计算机网络8 网络安全.ppt

IPsec是网络层安全协议 [RFC 2411] IPsec除提供对IP数据报的加密外, 还提供源站鉴别(Source Authentication) * * IPsec的主要部分是AH(Authentication Header)和ESP(Encapsulation Security Payload) AH提供源站鉴别和数据完整性, 但不能保密 ESP提供源站鉴别、数据完整性和保密 * * 虽然AH协议的功能都已包含在ESP 中, 但AH协议早已广泛使用, 因此还不能废弃. 在使用 AH 或 ESP 之前, 先要从源主机到目的主机建立一条网络层的逻辑连接, 即SA 这样, IPsec 就把传统的因特网无连接的网络层转换为具有逻辑连接的层 SA是一个单向连接, 由一个三元组唯一地确定: 安全协议(使用 AH 或 ESP)的标识符 此单向连接的源 IP 地址 一个 32 位的连接标识符, 称为安全参数索引 SPI (Security Parameter Index) 对于一个给定的安全关联 SA, 每一个 IPsec 数据报都有一个存放 SPI 的字段, 通过此 SA 的所有数据报都使用同样的 SPI 值 * * * * IP首部的协议字段为51；在传输过程中, 中间路由器不查看AH. * * IP首部的协议字段为50；ESP尾部参与数据报加密. SSL是安全套接层(Secure Socket Layer), 可对万维网客户与服务器之间传送的数据进行加密和鉴别 SSL在双方的联络阶段协商将使用的加密算法和密钥, 以及客户与服务器之间的鉴别 在联络阶段完成之后, 所有传送的数据都使用在联络阶段商定的会话密钥 SSL不仅被所有常用的浏览器和万维网服务器所支持, 而且也是运输层安全协议 TLS (Transport Layer Security)的基础 * * * * 在发送方, SSL 接收应用层的数据(如 HTTP 或 IMAP 报文), 对数据进行加密, 然后把加了密的数据送往 TCP 套接字；在接收方, SSL 从 TCP 套接字读取数据, 解密后把数据交给应用层. SSL服务器鉴别 允许用户证实服务器的身份. 具有 SSL功能的浏览器维持一个表, 上面有一些可信赖的认证中心 CA (Certificate Authority)和它们的公钥 加密的 SSL 会话 客户和服务器交互的所有数据都在发送方加密, 在接收方解密 SSL 客户鉴别 允许服务器证实客户的身份 * * SET是专为与支付有关的报文进行加密的 SET协议涉及到三方, 即顾客、商家和商业银行 所有在这三方之间交互的敏感信息都被加密 SET要求这三方都有证书 在 SET 交易中, 商家看不见顾客传送给商业银行的信用卡号码 * * 防火墙由软件、硬件构成, 用于在两个网络之间实施接入控制 防火墙功能: 阻止或者允许 两类防火墙 包过滤防火墙(网络级) 代理防火墙(应用级) * * * * 包防火墙过滤位于网络层或者传输层. * * Internal network connected to Internet via router firewall Router filters packet-by-packet, decision to forward/drop packet based on certain/configurable criteria * * Should arriving packet be allowed in? Departing packet let out? Discard packets based on configurable criteria Address filtering Based on source and/or destination address in IP packets Allowing packets with certain IP addresses to go through Blocking packets with certain IP addresses Traffic type filtering Based on the type of traffic in IP header (TCP/UDP port numbers) Allowing certain types to go through, e.g http (port# 80) Content filtering Based on the content of packets. Blocking packets with some patterns in the content. Specific filtering: ICM