(duì)信息資源的非法訪問，也可以使用防火墻阻止重要信息從企業(yè)的網(wǎng)絡(luò)上被非法輸出。 FireWall一般安裝在路由器上以保護(hù)一個(gè)子網(wǎng)，也可以安裝在一臺(tái)主機(jī)上，保護(hù)這臺(tái)主機(jī)不受侵犯。 防火墻的發(fā)展歷程將過濾功能從路由器中獨(dú)立出來，針對(duì)用戶需求，提供模塊化的軟件包用戶可根據(jù)需要構(gòu)造防火墻安全性提高了，價(jià)格降低了利用路由器本身對(duì)分組的解析,進(jìn)行分組過濾過濾判斷依據(jù)：地址、端口號(hào)防火墻與路由器合為一體，只有過濾功能適用于對(duì)安全性要求不高的網(wǎng)絡(luò)環(huán)境是批量上市的專用防火墻產(chǎn)品包括分組過濾或者借用路由器的分組過濾功能裝有專用的代理系統(tǒng)，監(jiān)控所有協(xié)議的數(shù)據(jù)和指令保護(hù)用戶編程空間和用戶可配置內(nèi)核參數(shù)的設(shè)置安全

5、性和速度大為提高。防火墻廠商具有操作系統(tǒng)的源代碼，并可實(shí)現(xiàn)安全內(nèi)核在功能上包括了分組過濾、應(yīng)用網(wǎng)關(guān)、電路級(jí)網(wǎng)關(guān)增加了許多附加功能：加密、鑒別、審計(jì)、NAT轉(zhuǎn)換透明性好，易于使用基于通用操作系統(tǒng)的防火墻防火墻工具套基于安全操作系統(tǒng)的防火墻防火墻技術(shù)防火墻的位置包過濾技術(shù)應(yīng)用代理技術(shù)狀態(tài)檢測技術(shù)防火墻在網(wǎng)絡(luò)中的位置防火墻放置于不同網(wǎng)絡(luò)安全域之間包過濾技術(shù)也叫網(wǎng)絡(luò)級(jí)防火墻，一般是基于源地址和目的地址、應(yīng)用、協(xié)議以及每個(gè)IP包的端口來作出通過與否的判斷。一個(gè)路由器便是一個(gè)“傳統(tǒng)”的網(wǎng)絡(luò)級(jí)防火墻，大多數(shù)的路由器都能通過檢查這些信息來決定是否將所收到的包轉(zhuǎn)發(fā)，但它不能判斷出一個(gè)IP包來自何方，去向何處。防

6、火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符。如果沒有一條規(guī)則能符合，防火墻就會(huì)使用默認(rèn)規(guī)則，一般情況下，默認(rèn)規(guī)則就是要求防火墻丟棄該包。其次，通過定義基于TCP或UDP數(shù)據(jù)包的端口號(hào)，防火墻能夠判斷是否允許建立特定的連接，如Telnet、FTP連接。 表示層會(huì)話層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層傳輸層應(yīng)用層表示層會(huì)話層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層傳輸層應(yīng)用層表示層會(huì)話層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層傳輸層 非信任域 防火墻 信任域應(yīng)用層 網(wǎng)絡(luò)層 網(wǎng)絡(luò)層 網(wǎng)絡(luò)層包過濾原理安全網(wǎng)域Host C Host D UDPBlockHost CHost BTCPPassHost CHost ADestinationProt

7、ocolPermitSource數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包查找對(duì)應(yīng)的控制策略拆開數(shù)據(jù)包根據(jù)策略決定如何處理該數(shù)據(jù)包控制策略數(shù)據(jù)包過濾依據(jù)主要是TCP/IP報(bào)頭里面的信息，不能對(duì)應(yīng)用層數(shù)據(jù)進(jìn)行處理數(shù)據(jù)TCP報(bào)頭IP報(bào)頭分組過濾判斷信息應(yīng)用代理技術(shù)防火墻應(yīng)用層表示層會(huì)話層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層傳輸層應(yīng)用層表示層會(huì)話層NETWORK數(shù)據(jù)鏈路層物理層傳輸層應(yīng)用層表示層會(huì)話層NETWORK數(shù)據(jù)鏈路層物理層傳輸層 非信任域 防火墻 信任域網(wǎng)絡(luò)層網(wǎng)絡(luò)層應(yīng)用代理技術(shù)應(yīng)用級(jí)網(wǎng)關(guān)能夠檢查進(jìn)出的數(shù)據(jù)包，通過網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù)，防止在受信任服務(wù)器和客戶機(jī)與不受信任的主機(jī)間直接建立聯(lián)系。應(yīng)用級(jí)網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議，能

8、夠做復(fù)雜一些的訪問控制，并做精細(xì)的注冊(cè)和稽核。它針對(duì)特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議即數(shù)據(jù)過濾協(xié)議，并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報(bào)告。應(yīng)用網(wǎng)關(guān)對(duì)某些易于登錄和控制所有輸出輸入的通信的環(huán)境給予嚴(yán)格的控制，以防有價(jià)值的程序和數(shù)據(jù)被竊取。 在實(shí)際工作中，應(yīng)用網(wǎng)關(guān)一般由專用工作站系統(tǒng)來完成。但每一種協(xié)議需要相應(yīng)的代理軟件，使用時(shí)工作量大，效率不如網(wǎng)絡(luò)級(jí)防火墻。一般情況下，附加proxy服務(wù)器，如squid，能有效增加效率，并能實(shí)施關(guān)鍵字過濾。應(yīng)用級(jí)網(wǎng)關(guān)有較好的訪問控制，是目前最安全的防火墻技術(shù)，但實(shí)現(xiàn)困難，而且有的應(yīng)用級(jí)網(wǎng)關(guān)缺乏“透明度”。在實(shí)際使用中，用戶在受信任的網(wǎng)絡(luò)上通過防火墻訪問Internet時(shí)，

9、經(jīng)常會(huì)發(fā)現(xiàn)存在延遲并且必須進(jìn)行多次登錄（Login）才能訪問Internet或Intranet。 應(yīng)用代理原理安全網(wǎng)域Host C Host D 數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包查找對(duì)應(yīng)的控制策略拆開數(shù)據(jù)包根據(jù)策略決定如何處理該數(shù)據(jù)包數(shù)據(jù)包應(yīng)用代理可以對(duì)數(shù)據(jù)包的數(shù)據(jù)區(qū)進(jìn)行分析，并以此判斷數(shù)據(jù)是否允許通過控制策略數(shù)據(jù)TCP報(bào)頭IP報(bào)頭分組過濾判斷信息應(yīng)用代理判斷信息狀態(tài)檢測技術(shù)表示層會(huì)話層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層傳輸層應(yīng)用層表示層會(huì)話層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層傳輸層應(yīng)用層表示層會(huì)話層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層傳輸層 非信任域 防火墻 信任域 網(wǎng)絡(luò)層 網(wǎng)絡(luò)層 網(wǎng)絡(luò)層應(yīng)用層檢測引擎狀態(tài)檢測原理安全網(wǎng)域Host

10、 C Host D 數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包查找對(duì)應(yīng)的控制策略拆開數(shù)據(jù)包根據(jù)策略決定如何處理該數(shù)據(jù)包數(shù)據(jù)包狀態(tài)檢測可以結(jié)合前后數(shù)據(jù)包里的數(shù)據(jù)信息進(jìn)行綜合分析決定是否允許該包通過控制策略數(shù)據(jù)3TCP報(bào)頭IP報(bào)頭數(shù)據(jù)2TCP報(bào)頭IP報(bào)頭數(shù)據(jù)1TCP報(bào)頭IP報(bào)頭狀態(tài)檢測防火墻的功能、性能 防火墻的功能 防火墻的性能狀態(tài)檢測表 提高了效率 防止假冒IP攻擊Host C Host D No訪問控制規(guī)則表Yes數(shù)據(jù)包狀態(tài)檢測防火墻訪問控制的范圍源和目的地址；源和目的端口；“欺詐”的IP地址；IP協(xié)議號(hào)；端口范圍；ICMP信息類型；IP和TCP中都有的選項(xiàng)類型；IP和TCP標(biāo)記組合；VLAN信息。防火

11、墻的防御攻擊的能力抵抗DOS/DDOS攻擊防止入侵者的掃描防止源路由攻擊防止IP碎片攻擊防止ICMP/IGMP攻擊防止IP假冒攻擊 應(yīng)用控制可以對(duì)常用的高層應(yīng)用做更細(xì)的控制 如HTTP的GET、POST、HEAD 如FTP的GET、PUT等 物理層鏈路層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層物理層鏈路層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)防火墻內(nèi)部接口外部接口根據(jù)策略檢查應(yīng)用層的數(shù)據(jù)符合策略應(yīng)用層應(yīng)用層應(yīng)用層應(yīng)用代理InternetHost A Host BHost CHost D00-50-04-BB-71-A600-50-04-BB-71-BCBIND To 00-50-04-BB-71

12、-A6BIND To 00-50-04-BB-71-BCIP與MAC地址綁定后，不允許Host B假冒Host A的IP地址上網(wǎng)防火墻允許Host A上網(wǎng)IP和MAC地址綁定Internet4Host A受保護(hù)網(wǎng)絡(luò)Host C Host D 15防火墻Eth2：3Eth0：數(shù)據(jù)IP報(bào)頭數(shù)據(jù)IP報(bào)頭源地址：1目地址：4源地址：目地址：4 隱藏了內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu) 內(nèi)部網(wǎng)絡(luò)可以使用私有IP地址 公開地址不足的網(wǎng)絡(luò)可以使用這種方式提供IP復(fù)用功能NAT地址轉(zhuǎn)換反向地址映射Internet 公開服務(wù)器可以使用私有地址 隱藏內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)WWW FTP MAIL DNS 8MAP ：53 TO ：53MAP

13、 ：21 TO ：21MAP ：80 TO ：80MAP ：25 TO ：25WWW 192.168.15分布式防火墻傳統(tǒng)防火墻技術(shù)的幾個(gè)問題依賴于防火墻一端可信，另一端是潛在的敵人Internet的發(fā)展使從外部穿過防火墻訪問內(nèi)部網(wǎng)的需求增加了一些內(nèi)部主機(jī)需要更多的權(quán)限只依賴于端-端加密并不能完全解決問題過于依賴物理拓?fù)浣Y(jié)構(gòu)考慮到下面幾個(gè)事實(shí)個(gè)人防火墻已得到了廣泛的應(yīng)用操作系統(tǒng)大多已提供了許多在傳統(tǒng)意義上還屬于防火墻的手段IPv6以及IPSec技術(shù)的發(fā)展防火墻這一概念還不能拋棄分布式防火墻(續(xù)一)思路主要工作防護(hù)工作在主機(jī)端打破傳統(tǒng)防火墻的物理拓?fù)浣Y(jié)構(gòu)，不單純依靠物理位置來劃分內(nèi)外由安全策略來

14、劃分內(nèi)外網(wǎng)具體方法：依賴于下面三點(diǎn)策略描述語言：說明什么連接允許，什么連接不允許一系列系統(tǒng)管理工具：用于將策略發(fā)布到每一主機(jī)處，以保證機(jī)構(gòu)的安全I(xiàn)PSec技術(shù)及其他高層安全協(xié)議防火墻的性能指標(biāo) 延時(shí) 并發(fā)連接數(shù) 平均無故障時(shí)間 吞吐量防火墻在不丟包的情況下能夠達(dá)到的最大包轉(zhuǎn)發(fā)速率 數(shù)據(jù)包通過防火墻所用的時(shí)間防火墻能夠同時(shí)處理的點(diǎn)對(duì)點(diǎn)連接的最大數(shù)目 系統(tǒng)平均能夠正常運(yùn)行多長時(shí)間，才發(fā)生一次故障 防火墻的應(yīng)用 “訪問控制”的應(yīng)用 “防火墻在VLAN網(wǎng)絡(luò)”應(yīng)用 “內(nèi)網(wǎng)安全分段”的應(yīng)用 “動(dòng)態(tài)IP分配”的應(yīng)用 “多出口”的應(yīng)用 “端口映射”應(yīng)用“訪問控制”的應(yīng)用Vlan2財(cái)務(wù)部Vlan3技術(shù)部Vlan

15、4培訓(xùn)中心internetVlan網(wǎng)關(guān)“防火墻在VLAN網(wǎng)絡(luò)”應(yīng)用internet財(cái)務(wù)部工程部銷售部行政部“內(nèi)網(wǎng)安全分段”的應(yīng)用InternetInternetInternetLAN可以根據(jù)需要，按照源IP地址、服務(wù)，將數(shù)據(jù)流從不同的端口送出“多出口”的應(yīng)用財(cái)務(wù)VLAN工程技術(shù)VLAN項(xiàng)目VLAN內(nèi)部WEB服務(wù)器內(nèi)部數(shù)據(jù)庫服務(wù)器內(nèi)部文件服務(wù)器寬帶網(wǎng)(城域網(wǎng))內(nèi)部服務(wù)器VLAN動(dòng)態(tài)獲得IP“動(dòng)態(tài)IP分配”的應(yīng)用托管主機(jī)Internet電信機(jī)房8800“端口映射”應(yīng)用 防火墻不足之處 無法防護(hù)內(nèi)部用戶之間的攻擊 無法防護(hù)基于操作系統(tǒng)漏洞的攻擊 無法防護(hù)內(nèi)部用戶的其他行為 無法

16、防護(hù)端口反彈木馬的攻擊 無法防護(hù)病毒的侵襲 無法防護(hù)非法通道出現(xiàn)企業(yè)部署防火墻的誤區(qū) 最全的就是最好的，最貴的就是最好的 軟件防火墻部署后不對(duì)操作系統(tǒng)加固 一次配置，永遠(yuǎn)運(yùn)行 測試不夠完全 審計(jì)是可有可無的安全通信和內(nèi)容檢測沖突 防火墻攔截畫面 IP 的安全性I P包本身并不繼承任何安全特性不安全的表現(xiàn)偽造出I P包的地址修改其內(nèi)容重播以前的包以傳輸途中攔截并查看包的內(nèi)容解決方案VPNVPN發(fā)展趨勢 基于IP的VPN業(yè)務(wù)獲得了極大的增長空間. VPN對(duì)推動(dòng)整個(gè)電子商務(wù)、電子貿(mào)易將起到不可低估的作用 制約VPN的發(fā)展、普及的因素大致可分為客觀因素和主觀因素兩方面: 客觀因素：包括互聯(lián)網(wǎng)帶寬和服務(wù)

17、質(zhì)量 (QOS) 問題; 主觀因素是用戶總害怕自己內(nèi)部的數(shù)據(jù)在Internet上傳輸不安全. 虛擬專用網(wǎng)絡(luò)VPNVPN采用四種技術(shù)來保證安全隧道技術(shù)（Tuneling）加密技術(shù)密鑰管理技術(shù)身份認(rèn)證技術(shù)VPN關(guān)鍵技術(shù)-隧道技術(shù)隧道技術(shù)類似于點(diǎn)對(duì)點(diǎn)連接技術(shù)，隧道技術(shù)在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過這條隧道傳輸。實(shí)現(xiàn)以下功能將數(shù)據(jù)流量強(qiáng)制到特定的目的地隱藏私有的網(wǎng)絡(luò)地址在IP網(wǎng)上傳輸非IP協(xié)議數(shù)據(jù)包提供數(shù)據(jù)安全支持協(xié)助完成用戶基于AAA(authentication鑒定,authorization授權(quán),accounting計(jì)費(fèi))的管理。VPN的關(guān)鍵技術(shù)安全隧道 封裝、傳輸和拆封過程稱為

18、“隧道”。隧道技術(shù)類似于點(diǎn)對(duì)點(diǎn)連接技術(shù)，它是為了在公網(wǎng)上傳輸私有數(shù)據(jù)而發(fā)展出來的“信息封裝”（Encapsulation）方式，即在公網(wǎng)上建立一條數(shù)據(jù)通道（隧道），讓封裝的數(shù)據(jù)包通過這條隧道傳輸。在Internet上傳輸?shù)募用軘?shù)據(jù)包中，只有VPN端口或網(wǎng)關(guān)的IP地址暴露在外面。隧道技術(shù)解決了專網(wǎng)與公網(wǎng)的兼容問題，優(yōu)點(diǎn)是能夠隱藏發(fā)送者、接收者的IP地址和其他協(xié)議信息。數(shù)據(jù)鏈路層的隧道協(xié)議 數(shù)據(jù)鏈路層的隧道協(xié)議，如L2TP、PPTP、L2F等，建立在點(diǎn)對(duì)點(diǎn)協(xié)議PPP的基礎(chǔ)上，充分利用了PPP支持多協(xié)議的特性，先把各種網(wǎng)絡(luò)協(xié)議（IP,IPX,AppleTalk等）封裝到PPP幀中，再把整個(gè)數(shù)據(jù)包裝入

19、隧道協(xié)議。由于這種封裝方法形成的數(shù)據(jù)包依靠第二層（數(shù)據(jù)鏈路層）協(xié)議進(jìn)行傳輸，所以稱之為“第二層隧道協(xié)議”。 PPTP PPTP協(xié)議是最早被用來設(shè)計(jì)VPN的協(xié)議之一。PPTP協(xié)議(Point to Point Tunneling Protocol)是PPP協(xié)議的擴(kuò)展，增強(qiáng)了PPP的身份驗(yàn)證、壓縮和加密機(jī)制。一般服務(wù)器需要與互連網(wǎng)建立永久性連接，而客戶端則通過ISP連接互連網(wǎng)，并且通過撥號(hào)與PPTP服務(wù)器建立服從PPTP協(xié)議的連接。這種連接需要訪問身份證明（如用戶名，口令和域名等）和遵從的驗(yàn)證協(xié)議。PPTP利用PPP的功能通過因特網(wǎng)建立一條指向目的站點(diǎn)的隧道來實(shí)現(xiàn)遠(yuǎn)程訪問。PPTP提供PPTP客戶

20、機(jī)和PPTP服務(wù)器之間的加密通信，通過PPTP,客戶可采用撥號(hào)方式接入公共IP網(wǎng)絡(luò)Internet。撥號(hào)客戶首先按常規(guī)方式撥號(hào)到ISP的接入服務(wù)器，建立PPP連接；在此基礎(chǔ)上，客戶進(jìn)行二次撥號(hào)建立到PPTP服務(wù)器的連接，該連接稱為PPTP隧道。L2TP L2TP是由Microsoft支持的PPTP和由Cisco支持的L2F相結(jié)合的產(chǎn)物，Bay等網(wǎng)絡(luò)公司均是該工作組的成員。L2TP對(duì)PPP連接作了延伸：它的起點(diǎn)和終點(diǎn)并不是遠(yuǎn)程主機(jī)和ISP的撥號(hào)服務(wù)設(shè)備，這種虛擬的PPP連接起始于遠(yuǎn)程主機(jī)，終止于公司企業(yè)網(wǎng)的網(wǎng)關(guān)。從表面上看，遠(yuǎn)程主機(jī)和公司企業(yè)網(wǎng)的網(wǎng)關(guān)好像處于同一子網(wǎng)中。L2TP使用PPP來實(shí)現(xiàn)數(shù)

21、據(jù)包的可靠性發(fā)送，L2TP隧道通過在兩端VPN服務(wù)器之間采用口令握手協(xié)議CHAP來驗(yàn)證對(duì)方的身份，并可采用IPsec協(xié)議對(duì)數(shù)據(jù)包進(jìn)行加密傳送，以保證數(shù)據(jù)安全。在安全性的考慮上，L2TP對(duì)傳輸中的數(shù)據(jù)并不加密。因此， L2TP并不能滿足用戶對(duì)安全性的需求，當(dāng)用戶需要安全的撥號(hào)VPN時(shí)，就需要結(jié)合IPSEC一起使用，對(duì)數(shù)據(jù)封裝和加密，以創(chuàng)建安全的虛擬網(wǎng)絡(luò)連接。L2TP(續(xù))L2TPVPN連接拓?fù)銹PP連接ISP的PPP 服務(wù)器企業(yè)專用網(wǎng)絡(luò)進(jìn)行PPTP或L2TP連接InternetVPN服務(wù)器VPN隧道IP層隧道 第三層隧道協(xié)議，如IPsec、GRE，是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包

22、依靠第三層（網(wǎng)絡(luò)層）協(xié)議進(jìn)行傳輸，所以稱之為“第三層隧道協(xié)議”。它在可擴(kuò)充性、安全性、可靠性方面優(yōu)于第二層隧道協(xié)議。 IPSec協(xié)議IETF制定VPN安全協(xié)議標(biāo)準(zhǔn)IPSec和IKE密鑰管理協(xié)議IPSec提供以下安全服務(wù)數(shù)據(jù)源鑒別數(shù)據(jù)完整性防止數(shù)據(jù)重傳數(shù)據(jù)加密不可否認(rèn)安全策略 安全策略決定了為一個(gè)包提供的安全服務(wù)IP包的外出和進(jìn)入處理都要以安全策略為準(zhǔn) AH協(xié)議AH協(xié)議保證了隧道中報(bào)文的數(shù)據(jù)源鑒別和數(shù)據(jù)的完整性保護(hù)，它對(duì)每組IP包進(jìn)行認(rèn)證，防止黑客利用IP進(jìn)行攻擊。ESP協(xié)議ESP協(xié)議保證數(shù)據(jù)的保密性，ESP可以在隧道模式和傳送模式兩種模式下運(yùn)行。在隧道模式下，ESP對(duì)整個(gè)IP數(shù)據(jù)包進(jìn)行封裝和加

23、密，隱蔽了IP源和目的IP地址，從外部看不到數(shù)據(jù)包的路由過程；在傳送模式下，ESP只對(duì)IP有效數(shù)據(jù)載荷進(jìn)行封裝和加密，IP源和目的IP地址不加密傳送，安全程度相對(duì)隧道模式較低。隧道模式的封裝密鑰管理協(xié)議 密鑰管理協(xié)議是IPSec安全協(xié)議的一個(gè)重要組成部分,Internet工程任務(wù)組(IETF)規(guī)定了Internet安全協(xié)議和密鑰管理協(xié)議實(shí)現(xiàn)IPSec的密鑰管理需求，這個(gè)協(xié)議在通信系統(tǒng)內(nèi)建立了一個(gè)安全的聯(lián)系，它是一個(gè)產(chǎn)生和交換IPSec密鑰并對(duì)其進(jìn)行管理的協(xié)議。SA(Security Association) 所有的SA都是單向的，由一特定的SPI(Security Parameter Inde

24、x)和DA(Destination Address)的組合唯一確定的 SA包括：AH實(shí)現(xiàn)中所用的鑒別算法和算法模式AH實(shí)現(xiàn)中鑒別算法所使用的密鑰ESP實(shí)現(xiàn)中所用的加密算法和模式ESP實(shí)現(xiàn)中加密算法所使用的密鑰加密算法的初始向量域；密鑰生存周期或時(shí)間SA的生存周期、SA的源地址選用VPN的原因VPN以Internet為支撐，布署靈活（和專線比較）大多數(shù)ISP能承受商務(wù)連接所帶來的負(fù)荷VPN是靈活的、動(dòng)態(tài)的、可升級(jí)的，可以極大節(jié)省企業(yè)專線聯(lián)網(wǎng)的費(fèi)用可以很好地解決全網(wǎng)的統(tǒng)一管理問題VPN能夠解決“移動(dòng)用戶”的安全接入問題（也可認(rèn)為Firewall的漏洞）VPN能充分利用公司現(xiàn)有投資（對(duì)應(yīng)用透明）基于

25、TCP/IP的VPN容易理解和實(shí)現(xiàn)因各國對(duì)加密技術(shù)的限制，使得VPN產(chǎn)品具有按照國家劃分的嚴(yán)格的地域性質(zhì)。 建設(shè)VPN所需考慮問題構(gòu)造網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)地址空間DNS問題網(wǎng)絡(luò)地址轉(zhuǎn)換路由問題ISP是否阻塞加密分組確定新設(shè)備位置如何鑒別用戶用戶能夠訪問子網(wǎng)的范圍數(shù)據(jù)流的安全等級(jí)適合VPN的環(huán)境遠(yuǎn)程用戶訪問企業(yè)外部網(wǎng)應(yīng)用不同地理位置的客戶基地適當(dāng)帶寬需求廉價(jià)的全球訪問的需要專線不適合VPN的環(huán)境性能成為額外開銷的系統(tǒng)時(shí)延不能被接受的地方非標(biāo)準(zhǔn)協(xié)議同步通信的系統(tǒng)VPN的典型應(yīng)用（1）典型案例1：安全網(wǎng)關(guān)設(shè)備與ERP系統(tǒng)的結(jié)合案例VPN的典型應(yīng)用（2）典型案例2：授權(quán)企業(yè)員工的遠(yuǎn)程安全接入VPN的典型應(yīng)用

26、（3）典型案例3：動(dòng)態(tài)IP VPN組網(wǎng)方案ADSL安全網(wǎng)關(guān)策略服務(wù)器固定IPModem接入財(cái)務(wù)子網(wǎng)工作子網(wǎng)ADSL財(cái)務(wù)子網(wǎng)移動(dòng)用戶分支機(jī)構(gòu)合作伙伴公司總部防火墻安全網(wǎng)關(guān)安全網(wǎng)關(guān)ADSLVPN的典型應(yīng)用（4）典型案例4：無線接入VPN網(wǎng)構(gòu)建虛擬私用網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)總經(jīng)理辦公室 財(cái)務(wù)室 用途：使物理連接在同一網(wǎng)絡(luò)構(gòu)架上的不同小組之間進(jìn)行安全保密的通信，主要用于防止內(nèi)部的泄密和黑客。例如：對(duì)公司的財(cái)務(wù)部門數(shù)據(jù)的安全訪問。在公司局域網(wǎng)上的構(gòu)建安全小組網(wǎng)絡(luò)以太網(wǎng)安全網(wǎng)關(guān)VPN的典型應(yīng)用（5）用途：使企業(yè)和合作伙伴，供應(yīng)商之間進(jìn)行安全保密的通信企業(yè)間的虛擬專用網(wǎng)絡(luò) ExtranetVPN的典型應(yīng)用（6）VPN

27、的常見問題遠(yuǎn)程撥號(hào)用戶定位VPN網(wǎng)關(guān)設(shè)備LANtoLAN，策略一致性問題VPN的域設(shè)置認(rèn)證服務(wù)內(nèi)部VPN路由動(dòng)態(tài)尋址與NAT穿透多端VPN的管理和配置安全傳輸和信息監(jiān)控的矛盾雙向NAT的VPN互聯(lián)基于VPN的互連與隔離三層網(wǎng)絡(luò)架構(gòu)（下一代安全網(wǎng)絡(luò)的可選方案之一）SSL/TLS協(xié)議(1) 1994年Netscape開發(fā)了SSL(Secure Socket Layer)協(xié)議，專門用于保護(hù)Web通訊。版本和歷史1.0，不成熟2.0，基本上解決了Web通訊的安全問題Microsoft公司發(fā)布了PCT(Private Communication Technology)，并在IE中支持3.0，1996年發(fā)

28、布，增加了一些算法，修改了一些缺陷TLS 1.0(Transport Layer Security, 也被稱為SSL 3.1)，1997年IETF發(fā)布了Draft，同時(shí)，Microsoft宣布放棄PCT，與Netscape一起支持TLS 1.01999年，發(fā)布RFC 2246(The TLS Protocol v1.0)SSL/TLS協(xié)議(2)協(xié)議的設(shè)計(jì)目標(biāo)為兩個(gè)通訊個(gè)體之間提供保密性和完整性(身份認(rèn)證)互操作性、可擴(kuò)展性、相對(duì)效率協(xié)議分為兩層底層：TLS記錄協(xié)議上層：TLS握手協(xié)議、TLS密碼變化協(xié)議、TLS警告協(xié)議SSL體系結(jié)構(gòu)SSL由記錄協(xié)議子層(Record Protocol)和握手協(xié)

29、議子層(Handshake Protocol)組成記錄協(xié)議子層定義了傳輸?shù)母袷轿帐謪f(xié)議子層用于實(shí)現(xiàn)雙向身份認(rèn)證和協(xié)商密碼算法以及會(huì)話密鑰IPTCPSSL記錄協(xié)議SSL握手協(xié)議SSL修改密文協(xié)議SSL告警協(xié)議HTTP協(xié)議SSL會(huì)話與連接SSL會(huì)話（session）一個(gè)SSL會(huì)話是在客戶與服務(wù)器之間的一個(gè)關(guān)聯(lián)。會(huì)話由Handshake Protocol創(chuàng)建。會(huì)話定義了一組可供多個(gè)連接共享的加密安全參數(shù)會(huì)話用以避免為每一個(gè)連接提供新的安全參數(shù)所需昂貴的談判代價(jià)一對(duì)對(duì)等實(shí)體之間可以有多個(gè)會(huì)話SSL連接（connection)一個(gè)連接是提供一種合適類型服務(wù)的傳輸（OSI分層的定義）SSL的連接是點(diǎn)對(duì)點(diǎn)的

30、關(guān)系連接是暫時(shí)的，每一個(gè)連接和一個(gè)會(huì)話關(guān)聯(lián)SSL實(shí)現(xiàn)OpenSSL, 最新0.9.6c, 實(shí)現(xiàn)了SSL(2,3), TLS(1.0)Openssl a command line tool.SSL(3) the OpenSSL SSL/TLS library.crypto(3) the OpenSSL Crypto library.URL: SSLeayMicrosoft Win2k SSL implementationSSL/TLS握手的步驟Client_helloServer_helloCertificateServer_key_exchangeCertificate_requestServ

31、er_hello_doneCertificateClient_key_exchangeCertificate_verifyChange_cipher_specFinishedChange_cipher_specFinished建立安全能力,包括協(xié)議版本、會(huì)話ID、密碼組、壓縮方法和初始隨機(jī)數(shù)字服務(wù)器可以發(fā)送證書、密鑰交換和請(qǐng)求證書。服務(wù)器信號(hào)以hello消息結(jié)束客戶機(jī)可以發(fā)送證書；客戶機(jī)發(fā)送密鑰交換；客戶機(jī)可以發(fā)送證書驗(yàn)證更改密碼組完成握手協(xié)議紅色勾除的步驟是可選的SSL VPN的基本構(gòu)建方式SSL單項(xiàng)認(rèn)證模式在采用單向認(rèn)證時(shí)，主要是客戶端驗(yàn)證服務(wù)器端是否合法。在建立SSL握手的時(shí)候，服務(wù)器將

32、其證書傳送給客戶端進(jìn)行驗(yàn)證?？蛻舳酥饕?yàn)證有三個(gè)方面：服務(wù)器證書是否在有效時(shí)間內(nèi)服務(wù)器證書中的域名是否與用戶訪問的域名一致服務(wù)器證書是否由瀏覽器認(rèn)可的根證發(fā)放SSL雙向認(rèn)證模式在雙向認(rèn)證模式下，除客戶端驗(yàn)證服務(wù)器端是否合法外，服務(wù)器端也需要驗(yàn)證客戶端是否為合法用戶。服務(wù)器端需要安裝頒發(fā)客戶端證書的CA的根證書和中間證書，要求客戶端提交客戶端證書，并通過已經(jīng)安裝的根證書和中間證書對(duì)客戶端證書進(jìn)行逐級(jí)驗(yàn)證 SSL還有一個(gè)潛在的安全隱患來自于使用者，因?yàn)闀?huì)話結(jié)束后他們一般不會(huì)及時(shí)關(guān)閉瀏覽器。如果連接請(qǐng)求來自于共享的公眾場所，這樣做是極其危險(xiǎn)的。如果瀏覽器沒有及時(shí)關(guān)閉，前一個(gè)使用者建立的信任連接狀態(tài)就

33、會(huì)一直保持，后來的使用者可以繼續(xù)利用這臺(tái)電腦的信任狀態(tài)接入公司內(nèi)部網(wǎng)。針對(duì)這種情況，很多廠商生產(chǎn)的瀏覽器都提供了“inactivity timeouts”功能，但這不是全面解決方案，因?yàn)殡娔X仍然在一段時(shí)間內(nèi)存在安全弱點(diǎn)。此時(shí)，如果連接請(qǐng)求來自不可控制的公眾場所，電腦則處于危險(xiǎn)狀態(tài)，因?yàn)楣粽呖梢岳秒娔X上的鍵盤紀(jì)錄來重復(fù)使用者的會(huì)話。SSL VPN SSL VPN 應(yīng)用層 不用專用客戶端軟件.只使用標(biāo)準(zhǔn)的瀏覽器 任何內(nèi)網(wǎng)應(yīng)用數(shù)據(jù)均通過SSL協(xié)議轉(zhuǎn)換傳輸 由客戶掌握指定使用權(quán)限 支持全功能訪問內(nèi)網(wǎng)B/S服務(wù)器, 內(nèi)網(wǎng)公共文件夾及文件 支持典型應(yīng)用及HTTP和HTTPS協(xié)議 支持動(dòng)態(tài)下載插件作為不

34、同應(yīng)用的瘦客戶端Ipsec和SSLIPSEC和SSL主要區(qū)別 1、IPSEC是面向通信的，SSL是面向應(yīng)用 2、IPSEC支持網(wǎng)絡(luò)方式，也支持點(diǎn)到點(diǎn)的方式； SSL支持點(diǎn)到點(diǎn)的方式；存在的主要問題： 1、無法支持私網(wǎng)環(huán)境下構(gòu)建虛擬網(wǎng)絡(luò)； 2、在大規(guī)模網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)策略易產(chǎn)生沖突； 3、在大規(guī)模網(wǎng)絡(luò)環(huán)境中，安全節(jié)點(diǎn)的性能問題。物理隔離的定義 國家保密局2000年1月1日起頒布實(shí)施的計(jì)算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定第二章保密制度第六條規(guī)定：“涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)，不得直接或間接地與國際互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)相連接，必須實(shí)行物理隔離?！?所謂“物理隔離”是指內(nèi)部網(wǎng)不得直接或間接地連接公共網(wǎng)。物理安全的目的是保護(hù)路由器、工作站