【正文】 整個 TCP/IP協(xié)議的體系結構 ，除了數(shù)據(jù)鏈路層外， TCP/IP的所有協(xié)議的數(shù)據(jù)都是以 IP數(shù)據(jù)報的形式傳輸?shù)?。n TCP/IP協(xié)議簇有兩種 IP版本： IPv4和 IPv6； IPv6簡化了IP頭，其數(shù)據(jù)報更加靈活，同時 IPv6還增加了對安全性的考慮。 IP安全的必要性 n 目前占統(tǒng)治地位的是 IPv4， IPv4在設計之初沒有考慮安全性， IP包本身并不具備任何安全特性，導致在網(wǎng)絡上傳輸?shù)臄?shù)據(jù)很容易受到各式各樣的攻擊： 比如偽造 IP包地址、修改其內(nèi)容、重放以及在傳輸途中攔截并查看包的內(nèi)容等。因此，通信雙方不能保證收到 IP數(shù)據(jù)報的真實性。n 為了加強因特網(wǎng)的安全性，制定了一套用于保護 IP通信的IP安全協(xié)議（ IP Security， IPSec）。 IPSec是 IPv6的一個組成部分，是 IPv4的一個可選擴展協(xié)議。 IPSec彌補了IPv4在協(xié)議設計時缺乏安全性考慮的不足 。IPSec通過使用基于密碼學的保護服務、安全協(xié)議和動態(tài)密鑰管理，實現(xiàn)以下目標： n 認證 IP報文的來源　　基于 IP地址的訪問控制十分脆弱，因為攻擊者可以很容易利用偽裝的 IP地址來發(fā)送 IP報文。許多攻擊者利用機器間基于 IP地址的信任，來偽裝 IP地址。 IPSec允許設備使用比源 IP地址更安全的方式來認證 IP數(shù)據(jù)報的來源。 IPSec的這一標準稱為 原始認證 ?！　 保證 IP數(shù)據(jù)報的完整性　　　除了確認 IP數(shù)據(jù)報的來源，還希望能確保報文在網(wǎng)絡中傳輸時沒有發(fā)生變化。使用 IPSec，可以 確信在 IP報文上沒有發(fā)生任何變化 。IPSec的這一特性稱為 無連接完整性 。n 確保 IP報文的內(nèi)容在傳輸過程中不被破解　 除了認證與完整性之外，還期望當報文在網(wǎng)上傳播時，未授權方不能讀取報文的內(nèi)容。這可以通過在傳輸前，將報文加密來實現(xiàn)。通過 加密 報文，可以確保攻擊者不能破解報文的內(nèi)容，即使他們可以用偵聽程序截獲報文。n 確保認證報文沒有重復　　即使攻擊者不能發(fā)送偽裝的報文，不能改變報文，不能讀取報文的內(nèi)容，攻擊者仍然可以通過重發(fā)截獲的認證報文來干擾正常的通信，從而導致事務多次執(zhí)行，或是使被復制報文的上層應用發(fā)生混亂。IPSec能 檢測出重復報文并丟棄 它們。這一特性稱為 反重傳 。n IPSec并不是一個單一的協(xié)議或算法，它是一系列加密實現(xiàn)中使用的加密標準定義的 集合 。 IPSec實現(xiàn)在 IP層的安全，因而它 與任何上層應用或傳輸層的協(xié)議無關 。 上層不需要知道在 IP層實現(xiàn)的安全 ，所以在 IP層不需要做任何修改 。IPSec協(xié)議簇n IPsec 在 IP層提供安全服務，它使系統(tǒng)能 按需選擇 安全協(xié)議，決定服務所使用的算法及放置需求服務所需密鑰到相應位置。 n IPsec 用來保護一條或多條 主機與主機 間、 安全網(wǎng)關與安全網(wǎng)關間 、 安全網(wǎng)關與主機 間的路徑。 n IPsec 能提供的安全服務集包括訪問控制、無連接的完整性、數(shù)據(jù)源認證、拒絕重發(fā)包（部分序列完整性形式）、保密性和有限傳輸流保密性。因為這些服務均在 IP 層提供，所以任何高層協(xié)議均能使用它們，例如 TCP 、 UDP 、 ICMP 、 BGP 等等。n 這些目標是通過使用兩大傳輸安全協(xié)議 :頭部認證（ AH） 和 封裝安全負載 （ ESP） ，以及密鑰管理程序和 密鑰交換協(xié)議 (IKE) 來完成的。n 所需的 IPsec 協(xié)議集內(nèi)容及其使用的方式是由用戶、應用程序、和/或站點、組織對安全和系統(tǒng)的需求來決定。n 當正確的實現(xiàn)、使用這些機制時，它們不會對不使用這些安全機制保護傳輸?shù)挠脩?、主機和其他 Inter部分產(chǎn)生負面的影響。n 這些機制也被設計成算法獨立的模塊 , 這種模塊性允許選擇不同的算法集而 不影響其他部分 的實現(xiàn)。n IPSec 結構包括眾多協(xié)議和算法 ：IKE頭部認證封裝安全負載密鑰交換協(xié)議IPSec工作模式n IPSec在 IP報文中使用一個新的 IPSec報頭來封裝信息，這個過程類似于用一個正常的 IP報文頭封裝上層的 TCP或 UDP信息。n 可以配置 IPSec封裝完整的 IP數(shù)據(jù)報或只是上層信息。如果配置為封裝整個 IP數(shù)據(jù)報，那么它就工作在 隧道模式 （ Tunnel Mode）。如果配置為只封裝 IP數(shù)據(jù)報中上層協(xié)議信息，那么它就工作在 傳輸模式 （ Transportation Mode）。 n 新的 IPSec報文包含 IP報文認證的信息，原始 IP報文的內(nèi)容，可以根據(jù)特定應用的需求選擇加密與否。傳輸模式（ Transportation Mode）是在 計算機 之間使用 IPSec來實現(xiàn)安全；是一種 端對端 end to end的保護；是 IPSec的缺省模式 IP首部 IPsec首部 原上層包（ TCP/UDP）隧道模式 tunnelmode：n 是在 網(wǎng)絡之間 使用 IPSec實現(xiàn)安全；n 是一種點到點 pointtopoint的保護；n 隧道是對數(shù)據(jù)包重新封裝的過程，它將原始數(shù)據(jù)包封裝在新的數(shù)據(jù)包內(nèi)部，從而改變數(shù)據(jù)包的尋址路徑；n 通過新增 IP包頭的方法，將目的地址改變?yōu)樗淼澜K點，對和隧道終點之間的傳輸設置加密等操作；n 通常，隧道終點即為安全性網(wǎng)關，也就是說此網(wǎng)關和目的主機之間的通信是安全的其思想是先將數(shù)據(jù)包通過 IPSec策略傳送到安全性網(wǎng)關，再由安全性網(wǎng)關正常傳送到目的主機。 IP首部 IPsec首部 原 IP包認證報頭協(xié)議 AHn 認證報頭（ AuthenticationHeader， AH）為整個數(shù)據(jù)包（數(shù)據(jù)包中攜帶的 IP報頭和數(shù)據(jù)）提供 身份驗證、完整性和防止重發(fā) 。n 因為不加密數(shù)據(jù)，所以 不提供機密性 。數(shù)據(jù)可以讀取，但是禁止修改。n 在使用鑒別首部 AH 時，將 AH 首部插在原數(shù)據(jù)報數(shù)據(jù)部分的前面，同時將 IP 首部中的協(xié)議字段置為 51.n 在傳輸過程中，中間的路由器都不查看 AH 首部。當數(shù)據(jù)報到達目的站時，目的站主機才處理 AH 字段，以鑒別源主機和檢查數(shù)據(jù)報的完整性。 IP 首部 AH 首部 TCP/UDP 報文段協(xié)議 = 51可鑒別的 IP 數(shù)據(jù)報原 數(shù)據(jù)報的數(shù)據(jù)部分AH 首部 (1)下一個首部 (8bit)。標志緊接著本首部的下一個首部的類型（如 TCP或 UDP）。(2)有效載荷長度 (8bit)，即鑒別數(shù)據(jù)字段的長度，以 32bit字為單位。(3)安全參數(shù)索引 SPI(32bit)。標志 安全關聯(lián) ，身份驗證和完整性檢查。(4)序號 (32bit)。單項遞增計數(shù)器，提供抗重播功能。(5)保留 (16bit)。為今后用。(6)驗證數(shù)據(jù) (可變 )。為 32bit字的整數(shù)倍，它包含了經(jīng)數(shù)字簽名的報文摘要，用來鑒別源主機和檢查 IP數(shù)據(jù)報的完整性。 ESP協(xié)議（ Encapsulating Security Payload)封裝安全載荷n ESP為 IP報文提供數(shù)據(jù)完整性校驗、身份驗證以及重放攻擊保護等。除了 AH提供的所有服務外， 還提供機密性服務 。n 在 ESP首部中有標識一個安全關聯(lián)的安全參數(shù)索引 SPI(32bit)，和序號 (32bit)。n 在 ESP尾部中有下一個首部（ 8bit，作用和 AH首部的一樣）。 ESP尾部和原來數(shù)據(jù)報的數(shù)據(jù)部分一起進行加密，因此攻擊者 無法得知所使用的運輸層協(xié)議 。n ESP的鑒別數(shù)據(jù)和 AH中的鑒別數(shù)據(jù)是一樣的。因此，用 ESP封裝的數(shù)據(jù)報既有鑒別源站和檢查數(shù)據(jù)報完整性的功能，又能提供保密。 在 IP 數(shù)據(jù)報中的 ESP 的各字段 IP 首部 ESP 首部 TCP/UDP 報文段協(xié)議 = 50可鑒別的保密的 IP 數(shù)據(jù)報原 數(shù)據(jù)報的數(shù)據(jù)部分ESP 尾部 ESP 鑒別數(shù)據(jù)加密 的部分鑒別 的部分n ESP可在 傳輸模式以及隧道模式 下使用。 ESP頭可以位于 IP頭與上層協(xié)議之間，或者用它封裝整個 IP數(shù)據(jù)報。 ESP協(xié)議字段置為 50， ESP頭的格式： n 安全 負載 封裝 頭 的第一個雙字字段指定了安全參數(shù)索引（ SPI）， 這 個 “索引 ”指定了解安全 負載 封裝數(shù)據(jù)包用到的 “安全 聯(lián) 盟 ”。n 序 列 號 ， 被用來 預 防重復攻 擊 。n 初始向量 ， 指定了加密程序使用的 “初始向量 ”（ IV：Initialization Vector）。不使用 “初始向量 ”對 稱加密算法可能被多次攻 擊 。 “初始向量 ”可以確保兩個相同的 負載 被加密成不同的 負載 。n IPsec使用 密 碼塊 來 進 行加密 處 理。因此，如果 負載 的 長 度不是聲的整倍 長時 可能需要填 補 。 這時 需要增加填 補長 度。n 下一個 頭 部 字段指定 緊接著本首部的下一個首部的類型（如 TCP或 UDP） 。n AH協(xié)議和 ESP協(xié)議168。 AH協(xié)議（ Authentication Header，驗證頭）：可以證明數(shù)據(jù)的起源地、保障數(shù)據(jù)的完整性以及防止相同數(shù)據(jù)包在因特網(wǎng)重播。168。 ESP協(xié)議（ Encapsulating Security Payload，封裝安全載荷）：具有所有 AH的功能，還可以利用加密技術保障數(shù)據(jù)機密性。n 雖然 AH和 ESP都可以提供身份認證，但它們有 2點區(qū)別：168。 ESP要求使用高強度的加密算法，會受到許多限制。168。 多數(shù)情況下，使用 AH的認證服務已能滿足要求，相對來說，ESP開銷較大。n 有兩套不同的安全協(xié)議意味著可以對 IPSec網(wǎng)絡進行更細粒度的控制，選擇安全方案可以有更大的靈活度。167。 VPN簡介v VPN是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡上的延伸v VPN通過一個私有的通道來創(chuàng)建一個安全的私有連接，將遠程用戶、公司分支機構、公司的業(yè)務伙伴等跟企業(yè)網(wǎng)連接起來，形成一個擴展的公司企業(yè)網(wǎng)v 提供高性能、低價位的因特網(wǎng)接入VPN概述VPN功能VPN工作原理VPN具體應用遠程訪問Inter內(nèi)部網(wǎng)合作伙伴分支機構虛擬私有網(wǎng)虛擬私有網(wǎng)虛擬私有網(wǎng)VPN是企業(yè)網(wǎng)在因特網(wǎng)上的延伸VPN的典型應用v AH協(xié)議v ESP協(xié)議v ISAKMP/Oakley協(xié)議基于 IPSec 的 VPN解決方案需要用到如下的協(xié)議：詳細情況在 IPSec 協(xié)議體系中講解IPSec 框架的構成VPN概述VPN功能VPN工作原理VPN具體應用167。 基于第二層的 VPN解決方案 公司內(nèi)部網(wǎng)撥號連接 InterL2 T P 通道用于該層的協(xié)議主要有：v L2TP： Lay 2 Tunneling Protocolv PPTP： PointtoPoint Tunneling Protocolv L2F： Lay 2 ForwardingL2TP的缺陷：1. 不認證通道中流過的數(shù)據(jù)報文，無法抵抗插入攻擊、地址欺騙攻擊。2. 沒有針對每個數(shù)據(jù)報文的完整性校驗。3. 不支持密鑰的自動產(chǎn)生和自動刷新，因而監(jiān)聽的攻擊者就可能最終破解密鑰，從而得到所傳輸?shù)臄?shù)據(jù)。L2 T P 通道167。 1. 網(wǎng)絡層對所有的上層數(shù)據(jù)提供透明方式的保護，但無法為應用提供足夠細的控制粒度2. 數(shù)據(jù)到了目的主機，基于網(wǎng)絡層的安全技術就無法繼續(xù)提供保護，因此在目的主機的高層協(xié)議棧中很容易受到攻擊3. 應用層的安全技術可以保護堆棧高層的數(shù)據(jù)，但在傳遞過程中，無法抵抗常用的網(wǎng)絡層攻擊手段，如源地址、目的地址欺騙4. 應用層安全更加智能，但更復雜且效率低5. 因此可以在具體應用中采用多種安全技術，取長補短VPN概述VPN功能VPN工作原理VPN具體應用演講完畢，謝謝觀看！