網(wǎng)絡(luò)安全技術(shù)基礎(chǔ)下

網(wǎng)絡(luò)安全技術(shù)基礎(chǔ)（下）本講概要 本講主要闡述目前最常用的信息安全技術(shù)和信息安全產(chǎn)品，內(nèi)容包括了：防火墻入侵檢測VPN漏洞評估本講涉及內(nèi)容寬泛，領(lǐng)域眾多，講師根據(jù)學(xué)員情況做好課時安排。本講總課時建議為4~6課時。2本講學(xué)習(xí)目標(biāo)通過本講學(xué)習(xí)，學(xué)員應(yīng)該掌握：各類信息安全技術(shù)的概念、用途，部署方式防火墻的分類、原理、結(jié)構(gòu)和用途入侵檢測產(chǎn)品的工作原理和分類VPN的分類和用途漏洞評估的概念和意義3（一）防火墻技術(shù)防火墻產(chǎn)品防火墻的基本概念防火墻的主要技術(shù)防火墻的用途防火墻的弱點防火墻的體系結(jié)構(gòu)防火墻的構(gòu)筑原則防火墻產(chǎn)品本節(jié)將分以下幾部分介紹網(wǎng)絡(luò)防火墻：5防火墻的基本概念防火墻是一種高級訪問控制設(shè)備，是置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，是不同網(wǎng)絡(luò)安全域間通信流的唯一通道，能根據(jù)企業(yè)有關(guān)安全政策控制(允許、拒絕、監(jiān)視、記錄)進(jìn)出網(wǎng)絡(luò)的訪問行為。不可信的網(wǎng)絡(luò)及服務(wù)器可信任的網(wǎng)絡(luò)防火墻路由器InternetIntranet供外部訪問的服務(wù)及資源可信任的用戶不可信的用戶

DMZ6防火墻的用途控制對網(wǎng)點的訪問和封鎖網(wǎng)點信息的泄露能限制被保護子網(wǎng)的泄露具有審計作用能強制安全策略7防火墻不能防備病毒防火墻對不通過它的連接無能為力防火墻不能防備內(nèi)部人員的攻擊限制有用的網(wǎng)絡(luò)服務(wù)防火墻不能防備新的網(wǎng)絡(luò)安全問題防火墻的弱點8形形色色的防火墻9防火墻的分類方法10單機機防防火火墻墻VS網(wǎng)絡(luò)絡(luò)防防火火墻墻11軟件件防防火火墻墻VS硬件件防防火火墻墻12防火火墻墻設(shè)設(shè)備備外外觀觀與與結(jié)結(jié)構(gòu)構(gòu)13防火火墻墻的的主主要要技技術(shù)術(shù)應(yīng)用用層層代代理理技技術(shù)術(shù)(ApplicationProxy)包過過濾濾技技術(shù)術(shù)(PacketFiltering)狀態(tài)態(tài)包包過過濾濾技技術(shù)術(shù)(StatefulPacketFiltering)應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層防火火墻墻的的主主要要技技術(shù)術(shù)種種類類14數(shù)據(jù)據(jù)包包數(shù)據(jù)據(jù)包包查找找對對應(yīng)應(yīng)的的控控制制策策略略拆開開數(shù)數(shù)據(jù)據(jù)包包根據(jù)據(jù)策策略略決決定定如如何何處處理理該該數(shù)數(shù)據(jù)據(jù)包包數(shù)據(jù)TCP報頭IP報頭分組組過過濾濾判判斷斷信信息息企業(yè)內(nèi)部網(wǎng)屏蔽路由器數(shù)據(jù)據(jù)包包防火火墻墻的的主主要要技技術(shù)術(shù)包過過濾濾技技術(shù)術(shù)的的基基本本原原理理數(shù)據(jù)據(jù)包包UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource控制策略15數(shù)據(jù)據(jù)包包數(shù)據(jù)據(jù)包包查找對應(yīng)應(yīng)的控制制策略拆開數(shù)據(jù)據(jù)包根據(jù)策略略決定如如何處理理該數(shù)據(jù)據(jù)包企業(yè)內(nèi)部網(wǎng)屏蔽路由器數(shù)據(jù)包防火墻的的主要技技術(shù)狀態(tài)檢測測包過濾濾技術(shù)的的基本原原理數(shù)據(jù)包數(shù)據(jù)3TCP報頭IP報頭分組過濾濾判斷信信息數(shù)據(jù)2TCP報頭IP報頭數(shù)據(jù)1TCP報頭IP報頭數(shù)據(jù)1TCP報頭IP報頭數(shù)據(jù)狀態(tài)檢測測控制策略略16數(shù)據(jù)包數(shù)據(jù)包查找對應(yīng)應(yīng)的控制制策略拆開數(shù)據(jù)據(jù)包根據(jù)策略略決定如如何處理理該數(shù)據(jù)據(jù)包企業(yè)內(nèi)部網(wǎng)屏蔽路由器數(shù)據(jù)包防火墻的的主要技技術(shù)應(yīng)用層代代理技術(shù)術(shù)的基本本原理數(shù)據(jù)包數(shù)據(jù)TCP報頭IP報頭分組過濾濾判斷信信息應(yīng)用代理理判斷信信息控制策略略17防火墻的的體系結(jié)結(jié)構(gòu)篩選路由由器雙網(wǎng)主機機屏蔽主機機屏蔽子網(wǎng)網(wǎng)防火墻可可以設(shè)置置成不同同的體系系結(jié)構(gòu)，，提供不不同級別別的安全全。常見見的體系系結(jié)構(gòu)有有：18防火墻的的體系結(jié)結(jié)構(gòu)內(nèi)部網(wǎng)外部網(wǎng)篩選路由由器式體體系結(jié)構(gòu)構(gòu)包過濾篩選路由由器19防火墻的的體系結(jié)結(jié)構(gòu)雙網(wǎng)主機機式體系系結(jié)構(gòu)內(nèi)部網(wǎng)外部網(wǎng)雙網(wǎng)主機雙網(wǎng)主機機插有兩兩塊網(wǎng)卡卡，分別別連接到到內(nèi)網(wǎng)和和外網(wǎng)。。防火墻內(nèi)內(nèi)、外的的系統(tǒng)均均可以與與雙網(wǎng)主主機進(jìn)行行通信，，但防火火墻兩邊邊的系統(tǒng)統(tǒng)之間不不能直接接進(jìn)行通通信。使用此結(jié)結(jié)構(gòu)，必必須關(guān)閉閉雙網(wǎng)主主機上的的路由分分配功能能。20防火墻的的體系結(jié)結(jié)構(gòu)屏蔽主機機式體系系結(jié)構(gòu)Internet堡壘主機機防火墻屏蔽路由由器21防火墻的的體系結(jié)結(jié)構(gòu)屏蔽子網(wǎng)網(wǎng)式體系系結(jié)構(gòu)Internet堡壘主機機屏蔽路由由器屏蔽路由由器周邊網(wǎng)絡(luò)絡(luò)22防火墻的的構(gòu)筑原原則構(gòu)筑防火火墻要從從以下幾幾方面考考慮：體系結(jié)構(gòu)構(gòu)的設(shè)計計安全策略略的制定定安全策略略的實施施23防火墻的的性能指指標(biāo)24主流防火火墻產(chǎn)品品25（二）虛虛擬局域域網(wǎng)（VLAN）VLAN的定義VLAN（VirtualLocalAreaNetwork）又稱虛虛擬局域域網(wǎng)，是是指在交交換局域域網(wǎng)的基基礎(chǔ)上，，采用網(wǎng)網(wǎng)絡(luò)管理理軟件構(gòu)構(gòu)建的可可跨越不不同網(wǎng)段段、不同同網(wǎng)絡(luò)的的端到端端的邏輯輯網(wǎng)絡(luò)。。一個VLAN組成一個邏輯輯子網(wǎng)，即一一個邏輯廣播播域，它可以以覆蓋多個網(wǎng)網(wǎng)絡(luò)設(shè)備，允允許處于不同同地理位置的的網(wǎng)絡(luò)用戶加加入到一個邏邏輯子網(wǎng)中。。組建VLAN的條件VLAN是建立在物理理網(wǎng)絡(luò)基礎(chǔ)上上的一種邏輯輯子網(wǎng)，因此此建立VLAN需要相應(yīng)的支支持VLAN技術(shù)的網(wǎng)絡(luò)設(shè)設(shè)備。當(dāng)網(wǎng)絡(luò)絡(luò)中的不同VLAN間進(jìn)行相互通通信時，需要要路由的支持持，這時就需需要增加路由由設(shè)備——要實現(xiàn)路由功功能，既可采采用路由器，，也可采用三三層交換機來來完成。什么是VLAN27從技術(shù)角度講講，VLAN的劃分可依據(jù)據(jù)不同原則，，一般有以下下三種劃分方方法：1、基于端口的VLAN劃分這種劃分是把把一個或多個個交換機上的的幾個端口劃劃分一個邏輯輯組，這是最最簡單、最有有效的劃分方方法。該方法法只需網(wǎng)絡(luò)管管理員對網(wǎng)絡(luò)絡(luò)設(shè)備的交換換端口進(jìn)行重重新分配即可可，不用考慮慮該端口所連連接的設(shè)備。。2、基于MAC地址的VLAN劃分MAC地址其實就是是指網(wǎng)卡的標(biāo)標(biāo)識符，每一一塊網(wǎng)卡的MAC地址都是惟一一且固化在網(wǎng)網(wǎng)卡上的。MAC地址由12位16進(jìn)制數(shù)表示，，前8位為廠商標(biāo)識識，后4位為網(wǎng)卡標(biāo)識識。網(wǎng)絡(luò)管理理員可按MAC地址把一些站站點劃分為一一個邏輯子網(wǎng)網(wǎng)。3、基于路由的的VLAN劃分路由協(xié)議工作作在網(wǎng)絡(luò)層，，相應(yīng)的工作作設(shè)備有路由由器和路由交交換機（即三三層交換機））。該方式允允許一個VLAN跨越多個交換換機，或一個個端口位于多多個VLAN中。劃分VLAN的基本策略281、控制廣播風(fēng)風(fēng)暴一個VLAN就是一個邏輯輯廣播域，通通過對VLAN的創(chuàng)建，隔離離了廣播，縮縮小了廣播范范圍，可以控控制廣播風(fēng)暴暴的產(chǎn)生。2、提高網(wǎng)絡(luò)整整體安全性通過路由訪問問列表和MAC地址分配等VLAN劃分原則，可可以控制用戶戶訪問權(quán)限和和邏輯網(wǎng)段大大小，將不同同用戶群劃分分在不同VLAN，從而提高交交換式網(wǎng)絡(luò)的的整體性能和和安全性。3、網(wǎng)絡(luò)管理簡簡單、直觀對于交換式以以太網(wǎng)，如果果對某些用戶戶重新進(jìn)行網(wǎng)網(wǎng)段分配，需需要網(wǎng)絡(luò)管理理員對網(wǎng)絡(luò)系系統(tǒng)的物理結(jié)結(jié)構(gòu)重新進(jìn)行行調(diào)整，甚至至需要追加網(wǎng)網(wǎng)絡(luò)設(shè)備，增增大網(wǎng)絡(luò)管理理的工作量。。而對于采用用VLAN技術(shù)的網(wǎng)絡(luò)來來說，一個VLAN可以根據(jù)部門門職能、對象象組或者應(yīng)用用將不同地理理位置的網(wǎng)絡(luò)絡(luò)用戶劃分為為一個邏輯網(wǎng)網(wǎng)段。在不改改動網(wǎng)絡(luò)物理理連接的情況況下可以任意意地將工作站站在工作組或或子網(wǎng)之間移移動。利用虛虛擬網(wǎng)絡(luò)技術(shù)術(shù)，大大減輕輕了網(wǎng)絡(luò)管理理和維護工作作的負(fù)擔(dān)，降降低了網(wǎng)絡(luò)維維護費用。在在一個交換網(wǎng)網(wǎng)絡(luò)中，VLAN提供了網(wǎng)段和和機構(gòu)的彈性性組合機制。。VLAN的作用29三層交換（也也稱多層交換換技術(shù)，或IP交換技術(shù)）是是相對于傳統(tǒng)統(tǒng)交換概念而而提出的。眾眾所周知，傳傳統(tǒng)的交換技技術(shù)是在OSI網(wǎng)絡(luò)標(biāo)準(zhǔn)模型型中的第二層層——數(shù)據(jù)鏈路層進(jìn)進(jìn)行操作的，，而三層交換換技術(shù)是在網(wǎng)網(wǎng)絡(luò)模型中的的第三層實現(xiàn)現(xiàn)了數(shù)據(jù)包的的高速轉(zhuǎn)發(fā)。。簡單地說，，三層交換技技術(shù)就是：二二層交換技術(shù)術(shù)＋三層轉(zhuǎn)發(fā)發(fā)技術(shù)。三層交換技術(shù)術(shù)的出現(xiàn)，解解決了局域網(wǎng)網(wǎng)中網(wǎng)段劃分分之后，網(wǎng)段段中子網(wǎng)必須須依賴路由器器進(jìn)行管理的的局面，解決決了傳統(tǒng)路由由器低速、復(fù)復(fù)雜所造成的的網(wǎng)絡(luò)瓶頸問問題。三層交換原理理它是將路由技技術(shù)與交換技技術(shù)合二為一一的技術(shù)。三三層交換機在在對第一個數(shù)數(shù)據(jù)流進(jìn)行路路由后，會產(chǎn)產(chǎn)生一個MAC地址與IP地址的映射表表，當(dāng)同樣的的數(shù)據(jù)流再次次通過時，將將根據(jù)此表直直接從二層通通過而不是再再次路由，從從而消除了路路由器進(jìn)行路路由選擇而造造成網(wǎng)絡(luò)的延延遲，提高了了數(shù)據(jù)包轉(zhuǎn)發(fā)發(fā)的效率，消消除了路由器器可能產(chǎn)生的的網(wǎng)絡(luò)瓶頸問問題?？梢?，，三層交換機機集路由與交交換于一身，，在交換機內(nèi)內(nèi)部實現(xiàn)了路路由，提高了了網(wǎng)絡(luò)的整體體性能。三層交換機分分類1.基于純硬件(ASIC)2.基于軟件的什么是三層交交換？30VLAN環(huán)境示意31（三）入侵檢檢測系統(tǒng)（IDS）入侵檢測系統(tǒng)統(tǒng)（IDS）關(guān)于入侵檢測測系統(tǒng)，我們們將就以下部部分進(jìn)行學(xué)習(xí)習(xí)：IDS簡介IDS分類IDS作用IDS工作原理IDS部署方式IDS應(yīng)用IDS技術(shù)的發(fā)展方方向IDS產(chǎn)品IDS資源33什么是IDS？IDS是什么？入侵檢測系統(tǒng)統(tǒng)(IntrusionDetectionSystem)入侵檢測技術(shù)術(shù)是為了保證證計算機系統(tǒng)統(tǒng)安全面而設(shè)設(shè)置和配置的的一種能夠及及時發(fā)現(xiàn)并報報告系統(tǒng)中未未授權(quán)或異常常行為的技術(shù)術(shù)，是一種檢檢測計算機網(wǎng)網(wǎng)絡(luò)中違反安安全策略行為為的技術(shù)。入侵檢測被視視為防火墻之之后的第二道道安全闡門，，主要用來監(jiān)監(jiān)視和分析用用戶和系統(tǒng)的的活動，能夠夠反映已知的的攻擊模式并并報警，同時時監(jiān)控系統(tǒng)的的異常模式，，對于異常行行為模式，IDS采用報表的方方式進(jìn)行統(tǒng)計計分析假如說防火墻墻是一幢大樓樓的門鎖，那那入侵監(jiān)測系系統(tǒng)就是這幢幢大樓里的監(jiān)監(jiān)視系統(tǒng)。34IDS的主要類型應(yīng)用軟件入侵侵監(jiān)測系統(tǒng)ApplicationIntrusionDetection主機入侵監(jiān)測測系統(tǒng)HostIntrusionDetection網(wǎng)絡(luò)入侵監(jiān)測測系統(tǒng)NetworkIntrusionDetection集成入侵監(jiān)測測系統(tǒng)IntegratedIntrusionDetection根據(jù)IDS工作位置和數(shù)數(shù)據(jù)來源，可可以分為：35網(wǎng)絡(luò)入侵檢測測系統(tǒng)（NIDS）網(wǎng)絡(luò)入侵檢測測系統(tǒng)(NIDS)-----在網(wǎng)絡(luò)中的某某個節(jié)點上裝裝有探測器來來監(jiān)測整個網(wǎng)網(wǎng)絡(luò)(工作對象基于網(wǎng)絡(luò))特點：1.擁有較低的成成本--在幾個很少的的監(jiān)測點上進(jìn)進(jìn)行配置就可可以監(jiān)控一個個網(wǎng)絡(luò)中所發(fā)發(fā)生的入侵行行為;2.能監(jiān)測主機IDS所不能監(jiān)測到到的某些攻擊擊(如DOS、Teardrop)—通過分析IP包的頭可以捕捕捉這些須通通過分析包頭頭才能發(fā)現(xiàn)的的攻擊;3.與操作系統(tǒng)無無關(guān)性--基于網(wǎng)絡(luò)的IDS與所監(jiān)測的主主機所運行的的操作系統(tǒng)無無關(guān)，而主機機IDS則必須在特定定的操作系統(tǒng)統(tǒng)下才能運行行;4.檢測未成功能能攻擊和不良良意圖-與之相比，主主機IDS只能檢測到成成功的攻擊，，而很多未成成功的攻擊對對系統(tǒng)的風(fēng)險險評估成到關(guān)關(guān)鍵的作用;5.實時檢測和響響應(yīng)----網(wǎng)絡(luò)IDS可以在攻擊發(fā)發(fā)生的同時將將其檢測出來來，并進(jìn)行實實時的報警和和響應(yīng)。36NIDSCIDF模型CIDF模型（CommonIntrusionDetectionFrame）組件：事件產(chǎn)生器器（Eventgenerators）事件分析器器（Eventanalyzers）響應(yīng)單元（（Responseunits）事件數(shù)據(jù)庫庫（Eventdatabases）37NIDS部署方式HUBMonitoredServersConsoleIDSSensorsL4或L7交換設(shè)備38主機入侵檢檢測系統(tǒng)（（HIDS）主機入侵檢檢測系統(tǒng)(HIDS)-----在網(wǎng)絡(luò)中所所監(jiān)測的每每臺主機上上都裝有探探測器(工作對象基基于主機)HIDS特點:1.確定攻擊是是否成功---比網(wǎng)絡(luò)IDS更準(zhǔn)確的判判定攻擊是是否成功;2.系統(tǒng)行動監(jiān)監(jiān)視的更好好---對于每一個個用戶(尤其是系統(tǒng)統(tǒng)管理員)上網(wǎng)下網(wǎng)的的信息、連連入網(wǎng)絡(luò)后后的行為和和所受到的的入侵行為為監(jiān)測的更更為詳細(xì)，，記錄的更更準(zhǔn)確;3.能夠檢測到到網(wǎng)絡(luò)IDS檢測不到的的特殊攻擊擊----如某服務(wù)器器上有人直直接對該該機進(jìn)行非非法操作;4.適用于加密密的環(huán)境----在某些特殊殊的加密網(wǎng)網(wǎng)絡(luò)環(huán)境中中，由于網(wǎng)網(wǎng)絡(luò)IDS所需要的網(wǎng)網(wǎng)絡(luò)環(huán)境不不能滿足，，所以在這這種地方應(yīng)應(yīng)用主機IDS就可以完成成這一地方方的監(jiān)測任任務(wù)5.不需要額外外的硬件設(shè)設(shè)備----與網(wǎng)絡(luò)IDS相比，不需需要專用的的硬件檢測測系統(tǒng)，降降低的硬件件成本39IDS部署示意InternetIDS1IDS2IDS3IDS4子網(wǎng)A子網(wǎng)B交換機帶主機IDS感應(yīng)器的服務(wù)器服務(wù)器含HIDS的網(wǎng)絡(luò)體系系結(jié)構(gòu)40IDS檢測技術(shù)簽名分析法法SignatureAnalysis統(tǒng)計分析法法StatisticsAnalysis數(shù)據(jù)完整性性分析法DataIntegrationAnalysis入侵檢測系系統(tǒng)按照其其檢測原理理可以分為為以下類型型：41IDS工作原理－－NIDS抓包從鏈路層抓抓包分析數(shù)據(jù)包包模式匹配EthernetIPTCPEthernetIPTCP協(xié)議分析HTTPUnicodeXML42IDS工作原理－－模式匹配配模式匹配(PatternMatching)效率低---對每一條事事件都要與與事件庫中中的特特征事件進(jìn)進(jìn)行對比，，工作量大大。誤報多---如果兩個攻攻擊事件具具有極其相相近的特征征，在對比比的過程中中容易產(chǎn)生生誤報，而而錯過真實實的問題。。模式匹配舉舉例較早版本的的Sendmail漏洞利用$25WIZshell或者DEBUG#直接獲得rootshell！模式匹配檢查每個packet是否包含：：“WIZ”|“DEBUG””43IDS工作原理－－協(xié)議分析析FrameHeaderIPDatagramHeaderICMP/UDP/TCPHeaderFrameDataAreaIPDataProtocolDataInterfaceLayerInternetLayerTransportLayer44IDS技術(shù)的發(fā)展展方向分布式入侵侵檢測1.針對分布式式攻擊的檢檢測方法2.使用分布式式的方法來來檢測分布布式的攻擊擊，關(guān)鍵技技術(shù)為檢測測信息的協(xié)協(xié)同處理與與入侵攻擊擊的全局信信息提取智能化入侵侵檢測使用智能化化的手法也也實現(xiàn)入侵侵檢測，現(xiàn)現(xiàn)階段常用用的有神經(jīng)經(jīng)網(wǎng)絡(luò)、模模糊算法、、遺傳算法法、免疫原原理等技術(shù)術(shù)全面的安全防防御方案采用安全工程程風(fēng)險管理的的理論也來處處理網(wǎng)絡(luò)安全全問題，將網(wǎng)網(wǎng)絡(luò)安全做為為一個整體工工程來處理，，從管理、網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)、防防火墻、防病病毒、入侵檢檢測、漏洞掃掃描等多方面面對網(wǎng)結(jié)進(jìn)行行安全分析隨著網(wǎng)絡(luò)技術(shù)術(shù)的發(fā)展，還還會有更多新新技術(shù)應(yīng)用到到入侵檢測系系統(tǒng)中來!45IDS產(chǎn)品國外的IDS產(chǎn)品CyberCopMonitor,NAIDragonSensor,EnterasyseTrustID,CANetProwler,SymantecNetRanger,CiscoNID-100/200,NFRSecurityRealSecure,ISSSecureNetPro,I46IDS資源47（四）虛擬專專用網(wǎng)（VPN）VPN網(wǎng)關(guān)VPN的基本概念VPN的功能VPN的分類及用途途VPN常用協(xié)議基于IPSec協(xié)議的VPN體系結(jié)構(gòu)本節(jié)將分以下下幾部分介紹紹VPN網(wǎng)關(guān)：49VPN的基本概念虛擬專用網(wǎng)VPN（VirtualPrivateNetwork）技術(shù)是指在公公共網(wǎng)絡(luò)中建建立專用網(wǎng)絡(luò)絡(luò)，數(shù)據(jù)通過過安全的“加加密管道”在在公共網(wǎng)絡(luò)中中傳播。InternetVPN通道隧道交換機移動用戶VPN的基本概念50VPN必須具備如下下功能：VPN的功能保證數(shù)據(jù)的真真實性，通信信主機必須是是經(jīng)過授權(quán)的的，要有抵抗抗地址冒認(rèn)（（IPSpoofing）的能力。保證數(shù)據(jù)的完完整性，接收收到的數(shù)據(jù)必必須與發(fā)送時時的一致，要要有抵抗不法法分子纂改數(shù)數(shù)據(jù)的能力。。保證通通道的的機密密性，，提供供強有有力的的加密密手段段，必必須使使偷聽聽者不不能破破解攔攔截到到的通通道數(shù)數(shù)據(jù)。。提供動動態(tài)密密鑰交交換功功能，，提供供密鑰鑰中心心管理理服務(wù)務(wù)器，，必須須具備備防止止數(shù)據(jù)據(jù)重演演（Replay））的功能能，保保證通通道不不能被被重演演。提供安安全防防護措措施和和訪問問控制制，要要有抵抵抗黑黑客通通過VPN通道攻攻擊企企業(yè)網(wǎng)網(wǎng)絡(luò)的的能力力，并并且可可以對對VPN通道進(jìn)進(jìn)行訪訪問控控制（（AccessControl））51內(nèi)部部網(wǎng)網(wǎng)VPN———用VPN連接公公司總總部和和其分分支機機構(gòu).遠(yuǎn)程訪訪問VPN———用VPN連接公公司總總部和和遠(yuǎn)程程用戶戶.外聯(lián)聯(lián)網(wǎng)網(wǎng)VPN———用VPN連接公公司和和其業(yè)業(yè)務(wù)伙伙伴.VPN的分類類及用用途子公司LAN合作伙伴LAN遠(yuǎn)程用戶Internet52InternetVPN服務(wù)器VPN服務(wù)器路由器路由器加密信道加密認(rèn)證VPN總部LAN子公司LAN一個安全的VPN服務(wù)，應(yīng)該為子公司的不同用戶指定不同的訪問權(quán)限。VPN的分類類及用用途內(nèi)部網(wǎng)網(wǎng)VPN53InternetVPN服務(wù)器加密信道總部LANVPN的功能：1、訪問控制管理。2、用戶身份認(rèn)證。3、數(shù)據(jù)加密。4、智能監(jiān)視和審計記錄。5、密鑰和數(shù)字簽名管理。PC機移動用戶公共服務(wù)器VPN的分類類及用用途遠(yuǎn)程訪訪問VPN54InternetVPN服務(wù)器VPN服務(wù)器加密信道加密認(rèn)證VPN公司內(nèi)聯(lián)網(wǎng)合作公司內(nèi)聯(lián)網(wǎng)1、VPN服務(wù)應(yīng)有詳細(xì)的訪問控制。2、與防火墻/協(xié)議兼容。FTP服務(wù)器VPN的分類類及用用途外聯(lián)網(wǎng)網(wǎng)VPN55VPN常用協(xié)協(xié)議OSI七層模型安全技術(shù)安全協(xié)議應(yīng)用層表示層應(yīng)用代理會話層傳輸層會話層代理SOCKV5網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層包過濾IPSecPPTP/L2TPVPN常用的的協(xié)議議有SOCKv5、IPSec、PPTP以及L2TP等。這這些協(xié)協(xié)議對對應(yīng)的的OSI層次結(jié)結(jié)構(gòu)如如下：：VPN常用協(xié)協(xié)議56不安全網(wǎng)網(wǎng)關(guān)或主機網(wǎng)關(guān)或主機IP數(shù)據(jù)包傳輸層數(shù)據(jù)應(yīng)用程序IP數(shù)據(jù)包傳輸層數(shù)據(jù)應(yīng)用程序SA加密算法加密密鑰認(rèn)證算法認(rèn)證密鑰SA加密算法加密密鑰認(rèn)證算法認(rèn)證密鑰安全聯(lián)系基于IPSec協(xié)議的的VPN體系結(jié)結(jié)構(gòu)57IPSec協(xié)議IPSec共分四四種模式AH的「傳輸模式」」(TransportMode)AH的「通道模式」」(TunnelMode)、ESP的「傳輸模式」」(TransportMode)ESP的「通通道模模式」」(TunnelMode)58IPSec協(xié)議AH認(rèn)認(rèn)證報報頭操操作模模式IP負(fù)載(IPPayload)AH頭原始IP頭(IPHeader)AH傳輸模式IP負(fù)載(IPPayload)原始IP頭(IPHeader)IPDatagram認(rèn)證IP負(fù)載(IPPayload)原始IP頭(IPHeader)AH頭新的IP頭(NewIPHeader)AH通道模式認(rèn)證59IPSec協(xié)議ESP協(xié)議議操作作模式式加密ESP認(rèn)證ESPTrailerIP負(fù)載(IPPayload)ESPHeader原始IP頭(IPHeader)傳輸模式加密ESP認(rèn)證ESPTrailerIP負(fù)載(IPPayload)(IPHeader)原始IP頭ESPHeader新IP頭通道模式認(rèn)證認(rèn)證60傳輸模模式下下的ESP工作原原理61通道模模式下下的ESP工作原原理62基于IPSec協(xié)議的的VPN原理63VPN產(chǎn)品64（五））漏洞洞評估估漏洞評評估產(chǎn)產(chǎn)品漏洞評評估的的概念念漏洞評評估的的分類類漏洞評評估產(chǎn)產(chǎn)品選選擇原原則常見的的漏洞洞評估估產(chǎn)品品本節(jié)將將分以以下幾幾部分分介紹紹漏洞洞評估估產(chǎn)品品：66漏洞評評估的的概念念基本概概念通過對對系統(tǒng)統(tǒng)進(jìn)行行動態(tài)態(tài)的試試探和和掃描描，找找出系系統(tǒng)中中各類類潛在在的弱弱點，，給出出相應(yīng)應(yīng)的報報告，，建議議采取取相應(yīng)應(yīng)的補補救措措施或或自動動填補補某些些漏洞洞。主要優(yōu)優(yōu)點通過漏漏洞評評估，，網(wǎng)絡(luò)絡(luò)管理理人員員能提提前發(fā)發(fā)現(xiàn)網(wǎng)網(wǎng)絡(luò)系系統(tǒng)的的弱點點和漏漏洞，，防范范于未未然。。67漏洞評評估產(chǎn)產(chǎn)品的的分類類網(wǎng)絡(luò)型型安全全漏洞洞評估估產(chǎn)品品模擬黑黑客行行為，，掃描描網(wǎng)絡(luò)絡(luò)上的的漏洞洞并進(jìn)進(jìn)行評評估主機型型安全全漏洞洞評估估產(chǎn)品品針對操操作系系統(tǒng)的的漏洞洞作更更深入