计算机网络安全剖析.ppt

* * * * * Here’s a graphical way of looking at the exponential growth of threats over a ten year period. 10 years ago the threats were simple file-based viruses Then we saw growing complexity, with mass mailers that spread in hours. In early 2000 we saw the first major DOS attacks And now we’re seeing a new kind of blended threat. The blended threat combines an arsenal of tricks to do damage. They require a very comprehensive portfolio of security solutions. More on this later. In short, we are way, way past the days when AV was enough to secure a system. * VPN的实现技术 1、隧道技术 隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式,是VPN的核心。隧道技术是在公用网建立一条专用数据“通道”，以实现点对点的连接，让来自不同数据源的网络业务经由不同的“通道”在相同的网络体系结构上传输，并且允许网络协议穿越不兼容的体系结构。隧道的组成如图所示。 隧道的组成 ISP接入 集线器 Mobile PC 隧道终结器 交换机 ISP VPN Gateway 互联网 VPN的实现技术 2、加解密技术（Encryption Decryption） 对通过公用互联网络传递的数据必须经过加密，确保网络其它未授权的用户无法读取该信息。 3、密钥管理技术（Key Management） 密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行常用密钥管理技术可分为SKIP与ISAKMP／Oakley两种。 4、身份认证技术（Authentication） 公用网络上有众多的使用者与设备，如何正确地辨认合法的使用者与设备，使属于本单位的人员与设备能互通，构成一个VPN并让未授权者无法进人系统,这就是使用者与设备身份认证技术要解决的问题。 VPN的实现技术 5、VPN的应用平台 VPN设备选择的标准主要取决于应用程序运行的安全级别和性能要求，而在技术方法上VPN是通过平台来实现的。目前VPN的应用平台可分为3种类型。 ⑴ 基于软件的VPN：当数据连接速度较低，对性能和安全性要求不高时，利用一些软件提供的功能便可实现简单的VPN功能。 ⑵ 基于专用硬件平台的VPN：当企业和用户对数据安全与通信性能要求很高时，可采用专用硬件平台实现VPN功能。 ⑶ 辅助硬件平台的VPN：以现有网络设备为基础，在添加适当的VPN软件的情况下实现VPN功能。网络安全性和通信性能介于上述两者之间。 VPN的安全协议 网络隧道协议有两种：一种是二层隧道协议，用于传输二层网络协议数据，以构建远程访问虚拟专用网；另一种是三层隧道协议，用于传输三层网络协议，以构建企业内部虚拟专用网和扩展的企业内部VPN。 1、二层隧道协议（PPTP／P2TP） ⑴ PPTP：是点对点隧道协议，它是由 Microsoft公司提出的、被嵌入到Windows中的、用于路由和远程服务的数据链路层协议。PPTP用IP包来封装PPP数据帧，用简单的包过滤和域控制来实现访问控制。 ⑵ L2TP：是第二层隧道转发协议，它是由PPTP和L2F组合而成，可用于基于Internet的远程拨号访问。还可以为使用PPP的客户端建立拨号方式的VPN连接。L2TP可用于传输多种协议，如NetBIOS等。 VPN的安全协议 2、三层隧道协议（IPSec） IPSec是一组开放性协议的总称，它包括认证头(AH）、Internet安全协会与密钥管理协议（ISAKMP）和安全封装载荷（ESP）三个子协议。IPSec具有以下三个特性。 ⑴ 保密性：IPSec在数据传输之前先进行加密，以确保的私有性。 ⑵ 可靠性：数据到达目标方之后进行验证,保证数据在传输过程中没有被修改或替换。 ⑶ 真实性：对主机和端点进行身份鉴别。 IPSec有两种工作模式,即运输模式和