第10章 網(wǎng)絡(luò)安全協(xié)議與技術(shù)措施

第十章網(wǎng)絡(luò)安全協(xié)議與技術(shù)措施《計(jì)算機(jī)網(wǎng)絡(luò)與信息安全》第十章網(wǎng)絡(luò)安全協(xié)議與技術(shù)措施本章學(xué)習(xí)目標(biāo)掌握PGP發(fā)送與接收安全郵件的原理與過程；掌握SSL協(xié)議棧、SSL基本原理、SSL握手過程等；掌握IPSec體系、安全關(guān)聯(lián)SA、AH協(xié)議、ESP協(xié)議、IPSec密鑰交換IKE基本原理與過程；掌握防火墻概念、功能、分類、結(jié)構(gòu)、原理與應(yīng)用等；掌握入侵檢測基本概念、功能、特點(diǎn)、檢測過程、檢測方法、系統(tǒng)組成、分類與部署應(yīng)用。主要內(nèi)容第一節(jié)安全電子郵件第二節(jié)安全套接字層

SSL/TLS第三節(jié)虛擬專用網(wǎng)VPN和

安全I(xiàn)P協(xié)議IPSec第四節(jié)防火墻第五節(jié)入侵檢測系統(tǒng)2本章重點(diǎn)與難點(diǎn)本章重點(diǎn)安全電子郵件與PGP安全套接字層SSL與傳輸層安全TLSSSL協(xié)議棧、SSL基本原理、SSL握手過程VPN與IPSecIPSec體系、安全關(guān)聯(lián)SA、AH協(xié)議、ESP協(xié)議、IPSec密鑰交換IKE基本原理與過程防火墻原理與部署應(yīng)用功能、分類、結(jié)構(gòu)、原理與應(yīng)用IDS基本原理本章難點(diǎn)PGP協(xié)議SSL/TLS協(xié)議IPSec協(xié)議IPSec體系安全關(guān)聯(lián)SAAH協(xié)議ESP協(xié)議IPSec密鑰交換IKE防火墻功能分類部署應(yīng)用3李全龍第一節(jié)安全電子郵件電子郵件安全威脅垃圾郵件增加網(wǎng)絡(luò)負(fù)荷，占用服務(wù)器空間詐騙郵件能迅速讓大量受害者上當(dāng)郵件炸彈短時(shí)間內(nèi)向同一郵箱發(fā)送大量電子郵件通過電子郵件/附件傳播網(wǎng)絡(luò)蠕蟲/病毒電子郵件欺騙、釣魚式攻擊第一節(jié)安全電子郵件5電子郵件安全需求機(jī)密性只有真正的接收方才能閱讀郵件完整性電子郵件在傳輸過程中不被修改身份認(rèn)證性電子郵件的發(fā)送者不被假冒抗抵賴性發(fā)信人無法否認(rèn)發(fā)過電子郵件第一節(jié)安全電子郵件6安全電子郵件基本原理7第一節(jié)安全電子郵件Alice:生成隨機(jī)對稱密鑰,KS利用KS加密報(bào)文(為了效率)郵件具有單向性和非實(shí)時(shí)性不能通過建立隧道來保證安全，只能對郵件本身加密KS().KS(m)mKSKSKB().-KB-KB().++KB(KS)+KB+KSKS().m-KS(m)KB(KS)+InternetAlice期望向Bob發(fā)送機(jī)密郵件m同時(shí)，利用Bob的公鑰加密KS將KS(m)和KB(KS)發(fā)送給Bob+Bob:利用他的私鑰解密KB(KS)，獲得KS利用KS解密KS(m)恢復(fù)m+安全電子郵件基本原理8第一節(jié)安全電子郵件Alice期望提供發(fā)送者認(rèn)證與報(bào)文完整性Alice對報(bào)文進(jìn)行數(shù)字簽名

發(fā)送報(bào)文（明文）和數(shù)字簽名H().KA().-KA(H(m))-mKA-+m-KA(H(m))-mH(m)KA().+KA+H().H(m)比較Internet安全電子郵件基本原理9第一節(jié)安全電子郵件Alice使用3個(gè)密鑰:她自己的私鑰、Bob的公鑰和新生成的對稱密鑰H().KA().-KA(H(m))-mKA-+mKS().KSKB().++KB(KS)+KB+KSInternetAlice期望提供保密、發(fā)送者認(rèn)證與報(bào)文完整性安全電子郵件標(biāo)準(zhǔn)PEM（PrivacyEnhancedMail）標(biāo)準(zhǔn)IETF與IRTF研究增強(qiáng)E-Mail的保密以及PEM的標(biāo)準(zhǔn)化1993年初，提出四份RFC(1421~1424)作為建議標(biāo)準(zhǔn)PEM的運(yùn)行依賴PKI(公鑰基礎(chǔ)設(shè)施)，如CA沒有被廣泛配置PEM提供4種安全服務(wù)：郵件加密報(bào)文完整性發(fā)送方的認(rèn)證防發(fā)送方否認(rèn)第一節(jié)安全電子郵件10安全電子郵件標(biāo)準(zhǔn)PGP（PrettyGoodPrivacy）標(biāo)準(zhǔn)PhilipZimmermann于1991年發(fā)布PGP1.0事實(shí)上標(biāo)準(zhǔn)可在各種平臺（Windows、UNIX等）免費(fèi)運(yùn)行還可用于普通文件加密及軍事目的所用算法被證實(shí)為非常安全：公鑰加密算法：RSA、DSS或Diffie-Hellman對稱加密算法：CAST、3DES或IDEA散列算法：MD5或SHA-1PGP特點(diǎn)：對郵件內(nèi)容進(jìn)行數(shù)字簽名，保證信件內(nèi)容不被篡改使用公鑰和對稱加密保證郵件內(nèi)容機(jī)密且不可否認(rèn)公鑰的權(quán)威性由收發(fā)雙方或所信任的第三方簽名認(rèn)證事先不需要任何保密信道來傳遞對稱的會話密鑰第一節(jié)安全電子郵件11PGP功能框架12第一節(jié)安全電子郵件SHA-1RSAKA(H(m))-mKA-+m3DESKSInternetRSAKB(KS)+KB+KSAlice期望PGP提供保密、發(fā)送者認(rèn)證與報(bào)文完整性壓縮+Base64PGP報(bào)文的格式13第一節(jié)安全電子郵件PGP密鑰安裝PGP時(shí)，軟件為用戶生成一個(gè)公開密鑰對公鑰放置用戶網(wǎng)站或某公鑰服務(wù)器上私鑰則使用用戶口令進(jìn)行保護(hù)用戶為隨機(jī)生成的RSA私鑰指定一個(gè)口令，只有給出口令才能將私鑰釋放出來使用PGP公鑰認(rèn)證機(jī)制與傳統(tǒng)CA差異較大：PGP公鑰可以通過可信的Web認(rèn)證用戶可以自己認(rèn)證任何其信任的“公鑰/用戶名”對用戶還可以為其他公鑰認(rèn)證提供“擔(dān)?！狈乐勾鄹墓€的方法（Alice）：直接從Bob手中得到其公鑰通過電話認(rèn)證密鑰從雙方信任的David那里獲得Bob的公鑰通過CA第一節(jié)安全電子郵件14S/MIME標(biāo)準(zhǔn)S/MIME(Secure/MultipurposeInternetMailExtensions)標(biāo)準(zhǔn)提供數(shù)據(jù)保密、完整性和認(rèn)證等安全服務(wù)不僅限于郵件使用，可用于任何支持MIME數(shù)據(jù)的傳輸機(jī)制，如HTTP增加了新的MIME數(shù)據(jù)類型：“應(yīng)用/pkcs7-MIME”（application/pkcs7-MIME）“復(fù)合/已簽名”（multipart/signed）“應(yīng)用/pkcs7-簽名”（application/pkcs7-signature）等只保護(hù)郵件的郵件主體，對頭部信息則不進(jìn)行加密認(rèn)證機(jī)制依賴于層次結(jié)構(gòu)的CA(TreeofTrust)證書格式采用X.509規(guī)范第一節(jié)安全電子郵件15李全龍第二節(jié)安全套接字層SSL/TLSWeb安全威脅攻擊與破壞事件層出不窮，需要安全Web服務(wù)Web應(yīng)用廣泛、服務(wù)器底層軟件復(fù)雜，可能隱藏安全漏洞Web安全威脅的分類：主動攻擊：篡改C/S之間信息或篡改Web站點(diǎn)信息（難防易檢）被動攻擊：監(jiān)聽數(shù)據(jù)流獲取信息或進(jìn)行信息量分析（難檢易防）機(jī)密性網(wǎng)絡(luò)監(jiān)聽、竊取數(shù)據(jù)完整性修改用戶數(shù)據(jù)、修改傳輸?shù)男畔⒕芙^服務(wù)偽造請求淹沒服務(wù)器身份認(rèn)證冒充合法用戶、偽造數(shù)據(jù)第二節(jié)安全套接字層SSL/TLS17Web安全威脅Web服務(wù)器的安全威脅Web服務(wù)越強(qiáng)大，包含安全漏洞概率就越高HTTP服務(wù)可在不同權(quán)限下運(yùn)行Web瀏覽器的安全威脅活動Web頁可能隱藏惡意程序通信信道的安全威脅監(jiān)聽程序會威脅通信信道中所傳輸信息的機(jī)密性偽造、篡改、重放會威脅所傳輸信息的完整性缺乏身份認(rèn)證使得冒充他人身份進(jìn)行中間人攻擊缺乏數(shù)字簽名機(jī)制使得通信雙方能相互攻擊拒絕服務(wù)攻擊使得通信信道不能保證可用性第二節(jié)安全套接字層SSL/TLS18基于應(yīng)用層實(shí)現(xiàn)Web安全為特定應(yīng)用定制特定安全服務(wù)，將安全服務(wù)直接嵌入在應(yīng)用程序中第二節(jié)安全套接字層SSL/TLS19KerberosS/MIMEPGPSET

SMTPHTTPFTPSSHUDPTCPIP基于傳輸層實(shí)現(xiàn)Web安全SSL或TLS可作為基礎(chǔ)協(xié)議棧的組成部分，對應(yīng)用透明也可直接嵌入到瀏覽器中使用使用SSL或TLS后，傳送的應(yīng)用層數(shù)據(jù)會被加密保證通信的安全第二節(jié)安全套接字層SSL/TLS20SMTPHTTPFTPSSL或TLSTCPIP基于網(wǎng)絡(luò)層實(shí)現(xiàn)Web安全I(xiàn)PSec提供端到端（主機(jī)到主機(jī)）的安全機(jī)制通用解決方案各種應(yīng)用程序均可利用IPSec提供的安全機(jī)制減少了安全漏洞的產(chǎn)生第二節(jié)安全套接字層SSL/TLS21SMTPHTTPFTPTCPIP/IPSecSSL:SecureSocketsLayer廣泛部署的安全協(xié)議幾乎所有瀏覽器和Web服務(wù)器都支持https每年通過SSL交易額達(dá)數(shù)十億美元實(shí)現(xiàn)：Netscape變體：TLS(RFC2246)提供：機(jī)密性(confidentiality)完整性(integrity)認(rèn)證(authentication)最初目標(biāo):Web電子商務(wù)交易加密(尤其信用卡號)Web服務(wù)器認(rèn)證可選的客戶認(rèn)證方便與新商戶的商務(wù)活動(minimumhassle)可用于所有基于TCP的網(wǎng)絡(luò)應(yīng)用安全socket接口22第二節(jié)安全套接字層SSL/TLSSSL和TCP/IP23第二節(jié)安全套接字層SSL/TLSApplicationTCPIP正常應(yīng)用ApplicationSSLTCPIP采用SSL的應(yīng)用SSL為網(wǎng)絡(luò)應(yīng)用提供應(yīng)用編程接口(API)C語言和Java語言的SSL庫/類可用可以像PGP那樣實(shí)現(xiàn)某些安全功能24第二節(jié)安全套接字層SSL/TLS

但是，需要發(fā)送字節(jié)流以及交互數(shù)據(jù)

需要一組密鑰用于整個(gè)連接

需要證書交換作為協(xié)議的一部分：握手階段H().KA().-KA(H(m))-mKA-+mKS().KSKB().++KB(KS)+KB+KSInternet簡化的SSL:一個(gè)簡單的安全信道握手(handshake):Alice和Bob利用他們的證書、私鑰認(rèn)證（鑒別）彼此，以及交換共享密鑰密鑰派生(keyderivation):Alice和Bob利用共享密鑰派生出一組密鑰數(shù)據(jù)傳輸(datatransfer):待傳輸數(shù)據(jù)分割成一系列記錄連接關(guān)閉(connectionclosure):

通過發(fā)送特殊消息，安全關(guān)閉連接25第二節(jié)安全套接字層SSL/TLS簡化的SSL:一個(gè)簡單的握手過程26第二節(jié)安全套接字層SSL/TLSMS:主密鑰EMS:加密的主密鑰hellopublickeycertificateKB+(MS)=EMS簡化的SSL:密鑰派生不同加密操作使用不同密鑰會更加安全例如：報(bào)文認(rèn)證碼(MAC)密鑰和數(shù)據(jù)加密密鑰4個(gè)密鑰：Kc=用于加密客戶向服務(wù)器發(fā)送數(shù)據(jù)的密鑰Mc=用于客戶向服務(wù)器發(fā)送數(shù)據(jù)的MAC密鑰Ks=用于加密服務(wù)器向客戶發(fā)送數(shù)據(jù)的密鑰Ms=用于服務(wù)器向客戶發(fā)送數(shù)據(jù)的MAC密鑰通過密鑰派生函數(shù)(KDF)實(shí)現(xiàn)密鑰派生提取主密鑰和（可能的）一些額外的隨機(jī)數(shù)，生成密鑰27第二節(jié)安全套接字層SSL/TLS簡化的SSL:數(shù)據(jù)記錄為什么不直接加密發(fā)送給TCP的字節(jié)流?MAC放到哪兒？如果放到最后，則只有全部數(shù)據(jù)收全才能進(jìn)行完整性認(rèn)證。e.g.,對于即時(shí)消息應(yīng)用，

在顯示一段消息之前，如何針對發(fā)送的所有字節(jié)進(jìn)行完整性檢驗(yàn)？方案：將字節(jié)流分割為一系列記錄每個(gè)記錄攜帶一個(gè)MAC接收方可以對每個(gè)記錄進(jìn)行完整性檢驗(yàn)問題：對于每個(gè)記錄，

接收方需要從數(shù)據(jù)中識別出MAC需要采用變長記錄28第二節(jié)安全套接字層SSL/TLSlengthdataMAC簡化的SSL:序列號問題:攻擊者可以捕獲和重放記錄或者重新排序記錄解決方案:在MAC中增加序列號MAC=MAC(Mx,sequence||data)注意:記錄中沒有序列號域問題:攻擊者可以重放所有記錄解決方案:使用一次性隨機(jī)數(shù)(nonce)29第二節(jié)安全套接字層SSL/TLS簡化的SSL:控制信息問題:截?cái)喙?/p>

攻擊者偽造TCP連接的斷連段，惡意斷開連接一方或雙方認(rèn)為對方已沒有數(shù)據(jù)發(fā)送解決方案:記錄類型,利用一個(gè)類型的記錄專門用于斷連type0用于數(shù)據(jù)記錄；type1用于斷連MAC=MAC(Mx,sequence||type||data)30第二節(jié)安全套接字層SSL/TLSlengthtypedataMAC簡化的SSL:總結(jié)31第二節(jié)安全套接字層SSL/TLShellocertificate,nonceKB+(MS)=EMStype0,seq1,datatype0,seq2,datatype0,seq1,datatype0,seq3,datatype1,seq4,closetype1,seq2,close加密的簡化的SSL不完整每個(gè)域多長？采用哪種加密協(xié)議？需要協(xié)商嗎？允許客戶與服務(wù)器支持不同加密算法允許客戶與服務(wù)器在數(shù)據(jù)傳輸之前共同選擇特定的算法32第二節(jié)安全套接字層SSL/TLSSSL協(xié)議棧介于HTTP與TCP之間的一個(gè)可選層絕大多數(shù)應(yīng)用層協(xié)議可直接建立在SSL之上SSL不是一個(gè)單獨(dú)的協(xié)議，而是兩層協(xié)議33第二節(jié)安全套接字層SSL/TLSSSL握手協(xié)議SSL更改密碼規(guī)格協(xié)議SSL警告協(xié)議HTTPSSL記錄協(xié)議TCPIPSSL密碼組(ciphersuite)密碼組(ciphersuite)公開密鑰算法(public-keyalgorithm)對稱加密算法(symmetricencryptionalgorithm)MAC算法SSL支持多個(gè)密碼組協(xié)商(negotiation):客戶與服務(wù)器商定密碼組客戶提供選項(xiàng)(choice)服務(wù)器挑選其一34第二節(jié)安全套接字層SSL/TLS常見的SSL對稱密碼：DES–分組密碼3DES–分組密碼RC2–RivestCipher2

分組密碼RC4–RivestCipher4

流密碼SSL公開密鑰加密：RSASSL更改密碼規(guī)格協(xié)議更改密碼規(guī)格協(xié)議(ChangeCipherSpecProtocol)更新當(dāng)前連接的密鑰組標(biāo)志著加密策略的改變位于SSL記錄協(xié)議之上ContentType=20協(xié)議只包含一條消息（一個(gè)值為1的字節(jié)）35第二節(jié)安全套接字層SSL/TLSSSL警告協(xié)議警告協(xié)議(AlertProtocol)Alert消息：當(dāng)握手過程或數(shù)據(jù)加密等出錯(cuò)或發(fā)生異常時(shí)，為對等實(shí)體傳遞SSL警告或終止當(dāng)前連接位于SSL記錄協(xié)議之上ContentType=21協(xié)議包含兩個(gè)字節(jié)：警告級別和警告代碼36第二節(jié)安全套接字層SSL/TLSSSL握手協(xié)議握手協(xié)議(HandshakeProtocol)協(xié)商結(jié)果是SSL記錄協(xié)議的基礎(chǔ)，ContentType=22SSLv3.0的握手過程用到三個(gè)協(xié)議：握手協(xié)議、更改密碼規(guī)格協(xié)議和警告協(xié)議目的：服務(wù)器認(rèn)證/鑒別協(xié)商:商定加密算法建立密鑰客戶認(rèn)證/鑒別(可選)37第二節(jié)安全套接字層SSL/TLSSSL握手過程（1）38第二節(jié)安全套接字層SSL/TLS客戶發(fā)送其支持的算法列表，以及客戶一次隨機(jī)數(shù)(nonce)服務(wù)器從算法列表中選擇算法，并發(fā)回給客戶：

選擇+證書+服務(wù)器一次隨機(jī)數(shù)客戶驗(yàn)證證書，提取服務(wù)器公鑰，生成預(yù)主密鑰(pre_master_secret)，并利用服務(wù)器的公鑰加密預(yù)主密鑰，發(fā)送給服務(wù)器客戶與服務(wù)器基于預(yù)主密鑰和一次隨機(jī)數(shù)分別獨(dú)立計(jì)算加密密鑰和MAC密鑰客戶發(fā)送一個(gè)針對所有握手消息的MAC服務(wù)器發(fā)送一個(gè)針對所有握手消息的MACSSL握手過程（2）39第二節(jié)安全套接字層SSL/TLS最后2步的意義：保護(hù)握手過程免遭篡改客戶提供的算法，安全性有強(qiáng)、有弱明文傳輸中間人攻擊可以從列表中刪除安全性強(qiáng)的算法最后2步可以預(yù)防這種情況發(fā)生最后兩步傳輸?shù)南⑹羌用艿腟SL握手過程（3）40第二節(jié)安全套接字層SSL/TLS為什么使用兩個(gè)一次隨機(jī)數(shù)？

假設(shè)Trudy嗅探Alice與Bob之間的所有報(bào)文第二天，Trudy與Bob建立TCP連接，發(fā)送完全相同的記錄序列Bob(如Amazon)認(rèn)為Alice對同一產(chǎn)品下發(fā)兩個(gè)分離的訂單解決方案:Bob為每次連接發(fā)送完全不同的一次隨機(jī)數(shù)確保兩天的加密密鑰不同Trudy的報(bào)文將無法通過Bob的完整性檢驗(yàn)SSL握手消息及參數(shù)41第二節(jié)安全套接字層SSL/TLS消息類型參數(shù)hello_requestNullclient_hello版本，隨機(jī)數(shù)，會話ID，密碼參數(shù)，壓縮方法server_hellocertificateX.509v3證書server_key_exchange參數(shù)，簽名certificate_request類型，CAserver_doneNullcertificate_verify簽名client_key_exchange參數(shù)，簽名FinishedHash值SSL握手協(xié)議工作過程42第二節(jié)安全套接字層SSL/TLSSSL記錄協(xié)議記錄協(xié)議(RecordProtocol)描述SSL信息交換過程中的記錄格式所有數(shù)據(jù)（含SSL握手信息）都被封裝在記錄中一個(gè)記錄由兩部分組成：記錄頭和數(shù)據(jù)SSL記錄協(xié)議的操作步驟：將數(shù)據(jù)分段成可操作的數(shù)據(jù)塊對分塊數(shù)據(jù)進(jìn)行數(shù)據(jù)壓縮計(jì)算MAC值對壓縮數(shù)據(jù)及MAC值加密加入SSL記錄頭在TCP中傳輸43第二節(jié)安全套接字層SSL/TLSSSL記錄協(xié)議44第二節(jié)安全套接字層SSL/TLSdataMACMACrecordheaderrecordheaderencrypteddataandMACencrypteddataandMACdatafragmentdatafragment記錄頭(recordheader):內(nèi)容類型(ContentType);版本;長度

MAC:包括序列號,MAC密鑰Mx片段(fragment):每個(gè)SSL片段為214字節(jié)(~16KB)SSL記錄格式45第二節(jié)安全套接字層SSL/TLScontenttypeSSLversionlengthMAC數(shù)據(jù)(可壓縮)1byte2bytes3bytes數(shù)據(jù)和MAC是加密的(對稱密鑰加密算法)實(shí)際的SSL連接46第二節(jié)安全套接字層SSL/TLShandshake:ClientHellohandshake:ServerHellohandshake:Certificatehandshake:ServerHelloDonehandshake:ClientKeyExchangeChangeCipherSpechandshake:FinishedChangeCipherSpechandshake:Finishedapplication_dataapplication_dataAlert:warning,close_notify接下去是TCP的FIN段此后所有內(nèi)容均加密SSL密鑰派生客戶一次數(shù)、服務(wù)器一次數(shù)和預(yù)主密鑰輸入偽隨機(jī)數(shù)發(fā)生器產(chǎn)生主密鑰MS主密鑰和新一次隨機(jī)數(shù)輸入另一個(gè)隨機(jī)數(shù)發(fā)生器:“密鑰塊(keyblock)”密鑰塊“切片”:客戶MAC密鑰服務(wù)器MAC密鑰客戶加密秘鑰服務(wù)器加密秘鑰客戶初始向量(IV)服務(wù)器初始向量(IV)47第二節(jié)安全套接字層SSL/TLSTLS:傳輸層安全協(xié)議1995年Netscape公司把SSL協(xié)議轉(zhuǎn)交給IETF進(jìn)行標(biāo)準(zhǔn)化。1999年，IETF在SSL3.0的基礎(chǔ)上設(shè)計(jì)了TLS1.0，雖然改動很小，但使得TLS與SSL3.0無法互操作，不再兼容。大多數(shù)瀏覽器都實(shí)現(xiàn)了這兩個(gè)協(xié)議，在協(xié)商過程選擇SSL或者TLS這也是為什么經(jīng)常將這兩個(gè)協(xié)議寫成SSL/TLS的原因2006年發(fā)布TLS1.1，2008年發(fā)布了TLS1.2，2018年8月發(fā)布了最新版本TLS1.3。TLS記錄協(xié)議提供的連接安全性具有以下兩個(gè)基本特性：私有。采用對稱密鑰對數(shù)據(jù)加密，可以協(xié)商選擇更安全的對稱密鑰加密算法，如AES等?？煽?。信息傳輸過程使用MAC進(jìn)行信息完整性檢查，利用安全哈希函數(shù)（如SHA、MD5等）計(jì)算MAC。TLS握手協(xié)議提供的連接安全具有以下3個(gè)基本屬性：可以使用非對稱的，或公共密鑰的密碼來認(rèn)證對等方的身份。共享加密密鑰的協(xié)商是安全的。協(xié)商是可靠的。48第二節(jié)安全套接字層SSL/TLSTLS:傳輸層安全協(xié)議TLS的優(yōu)勢之一在于TLS是獨(dú)立于應(yīng)用層協(xié)議，任何基于TCP的應(yīng)用層協(xié)議都可以透明地運(yùn)行在TLS協(xié)議之上。TLS最典型的應(yīng)用仍然是安全Web應(yīng)用，即用于實(shí)現(xiàn)安全HTTP協(xié)議。當(dāng)HTTP運(yùn)行在TLS之上時(shí)，可以簡記為HTTP/TLS，或記為HTTPS（與使用SSL相同）。需要使用傳輸層安全協(xié)議的應(yīng)用場景越來越多現(xiàn)在越來越多的網(wǎng)站已全站使用安全協(xié)議HTTPS。當(dāng)用戶利用瀏覽器訪問這類網(wǎng)站時(shí)，在地址欄輸入網(wǎng)址后，瀏覽器會自動選擇安全協(xié)議HTTPS，在網(wǎng)址前自動加上“https://”。提供安全服務(wù)的Web服務(wù)器，即HTTPS的服務(wù)器端的默認(rèn)端口是443，而不是HTTP服務(wù)器端的默認(rèn)端口號80，以便區(qū)分HTTPS和HTTP。49第二節(jié)安全套接字層SSL/TLS李全龍第三節(jié)虛擬專用網(wǎng)VPN和安全I(xiàn)P協(xié)議IPSec專用網(wǎng)(PN)動機(jī)：安全

專用網(wǎng)絡(luò)PN(PrivateNetworks)：基于專屬的網(wǎng)絡(luò)設(shè)備、鏈路或協(xié)議等建設(shè)的專門服務(wù)于特定組織機(jī)構(gòu)的網(wǎng)絡(luò)。民航網(wǎng)絡(luò)、鐵路網(wǎng)絡(luò)、銀行網(wǎng)絡(luò)、……51第三節(jié)虛擬專用網(wǎng)VPN和

安全I(xiàn)P協(xié)議IPSec專用通道數(shù)據(jù)網(wǎng)絡(luò)總部網(wǎng)絡(luò)分支機(jī)構(gòu)網(wǎng)絡(luò)R1R2虛擬專用網(wǎng)(VPN)動機(jī)：安全+成本

虛擬專用網(wǎng)VPN(VirtualPrivateNetworks)：通過建立在公共網(wǎng)絡(luò)(如Internet)上的安全通道，實(shí)現(xiàn)遠(yuǎn)程用戶、分支機(jī)構(gòu)、業(yè)務(wù)伙伴等與機(jī)構(gòu)總部網(wǎng)絡(luò)的安全連接，從而構(gòu)建針對特定組織機(jī)構(gòu)的專用網(wǎng)絡(luò)。虛擬：“安全通道”不實(shí)際獨(dú)占公共網(wǎng)絡(luò)的資源，是一條邏輯的穿過公共網(wǎng)絡(luò)的安全、穩(wěn)定的隧道通過隧道技術(shù)、加密技術(shù)、密鑰管理、認(rèn)證和訪問控制等，實(shí)現(xiàn)與專用網(wǎng)類似的安全性能52第三節(jié)虛擬專用網(wǎng)VPN和

安全I(xiàn)P協(xié)議IPSec安全通道Internet總部網(wǎng)絡(luò)分支機(jī)構(gòu)網(wǎng)絡(luò)R1R2典型VPN應(yīng)用53第三節(jié)虛擬專用網(wǎng)VPN和

安全I(xiàn)P協(xié)議IPSecInternet遠(yuǎn)程客戶分支機(jī)構(gòu)R2合作伙伴R3安全通道安全通道安全通道總部R1VPN功能與關(guān)鍵技術(shù)

數(shù)據(jù)機(jī)密性保護(hù)數(shù)據(jù)完整性認(rèn)證數(shù)據(jù)源身份認(rèn)證防重放攻擊訪問控制54第三節(jié)虛擬專用網(wǎng)VPN和

安全I(xiàn)P協(xié)議IPSecVPN關(guān)鍵技術(shù)隧道技術(shù)數(shù)據(jù)加密身份認(rèn)證密鑰管理訪問控制網(wǎng)絡(luò)管理55第三節(jié)虛擬專用網(wǎng)VPN和

安全I(xiàn)P協(xié)議IPSecVPN關(guān)鍵技術(shù)-隧道技術(shù)構(gòu)建VPN的核心技術(shù)隧道：通過Internet提供安全的點(diǎn)到點(diǎn)(或端到端)的數(shù)據(jù)傳輸“安全通道”實(shí)質(zhì)上是一種封裝

VPN隧道利用隧道協(xié)議對通過隧道傳輸?shù)臄?shù)據(jù)進(jìn)行封裝使數(shù)據(jù)安全穿越公共網(wǎng)絡(luò)(通常是Internet)通過加密和認(rèn)證以確保安全數(shù)據(jù)包進(jìn)入隧道時(shí)，由VPN封裝成IP數(shù)據(jù)報(bào)通過隧道在Internet上安全傳輸離開隧道后，進(jìn)行解封裝，數(shù)據(jù)便不再被保護(hù)56第三節(jié)虛擬專用網(wǎng)VPN和

安全I(xiàn)P協(xié)議IPSecVPN關(guān)鍵技術(shù)-隧道協(xié)議隧道協(xié)議內(nèi)包括以下三種協(xié)議：乘客協(xié)議（PassengerProtocol）封裝協(xié)議（EncapsulatingProtocol）承載協(xié)議（CarrierProtocol）常見VPN隧道協(xié)議：第二層隧道：PPTP、L2TP主要用于遠(yuǎn)程客戶機(jī)訪問局域網(wǎng)方案第三層隧道：IPSec主要用于網(wǎng)關(guān)到網(wǎng)關(guān)、或網(wǎng)關(guān)到主機(jī)方案不支持遠(yuǎn)程撥號訪問57第三節(jié)虛擬專用網(wǎng)VPN和

安全I(xiàn)P協(xié)議IPSec承載協(xié)議封裝協(xié)議乘客協(xié)議典型VPN實(shí)現(xiàn)技術(shù)IPSec：最安全、適用面最廣SSL：具有高層安全協(xié)議的優(yōu)勢L2TP：最好的實(shí)現(xiàn)遠(yuǎn)程接入VPN的技術(shù)典型VPN技術(shù)結(jié)合：IPSec與SSL、IPSec與L2TP58第三節(jié)虛擬專用網(wǎng)VPN和

安全I(xiàn)P協(xié)議IPSecIPSec體系結(jié)構(gòu)59第三節(jié)虛擬專用網(wǎng)VPN和

安全I(xiàn)P協(xié)議IPSecIPSec服務(wù)機(jī)密性(confidentiality)數(shù)據(jù)完整性(dataintegrity)源認(rèn)證/鑒別(originauthentication)重放攻擊預(yù)防(replayattackprevention)提供不同服務(wù)模型的兩個(gè)協(xié)議:AHESP60第三節(jié)虛擬專用網(wǎng)VPN和

安全I(xiàn)P協(xié)議IPSecIPSec的傳輸(transport)模式IPSec數(shù)據(jù)報(bào)的發(fā)送與接收均由端系統(tǒng)完成

主機(jī)是IPSec感知的(IPSec-ware)61第三節(jié)虛擬專用網(wǎng)VPN和

安全I(xiàn)P協(xié)議IPSecIPSecIPSecIPSec的隧道(tunneling)模式邊緣路由器是IPSec感知的(IPSec-ware)62第三節(jié)虛擬專用網(wǎng)VPN和

安全I(xiàn)P協(xié)議IPSecIPSecIPSec兩個(gè)IPSec協(xié)議提供IPSec服務(wù)的兩個(gè)協(xié)議:AH：在IP數(shù)據(jù)報(bào)文頭中的協(xié)議號為51ESP：在IP數(shù)據(jù)報(bào)文頭中的協(xié)議號為50認(rèn)證頭協(xié)議AH(AuthenticationHeader)提供源認(rèn)證/鑒別和數(shù)據(jù)完整性檢驗(yàn)，但不提供機(jī)密性封裝安全協(xié)議ESP(EncapsulationSecurityProtocol)提供源認(rèn)證/鑒別、數(shù)據(jù)完整性檢驗(yàn)以及機(jī)密性比AH應(yīng)用更廣泛63第三節(jié)虛擬專用網(wǎng)VPN和

安全I(xiàn)P協(xié)議IPSecIPSec模式與協(xié)議的4種組合!64第三節(jié)虛擬專用網(wǎng)VPN和

安全I(xiàn)P協(xié)議IPSec傳輸模式AH傳輸模式ESP隧道模式AH隧道模式ESP最普遍、最重要安全關(guān)聯(lián)(SA)發(fā)送數(shù)據(jù)前，從發(fā)送實(shí)體到接收實(shí)體之間需要建立安全關(guān)聯(lián)SA(securityassociation)SA是單工的:單向發(fā)送實(shí)體與接收實(shí)體均需維護(hù)SA的狀態(tài)信息回顧:TCP連接的端點(diǎn)也需要維護(hù)狀態(tài)信息IP是無連接的；IPSec是面向連接的！例如：65第三節(jié)虛擬專用網(wǎng)VPN和

安全I(xiàn)P協(xié)議IPSec172.16.1/24172.16.2/24Internet總部分支機(jī)構(gòu)R1R2SASA安全關(guān)聯(lián)(SA)安全關(guān)聯(lián)主要參數(shù)：安全參數(shù)索引(SPI)：32位SA唯一標(biāo)識(ID)加密密鑰、認(rèn)證密鑰密碼算法標(biāo)識序列號(32位)抗重放攻擊抗重播窗口接收方使用滑動窗口檢測惡意主機(jī)重放數(shù)據(jù)報(bào)生存周期規(guī)定SA的有效使用周期運(yùn)行模式：傳輸模式或隧道模式IPSec隧道源、目的地址66第三節(jié)虛擬專用網(wǎng)VPN和

安全I(xiàn)P協(xié)議IPSecSA舉例R1為SA存儲:32位SA標(biāo)識(ID):安全參數(shù)索引SPI(SecurityParameterIndex)起點(diǎn)(origin)SA接口(00)終點(diǎn)(destination)SA接口(3)加密類型(e.g.,3DESwithCBC)加密密鑰完整性檢驗(yàn)類型(e.g.,HMACwithMD5)認(rèn)證/鑒別密鑰67第三節(jié)虛擬專用網(wǎng)VPN和

安全I(xiàn)P協(xié)議IPSec300172.16.1/24172.16.2/24SAInternet總部分支機(jī)構(gòu)R1R2安全關(guān)聯(lián)數(shù)據(jù)庫(SAD)IPSec端點(diǎn)將SA狀態(tài)保存在安全關(guān)聯(lián)數(shù)據(jù)庫SAD(securityassociationdatabase)中在處理IPSec數(shù)據(jù)報(bào)時(shí)，定位這些信息對于n個(gè)銷售人員，1個(gè)分支機(jī)構(gòu)的VPN，總部的路由器R1的SAD中存儲2+2n條SAs當(dāng)發(fā)送IPSec數(shù)據(jù)報(bào)時(shí)，R1訪問SAD，確定如何處理數(shù)據(jù)報(bào)當(dāng)IPSec數(shù)據(jù)報(bào)到達(dá)R2R2檢驗(yàn)IPSec數(shù)據(jù)報(bào)中的SPI利用SPI檢索SAD處理數(shù)據(jù)報(bào)68第三節(jié)虛擬專用網(wǎng)VPN和

安全I(xiàn)P協(xié)議IPSec安全策略數(shù)據(jù)庫(SPD)SecurityPolicyDatabase(SPD)安全策略(SP):定義了對什么樣的數(shù)據(jù)流實(shí)施什么樣的安全處理應(yīng)用IPSec、繞過、丟棄安全策略組成了SPD，每個(gè)記錄就是一條SP提取關(guān)鍵信息填充到一個(gè)稱為“選擇符”的結(jié)構(gòu)包括目標(biāo)IP、源IP、傳輸層協(xié)議、源和目標(biāo)端口等利用選擇符去搜索SPD，檢索匹配的SP安全處理需要的參數(shù)存儲在SP指向的SA結(jié)構(gòu)69第三節(jié)虛擬專用網(wǎng)VPN和

安全I(xiàn)P協(xié)議IPSecIPSec數(shù)據(jù)報(bào)70第三節(jié)虛擬專用網(wǎng)VPN和

安全I(xiàn)P協(xié)議IPSec傳輸模式AH：IPSec數(shù)據(jù)報(bào)71第三節(jié)虛擬專用網(wǎng)VPN和

安全I(xiàn)P協(xié)議IPSec隧道模式AH：IPSec數(shù)據(jù)報(bào)72第三節(jié)虛擬專用網(wǎng)VPN和

安全I(xiàn)P協(xié)議IPSec傳輸模式ESP：IPSec數(shù)據(jù)報(bào)73第三節(jié)虛擬專用網(wǎng)VPN和

安全I(xiàn)P協(xié)議IPSec隧道模式ESP：新IP頭原IP頭原IP數(shù)據(jù)報(bào)載荷ESP認(rèn)證ESP尾部填充(0-255B)填充長度(8)下一個(gè)頭(8)ESP頭SPI(32)序列號(32)認(rèn)證的加密的enchiladaIPSec的傳輸模式74第三節(jié)虛擬專用網(wǎng)VPN和

安全I(xiàn)P協(xié)議IPSecIPSecIPSecESP頭原IP頭原IP數(shù)據(jù)報(bào)載荷ESP尾部ESP認(rèn)證AH頭原IP頭原IP數(shù)據(jù)報(bào)載荷IPSec數(shù)據(jù)報(bào)傳輸模式AH：傳輸模式ESP：IPSec的隧道模式75第三節(jié)虛擬專用網(wǎng)VPN和

安全I(xiàn)P協(xié)議IPSecIPSecIPSec新IP頭ESP頭原IP頭原IP數(shù)據(jù)報(bào)載荷ESP尾部ESP認(rèn)證IPSec數(shù)據(jù)報(bào)隧道模式AH：隧道模式ESP：AH頭原IP頭原IP數(shù)據(jù)報(bào)載荷新IP頭數(shù)據(jù)報(bào)處理過程76第三節(jié)虛擬專用網(wǎng)VPN和

安全I(xiàn)P協(xié)議IPSec300172.16.1/24172.16.2/24安全關(guān)聯(lián)(SA)Internet總部分支機(jī)構(gòu)R1R2新IP頭ESP頭原IP頭原IP數(shù)據(jù)報(bào)載荷ESP尾部ESP認(rèn)證加密的認(rèn)證的填充(0-255B)填充長度(8)下一個(gè)頭(8)SPI(32)序列號(32)R1:將原IP數(shù)據(jù)報(bào)轉(zhuǎn)換為IPSec數(shù)據(jù)報(bào)檢索SPD，確定處理策略檢索SAD，確定SA在原IP數(shù)據(jù)報(bào)(包括原IP首部域！)后面附加“ESP尾部”.利用SA定義的算法與密鑰，加密上述結(jié)果.在加密結(jié)果前面附加“ESP頭”，創(chuàng)建“enchilada”.針對整個(gè)enchilada，利用SA定義的算法與密鑰，創(chuàng)建報(bào)文認(rèn)證碼MAC；

在enchilada后面附加MAC，構(gòu)成載荷(新IP數(shù)據(jù)報(bào)載荷)；構(gòu)造全新的IP頭，包含所有經(jīng)典的IPv4首部字段；將新IP頭附加在載荷的前面77第三節(jié)虛擬專用網(wǎng)VPN和

安全I(xiàn)P協(xié)議IPSecR2:解封IPSec數(shù)據(jù)報(bào)從原始IP數(shù)據(jù)報(bào)中提取選擇符，并搜索SPD，確定處理策略丟棄或轉(zhuǎn)入系統(tǒng)IP協(xié)議棧進(jìn)行后繼處理判斷是否為IPSec數(shù)據(jù)報(bào)從頭部提取<SPI>，并檢索SAD若找不到SA，則觸發(fā)IKE或丟棄包；若找到，則根據(jù)SA解封數(shù)據(jù)報(bào)，得到原始IP數(shù)據(jù)報(bào)78第三節(jié)虛擬專用網(wǎng)VPN和

安全I(xiàn)P協(xié)議IPSec在enchilada內(nèi)部:ESP尾部：填充以便應(yīng)用分組密碼ESP首部：

SPI，接收實(shí)體基于此知道該做什么序列號，抵抗重放攻擊ESP的MAC認(rèn)證字段，基于共享的秘密密鑰79第三節(jié)虛擬專用網(wǎng)VPN和

安全I(xiàn)P協(xié)議IPSec新IP頭ESP頭原IP頭原IP數(shù)據(jù)報(bào)載荷ESP尾部ESP認(rèn)證加密的認(rèn)證的填充(0-255B)填充長度(8)下一個(gè)頭(8)SPI(32)序列號(32)IPSec序列號對于新SA，發(fā)送方初始化序列號為0每次通過SA發(fā)送數(shù)據(jù)報(bào):發(fā)送方增加序列號計(jì)數(shù)器（加1）將計(jì)數(shù)器值置于序列號字段目的：預(yù)防嗅探與回放分組攻擊接收重復(fù)的、已認(rèn)證的IP分組，會破壞正常服務(wù)方法：

接收方檢驗(yàn)分組重復(fù)無需記錄所有已接收分組；而是利用一個(gè)窗口80第三節(jié)虛擬專用網(wǎng)VPN和

安全I(xiàn)P協(xié)議IPSecSA的建立和密鑰管理IPSec支持兩種方式的SA建立和密鑰管理：手工方式所有的信息需要手工配置SA永遠(yuǎn)存在適用于結(jié)構(gòu)簡單的網(wǎng)絡(luò)自動方式SA可以通過協(xié)商方式產(chǎn)生SA過期以后重新協(xié)商，提高了安全性適用于較復(fù)雜拓?fù)浜洼^高安全性的網(wǎng)絡(luò)81第三節(jié)虛擬專用網(wǎng)VPN和

安全I(xiàn)P協(xié)議IPSecInternet密鑰交換(IKE)前面的例子：在IPSec端點(diǎn)，手工建立IPSecSAExampleSASPI:12345SourceIP:00DestIP:3Protocol:ESPEncryptionalgorithm:3DES-cbcHMACalgorithm:MD5Encryptionkey:0x7aeaca…HMACkey:0xc0291f…對于幾百個(gè)端點(diǎn)規(guī)模的VPN，手工設(shè)置密鑰是不可行的替代方案：IPSecIKE(InternetKeyExchange)82第三節(jié)虛擬專用網(wǎng)VPN和

安全I(xiàn)P協(xié)議IPSec300172.16.1/24172.16.2/24安全關(guān)聯(lián)(SA)Internet總部分支機(jī)構(gòu)R1R2Internet密鑰交換(IKE)IKE協(xié)議可自動管理SA的建立、協(xié)商、修改和刪除，是IPSec唯一的密鑰管理協(xié)議IKE的三個(gè)主要部分：

ISAKMP(InternetSecurityAssociationandKeyManagementProtocol)的通用框架定義了協(xié)商、建立、修改和刪除SA過程的通用框架OAKLEY的密鑰交換模式一個(gè)密鑰交換協(xié)議，允許認(rèn)證過的雙方通過不安全的網(wǎng)絡(luò)交換密鑰參數(shù)SKEME的共享和密鑰更新技術(shù)提供了IKE交換密鑰的算法83第三節(jié)虛擬專用網(wǎng)VPN和

安全I(xiàn)P協(xié)議IPSecIKE和IPSecIKE為IPSec提供服務(wù)：密鑰交換與管理身份認(rèn)證：通信對等體的認(rèn)證IPSecSA的協(xié)商與管理84第三節(jié)虛擬專用網(wǎng)VPN和

安全I(xiàn)P協(xié)議IPSecIKE:PSK與PKI認(rèn)證可以通過：預(yù)共享密鑰(PSK)，或者

公鑰基礎(chǔ)設(shè)施PKI(公開/私有密鑰對以及證書).PSK：基于共享的秘密密鑰運(yùn)行IKE認(rèn)證彼此，并建立IPSecSAs(每個(gè)方向一個(gè))包括加密秘鑰和認(rèn)證密鑰PKI：基于公開/私有密鑰對以及證書運(yùn)行IKE認(rèn)證彼此，并建立IPSecSAs(每個(gè)方向一個(gè))類似于SSL的握手過程85第三節(jié)虛擬專用網(wǎng)VPN和

安全I(xiàn)P協(xié)議IPSecIPSec總結(jié)IKE用于交換算法、秘密密鑰、SPI采用AH協(xié)議或者ESP協(xié)議(或者兩者)AH提供完整性、源認(rèn)證服務(wù)ESP提供完整性、源認(rèn)證以及機(jī)密性服務(wù)IPSec對等端可以是：兩個(gè)端系統(tǒng)兩個(gè)路由器/防火墻一個(gè)路由器/防火墻與一個(gè)端系統(tǒng)86第三節(jié)虛擬專用網(wǎng)VPN和

安全I(xiàn)P協(xié)議IPSec李全龍第四節(jié)防火墻防火墻88第四節(jié)防火墻隔離組織內(nèi)部網(wǎng)絡(luò)與公共互聯(lián)網(wǎng)，允許某些分組通過，而阻止其他分組進(jìn)入/離開內(nèi)部網(wǎng)絡(luò)的軟件/硬件設(shè)施。防火墻(firewall)

被管理網(wǎng)絡(luò)公共Internet防火墻信任的“良民”

不信任的“壞蛋”

為什么需要防火墻？89預(yù)防拒絕服務(wù)攻擊（DoS）:SYN泛洪:攻擊者建立許多虛假TCP連接，耗盡資源，導(dǎo)致“真正”的連接無法建立預(yù)防非法修改/內(nèi)部數(shù)據(jù)訪問:e.g.,攻擊者替換CIA網(wǎng)站主頁只允許對內(nèi)部網(wǎng)絡(luò)的授權(quán)訪問：認(rèn)證的用戶/主機(jī)第四節(jié)防火墻防火墻的分類從軟、硬件形式上分類：軟件防火墻硬件防火墻芯片級防火墻按照防火墻在網(wǎng)絡(luò)協(xié)議棧進(jìn)行過濾的層次分類：包過濾防火墻電路級網(wǎng)關(guān)防火墻應(yīng)用層網(wǎng)關(guān)防火墻按照防火墻在網(wǎng)絡(luò)中的應(yīng)用部署位置分類：邊界防火墻個(gè)人防火墻混合式防火墻90第四節(jié)防火墻防火墻的功能防火墻控制訪問和執(zhí)行站點(diǎn)安全策略的4種技術(shù)：服務(wù)控制方向控制用戶控制行為控制防火墻主要功能：可以防止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)，禁止存在安全脆弱性的服務(wù)進(jìn)出網(wǎng)絡(luò)，抗擊網(wǎng)絡(luò)攻擊，簡化安全管理?？梢苑奖憔W(wǎng)絡(luò)安全性監(jiān)視與報(bào)警。可以作為部署網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)的邏輯地址，屏蔽內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)和信息，保證內(nèi)部網(wǎng)絡(luò)的穩(wěn)定性?？梢詫徲?jì)和記錄Internet使用量。可以成為向客戶發(fā)布信息的理想地點(diǎn)。91第四節(jié)防火墻防火墻的局限性可能限制有用的網(wǎng)絡(luò)服務(wù)。無法防護(hù)內(nèi)部網(wǎng)絡(luò)用戶的攻擊。

無法防范繞過防火墻以外的其他途徑的攻擊。不能防止傳送已感染病毒的軟件或文件。

無法防范數(shù)據(jù)驅(qū)動型的攻擊。不能防備新的網(wǎng)絡(luò)安全問題。92第四節(jié)防火墻防火墻的設(shè)計(jì)原則防火墻的安全策略：拒絕沒有特別允許的任何事情（No規(guī)則）允許沒有特別拒絕的任何事情（Yes規(guī)則）機(jī)構(gòu)的安全策略：防火墻并不是獨(dú)立的，只是機(jī)構(gòu)總體安全策略一部分。安全策略必須建立在精心的安全分析、風(fēng)險(xiǎn)評估以及商業(yè)需求分析基礎(chǔ)之上。機(jī)構(gòu)能夠負(fù)擔(dān)起什么樣的防火墻。正確評估防火墻的失效狀態(tài)：(1)未受傷害能夠繼續(xù)正常工作。(2)關(guān)閉并重新啟動，同時(shí)恢復(fù)到正常工作狀態(tài)。(3)關(guān)閉并禁止所有的數(shù)據(jù)通行。(4)關(guān)閉并允許所有的數(shù)據(jù)通行。93第四節(jié)防火墻比較理想最不安全防火墻實(shí)現(xiàn)原理防火墻的基本原理：對通過防火墻的數(shù)據(jù)包的相關(guān)信息進(jìn)行檢查，檢查的重點(diǎn)是網(wǎng)絡(luò)協(xié)議及其封裝的數(shù)據(jù)。防火墻的基本技術(shù)：數(shù)據(jù)包過濾技術(shù)代理服務(wù)服務(wù)器端代理客戶端代理94第四節(jié)防火墻防火墻實(shí)現(xiàn)原理過濾型防火墻：靜態(tài)包過濾防火墻靜態(tài)包過濾防火墻也稱為無狀態(tài)分組過濾防火墻，一般工作在TCP/IP協(xié)議棧的IP層。靜態(tài)包過濾防火墻通常是一臺能過濾數(shù)據(jù)包的路由器。包過濾規(guī)則用來匹配數(shù)據(jù)包內(nèi)容以決定哪些包被允許、哪些包被拒絕。無狀態(tài)分組過濾器典型部署在內(nèi)部網(wǎng)絡(luò)和網(wǎng)絡(luò)邊緣路由器上。包過濾規(guī)則中通?；谝韵聟?shù)：①接口和方向。②IP數(shù)據(jù)報(bào)的源IP地址和目的IP地址字段。③IP數(shù)據(jù)報(bào)的選項(xiàng)字段。④IP數(shù)據(jù)報(bào)的上層協(xié)議字段。⑤TCP報(bào)文段的ACK、SYN等標(biāo)志位檢查。⑥ICMP的報(bào)文類型。⑦TCP和UDP報(bào)文段的源端口號和目的端口號。95第四節(jié)防火墻防火墻實(shí)現(xiàn)原理靜態(tài)包過濾防火墻分組過濾策略舉例1Web服務(wù)器在3/16某機(jī)構(gòu)網(wǎng)絡(luò)分組過濾策略96第四節(jié)防火墻策略防火墻設(shè)置不允許訪問外部Web站點(diǎn)丟棄所有目的端口號=80的外出分組禁止進(jìn)入的TCP連接，連接組織公共Web服務(wù)器除外丟棄所有TCPSYN段，目的IP地址為3，端口號為80的IP數(shù)據(jù)報(bào)除外阻止Web電臺應(yīng)用，以防消耗可用帶寬丟棄所有進(jìn)入的UDP分組，DNS分組和路由器廣播分組除外阻止你的網(wǎng)絡(luò)被用于藍(lán)精靈DoS攻擊丟棄所有發(fā)往廣播地址(e.g.55)的ICMP分組阻止你的網(wǎng)絡(luò)被路由跟蹤丟棄所有外出的TTL失效ICMP流量防火墻實(shí)現(xiàn)原理靜態(tài)包過濾防火墻分組過濾策略舉例2在某路由器訪問控制列表（ACL）實(shí)現(xiàn)防火墻規(guī)則靜態(tài)包過濾防火墻分組過濾策略舉例3某路由器的分組過濾規(guī)則97第四節(jié)防火墻動作源地址目的地址協(xié)議源端口目的端口目標(biāo)比特允許182.202/16182.202/16外部TCP>102380任意允許182.202/16外部182.202/16TCP80>1023ACK拒絕全部全部全部全部全部全部規(guī)則源地址目的地址協(xié)議目的端口號操作1任意TCP80允許2任意UDP53允許3任意TCP25允許4任意任意其他地址任意任意拒絕防火墻實(shí)現(xiàn)原理靜態(tài)包過濾防火墻分組過濾策略舉例4SMTP過濾規(guī)則表98第四節(jié)防火墻規(guī)則方向協(xié)議源地址目的地址源端口目的端口操作1流入TCP外部內(nèi)部>102325允許2流出TCP內(nèi)部外部25>1023允許3流出TCP內(nèi)部外部>102325允許4流入TCP外部內(nèi)部25>1023允許5******禁止無狀態(tài)分組過濾：舉例例5:阻止協(xié)議字段=17，以及源或目的端口號=23的數(shù)據(jù)報(bào)進(jìn)入與離開結(jié)果:所有進(jìn)入或離開的UDP流量，以及Telnet連接均被阻止例6:阻止進(jìn)入的、ACK=0的TCP段結(jié)果:阻止外部客戶與內(nèi)部主機(jī)主動建立TCP連接，但是允許內(nèi)部客戶與外部主機(jī)主動建立連接99第四節(jié)防火墻策略(Policy)防火墻設(shè)置不允許訪問外部Web站點(diǎn)丟棄所有目的端口號=80的外出分組禁止進(jìn)入的TCP連接，連接組織公共Web服務(wù)器除外丟棄所有TCPSYN段，目的IP地址為03,端口號為80的IP數(shù)據(jù)報(bào)除外阻止Web視頻應(yīng)用，以防消耗可用帶寬丟棄所有進(jìn)入的UDP分組，DNS分組和路由器廣播分組除外阻止你的網(wǎng)絡(luò)被用于藍(lán)精靈DoS攻擊丟棄所有發(fā)往廣播地址

(e.g.55)的ICMP分組

阻止你的網(wǎng)絡(luò)被路由跟蹤丟棄所有外出的TTL失效ICMP流量訪問控制列表ACL(AccessControlLists):規(guī)則表，自頂向下應(yīng)用于到達(dá)的分組：(action,condition)對100第四節(jié)防火墻actionsourceaddressdestaddressprotocolsourceportdestportflagbitallow222.22/16outsideof222.22/16TCP>102380anyallowoutsideof222.22/16222.22/16TCP80>1023ACKallow222.22/16outsideof222.22/16UDP>102353---allowoutsideof222.22/16222.22/16UDP53>1023----denyallallallallallall防火墻實(shí)現(xiàn)原理靜態(tài)包過濾防火墻主要優(yōu)點(diǎn)：①對網(wǎng)絡(luò)性能影響比較小，處理速度快，硬件和軟件都容易實(shí)現(xiàn)②成本較低，配置和使用方法簡單，客戶端不需要特別配置③可以提供附加的網(wǎng)絡(luò)地址映射(NAT)功能，隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)靜態(tài)包過濾防火墻主要缺點(diǎn)：①不能理解應(yīng)用層協(xié)議，不能對數(shù)據(jù)分組中更高層的信息進(jìn)行分析過濾，因而安全性較差。②不能跟蹤連接狀態(tài)和與應(yīng)用有關(guān)的信息。③在支持網(wǎng)絡(luò)服務(wù)的情況下，或者使用動態(tài)分配端口服務(wù)的情況下，很難測試用戶指定的訪問控制規(guī)則的有效性。④過濾規(guī)則較多、較復(fù)雜的情況下，會引起網(wǎng)絡(luò)性能的下降。101第四節(jié)防火墻防火墻實(shí)現(xiàn)原理過濾型防火墻：狀態(tài)檢測防火墻狀態(tài)檢測防火墻，又稱為動態(tài)包過濾防火墻。靜態(tài)包過濾防火墻可能阻止內(nèi)網(wǎng)用戶正常訪問外部服務(wù)器。狀態(tài)檢測防火墻使用連接狀態(tài)表保持跟蹤連接的狀態(tài)。狀態(tài)檢測防火墻的工作過程：首先利用規(guī)則表進(jìn)行數(shù)據(jù)包的過濾若某數(shù)據(jù)包在進(jìn)入防火墻時(shí)規(guī)則表拒絕通過，則防火墻將直接丟棄該數(shù)據(jù)包，與該數(shù)據(jù)包相關(guān)的后續(xù)數(shù)據(jù)包若某數(shù)據(jù)包在進(jìn)入防火墻時(shí)，與該規(guī)則表中某一條規(guī)則匹配，則允許其通過分析已通過數(shù)據(jù)包相關(guān)信息，在連接狀態(tài)表中為這次通信過程建立一個(gè)連接當(dāng)同一通信過程中的后續(xù)數(shù)據(jù)包進(jìn)入防火墻時(shí)，狀態(tài)檢測防火墻不再進(jìn)行規(guī)則表的匹配，而是直接與狀態(tài)表進(jìn)行匹配。后續(xù)的數(shù)據(jù)包與已經(jīng)允許通過防火墻的數(shù)據(jù)包具有相同的連接信息，所以會直接允許其通過。102第四節(jié)防火墻防火墻實(shí)現(xiàn)原理狀態(tài)檢測防火墻的主要優(yōu)點(diǎn)：①采用動態(tài)包過濾技術(shù)的狀態(tài)檢測防火墻通過對數(shù)據(jù)包的跟蹤監(jiān)測技術(shù)，解決了靜態(tài)包過濾防火墻中某些應(yīng)用需要使用動態(tài)端口時(shí)存在的安全隱患等。②狀態(tài)檢測防火墻不需要中斷直接通信的兩臺主機(jī)之間的連接，對網(wǎng)絡(luò)速度的影響較小。③狀態(tài)檢測防火墻具有新型的分布式防火墻的特征。它可以使用分布式探測器對外部網(wǎng)絡(luò)的攻擊進(jìn)行檢測，同時(shí)對內(nèi)部網(wǎng)絡(luò)的惡意破壞進(jìn)行防范。狀態(tài)檢測防火墻的主要不足：對防火墻CPU、內(nèi)存等硬件要求較高安全性主要依賴于防火墻操作系統(tǒng)的安全性，安全性不如代理防火墻狀態(tài)檢測防火墻提供了比代理防火墻更強(qiáng)的網(wǎng)絡(luò)吞吐能力和比靜態(tài)包過濾防火墻更高的安全性，在網(wǎng)絡(luò)的安全性能和數(shù)據(jù)處理效率這兩個(gè)相互矛盾的因素之間進(jìn)行了較好的平衡。103第四節(jié)防火墻防火墻實(shí)現(xiàn)原理代理型防火墻：應(yīng)用級網(wǎng)關(guān)防火墻(ApplicationLevelGateways)

應(yīng)用級網(wǎng)關(guān)防火墻必須為特定的應(yīng)用編寫特定的程序—代理服務(wù)(ProxyServer)代理服務(wù)是負(fù)責(zé)處理通過防火墻的某一類特定服務(wù)數(shù)據(jù)流的專用程序104第四節(jié)防火墻防火墻實(shí)現(xiàn)原理應(yīng)用級網(wǎng)關(guān)防火墻主要優(yōu)點(diǎn)：①可以保存關(guān)于連接及應(yīng)用有關(guān)的詳細(xì)信息，在應(yīng)用層實(shí)現(xiàn)復(fù)雜的訪問控制。②不允許內(nèi)部網(wǎng)絡(luò)主機(jī)和外部網(wǎng)絡(luò)服務(wù)器之間的直接連接，可隱藏內(nèi)部地址，安全性高。③可以產(chǎn)生豐富的審計(jì)記錄，便于系統(tǒng)管理員進(jìn)行分析。應(yīng)用層網(wǎng)關(guān)防火墻的主要缺點(diǎn)：①代理服務(wù)可能引入處理延時(shí)，可能會成為網(wǎng)絡(luò)的瓶頸。②對不同的應(yīng)用服務(wù)需要編寫不同的代理程序，適應(yīng)性差。③用戶配置較為復(fù)雜，增加了系統(tǒng)管理的工作量。105第四節(jié)防火墻防火墻實(shí)現(xiàn)原理代理型防火墻：電路級網(wǎng)關(guān)防火墻電路級網(wǎng)關(guān)又稱為線路級網(wǎng)關(guān)，工作在會話層，是一個(gè)通用代理服務(wù)器。適應(yīng)于多個(gè)協(xié)議，不需要識別在同一個(gè)協(xié)議棧上運(yùn)行的不同應(yīng)用，不需要對不同應(yīng)用設(shè)置不同代理模塊。106第四節(jié)防火墻防火墻實(shí)現(xiàn)原理電路級網(wǎng)關(guān)的工作過程：①假定有一用戶正在試圖和目的URL進(jìn)行連接。②此時(shí)，該用戶所使用的客戶應(yīng)用程序不是為這個(gè)URL發(fā)出的DNS請求，而是將請求發(fā)到地址已經(jīng)被解析的電路級網(wǎng)關(guān)的接口上。③若有需要，電路級網(wǎng)關(guān)提示用戶進(jìn)行身份認(rèn)證。④用戶通過身份認(rèn)證后，電路級網(wǎng)關(guān)為目的URL發(fā)出一個(gè)DNS請求，然后用自己的IP地址和目的IP地址建立一個(gè)連接。⑤然后，電路級網(wǎng)關(guān)把目的URL服務(wù)器的應(yīng)答轉(zhuǎn)給用戶。107第四節(jié)防火墻防火墻實(shí)現(xiàn)原理電路級網(wǎng)關(guān)的主要優(yōu)點(diǎn)：①在OSI上實(shí)現(xiàn)的層次較高，可以對更多的元素進(jìn)行過濾，同時(shí)還提供認(rèn)證功能，安全性比靜態(tài)包過濾防火墻高。②不需要對不同的應(yīng)用設(shè)置不同的代理模塊，比應(yīng)用層網(wǎng)關(guān)防火墻具有優(yōu)勢。③切斷了外部網(wǎng)絡(luò)到防火墻后面服務(wù)器的直接連接，使數(shù)據(jù)包不能在服務(wù)器與客戶機(jī)之間直接流動，從而保護(hù)了內(nèi)部網(wǎng)絡(luò)主機(jī)。④可以提供網(wǎng)絡(luò)地址映射功能。電路級網(wǎng)關(guān)的主要缺點(diǎn)：①無法進(jìn)行高層協(xié)議的嚴(yán)格安全檢查，如無法對數(shù)據(jù)內(nèi)容進(jìn)行檢測，以抵御應(yīng)用層攻擊。②對訪問限制規(guī)則的測試較為困難。108第四節(jié)防火墻防火墻實(shí)現(xiàn)原理電路級網(wǎng)關(guān)的實(shí)例：SocksIETF認(rèn)可的、標(biāo)準(zhǔn)的、基于TCP/IP的網(wǎng)絡(luò)代理協(xié)議Socks包括兩個(gè)部件：Socks服務(wù)器和Socks客戶端基本目的就是讓Socks服務(wù)器兩邊的主機(jī)能夠互相訪問，而不需要直接的IP互聯(lián)109第四節(jié)防火墻防火墻實(shí)現(xiàn)原理Socks的兩個(gè)版本：SocksV4和SocksV5SocksV4協(xié)議主要完成3個(gè)功能：發(fā)起連接請求、建立代理電路和中繼應(yīng)用數(shù)據(jù)。SocksV5協(xié)議在第4版的基礎(chǔ)上增加了認(rèn)證功能。SocksV5增強(qiáng)的功能：①強(qiáng)認(rèn)證。②認(rèn)證方法協(xié)商。③地址解析代理。④基于UDP應(yīng)用程序的代理。110第四節(jié)防火墻防火墻實(shí)現(xiàn)原理代理型防火墻：自治代理防火墻(AdaptiveProxy)繼承了低層防火墻技術(shù)的快速和高層防火墻的安全性，采用了基于自治代理的結(jié)構(gòu)，代理之間通過標(biāo)準(zhǔn)接口進(jìn)行交互。自治代理防火墻是由自適應(yīng)代理服務(wù)器與動態(tài)包過濾器組合而成，在自適應(yīng)代理與動態(tài)包過濾器之間存在一個(gè)控制通道。在對防火墻進(jìn)行配置時(shí)，用戶將所需要的服務(wù)類型、安全級別等信息通過相應(yīng)的管理界面進(jìn)行設(shè)置。自適應(yīng)代理就可以根據(jù)用戶的配置信息，決定是使用代理服務(wù)從應(yīng)用層代理請求還是從網(wǎng)絡(luò)層轉(zhuǎn)發(fā)包。采用自適應(yīng)代理機(jī)制，速度和安全的“粒度”可以由防火墻管理員設(shè)置，以使得防火墻能確切地知道在各種環(huán)境中什么級別的風(fēng)險(xiǎn)是可以接受的。111第四節(jié)防火墻防火墻體系結(jié)構(gòu)防火墻的體系結(jié)構(gòu)一般有雙宿/多宿主機(jī)體系結(jié)構(gòu)、屏蔽主機(jī)體系結(jié)構(gòu)、屏蔽子網(wǎng)體系結(jié)構(gòu)3種類型。雙宿/多宿主機(jī)體系結(jié)構(gòu)雙宿/多宿主機(jī)體系結(jié)構(gòu)防火墻的最大特點(diǎn)是IP層的通信被禁止，兩個(gè)網(wǎng)絡(luò)之間的通信可以通過應(yīng)用層數(shù)據(jù)共享或應(yīng)用層代理服務(wù)來完成。雙宿/多宿主機(jī)用兩種方式來提供服務(wù)：一種是用戶直接登錄到雙宿主機(jī)上來提供服務(wù)，另一種是在雙宿主機(jī)上運(yùn)行代理服務(wù)器。112第四節(jié)防火墻防火墻體系結(jié)構(gòu)屏蔽主機(jī)體系結(jié)構(gòu)屏蔽主機(jī)體系結(jié)構(gòu)(ScreenedHost)由包過濾路由器和堡壘主機(jī)組成。堡壘主機(jī)通常指那些在安全方面能夠達(dá)到普通工作站所不能達(dá)到程度的計(jì)算機(jī)系統(tǒng)。利用底層操作系統(tǒng)所提供的資源保護(hù)、審計(jì)和認(rèn)證機(jī)制等功能屏蔽主機(jī)防火墻系統(tǒng)提供的安全等級比包過濾防火墻要高實(shí)現(xiàn)網(wǎng)絡(luò)層安全(包過濾)和應(yīng)用層安全(代理服務(wù))過濾路由器的路由表應(yīng)當(dāng)受到嚴(yán)格的保護(hù)113第四節(jié)防火墻防火墻體系結(jié)構(gòu)屏蔽子網(wǎng)體系結(jié)構(gòu)屏蔽子網(wǎng)(ScreenedSubNet)體系結(jié)構(gòu)使用兩個(gè)包過濾路由器和一個(gè)堡壘主機(jī)。114第四節(jié)防火墻防火墻體系結(jié)構(gòu)屏蔽子網(wǎng)體系結(jié)構(gòu)周邊網(wǎng)絡(luò)周邊網(wǎng)絡(luò)用了兩個(gè)包過濾路由器和一個(gè)堡壘主機(jī)。這是最安全的防火墻系統(tǒng)，支持網(wǎng)絡(luò)層和應(yīng)用層安全功能。周邊網(wǎng)絡(luò)是一個(gè)防護(hù)層，就像電視上軍事基地的層層鐵門一樣，即使攻破了一道鐵門，還有另一道鐵門。堡壘主機(jī)、信息服務(wù)器、Modem組以及其他公用服務(wù)器均放在周邊網(wǎng)絡(luò)中。這些服務(wù)器可能會受到攻擊，因?yàn)樗鼈兪菭奚鳈C(jī)，所以內(nèi)部網(wǎng)絡(luò)還是被保護(hù)的。115第四節(jié)防火墻防火墻體系結(jié)構(gòu)屏蔽子網(wǎng)體系結(jié)構(gòu)堡壘主機(jī)堡壘主機(jī)設(shè)置在周邊網(wǎng)絡(luò)上，可以被認(rèn)為是應(yīng)用層網(wǎng)關(guān)，是這種防御體系的核心。在堡壘主機(jī)上，可以運(yùn)行各種各樣的代理服務(wù)器。對于出站服務(wù)，不一定要求所有的服務(wù)都經(jīng)過堡壘主機(jī)代理，一些服務(wù)可以通過過濾路由器和Internet直接對話，但對于入站服務(wù)，應(yīng)要求所有的服務(wù)都通過堡壘主機(jī)。116第四節(jié)防火墻防火墻體系結(jié)構(gòu)屏蔽子網(wǎng)體系結(jié)構(gòu)內(nèi)部路由器內(nèi)部路由器（又稱為阻塞路由器）位于內(nèi)部網(wǎng)絡(luò)和周邊網(wǎng)絡(luò)之間，用于保護(hù)內(nèi)部網(wǎng)不受周邊網(wǎng)絡(luò)和Internet的侵害，它執(zhí)行大部分的過濾工作。對于一些服務(wù)，可以允許它不經(jīng)過堡壘主機(jī)而只經(jīng)過內(nèi)部過濾路由器。在這種情況下，內(nèi)部過濾路由器用來過濾數(shù)據(jù)包。內(nèi)部過濾路由器也用來過濾內(nèi)部網(wǎng)絡(luò)和堡壘主機(jī)之間的數(shù)據(jù)包，這樣做是為了防止堡壘主機(jī)被攻占。若不對內(nèi)部網(wǎng)絡(luò)和堡壘主機(jī)之間

的數(shù)據(jù)包加以控制，當(dāng)入侵者控

制了堡壘主機(jī)后，就可以不受限

制地訪問內(nèi)部網(wǎng)絡(luò)上的任何主機(jī)，

周邊網(wǎng)絡(luò)就失去了意義，在實(shí)質(zhì)

上就與屏蔽主機(jī)結(jié)構(gòu)一樣了。117第四節(jié)防火墻防火墻體系結(jié)構(gòu)屏蔽子網(wǎng)體系結(jié)構(gòu)外部路由器外部路由器的一個(gè)主要功能是保護(hù)周邊網(wǎng)絡(luò)上的主機(jī)，但這種保護(hù)不是很有必要，因?yàn)檫@主要是通過堡壘主機(jī)來進(jìn)行安全保護(hù)，但多一層保護(hù)也并無害處。外部路由器還可以把入站的數(shù)據(jù)包路由到堡壘主機(jī)，外部路由器一般與內(nèi)部路由器應(yīng)用相同的規(guī)則。外部路由器還可以防止部分IP欺騙，因?yàn)閮?nèi)部路由器分辨不出一個(gè)聲稱從非軍事區(qū)來的數(shù)據(jù)包是否真的從非軍事區(qū)來，而外部路由器可以很容易分辨出其真?zhèn)巍?18第四節(jié)防火墻防火墻部署與應(yīng)用DMZ（DeMilitarizedZone，“非軍事區(qū)”）網(wǎng)絡(luò)介于信賴域（通常指內(nèi)部局域網(wǎng)）和非信賴域（通常指外部的公共網(wǎng)絡(luò)）之間的一個(gè)安全區(qū)域可以從外部訪問但是需要一定保護(hù)措施的系統(tǒng)被設(shè)置在DMZ網(wǎng)絡(luò)中119第四節(jié)防火墻防火墻部署與應(yīng)用內(nèi)部防火墻3個(gè)服務(wù)目的：更嚴(yán)格的過濾能力，保護(hù)內(nèi)部網(wǎng)絡(luò)服務(wù)器和工作站免遭外部攻擊。對于DMZ網(wǎng)絡(luò)，內(nèi)部防火墻提供雙重的保護(hù)功能。首先，內(nèi)部防火墻保護(hù)網(wǎng)絡(luò)的其他部分免遭由DMZ發(fā)起的攻擊。其次，內(nèi)部防火墻可以保護(hù)DMZ系統(tǒng)不受來自內(nèi)部保護(hù)網(wǎng)絡(luò)的攻擊。多重內(nèi)部防火墻可以分別用來保護(hù)內(nèi)部網(wǎng)的每個(gè)部分不受其他部分的攻擊。120第四節(jié)防火墻防火墻部署與應(yīng)用大型企業(yè)防火墻的典型配置121第四節(jié)防火墻防火墻部署與應(yīng)用分布式防火墻傳統(tǒng)防火墻的不足：結(jié)構(gòu)性限制防外不防內(nèi)效率問題故障問題美國AT&T實(shí)驗(yàn)室研究員StevenM.Bellovin于1999年首次提出了分布式防火墻的概念。分布式防火墻系統(tǒng)的3個(gè)組成部分：網(wǎng)絡(luò)防火墻主機(jī)防火墻中心管理服務(wù)器122第四節(jié)防火墻防火墻部署與應(yīng)用分布式防火墻的工作模式中心管理服務(wù)器統(tǒng)一制定安全策略，然后將這些定義好的策略分發(fā)到各個(gè)相關(guān)節(jié)點(diǎn)。安全策略的執(zhí)行則由相關(guān)主機(jī)節(jié)點(diǎn)獨(dú)立實(shí)施，由各主機(jī)產(chǎn)生的安全日志集中保存在中心管理服務(wù)器上。123第四節(jié)防火墻防火墻部署與應(yīng)用分布式防火墻的應(yīng)用特點(diǎn)分布式防火墻采用了中心管理服務(wù)器對整個(gè)防火墻系統(tǒng)進(jìn)行集中管理的方式安全策略在統(tǒng)一制定后被強(qiáng)行分發(fā)到各個(gè)節(jié)點(diǎn)分布式防火墻不僅保留了傳統(tǒng)防火墻的優(yōu)點(diǎn)，同時(shí)還解決了傳統(tǒng)防火墻在應(yīng)用中存在的對網(wǎng)絡(luò)物理拓?fù)浣Y(jié)構(gòu)的依賴、VPN和移動計(jì)算等應(yīng)用增加了針對主機(jī)的入侵檢測和防護(hù)功能，加強(qiáng)了對來自內(nèi)部網(wǎng)絡(luò)的攻擊防范，提高了系統(tǒng)性能，克服了結(jié)構(gòu)性瓶頸問題。124第四節(jié)防火墻防火墻部署與應(yīng)用分布式防火墻的配置分布式防火墻的配置涉及一個(gè)在中心管理服務(wù)器控制下協(xié)同工作的獨(dú)立防火墻設(shè)備和基于主機(jī)的防火。安全監(jiān)控是分布式防火墻配置的重要方面。典型的監(jiān)控包括日志統(tǒng)計(jì)和分析、防火墻統(tǒng)計(jì)以及細(xì)粒度的單個(gè)主機(jī)的遠(yuǎn)程監(jiān)控。一個(gè)分布式防火墻配置的示例125第四節(jié)防火墻防火墻部署與應(yīng)用個(gè)人防火墻個(gè)人防火墻是一套安裝在個(gè)人計(jì)算機(jī)上的軟件系統(tǒng)，它能夠監(jiān)視計(jì)算機(jī)中的通信狀況，一旦發(fā)現(xiàn)對計(jì)算機(jī)產(chǎn)生危