【正文】 此種模式可適用于網(wǎng)絡(luò)間多臺主機間的通訊 IPSec協(xié)議（三） 158 謝謝大家 ! 。 基于公鑰機制，提供了數(shù)據(jù)保密和驗證的功能 兩種驗證級別： 基于口令的安全驗證 使用服務(wù)器公鑰 基于密鑰的安全驗證 用戶自己建立公私鑰 154 應用層的安全防護 實施強大的基于用戶的身份認證 實施數(shù)據(jù)加密，訪問控制的理想位置 加強數(shù)據(jù)的備份和恢復措施 對資源的有效性進行控制，資源包括各種數(shù)據(jù)和服務(wù) 155 IPSec協(xié)議 （一） IPSec細則首先于 1995年在互聯(lián)網(wǎng)標準草案中頒布 IPSec可以保證局域網(wǎng)、專用或公用的廣域網(wǎng)及 Inter上信息傳輸?shù)陌踩? IPSec的主要特征在于它可以對所有 IP級的通信進行加密和認證，可以確保包括遠程登陸、客戶服務(wù)器、電子郵件、文件傳輸及 WEB訪問在內(nèi)的多種程序的安全 156 IPSec協(xié)議（二） IPSec提供三種形式來保護通過 IP網(wǎng)絡(luò)傳送的私有數(shù)據(jù) ? 數(shù)據(jù)認證 可以確定所接受的數(shù)據(jù)與所發(fā)送的數(shù)據(jù)在數(shù)據(jù)完整性方面是一致的，同時可以確定申請發(fā)送者在實際上是真實發(fā)送者，而不是偽裝的 ? 完整 保證數(shù)據(jù)從原發(fā)地到目的地的傳送過程中沒有任何不可檢測的數(shù)據(jù)丟失與改變 ? 機密性 使相應的接收者能獲取發(fā)送的真正內(nèi)容，而無意獲取數(shù)據(jù)的接收者無法獲知數(shù)據(jù)的真正內(nèi)容 157 IPSEC實現(xiàn) 網(wǎng)絡(luò)安全協(xié)議對于應用層應用的透明性 兩種應用模式：傳輸模式 隧道模式 傳輸模式 :只加密 ESP上層協(xié)議部分，即傳輸層部分，不加密 IP頭 此種模式只適用于兩臺主機間的通訊 隧道模式：加密整個 IP數(shù)據(jù)包，包括 IP報頭。 其介于應用層 ftp smtp等協(xié)議與 TCP之間的一個可選層 其包括兩個協(xié)議： SSL記錄協(xié)議 提供雙方可供選擇的密鑰算法，定義傳輸?shù)母袷? SSL握手協(xié)議 允許雙方相互驗證，協(xié)商通訊過程中將使用的密鑰算法 實現(xiàn)過程： TCP連接后，向 server發(fā)送 client hello消息 ,提供可支持的密鑰算法信息 ，發(fā)送 server hello消息，協(xié)商確定算法 server證書及公鑰，驗證 server ,生成一段秘密信息，用server公鑰加密，發(fā)送給 server ，用私鑰解密得到秘密信息。唯一地標志出 INTERNET中的一個連接。傳輸層存在兩個協(xié)議，傳輸控制協(xié)議 (TCP)和用戶數(shù)據(jù)報協(xié)議 (UDP) 140 傳輸層 TCP 和 UDP TCP 是一個面向連接的協(xié)議 UDP是一個非面向連接的協(xié)議 141 傳輸控制協(xié)議 (TCP)（ 一） 傳輸層協(xié)議，由上層協(xié)議接收任意長度的報文，并提供面向連接的傳輸服務(wù) TCP接收數(shù)據(jù)流，并分成段，然后將這些段送給 IP， 因 IP為無連接的，所以 TCP必須為每個段提供順序同步 142 傳輸控制協(xié)議 (TCP)（ 二） IP TCP 建立在 IP上太不可靠， TCP采用：確認與超時重傳保證可靠性 143 TCP 握手 1 2 3 4 5 6 Win=3 144 用戶數(shù)據(jù)報協(xié)議 (UDP) 傳輸層協(xié)議，為無確認的數(shù)據(jù)報服務(wù)，只是簡單的接收和傳輸數(shù)據(jù) UDP比 TCP傳輸數(shù)據(jù)快 UDP頭標 UDP數(shù)據(jù)區(qū) IP頭標 IP數(shù)據(jù)區(qū) 145 端口 TCP UDP都使用端口的概念。這可能導致提供不了所需的功能，也會導致性能下降 135 網(wǎng)絡(luò)層的安全威脅 網(wǎng)絡(luò)分段 網(wǎng)絡(luò)安全掃描技術(shù) 入侵檢測技術(shù) VPN技術(shù) 加密技術(shù) 、數(shù)字簽名和認證技術(shù) 防火墻服務(wù) VLAN的實現(xiàn) 網(wǎng)絡(luò)層的安全防護 136 網(wǎng)絡(luò)層的安全防護： 網(wǎng)絡(luò)分段 VLAN的實施 節(jié)約路由器的開支，保護 VLAN內(nèi)的資源 防火墻 保護脆弱服務(wù) 控制對系統(tǒng)的訪問 集中的安全管理及策略執(zhí)行 記錄和統(tǒng)計 加密技術(shù) 使系統(tǒng)的安全不依賴于數(shù)據(jù)路徑的安全性，而是數(shù)據(jù)本身的加密 加密技術(shù)兩個層次：基于網(wǎng)絡(luò)層或傳輸層；基于應用層 網(wǎng)絡(luò)層的安全防護 137 認證技術(shù) 認證技術(shù)主要解決網(wǎng)絡(luò)通訊雙方的身份認可 方式：明文密碼認證，常用在登錄 摘要認證 md5 基于 PKI(公共密鑰基礎(chǔ)設(shè)施 )的認證 ,結(jié)合了摘要算法、 對稱加密、不對稱加密，數(shù)字簽名技術(shù)。 134 網(wǎng)絡(luò)層的安全性 主要優(yōu)點：透明性，也就是說，安全服務(wù)的提供不需要應用程序、其他通信層次和網(wǎng)絡(luò)部件做任何改動 主要缺點：網(wǎng)絡(luò)層一般對屬于不同進程和相應條例的包不作區(qū)別。 Ipsec的主要目的是使需要安全措施的用戶能夠使用相應的加密安全體制 133 IPSEC IP AH 提供 IP包的真實性和完整性 認證頭指一段消息認證代碼 MAC (Message Authentication Code) 加解密算法 SHA1， 取代 MD5 IP ESP 封裝安全有效負荷 根據(jù)不同的應用級別，對整個 IP包進行封裝加密，或者只對 ESP上層協(xié)議的數(shù)據(jù) (傳輸層 )進行封裝加密。然而， ICMP 信息能夠被用于攻擊遠程網(wǎng)絡(luò)或主機 132 網(wǎng)絡(luò)層的安全協(xié)議 網(wǎng)絡(luò)層安全協(xié)議的共同點： 使用 IP 封裝技術(shù)，即將純文本的包加密 ,封在外層的 IP 報頭里，用來對加密的包進行INTERNET上的路由選擇。遠程主機將用它自己的 ICMP 信息對 ping 請求作出回應。 為防止被攻擊 ，在防火墻上設(shè)置規(guī)則 ， 丟棄掉 ICMP包 。 所有的遠程計算機都響應這些 ping 請求 ， 然后對目標地址進行回復而不是回復給攻擊者的 IP 地址用 。接收主機不能判斷源 IP 地址是不正確的 使用 IP 欺騙的一種攻擊很有名的一種是 Smurf攻擊 Smurf 攻擊是 —種拒絕服務(wù)攻擊 130 IP 欺騙（二） 一個 Smurf 攻擊向大量的遠程主機發(fā)送一系列的 ping 請求命令 。它并不提供任何錯誤糾正和流控制的方法。 黑客最常用的攻擊和滲透到網(wǎng)絡(luò)中的 —種方法是在公司內(nèi)部主機上安裝一個packetsniffer。OSPF和 RIP2都能夠攜帶第 4版 BGP所提出的 32位掩碼 。采用這種分配多個 IP地址的方式，使其能夠?qū)⒙酚杀碇械脑S多表項歸并 (summarization)成更少的數(shù)目。 ?基本思想：取消地址的分類結(jié)構(gòu)，取而代之的是允許以可變長分界的方式分配網(wǎng)絡(luò)數(shù)，引入 “ 網(wǎng)絡(luò)前綴 ” ?無類別的意思是現(xiàn)在的選路決策是基于整個 32位 IP地址的掩碼操作，而不管其 IP地址是 A類、B類還是 C類。 VLSM技術(shù)對高效分配 IP地址（較少浪費）以及減少路由表大小都起到非常重要的作用。 115 子網(wǎng)（二） 子網(wǎng)編制模式下的路由表條目變?yōu)? ｛ 子網(wǎng)掩碼 ， 目的網(wǎng)絡(luò)地址 ， 下一路由器地址 ｝ 可以用子網(wǎng)掩碼的設(shè)置來區(qū)分不同的情況，使路由算法更為簡單 子網(wǎng)結(jié)構(gòu) ? 設(shè)子網(wǎng)掩碼 ， 子網(wǎng)掩碼與目的地址相與 ， 獲得子網(wǎng)地址 特定主機 ? 掩碼 32位為全 “ 1” ， 將 32位地址全部截下 缺省路由 ? 掩碼為全 “ 0” ， 目的地址也為全 “ 0” ， 將報文直接送往缺省端口地址 無子網(wǎng)結(jié)構(gòu) (未劃分子網(wǎng) ) ? 掩碼中 “ 1” 的個數(shù)與網(wǎng)絡(luò)號位數(shù)相同 116 可變長子網(wǎng)掩碼 VLSM（ Variable Length Sub Mask， 可變長子網(wǎng)掩碼） ? 這是一種產(chǎn)生不同大小子網(wǎng)的網(wǎng)絡(luò)分配機制。 110 VLSM和 CIDR技術(shù) IP地址 VLSM可變長子網(wǎng)掩碼 CIDR無類別編址 111 IP地址（一） IP網(wǎng)絡(luò)使用 32位地址，通常由點分十進制表示如： 它主要由兩部分組成 ? 一部分是用于標識所屬網(wǎng)絡(luò)的網(wǎng)絡(luò)地址 ? 另一部分是用于標識給定網(wǎng)絡(luò)上的某個特定的主機的主機地址 112 IP地址（二） 高位 網(wǎng)絡(luò) 主機 類型 0 7位網(wǎng)絡(luò) 24為主機 A類 IP地址 10 14位網(wǎng)絡(luò) 16位主機 B類 IP地址 110 21位網(wǎng)絡(luò) 8位主機 C類 IP地址 1110 28位多點廣播組標號 D類 IP地址 1111 保留試驗使用 E類 IP地址 113 有類地址的局限性 IPv4使用 32位的地址，即在 IPv4的地址空間中只有 232（ 4,294,967,296，低于 43億）個地址可用 IPv4的地址是按照網(wǎng)絡(luò)的大小（所使用的 IP地址數(shù)）來分類的，它的尋址方案使用 “ 類 ” 的概念。 FTP的一種簡化版本 。 是環(huán)球網(wǎng)WWW的基礎(chǔ) ， 它使豐富多彩的 Inter以簡單的方式展現(xiàn)給用戶 。 允許用戶以虛終端方式訪問遠程主機 。 SMTP協(xié)議為系統(tǒng)之間傳送電子郵件 。 允許用戶以文件操作的方式 (文件的增 、 刪 、 改 、 查 、 傳送等 )與另一主機相互通信 。 這是提供給用戶進程的無連接協(xié)議 ， 用于傳送數(shù)據(jù)而不執(zhí)行正確性檢查 。 大多數(shù)網(wǎng)絡(luò)用戶程序使用 TCP。 這是一種提供給用戶進程的可靠的全雙工字節(jié)流面向連接的協(xié)議 。 ICMP報文使用IP數(shù)據(jù)報進行傳送 ， 這些報文通常由 TCP/IP網(wǎng)絡(luò)軟件本身來保證正確性 。 ICMP 網(wǎng)間報文控制協(xié)議 (Inter Control Message Protocol)。 RARP 反向地址解析協(xié)議 (Reverse Address Resolution Protocol)。 ARP 地址解析協(xié)議 (Address Resolution Protocol)。 同時為 ICMP、 TCP、 UDP提供分組發(fā)送服務(wù) 。 106 TCP/IP層次結(jié)構(gòu)圖 物 理 接 口 層I PI C M PA R P R A R PO S P F I G R P B G P E G P G G P R I PI G M PR S V PD V M R PT C PU D PH T T P F T P T e l n e t S M T PD H C P B O O T P