windows系统安全8网络协议安全.pptVIP

第八章：网络安全 ----网络协议 目录 网络的不安全性 IPSec 可以用来实现 VPN SSL 网络的不安全性 网络的诱惑太大 网络协议具有缺陷（TCP/IP） 网络攻击技术发展迅速 网络监听攻击 中间人攻击 密码攻击 协议欺骗攻击 拒绝服务攻击 目录 网络的不安全性 IPSec 可以用来实现 VPN SSL IPSec 1 IPSec基础 2 实现Windows 的IPSec IPSec协议 2.1 IPSec:基于标准的IP安全性解决方案 IPSec是用于对网络连接进行安全保护的长期发展方向，它提供了一道用户防范专用网络和Internet攻击的防线，并且，权衡了易用性和安全性。 IPSec是IP协议的扩展，它可保护IP数据包免遭探查和修改，并提供防止网络攻击的防线，IPSec具有阻止前面提到的大多数安全性攻击的能力。 IPSec协议 IPSec是一种安全协议 通过对传输之前的每个IP数据包进行保护来保障网络传输 IPSec是网络层保护协议族. 作用: 提供了身份验证,机密性和完整性 (包括数据源发认证和完整性校验) 三个安全服务,并可以防止重放 攻击. IPSec的主要特征是： 可以支持IP级所有数据的加密和/或认证 。因此可以增强所有分布式应用的安全性 IPSec协议标准 IPSec协议是由IETF（Internet工程任务组）作为用户IP的安全体系结构而设计的，它建立在IETF所批准的一系列标准文档的基础之上。 IPSec标准由一系列安全协议组成，它把通信过程分成 协商和数据交互两个阶段. 协商阶段: 通信双方互相认证对方的身份, 并根据安全策略协商使 用的加密, 认证算法,生成共享的会话密钥; 数据交互阶段:通信双方利用协商好的算法和密钥对数据进行安全 处理以实现IPSec的各种功能. 上述两个阶段分别由以下几个协议规定: IPsec 的协商阶段 密钥管理 手动或自动（Internet密钥交换，即Internet Key Exchange IKE） 数据交互阶段两种协议 验证报头（AH : Authentication Header ） AH只提供认证功能，这意味着AH不对报文做加密处理，仅计算消息验证码 进行完整性校验。 封装安全载荷（ESP: Encapsulating Security Payload） ESP同时提供机密性和完整性保护。 IPsec标准之间的关系 安全策略 安全策略含义 策略位于安全规范的最高一级，是决定系统安全的关键要素，总体策略由具体规则组成。 安全策略要素 策略描述主要包括两个方面的内容：一是对通信特性的描述；二是对保护方法的描述。 通信特性：源IP地址，目标IP地址，传输层协议，源和目标端口 数据敏感等级。 对保护方法的描述： 1 对进入或外出的每一分数据报，可能的三种处理方法：丢弃，绕 过，处理IPsec 2 若应用IPsec ，策略要包含使用的安全协议（AH或ESP）, 模式，算法 密钥等。 安全关联（SA）的管理 安全关联管理的任务包括创建和删除。安全关联管理即可手工进行，也可通过IKE来完成。 手工方式：安全参数由安全管理员按安全策略手工指定，手工维护。 自动方式： SA的建立与动态维护是通过IKE进行的 如果安全策略要求建立安全、保密的连接，但却不存在相应的SA,IPsec的内容就会启动或触发IKE协商。 IPSec组件 总结 IPSec安全结构的基本组成部分 两种安全封装协议 ：AH 和 ESP 密钥管理 : 手动和自动（Internet密钥交换，IKE） 安全关联（SA: security association） 是一组用来保护网络信息的策略和密钥。是Ipsec的基础。 它定义了: 系统如何决定所使用的协议和算法。使用什么算法，其工作方式如何以及如何管理他们。 1 安全封装协议 封装模式 传输模式 隧道模式 封装协议 验证报头（AH） 封装安全载荷（ESP） 封装模式 封装模式 传输模式和隧道模式 传输模式（Transport Mode） 用于端到端的连接。 两端的系统都必须支持IPSec,而中间节点系统则不必支持IPSec，它们只是以普通的方式转发数据包。 隧道模式（Tunnel Mode） 用于网关对网关的连接。（典型应用VPN） 数据包的源和目的终端不必支持IPSec,而只有提供安全服务的网关才必须支持IPSec 1 安全封装协议 封装模式 传输模式 隧道模式 封装协议 验证报