【正文】 Thank You! 。 ? 電子郵件還可能被錯誤路由或錯誤地成批發(fā)送 . 互聯(lián)網(wǎng) 安全 協(xié)議和機制 ? 許多產(chǎn)品提供安全電子郵件，該電子郵件要么作為使用 PGP（ Pretty Good Privacy ）的補充產(chǎn)品提供，要么使用如安全 MIME (S/MIME) 之類的協(xié)議將數(shù)字簽名和加密工具添加到使用適當(dāng)?shù)目蛻魴C創(chuàng)建的郵件消息中。 ? 電子郵件在一條不確定的、分段路由上傳輸，并且在沿途的許多點可以毫不費力地查看它。然后，這個連接可以用于許多方面，例如，建立 VPN 或者在服務(wù)器上創(chuàng)建安全遠(yuǎn)程登錄以替換類似的 tel、 rlogin 或 rsh。它允許網(wǎng)絡(luò)上的安全遠(yuǎn)程訪問。VPN 是一種機制，設(shè)計成當(dāng)用戶使用互聯(lián)網(wǎng)時，允許他們維護他們之間的安全隧道。 互聯(lián)網(wǎng) 安全 協(xié)議和機制 8. 安全廣域網(wǎng) （ Secure Wide Area Network (S/WAN)） ? 安全廣域網(wǎng)倡議是由 RSA Data Security 推動的，它旨在促進基于互聯(lián)網(wǎng)的虛擬專用網(wǎng)（ Interbased Virtual Private Networks (VPN)）的廣泛部署。 互聯(lián)網(wǎng) 安全 協(xié)議和機制 7. 安全電子交易 （ Secure Electronic Transaction ,SET） ? 安全電子交易（ SET）協(xié)議是由 VISA 和 MasterCard 國際財團開發(fā)的作為在開放網(wǎng)絡(luò)上的進行安全銀行卡交易的方法。WTLS 為 WAP 的上一層提供了保護其下的傳輸服務(wù)接口的安全傳輸服務(wù)接口。 互聯(lián)網(wǎng) 安全 協(xié)議和機制 6. 無線傳輸層安全性 （ Wireless Transport Layer Security ,WTLS） ? 無線應(yīng)用程序協(xié)議（ Wireless Application Protocol ,WAP）體系結(jié)構(gòu)中的安全性層協(xié)議稱為無線傳輸層層安全性（ Wireless Transport Layer Security ,WTLS）。它用于封裝各種更高級協(xié)議，但也可以不加密地使用。 ? 較低的層稱為 TLS Record 協(xié)議，且位于某個可靠的傳輸協(xié)議（例如， TCP）上面。 ? 它的主要目標(biāo)是在兩個正在通信的應(yīng)用程序之間提供保密性和數(shù)據(jù)完整性。它使用加密、認(rèn)證和 MAC 來維護傳輸信道的完整性。 互聯(lián)網(wǎng) 安全 協(xié)議和機制 4. 安全套接字層 （ Secure Sockets Layer (SSL)） ? 安全套接字層（ SSL）是由 Netscape Communications 開發(fā)的用來向互聯(lián)網(wǎng)會話提供安全性和保密性的握手協(xié)議。它旨在當(dāng)支持不可抵賴性以及允許使用多種密碼算法和密鑰管理機制的同時，提供保密性和認(rèn)證。一些供應(yīng)商和軟件組織正在開發(fā)或提供集成了 IPSec 的產(chǎn)品。 互聯(lián)網(wǎng) 安全 協(xié)議和機制 2. IPSec ? IETF 的 IP 安全性協(xié)議工作組目前正在定義 IP 的安全性附加協(xié)議，它是為 IP 數(shù)據(jù)報這一層提供認(rèn)證、完整性和保密性服務(wù)的規(guī)范。 ? RFC 描述了開放標(biāo)準(zhǔn)，使那些可能希望或需要使用那些標(biāo)準(zhǔn)進行通信的人受益。 ? 互聯(lián)網(wǎng)安全協(xié)議和機制就是主要處理這類風(fēng)險的，這些協(xié)議和相關(guān)機制與互聯(lián)網(wǎng)活動（包括，電子郵件）有特定的相關(guān)性。你正在與之通信的組織或個人可能是不認(rèn)識的或者可能是偽裝成其他組織（個人）的組織或個人。 ? ( l0) 制定詳盡的入侵應(yīng)急措施以及匯報制度。 ? (8) 定期檢查系統(tǒng)日志文件，在備份設(shè)備上及時備份。 黑客 黑客 ? （ 5）通過一個節(jié)點來攻擊其他節(jié)點 ? （ 6）網(wǎng)絡(luò)監(jiān)聽 ? （ 7）尋找系統(tǒng)漏洞 ? （ 8）利用帳號進行攻擊 ? (9) 偷取特權(quán) 黑客 . 黑客常用的信息收集工具 。 ? 但到了今天，黑客一詞已被用于泛指那些專門利用電腦網(wǎng)絡(luò)搞破壞或惡作劇的家伙。 虛擬專網(wǎng) （ VPN ） 2. 實際 VPN案例 ? 黑客最早源自英文 hacker，早期在美國的計算機界是帶有褒義的。 ? ExtraVPN通過一個使用專用連接的共享基礎(chǔ)設(shè)施，將客戶、供應(yīng)商、合作伙伴或興趣群體連接到企業(yè)內(nèi)部網(wǎng)。 虛擬專網(wǎng) （ VPN ） (3) 企業(yè)擴展虛擬網(wǎng)（ Extra VPN） ? 如果是提供 B2B之間的安全訪問服務(wù)，則可以考慮 Extra VPN。 ? Intra VPN通過一個使用專用連接的共享基礎(chǔ)設(shè)施，連接企業(yè)總部、遠(yuǎn)程辦事處和分支機構(gòu)。 虛擬專網(wǎng) （ VPN ） (2) 企業(yè)內(nèi)部虛擬網(wǎng)（ Intra VPN） ? 利用 VPN特性可以組建世界范圍內(nèi)的 Intra VPN。 ? 它通過一個擁有與專用網(wǎng)絡(luò)相同策略的共享基礎(chǔ)設(shè)施，提供對企業(yè)內(nèi)部網(wǎng)或外部網(wǎng)的遠(yuǎn)程訪問。 ? 虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接； ? 可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。 虛擬專網(wǎng) （ VPN ） ? 另外，虛擬專用網(wǎng)還可以保護現(xiàn)有的網(wǎng)絡(luò)投資。 ? 通過將數(shù)據(jù)流轉(zhuǎn)移到低成本的 IP網(wǎng)絡(luò)上，一個企業(yè)的虛擬專用網(wǎng)解決方案將大幅度地減少用戶花費在城域網(wǎng)和遠(yuǎn)程網(wǎng)絡(luò)連接上的費用。 虛擬專網(wǎng) （ VPN ） ? 在站點與站點之間實施 VPN時，網(wǎng)絡(luò)管理者應(yīng)該綜合比較 MPLS和 IPSec VPN兩種方案的參數(shù)比較這兩種解決方案?？偛颗c下面分支機構(gòu)互聯(lián)時，如果使用公網(wǎng)，則帶寬、時延等很大程度上受公網(wǎng)的網(wǎng)絡(luò)狀況制約。IPSec VPN可以使分布在不同地方的專用網(wǎng)絡(luò)，在不可信任的公共網(wǎng)絡(luò)上安全的通信，采用復(fù)雜的算法來加密傳輸?shù)男畔?，使得敏感的?shù)據(jù)不會被竊聽。 虛擬專網(wǎng) （ VPN ） ? 同時， IPSec VPN與 MPLS VPN兩者所面向的應(yīng)用領(lǐng)域是不同的，安全性是 VPN網(wǎng)絡(luò)設(shè)計時考慮的首要因素時，應(yīng)當(dāng)采用 IPSec VPN。 虛擬專網(wǎng) （ VPN ） ? IPSec VPN和 MPLS VPN之間的一個關(guān)鍵差異是MPLS在性能、可用性以及服務(wù)等級上提供了SLA（ Service Level Agreement）。 虛擬專網(wǎng) （ VPN ） 2 MPLS VPN和 IPSec VPN比較 ? 兩者 VPN技術(shù)上可以互相補充，相互融合。 虛擬專網(wǎng) （ VPN ） ? 另一類 VPN技術(shù)以 MPLS技術(shù)為代表，主要考慮的問題是如何保證網(wǎng)絡(luò)的服務(wù)質(zhì)量（ QoS）。 ? 這類協(xié)議包括 IPSec、 PPTP、 L2TP等等。 ? 本來不能通訊的兩個異地的局域網(wǎng)，通過出口處的 IP地址封裝，就可以實現(xiàn)局域網(wǎng)對局域網(wǎng)的通訊。 ? IPSEC協(xié)議通過包封裝技術(shù)，能夠利用 Inter可路由的地址，封裝內(nèi)部網(wǎng)絡(luò)的 IP地址，實現(xiàn)異地網(wǎng)絡(luò)的互通。 IPSEC引進了完整的安全機制，包括加密、認(rèn)證和數(shù)據(jù)防篡改功能。 (4) 使用者與設(shè)備身份認(rèn)證技術(shù)（ Authentication）： ? 使用者與設(shè)備身份認(rèn)證技術(shù)最常用的是使用者名稱與密碼或卡片式認(rèn)證等方式。 (3) 密鑰管理技術(shù)（ Key Management）： ? 密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取。 ? IPSec（ IP Security）是由一組 RFC文檔組成，定義了一個系統(tǒng)來提供安全協(xié)議選擇、安全算法，確定服務(wù)所使用密鑰等服務(wù)，從而在 IP層提供安全保障。 虛擬專網(wǎng) （ VPN ） ? 第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進行傳輸。第二層隧道協(xié)議有 L2F、 PPTP、 L2TP等。 虛擬專網(wǎng) （ VPN ） ? 第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到 PPP中，再把整個數(shù)據(jù)包裝入隧道協(xié)議中。它在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過這條隧道傳輸。目前 VPN主要采用四項技術(shù)來保證安全，這四項技術(shù)分別是隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、使用者與設(shè)備身份認(rèn)證技術(shù)。 虛擬專網(wǎng) （ VPN ） 虛擬專用網(wǎng)（ VPN） 虛擬專網(wǎng) （ VPN ） 2. 網(wǎng)絡(luò)協(xié)議 ? 常用的虛擬私人網(wǎng)絡(luò)協(xié)議是： IPSec (英文 IP Security的縮寫 )是保護 IP協(xié)議安全通信的標(biāo)準(zhǔn)，它主要對 IP協(xié)議分組進行加密和認(rèn)證。 ? 虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴展。 ? 現(xiàn)在一般所說的 VPN更多指的是構(gòu)建在公用 IP網(wǎng)絡(luò)上的專用網(wǎng)，我們也可稱之為 IP VPN（以 IP為主要通信協(xié)議）。 ? 目前 VPN能實現(xiàn)的功能有：企業(yè)員工及授權(quán)商業(yè)伙伴共享企業(yè)的商業(yè)信息；在網(wǎng)上進行信息及文件安全快速的交換；通過網(wǎng)絡(luò)安全地發(fā)送電子郵件；通過網(wǎng)絡(luò)實現(xiàn)無紙辦公和無紙貿(mào)易。 ? 在虛擬網(wǎng)中，任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路。 IPsec安全協(xié)議 5. IPsec與 IKE的關(guān)系 ? ■ IKE是 UDP之上的一個應(yīng)用層協(xié)議，是 IPsec的信令協(xié)議； ? ■ IKE為 IPsec協(xié)商建立 SA，并把建立的參數(shù)及生成的密鑰交給 IPsec； ? ■ IPsec使用 IKE建立的 SA對 IP報文加密或認(rèn)證處理。 IPsec的大規(guī)模使用，必須有CA（ Certificate Authority，認(rèn)證中心）或其他集中管理身份數(shù)據(jù)的機構(gòu)的參與。此序列號是一個 32比特的值，此數(shù)溢出后，為實現(xiàn)防重放， SA需要重新建立，這個過程需要 IKE協(xié)議的配合。每次 SA的建立都運行DH交換過程，保證了每個 SA所使用的密鑰互不相關(guān)。 IPsec安全協(xié)議 主模式交換過程 IPsec安全協(xié)議 4. IKE在 IPsec中的作用 ? ■ 因為有了 IKE， IPsec很多參數(shù)（如：密鑰）都可以自動建立，降低了手工配置的復(fù)雜度。第一階段有主模式（ Main Mode）和野蠻模式（ Aggressive Mode）兩種 IKE交換方法。 PFS特性是由 DH算法保障的。 IPsec安全協(xié)議 （ 3） PFS完善的前向安全性 ? PFS（ Perfect Forward Secrecy，完善的前向安全性）特性是一種安全特性，指一個密鑰被破解，并不影響其他密鑰的安全性，因為這些密鑰間沒有派生關(guān)系。 ? 即使第三者（如黑客）截獲了雙方用于計算密鑰的所有交換數(shù)據(jù)，由于其復(fù)雜度很高，不足以計算出真正的密鑰。 IPsec安全協(xié)議 （ 2） DH交換及密鑰分發(fā) ? DH（ DiffieHellman，交換及密鑰分發(fā)）算法是一種公共密鑰算法。支持兩種認(rèn)證方法：預(yù)共享密鑰（ presharedkey）認(rèn)證和基于 PKI的數(shù)字簽名（ rsasignature）認(rèn)證。 IPsec安全協(xié)議 2. IKE的安全機制 ? IKE具有一套自保護機制，可以在不安全的網(wǎng)絡(luò)上安全地認(rèn)證身份、分發(fā)密鑰、建立 IPsec SA。 IPsec安全協(xié)議 ? IKE為 IPsec提供了自動協(xié)商交換密鑰、建立 SA的服務(wù)，能夠簡化 IPsec的使用和管理，大大簡化 IPsec的配置和維護工作。 ? IPsec對 IPv6路由協(xié)議報文進行保護的處理方式和目前基于接口的 IPsec處理方式不同，是基于業(yè)務(wù)的 IPsec，即 IPsec保護某一業(yè)務(wù)的所有報文。需要應(yīng)用到加密前的明文上的業(yè)務(wù)（例如 NAT、 QoS），可以應(yīng)用到隧道接口上；需要應(yīng)用到加密后的密文上的業(yè)務(wù)，則可以應(yīng)用到隧道接口對應(yīng)的物理接口上。 IPsec安全協(xié)議 ? (3) IPsec虛擬隧道接口完成對 I