【正文】 整個(gè) TCP/IP協(xié)議的體系結(jié)構(gòu) ，除了數(shù)據(jù)鏈路層外， TCP/IP的所有協(xié)議的數(shù)據(jù)都是以 IP數(shù)據(jù)報(bào)的形式傳輸?shù)?。n TCP/IP協(xié)議簇有兩種 IP版本： IPv4和 IPv6； IPv6簡(jiǎn)化了IP頭，其數(shù)據(jù)報(bào)更加靈活，同時(shí) IPv6還增加了對(duì)安全性的考慮。 IP安全的必要性 n 目前占統(tǒng)治地位的是 IPv4， IPv4在設(shè)計(jì)之初沒(méi)有考慮安全性， IP包本身并不具備任何安全特性，導(dǎo)致在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)很容易受到各式各樣的攻擊： 比如偽造 IP包地址、修改其內(nèi)容、重放以及在傳輸途中攔截并查看包的內(nèi)容等。因此，通信雙方不能保證收到 IP數(shù)據(jù)報(bào)的真實(shí)性。n 為了加強(qiáng)因特網(wǎng)的安全性，制定了一套用于保護(hù) IP通信的IP安全協(xié)議（ IP Security， IPSec）。 IPSec是 IPv6的一個(gè)組成部分，是 IPv4的一個(gè)可選擴(kuò)展協(xié)議。 IPSec彌補(bǔ)了IPv4在協(xié)議設(shè)計(jì)時(shí)缺乏安全性考慮的不足 。IPSec通過(guò)使用基于密碼學(xué)的保護(hù)服務(wù)、安全協(xié)議和動(dòng)態(tài)密鑰管理，實(shí)現(xiàn)以下目標(biāo)： n 認(rèn)證 IP報(bào)文的來(lái)源　　基于 IP地址的訪問(wèn)控制十分脆弱，因?yàn)楣粽呖梢院苋菀桌脗窝b的 IP地址來(lái)發(fā)送 IP報(bào)文。許多攻擊者利用機(jī)器間基于 IP地址的信任，來(lái)偽裝 IP地址。 IPSec允許設(shè)備使用比源 IP地址更安全的方式來(lái)認(rèn)證 IP數(shù)據(jù)報(bào)的來(lái)源。 IPSec的這一標(biāo)準(zhǔn)稱(chēng)為 原始認(rèn)證 。　　n 保證 IP數(shù)據(jù)報(bào)的完整性　　　除了確認(rèn) IP數(shù)據(jù)報(bào)的來(lái)源，還希望能確保報(bào)文在網(wǎng)絡(luò)中傳輸時(shí)沒(méi)有發(fā)生變化。使用 IPSec，可以 確信在 IP報(bào)文上沒(méi)有發(fā)生任何變化 。IPSec的這一特性稱(chēng)為 無(wú)連接完整性 。n 確保 IP報(bào)文的內(nèi)容在傳輸過(guò)程中不被破解　 除了認(rèn)證與完整性之外，還期望當(dāng)報(bào)文在網(wǎng)上傳播時(shí)，未授權(quán)方不能讀取報(bào)文的內(nèi)容。這可以通過(guò)在傳輸前，將報(bào)文加密來(lái)實(shí)現(xiàn)。通過(guò) 加密 報(bào)文，可以確保攻擊者不能破解報(bào)文的內(nèi)容，即使他們可以用偵聽(tīng)程序截獲報(bào)文。n 確保認(rèn)證報(bào)文沒(méi)有重復(fù)　　即使攻擊者不能發(fā)送偽裝的報(bào)文，不能改變報(bào)文，不能讀取報(bào)文的內(nèi)容，攻擊者仍然可以通過(guò)重發(fā)截獲的認(rèn)證報(bào)文來(lái)干擾正常的通信，從而導(dǎo)致事務(wù)多次執(zhí)行，或是使被復(fù)制報(bào)文的上層應(yīng)用發(fā)生混亂。IPSec能 檢測(cè)出重復(fù)報(bào)文并丟棄 它們。這一特性稱(chēng)為 反重傳 。n IPSec并不是一個(gè)單一的協(xié)議或算法，它是一系列加密實(shí)現(xiàn)中使用的加密標(biāo)準(zhǔn)定義的 集合 。 IPSec實(shí)現(xiàn)在 IP層的安全，因而它 與任何上層應(yīng)用或傳輸層的協(xié)議無(wú)關(guān) 。 上層不需要知道在 IP層實(shí)現(xiàn)的安全 ，所以在 IP層不需要做任何修改 。IPSec協(xié)議簇n IPsec 在 IP層提供安全服務(wù)，它使系統(tǒng)能 按需選擇 安全協(xié)議，決定服務(wù)所使用的算法及放置需求服務(wù)所需密鑰到相應(yīng)位置。 n IPsec 用來(lái)保護(hù)一條或多條 主機(jī)與主機(jī) 間、 安全網(wǎng)關(guān)與安全網(wǎng)關(guān)間 、 安全網(wǎng)關(guān)與主機(jī) 間的路徑。 n IPsec 能提供的安全服務(wù)集包括訪問(wèn)控制、無(wú)連接的完整性、數(shù)據(jù)源認(rèn)證、拒絕重發(fā)包（部分序列完整性形式）、保密性和有限傳輸流保密性。因?yàn)檫@些服務(wù)均在 IP 層提供，所以任何高層協(xié)議均能使用它們，例如 TCP 、 UDP 、 ICMP 、 BGP 等等。n 這些目標(biāo)是通過(guò)使用兩大傳輸安全協(xié)議 :頭部認(rèn)證（ AH） 和 封裝安全負(fù)載 （ ESP） ，以及密鑰管理程序和 密鑰交換協(xié)議 (IKE) 來(lái)完成的。n 所需的 IPsec 協(xié)議集內(nèi)容及其使用的方式是由用戶、應(yīng)用程序、和/或站點(diǎn)、組織對(duì)安全和系統(tǒng)的需求來(lái)決定。n 當(dāng)正確的實(shí)現(xiàn)、使用這些機(jī)制時(shí)，它們不會(huì)對(duì)不使用這些安全機(jī)制保護(hù)傳輸?shù)挠脩?、主機(jī)和其他 Inter部分產(chǎn)生負(fù)面的影響。n 這些機(jī)制也被設(shè)計(jì)成算法獨(dú)立的模塊 , 這種模塊性允許選擇不同的算法集而 不影響其他部分 的實(shí)現(xiàn)。n IPSec 結(jié)構(gòu)包括眾多協(xié)議和算法 ：IKE頭部認(rèn)證封裝安全負(fù)載密鑰交換協(xié)議IPSec工作模式n IPSec在 IP報(bào)文中使用一個(gè)新的 IPSec報(bào)頭來(lái)封裝信息，這個(gè)過(guò)程類(lèi)似于用一個(gè)正常的 IP報(bào)文頭封裝上層的 TCP或 UDP信息。n 可以配置 IPSec封裝完整的 IP數(shù)據(jù)報(bào)或只是上層信息。如果配置為封裝整個(gè) IP數(shù)據(jù)報(bào)，那么它就工作在 隧道模式 （ Tunnel Mode）。如果配置為只封裝 IP數(shù)據(jù)報(bào)中上層協(xié)議信息，那么它就工作在 傳輸模式 （ Transportation Mode）。 n 新的 IPSec報(bào)文包含 IP報(bào)文認(rèn)證的信息，原始 IP報(bào)文的內(nèi)容，可以根據(jù)特定應(yīng)用的需求選擇加密與否。傳輸模式（ Transportation Mode）是在 計(jì)算機(jī) 之間使用 IPSec來(lái)實(shí)現(xiàn)安全；是一種 端對(duì)端 end to end的保護(hù)；是 IPSec的缺省模式 IP首部 IPsec首部 原上層包（ TCP/UDP）隧道模式 tunnelmode：n 是在 網(wǎng)絡(luò)之間 使用 IPSec實(shí)現(xiàn)安全；n 是一種點(diǎn)到點(diǎn) pointtopoint的保護(hù)；n 隧道是對(duì)數(shù)據(jù)包重新封裝的過(guò)程，它將原始數(shù)據(jù)包封裝在新的數(shù)據(jù)包內(nèi)部，從而改變數(shù)據(jù)包的尋址路徑；n 通過(guò)新增 IP包頭的方法，將目的地址改變?yōu)樗淼澜K點(diǎn)，對(duì)和隧道終點(diǎn)之間的傳輸設(shè)置加密等操作；n 通常，隧道終點(diǎn)即為安全性網(wǎng)關(guān)，也就是說(shuō)此網(wǎng)關(guān)和目的主機(jī)之間的通信是安全的其思想是先將數(shù)據(jù)包通過(guò) IPSec策略傳送到安全性網(wǎng)關(guān)，再由安全性網(wǎng)關(guān)正常傳送到目的主機(jī)。 IP首部 IPsec首部 原 IP包認(rèn)證報(bào)頭協(xié)議 AHn 認(rèn)證報(bào)頭（ AuthenticationHeader， AH）為整個(gè)數(shù)據(jù)包（數(shù)據(jù)包中攜帶的 IP報(bào)頭和數(shù)據(jù)）提供 身份驗(yàn)證、完整性和防止重發(fā) 。n 因?yàn)椴患用軘?shù)據(jù)，所以 不提供機(jī)密性 。數(shù)據(jù)可以讀取，但是禁止修改。n 在使用鑒別首部 AH 時(shí)，將 AH 首部插在原數(shù)據(jù)報(bào)數(shù)據(jù)部分的前面，同時(shí)將 IP 首部中的協(xié)議字段置為 51.n 在傳輸過(guò)程中，中間的路由器都不查看 AH 首部。當(dāng)數(shù)據(jù)報(bào)到達(dá)目的站時(shí)，目的站主機(jī)才處理 AH 字段，以鑒別源主機(jī)和檢查數(shù)據(jù)報(bào)的完整性。 IP 首部 AH 首部 TCP/UDP 報(bào)文段協(xié)議 = 51可鑒別的 IP 數(shù)據(jù)報(bào)原 數(shù)據(jù)報(bào)的數(shù)據(jù)部分AH 首部 (1)下一個(gè)首部 (8bit)。標(biāo)志緊接著本首部的下一個(gè)首部的類(lèi)型（如 TCP或 UDP）。(2)有效載荷長(zhǎng)度 (8bit)，即鑒別數(shù)據(jù)字段的長(zhǎng)度，以 32bit字為單位。(3)安全參數(shù)索引 SPI(32bit)。標(biāo)志 安全關(guān)聯(lián) ，身份驗(yàn)證和完整性檢查。(4)序號(hào) (32bit)。單項(xiàng)遞增計(jì)數(shù)器，提供抗重播功能。(5)保留 (16bit)。為今后用。(6)驗(yàn)證數(shù)據(jù) (可變 )。為 32bit字的整數(shù)倍，它包含了經(jīng)數(shù)字簽名的報(bào)文摘要，用來(lái)鑒別源主機(jī)和檢查 IP數(shù)據(jù)報(bào)的完整性。 ESP協(xié)議（ Encapsulating Security Payload)封裝安全載荷n ESP為 IP報(bào)文提供數(shù)據(jù)完整性校驗(yàn)、身份驗(yàn)證以及重放攻擊保護(hù)等。除了 AH提供的所有服務(wù)外， 還提供機(jī)密性服務(wù) 。n 在 ESP首部中有標(biāo)識(shí)一個(gè)安全關(guān)聯(lián)的安全參數(shù)索引 SPI(32bit)，和序號(hào) (32bit)。n 在 ESP尾部中有下一個(gè)首部（ 8bit，作用和 AH首部的一樣）。 ESP尾部和原來(lái)數(shù)據(jù)報(bào)的數(shù)據(jù)部分一起進(jìn)行加密，因此攻擊者 無(wú)法得知所使用的運(yùn)輸層協(xié)議 。n ESP的鑒別數(shù)據(jù)和 AH中的鑒別數(shù)據(jù)是一樣的。因此，用 ESP封裝的數(shù)據(jù)報(bào)既有鑒別源站和檢查數(shù)據(jù)報(bào)完整性的功能，又能提供保密。 在 IP 數(shù)據(jù)報(bào)中的 ESP 的各字段 IP 首部 ESP 首部 TCP/UDP 報(bào)文段協(xié)議 = 50可鑒別的保密的 IP 數(shù)據(jù)報(bào)原 數(shù)據(jù)報(bào)的數(shù)據(jù)部分ESP 尾部 ESP 鑒別數(shù)據(jù)加密 的部分鑒別 的部分n ESP可在 傳輸模式以及隧道模式 下使用。 ESP頭可以位于 IP頭與上層協(xié)議之間，或者用它封裝整個(gè) IP數(shù)據(jù)報(bào)。 ESP協(xié)議字段置為 50， ESP頭的格式： n 安全 負(fù)載 封裝 頭 的第一個(gè)雙字字段指定了安全參數(shù)索引（ SPI）， 這 個(gè) “索引 ”指定了解安全 負(fù)載 封裝數(shù)據(jù)包用到的 “安全 聯(lián) 盟 ”。n 序 列 號(hào) ， 被用來(lái) 預(yù) 防重復(fù)攻 擊 。n 初始向量 ， 指定了加密程序使用的 “初始向量 ”（ IV：Initialization Vector）。不使用 “初始向量 ”對(duì) 稱(chēng)加密算法可能被多次攻 擊 。 “初始向量 ”可以確保兩個(gè)相同的 負(fù)載 被加密成不同的 負(fù)載 。n IPsec使用 密 碼塊 來(lái) 進(jìn) 行加密 處 理。因此，如果 負(fù)載 的 長(zhǎng) 度不是聲的整倍 長(zhǎng)時(shí) 可能需要填 補(bǔ) 。 這時(shí) 需要增加填 補(bǔ)長(zhǎng) 度。n 下一個(gè) 頭 部 字段指定 緊接著本首部的下一個(gè)首部的類(lèi)型（如 TCP或 UDP） 。n AH協(xié)議和 ESP協(xié)議168。 AH協(xié)議（ Authentication Header，驗(yàn)證頭）：可以證明數(shù)據(jù)的起源地、保障數(shù)據(jù)的完整性以及防止相同數(shù)據(jù)包在因特網(wǎng)重播。168。 ESP協(xié)議（ Encapsulating Security Payload，封裝安全載荷）：具有所有 AH的功能，還可以利用加密技術(shù)保障數(shù)據(jù)機(jī)密性。n 雖然 AH和 ESP都可以提供身份認(rèn)證，但它們有 2點(diǎn)區(qū)別：168。 ESP要求使用高強(qiáng)度的加密算法，會(huì)受到許多限制。168。 多數(shù)情況下，使用 AH的認(rèn)證服務(wù)已能滿足要求，相對(duì)來(lái)說(shuō)，ESP開(kāi)銷(xiāo)較大。n 有兩套不同的安全協(xié)議意味著可以對(duì) IPSec網(wǎng)絡(luò)進(jìn)行更細(xì)粒度的控制，選擇安全方案可以有更大的靈活度。167。 VPN簡(jiǎn)介v VPN是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸v VPN通過(guò)一個(gè)私有的通道來(lái)創(chuàng)建一個(gè)安全的私有連接，將遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、公司的業(yè)務(wù)伙伴等跟企業(yè)網(wǎng)連接起來(lái)，形成一個(gè)擴(kuò)展的公司企業(yè)網(wǎng)v 提供高性能、低價(jià)位的因特網(wǎng)接入VPN概述VPN功能VPN工作原理VPN具體應(yīng)用遠(yuǎn)程訪問(wèn)Inter內(nèi)部網(wǎng)合作伙伴分支機(jī)構(gòu)虛擬私有網(wǎng)虛擬私有網(wǎng)虛擬私有網(wǎng)VPN是企業(yè)網(wǎng)在因特網(wǎng)上的延伸VPN的典型應(yīng)用v AH協(xié)議v ESP協(xié)議v ISAKMP/Oakley協(xié)議基于 IPSec 的 VPN解決方案需要用到如下的協(xié)議：詳細(xì)情況在 IPSec 協(xié)議體系中講解IPSec 框架的構(gòu)成VPN概述VPN功能VPN工作原理VPN具體應(yīng)用167。 基于第二層的 VPN解決方案 公司內(nèi)部網(wǎng)撥號(hào)連接 InterL2 T P 通道用于該層的協(xié)議主要有：v L2TP： Lay 2 Tunneling Protocolv PPTP： PointtoPoint Tunneling Protocolv L2F： Lay 2 ForwardingL2TP的缺陷：1. 不認(rèn)證通道中流過(guò)的數(shù)據(jù)報(bào)文，無(wú)法抵抗插入攻擊、地址欺騙攻擊。2. 沒(méi)有針對(duì)每個(gè)數(shù)據(jù)報(bào)文的完整性校驗(yàn)。3. 不支持密鑰的自動(dòng)產(chǎn)生和自動(dòng)刷新，因而監(jiān)聽(tīng)的攻擊者就可能最終破解密鑰，從而得到所傳輸?shù)臄?shù)據(jù)。L2 T P 通道167。 1. 網(wǎng)絡(luò)層對(duì)所有的上層數(shù)據(jù)提供透明方式的保護(hù)，但無(wú)法為應(yīng)用提供足夠細(xì)的控制粒度2. 數(shù)據(jù)到了目的主機(jī)，基于網(wǎng)絡(luò)層的安全技術(shù)就無(wú)法繼續(xù)提供保護(hù)，因此在目的主機(jī)的高層協(xié)議棧中很容易受到攻擊3. 應(yīng)用層的安全技術(shù)可以保護(hù)堆棧高層的數(shù)據(jù)，但在傳遞過(guò)程中，無(wú)法抵抗常用的網(wǎng)絡(luò)層攻擊手段，如源地址、目的地址欺騙4. 應(yīng)用層安全更加智能，但更復(fù)雜且效率低5. 因此可以在具體應(yīng)用中采用多種安全技術(shù)，取長(zhǎng)補(bǔ)短VPN概述VPN功能VPN工作原理VPN具體應(yīng)用演講完畢，謝謝觀看！