讲稿网安ipsec协议.pptxVIP

; 一. IPSec — IP安全加密　 IPSec(IP Security)是网络安全协议的一个工业标准，IPSec主要功能是为IP通信提供加密和认证，为 IP 网络通信提供透明的安全服务，保护TCP/IP 通信免遭窃听和篡改，可以有效抵御网络攻击，同时保持易用性。;; ① IPSec协议是一组协议（AH协议、ESP协议、Internet密钥交换协议IKE），既可以作为一个完整的VPN方案，也可以与其他协议配合使用。 ② IPSec协议工作在OSI第3层（网络层），可以为上层应用提供一个安全的网络连接，提供基于一种端-对-端的安全模式。;IPSec的两种工作模式： 隧道模式： IPsec将原有的IP分组封装成带有新的IP报头的IPsec分组，这样原有的IP分组就被有效地隐藏起来了。隧道主要应用于主机到网关的远程接入的情况。? 传输模式：只对IP分组应用IPsec协议，对IP报头不进行任何修改，它只能应用于主机对主机的IPsec虚拟专用网VPN中。; 随着企业网的快速发展，有许多的中小企业有异地访问和安全保障方面的需求，催生出了ipsec vpn 这项技术。 IPSec?VPN指采用IPSec协议来实现远程接入的一种VPN（虚拟专用网络）技术。; 当IPsec用于路由器时，就可以建立虚拟专用网。路由器连入内部网的一端，是一个受保护的网络，另一端则是不安全的公共网络。两个这样的路由器建立 起一个安全通道，通信就可以通过这个通道从一个本地的保护子网发送到一个远程的保护子网，这就形成了一个VPN。;IPSEC引进了完整的安全机制，包括加密、认证和数据防篡改功能。（原来的tcp/ip体系没有基于安全的设计） Internet迅速发展，接入越来越方便，很多客户希望能够利用这种上网的带宽，实现异地网络的的互连通。; 有2个儿童，小张和小李，他们的老爸分别是老张和老李。小张与小李进行通信。;校园信息孤岛。高校的合并和扩招，使得每个学校建立了众多的分校区，这些校区常常是跨区域甚至是全国性的。而在网络建设上，这些校区却并没有实现互联互通。这就造成了一卡通无法跨区“通”的问题，一个学生在不同的校区不得不使用不同的智能卡。这不仅方便性得不到实现，也是资源的一种浪费。; 多个一卡通站点之??通过IPsec VPN的方式连接，是比较适合的方案。通过安全认证、建立隧道、加密传输等机制对一卡通管理区域进行访问，构建相互信任方之间的安全加密信息传输通道，达到专用网络的效果。同时，还能实现应用层的访问控制过滤。;IPSec VPN的优势： ① 经济：利用互联网替代专线连接，不再负担昂贵的点对点固定线路租费。② 安全：IPSec VPN通过支持先进的通道协议、数据加密、安全策略和多种认证方式保证安全。而专线传输是不加密的。 ③ 标准网络层连接，支持所有上层协议和应用，可在其上开展多种业务④ IPSec VPN 可以以低廉的价格连接少量的分支，也适合连接众多的分支，还可以同时支持移动办公的用户的接入。; 2.IPSec VPN方案不足：  ① 属于网络基础设施，部署时需要与各个节点的现有网络相融合，由一定技术难度，工作量较大 ② 利用IPSec VPN接入网络时建立网络层通道，接入节点或网络的可靠性会影响到全网，当出现大量的数据包进行加解密的时候可能会产生延迟，服务质量不好保证的情况。; Microsoft 宣布向所有受支持的 Windows 版本提供更新，可以解决通过 DirectAccess 或 IPsec 点对点隧道对客户端验证服务器连接的方式中存在的漏洞。 成功利用此漏洞的攻击者可能使用特制的 DirectAccess 服务器伪装成合法 DirectAccess 服务器，以便与合法 DirectAccess 客户端建立连接。由攻击者控制的系统看起来好像是一个合法的服务器，可能导致客户端系统自动进行身份验证并与由攻击者控制的系统进行连接，从而允许攻击者截取目标用户的网络流量并潜在确定其加密的域凭据。 ; Q1. IPSec对所有的数据包都会进行安全处理吗？ 答： 使用ipsec协议的传输都会对数据进行安全处理，而未使用的则不进行处理。 Q2. IPSec在两种工作模式(隧道模式、传输模式)下的封装数据包的方式对数据包的作用效果是什么？ ;在传输模式下，外部头决定保护内部 IP 包的 IPsec 策略。 在隧道模式下，内部 IP 包决定保护其内容的 IPsec 策略。 在传输模式下，外部头、下一个头以及下一个头支持的任何端口都可用于确定 IPsec 策略。实