网络安全-第八讲 课件.pptVIP

第八讲 Internet的安全性和防火墙设计（IPsec） ◆引言 ◆IP安全机制（IPsec） ◆Ipsec隧道及其他 ◆防火墙和互联网的访问 3、信息安全性 指确保网络上的信息和服务不被未经授权的用户所使用。 * * 一、引言 1、安全性的地位 ◆ 在互联网中，安全性很重要，但实现也很困难。 2、形成互联网安全基础的基本技术 ◆ 周边安全：允许某组织确定对外来者所 提供的服务和网络，以及外来者所能使用 的资源的范围。 ◆ 加密处理其它大部分安全性事务。 4、信息安全的防护措施 ● 数据的完整性和可用性 ● 数据的保密性或机密性 ● 授权和鉴别 ● 避免重放 5、信息策略 策略：指定对每条信息允许谁访问它，每个人在 向其他人散布信息时所必须遵守的规则， 以及对违反规定的情况将如何处置。 ① 不安全的互联网中，使用远程机器的IP地址进行 鉴别的授权计划不足以满足需要。 ② 控制中间路由器的冒名顶替者通过冒充已被授权 的客户，可以获得访问权。 ③ 更高的鉴别要求对报文进行加密。 6、Internet安全机制 二、IP安全机制（IPsec） 1、IPsec-----一套提供Internet安全通信的协议。 2、IPsec的功能： ●在IP层提供鉴别和保密服务。 ●提供安全算法以及常用结构的集合。 （其中，结构允许一对通信实体使用任 何一种算法为通信提供适当的安全保证。） 3、IPsec鉴别首部 ◆ 鉴别首部AH：用来传送鉴别信息。 ◆ AH与IPv4一起使用时的情况： IPv4首部 鉴别首部 TCP首部 TCP数据 4、安全联合（SA） ◆因为安全方案的许多细节（如：算法使用的 密钥等）不能放入首部中。 ◆为了节省首部中的空间，Ipsec安排每个接收者把有关安全方案的细节收集到被称为安全联合（SA）的摘要中。 ◆每个SA都有一个数字，被称为安全参数索引。 ◆接收方使用安全参数索引标识每个分组的SA，索引值不是全局的，需要用目的地址和安全参数索引一起指定SA。 5、Ipsec封装安全有效载荷ESP ● ESP比AH复杂得多。 ● Ipsec使用ESP是为了处理保密性以及鉴别问题。 ● ESP使用许多和鉴别首部中一样的条目，但重新 排列了它们的顺序。 IPv4首部 ESP首部 TCP首部 TCP数据 ESP尾部 ESP鉴别数据 鉴别部分 加密部分 三、IPsec隧道及其他 1、隧道版本中数据报的布局 下面给出鉴别和封装安全有效载荷的IPsec隧道模型的示意图： 外部IP首部 鉴别首部 内部IP数据（包括IP首部） 外部IP首部 ESP首部 内部数据报（包括IP首部） ESP尾部 ESP鉴别数据 加密部分 鉴别部分 2、安全套接字SSL 套接字：是一个应用程序的接口 API：是应用程序与TCP/IP协议之间的接口。 ◆SSL技术最初由Netscape公司开发。 ◆ SSL和套接字API处于同一层。 ◆ SSL协议允许每一端向另一端鉴别自己， 两端协商出都支持的加密算法。 ◆ SSL允许两端都建立加密的连接。 四、防火墙和互联网的访问 1、控制互联网访问的机制所要处理的问题： ★筛选特定的网络或机构。 ★防止并不期望的通信（如，外来者获取信息、改变信息等）。 2、互联网放火墙 是一种作为互联网访问控制基础的技术。它把互联网分为内部和外部。 3、最薄弱环节 ●有多个外部连接的组织必须在每个外部连接上安装防火墙，并协调它们。 ●若所有防火墙上的限制访问有不一致之处，则会使组织很危险。 4、防火墙的实现 ●从理论上讲，就是封锁组织内的计算机和组织外的计算机之间未授权的通信。 ●在实际应用中，则取决于网络技术、连接的容量、通信量负载以及组织的策略。 5、分组级的过滤器 ●它是路由器提供的一种机制。 ●它要求管理员指明路由器应当如何处理每个分组。 ●当数据报到达时，路由器先将它传送给过滤器，若 过滤器拒绝，则路由器立即将此数据报丢弃。 ●有分组过滤器的路由器是防火墙的基本构件。 6、安全性与分组过滤器的规范 ◆防火墙要限制除组织已明确决定可对外 开放的计算机、网络及服务以外的所有IP 源站、IP目的站、协议及协议端口的访问。 ◆过滤器要求管理员指定接收的数据报。 而不是阻拦的数据报。 7、客户受限访问的后果 后果：如果一个组织的放火墙限制所有传入