internet基础设施安全dnsipsec.pptVIP

;TCP/IP协议栈;网络层安全;传输层安全;应用层安全;教学内容安排;教学内容安排;DNS的基本概念;BIND;DNS的基本概念;域名空间与完全合格域名 ;;常见的顶级域名;中国的二级域名系统;命名机制;域名解析;DNS的工作过程;DNS的安全威胁 拒绝服务攻击； 设置不当的DNS会泄漏过多的网络拓扑结构； 利用被控制的DNS服务器入侵整个网络， 破坏整个网络的安全完整性； 利用被控制的DNS服务器，绕过防火墙等其它安全设备的控制。 ;DNS欺骗（DNS Spoofing）;;域名欺骗（DNS Spoofing）;DNS信息查看工具nslookup;DNS安全技术措施;教学内容安排;TCP/IP配置实例;TCP/IP协议栈封装过程;IPv4包头;版本（4bit）：版本号，值为4 首部长度（4bit）：以32bit为单位的首部长度 服务类型（8bit）：指明相对优先级，如最小延迟、最大吞吐量、最高可靠性和最小费用等 总长度（16bit）：以字节为单位的整个IP包长度 标识符（16bit） ：IP包的序号 标志（3bit）：指明是否可分片 分片偏移量（13bit） 寿命（TTL，8bit）：数据包可以经过的最多路由器数目，说明允许包在网络上存在多久 协议（8bit） ：指出更高一层的协议，如TCP 报头校验和（16bit） 源地址（32bit） 目的地址（32bit） 选项（可变长度）：设置一些选项 填充（可变长度）：保证包头的长度是32bit的整数倍;服务类型推荐值;缺乏对通信双方身份真实性的鉴别能力 缺乏对传输数据的完整性和机密性保护的机制 由于IP地址可软件配置以及缺乏基于源IP地址的鉴别机制，IP层存在业务流被监听和捕获、IP地址欺骗、信息泄露和数据项篡改等攻击;IPSec实现了在局域网、广域网和Internet上的安全通信 Internet上的安全办公室（虚拟专用网络） Internet上的安全远程访问 与合作者之间建立专用的Extranet和Intranet连接 增强电子商务安全 IPSec的主要特征是可以支持IP层所有流量的加密和/或鉴别。因此可以增强所有分布式应用的安全性;IPSec应用的一个典型场景;端到端（end-end)：实现主机到主机的安全通信 端到路由（end-router)：实现主机到路由设备之间的 安全通信 路由到路由（router-router)：实现路由设备之间的安全通信，常用于在两个网络之间建立虚拟私有网（VPN）。;在防火墙和??由器层面上实现IPSec，可以对所有跨越周界的流量实施强安全性，而公司内部不必招致与安全相关处理的负担。 IPSec位于传输层（TCP、UDP）之下，对应用程序透明 IPSec对终端用户透明 必要性IPSec可以为单个用户提供安全性;IPSec文档概述;体系结构：包括总体概念，安全需求，定义，以及定义IPSec技术的机制 ESP：描述使用ESP进行分组加密和可选鉴别的分组格式和一般性问题 AH：描述使用AH进行分组鉴别的格式和一般性问题； 加密算法：描述将各种不同加密算法用于ESP的文档； 鉴别算法：描述将各种不同鉴别算法用于AH以及ESP鉴别选项的文档； 密钥管理：描述密钥管理模式； DOI：包括一些参数，批准的加密和鉴别算法标识，以及运行参数等;IPSec在IPv6中是强制的，在IPv4中是可选的,这两种情况下都是采用在主IP报头后面接续扩展报头的方法实现的。 AH(Authentication Header)是鉴别的扩展报头；ESP header (Encapsulating Security Payload)是实现加密和鉴别(可选)的扩展报头;IPSec在IP层提供安全服务，使得系统可以选择所需要的安全协议，确定该服务所用的算法，并提供安全服务所需任何加密密钥。;SA是IP鉴别和保密机制中最关键的概念。 安全关联是发送者与接收者之间的一种单向安全关系，是与给定的一个网络连接或一组网络连接相关联的安全信息参数集合 由三个参数来标识： 安全参数索引（SPI） IP目的地址 安全协议标识符（指明是AH还是ESP） IPSec系统中定义了两个数据库： 安全策略数据库(SPD) 安全关联数据库(SAD);序号计数器：一个32位值，用于生成AH或ESP头中的序号字(必须实现) 计数器溢出位：一个标志位表明该序数计数器是否溢出，如果是，将生成一个审计事件，并禁止本SA的的分组继续传送。 (必须实现) 反重放窗口：用于确定一个入站的AH或ESP包是否是重放的(必须实现) AH信息：鉴别算法、密钥、密钥生存期以及相关参数(AH必须实现) ESP信息：加密和鉴别算法、密钥、初始值、密钥生存期以及相关参数(ESP必须实现) SA的生存期：一个时间间隔或字节计数，到时间后，一