第2章 网络安全技术基础.ppt

2.2 虚拟专用网VPN技术 2.2.4 VPN技术的实际应用 1. 远程访问虚拟网 通过一个与专用网相同策略的共享基础设施,可提供对企业内网或外网的远程访问服务,使用户随时以所需方式访问企业资源.如模拟、拨号、ISDN、数字用户线路（xDSL）、移动IP和电缆技术等,可安全连接移动用户、远程工作者或分支机构. 2. 企业内部虚拟网 可在Internet上构建全球的Intranet VPN,企业内部资源只需连入本地ISP的接入服务提供点POP(Point Of Presence)即可相互通信，而实现传统WAN组建技术均需要有专线.利用该VPN线路不仅可保证网络的互联性,而且,可利用隧道、加密等VPN特性保证在整个VPN上信息安全传输. 2.2 虚拟专用网VPN技术 2.2.4 VPN技术的应用 3．企业扩展虚拟网 主要用于企业之间的互连及安全访问服务。可通过专用连接的共享基础设施，将客户、供应商、合作伙伴或相关群体连接到企业内部网。企业拥有与专用网络相同的安全、服务质量等政策。 ?讨论思考： （1）VPN的本质是什么？为何VPN需要加密技术辅助？ （2）VPN几种应用的区别是什么？ 2.3 无线网络安全技术概述 2.3.1 无线网络安全风险和隐患 2013年日本7个月内近4100家网站遭黑客攻击，破历史纪录。日本网络安全保障机构资料显示自2013年的前7个月中，遭黑客攻击的日本政府和其他机构的网站总数达到近4100个，创下了空前的纪录。有关安全机构警告网民警惕各种网络漏洞、无线网络隐患、电脑病毒等问题，称一些攻击能盗窃个人资料和用于银行操作及网上购物的密码，如不更新电脑软件，电脑受攻击的可能性就更大。 案例2-2 2.3 无线网络安全技术概述 随着无线网络技术的广泛应用，其安全性越来越引起人们的关注。主要包括访问控制和数据加密两个方面，访问控制保证机密数据只能由授权用户访问，而数据加密则要求发送的数据只能被授权用户所接受和使用。 无线网络在数据传输时以微波进行辐射传播，只要在无线接入点AP（Access Point）覆盖范围内，所有无线终端都可能接收到无线信号。AP无法将无线信号定向到一个特定的接受设备，时常有无线网络用户被他人免费蹭网接入、盗号或泄密等，因此，无线网络的安全威胁、风险和隐患更加突出。 无线网络安全风险及隐患，如图2-5所示。 2.3.1 无线网络安全风险和隐患 SA_ID source dest protocol spi SA记录 01 AH 11 MD5, K1,… 05 - - - 06 AH 13 DES, K3,… A() B() A的 SADB ID source dest protocol port Action policy 05 TCP 80 IPSEC_PASS - 06 TCP 25 IPSEC-USE AH A的SPD 7、传输和隧道模式 (1) 传输模式下 IPSec仅对IP层以上的数据（TCP/UDP数据）进行加密和鉴别。传输模式通常用于两个主机之间的端对端通信 (2)隧道模式下 将原IP包封装在一个新的包中，原IP包将作为新包的有效净荷，并且添加了新的适用于网关间的IP首部。 在传输过程中，由于原目的IP地址被封装，中间的路由器只检查新的IP首部，所以隧道方式可用来对抗通信量分析。隧道模式主要用于安全网关之间，可以在公共网上构建虚拟专用网(VPN) 8、鉴别AH协议 AH首部格式 下一个首部（8bit） 标识该AH首部后下一有效载荷的类型 安全参数索引（32 bit） 标识用于此数据项的SA 序列号（32 bit） 一个单调递增的记数值，用于防止重放攻击 鉴别数据（可变长） 长度可变，但必须为32 bit的整数倍，包含了这个包的完整性检查值 AH的两种模式 (1) 传输模式 鉴别覆盖了整个分组（除可变字段） (2) 隧道模式 AH被插在原IP首部和新IP首部之间,目的IP地址被掩藏起来,提供了通信量上的安全性。 Ext. headers (if present) Ext. headers (if present) AH-传输模式 AH-隧道模式 9、ESP协议 ESP首部格式 ESP Header ESP Trailer ESP Auth. Data Payload Data ES