第七部分 网络安全演示课件.pptVIP

3. 通信安全 IP安全协议（IPSec） 防火墙 精选编制 3.1 IP安全协议 IPSec是指IETF以RFC形式公布的一组安全IP协议集。 IPSec提供了一个用于集成多种安全服务、加密算法及安全控制粒度的安全体系结构框架； IPSec提供的安全服务主要包括访问控制、无连接完整性、数据起源认证、抗重放攻击、机密性等；安全服务全都基于对称密钥加密以获得高性能。 IPSec的安全机制都是独立于算法的，这样在选择和改变算法时不会影响其它部分的实现。 IPSec提供多种安全控制粒度：一条TCP连接上的通信，一对主机间的通信，一对安全路由器之间的所有通信。 精选编制 IPSec的组成 从技术上说，IPSec主要包括两个部分: IPSec安全协议：包括AH和ESP两个安全协议，定义了用于安全通信的IP扩展头和字段以提供机密性、完整性和源鉴别服务。 密钥管理协议IKE：定义了通信实体间进行身份鉴别、协商加密算法以及生成共享会话密钥的方法。 将以上两部分绑定在一起的是称为安全关联（SA）的抽象。 精选编制 安全关联SA SA是通信对等实体之间对某些要素的协定，如使用的安全协议、协议的操作模式、使用的密码算法、密钥及密钥的生存期等。 SA是两个通信端点间的一个单工连接，由一个安全参数索引（SPI）唯一标识，如果在两个方向都需要安全通信，则需要建立两个SA。SPI携带在数据包中，由数据包的处理进程用来查找密钥及相关信息。 SA可以建立在一对主机之间、一台主机与一个安全网关之间、或一对安全网关之间。 精选编制 IPSec的使用模式 传输模式： IPSec头插入到原始IP头和传输层头之间，因特网中的路由器根据原始IP头转发分组。 隧道模式： 整个原始数据包被封装在一个新的IP包中，IPSec头被放在新的IP头和原始IP头之间，因特网中的路由器根据外层IP头的信息转发分组。 隧道的端点（外层IP头中的地址）通常是一个支持IPSec的安全网关。 精选编制 IPSec的使用模式 精选编制 两种模式的比较 传输模式比隧道模式占用较少的带宽。 隧道模式可隐藏内部网络的细节。 内部网络上的主机可以不运行IPSec，它们的安全性由安全网关来保证。 隧道模式也可将一束TCP连接聚合成一个加密流，从而有效地防止入侵者进行流量分析。 精选编制 （1）鉴别头协议AH AH头结构 在传输模式中，AH的完整性检查覆盖原始IP头中那些在逐跳传输过程中不变的域，可变的域在计算时置0。 在隧道模式中，完整性检查覆盖原始IP头中的所有域及外部IP头中的不变域。 精选编制 AH在传输模式和隧道模式中的位置 精选编制 AH提供的服务 AH提供无连接完整性、数据起源认证和抗重放攻击，但不提供机密性服务。 HMAC覆盖数据包的载荷部分，因而可提供无连接完整性服务。 AH中有序号，且被HMAC覆盖，因而可抵抗重放攻击。 HMAC覆盖原始IP头中的不变域（传输模式）或整个原始IP头（隧道模式），因而可提供数据起源认证。 精选编制 （2）封装安全载荷协议ESP ESP数据包结构： 精选编制 ESP在传输模式和隧道模式中的位置 精选编制 ESP提供的服务 ESP提供数据机密性、无连接完整性、抗重放攻击、数据起源鉴别和有限的数据流机密性服务。 原始数据包的载荷部分被加密，因而可提供数据机密性服务。 HMAC覆盖数据包的载荷部分，因而可提供无连接完整性服务。 ESP头中有序号，且被HMAC覆盖，因而可以抵抗重放攻击。 ESP隧道模式中，原始IP头也被HMAC覆盖，因此ESP隧道模式可提供数据起源鉴别。 ESP隧道模式中，原始IP头也被加密，因特网中的路由器只能看到外层IP头，因而ESP隧道模式可提供数据流机密性服务。 ESP隧道模式下鉴别和加密服务所提供的安全性强于ESP传输模式；ESP传输模式下鉴别服务所提供的安全性不如AH传输模式。 精选编制 3.2 防火墙 防火墙：在可信的内部网络（专用网络）与不可信的外部网络（公用网络）之间执行访问控制策略的一个或一组系统（包括硬件和软件），目的是保护内部网络免受来自外部网络的攻击。 从本质上说 ，防火墙提供可控的通信过滤服务。 防火墙的设计目标： 所有进出网络的流量必须通过防火墙 只允许合法的流量通过防火墙 从理论上说，防火墙是穿不透的。 精选编制 防火墙的典型结构 由两个分组过滤路由器和一个应用网关组成： 分组过滤路由器：利用 IP头及传输层报头的某些域过滤分组。 应用网关：根据应用层的信息（应用层协议的域、报文内容等）过滤分组。 两个分组过滤路由器分别位于外网和内网上并通过应用网关相连，迫使每个分组必须通过应用网关的检查。 应用网关通常运行在一个独立的计算机系统（称堡垒主机）上，堡垒主机必须是非常安全的。 精选编制 防火墙典型结构 精选编制