數(shù)字化網(wǎng)絡(luò)化智能技術(shù)：生產(chǎn)系統(tǒng)網(wǎng)絡(luò)與通信 課件第6章 生產(chǎn)系統(tǒng)網(wǎng)絡(luò)安全

第6章生產(chǎn)系統(tǒng)網(wǎng)絡(luò)安全演講人1網(wǎng)絡(luò)安全配置1.1網(wǎng)絡(luò)安全概述隨著信息化浪潮的到來(lái)以及個(gè)人計(jì)算設(shè)備的不斷普及，網(wǎng)絡(luò)深入到各個(gè)行業(yè)和組織的角落之中并伴隨著網(wǎng)絡(luò)中急速交互的信息近距離的享受著最新科技的服務(wù)。與此同時(shí)組織和個(gè)人的數(shù)據(jù)、計(jì)算和交互越來(lái)越依賴于各個(gè)IT系統(tǒng)和計(jì)算設(shè)備，這使得網(wǎng)絡(luò)安全的重要性越發(fā)凸顯，以工業(yè)4.0為例。區(qū)別與以往的工業(yè)3.0系統(tǒng)中OT系統(tǒng)為主導(dǎo)，工業(yè)4.0中為了實(shí)現(xiàn)自感知、自學(xué)習(xí)、自決策、自執(zhí)行、自適應(yīng)等功能的新型生產(chǎn)方式引入了大量的IT系統(tǒng)與AI系統(tǒng)并通過(guò)網(wǎng)絡(luò)與OT系統(tǒng)和傳感器緊密相連。在這其中以端到端數(shù)據(jù)流為基礎(chǔ)，以網(wǎng)絡(luò)互聯(lián)為支撐，使得網(wǎng)絡(luò)穩(wěn)定與安全的重要性日益凸顯。在工業(yè)4.0時(shí)代，為了打破信息孤島邊緣設(shè)備互聯(lián)是必不可少的，使得網(wǎng)絡(luò)深入的生產(chǎn)的每個(gè)角落。而網(wǎng)絡(luò)的大規(guī)模擴(kuò)展也使得網(wǎng)絡(luò)安全的工作越發(fā)復(fù)雜也讓非惡意用戶有了更多窺伺網(wǎng)絡(luò)的機(jī)會(huì)。1網(wǎng)絡(luò)安全配置1.1網(wǎng)絡(luò)安全概述與此同時(shí)網(wǎng)絡(luò)被侵入后的影響范圍且與日俱增，以往不聯(lián)網(wǎng)僅僅作為執(zhí)行機(jī)構(gòu)的設(shè)備也會(huì)收到網(wǎng)絡(luò)攻擊的影響，無(wú)論是傳感器、AGV、攝像頭等。這也使得企業(yè)愈發(fā)重視其網(wǎng)絡(luò)的穩(wěn)定性以及安全性，若是網(wǎng)絡(luò)安全和穩(wěn)定得不到保障輕則生產(chǎn)效率嚴(yán)重下降重則引起工業(yè)參數(shù)丟失、生產(chǎn)設(shè)備遭受攻擊等嚴(yán)重問(wèn)題。在面臨的眾多網(wǎng)絡(luò)攻擊之中黑客或者非法用戶通過(guò)網(wǎng)絡(luò)對(duì)IT或者OT系統(tǒng)的入侵是最危險(xiǎn)的威脅之一。這些攻擊包括利用系統(tǒng)漏洞進(jìn)行未授權(quán)登錄，其入侵方式包括網(wǎng)絡(luò)病毒、蠕蟲(chóng)和木馬等。在2010年甚至出現(xiàn)了一種通過(guò)USB傳播的專門(mén)攻擊OT的計(jì)算機(jī)病毒“Stuxnet”。這種病毒專門(mén)針對(duì)西門(mén)子公司旗下的工業(yè)控制系統(tǒng)特別是SCADA系統(tǒng)進(jìn)行攻擊，并可以干擾正常程序的執(zhí)行或者從中獲取相關(guān)生產(chǎn)數(shù)據(jù)。1網(wǎng)絡(luò)安全配置1.1網(wǎng)絡(luò)安全概述由于西門(mén)子的工業(yè)控制系統(tǒng)廣泛應(yīng)用于汽車(chē)制造、水利發(fā)電等工業(yè)場(chǎng)景中，對(duì)于這些工業(yè)控制系統(tǒng)的入侵使得通過(guò)網(wǎng)絡(luò)空間的手段影響甚至攻擊物理空間中的設(shè)備成為可能。甚至于入侵者無(wú)需影響原有系統(tǒng)僅僅是竊取企業(yè)網(wǎng)絡(luò)中的關(guān)鍵數(shù)據(jù)也會(huì)使得企業(yè)的競(jìng)爭(zhēng)力受到極大影響，因此事件具有一定的里程碑性質(zhì)并引起了相關(guān)行業(yè)企業(yè)的極大重視。企業(yè)為了提高網(wǎng)絡(luò)的安全性保護(hù)關(guān)鍵數(shù)據(jù)和設(shè)備紛紛引入了防火墻（firewall）這一訪問(wèn)控制技術(shù)。該技術(shù)一般通過(guò)分組來(lái)控制網(wǎng)絡(luò)間數(shù)據(jù)的傳輸并禁止非法數(shù)據(jù)的傳輸，保護(hù)網(wǎng)絡(luò)安全從而增大入侵的難度。但是防火墻并不是萬(wàn)能的，也不是物理上將可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)分隔，它不能消除入侵的可能性。但是通過(guò)防火墻的侵檢測(cè)系統(tǒng)（IntrusionDetectionSystem）我們可以對(duì)網(wǎng)絡(luò)間傳輸?shù)臄?shù)據(jù)進(jìn)行分析和檢測(cè)從而篩選出可疑的網(wǎng)絡(luò)活動(dòng)從而提供預(yù)警或是下一步行動(dòng)的基礎(chǔ)。1網(wǎng)絡(luò)安全配置1.2防火墻概述防火墻是一般用于可信網(wǎng)絡(luò)（防火墻內(nèi)，一般為內(nèi)網(wǎng)）和不可信網(wǎng)絡(luò)（防火墻外一般為Internet）之間并將二者進(jìn)行分隔保護(hù)可信網(wǎng)絡(luò)的一種技術(shù)。由于網(wǎng)絡(luò)攻擊的方式來(lái)源的多樣，防火墻技術(shù)為了對(duì)抗這些攻擊就成為了涉及機(jī)網(wǎng)絡(luò)技術(shù)、密碼技術(shù)、安全技術(shù)、軟件技術(shù)、安全協(xié)議、網(wǎng)絡(luò)標(biāo)準(zhǔn)化組織（ISO）的安全規(guī)范、安全操作系統(tǒng)等方面的復(fù)雜技術(shù)。如圖6-1在實(shí)際應(yīng)用中,防火墻通常用于隔離風(fēng)險(xiǎn)區(qū)域(如Internet或其他存在一定風(fēng)險(xiǎn)的網(wǎng)絡(luò))與安全區(qū)域(如內(nèi)部網(wǎng)或Intranet)之間的連接,例如公司的內(nèi)網(wǎng)和Internet之間。公司里的員工辦公需要Internet的協(xié)助，而企業(yè)內(nèi)網(wǎng)中的數(shù)據(jù)又需要保密希望僅允許授權(quán)用戶訪問(wèn)的同時(shí)盡可能的避免其它不必要的來(lái)自Internet的訪問(wèn)，降低網(wǎng)絡(luò)風(fēng)險(xiǎn)。此時(shí)防火墻的包過(guò)濾功能就是一種行之有效的方案。1網(wǎng)絡(luò)安全配置1.2防火墻概述圖6-1防火墻示意圖在實(shí)際應(yīng)用中防火墻被視為是一種可以提供信息安全服務(wù)并實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。一般被用于不同網(wǎng)絡(luò)之間并作為網(wǎng)絡(luò)的出入口的大門(mén)，企業(yè)可以根據(jù)自己的安全需求編輯防火墻中的相關(guān)安全策略從而限制相關(guān)網(wǎng)絡(luò)間的活動(dòng)保障企業(yè)的信息安全。在邏輯上，防火墻往往充當(dāng)?shù)氖且粋€(gè)分離器、限制器和分析器，通過(guò)它企業(yè)可以有效監(jiān)管流經(jīng)防火墻的所有網(wǎng)絡(luò)活動(dòng)，既可以限制不合理的數(shù)據(jù)流動(dòng)又可以為對(duì)可疑網(wǎng)絡(luò)活動(dòng)分析提供基礎(chǔ)?？偟膩?lái)說(shuō)，防火墻的設(shè)計(jì)目的一般為以下幾點(diǎn)：1網(wǎng)絡(luò)安全配置1.2防火墻概述（1）對(duì)途經(jīng)防火墻的網(wǎng)絡(luò)活動(dòng)進(jìn)行限制，阻擋不符合要求的用戶或者數(shù)據(jù)（2）對(duì)用戶群體進(jìn)行分類，并給予不同的訪問(wèn)權(quán)限（3）對(duì)途經(jīng)的數(shù)據(jù)流進(jìn)行監(jiān)控和分析由于防火墻假設(shè)了網(wǎng)絡(luò)邊界和服務(wù)，因此可以看成相對(duì)獨(dú)立的網(wǎng)絡(luò)，如Intranet等相對(duì)集中的網(wǎng)絡(luò)，目前防火墻正在成為控制對(duì)網(wǎng)絡(luò)系統(tǒng)訪問(wèn)的非常流行的方法也是對(duì)黑客防范最嚴(yán)、安全性較強(qiáng)的一種方式。任何關(guān)鍵網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間都建議放置一個(gè)防火墻用以保護(hù)關(guān)鍵數(shù)據(jù)。1網(wǎng)絡(luò)安全配置1.3防火墻使用根據(jù)所使用的技術(shù)不同防火墻可以分為分組過(guò)濾路由器和應(yīng)用級(jí)網(wǎng)關(guān)，本章主要介紹分組過(guò)濾路由器的原理以及使用方法。分組過(guò)濾路由器可以通過(guò)配置過(guò)濾規(guī)則對(duì)進(jìn)出路由器的數(shù)據(jù)包執(zhí)行不同的操作，即發(fā)送或者丟棄來(lái)保證通信的安全。我們可以通過(guò)防火墻中提供的可供選擇的過(guò)濾條件來(lái)對(duì)經(jīng)過(guò)的數(shù)據(jù)進(jìn)行篩選，一般而言數(shù)據(jù)包中的網(wǎng)絡(luò)層或者傳輸層的首部信息都可以作為過(guò)濾條件。例如常見(jiàn)的源/目的IP、源/目的端口、協(xié)議類型等等。1網(wǎng)絡(luò)安全配置基于IP的過(guò)濾基于IP的過(guò)濾規(guī)則是十分常見(jiàn)的一種過(guò)濾條件。如圖6-2所示，一臺(tái)IP為的服務(wù)器通過(guò)一個(gè)帶防火墻功能的路由器（EDR-810）與外部網(wǎng)絡(luò)相連接。為了保證服務(wù)器的數(shù)據(jù)安全，我們希望只有00-20范圍內(nèi)的IP可以和服務(wù)器進(jìn)行通訊。圖6-2防火墻拓?fù)涫疽鈭D1網(wǎng)絡(luò)安全配置基于IP的過(guò)濾在路由器中所有的過(guò)濾規(guī)則以表格的形式展現(xiàn)在界面中，其序號(hào)越小的執(zhí)行優(yōu)先級(jí)越高。根據(jù)需求我們可得過(guò)濾規(guī)則為放行源地址在00-20范圍內(nèi)的IP以及目的IP為的數(shù)據(jù)包，丟棄其余源IP不在范圍內(nèi)但是目的IP仍為的數(shù)據(jù)包，如圖6-3所示。圖6-3IP過(guò)濾配置示意圖1網(wǎng)絡(luò)安全配置基于協(xié)議的過(guò)濾基于協(xié)議的過(guò)濾也是一種很常見(jiàn)的需求，例如公司不希望內(nèi)部網(wǎng)絡(luò)的設(shè)備花費(fèi)大量的時(shí)間在訪問(wèn)外部網(wǎng)絡(luò)的USENET新聞上因而影響工作效率，如圖6-4所示。其中內(nèi)部網(wǎng)絡(luò)對(duì)應(yīng)的網(wǎng)絡(luò)接口名稱為Inside，外部網(wǎng)絡(luò)對(duì)應(yīng)的網(wǎng)絡(luò)接口名稱為Outside。圖6-4基于協(xié)議防火墻拓?fù)涫疽鈭D1網(wǎng)絡(luò)安全配置基于協(xié)議的過(guò)濾為了限制內(nèi)部網(wǎng)絡(luò)用戶訪問(wèn)外部網(wǎng)絡(luò)的網(wǎng)頁(yè)，我們可以通過(guò)兩個(gè)條件來(lái)進(jìn)行篩選和限制路由器中相關(guān)的數(shù)據(jù)包。第一部分為從內(nèi)部到外部的流量，可以通過(guò)網(wǎng)絡(luò)接口進(jìn)行篩選，即從Inside到Outside；第二部分為數(shù)據(jù)包協(xié)議，因?yàn)門(mén)CP的端口號(hào)指出了在TCP上面的應(yīng)用層服務(wù)。例如，端口號(hào)23是TELNET，端口號(hào)1883是MQTT等。而此時(shí)我們需要限制的協(xié)議為USENET，其對(duì)應(yīng)的端口號(hào)為119，所以我們可以通過(guò)這兩個(gè)條件將符合需求的數(shù)據(jù)包篩選出來(lái)并丟棄的同時(shí)避免對(duì)其他數(shù)據(jù)包的影響，如圖6-5所示。1網(wǎng)絡(luò)安全配置基于協(xié)議的過(guò)濾圖6-5防火墻規(guī)則配置示意圖2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)在互聯(lián)網(wǎng)上，所有公共IPv4地址都必須向互聯(lián)網(wǎng)注冊(cè)管理機(jī)構(gòu)（RIR）注冊(cè)。組織可以從其服務(wù)提供商處租用公共地址。擁有公共IP地址注冊(cè)的組織可以將該地址分配給其網(wǎng)絡(luò)設(shè)備，但是IPv4地址其理論最大容量約為43億。在BobKahn與VintCerf在1981年設(shè)計(jì)TCP/IP協(xié)議簇（包括IPv4）時(shí)個(gè)人計(jì)算機(jī)仍未普及，萬(wàn)維網(wǎng)還有十多年才出現(xiàn)，當(dāng)時(shí)的設(shè)計(jì)者沒(méi)有預(yù)料到后續(xù)個(gè)人計(jì)算機(jī)與網(wǎng)絡(luò)的爆發(fā)性發(fā)展。隨著個(gè)人計(jì)算機(jī)的計(jì)算機(jī)與萬(wàn)維網(wǎng)的出現(xiàn)，IPv4地址很快耗盡，為了滿足日益增長(zhǎng)的IP需求IETF提出幾種短期解決方案其中就有網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）。當(dāng)然其根本性解決方案是推行IPv6，只是本章主要討論NAT協(xié)議其原理與使用方法。2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)2.1NAT概述一般而言設(shè)備需要訪問(wèn)Internet時(shí)都需要使用網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）服務(wù)，即由組織為內(nèi)部主機(jī)分配私有IP地址。當(dāng)內(nèi)部主機(jī)訪問(wèn)外部時(shí)通過(guò)網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）服務(wù)將私有地址轉(zhuǎn)為公有IP地址，當(dāng)流量從外部返回內(nèi)部時(shí)網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）服務(wù)將該流量重新轉(zhuǎn)換為內(nèi)部私有IP地址。目前公有IPv4地址已經(jīng)不能滿足每臺(tái)設(shè)備一個(gè)唯一的地址的聯(lián)網(wǎng)需求，通常使用RFC1918中定義的私有IPv4地址來(lái)實(shí)施網(wǎng)絡(luò)，如表6-1所示。表6-1RFC1918內(nèi)部地址范圍以上地址可以作為私網(wǎng)在企業(yè)、工廠中使用滿足其內(nèi)部設(shè)備間通訊需求。但是由于這些地址并沒(méi)有在前文中的互聯(lián)網(wǎng)注冊(cè)管理機(jī)構(gòu)（RIR）注冊(cè)過(guò)，所以私有IPv4地址無(wú)法通過(guò)互聯(lián)網(wǎng)路由。若是私網(wǎng)內(nèi)的設(shè)備需要訪問(wèn)外部網(wǎng)絡(luò)的設(shè)備或者資源時(shí)就需要通過(guò)網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）服務(wù)將私有地址轉(zhuǎn)為公有地址，如圖6-6所示。2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)2.1NAT概述圖6-6NAT示意圖值得注意的是網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）服務(wù)將私網(wǎng)地址轉(zhuǎn)換為公網(wǎng)地址的這一行為很多時(shí)候并不是一對(duì)一的，而是多對(duì)一的，也就是可以將多個(gè)私網(wǎng)地址轉(zhuǎn)為同一個(gè)公網(wǎng)地址。這一特性使得公網(wǎng)地址的使用效率大大提升，一個(gè)公網(wǎng)地址可以為整個(gè)私網(wǎng)的設(shè)備服務(wù)。NAT的出現(xiàn)極大的緩解了IPv4地址空間耗盡的問(wèn)題，但是NAT并不是萬(wàn)能的，其本身任有一些限制，所以為了根本性的解決這一問(wèn)題還得是將IPv4過(guò)渡到IPv6。2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)2.2NAT術(shù)語(yǔ)在NAT中一般我們常用的地址有四種：內(nèi)部本地地址、內(nèi)部全局地址、外部全局地址、外部本地地址。01內(nèi)部全局地址：當(dāng)內(nèi)部網(wǎng)絡(luò)設(shè)備與外部網(wǎng)絡(luò)設(shè)備通訊時(shí)內(nèi)部網(wǎng)絡(luò)設(shè)備所使用的外部網(wǎng)絡(luò)地址，通常為公網(wǎng)地址。03外部本地地址：外部網(wǎng)絡(luò)中設(shè)備的IP地址，一般為公網(wǎng)IP。05內(nèi)部本地地址：內(nèi)部網(wǎng)絡(luò)中主機(jī)通訊時(shí)所用的地址，該地址全局唯一且一般為私網(wǎng)地址。02外部全局地址：內(nèi)部網(wǎng)絡(luò)看到的外部網(wǎng)絡(luò)中主機(jī)的地址，這一地址是面向內(nèi)部網(wǎng)絡(luò)設(shè)備時(shí)所使用的，不一定為公網(wǎng)地址。042網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)2.3NAT原理NAT有三種類型：靜態(tài)NAT（StaticNAT）、動(dòng)態(tài)NAT（PooledNAT）、網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（Port-LevelNAT）。2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)靜態(tài)NAT靜態(tài)NAT其主要功能為實(shí)現(xiàn)本地地址與全局地址間一對(duì)一的地址映射，這些映射由網(wǎng)絡(luò)管理員進(jìn)行配置，并保持不變。顯然這種方式對(duì)于節(jié)約公網(wǎng)IP幫助不大，一般用于一些特殊的組網(wǎng)需求，例如為了安全隱藏內(nèi)部主機(jī)的IP，或者在不改變?cè)O(shè)備IP且存在IP沖突的情況下實(shí)現(xiàn)設(shè)備間通訊等。圖6-7靜態(tài)NAT2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)靜態(tài)NAT以圖6-7為例，當(dāng)內(nèi)部網(wǎng)絡(luò)中一臺(tái)地址為00的主機(jī)訪問(wèn)外部網(wǎng)絡(luò)主機(jī)00時(shí)，數(shù)據(jù)包的源地址是00，目標(biāo)地址是00，路由器在進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā)時(shí)將執(zhí)行以下過(guò)程：（1）路由器讀取數(shù)據(jù)包中的源IP地址，即00。再根據(jù)此IP地址在轉(zhuǎn)換表中檢索，如果表中存在對(duì)應(yīng)的轉(zhuǎn)換規(guī)則則繼續(xù)執(zhí)行轉(zhuǎn)換，如果沒(méi)有找到丟棄該數(shù)據(jù)包。（2）根據(jù)換標(biāo)中的轉(zhuǎn)換規(guī)則將原本的源地址替換為規(guī)則中的公網(wǎng)地址，即00，替換完畢后轉(zhuǎn)發(fā)該數(shù)據(jù)包。2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)靜態(tài)NAT（3）當(dāng)00的主機(jī)收到并處理完經(jīng)過(guò)NAT轉(zhuǎn)換后的數(shù)據(jù)包后，會(huì)將處理結(jié)果發(fā)送回00。（4）路由器接收到返回?cái)?shù)據(jù)包后依據(jù)包中的目的IP地址在轉(zhuǎn)換表中進(jìn)行檢索從而得到目的IP為00的數(shù)據(jù)包對(duì)應(yīng)的內(nèi)部本地IP地址即00。然后路由器將包中的源目的IP地址替換為檢索到的對(duì)應(yīng)數(shù)據(jù)即00后轉(zhuǎn)發(fā)回內(nèi)部。（5）內(nèi)部00主機(jī)接收到00主機(jī)處理完后返回的數(shù)據(jù)包，此次通信結(jié)束。2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)動(dòng)態(tài)NAT動(dòng)態(tài)地址轉(zhuǎn)換（動(dòng)態(tài)NAT）主要功能為實(shí)現(xiàn)本地地址與全局地址之間多對(duì)多的地址映射，并自動(dòng)管理可用地址降低運(yùn)維與部署成本。例如，如果有40個(gè)內(nèi)部地址和20個(gè)全局地址，當(dāng)內(nèi)部網(wǎng)絡(luò)設(shè)備需要訪問(wèn)外部設(shè)備時(shí)自動(dòng)的在20個(gè)全局地址中分配一個(gè)可用的全局地址，從而不在需要人工配置一對(duì)一的映射。但是值得注意的是，一旦全局地址分配完畢，那么其它主機(jī)只能等待被占用的公網(wǎng)地址被釋放后才能使用被釋放的地址。2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)6-8動(dòng)態(tài)NAT以圖6-8為例，在開(kāi)啟動(dòng)態(tài)NAT后，路由器中會(huì)維護(hù)一個(gè)地址池里面記錄了所有可以被使用的公網(wǎng)地址，所有地址池中地址默認(rèn)處于NotUse狀態(tài)。當(dāng)某個(gè)內(nèi)網(wǎng)設(shè)備需要訪問(wèn)外網(wǎng)時(shí)路由器會(huì)從地址池中找尋一個(gè)處于NotUse狀態(tài)的公網(wǎng)地址并分配給這個(gè)內(nèi)網(wǎng)地址，此時(shí)該公網(wǎng)地址在地址池中的狀態(tài)變?yōu)镮nUse。分配完畢后，該內(nèi)網(wǎng)設(shè)備與外網(wǎng)通信時(shí)路由器的工作流程與靜態(tài)NAT時(shí)相同，可以參考靜態(tài)NAT設(shè)置。當(dāng)內(nèi)網(wǎng)主機(jī)與公網(wǎng)主機(jī)的通信連接結(jié)束以后，為了節(jié)省地址路由器會(huì)及時(shí)收回分配給該內(nèi)網(wǎng)主機(jī)的公網(wǎng)地址，并刪除該內(nèi)網(wǎng)主機(jī)與公網(wǎng)地址的對(duì)應(yīng)關(guān)系。這時(shí)回收的公網(wǎng)地址在地址池中的狀態(tài)由InUse轉(zhuǎn)為NotUse，當(dāng)有新的內(nèi)網(wǎng)主機(jī)需要訪問(wèn)外網(wǎng)時(shí)就可以使用剛剛回收的該公網(wǎng)地址了。需要注意的是，每次內(nèi)網(wǎng)主機(jī)與外網(wǎng)通信時(shí)其所獲得的公網(wǎng)IP不一定是相同。2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)6-8動(dòng)態(tài)NAT因?yàn)槊看沃匦屡c外網(wǎng)建立通信時(shí)是由路由器在地址池中分配一個(gè)狀態(tài)為NotUse的公網(wǎng)地址，這一點(diǎn)與靜態(tài)NAT固定的一一對(duì)應(yīng)的關(guān)系并不相同。但是也因?yàn)檫@個(gè)機(jī)制使得路由器可以最大化的利用公網(wǎng)地址，哪個(gè)內(nèi)網(wǎng)設(shè)備需要就分配給哪個(gè)，從而提升了公網(wǎng)地址的利用效率。2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT主要功能為將多個(gè)私有IPv4地址映射到單個(gè)IPv4地址或幾個(gè)地址從而使得一個(gè)或幾個(gè)公網(wǎng)IP地址就可以將數(shù)千名用戶連接至因特網(wǎng)，其核心在于利用端口號(hào)實(shí)現(xiàn)公網(wǎng)和私網(wǎng)的轉(zhuǎn)換。這也是我們絕大多數(shù)家用路由器所采用的方式。當(dāng)路由器需要處理多對(duì)一的IP的地址轉(zhuǎn)換時(shí)相較于靜態(tài)NAT和動(dòng)態(tài)NAT會(huì)帶來(lái)新的問(wèn)題，當(dāng)有多個(gè)內(nèi)部地址去訪問(wèn)外部網(wǎng)絡(luò)的某一地址時(shí)，無(wú)法區(qū)分不同內(nèi)部地址訪問(wèn)后返回的流量。所以網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT會(huì)通過(guò)端口號(hào)對(duì)每個(gè)內(nèi)部地址進(jìn)行跟蹤，當(dāng)其發(fā)起TCP/IP會(huì)話時(shí)，它就生成一個(gè)TCP或者UDP源端口值或?qū)ｉT(mén)為ICMP分配的查詢ID，用來(lái)唯一標(biāo)識(shí)該會(huì)話，當(dāng)路由器收到數(shù)據(jù)包時(shí)就會(huì)使用其源端口號(hào)來(lái)唯一確定特定的NAT轉(zhuǎn)換。2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT通過(guò)傳輸層中對(duì)于端口的限制確保內(nèi)部設(shè)備對(duì)同一個(gè)外部設(shè)備會(huì)話使用不同的TCP端口號(hào)。當(dāng)外部設(shè)備返回響應(yīng)時(shí)，源端口（在響應(yīng)中為目標(biāo)端口號(hào)）決定路由器將數(shù)據(jù)包轉(zhuǎn)發(fā)到哪個(gè)設(shè)備，同時(shí)該過(guò)程還會(huì)驗(yàn)證傳入數(shù)據(jù)包是否是請(qǐng)求數(shù)據(jù)包因而在一定程度上提高的會(huì)話的安全性。圖6-9演示了該NAPT過(guò)程，將唯一的源端口號(hào)添加到內(nèi)部全局地址上來(lái)區(qū)分不同的內(nèi)部IP地址。2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT圖6-9NAPT以圖6-9為例，當(dāng)內(nèi)部網(wǎng)絡(luò)中一臺(tái)地址為的主機(jī)訪問(wèn)外部網(wǎng)絡(luò)主機(jī)00時(shí)，數(shù)據(jù)包的源地址是，目標(biāo)地址是00，路由器在進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā)時(shí)將執(zhí)行以下過(guò)程：（1）路由器從通信的第一個(gè)數(shù)據(jù)包中提取出源地址、源端口號(hào)2131、目的地址00和目的端口號(hào)80，選擇一個(gè)大于1024的未被使用的端口號(hào)（如2131），連同路由器的出口地址07，將這些信息記錄在轉(zhuǎn)換表中。在轉(zhuǎn)換表中源地址為，源端口號(hào)為2131的數(shù)據(jù)對(duì)應(yīng)為地址07，端口號(hào)2131。2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（2）路由器在根據(jù)內(nèi)網(wǎng)設(shè)備的地址對(duì)應(yīng)的轉(zhuǎn)換表的記錄，將原數(shù)據(jù)包中的源地址替換為07，源端口2131替換為2131，替換完畢后進(jìn)行轉(zhuǎn)發(fā)。（3）當(dāng)00的主機(jī)收到并處理完經(jīng)過(guò)NAT轉(zhuǎn)換后的數(shù)據(jù)包后，會(huì)從80端口將處理結(jié)果發(fā)送回07，目的端口號(hào)為2131。（4）路由器接收到返回?cái)?shù)據(jù)包后依據(jù)包中的目的IP地址在轉(zhuǎn)換表中進(jìn)行檢索從而得到目的IP為07端口為2131的記錄。然后將數(shù)據(jù)包中的目的地址修改為記錄對(duì)應(yīng)的，將目的端口替換為記錄中對(duì)應(yīng)的2131，替換完畢后轉(zhuǎn)發(fā)回內(nèi)部網(wǎng)絡(luò)。若是在轉(zhuǎn)換表中無(wú)法根據(jù)目的IP和端口號(hào)檢索到相關(guān)的記錄，則丟棄該數(shù)據(jù)包。2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（5）內(nèi)部主機(jī)接收到00主機(jī)處理完后返回的數(shù)據(jù)包，此次通信結(jié)束。2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)2.4NAT配置由于目前網(wǎng)絡(luò)中NAT的廣泛應(yīng)用，所以如何正確的配置不同類型的NAT非常重要。在這一部分您將看到如何在MOXA路由器上配置NAT服務(wù)，從而提升地址的利用效率。2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)靜態(tài)NAT配置靜態(tài)NAT需要逐個(gè)定義內(nèi)部地址與外部地址的一一映射關(guān)系，其允許外部設(shè)備使用映射中的外部地址訪問(wèn)內(nèi)部設(shè)備。例如圖6-10中所示，內(nèi)部網(wǎng)絡(luò)設(shè)備IP為00，需要通過(guò)分配的外部IP00與外部網(wǎng)絡(luò)中的00通訊。圖6-10靜態(tài)NAT拓?fù)鋱D2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)靜態(tài)NAT配置（1）建立外部網(wǎng)絡(luò)接口：如圖6-10中所示，路由器中除了默認(rèn)網(wǎng)段外還需要連接一個(gè)網(wǎng)段。不妨設(shè)外部網(wǎng)絡(luò)通過(guò)路由器的端口1連接，則我們可以按照?qǐng)D6-11配置VLAN，按照?qǐng)D6-12配置網(wǎng)絡(luò)接口。圖6-11VLAN配置2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)靜態(tài)NAT配置圖6-12網(wǎng)絡(luò)接口配置（2）建立靜態(tài)NAT：由于本次采用靜態(tài)NAT，所以我們只需要定義好內(nèi)部本地地址和內(nèi)部全局地址的映射關(guān)系即可。我們需要在GlobalIP中輸入需求的全局地址00，在LocalIP中輸入對(duì)應(yīng)的內(nèi)部本地地址00，如圖6-13所示。2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)靜態(tài)NAT配置圖6-13NAT配置2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT配置網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT允許路由器為許多內(nèi)部本地地址使用一個(gè)內(nèi)部全局地址，從而節(jié)省了內(nèi)部全局地址，使得公網(wǎng)IPv4地址利用效率大大提高。配置完畢此類轉(zhuǎn)換后路由器中將會(huì)保存相關(guān)高層協(xié)議信息（如TCP\UDP端口號(hào)）用于保證內(nèi)部全局地址與內(nèi)部本地地址的正確轉(zhuǎn)換。例如圖6-14所示，內(nèi)部網(wǎng)絡(luò)中-的設(shè)備需要使用同一個(gè)內(nèi)部全局IP00與外部網(wǎng)絡(luò)中的00通訊。2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT配置圖6-14NAPT示例拓?fù)涫疽鈭D（1）定義內(nèi)部網(wǎng)絡(luò)接口：不妨設(shè)內(nèi)部網(wǎng)絡(luò)通過(guò)路由器的端口3-5連接路由器。所以此時(shí)路由器的端口3-5對(duì)應(yīng)到同一個(gè)VLAN和同一個(gè)網(wǎng)絡(luò)接口，我們首先為路由器的端口32網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT配置-5分配VLAN，如圖6-15所示。圖6-15定義內(nèi)部網(wǎng)絡(luò)VLAN然后可以為端口3-5分配內(nèi)部網(wǎng)絡(luò)所對(duì)應(yīng)的網(wǎng)段的網(wǎng)絡(luò)接口如圖6-16所示。圖6-16定義內(nèi)部網(wǎng)絡(luò)接口2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT配置（2）定義外部網(wǎng)絡(luò)接口：不妨設(shè)內(nèi)部網(wǎng)絡(luò)通過(guò)路由器的端口2連接路由器。我們首先為路由器的端口2分配VLAN，如圖6-17所示。圖6-17定義外部網(wǎng)絡(luò)VLAN然后可以為端口2配外部網(wǎng)絡(luò)所對(duì)應(yīng)的網(wǎng)段的網(wǎng)絡(luò)接口如圖6-18所示。2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT配置圖6-18定義外部網(wǎng)絡(luò)接口（3）定義NAPT：由于本次采用NPAT，所以我們需要定義好內(nèi)部本地地址范圍和內(nèi)部全局地址從而將多個(gè)內(nèi)部地址映射到一個(gè)全局地址上。我們需要在LocalIP中輸入對(duì)應(yīng)的內(nèi)部本地地址范圍-，如圖6-19所示。2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT配置圖6-19定義NPAT3虛擬專用網(wǎng)絡(luò)VPNVPN概述VPN(VirtualPrivateNetwork,虛擬專用網(wǎng)絡(luò))技術(shù)也是隨著企業(yè)和組織信息化的浪潮而來(lái)的。在早期，計(jì)算機(jī)還比較昂貴，一般就在企業(yè)中的部門(mén)核心部門(mén)會(huì)配備。為了提升辦公效率、信息安全和節(jié)省成本等方面考慮企業(yè)一般會(huì)將公司內(nèi)部的計(jì)算機(jī)配置為公司內(nèi)的私網(wǎng)IP而不直接接入因特網(wǎng)，申請(qǐng)少數(shù)幾個(gè)公網(wǎng)IP與因特網(wǎng)連接如圖6-20。3虛擬專用網(wǎng)絡(luò)VPNVPN概述圖6-20內(nèi)網(wǎng)示意圖隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展、經(jīng)濟(jì)全球化和計(jì)算機(jī)價(jià)格的下降，越來(lái)越多的企業(yè)開(kāi)始在全國(guó)，甚至全球建立分支機(jī)構(gòu)使得如何把每個(gè)分支機(jī)構(gòu)以及總部?jī)?nèi)部的內(nèi)網(wǎng)相安全高效的相互連接變?yōu)橐粋€(gè)急迫的問(wèn)題。最初為了解決這一問(wèn)題電信運(yùn)營(yíng)商采用的是租賃線路（LeasedLine）的解決方案如圖6-21。值得注意的是這一方案與VPN僅僅是在功能上類似，但是原理上會(huì)有很大不同。這種方式等于提供了一條專門(mén)的二層鏈路，故而有成本高、建設(shè)時(shí)間長(zhǎng)、遠(yuǎn)距離建設(shè)困難以及線路利用率低等問(wèn)題。3虛擬專用網(wǎng)絡(luò)VPNVPN概述圖6-21專線示意圖到了便攜式個(gè)人電腦普及的時(shí)候，原有的專線模式面臨的無(wú)法解決的困難，即在外移動(dòng)辦公的員工如何有效安全的訪問(wèn)企業(yè)內(nèi)網(wǎng)。此時(shí)我們需要有一種可以安全、便捷的方式來(lái)滿足這一需求，也就是VPN（VirtualPrivateNetwork，虛擬專用網(wǎng)）技術(shù)，如圖6-22所示。這一技術(shù)有以下兩個(gè)特性：3虛擬專用網(wǎng)絡(luò)VPNVPN概述（1）通過(guò)已有的Internet進(jìn)行通信，使得這技術(shù)的使用成本大大降低的同時(shí)還極大的提升了使用便捷性。（2）雖然是通過(guò)Internet進(jìn)行通信但是在其過(guò)程中會(huì)采用多種安全保密技術(shù)（即“隧道技術(shù)”），從而保證通訊的安全性。圖6-22VPN連接示意圖3虛擬專用網(wǎng)絡(luò)VPNVPN關(guān)鍵技術(shù)VPN是一種通過(guò)Internet為提供安全、方便連接的技術(shù)。其關(guān)鍵技術(shù)原理主要包括加密、隧道、身份認(rèn)證三個(gè)方面。通過(guò)隧道建立安全的通信路徑，通過(guò)加密將傳輸?shù)臄?shù)據(jù)變?yōu)槊艽a，通過(guò)身份認(rèn)證防止未授權(quán)用戶訪問(wèn)。3虛擬專用網(wǎng)絡(luò)VPN隧道技術(shù)隧道（Tunneling）是利用一種網(wǎng)絡(luò)協(xié)議來(lái)傳輸另一種網(wǎng)絡(luò)協(xié)議的技術(shù)，使得數(shù)據(jù)在被封裝后才會(huì)進(jìn)行傳輸從而防止數(shù)據(jù)被竊取或篡改。從所使用的技術(shù)上可以將隧道協(xié)議分為兩類。1）二層隧道協(xié)議：該類協(xié)議主要工作在OSI模型的第二層即數(shù)據(jù)鏈路層中，故而被稱為二層隧道協(xié)議。一般被用于構(gòu)建遠(yuǎn)程訪問(wèn)虛擬專網(wǎng)（AccessVPN）,例如PPTPVPN中的PPTP協(xié)議，L2TPVPN中的L2TP協(xié)議等。這些協(xié)議都屬于較為早期的VPN協(xié)議，它們將用戶的PPP幀基于GRE封裝為IP報(bào)文但是不會(huì)對(duì)PPP協(xié)議做修改。這使得這些協(xié)議具有了簡(jiǎn)單易行的有點(diǎn)，但是它們無(wú)法提供相關(guān)的安全機(jī)制包括隧道加密以及秘鑰管理機(jī)制，因此沒(méi)有Extranet的概念。這使得用戶需要在連接前手動(dòng)建立加密信道，認(rèn)證和加密收到限制，安全程度較差。3虛擬專用網(wǎng)絡(luò)VPN隧道技術(shù)2）三層隧道協(xié)議：該類協(xié)議工作在OSI模型的第三層即網(wǎng)絡(luò)層中，故而被稱為三層隧道協(xié)議。一般被用于構(gòu)建企業(yè)內(nèi)部虛擬專網(wǎng)（IntranetVPN）與擴(kuò)展的企業(yè)內(nèi)部虛擬專網(wǎng)（ExtranetVPN），例如IPSecVPN中的IPSec協(xié)議，GREVPN中的GRE協(xié)議等。上述協(xié)議都是在Internet上進(jìn)行私密數(shù)據(jù)傳輸?shù)姆绞?，區(qū)別只是在于用戶協(xié)議在OSI的第幾層被封裝，這些協(xié)議間并不是互相沖突的而是可以聯(lián)合使用的。在傳輸過(guò)程中通過(guò)隧道協(xié)議中的路由信息使得封裝后的數(shù)據(jù)可以通過(guò)IP網(wǎng)絡(luò)傳輸，在到達(dá)目的地后隧道協(xié)議頭與原始協(xié)議數(shù)據(jù)包才會(huì)分離。此時(shí)數(shù)據(jù)包就成功傳輸?shù)侥康牡?，隧道協(xié)議頭也完成了它的使命。3虛擬專用網(wǎng)絡(luò)VPN常用加密技術(shù)由于VPN技術(shù)其數(shù)據(jù)傳輸仍然是依賴于Internet進(jìn)行的，故而會(huì)存在一定的數(shù)據(jù)被盜取的風(fēng)險(xiǎn)。如果不對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密而采用明文傳輸?shù)脑挘坏粩?shù)據(jù)被截取那么數(shù)據(jù)里面的信息就會(huì)被截獲泄露。為了保證傳輸信息安全，會(huì)采取類似于特工傳遞情報(bào)時(shí)的操作把原本的信息通過(guò)一定的手段加密轉(zhuǎn)化為特定的格式，只有掌握特定的解密方式的才可以將原本的信息還原。VPN在傳輸時(shí)也會(huì)對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行一定的加密，在實(shí)際應(yīng)用中就是先通過(guò)一定的加密算法對(duì)明文進(jìn)行加密得到密文，然后在通過(guò)Internet傳輸密文，目的地收到密文后根據(jù)解密算法和秘鑰進(jìn)行解密從而得到原本的明文如圖6-23所示。這樣黑客即使在因特網(wǎng)中截獲了我們傳輸?shù)臄?shù)據(jù)也只是加密后的密文，沒(méi)有對(duì)應(yīng)的解密算法和秘鑰是無(wú)法還原為我們的明文的。3虛擬專用網(wǎng)絡(luò)VPN常用加密技術(shù)圖6-23加密示意圖VPN中涉及的加密技術(shù)按照機(jī)制可以分為兩類，分別為對(duì)稱加密和非對(duì)稱加密。3虛擬專用網(wǎng)絡(luò)VPN對(duì)稱加密對(duì)稱加密即發(fā)送方和接收方所使用的加密秘鑰和解密秘鑰完全相同，故而稱為對(duì)稱加密。其大致流程可以分為兩步，第一步發(fā)送方使用秘鑰和算法對(duì)明文加密，第二步接收方使用對(duì)應(yīng)的算法和秘鑰進(jìn)行解密還原得到明文。常用的對(duì)稱加密算法有DES、3DES、AES等算法。這類算法步驟少、原理簡(jiǎn)單故而其具有算法簡(jiǎn)單、效率高、計(jì)算資源需求少等優(yōu)點(diǎn)，適合對(duì)于性能要求較為嚴(yán)格的場(chǎng)景。但是由于該類加密機(jī)制要求雙方在通信前需要相互確定使用的秘鑰，一旦該秘鑰被截取則后續(xù)所有的密文都可以被解密，故而安全性較差。同時(shí)也是由于同樣的原因其擴(kuò)展性較差，因?yàn)槊看谓⒁粋€(gè)新的通信對(duì)象都需要重新進(jìn)行一次秘鑰協(xié)商，若是有n個(gè)用戶需要相互通信則需要協(xié)商n(n-1)/2次。隨著用戶的增多，管理和協(xié)商秘鑰都會(huì)變得十分復(fù)雜。但是若是復(fù)用秘鑰的話又會(huì)導(dǎo)致其泄露概率上升，安全性下降，得不償失。3虛擬專用網(wǎng)絡(luò)VPN非對(duì)稱加密非對(duì)稱加密又稱為公鑰加密，它正是為了解決對(duì)稱加密中安全性較差的問(wèn)題而出現(xiàn)的。非對(duì)稱加密中發(fā)送方和接收方所采用不相同加密秘鑰和解密密鑰，其中較為主要的算法有RSA、DSA、ECDSA等算法，其中RSA是應(yīng)用最為廣泛的算法。在非對(duì)稱加密中加密時(shí)使用的秘鑰稱為公鑰，解密時(shí)所使用的秘鑰稱為私鑰。其中公鑰是公開(kāi)的發(fā)送方可以獲取到并用來(lái)進(jìn)行加密，私鑰是不公開(kāi)的為數(shù)據(jù)接收方所持有并用于解密。其大致流程也是兩步，第一步發(fā)送方獲取公鑰加密后傳輸，第二步接收方收到密文后用私鑰解密，如圖6-24所示。3虛擬專用網(wǎng)絡(luò)VPN非對(duì)稱加密圖6-24非對(duì)稱加密示意圖非對(duì)稱加密由于其加密和解密所使用的是不同秘鑰，在通信時(shí)只需要把公鑰告知對(duì)方即可，接收方通過(guò)私鑰即可完成解密從而具有了更強(qiáng)的安全性。但是非對(duì)稱加密的算法較為復(fù)雜，導(dǎo)致其計(jì)算資源要求較高，同時(shí)加密完成的密文長(zhǎng)度較長(zhǎng)，也增大了傳輸成本。故而非對(duì)稱加密算法一般用于較為機(jī)密的信息，例如金融服務(wù)中的身份認(rèn)證、登錄信息等。3虛擬專用網(wǎng)絡(luò)VPN身份認(rèn)證技術(shù)為了保護(hù)通信安全，在VPN建立前要求進(jìn)行用戶身份驗(yàn)證，保證只有合法授權(quán)的用戶可以訪問(wèn)相關(guān)網(wǎng)絡(luò)。在一些使用了PPP協(xié)議的二層VPN方案中會(huì)采用PAP（PasswordAuthenticationProtocol，密碼認(rèn)證協(xié)議）或CHAP(ChallengeHandshakeAuthenticationProtocol，質(zhì)詢握手認(rèn)證協(xié)議)進(jìn)行用戶身份認(rèn)證，如PPTPVPN和L2TPVPN。在一些采取了身份認(rèn)證秘鑰的三層VPN方案中就會(huì)涉及到相關(guān)的算法，例如MD5、SHA1、SHA2、SM3這些算法。由于這些算法屬于哈希，摘要，雜湊算法，所以需要用到相關(guān)的函數(shù)例如“哈希（Hash）函數(shù)”、“消息摘要函數(shù)”、“雜湊函數(shù)”、“單向散列函數(shù)”等。3虛擬專用網(wǎng)絡(luò)VPN身份認(rèn)證技術(shù)在實(shí)際應(yīng)用中首先將消息輸入函數(shù)得到一個(gè)固定長(zhǎng)度的輸出數(shù)據(jù)，然后將消息和輸出數(shù)據(jù)一同發(fā)送給接收方。接收方使用相同的函數(shù)對(duì)消息進(jìn)行運(yùn)算并檢查器結(jié)果是否與接收到的和消息一起的輸出數(shù)據(jù)是否一致，一致則代表消息完整合法否則代表該消息被篡改不可用。3虛擬專用網(wǎng)絡(luò)VPNIPSecVPN簡(jiǎn)介IPSec（InternetProtocolSecurity，互聯(lián)網(wǎng)安全協(xié)議）不是某一個(gè)單一協(xié)議，而是一個(gè)由因特網(wǎng)工程任務(wù)組（InternetEngineeringTaskFore，IETF）提出的旨在為網(wǎng)絡(luò)提供安全性的協(xié)議簇。IPSecVPN指的是采用IPSec實(shí)現(xiàn)遠(yuǎn)程接入的一種VPN技術(shù)。該技術(shù)主要工作在OSI的網(wǎng)絡(luò)層，并在該層對(duì)數(shù)據(jù)包進(jìn)行加密和驗(yàn)證。采用該技術(shù)的通信雙方在公網(wǎng)上通過(guò)IPSec建立IPSec隧道，所有通信數(shù)據(jù)在經(jīng)過(guò)IPSec隧道時(shí)都會(huì)進(jìn)行加密傳輸，從而提升通信安全性。3虛擬專用網(wǎng)絡(luò)VPNIPSecVPN協(xié)議體系IPSecVPN協(xié)議體系主要由AH（AuthenticationHeader，認(rèn)證頭）、ESP（EncapsulatingSecurityPayload，封裝安全載荷）、IKE（InternetKeyExchange，因特網(wǎng)密鑰交換）三個(gè)協(xié)議套件組成，如圖6-25所示。圖6-25IPSec體系3虛擬專用網(wǎng)絡(luò)VPNAH協(xié)議可以對(duì)相關(guān)IP報(bào)文進(jìn)行數(shù)據(jù)源認(rèn)證、完整性校驗(yàn)和防報(bào)文重放檢查，從而保證傳輸?shù)腎P報(bào)文來(lái)源的可信和數(shù)據(jù)的完整性。AH協(xié)議在每個(gè)數(shù)據(jù)包的標(biāo)準(zhǔn)IP報(bào)文頭和負(fù)載之間添加一個(gè)包含了相關(guān)重要信息的AH報(bào)文頭，通過(guò)這些相關(guān)信息AH協(xié)議可以驗(yàn)證數(shù)據(jù)包是否被篡改。需要注意的是AH協(xié)議沒(méi)有加密功能。3虛擬專用網(wǎng)絡(luò)VPNESP協(xié)議ESP協(xié)議在AH協(xié)議的功能基礎(chǔ)（其數(shù)據(jù)完整性校驗(yàn)不包含IP頭）上還增加了IP報(bào)文的加密功能。ESP協(xié)議的實(shí)現(xiàn)方式和AH協(xié)議類似，也是在每一個(gè)數(shù)據(jù)包的標(biāo)準(zhǔn)IP報(bào)頭后方添加一個(gè)ESP報(bào)文頭，但是ESP協(xié)議還會(huì)在數(shù)據(jù)包后方添加一個(gè)ESP尾（ESPTrailer和ESPAuthdata）。3虛擬專用網(wǎng)絡(luò)VPNIKE協(xié)議該協(xié)議的主要功能是SA協(xié)商和密鑰管理。目前IKE協(xié)議有兩個(gè)版本，分別為IKEv1與IKEv2，后者相比于前者進(jìn)行了許多優(yōu)化包括，修復(fù)了部分漏洞提高了安全性，簡(jiǎn)化協(xié)商過(guò)程提高效率等。3虛擬專用網(wǎng)絡(luò)VPNIPSec封裝模式封裝模式指的是在對(duì)報(bào)文的認(rèn)證和加密時(shí)如何將AH或ESP的字段插入原始報(bào)文中。在IPSec中存在兩種封裝模式，分別是隧道模式和傳輸模式兩種。3虛擬專用網(wǎng)絡(luò)VPN隧道模式在隧道模式中，會(huì)將原數(shù)據(jù)包和IP報(bào)頭進(jìn)行封裝和加密，然后在前面加上IPSec的報(bào)文頭并另外生成一個(gè)新的IP頭封裝到最前面。如圖6-26所示。圖6-26TCP報(bào)文隧道模式此時(shí)封裝后的報(bào)文有兩個(gè)IP頭，其中新添加的IP頭中以本端IPSec設(shè)備應(yīng)用IPSec策略的接口IP地址為源IP地址，以對(duì)端IPSec設(shè)備應(yīng)用IPSec策略的接口IP地址為目的IP地址，從而使數(shù)據(jù)可以從本端設(shè)備傳輸?shù)綄?duì)端設(shè)備。3虛擬專用網(wǎng)絡(luò)VPN傳輸模式在傳輸模式中，會(huì)將新生成的相關(guān)協(xié)議頭放在原IP頭后面，如圖6-27所示。在此模式下只有傳輸層的數(shù)據(jù)會(huì)參與相關(guān)安全協(xié)議頭的計(jì)算，因此只有相關(guān)的上層協(xié)議收到安全協(xié)議的保護(hù)。圖6-27TCP報(bào)文傳輸模式3虛擬專用網(wǎng)絡(luò)VPNIPSecVPN原理IPSec的工作原理大致可以分為以下四個(gè)階段：3虛擬專用網(wǎng)絡(luò)VPN識(shí)別“感興趣流”“感興趣流”是VPN中的術(shù)語(yǔ)，指的是需要進(jìn)入VPN隧道的流量。相關(guān)網(wǎng)絡(luò)設(shè)備接收到網(wǎng)絡(luò)報(bào)文之后需要依據(jù)報(bào)文中的五元組信息與IPSec策略相匹配從而篩選出需要進(jìn)入IPSec隧道的報(bào)文。（2）協(xié)商安全聯(lián)盟（SecurityAssociation，以下簡(jiǎn)稱SA）通信雙方為了保證數(shù)據(jù)傳輸?shù)陌踩?，在建立通信前需要?duì)相關(guān)要素進(jìn)行約定，如數(shù)據(jù)傳輸所用的封裝模式、使用的安全協(xié)議、協(xié)議采用的加密和驗(yàn)證算法等，這一過(guò)程就是SA。SA協(xié)商一般是由識(shí)別出感興趣流之后的本端網(wǎng)絡(luò)設(shè)備向?qū)Χ税l(fā)出的，在這一過(guò)程中通信雙方首先需要通過(guò)IKE協(xié)議先協(xié)商建立IKESA（用于身份驗(yàn)證和密鑰信息交換），然后在建立IPsecSA（用于數(shù)據(jù)安全傳輸）。3虛擬專用網(wǎng)絡(luò)VPN數(shù)據(jù)傳輸在上文所述的SA協(xié)商完畢后，通信雙方已經(jīng)建立了IKESA與IPSecSA，此時(shí)就可以使用IPSec隧道傳輸數(shù)據(jù)了。在傳輸數(shù)據(jù)的過(guò)程中會(huì)使用AH或ESP協(xié)議來(lái)對(duì)數(shù)據(jù)進(jìn)行加密和驗(yàn)證，通過(guò)加密保證數(shù)據(jù)不被竊取，通過(guò)驗(yàn)證保證數(shù)據(jù)不被篡改從而提升了安全性。3虛擬專用網(wǎng)絡(luò)VPN隧道拆除為了節(jié)省系統(tǒng)資源，在通信雙方的隧道空閑一定時(shí)間后會(huì)后默認(rèn)數(shù)據(jù)交換已經(jīng)完成，自動(dòng)關(guān)閉隧道。3虛擬專用網(wǎng)絡(luò)VPNIPSec樣例現(xiàn)兩個(gè)公司子網(wǎng)之間希望可以相互訪問(wèn)并對(duì)通信進(jìn)行保護(hù)，如圖6-28所示。具體要求如下：（1）要求采用IPSecVPN并且封裝模式為隧道模式3虛擬專用網(wǎng)絡(luò)VPNIPSec樣例（2）認(rèn)證方式為預(yù)共享密鑰的方式，密鑰為12345678圖6-28IPSecVPN樣例我們以EDR-810路由器為例，在路由器的配置界面的VPN->IPSec->IPSecSettings中可以找到IPSecVPN相關(guān)的配置，我們可以按照要求設(shè)置隧道模式、預(yù)共享密鑰、加密方式如圖6-29所示。4生產(chǎn)系統(tǒng)網(wǎng)絡(luò)安全應(yīng)用案例4.1實(shí)驗(yàn)?zāi)康?.掌握基于MOXA設(shè)備的路由配置方法2.掌握基于MOXA設(shè)備的防火墻配置方法4生產(chǎn)系統(tǒng)網(wǎng)絡(luò)安全應(yīng)用案例4.2實(shí)驗(yàn)相關(guān)知識(shí)點(diǎn)1.基于MOXA設(shè)備的路由配置2.基于MOXA設(shè)備的防火墻配置4生產(chǎn)系統(tǒng)網(wǎng)絡(luò)安全應(yīng)用案例4.3實(shí)驗(yàn)任務(wù)說(shuō)明隨著工站的增多，將所有產(chǎn)線和服務(wù)器劃分至一個(gè)子網(wǎng)中的方式逐漸不能滿足日益增多的設(shè)備并會(huì)帶來(lái)諸多運(yùn)維問(wèn)題?，F(xiàn)在我們希望對(duì)5.4.3的網(wǎng)絡(luò)進(jìn)行升級(jí)改造，將工站外的交換機(jī)替換為EDR810A路由器來(lái)連接所有工站和服務(wù)器如圖6-30。圖6-30升級(jí)示意圖現(xiàn)在要求你就一臺(tái)工站與路由器的設(shè)計(jì)給出方案。其中我們將PLC、V90、HMI稱為生產(chǎn)設(shè)備、交換機(jī)路由器稱為網(wǎng)絡(luò)設(shè)備，IP地址要求如表6-2所示。其余要求如下：4生產(chǎn)系統(tǒng)網(wǎng)絡(luò)安全應(yīng)用案例4.3實(shí)驗(yàn)任務(wù)說(shuō)明1.為了方便生產(chǎn)的擴(kuò)展，現(xiàn)在要求每個(gè)產(chǎn)線中所有的生產(chǎn)設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器要屬于不同的子網(wǎng)且可以相互連通。2.為了保障產(chǎn)線數(shù)據(jù)安全以及IOT數(shù)采的需求，要求IT系統(tǒng)網(wǎng)絡(luò)禁止ping、HTTP協(xié)議之外的協(xié)議訪問(wèn)PLC、HMI、