第十一周防火墻技術

（優(yōu)選）第十一周防火墻技術第章目前一頁\總數(shù)六十五頁\編于十八點2ServerClient防火墻（Firewall）注解：防火墻類似一堵城墻，將服務器與客戶主機進行物理隔離，并在此基礎上實現(xiàn)服務器與客戶主機之間的授權互訪、互通等功能。目前二頁\總數(shù)六十五頁\編于十八點3防火墻技術防火墻是指設置在不同網(wǎng)絡或網(wǎng)絡安全域（公共網(wǎng)和企業(yè)內(nèi)部網(wǎng)）之間的一系列部件的組合。它是不同網(wǎng)絡（安全域）之間的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡的信息流，且本身具有很高的抗攻擊能力，它是提供信息安全服務，實現(xiàn)網(wǎng)絡和信息安全的基礎設施?；竟ぷ髟硎窃诳尚湃尉W(wǎng)絡的邊界上建立起網(wǎng)絡控制系統(tǒng)隔離內(nèi)部和外部網(wǎng)絡執(zhí)行訪問控制策略防止外部的未授權節(jié)點訪問內(nèi)部網(wǎng)絡和非法向外傳遞內(nèi)部信息目前三頁\總數(shù)六十五頁\編于十八點防火墻基本功能模塊應用程序代理包過濾&狀態(tài)檢測用戶認證NATVPN日志IDS與報警內(nèi)容過濾防火墻技術目前四頁\總數(shù)六十五頁\編于十八點5防火墻相關概念堡壘主機：是指一個計算機系統(tǒng)，它對外部網(wǎng)絡（互聯(lián)網(wǎng)絡）暴露，同時又是內(nèi)部網(wǎng)絡用戶的主要連接點，所以非常容易被侵入，因此這個系統(tǒng)需要嚴加保護。雙宿主主機：具有至少兩個網(wǎng)絡接口的通用計算機系統(tǒng)。包過濾：設備對進出網(wǎng)絡的數(shù)據(jù)流進行有選擇的控制與操作。參數(shù)網(wǎng)絡：為了增加一層安全控制，而在外部網(wǎng)絡與內(nèi)部網(wǎng)絡之間增加的一個網(wǎng)絡。參數(shù)網(wǎng)絡有時也被稱為?；饚?。代理服務器：代表內(nèi)部網(wǎng)絡用戶與外部網(wǎng)絡服務器進行信息交換的程序。它將內(nèi)部用戶的請求送達外部服務器，同時將外部服務器的響應再回送給用戶。目前五頁\總數(shù)六十五頁\編于十八點6防火墻的分類按實現(xiàn)設備分類軟件防火墻、硬件防火墻、芯片級防火墻按網(wǎng)絡體系結(jié)構(gòu)分類工作在OSI參考模型中的不同位置最常見：網(wǎng)絡層：包過濾防火墻應用層：代理服務器按應用技術分類包過濾防火墻、代理服務器、電路級網(wǎng)關按拓撲結(jié)構(gòu)分類雙宿主主機防火墻、屏蔽主機防火墻、屏蔽子網(wǎng)防火墻。目前六頁\總數(shù)六十五頁\編于十八點7防火墻技術內(nèi)容－分組過濾應用層表示層會話層傳輸層網(wǎng)絡層數(shù)據(jù)鏈路層物理層物理層數(shù)據(jù)鏈路層網(wǎng)絡層應用層表示層會話層傳輸層網(wǎng)絡層數(shù)據(jù)鏈路層物理層外部網(wǎng)絡主機內(nèi)部網(wǎng)絡主機分組過濾型防火墻目前七頁\總數(shù)六十五頁\編于十八點包過濾模型

包過濾防火墻目前八頁\總數(shù)六十五頁\編于十八點9包過濾防火墻工作在網(wǎng)絡層（IP

層）根據(jù)過濾規(guī)則和安全策略，逐個檢查IP

包（TCP包、UDP包），確定是否允許通過優(yōu)點對應用透明，合法建立的連接不被中斷。速度快、效率高。安全性級別低：不能識別高層信息、容易受到欺騙配置簡單，但要求有一定專業(yè)知識例子：只允許telnet的出站規(guī)則類比：天網(wǎng)個人防火墻、金山網(wǎng)鏢的包過濾規(guī)則天網(wǎng)個人防火墻中的IP規(guī)則及規(guī)則的設置界面目前九頁\總數(shù)六十五頁\編于十八點包過濾一般要檢查下面幾項：（1）IP源地址；（2）IP目的地址；（3）協(xié)議類型（TCP包、UDP包和ICMP包）；（4）TCP或UDP的源端口；（5）TCP或UDP的目的端口；（6）ICMP消息類型；（7）TCP報頭中的ACK位。另外，TCP的序列號、確認號，IP校驗以及分段偏移也往往是要檢查的選項。包過濾防火墻目前十頁\總數(shù)六十五頁\編于十八點11規(guī)則原則按地址過濾；按服務過濾。防火墻的規(guī)則動作有以下幾種類型：通過（accept）

允許IP包通過防火墻傳輸。放棄（deny）

不允許IP包通過防火墻傳輸，但僅僅丟棄，不做任何響應。拒絕（reject）

不允許IP包通過防火墻傳輸，并向源端發(fā)送目的主機不可達的ICMP報文。返回（return）

沒有發(fā)現(xiàn)匹配的規(guī)則，省缺動作。包過濾防火墻目前十一頁\總數(shù)六十五頁\編于十八點12天網(wǎng)防火墻舉例目前十二頁\總數(shù)六十五頁\編于十八點包過濾操作過程：(1)包過濾規(guī)則必須被存儲在包過濾設備的端口；(2)當數(shù)據(jù)包在端口到達時，包頭被提取，同時包過濾設備檢查IP、TCP、UDP等包頭中的信息；(3)包過濾規(guī)則以特定的次序被存儲，每一規(guī)則按照被存儲的次序作用于包；(4)如果一條規(guī)則允許傳輸，包就被通過；如果一條規(guī)則阻止傳輸，包就被棄掉或進入下一條規(guī)則。包過濾防火墻目前十三頁\總數(shù)六十五頁\編于十八點包過濾防火墻第一代：靜態(tài)包過濾根據(jù)定義好的過濾規(guī)則審查每個數(shù)據(jù)包，以便確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則基于數(shù)據(jù)包的報頭信息進行制訂。包括IP源地址、IP目標地址、傳輸協(xié)議(TCP、UDP、ICMP等等)、TCP/UDP目標端口、ICMP消息類型等。包過濾類型的防火墻要遵循的一條基本原則是“最小特權原則”，即明確允許那些管理員希望通過的數(shù)據(jù)包，禁止其他的數(shù)據(jù)包。目前十四頁\總數(shù)六十五頁\編于十八點15靜態(tài)包過濾無法過濾服務對于一些比較新的多媒體應用在會話開始之前端口號是未知的。例如，Web服務器默認端口為80，而計算機上又安裝了RealPlayer，那么它會搜尋可以允許連接到RealAudio服務器的端口，而不管這個端口是否被其他協(xié)議所使用，RealPlayer正好是使用80端口而搜尋的。就這樣無意中，RealPlayer就利用了Web服務器的端口。包過濾防火墻目前十五頁\總數(shù)六十五頁\編于十八點第二代：動態(tài)包過濾即包狀態(tài)監(jiān)測（StatefulInspection）技術。采用這種技術的防火墻對通過其建立的每一個連接都進行跟蹤狀態(tài)包檢測模式增加了更多的包和包之間的安全上下文檢查，以達到與應用級代理防火墻相類似的安全性能。狀態(tài)包檢測防火墻在網(wǎng)絡層攔截輸入包，并利用足夠的企圖連接的狀態(tài)信息做出決策。根據(jù)需要可動態(tài)地在過濾規(guī)則中增加或更新。包過濾防火墻目前十六頁\總數(shù)六十五頁\編于十八點優(yōu)點安全性相比靜態(tài)包過濾技術要高，提升了防火墻的性能狀態(tài)檢測機制可以區(qū)分連接的發(fā)起方與接收方可以通過狀態(tài)分析阻斷更多的復雜攻擊行為，可以通過分析打開相應的端口而不是“一刀切”工作在協(xié)議棧的較低層，通過防火墻的所有數(shù)據(jù)包都在低層處理，不需要協(xié)議棧的上層來處理數(shù)據(jù)包，減少了高層協(xié)議的開銷執(zhí)行效率高。通過已知合法數(shù)據(jù)包的模式來比較進出數(shù)據(jù)包，比應用級代理在過濾數(shù)據(jù)包上更加有效；缺點主要工作在網(wǎng)絡層和傳輸層，對報文的數(shù)據(jù)部分檢查很少，安全性還不夠高。對高層協(xié)議棧內(nèi)容有足夠的能見度較低。檢查內(nèi)容多，對防火墻性能提出了更高的要求包過濾防火墻目前十七頁\總數(shù)六十五頁\編于十八點18防火墻技術內(nèi)容－應用代理應用層表示層會話層傳輸層網(wǎng)絡層數(shù)據(jù)鏈路層物理層物理層數(shù)據(jù)鏈路層網(wǎng)絡層應用層表示層會話層傳輸層網(wǎng)絡層數(shù)據(jù)鏈路層物理層外部網(wǎng)絡主機內(nèi)部網(wǎng)絡主機應用代理型防火墻應用層表示層會話層傳輸層目前十八頁\總數(shù)六十五頁\編于十八點19代理服務器型防火墻代理服務器:ProxyServer.每個代理服務器都有所支持的協(xié)議HttpProxy,Socket4/5Proxy,FtpProxy等等代理服務器的應用模式工作在應用層，根據(jù)規(guī)則為客戶請求建立新的服務連接，或拒絕服務連接要求從網(wǎng)絡層切斷了內(nèi)外網(wǎng)絡之間的連通性，安全性大大提高。能夠識別高層協(xié)議信息，進行高層協(xié)議過濾。對應用不透明，客戶端需要重新配置（如IE、QQ、CuteFTP）速度較慢、效率低。目前十九頁\總數(shù)六十五頁\編于十八點代理的工作方式雙向通信必須經(jīng)過應用代理，禁止IP直接轉(zhuǎn)發(fā)；只允許本地安全策略允許的通信信息通過；代理服務目前二十頁\總數(shù)六十五頁\編于十八點21防火墻技術內(nèi)容－應用代理(cont.)外部Telnet服務器內(nèi)部Telnet服務器日志系統(tǒng)Telnet代理FTP代理認證系統(tǒng)應用網(wǎng)關一個Telnet代理的例子目前二十一頁\總數(shù)六十五頁\編于十八點22一個Telnet應用代理的過程用戶首先Telnet到應用網(wǎng)關主機，并輸入內(nèi)部目標主機的名字（域名、IP地址）應用網(wǎng)關檢查用戶的源IP地址等，并根據(jù)事先設定的訪問規(guī)則來決定是否轉(zhuǎn)發(fā)或拒絕然后用戶必須進行是否驗證（如一次一密等高級認證設備）應用網(wǎng)關中的代理服務器為用戶建立在網(wǎng)關與內(nèi)部主機之間的Telnet連接代理服務器在兩個連接（用戶/應用網(wǎng)關，代理服務器/內(nèi)部主機）之間傳送數(shù)據(jù)應用網(wǎng)關對本次連接進行日志記錄防火墻技術內(nèi)容－應用代理(cont.)目前二十二頁\總數(shù)六十五頁\編于十八點代理防火墻第一代：代理防火墻代理防火墻也叫應用層網(wǎng)關（ApplicationGateway）防火墻。這種防火墻通過一種代理（Proxy）技術參與到一個TCP連接的全過程。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻處理后，就好像是源于防火墻外部網(wǎng)卡一樣，從而可以達到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用。這種類型的防火墻被網(wǎng)絡安全專家和媒體公認為是最安全的防火墻。它的核心技術就是代理服務器技術。目前二十三頁\總數(shù)六十五頁\編于十八點代理防火墻第二代：自適應代理防火墻自適應代理技術（Adaptiveproxy）是最近在商業(yè)應用防火墻中實現(xiàn)的一種革命性的技術。它可以結(jié)合代理類型防火墻的安全性和包過濾防火墻的高速度等優(yōu)點組成這種類型防火墻的基本要素有兩個：自適應代理服務器（AdaptiveProxyServer）與動態(tài)包過濾器（DynamicPacketfilter）。在自適應代理與動態(tài)包過濾器之間存在一個控制通道?；镜陌踩珯z測仍在應用層進行；但一旦安全檢測代理明確了會話的所有細節(jié)，那么其后的數(shù)據(jù)包就可以直接經(jīng)過速度更快的網(wǎng)絡層。自適應代理就可以根據(jù)用戶的配置信息，決定是使用代理服務從應用層代理請求還是從網(wǎng)絡層轉(zhuǎn)發(fā)包。如果是后者，它將動態(tài)地通知包過濾器增減過濾規(guī)則，滿足用戶對速度和安全性的雙重要求。目前二十四頁\總數(shù)六十五頁\編于十八點25電路級網(wǎng)關工作在傳輸層。它在兩個主機首次建立TCP連接時創(chuàng)立一個電子屏障，建立兩個TCP連接。一旦兩個連接建立起來，網(wǎng)關從一個連接向另一個連接轉(zhuǎn)發(fā)數(shù)據(jù)包，而不檢查內(nèi)容。也稱為通用代理，統(tǒng)一的代理應用程序，各協(xié)議可透明地通過通用代理防火墻。電路級網(wǎng)關實現(xiàn)的典型例子是SOCKS軟件包，是DavidKoblas在1990年開發(fā)的。目前二十五頁\總數(shù)六十五頁\編于十八點電路級網(wǎng)關起一定的代理服務作用，它監(jiān)視兩主機建立連接時的握手信息，從而判斷該會話請求是否合法，一旦會話連接有效，該網(wǎng)關僅復制、傳遞數(shù)據(jù)。在IP層代理各種高層會話，具有隱藏內(nèi)部網(wǎng)絡信息的能力，且透明性高；但由于其對會話建立后所傳輸?shù)木唧w內(nèi)容不再作進一步地分析，因此安全性稍低。電路級網(wǎng)關防火墻目前二十六頁\總數(shù)六十五頁\編于十八點27電路級網(wǎng)關不允許進行端點到端點的TCP連接，而是建立兩個TCP連接：一個在網(wǎng)關和內(nèi)部主機上的TCP用戶程序之間，另一個在網(wǎng)關和外部主機的TCP用戶程序之間。一旦建立兩個連接，只是把TCP數(shù)據(jù)包從一個連接轉(zhuǎn)送到另一個連接中去而不檢驗其中的內(nèi)容。其安全功能就是確定哪些連接是允許的。和包過濾型防火墻有一個共同特點，都是依靠特定的邏輯來判斷是否允許數(shù)據(jù)包通過；但包過濾型防火墻允許內(nèi)外計算機系統(tǒng)建立直接聯(lián)系，而電路級網(wǎng)關無法IP直達。目前二十七頁\總數(shù)六十五頁\編于十八點

利用SOCKSv5所具有的強大而靈活的協(xié)議框架，例如透明的網(wǎng)絡訪問、容易支持認證和加密方法、快速開發(fā)新的網(wǎng)絡應用、簡化網(wǎng)絡安全策略管理和支持雙向代理等。電路級網(wǎng)關防火墻目前二十八頁\總數(shù)六十五頁\編于十八點29三種防火墻技術安全功能比較

源地址目的地址用戶身份數(shù)據(jù)內(nèi)容包過濾YYNN應用代理YYY（Proxy認證）P電路級網(wǎng)關YYYN目前二十九頁\總數(shù)六十五頁\編于十八點30雙宿主主機結(jié)構(gòu)防火墻核心是具有雙宿主功能的主機。至少有兩個網(wǎng)絡接口（內(nèi)網(wǎng)、外網(wǎng)），充當路由器。不允許兩網(wǎng)之間的直接發(fā)送功能。僅僅能通過防火墻所在主機上的內(nèi)部代理或讓用戶直接登陸到雙宿主主機來提供服務（即作為該主機的一個遠程用戶，繞過防火墻）提供高級別的安全控制。問題：用戶賬號本身會帶來明顯的安全問題，會允許某種不安全的服務；通過登陸來使用因特網(wǎng)太麻煩。目前三十頁\總數(shù)六十五頁\編于十八點31雙宿主主機結(jié)構(gòu)防火墻目前三十一頁\總數(shù)六十五頁\編于十八點32屏蔽主機防火墻主要的安全機制由屏蔽路由器來提供包過濾，只允許外部訪問堡壘主機的IP包通過堡壘主機位于內(nèi)部網(wǎng)絡上，是外部能訪問的惟一的內(nèi)部網(wǎng)絡主機（而看不到內(nèi)部網(wǎng)絡其它部分）因此，堡壘主機需要保持更高的安全等級內(nèi)部網(wǎng)的其它主機可自由訪問外網(wǎng)目前三十二頁\總數(shù)六十五頁\編于十八點33屏蔽主機防火墻目前三十三頁\總數(shù)六十五頁\編于十八點34屏蔽主機防火墻優(yōu)點：外部網(wǎng)對內(nèi)部網(wǎng)的可控訪問適合于向外提供網(wǎng)絡服務的系統(tǒng)問題：如果路由器被破壞，整個網(wǎng)絡對侵襲者是開放的。如堡壘主機被侵，內(nèi)部網(wǎng)絡的主機失去任何的安全保護。配置復雜目前三十四頁\總數(shù)六十五頁\編于十八點下面來看一下路由器不被正常路由的情況，這會降低系統(tǒng)的安全性。下圖顯示了正常的路由情況，路由器的路由表指向堡壘主機。內(nèi)部網(wǎng)絡號是，堡壘主機的IP地址為，路由表的內(nèi)容為：目的：這樣，網(wǎng)絡上所有的流量都被轉(zhuǎn)發(fā)到堡壘主機上。屏蔽主機防火墻目前三十五頁\總數(shù)六十五頁\編于十八點圖正常的路由情況屏蔽主機防火墻目前三十六頁\總數(shù)六十五頁\編于十八點下圖顯示了路由表被破壞的情形，堡壘主機的路由項目被從路由表中刪除，這樣，進入屏蔽路由器的流量就不會被轉(zhuǎn)發(fā)到堡壘主機上，可能被轉(zhuǎn)發(fā)到另一主機上，即外部主機直接訪問了內(nèi)部主機而繞過了防火墻。在這種情況下，過濾路由器成了惟一的防線，在前面講過屏蔽路由器的安全性較差，這樣入侵者就很容易突破屏蔽路由器，內(nèi)部網(wǎng)絡也就處于危險之中了。屏蔽主機防火墻目前三十七頁\總數(shù)六十五頁\編于十八點圖路由表被破壞的情形屏蔽主機防火墻目前三十八頁\總數(shù)六十五頁\編于十八點39屏蔽子網(wǎng)防火墻添加額外的安全層：周邊網(wǎng)，將內(nèi)部網(wǎng)與因特網(wǎng)進一步隔開。周邊網(wǎng)即：非軍事化區(qū)，提供附加的保護層，入侵者如侵入周邊網(wǎng)，可防止監(jiān)聽（sniffer）內(nèi)部網(wǎng)的通信（竊取密碼），不會損傷內(nèi)部網(wǎng)的完整性。周邊網(wǎng)上的主機主要通過主機安全來保證其安全性。屏蔽子網(wǎng)防火墻使用了兩個屏蔽路由器，消除了內(nèi)部網(wǎng)絡的單一侵入點，增強了安全性。兩個屏蔽路由器的規(guī)則設置的側(cè)重點不同。外部路由器只允許外部流量進入，內(nèi)部路由器只允許內(nèi)部流量進入。目前三十九頁\總數(shù)六十五頁\編于十八點40屏蔽子網(wǎng)防火墻目前四十頁\總數(shù)六十五頁\編于十八點41三種防火墻拓撲結(jié)構(gòu)的區(qū)別三者的區(qū)別在于：內(nèi)網(wǎng)與外網(wǎng)的數(shù)據(jù)連接“鴻溝”雙宿主主機：在一臺主機上屏蔽主機：一層屏蔽路由器屏蔽子網(wǎng)：兩層屏蔽路由器目前四十一頁\總數(shù)六十五頁\編于十八點42防火墻體系結(jié)構(gòu)的種種變化和組合

1）使用多堡壘主機

目前四十二頁\總數(shù)六十五頁\編于十八點432）合并內(nèi)外部由器

防火墻體系結(jié)構(gòu)的種種變化和組合

目前四十三頁\總數(shù)六十五頁\編于十八點443）合并堡壘主機和外部路由器

防火墻體系結(jié)構(gòu)的種種變化和組合

目前四十四頁\總數(shù)六十五頁\編于十八點454）將堡壘主機與內(nèi)部路由器合并

防火墻體系結(jié)構(gòu)的種種變化和組合

目前四十五頁\總數(shù)六十五頁\編于十八點465）采用多內(nèi)部路由器結(jié)構(gòu)

防火墻體系結(jié)構(gòu)的種種變化和組合

目前四十六頁\總數(shù)六十五頁\編于十八點475）采用多內(nèi)部路由器結(jié)構(gòu)－多個內(nèi)部網(wǎng)防火墻體系結(jié)構(gòu)的種種變化和組合

目前四十七頁\總數(shù)六十五頁\編于十八點486）使用多外部路由器

防火墻體系結(jié)構(gòu)的種種變化和組合

目前四十八頁\總數(shù)六十五頁\編于十八點49內(nèi)部防火墻

試驗網(wǎng)絡

目前四十九頁\總數(shù)六十五頁\編于十八點50防火墻核心技術－－網(wǎng)絡地址轉(zhuǎn)換（NAT）作用：按內(nèi)部定義，將原包中的IP地址“翻譯”成內(nèi)部使用地址目的：解決IP地址空間不夠問題；向外界隱藏內(nèi)部網(wǎng)結(jié)構(gòu)實現(xiàn)真正的動態(tài)均衡（通常會緩存IP）方式：靜態(tài)NAT，簡單的地址翻譯（一一對應）端口NAT，多個內(nèi)部網(wǎng)地址翻譯到一個IP地址多對一翻譯，不同的內(nèi)部網(wǎng)地址在外部用“公用IP：端口”的形式表示NAT池，M個內(nèi)部地址翻譯到N個外部IP地址池目前五十頁\總數(shù)六十五頁\編于十八點51網(wǎng)絡地址轉(zhuǎn)換原理目前五十一頁\總數(shù)六十五頁\編于十八點52利用NAT實現(xiàn)負載均衡（附加功能）目前五十二頁\總數(shù)六十五頁\編于十八點實現(xiàn)NAT的地址映射有許多方法：使用靜態(tài)地址分配(StaticTranslation，也稱為端口轉(zhuǎn)發(fā)，PortForwarding)，它們用NAT為內(nèi)部網(wǎng)絡的客戶綁定一個固定IP地址。使用動態(tài)地址分配(DynamicTranslation，也稱為自動模式，隱藏模式或IP偽裝)的NAT為訪問外部網(wǎng)絡的客戶分配一個IP地址。在客戶會話結(jié)束，或者超過某一時限后，合法的外部網(wǎng)絡地址會返回到地址池，等待下次分配，實現(xiàn)IP地址的復用。NAT可以工作在單向方式，當初始化外出的會話時，NAT為內(nèi)部網(wǎng)絡客戶分配一個網(wǎng)絡地址。它也可以工作在雙向方式，以便進入的目的IP地址可以被修改，從而發(fā)送數(shù)據(jù)包到處于內(nèi)部網(wǎng)絡的服務器。利用NAT實現(xiàn)負載均衡（附加功能）目前五十三頁\總數(shù)六十五頁\編于十八點54其他防火墻分布式防火墻打破物理拓撲結(jié)構(gòu)集中定義策略（劃分內(nèi)外網(wǎng)），分布執(zhí)行目前五十四頁\總數(shù)六十五頁\編于十八點VPN概述VPNVirtualPrivateNetwork的縮寫，是將物理分布在不同地點的網(wǎng)絡通過公用骨干網(wǎng)，尤其是Internet連接而成的邏輯上的虛擬子網(wǎng)。為了保障信息的安全，VPN技術采用了鑒別、訪問控制、保密性、完整性等措施，以防止信息被泄露、篡改和復制?！胺瓑Α笔侵竿ㄟ^建立VPN的隧道或者通過訪問代理服務器的方法目前五十五頁\總數(shù)六十五頁\編于十八點VPN概述VPN具體實現(xiàn)是采用隧道技術,將企業(yè)網(wǎng)的數(shù)據(jù)封裝在隧道中進行傳輸。隧道協(xié)議可分為第二層隧道協(xié)議：點對點隧道協(xié)議PPTP（Point-to-PointTunnelingProtocol）、第二層轉(zhuǎn)發(fā)協(xié)議L2F(Layer2Forwarding)、第二層隧道協(xié)議L2TP(Layer2TunnelingProtocol)第三層隧道協(xié)議：通用路由封裝GRE(GenericRoutingEncapsulation)、IPSec(IPSecurity)。它們的本質(zhì)區(qū)別在于用戶的數(shù)據(jù)包是被封裝在哪種數(shù)據(jù)包中在隧道中傳輸?shù)?。目前五十六頁\總數(shù)六十五頁\編于十八點PPTPvsL2TP聯(lián)系：PPTP和L2TP都使用PPP協(xié)議對數(shù)據(jù)進行封裝，然后添加附加包頭用于數(shù)據(jù)在互聯(lián)網(wǎng)絡上的傳輸。區(qū)別：1）PPTP要求互聯(lián)網(wǎng)絡為IP網(wǎng)絡。L2TP只要求隧道媒介提供面向數(shù)據(jù)包的點對點的連接。L2TP可以在IP（使用UDP），楨中繼永久虛擬電路（PVCs），X.25虛擬電路（VCs）或ATMVCs網(wǎng)絡上使用。2）PPTP只能在兩端點間建立單一隧道。L2TP支持在兩端點間使用多隧道。使用L2TP，用戶可以針對不同的服務質(zhì)量創(chuàng)建不同的隧道。3）L2TP可以提供包頭壓縮。。4）L2TP可以提供隧道驗證，而PPTP不支持隧道驗證。。PPTP和L2TF端點用戶需要在連接前手工建立加密信道。認證和加密受到限制，沒有強加密和認證支持。VPN概述將L2TP和IPSec結(jié)合起來:用L2TP作為隧道協(xié)議，用IPSec協(xié)議保護數(shù)據(jù)。目前，市場上大部分VPN采用這類技術。目前五十七頁\總數(shù)六十五頁\編于十八點IPSECvsMPLSVPN概述IPsecVPNMPLSVPN服務模式高速Internet服務、商業(yè)質(zhì)量的IP服務、電子商務和應用主機托管服務高速Internet服務、商業(yè)質(zhì)量的IP服務、電子商務和應用主機托管服務可伸縮性大規(guī)模部署需要制定相應計劃并且協(xié)同解決關鍵分支機構(gòu)、關鍵管理和對等配置各個方面出現(xiàn)的問題由于不需要站點對站點的對等性而具有高度的可伸縮性。典型的MPLS-VPN部署能夠支持在同一網(wǎng)絡上部署上萬個VPN組網(wǎng)絡位置本地環(huán)路、網(wǎng)絡邊緣或者遠離存在加密數(shù)據(jù)較高曝光性的網(wǎng)絡位置最佳，此類地點最適合采用隧道和加密等IPsec安全機制在服務供應商的核心網(wǎng)絡最佳，此地QoS、流量工程和帶寬利用可以得到完全地控制，如果服務供應商的VPN服務提供SLA或者服務級保證（SLG），那么這一情況下的VPN服務更應該配置在網(wǎng)絡核心。特點只支持IP協(xié)議MPLSVPN并未提供加密、認證等安全機制目前五十八頁\總數(shù)六十五頁\編于十八點IPSECvsSSL1、IPsecVPN多用于“網(wǎng)—網(wǎng)”連接，SSLVPN用于“移動客戶—網(wǎng)”連接。SSLVPN的移動用戶使用標準的瀏覽器，無需安裝客戶端程序，即可通過SSLVPN隧道接入內(nèi)部網(wǎng)絡；而IPSecVPN的移動用戶需要安裝專門的IPSec客戶端軟件。2、IPsecVPN對所有的IP應用均透明；而SSLVPN保護基于Web的應用更有優(yōu)勢。3、SSLVPN用戶不受上網(wǎng)方式限制，SSLVPN隧道可以穿透Firewall；而IPSec客戶端需要支持“NAT穿透”功能才能穿透Firewall，而且需要Firewall打開UDP500端口。4、SSLVPN只需要維護中心節(jié)點的網(wǎng)關設備，客戶端免維護，降低了部署和支持費用。而IPSecVPN需要管理通訊的每個節(jié)點，網(wǎng)管專業(yè)性較強。5、SSLVPN更容易提供細粒度訪問控制，可以對用戶的權限、資源、服務、文件進行更加細致的控制，與第三方認證系統(tǒng)（如radius）結(jié)合更加便捷。而IPSecVPN主要基于IP五元組對用戶進行訪問控制。IT主管利用IPsecVPN實現(xiàn)網(wǎng)絡層接入，進行網(wǎng)絡管理。其他人員要訪問的資源有限，一般也就是電子郵件、傳真，以及接入公司內(nèi)部網(wǎng)（Web瀏覽），因而采用SSL方案。

VPN概述目前五十九頁\總數(shù)六十五頁\編于十八點練習：Windows防火墻1、可以從安全中