freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

信息安全系統(tǒng)工程vpn和ipsec-在線瀏覽

2025-02-01 12:29本頁(yè)面
  

【正文】 議 ? L2TP: ? Layer Two Tunneling Protocol(第二層隧道協(xié)議),由 RFC 2661定義。 ? L2TP是由 Cisco、 Ascend、 Microsoft等公司在 1999年聯(lián)合制定的,已經(jīng)成為二層隧道協(xié)議的工業(yè)標(biāo)準(zhǔn),并得到了眾多網(wǎng)絡(luò)廠商的支持。 ? L2TP隧道協(xié)議可用于 Inter,也可用于其他企業(yè)專用Intra中。 ? LAC: ? L2TP Access Concentrator( L2TP訪問集中器),是附屬在交換網(wǎng)絡(luò)上的具有 PPP端系統(tǒng)和 L2TP協(xié)議處理能力的設(shè)備,它為用戶通過 PSTN/ISDN 提供網(wǎng)絡(luò)接入服務(wù)。 ? LNS: ? L2TP Network Server( L2TP網(wǎng)絡(luò)服務(wù)器),是 PPP端系統(tǒng)上用于處理 L2TP協(xié)議服務(wù)器端部分的軟件。在傳統(tǒng)的 PPP連接中,用戶撥號(hào)連接的終點(diǎn)是 LAC, L2TP使得 PPP協(xié)議的終點(diǎn)延伸到 LNS。 ? PPP幀的有效載荷即 用戶傳輸數(shù)據(jù) ,可以經(jīng)過 加密 和 /或 壓縮 ? 需要指出的是,與 PPTP不同,在 Windows 2023中, L2TP客戶機(jī)不采用 MPPE對(duì) L2TP連接進(jìn)行加密, L2TP連接的加密 由 IPSec ESP提供。與 PPTP不同, L2TP不是通過 TCP協(xié)議來進(jìn)行隧道維護(hù),而是采用UDP協(xié)議。 L2TP協(xié)議控制報(bào)文(續(xù)) L2TP協(xié)議數(shù)據(jù)報(bào)文 ? L2TP隧道維護(hù)控制報(bào)文和隧道化用戶傳輸數(shù)據(jù)具有相同的包格式。 L2TP數(shù)據(jù)發(fā)送端的發(fā)送處理過程 ? 1) L2TP封裝 :初始 PPP有效載荷如 IP數(shù)據(jù)報(bào)、 IPX數(shù)據(jù)報(bào)或NetBEUI幀等首先經(jīng)過 PPP報(bào)頭和 L2TP報(bào)頭的封裝。 ? 3) IPSec封裝 :基于 IPSec安全策略, UDP報(bào)文通過添加IPSec封裝安全負(fù)載 ESP報(bào)頭、報(bào)尾和 IPSec認(rèn)證報(bào)尾,進(jìn)行IPSec加密封裝。 ? 5)數(shù)據(jù)鏈路層封裝 :數(shù)據(jù)鏈路層封裝是 L2TP幀多層封裝的最后一層,依據(jù)不同的物理網(wǎng)絡(luò)再添加相應(yīng)的數(shù)據(jù)鏈路層報(bào)頭和報(bào)尾。 ? 2)處理并去除 IP報(bào)頭。 ? 4)用 IPSec ESP報(bào)頭對(duì)數(shù)據(jù)報(bào)的加密部分進(jìn)行解密。 ? 6) L2TP協(xié)議依據(jù) L2TP報(bào)頭中 Tunnel ID和 Call ID分解出某條特定的 L2TP隧道。 PPTP與 L2TP的比較 ? 1) PPTP要求互聯(lián)網(wǎng)絡(luò)為 IP網(wǎng)絡(luò), L2TP只要求隧道媒介提供面向數(shù)據(jù)包的點(diǎn)對(duì)點(diǎn)的連接 ? L2TP可以在 IP(使用 UDP)、幀中繼永久虛擬電路( PVCs)、( VCs)或 ATM VCs網(wǎng)絡(luò)上使用。 ? 3) L2TP可以提供包頭壓縮 ? 當(dāng)壓縮包頭時(shí),系統(tǒng)開銷占用 4個(gè)字節(jié),而 PPTP協(xié)議下要占用 6個(gè)字節(jié)。 四、第三層隧道協(xié)議 — GRE ? GRE— Generic Routing Encapsulation(通用路由封裝協(xié)議) ? 由 Cisco和 NetSmiths公司于 1994年提交給 IETF,標(biāo)號(hào)為 RFC 1701和 RFC 1702。 ? GRE支持全部的路由協(xié)議(如 RIP OSPF等), 用于在IP包中封裝任何協(xié)議的數(shù)據(jù)包 ,包括 IP、 IPX、 NetBEUI、AppleTalk、 Banyan VINES、 DEC等。 GRE報(bào)文 利用 GRE實(shí)現(xiàn) VPN GRE協(xié)議的優(yōu)點(diǎn) ? 1)通過 GRE,用戶 可以利用公共 IP網(wǎng)絡(luò)連接非 IP網(wǎng)絡(luò) ,如 IPX網(wǎng)絡(luò)、 AppleTalk網(wǎng)絡(luò)等。 ? 3) GRE擴(kuò)大了網(wǎng)絡(luò)的工作范圍 ,包括那些路由網(wǎng)關(guān)次數(shù)有限的協(xié)議 ? 如 IPX包最多可以轉(zhuǎn)發(fā) 16次(即經(jīng)過 16個(gè)路由器),而在一個(gè)隧道連接中看上去只經(jīng)過一個(gè)路由器。 GRE協(xié)議的缺點(diǎn) ? 1) GRE只提供了數(shù)據(jù)包的封裝,而沒有加密功能來防止網(wǎng)絡(luò)監(jiān)聽和攻擊,所以在實(shí)際環(huán)境中經(jīng)常與 IPSec一起使用。 ? 2)由于 GRE與 IPSec采用的是同樣的基于隧道的VPN實(shí)現(xiàn)方式,所以 IPSec VPN在管理、組網(wǎng)上的缺陷, GRE VPN也同樣具有。 五、 IPSEC ? IPSec協(xié)議概述 ? IPSec協(xié)議重要概念 ? IPSec安全協(xié)議 — AH ? IPSec安全協(xié)議 — ESP ? ISAKMP協(xié)議和 IKE協(xié)議 IPSec協(xié)議概述 ? IPSec( IP Security) 是一種由 IETF設(shè)計(jì)的端到端的確保 IP層通信安全的機(jī)制。 ? IPSec是隨著 IPv6的制定而產(chǎn)生的,鑒于 IPv4的應(yīng)用仍然很廣泛,所以后來在 IPSec的制定中也增加了對(duì) IPv4的支持 ? IPSec在 IPv6中是必須支持的,而在 IPv4中是可選的。 ? IPV4 的主要安全問題有: ? 1) 竊聽: ?一般情況下 IP通信是明文形式的,第三方可以很容易地竊聽到 IP數(shù)據(jù)包并提取出其中的應(yīng)用層數(shù)據(jù); ?“竊聽”雖然不破壞數(shù)據(jù),卻造成了通信內(nèi)容外泄,甚至危及敏感數(shù)據(jù)的安全。 ? 作為網(wǎng)絡(luò)通信用戶,即使并非所有的通信數(shù)據(jù)都是高度機(jī)密的,也不想看到數(shù)據(jù)在傳輸過程中有任何差錯(cuò)。 ? 4) 重放攻擊: ? 搜集特定的 IP包,進(jìn)行一定的處理,然后再一一重新發(fā)送,欺騙接收方主機(jī)。 ? 保證數(shù)據(jù)來源可靠: ? 在 IPSec通信之前雙方要先用 IKE 認(rèn)證對(duì)方身份并協(xié)商密鑰,只有 IKE 協(xié)商成功之后才能通信。 IPSec的功能(續(xù)) ? 保證數(shù)據(jù)完整性 ? IPSec通過驗(yàn)證算法功能保證數(shù)據(jù)從發(fā)送方到接收方的傳送過程中的任何數(shù)據(jù)篡改和丟失都可以被檢測(cè)。 IPSec體系結(jié)構(gòu)圖 IPSec的 AH和 ESP協(xié)議 數(shù)據(jù)完整性驗(yàn)證: Hash函數(shù)產(chǎn)生的驗(yàn)證碼 數(shù)據(jù)源身份認(rèn)證:計(jì)算驗(yàn)證碼時(shí)加入共享會(huì)話密鑰 防重放攻擊:在 AH報(bào)頭中加入序列號(hào) 封裝安全 載荷 (ESP): 除上述三種服務(wù), 還能夠數(shù)據(jù)加密 兩臺(tái)主機(jī)之間 兩臺(tái)安全網(wǎng)關(guān)之間 主機(jī)與安全網(wǎng)關(guān)之間 鑒別頭 (AH) AH和 ESP可 單獨(dú) /嵌套使用 IPSec協(xié)議重要概念 ? 1)解釋域( DOI) ? 2)安全聯(lián)盟( SA)和安全聯(lián)盟數(shù)據(jù)庫(kù)( SAD) ? 3)安全策略( SP)和安全策略數(shù)據(jù)庫(kù)( SPD) ? 4)傳輸模式和隧道模式 解釋域( DOI) ? DOI: Domain of Interpretation ? 為使用 IKE 進(jìn)行協(xié)商 SA 的協(xié)議統(tǒng)一分配標(biāo)識(shí)符。 安全聯(lián)盟( SA) ? SA( Security Association,安全聯(lián)盟) 是構(gòu)成 IPSec的基礎(chǔ),它是兩個(gè) IPSec實(shí)體(主機(jī)、安全網(wǎng)關(guān))之間經(jīng)過協(xié)商建立起來的一種協(xié)定。 ? SA是單向的 : 進(jìn)入 SA負(fù)責(zé)處理接收到的數(shù)據(jù)包, 外出 SA負(fù)責(zé)處理要發(fā)送的數(shù)據(jù)包 ? 每個(gè)通信方 必須要有兩種 SA,一個(gè)進(jìn)入 SA,一個(gè)外出 SA,這兩個(gè) SA構(gòu)成了一個(gè) SA束( SA Bundle) 。 ? 手工維護(hù)容易出錯(cuò),而且手工建立的 SA沒有生存周期限制,一旦建立了就不會(huì)過期(除非手工刪除),因此有安全隱患。 ? 利用 IKE 創(chuàng)建和刪除 SA,不需要管理員手工維護(hù),而且 SA 有生命期。 SA的標(biāo)識(shí) ? 每個(gè) SA由三元組 ( SPI、源 /目的 IP地址、 IPSec協(xié)議) 惟一標(biāo)識(shí),含義如下: ? SPI( Security Parameter Index,安全參數(shù)索引): 32位的安全參數(shù)索引,用于標(biāo)識(shí)同一個(gè)目的地的 SA。 ? 對(duì)于外出數(shù)據(jù)包,指目的 IP地址;對(duì)于進(jìn)入 IP包,指源 IP地址。 安全聯(lián)盟數(shù)據(jù)庫(kù)( SAD) ? SAD( Security Association Database,安全聯(lián)盟數(shù)據(jù)庫(kù))是將所有的 SA以某種數(shù)據(jù)結(jié)構(gòu)集中存儲(chǔ)的一個(gè)列表。 ? 對(duì)于進(jìn)入的流量,如果需要進(jìn)行 IPSec處理,IPSec將從 IP包中得到三元組,并利用這個(gè)三元組在 SAD中查找一個(gè) SA。 ? SA剛建立時(shí),該字段值設(shè)置為 0,每次用 SA保護(hù)完一個(gè)數(shù)據(jù)包時(shí),就把序列號(hào)的值遞增 1,對(duì)方利用這個(gè)字段來檢測(cè)重放攻擊。 ? 2)對(duì)方序號(hào)溢出標(biāo)志 ? 標(biāo)識(shí)序號(hào)計(jì)數(shù)器是否溢出。 ? 3)抗重放窗口 ? 32位計(jì)數(shù)器,用于決定進(jìn)入的 AH或 ESP數(shù)據(jù)包是否為重發(fā)的。 SA的主要內(nèi)容(續(xù)) ? 4) AH驗(yàn)證算法、密鑰等。 ? 6) ESP驗(yàn)證算法、密鑰等。 ? 生存期的衡量可以用時(shí)間也可以用傳輸?shù)淖止?jié)數(shù),或?qū)⒍咄瑫r(shí)使用。 ? 8)運(yùn)行模式:傳輸模式還是隧道模式。 安全策略( SP) ? SP( Security Policy,安全策略) 指示對(duì) IP數(shù)據(jù)包提供何種保護(hù),并以何種方式實(shí)施保護(hù)。 ? IPSec還定義了用戶能以 何種粒度 來設(shè)定自己的安全策略 ? 由“選擇符”來控制粒度的大小, 不僅可以控制到 IP地址 ,還可以控制到 傳輸層協(xié)議 或者 TCP/UDP端口 等。 ? 當(dāng)要將 IP包發(fā)送出去時(shí),或者接收到 IP包時(shí),首先要查找 SPD來決定如何進(jìn)行處理,有 3 種可能的處理方式: ? 1)丟棄: 流量不能離開主機(jī)或者發(fā)送到應(yīng)用程序,也不能進(jìn)行轉(zhuǎn)發(fā)。 ? 3)使用 IPSec: 對(duì)流量應(yīng)用 IPSec保護(hù),此時(shí)這條安全策略要指向一個(gè) SA。 IPSec運(yùn)行模式 ? IPSec有兩種運(yùn)行模式: ? 傳輸模式( Transport Mode) 和 隧道模式( Tunnel Mode) 。 IPSec傳輸模式 ? 傳輸模式 要保護(hù)的內(nèi)容是 IP包的載荷,可能是 TCP/UDP等傳輸層協(xié)議,也可能是 ICMP協(xié)議,還可能是 AH或者ESP協(xié)議(在嵌套的情況下)。 IP AH TCP IP ESP TCP IP AH TCP ESP 應(yīng)用 AH 應(yīng)用 ESP 應(yīng)用 AH+ESP IPSec傳輸模式下的報(bào)文格式的修改 U D P 頭 + U D P 數(shù) 據(jù)T C P 頭 + T C P 數(shù) 據(jù)I P 頭41 76① A H 頭65 1② E S P 頭② E S P 頭③ A H 頭5 05 065 16協(xié)議類 型字段 IPSec隧道模式 ? 隧道模式 保護(hù)的內(nèi)容是 整個(gè)原始 IP包 ? 通常情況下,只要 IPSec雙方有一方是安全網(wǎng)關(guān)或路由器,就必須使用隧道模式。 ? 隧道模式下, 通信終點(diǎn)由受保護(hù)的內(nèi)部 IP頭指定,而IPSec終點(diǎn)則由外部 IP頭指定 ? 如 IPSe
點(diǎn)擊復(fù)制文檔內(nèi)容
教學(xué)課件相關(guān)推薦
文庫(kù)吧 www.dybbs8.com
備案圖鄂ICP備17016276號(hào)-1