信息安全技術(shù)（HCIA-Security）（微課版）（第2版） 課件 第11、12章 數(shù)據(jù)傳輸與驗證安全、VPN技術(shù)應(yīng)用

加密與解密原理網(wǎng)絡(luò)空間不是“法外之地”。網(wǎng)絡(luò)空間是虛擬的，但運用網(wǎng)絡(luò)空間的主體是真實存在的，大家都應(yīng)該遵守法律，明確各方的權(quán)利和義務(wù)。文字學(xué)習(xí)王小云：全球密碼學(xué)界傳奇拓展主題愛國主義、科技強國、技能強國在Internet的傳輸中，基于TCP/IP協(xié)議棧封裝的數(shù)據(jù)是明文傳輸?shù)?，這樣就會存在很多潛在的危險。比如：密碼、銀行帳戶的信息被竊取、篡改，用戶的身份被冒充，遭受網(wǎng)絡(luò)惡意攻擊等。網(wǎng)絡(luò)中應(yīng)用加解密技術(shù)，可對傳輸?shù)臄?shù)據(jù)進行保護處理，降低信息泄漏的風險。學(xué)完本課程后，您將能夠：描述加解密的發(fā)展歷程描述不同加解密的過程掌握加解密算法的原理描述PKI證書體系架構(gòu)掌握PKI證書體系工作機制加密技術(shù)發(fā)展加解密技術(shù)原理加解密常見算法數(shù)字證書PKI體系架構(gòu)PKI工作機制加密技術(shù)加密是利用數(shù)學(xué)方法將明文（需要被隱蔽的數(shù)據(jù)）轉(zhuǎn)換為密文（不可讀的數(shù)據(jù)）從而達到保護數(shù)據(jù)的目的。密鑰K信息密文C信息明文PC=En(K,

P)加密技術(shù)作用加密技術(shù)保密性鑒別性抗抵賴性完整性加密技術(shù)發(fā)展史Scytale凱撒密碼雙軌算法密碼機加密技術(shù)發(fā)展加解密技術(shù)原理加解密常見算法數(shù)字證書PKI體系架構(gòu)PKI工作機制加密技術(shù)分類對稱加密又稱為共享密鑰加密，它使用同一個密鑰對數(shù)據(jù)進行加密和解密。非對稱加密加解密使用兩個不同的密鑰，私鑰用來保護數(shù)據(jù)，公鑰則由同一系統(tǒng)的人公用，用來檢驗信息及其發(fā)送者的真實性和身份。密鑰：公鑰&私鑰。對稱加密算法對稱密鑰對稱密鑰加密解密對稱密鑰對稱密鑰⑥④①②③⑤非對稱加密算法乙的公鑰乙的私鑰乙的公鑰乙的私鑰加密解密⑥④①②③⑤缺點優(yōu)點對稱和非對稱加密比較密鑰分發(fā)問題加解密速度快加解密對速度敏感密鑰安全性高對稱加密非對稱加密數(shù)據(jù)加密-

數(shù)字信封乙的私鑰乙的公鑰對稱密鑰對稱密鑰對稱密鑰對稱密鑰對稱密鑰乙的公鑰乙的私鑰加密加密解密解密⑥④①②③⑤⑦⑧⑨⑩⑦數(shù)據(jù)驗證

-數(shù)字簽名乙的私鑰乙的公鑰甲的私鑰甲的公鑰指紋指紋指紋乙的公鑰乙的私鑰甲的私鑰甲的公鑰加密HashHash數(shù)字簽名數(shù)字簽名加密解密解密指紋一致，接收報文；指紋不一致，丟棄報文。⑥④①②③⑤⑦⑧⑨⑩⑧????加密技術(shù)發(fā)展加解密技術(shù)原理加解密常見算法數(shù)字證書PKI體系架構(gòu)PKI工作機制對稱加密算法流加密算法RC4分組加密算法DES3DESAESIDEARC2，RC5，RC6SM1，SM4非對稱加密算法非對稱加密算法DHRSADSA散列算法散列算法：把任意長度的輸入變換成固定長度的輸出。常見散列算法MD5（MessageDigestAlgorithm5）SHA（SecureHashAlgorithm）SM3（SeniorMiddle3）加密技術(shù)發(fā)展加解密技術(shù)原理加解密常見算法數(shù)字證書PKI體系架構(gòu)PKI工作機制數(shù)字證書數(shù)字證書簡稱證書，它是一個經(jīng)證書授權(quán)中心（即在PKI中的證書認證機構(gòu)CA）數(shù)字簽名的文件，包含擁有者的公鑰及相關(guān)身份信息。數(shù)字證書可以說是Internet上的安全護照或身份證。當人們到其他國家旅行時，用護照可以證實其身份，并被獲準進入這個國家。數(shù)字證書提供的是網(wǎng)絡(luò)上的身份證明。數(shù)字證書技術(shù)解決了數(shù)字簽名技術(shù)中無法確定公鑰是指定擁有者的問題。數(shù)字證書證書有四種類型自簽名證書：又稱為根證書，是自己頒發(fā)給自己的證書，即證書中的頒發(fā)者和主體名相同。申請者無法向CA申請本地證書時，可以通過設(shè)備生成自簽名證書，可以實現(xiàn)簡單證書頒發(fā)功能。設(shè)備不支持對其生成的自簽名證書進行生命周期管理（如證書更新、證書撤銷等）。設(shè)備本地證書：設(shè)備根據(jù)CA證書給自己頒發(fā)的證書，證書中的頒發(fā)者名稱是CA服務(wù)器的名稱。申請者無法向CA申請本地證書時，可以通過設(shè)備生成設(shè)備本地證書，可以實現(xiàn)簡單證書頒發(fā)功能。數(shù)字證書證書有四種類型CA證書：CA自身的證書。如果PKI系統(tǒng)中沒有多層級CA，CA證書就是自簽名證書；如果有多層級CA，則會形成一個CA層次結(jié)構(gòu)，最上層的CA是根CA，它擁有一個CA“自簽名”的證書。申請者通過驗證CA的數(shù)字簽名從而信任CA，任何申請者都可以得到CA的證書（含公鑰），用以驗證它所頒發(fā)的本地證書。本地證書：CA頒發(fā)給申請者的證書。證書結(jié)構(gòu)最簡單的證書包含一個公鑰、名稱以及證書授權(quán)中心的數(shù)字簽名。證書結(jié)構(gòu)一般情況下證書中還包括密鑰的有效期，頒發(fā)者（證書授權(quán)中心）的名稱，該證書的序列號等信息，證書的結(jié)構(gòu)遵循X.509v3版本的規(guī)范。證書內(nèi)容中各字段含義版本：即使用X.509的版本，目前普遍使用的是v3版本（0x2）。序列號：頒發(fā)者分配給證書的一個正整數(shù)，同一頒發(fā)者頒發(fā)的證書序列號各不相同，可用與頒發(fā)者名稱一起作為證書唯一標識。簽名算法：頒發(fā)者頒發(fā)證書使用的簽名算法。證書結(jié)構(gòu)頒發(fā)者：頒發(fā)該證書的設(shè)備名稱，必須與頒發(fā)者證書中的主體名一致。通常為CA服務(wù)器的名稱。有效期：包含有效的起、止日期，不在有效期范圍的證書為無效證書。主體名：證書擁有者的名稱，如果與頒發(fā)者相同則說明該證書是一個自簽名證書。公鑰信息：用戶對外公開的公鑰以及公鑰算法信息。擴展信息：通常包含了證書的用法、CRL的發(fā)布地址等可選字段。簽名：頒發(fā)者用私鑰對證書信息的簽名。證書格式設(shè)備支持三種文件格式保存證書。格式描述PKCS#12以二進制格式保存證書，可以包含私鑰，也可以不包含私鑰。常用的后綴有：.P12和.PFX。DER以二進制格式保存證書，不包含私鑰。常用的后綴有：.DER、.CER和.CRT。PEM以ASCII碼格式保存證書，可以包含私鑰，也可以不包含私鑰。常用的后綴有：.PEM、.CER和.CRT。加密技術(shù)發(fā)展加解密技術(shù)原理加解密常見算法數(shù)字證書PKI體系架構(gòu)PKI工作機制PKI必要性PKI基本概念公鑰基礎(chǔ)設(shè)施PKI（PublicKeyInfrastructure），是一種遵循既定標準的證書管理平臺，它利用公鑰技術(shù)能夠為所有網(wǎng)絡(luò)應(yīng)用提供安全服務(wù)。PKI技術(shù)是信息安全技術(shù)的核心，也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。PKI體系架構(gòu)一個PKI體系由終端實體、證書認證機構(gòu)、證書注冊機構(gòu)和證書/CRL存儲庫四部分共同組成。PKI體系架構(gòu)終端實體EE（EndEntity）：也稱為PKI實體，它是PKI產(chǎn)品或服務(wù)的最終使用者，可以是個人、組織、設(shè)備（如路由器、防火墻）或計算機中運行的進程。證書認證機構(gòu)CA（CertificateAuthority）：CA是PKI的信任基礎(chǔ)，是一個用于頒發(fā)并管理數(shù)字證書的可信實體。它是一種權(quán)威性、可信任性和公正性的第三方機構(gòu)，通常由服務(wù)器充當，例如WindowsServer2008。PKI體系架構(gòu)CA通常采用多層次的分級結(jié)構(gòu)，根據(jù)證書頒發(fā)機構(gòu)的層次，可以劃分為根CA和從屬CA。根CA是公鑰體系中第一個證書頒發(fā)機構(gòu)，它是信任的起源。根CA可以為其它CA頒發(fā)證書，也可以為其它計算機、用戶、服務(wù)頒發(fā)證書。對大多數(shù)基于證書的應(yīng)用程序來說，使用證書的認證都可以通過證書鏈追溯到根CA。根CA通常持有一個自簽名證書。從屬CA必須從上級CA處獲取證書。上級CA可以是根CA或者是一個已由根CA授權(quán)可頒發(fā)從屬CA證書的從屬CA。上級CA負責簽發(fā)和管理下級CA的證書，最下一級的CA直接面向用戶。例如，CA2和CA3是從屬CA，持有CA1發(fā)行的CA證書；CA4、CA5和CA6是從屬CA，持有CA2發(fā)行的CA證書。PKI體系架構(gòu)當某個PKI實體信任一個CA，則可以通過證書鏈來傳遞信任，證書鏈就是從用戶的證書到根證書所經(jīng)過的一系列證書的集合。當通信的PKI實體收到待驗證的證書時，會沿著證書鏈依次驗證其頒發(fā)者的合法性。CA的核心功能就是發(fā)放和管理數(shù)字證書，包括：證書的頒發(fā)、證書的更新、證書的撤銷、證書的查詢、證書的歸檔、證書廢除列表CRL（CertificateRevocationList）的發(fā)布等。PKI體系架構(gòu)證書注冊機構(gòu)RA（RegistrationAuthority）：是數(shù)字證書注冊審批機構(gòu)，RA是CA面對用戶的窗口，是CA的證書發(fā)放、管理功能的延伸，它負責接受用戶的證書注冊和撤銷申請，對用戶的身份信息進行審查，并決定是否向CA提交簽發(fā)或撤銷數(shù)字證書的申請。RA作為CA功能的一部分，實際應(yīng)用中，通常RA并不一定獨立存在，而是和CA合并在一起。RA也可以獨立出來，分擔CA的一部分功能，減輕CA的壓力，增強CA系統(tǒng)的安全性。PKI體系架構(gòu)證書/CRL存儲庫：由于用戶名稱的改變、私鑰泄漏或業(yè)務(wù)中止等原因，需要存在一種方法將現(xiàn)行的證書吊銷，即撤消公鑰及相關(guān)的PKI實體身份信息的綁定關(guān)系。在PKI中，所使用的這種方法為證書廢除列表CR。任何一個證書被撤消以后，CA就要發(fā)布CRL來聲明該證書是無效的，并列出所有被廢除的證書的序列號。因此，CRL提供了一種檢驗證書有效性的方式。證書/CRL存儲庫用于對證書和CRL等信息進行存儲和管理，并提供查詢功能。PKI體系架構(gòu)構(gòu)建證書/CRL存儲庫可以采用LDAP（LightweightDirectoryAccessProtocol）服務(wù)器、FTP（FileTransferProtocol）服務(wù)器、HTTP（HypertextTransferProtocol）服務(wù)器或者數(shù)據(jù)庫等等。其中，LDAP規(guī)范簡化了笨重的X.500目錄訪問協(xié)議，支持TCP/IP，已經(jīng)在PKI體系中被廣泛應(yīng)用于證書信息發(fā)布、CRL信息發(fā)布、CA政策以及與信息發(fā)布相關(guān)的各個方面。如果證書規(guī)模不是太大，也可以選擇架設(shè)HTTP、FTP等服務(wù)器來儲存證書，并為用戶提供下載服務(wù)。PKI生命周期PKI的核心技術(shù)就圍繞著本地證書的申請、頒發(fā)、存儲、下載、安裝、驗證、更新和撤銷的整個生命周期進行展開。PKI生命周期證書申請：證書申請即證書注冊，就是一個PKI實體向CA自我介紹并獲取證書的過程。證書頒發(fā)：PKI實體向CA申請本地證書時，如果有RA，則先由RA審核PKI實體的身份信息，審核通過后，RA將申請信息發(fā)送給CA。CA再根據(jù)PKI實體的公鑰和身份信息生成本地證書，并將本地證書信息發(fā)送給RA。如果沒有RA，則直接由CA審核PKI實體身份信息。證書存儲：CA生成本地證書后，CA/RA會將本地證書發(fā)布到證書/CRL存儲庫中，為用戶提供下載服務(wù)和目錄瀏覽服務(wù)PKI生命周期證書下載：PKI實體通過SCEP或CMPv2協(xié)議向CA服務(wù)器下載已頒發(fā)的證書，或者通過LDAP、HTTP或者帶外方式，下載已頒發(fā)的證書。該證書可以是自己的本地證書，也可以是CA/RA證書或者其他PKI實體的本地證書。證書安裝：PKI實體下載證書后，還需安裝證書，即將證書導(dǎo)入到設(shè)備的內(nèi)存中，否則證書不生效。該證書可以是自己的本地證書，也可以是CA/RA證書，或其他PKI實體的本地證書。通過SCEP協(xié)議申請證書時，PKI實體先獲取CA證書并將CA證書自動導(dǎo)入設(shè)備內(nèi)存中，然后獲取本地證書并將本地證書自動導(dǎo)入設(shè)備內(nèi)存中。PKI生命周期證書驗證：PKI實體獲取對端實體的證書后，當需要使用對端實體的證書時，例如與對端建立安全隧道或安全連接，通常需要驗證對端實體的本地證書和CA的合法性（證書是否有效或者是否屬于同一個CA頒發(fā)等）。如果證書頒發(fā)者的證書無效，則由該CA頒發(fā)的所有證書都不再有效。但在CA證書過期前，設(shè)備會自動更新CA證書，異常情況下才會出現(xiàn)CA證書過期現(xiàn)象。PKI生命周期PKI實體可以使用CRL或者OCSP（OnlineCertificateStatusProtocol）方式檢查證書是否有效。使用CRL方式時，PKI實體先查找本地內(nèi)存的CRL，如果本地內(nèi)存沒有CRL，則需下載CRL并安裝到本地內(nèi)存中，如果證書在CRL中，表示此證書已被撤銷。使用OCSP方式時，PKI實體向OCSP服務(wù)器發(fā)送一個對于證書狀態(tài)信息的請求，OCSP服務(wù)器會回復(fù)一個“有效”（證書沒有被撤消）、“過期”（證書已被撤消）或“未知”（OCSP服務(wù)器不能判斷請求的證書狀態(tài)）的響應(yīng)。PKI生命周期證書更新：當證書過期、密鑰泄漏時，PKI實體必須更換證書，可以通過重新申請來達到更新的目的，也可以使用SCEP或CMPv2協(xié)議自動進行更新。證書撤銷：由于用戶身份、用戶信息或者用戶公鑰的改變、用戶業(yè)務(wù)中止等原因，用戶需要將自己的數(shù)字證書撤消，即撤消公鑰與用戶身份信息的綁定關(guān)系。在PKI中，CA主要采用CRL或OCSP協(xié)議撤銷證書，而PKI實體撤銷自己的證書是通過帶外方式申請。證書申請通常情況下PKI實體會生成一對公私鑰，公鑰和自己的身份信息（包含在證書注冊請求消息中）被發(fā)送給CA用來生成本地證書，私鑰PKI實體自己保存用來數(shù)字簽名和解密對端實體發(fā)送過來的密文。PKI實體向CA申請本地證書有以下兩種方式在線申請離線申請（PKCS#10方式）證書申請在線申請：PKI實體支持通過SCEP（SimpleCertificateEnrollmentProtocol）或CMPv2（CertificateManagementProtocolversion2）協(xié)議向CA發(fā)送證書注冊請求消息來申請本地證書。離線申請：是指PKI實體使用PKCS#10格式打印出本地的證書注冊請求消息并保存到文件中，然后通過帶外方式（如Web、磁盤、電子郵件等）將文件發(fā)送給CA進行證書申請。加密技術(shù)發(fā)展加解密技術(shù)原理加解密常見算法數(shù)字證書PKI體系架構(gòu)PKI工作機制PKI工作過程針對一個使用PKI的網(wǎng)絡(luò)，配置PKI的目的就是為指定的PKI實體向CA申請一個本地證書，并由設(shè)備對證書的有效性進行驗證。PKI工作過程PKI實體向CA請求CA證書，即CA服務(wù)器證書。CA收到PKI實體的CA證書請求時，將自己的CA證書回復(fù)給PKI實體。PKI實體收到CA證書后，安裝CA證書。當PKI實體通過SCEP協(xié)議申請本地證書時，PKI實體會用配置的HASH算法對CA證書進行運算得到數(shù)字指紋，與提前配置的CA服務(wù)器的數(shù)字指紋進行比較，如果一致，則PKI實體接受CA證書，否則PKI實體丟棄CA證書。PKI工作過程PKI實體向CA發(fā)送證書注冊請求消息（包括配置的密鑰對中的公鑰和PKI實體信息）。當PKI實體通過SCEP協(xié)議申請本地證書時，PKI實體對證書注冊請求消息使用CA證書的公鑰進行加密和自己的私鑰進行數(shù)字簽名。如果CA要求驗證挑戰(zhàn)密碼，則證書注冊請求消息必須攜帶挑戰(zhàn)密碼（與CA的挑戰(zhàn)密碼一致）。當PKI實體通過CMPv2協(xié)議申請本地證書時，PKI實體可以使用額外證書（其他CA頒發(fā)的本地證書）或者消息認證碼方式進行身份認證。額外證書方式：PKI實體對證書注冊請求消息使用CA證書的公鑰進行加密和PKI實體的額外證書相對應(yīng)的私鑰進行數(shù)字簽名。PKI工作過程消息認證碼方式：PKI實體對證書注冊請求消息使用CA證書的公鑰進行加密，而且證書注冊請求消息必須包含消息認證碼的參考值和秘密值（與CA的消息認證碼的參考值和秘密值一致）。CA收到PKI實體的證書注冊請求消息。當PKI實體通過SCEP協(xié)議申請本地證書時，CA使用自己的私鑰和PKI實體的公鑰解密數(shù)字簽名并驗證數(shù)字指紋。數(shù)字指紋一致時，CA才會審核PKI實體身份等信息，審核通過后，同意PKI實體的申請，頒發(fā)本地證書。然后CA使用PKI實體的公鑰進行加密和自己的私鑰進行數(shù)字簽名，將證書發(fā)送給PKI實體，也會發(fā)送到證書/CRL存儲庫。PKI工作過程當PKI實體通過CMPv2協(xié)議申請本地證書時：額外證書方式：CA使用自己的私鑰解密和PKI實體的額外證書中的公鑰解密數(shù)字簽名并驗證數(shù)字指紋。數(shù)字指紋一致時，CA才會審核PKI實體身份等信息，審核通過后，同意PKI實體的申請，頒發(fā)本地證書。然后CA使用PKI實體的額外證書中的公鑰進行加密和自己的私鑰進行數(shù)字簽名，將證書發(fā)送給PKI實體，也會發(fā)送到證書/CRL存儲庫。消息認證碼方式：CA使用自己的私鑰解密后，并驗證消息認證碼的參考值和秘密值。參考值和秘密值一致時，CA才會審核PKI實體身份等信息，審核通過后，同意PKI實體的申請，頒發(fā)本地證書。然后CA使用PKI實體的公鑰進行加密，將證書發(fā)送給PKI實體，也會發(fā)送到證書/CRL存儲庫。PKI工作過程PKI實體收到CA發(fā)送的證書信息。當PKI實體通過SCEP協(xié)議申請本地證書時，PKI實體使用自己的私鑰解密，并使用CA的公鑰解密數(shù)字簽名并驗證數(shù)字指紋。數(shù)字指紋一致時，PKI實體接受證書信息，然后安裝本地證書。當PKI實體通過CMPv2協(xié)議申請本地證書時：額外證書方式：PKI實體使用額外證書相對應(yīng)的私鑰解密，并使用CA的公鑰解密數(shù)字簽名并驗證數(shù)字指紋。數(shù)字指紋一致時，PKI實體接受證書信息，然后安裝本地證書。消息認證碼方式：PKI實體使用自己的私鑰解密，并驗證消息認證碼的參考值和秘密值。參考值和秘密值一致時，PKI實體接受證書信息，然后安裝本地證書。PKI工作過程PKI實體間互相通信時，需各自獲取并安裝對端實體的本地證書。PKI實體可以通過HTTP/LDAP等方式下載對端的本地證書。在一些特殊的場景中，例如IPSec，PKI實體會把各自的本地證書發(fā)送給對端。PKI實體安裝對端實體的本地證書后，通過CRL或OCSP方式驗證對端實體的本地證書的有效性。對端實體的本地證書有效時，PKI實體間才可以使用對端證書的公鑰進行加密通信。如果PKI認證中心有RA，則PKI實體也會下載RA證書。由RA審核PKI實體的本地證書申請，審核通過后將申請信息發(fā)送給CA來頒發(fā)本地證書。證書應(yīng)用場景-

通過HTTPS登錄Web證書應(yīng)用場景-IPSecVPN證書應(yīng)用場景-SSLVPN以下哪些屬于對稱加密算法？（）MD5RSADESAES以下哪項是數(shù)字信封采用的算法？（）。對稱加密算法非對稱加密算法散列算法

下列那些不屬于PKI生命周期的內(nèi)容?()申請頒發(fā)存儲修改PKI體系由哪幾個部分組成?()終端實體證書認證機構(gòu)證書注冊機構(gòu)證書/CRL存儲庫對稱和非對稱加密算法區(qū)別？數(shù)字信封、數(shù)字簽名主要用于解決什么問題？常見的對稱、非對稱、散列算法有哪些？PKI體系架構(gòu)組成及生命周期PKI工作機制證書的格式及證書內(nèi)容的含義證書的常見應(yīng)用場景加密技術(shù)應(yīng)用維護網(wǎng)絡(luò)安全不應(yīng)有雙重標準，不能一個國家安全而其他國家不安全,一部分國家安全而另—部分國家不安全,更不能以犧牲別國安全謀求自身所謂的“絕對安全”。文字學(xué)習(xí)“中國衛(wèi)星之父”孫家棟，國家需要，我就去做！拓展主題愛國主義、科技強國、技能強國通過加密技術(shù)，可以保證網(wǎng)絡(luò)中數(shù)據(jù)傳輸?shù)陌踩?，?shù)據(jù)不會被篡改和窺探；通過簽名技術(shù)，可以保證數(shù)據(jù)的完整性，證明了數(shù)據(jù)發(fā)送方的身份；通過PKI證書認證技術(shù)，可以驗證公鑰的合法性，從而可以保證用戶接入到安全、合法的網(wǎng)絡(luò)中。通過使用這些技術(shù)，企業(yè)可以防止非法用戶接入企業(yè)網(wǎng)絡(luò)中。企業(yè)分支之間可以建立安全通道，保證企業(yè)數(shù)據(jù)的安全性。學(xué)完本課程后，您將能夠：描述加密技術(shù)的應(yīng)用場景掌握不同VPN技術(shù)的配置方法加密學(xué)的應(yīng)用VPN簡介VPN配置密碼學(xué)應(yīng)用密碼學(xué)的應(yīng)用主要有數(shù)字信封、數(shù)字簽名和數(shù)字證書。數(shù)字信封：結(jié)合對稱和非對稱加密，從而保證數(shù)據(jù)傳輸?shù)臋C密性。數(shù)字簽名：采用散列算法，從而保證數(shù)據(jù)傳輸?shù)耐暾?。?shù)字證書：通過第三方機構(gòu)（CA）對公鑰進行公證，從而保證數(shù)據(jù)傳輸?shù)牟豢煞裾J性。應(yīng)用場景結(jié)合到實際的網(wǎng)絡(luò)應(yīng)用場景，數(shù)字信封、數(shù)字簽名和數(shù)字證書又有對應(yīng)場景的應(yīng)用。VPNIPv6HTTPS登錄系統(tǒng)登錄授權(quán)加密學(xué)的應(yīng)用VPN簡介VPN配置VPN定義虛擬專用網(wǎng)VPN(VirtualPrivateNetwork)是一種“通過共享的公共網(wǎng)絡(luò)建立私有的數(shù)據(jù)通道，將各個需要接入這張?zhí)摂M網(wǎng)的網(wǎng)絡(luò)或終端通過通道連接起來，構(gòu)成一個專用的、具有一定安全性和服務(wù)質(zhì)量保證的網(wǎng)絡(luò)”。虛擬：用戶不再需要擁有實際的專用長途數(shù)據(jù)線路，而是利用Internet的長途數(shù)據(jù)線路建立自己的私有網(wǎng)絡(luò)。專用網(wǎng)絡(luò)：用戶可以為自己制定一個最符合自己需求的網(wǎng)絡(luò)。VPN分類數(shù)據(jù)鏈路層網(wǎng)絡(luò)層L3VPNL2VPNGREIPSecL2TPPPTPL2F傳輸層SSLVPNVPN的應(yīng)用場景Site-to-SiteVPN用于兩個局域網(wǎng)之間建立連接?？刹捎玫腣PN技術(shù)：IPSec、L2TP、L2TPoverIPSec、GREoverIPSec、IPSecoverGRE。Client-to-SiteVPN用于客戶端與企業(yè)內(nèi)網(wǎng)之間建立連接?？刹捎玫腣PN技術(shù)：SSL、IPSec、L2TP、L2TPoverIPSec。L2TPVPN簡介L2TP(LayerTwoTunnelingProtocol)二層隧道協(xié)議為在用戶和企業(yè)的服務(wù)器之間透明傳輸PPP報文而設(shè)置的隧道協(xié)議。提供了對PPP鏈路層數(shù)據(jù)包的通道（Tunnel）傳輸支持。L2TPVPN主要有三種使用場景NAS-InitiatedVPNLAC自動撥號Client-InitiatedVPNClient-InitiatedVPN方式L2TPVPN一般用于出差員工使用PC、手機等移動設(shè)備接入總部服務(wù)器，實現(xiàn)移動辦公的場景，也是最為常用L2TP撥號方式。Client-InitiatedVPN隧道和會話建立過程GREVPN簡介GeneralRoutingEncapsulation，簡稱GRE，是一種三層VPN封裝技術(shù)。GRE可以對某些網(wǎng)絡(luò)層協(xié)議（如IPX、AppleTalk、IP等）的報文進行封裝，使封裝后的報文能夠在另一種網(wǎng)絡(luò)中（如IPv4）傳輸，從而解決了跨越異種網(wǎng)絡(luò)的報文傳輸問題。異種報文傳輸?shù)耐ǖ婪Q為Tunnel（隧道）。GRE報文處理過程GRE安全策略PC_A發(fā)出的原始報文進入Tunnel接口這個過程中，報文經(jīng)過的安全域間是Trust—>DMZ；原始報文被GRE封裝后，F(xiàn)W_A在轉(zhuǎn)發(fā)這個報文時，報文經(jīng)過的安全域間是Local—>Untrust當報文到達FW_B時，F(xiàn)W_B會進行解封裝。在此過程中，報文經(jīng)過的安全域間是Untrust—>Local；GRE報文被解封裝后，F(xiàn)W_B在轉(zhuǎn)發(fā)原始報文時，報文經(jīng)過的安全域間是DMZ—>Trust。IPSecVPN簡介IPSec（IPSecurity）協(xié)議族是IETF制定的一系列安全協(xié)議，它為端到端IP報文交互提供了基于密碼學(xué)的、可互操作的、高質(zhì)量的安全保護機制。IPSecVPN是利用IPSec隧道建立的網(wǎng)絡(luò)層VPN。IPSec協(xié)議體系IPSec通過驗證頭AH（AuthenticationHeader）和封裝安全載荷ESP（EncapsulatingSecurityPayload）兩個安全協(xié)議實現(xiàn)IP報文的安全保護。IPSec安全聯(lián)盟IPSec安全傳輸數(shù)據(jù)的前提是在IPSec對等體（即運行IPSec協(xié)議的兩個端點）之間成功建立安全聯(lián)盟SA（SecurityAssociation）。SA是通信的IPSec對等體間對某些要素的約定。封裝模式-

傳輸模式在傳輸模式中，AH頭或ESP頭被插入到IP頭與傳輸層協(xié)議頭之間，保護TCP/UDP/ICMP負載。封裝模式-

隧道模式在隧道模式下，AH頭或ESP頭被插到原始IP頭之前，另外生成一個新的報文頭放到AH頭或ESP頭之前，保護IP頭和負載。IKESAIKE

SA是為IPSecSA服務(wù)的，為IPSec提供了自動協(xié)商密鑰、建立IPSec安全聯(lián)盟的服務(wù)。IPSec加解密及驗證過程SSLVPN簡介SSL是一個安全協(xié)議，為基于TCP的應(yīng)用層協(xié)議提供安全連接。IPTCPHTTPSSLNotSecureSecureIPTCPHTTPSSLVPN主要功能SVN安全接入網(wǎng)關(guān)網(wǎng)絡(luò)擴展端口轉(zhuǎn)發(fā)用戶認證Web代理可靠性文件共享USG系列設(shè)備加密學(xué)的應(yīng)用VPN簡介VPN配置Client-Initialized方式L2TP應(yīng)用場景描述組網(wǎng)需求某公司建有自己的VPN網(wǎng)絡(luò)，在公司總部的公網(wǎng)出口處，放置了一臺VPN網(wǎng)關(guān)，即USG防火墻。要求出差人員能夠通過L2TP隧道與公司內(nèi)部業(yè)務(wù)服務(wù)器進行通信。L2TPVPN配置流程開啟L2TP功能選擇“網(wǎng)絡(luò)>L2TP>L2TP”，在“配置L2TP”中，選中L2TP后的“啟用”，單擊“應(yīng)用”。配置L2TP參數(shù)在“L2TP組列表”中，點擊新建，設(shè)置L2TP組的參數(shù)。設(shè)置撥號用戶信息選擇“對象>用戶”。選中“default”認證域，在“用戶管理”中，單擊“新建”，并選擇“新建用戶”，配置撥號用戶名和密碼。VPN客戶端設(shè)置及驗證GRE應(yīng)用場景描述需求描述運行IP協(xié)議的兩個子網(wǎng)網(wǎng)絡(luò)1和網(wǎng)絡(luò)2，通過在防火墻A和防火墻B之間建立的GRE隧道實現(xiàn)互訪。GREVPN配置流程GRE接口配置-FWA選擇“網(wǎng)絡(luò)>GRE>GRE”。單擊“新建”，配置GRE接口的各項參數(shù)。路由配置-FWA選擇“網(wǎng)絡(luò)>路由>靜態(tài)路由”。單擊“新建”,配置到網(wǎng)絡(luò)2的靜態(tài)路由。結(jié)果驗證網(wǎng)絡(luò)1中的PC與網(wǎng)絡(luò)2中的PC能夠相互ping通。查看FWA“網(wǎng)絡(luò)>路由>路由表”可以看到目的地址為/24，出接口為Tunnel1的路由。點到點IPSecVPN應(yīng)用場景描述需求描述網(wǎng)絡(luò)A和網(wǎng)絡(luò)B通過防火墻A和B之間建立的IPSec隧道互聯(lián)互通IPSec和IKE提議參數(shù)采用默認值采用IKE方式建立IPSec隧道IPSecVPN配置流程路由配置設(shè)置到達對端的路由，以FW_A為例，下一跳設(shè)置為FW_B的地址。域間安全策略IPSecFW_AFW_B允許網(wǎng)絡(luò)A和網(wǎng)絡(luò)B互訪ipsec1方向：trsut>untrust源地址：/24目的地址：/24動作：允許方向：trsut>untrust源地址：/24目的地址：/24動作：允許ipsec2方向：untrsut>trust源地址：/24目的地址：/24動作：允許方向：untrsut>trust源地址：/24目的地址：/24動作：允許允許IKE協(xié)商報文通過ipsec3方向：local>untrust源地址：/24目的地址：/24動作：允許方向：local>untrust源地址：/24目的地址：/24動作：允許ipsec4方向：untrust>local源地址：/24目的地址：/24動作：允許方向：untrust>local源地址：/24目的地址：/24動作：允許IPSec策略參數(shù)配置-FW_A加密數(shù)據(jù)流配置應(yīng)用IPSec策略配置結(jié)束后單擊配置界面最下方的“應(yīng)用”，保存并應(yīng)用IPSec策略。判斷：IPSec采用的是非對稱加密算法加密用戶數(shù)據(jù)的方式來保證信息傳遞機密性的？（）正確錯誤以下哪些屬于USG6000系列防火墻SSLVPN的主要功能？（）端口轉(zhuǎn)發(fā)網(wǎng)絡(luò)擴展文件共享Web代理

加密技術(shù)的應(yīng)用VPN的基本概念GREVPN、L2TPVPN的工作原理IPSecVPN加解密及驗證過程四種VPN的配置流程防火墻配置綜合實訓(xùn)維護網(wǎng)絡(luò)安全不應(yīng)有雙重標準，不能一個國家安全而其他國家不安全,一部分國家安全而另—部分國家不安全,更不能以犧牲別國安全謀求自身所謂的“絕對安全”。文字學(xué)習(xí)“中國衛(wèi)星之父”孫家棟，國家需要，我就去做！拓展主題愛國主義、科技強國、技能強國隨著教育信息化的加速，高校網(wǎng)絡(luò)建設(shè)日趨完善，在師生暢享豐富網(wǎng)絡(luò)資源的同時，校園網(wǎng)絡(luò)的安全問題也逐漸凸顯，并直接影響學(xué)校的教學(xué)、管理、科研等活動。如何構(gòu)建一個安全、高速的校園網(wǎng)絡(luò)，已成為高校網(wǎng)絡(luò)管理者需要迫切解決的問題。學(xué)完本課程后，您將能夠：描述校園網(wǎng)的基本需求描述校園網(wǎng)的組網(wǎng)結(jié)構(gòu)區(qū)分不同的安全風險規(guī)劃對校園網(wǎng)業(yè)務(wù)進行規(guī)劃對校園網(wǎng)策略進行配置與管理對網(wǎng)絡(luò)進行測試需求分析典型組網(wǎng)業(yè)務(wù)規(guī)劃注意事項配置步驟結(jié)果驗證需求分析校園網(wǎng)從網(wǎng)絡(luò)層到應(yīng)用層的各個層面都面臨著不同的安全威脅：網(wǎng)絡(luò)邊界防護：校園網(wǎng)一般擁有多個出口，鏈路帶寬高，網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜；病毒、蠕蟲的傳播成為最大安全隱患；越來越多的遠程網(wǎng)絡(luò)接入，對安全性構(gòu)成極大挑戰(zhàn)。內(nèi)容安全防護：無法及時發(fā)現(xiàn)和阻斷網(wǎng)絡(luò)入侵行為；需要對用戶訪問的URL進行控制，允許或禁止訪問某些網(wǎng)頁資源，規(guī)范上網(wǎng)行為；需要防范不當?shù)木W(wǎng)絡(luò)留言和內(nèi)容發(fā)布，防止造成不良的社會影響。網(wǎng)絡(luò)拓撲FW作為高性能的下一代防火墻，可以部署在校園網(wǎng)出口，幫助高校降低安全威脅，實現(xiàn)有效的網(wǎng)絡(luò)管理。FW不僅可以提供安全隔離和日常攻擊防范，還具備多種高級應(yīng)用安全能力，如攻擊防范、IPS、防病毒、上網(wǎng)行為審計等，在實施邊界防護的同時提供應(yīng)用層防護。業(yè)務(wù)規(guī)劃FW可以滿足校園網(wǎng)的所有需求，下面給出具體功能的介紹并結(jié)合組網(wǎng)進行業(yè)務(wù)規(guī)劃。網(wǎng)絡(luò)基礎(chǔ)及訪問控制配置入侵防御與DNS透明代理智能選路與服務(wù)器負載均衡智能DNSNAT攻擊防范與審計策略網(wǎng)管設(shè)備注意事項ISP地址集中的IP地址是否齊全直接影響智能選路、智能NDS功能的實施效果，請充分收集各ISP中的常用地址。多出口場景下，策略路由智能選路不能和IP欺騙攻擊防范功能或URPF（UnicastReversePathForwarding，單播逆向路徑轉(zhuǎn)發(fā)）功能一起使用。如果開啟IP欺騙攻擊防范功能或URPF功能，可能導(dǎo)致FW丟棄報文。智能DNS功能需要License授權(quán)，并通過動態(tài)加載功能加載相應(yīng)組件包后方可使用。注意事項服務(wù)器負載均衡功能的虛擬服務(wù)器的IP地址不能和下列IP地址相同：NATServer的公網(wǎng)IP地址（globalIP）NAT地址池中的IP地址、網(wǎng)關(guān)的IP地址、FW的接口IP地址服務(wù)器負載均衡功能的實服務(wù)器的IP地址不能和下列IP地址相同：虛擬服務(wù)器的IP地址、NATServer的公網(wǎng)IP（globalIP）NATServer的內(nèi)網(wǎng)服務(wù)器IP地址（insideIP注意事項配置服務(wù)器負載均衡功能后，在配置安全策略和路由功能時，需針對實服務(wù)器的IP地址進行配置，而不是虛擬服務(wù)器的IP地址。配置NAT地址池和NATServer后，需要針對地址池中的地址和NATServer的公網(wǎng)地址配置黑洞路由，防止產(chǎn)生路由環(huán)路。只有審計管理員才能配置審計功能和查看審計日志。只有支持安裝硬盤且硬盤在位的設(shè)備才能在Web界面上查看和導(dǎo)出審計日志。在報文來回路徑不一致的組網(wǎng)環(huán)境中，審計日志記錄的內(nèi)容可能不完整。配置步驟配置接口和安全區(qū)域，并為參與選路的出接口配置網(wǎng)關(guān)地址、帶寬和過載保護閾值。配置安全策略。分別為教育網(wǎng)、ISP1、ISP2創(chuàng)建安全區(qū)域，并將各接口加入安全區(qū)域。為各域間配置安全策略，控制域間互訪。在安全策略中引用缺省的入侵防御配置文件，配置入侵防御功能。配置入侵防御特征庫的定時升級功能。配置升級中心。設(shè)備可訪問升級服務(wù)器或可通過代理服務(wù)器訪問升級服務(wù)器。配置定時升級功能，設(shè)置定時升級時間。配置步驟配置IP-Link功能，探測各ISP鏈路狀態(tài)是否正常。配置路由。配置DNS透明代理。配置各接口綁定DNS服務(wù)器的IP地址。配置排除域名。配置DNS透明代理策略。為DNS請求報文配置策略路由智能選路，使報文能夠負載分擔到各鏈路上。配置步驟配置智能選路。配置ISP地址集。新建對應(yīng)遠程教學(xué)系統(tǒng)軟件的應(yīng)用，并在策略路由中引用，使遠程教學(xué)系統(tǒng)軟件的流量從教育網(wǎng)和ISP2鏈路轉(zhuǎn)發(fā)。配置策略路由智能選路，使P2P流量從ISP1鏈路轉(zhuǎn)發(fā)。配置單