【正文】 指所有在 IP 數(shù)據(jù)報中的數(shù)據(jù)都是加密的。此外，網(wǎng)絡(luò)層還應(yīng)提供源站鑒別 ，即當(dāng)目的站收到 IP 數(shù)據(jù)報時，能確信這是從該數(shù)據(jù)報的源 IP地址的主機發(fā)來的。 IPsec 中最主要的兩個部分 ? 鑒別首部 AH (Authentication Header)： AH提供源站鑒別和數(shù)據(jù)完整性，但不能保密。 ? 封裝安全有效載荷 ESP (Encapsulation Security Payload)： ESP 比 AH 復(fù)雜得多，它提供源站鑒別、數(shù)據(jù)完整性和保密。 安全關(guān)聯(lián) SA (Security Association) ? 在使用 AH 或 ESP 之前，先要從源主機到目的主機建立一條網(wǎng)絡(luò)層的邏輯連接。此邏輯連接叫做安全關(guān)聯(lián) SA。 ? IPsec 就將傳統(tǒng)的因特網(wǎng)無連接的網(wǎng)絡(luò)層轉(zhuǎn)換為具有邏輯連接的層。 2. 安全關(guān)聯(lián) ? 安全關(guān)聯(lián)是一個單向連接。它由一個三元組惟一地確定，包括： (1) 安全協(xié)議（使用 AH 或 ESP）的標識符 (2) 此單向連接的源 IP 地址 (3) 一個 32 bit 的連接標識符，稱為 安全參數(shù)索引 SPI (Security Parameter Index) ? 對于一個給定的安全關(guān)聯(lián) SA，每一個 Ipsec 數(shù)據(jù)報都有一個存放 SPI 的字段。通過此 SA 的所有數(shù)據(jù)報都使用同樣的 SPI 值。 2. 鑒別首部 AH ? 在使用鑒別首部 AH 時，將 AH 首部插在原數(shù)據(jù)報數(shù)據(jù)部分的前面，同時將 IP 首部中的協(xié)議字段置為 51。 ? 在傳輸過程中，中間的路由器都不查看 AH 首部。當(dāng)數(shù)據(jù)報到達目的站時，目的站主機才處理 AH 字段，以鑒別源主機和檢查數(shù)據(jù)報的完整性。 IP 首部 AH 首部 TCP/UDP 報文段 協(xié)議 = 51 可鑒別的 IP 數(shù)據(jù)報 原 數(shù)據(jù)報的數(shù)據(jù)部分 AH 首部 (1) 下一個首部 (8 bit)。標志緊接著本首部的下一個首部的類型（如 TCP 或 UDP）。 (2) 有效載荷長度 (8 bit)，即鑒別數(shù)據(jù)字段的長度，以 32 bit 字為單位。 (3) 安全參數(shù)索引 SPI (32 bit)。標志安全關(guān)聯(lián)。 (4) 序號 (32 bit)。鑒別數(shù)據(jù)字段的長度，以 32 bit字為單位。 (5) 保留 (16 bit)。為今后用。 (6) 鑒別數(shù)據(jù) (可變 )。為 32 bit 字的整數(shù)倍，它包含了經(jīng)數(shù)字簽名的報文摘要。因此可用來鑒別源主機和檢查 IP 數(shù)據(jù)報的完整性。 3. 封裝安全有效載荷 ESP ? 在 ESP 首部中有標識一個安全關(guān)聯(lián)的安全參數(shù)索引 SPI (32 bit)，和序號 (32 bit)。 ? 在 ESP 尾部中有下一個首部（ 8 bit，作用和 AH 首部的一樣）。 ESP 尾部和原來數(shù)據(jù)報的數(shù)據(jù)部分一起進行加密，因此攻擊者無法得知所使用的運輸層協(xié)議。 ? ESP 的鑒別數(shù)據(jù)和 AH 中的鑒別數(shù)據(jù)是一樣的。因此，用 ESP 封裝的數(shù)據(jù)報既有鑒別源站和檢查數(shù)據(jù)報完整性的功能，又能提供保密。 在 IP 數(shù)據(jù)報中的 ESP 的各字段 IP 首部 ESP 首部 TCP/UDP 報文段 協(xié)議 = 50 可鑒別的保密的 IP 數(shù)據(jù)報 原 數(shù)據(jù)報的數(shù)據(jù)部分 ESP 尾部 ESP 鑒別數(shù)據(jù) 加密 的部分 鑒別 的部分 防火墻 (firewall) ? 防火墻 是由軟件、硬件構(gòu)成的系統(tǒng)，用來在兩個網(wǎng)絡(luò)之間實施接入控制策略。接入控制策略是由使用防火墻的單位自行制訂的，為的是可以最適合本單位的需要。 ? 防火墻內(nèi)的網(wǎng)絡(luò)稱為? 可信賴的網(wǎng)絡(luò) ? (trusted work)，而將外部的因特網(wǎng)稱為? 不可信賴的網(wǎng)絡(luò) ? (untrusted work)。 ? 防火墻可用來解決內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)的安全問題。 防火墻在互連網(wǎng)絡(luò)中的位置 G 內(nèi)聯(lián)網(wǎng) 可信賴的網(wǎng)絡(luò) 不可信賴的網(wǎng)絡(luò) 分組過濾 路由器 R 分組過濾 路由器 R 應(yīng)用網(wǎng)關(guān) 外局域網(wǎng) 內(nèi)局域網(wǎng) 防火墻 因特網(wǎng) 防火墻的功能 ? 防火墻的功能有兩個： 阻止 和 允許 。 ? ?阻止?就是阻止某種類型的通信量通過防火墻（從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)，或反過來）。 ? ?允許?的功能與?阻止?恰好相反。 ? 防火墻必須能夠識別通信量的各種類型。不過在大多數(shù)情況下防火墻的主要功能是?阻止?。 防火墻技術(shù)一般分為兩類 (1) 網(wǎng)絡(luò)級防火墻 —— 用來防止整個網(wǎng)絡(luò)出現(xiàn)外來非法的入侵。屬于這類的有分組過濾和授權(quán)服務(wù)器。前者檢查所有流入本網(wǎng)絡(luò)的信息，然后拒絕不符合事先制訂好的一套準則的數(shù)據(jù)，而后者則是檢查用戶的登錄是否合法。 (2) 應(yīng)用級防火墻 —— 從應(yīng)用程序來進行接入控制。通常使用應(yīng)用網(wǎng)關(guān)或代理服務(wù)器來區(qū)分各種應(yīng)用。例如，可以只允許通過訪問萬維網(wǎng)的應(yīng)用，而阻止 FTP 應(yīng)用的通過。 ? 靜夜四無鄰，荒居舊業(yè)貧。 , March 5, 2023 ? 雨中黃葉樹，燈下白頭人。 10:02:2023:02:2023:023/5/2023 10:02:20 AM ? 1以我獨沈久，愧君相見頻。 :02:2023:02Mar235Mar23 ? 1故人江海別，幾度隔山川。 10:02:2023:02:2023:02Sunday, March 5, 2023 ? 1乍見翻疑夢，相悲各問年。 :02:2023:02:20March 5, 2023 ? 1他鄉(xiāng)生白發(fā)，舊國見青山。 2023年 3月 5日星期日 上午 10時 2分 20秒 10:02: ? 1比不了得就不比，得不到的就不要。 。 2023年 3月 上午 10時 2分 :02March 5, 2023 ? 1行動出成果，工作出財富。 2023年 3月 5日星期日 10時 2分 20秒 10:02:205 March 2023 ? 1做前，能夠環(huán)視四周；做時，你只能或者最好沿著以腳為起點的射線向前。 上午 10時 2分 20秒 上午 10時 2分 10:02: ? 沒有失敗，只有暫時停止成功！。 , March 5, 2023 ? 很多事情努力了未必有結(jié)果，但是不努力卻什么改變也沒有。 10:02:2023:02:2023:023/5/2023 10:02:20 AM ? 1成功就是日復(fù)一日那一點點小小努力的積累。 :02:2023:02Mar235Mar23 ? 1世間成事，不求其絕對圓滿，留一份不足，可得無限完美。 10:02:2023:02:2023:02Sunday, March 5, 2023 ? 1不知香積寺，數(shù)里入云峰。 :02:2023:02:20March 5, 2023 ? 1意志堅強的人能把世界放在手中像泥塊一樣任意揉捏。 2023年 3月 5日星期日 上午 10時 2分 20秒 10:02: ? 1楚塞三湘接，荊門九派通。 。 2023年 3月 上午 10時 2分 :02March 5, 2023 ? 1少年十五二十時，步行奪得胡馬騎。 2023年 3月 5日星期日 10時 2分 20秒 10:02:205 March 2023 ? 1空山新雨后，天氣晚來秋。 上午 10時 2分 20秒 上午 10時 2分 10:02: ? 楊柳散和風(fēng)，青山澹吾慮。 , March 5, 2023 ? 閱讀一切好書如同和過去最杰出的人談話。 10:02:2023:02:2023:023/5/2023 10:02:20 AM ? 1越是沒有本領(lǐng)的就越加自命不凡。 :02:2023:02Mar235Mar23 ? 1越是無能的人，越喜歡挑剔別人的錯兒。 10:02:2023:02:2023:02Sunday, March 5, 2023 ? 1知人者智，自知者明。勝人者有力，自勝者強。 :02:2023:02:20March 5, 2023 ? 1意志堅強的人能把世界放在手中像泥塊一樣任意揉捏。 2023年 3月 5日星期日 上午 10時 2分 20秒 10:02: ? 1最具挑戰(zhàn)性的挑戰(zhàn)莫過于提升自我。 2023年 3月 上午 10時 2分 :02March 5, 2023 ? 1業(yè)余生活要有意義，不要越軌。 2023年 3月 5日星期日 10時 2分 20秒 10:02:205 March 2023 ? 1一個人即使已登上頂峰，也仍要自強不息。 上午 10時 2分 20秒 上午 10時 2分 10:02: MOMODA POWERPOINT Lorem ipsum dolor sit amet, consectetur adipiscing elit. Fusce id urna blandit, eleifend nulla ac, fringilla purus. Nulla iaculis tempor felis ut cursus. 感謝您的下載觀看 專家告訴