【正文】 （ if_name）表示內(nèi)網(wǎng)接口名字，例如inside。例如 網(wǎng)所有主機(jī)可以 對 外 訪問 。106nat例子n 例 1． Pix525(config)nat (inside) 1 0 0 q 表示啟用 nat,內(nèi)網(wǎng)的所有主機(jī)都可以 訪問 外網(wǎng)，用 0可以代表 n 例 2． Pix525(config)nat (inside) 1 q 表示只有 個網(wǎng)段內(nèi)的主機(jī)可以 訪問外網(wǎng)。n global命令的配置 語 法： global (if_name) nat_id ip_addressip_address [mark global_mask] n 其中（ if_name）表示外網(wǎng)接口名字，例如 outside.。 [mark global_mask]表示全局 ip地址的網(wǎng) 絡(luò) 掩 碼 。n 例 2． Pix525(config)global (outside) 1 q 表示內(nèi)網(wǎng)要 訪問 外網(wǎng) 時 ， pix防火 墻 將 為訪問 外網(wǎng)的所有主機(jī) 統(tǒng) 一使用 個 單 一 ip地址。109route n 設(shè) 置指向內(nèi)網(wǎng)和外網(wǎng)的靜 態(tài) 路由（ route） 定 義 一條靜 態(tài) 路由。 gateway_ip表示網(wǎng)關(guān)路由器的 ip地址。通常缺省是 1。n 例 2． Pix525(config)route inside 1 q 創(chuàng) 建了一條到網(wǎng) 絡(luò) 態(tài) 路由，靜 態(tài) 路由的下一條路由器 ip地址是 n Pix525(config)route inside 1 111static n 配置靜 態(tài) IP地址翻 譯n 如果從外網(wǎng) 發(fā) 起一個會 話 ，會 話 的目的地址是一個內(nèi)網(wǎng)的 ip地址， static就把內(nèi)部地址翻 譯 成一個指定的全局地址，允 許這 個會 話 建立。 external_if_name為 外部網(wǎng) 絡(luò) 接口，安全級別較 低，如 outside等。 inside_ ip_address為 內(nèi)部網(wǎng) 絡(luò) 的本地 ip地址。n conduit命令用來允 許 數(shù)據(jù)流從具有 較 低安全 級別 的接口流向具有 較 高安全 級別 的接口，例如允 許 從外部到 DMZ或內(nèi)部接口的入方向的會話 。 113conduit命令配置 語 法114115116配置 fixup協(xié)議 n fixup命令作用是啟用，禁止，改 變 一個服 務(wù) 或 協(xié)議通 過 pix防火 墻 ，由 fixup命令指定的端口是 pix防火墻 要 偵 聽的服 務(wù) 。 n 例 3． Pix525(config)no fixup protocol smtp 80q 禁用 smtp協(xié)議 。當(dāng) IIS打開文件時，如果該文件名包含 unicode字符，它會對其進(jìn)行解碼，如果用戶提供一些特殊的編碼，將導(dǎo)致 IIS錯誤的打開或者執(zhí)行某些 web根目錄以外的文件。 122入侵 檢測 的作用n 檢測 防 護(hù) 部分阻止不了的入侵 n 檢測 入侵的前兆 n 入侵事件的 歸 檔 n 網(wǎng) 絡(luò) 受威 脅 程度的 評 估 n 幫助從入侵事件中恢復(fù) 123防火 墻 與入侵 檢測n 防火 墻q 屬于信息保障的保 護(hù)環(huán)節(jié)q 門 禁系 統(tǒng)n 入侵 檢測q 屬于信息保障的 檢測環(huán)節(jié)q 監(jiān) 控系 統(tǒng)124入 檢測檢測歷 史n 入侵 檢測 的 發(fā) 源q 1980， James Anderson 提出入侵 檢測 的 設(shè) 想q 1987， Dorothy Denning提出入侵 檢測 系 統(tǒng) 抽象模型n 主機(jī)入侵 檢測q 1988，出 現(xiàn) 一批基于主機(jī) 審計 信息的入侵 檢測 系 統(tǒng)n 網(wǎng) 絡(luò) 入侵 檢測q 1990，開始出 現(xiàn) 基于網(wǎng) 絡(luò) 數(shù)據(jù)的入侵 檢測 系 統(tǒng)n 入侵 檢測 的新技 術(shù) 與新方法q 致力于提高入侵 檢測 系 統(tǒng) 的可伸 縮 性、可 維護(hù) 性、容錯 性。入侵 檢測 的任 務(wù) 就是從混合的數(shù)據(jù)中找出入侵的痕跡并作出響 應(yīng) 。134信息收集技 術(shù)n 網(wǎng) 絡(luò) 流量q 遠(yuǎn) 程的網(wǎng) 絡(luò) 攻 擊 伴隨著攻 擊 數(shù)據(jù)的 發(fā) 送，比如掃 描、口令攻 擊 、 遠(yuǎn) 程的 緩 沖區(qū)溢出、腳本攻擊 、假消息攻 擊 等。135信息收集技 術(shù)n 系 統(tǒng) 目 錄 和文件的異常 變 化q 入侵者 經(jīng) 常替 換 、修改和破壞他 們獲 得 訪問權(quán)的系 統(tǒng) 上的文件，同 時為 了 隱 藏系 統(tǒng) 中他 們 的表 現(xiàn) 及活 動 痕跡，都會盡力去替 換 系 統(tǒng) 程序或修改系 統(tǒng) 日志。136信息收集技 術(shù)n 程序 執(zhí) 行中的異常行 為q 針對 程序漏洞的攻 擊 ，常 導(dǎo) 致程序 產(chǎn) 生異常的行 為 ，如 發(fā) 生 緩 沖區(qū)溢出， 進(jìn) 行 權(quán) 限提升等。142入侵 檢測 部署n 目 標(biāo) ： 檢測 整個網(wǎng) 絡(luò) 信息143共享網(wǎng) 絡(luò) 的入侵 檢測 部署IDS SensorConsoleHUBMonitored Servers144交 換 網(wǎng) 絡(luò) 的入侵 檢測 部署IDS SensorConsole通過端口鏡像實現(xiàn)（ SPAN / Port Monitor）SwitchMonitored Servers145分段網(wǎng) 絡(luò) 的部署n 在一個分段的網(wǎng) 絡(luò) 中， 應(yīng) 保 證 IDS的探測 器可以 監(jiān) 聽到所有網(wǎng) 絡(luò) 數(shù)據(jù)IDS SensorConsoleIDS SensorSwitchMonitored ServersMonitored ServersRouter146發(fā) 展 趨勢n 分析技 術(shù) 的改 進(jìn) n 內(nèi)容恢復(fù)和網(wǎng) 絡(luò)審計 功能的引入 n 集成網(wǎng) 絡(luò) 分析和管理功能 n 安全性和易用性的提高 n 改 進(jìn)對 大數(shù)據(jù)量網(wǎng) 絡(luò) 的 處 理方法 n 防火 墻聯(lián)動 功能 n 入侵防 護(hù) 系 統(tǒng) （ IPS） 147IPS148TCP/IP協(xié)議棧對應(yīng) 的 VPN協(xié)議149VPN技 術(shù) 及 應(yīng) 用 簡 介 IPSECn IPSEC協(xié)議簡 介 （ RFC2401－ 2409等）n IPSec（網(wǎng) 絡(luò) 安全 協(xié)議 ） 協(xié)議 是一個 協(xié)議集而不是一個 單 個的 協(xié)議 ；n IPSec協(xié)議給 出了 應(yīng) 用于 IP層 上網(wǎng) 絡(luò) 數(shù)據(jù)安全的一整套體系 結(jié) 構(gòu)；n 自 1995年 IPSec的研究工作開始以來， IETF組織 已 經(jīng)積 累了大量的 標(biāo) 準(zhǔn)文件集（ RFC）。q IPSec規(guī)定了如何在對等層之間選擇安全協(xié)議、確定安全算法和密鑰交換，向上提供了訪問控制、數(shù)據(jù)源驗證、數(shù)據(jù)加密等網(wǎng)絡(luò)安全服務(wù)。 IPv4包頭 AH包頭 高層協(xié)議AH協(xié)議提供數(shù)據(jù)的認(rèn)證服務(wù)；保證數(shù)據(jù)在傳輸過程中沒有被改變或破壞，數(shù)據(jù)的順序也沒有很大變化。n 國 際 IANA機(jī)構(gòu)分配 給 ESP的 協(xié)議 號 為 50。154安全 聯(lián) 盟（ SA）n 安全 聯(lián) 盟 簡 稱 SA，是構(gòu)成 IPSec的基 礎(chǔ) 。n SA是 單 向的，雙向的通信需要兩個 SA。 156安全關(guān) 聯(lián) 數(shù)據(jù) 庫 SAD n SAD存放著和安全 實 體相關(guān)的所有 SA，每個 SA由三元 組索引。 157安全策略數(shù)據(jù) 庫 SPDn SPD決定了 對 數(shù)據(jù)包提供的安全服 務(wù) ，所有 IPSec 實 施方案的策略都保存在 該 數(shù)據(jù) 庫 中。 158IPSec對 數(shù)據(jù)包的 處 理TCP層產(chǎn)生的或者需要轉(zhuǎn)發(fā)的數(shù)據(jù)包安全關(guān)聯(lián)？處理策略？查詢 SPD丟棄 繞過 IPSec應(yīng)用 IPSec，查詢 SADSA不存在或SA無效進(jìn)行 IPSec處理添加IPSec頭SA有效添加 IP頭，送到 IP層發(fā)送隊列返回丟棄數(shù)據(jù)包，記錄出錯信息 協(xié)商成功？啟動 IKE協(xié)商否是159SA的管理n SA管理的兩大任 務(wù)q 創(chuàng) 建p 先 協(xié) 商 SA參數(shù)，再用 SA更新 SADBq 刪 除n SA管理方式q 手工 進(jìn) 行q 通 過 Inter密 鑰 交 換協(xié)議 來完成，如 IKE160IPSec兩種安全機(jī)制n IPSec提供了兩種安全機(jī)制： 認(rèn)證 和加密。 n AH定 義 了 認(rèn)證 的 應(yīng) 用方法，提供數(shù)據(jù)源 認(rèn)證 和完整性保 證；n ESP定 義 了加密和可 選認(rèn)證 的 應(yīng) 用方法，提供可靠性保 證 。 161IP認(rèn)證 包 頭 AHn AH協(xié)議提供無連接的完整性、數(shù)據(jù)源認(rèn)證和抗重發(fā)保護(hù)服務(wù)，但不提供保密性服務(wù)。 AH在每一個數(shù)據(jù)包上添加一個身份驗證包頭。n 認(rèn)證 數(shù)據(jù) (Authentication Data， 長 度可 變 )：包含完整性檢查 和。它使用 HMACMD5或 HMACSHA1算法 對IP進(jìn) 行 認(rèn)證 。 ESP可以 單 獨(dú)使用，也可以和AH結(jié) 合使用。用來保 證 加密數(shù)據(jù)部分滿 足 塊 加密的 長 度要求，若數(shù)據(jù) 長 度不足， 則 填充；n 填充域 長 度 (Padding Length)：接收端根據(jù) 該 字段 長 度去除數(shù)據(jù)中的填充位；n 下一個包 頭 (Next Header)：同 AH；n 認(rèn)證 數(shù)據(jù) (Authentication Data)：包含完整性 檢查 和。 ESP加密部分包括 傳輸層協(xié)議 、數(shù)據(jù)和 ESP包尾。q 主要用于主機(jī)－主機(jī)的 VPN應(yīng) 用。q 主要用于網(wǎng)關(guān)－網(wǎng)關(guān)的 VPN應(yīng) 用。從而 隱 藏了網(wǎng) 絡(luò) 的相關(guān)信息。n IKE是一個通用的 協(xié)議 ，它不 僅 可以 為 IPSec協(xié)商安全參數(shù)，也可以 為 其它的 協(xié)議協(xié) 商安全參數(shù)。對于不同消息， payload內(nèi)容不同。178VPN技 術(shù) 及 應(yīng) 用 簡 介 IKEn IKE協(xié) 商機(jī)制q 第一 階 段， 協(xié) 商 創(chuàng) 建一個通信信道 (ISAKMP SA)，并 對該 信道 進(jìn) 行 驗證 ， 為 雙方 進(jìn) 一步的IKE通信提供機(jī)密性、消息完整性以及消息源驗證 服 務(wù) —— 密 鑰協(xié) 商 階 段 (6個步 驟 )q 第二 階 段，使用已建立的 ISAKMP SA建立IPSec SA，一個 ISAKMP SA可以用于建立多個IPSec SA。n 消息 2—— 接收端收到消息 1，從中 選擇 自己所支持的 proposal，返回響 應(yīng) 消息 2。n 消息 4—— 接收方收到消息 3，隨機(jī) 選 取一個 Nonce值 如 y，并 計 算 gy， 發(fā) 響 應(yīng) 消息。181VPN技 術(shù) 及 應(yīng) 用 簡 介 IKEn 消息 5—— 發(fā) 起端根據(jù)密 鑰 材料加密消息，發(fā) 送 帶 有身份信息的消息 給對 端。n 身份 認(rèn)證 —— 通 過 兩個消息，身份 認(rèn)證 若通 過 ， 則 第一 階 段即成功了。182VPN技 術(shù) 及 應(yīng) 用 簡 介 IKE第二 階 段（快速模式）n 消息 1—— 發(fā) 起端 發(fā) 送加密的消息，攜 帶 自己支持的 proposal、 transform等。n 消息 3—— 發(fā) 起端收到接收端的消息后， 發(fā)響 應(yīng)報 文。183階 段一身份保 護(hù) 模式184階 段一（ 說 明）n 在消息 (1)中， 發(fā) 起者生成他 認(rèn)為 適當(dāng)?shù)陌踩岚噶斜?，提?給 響 應(yīng) 方。n 在消息 (3)、 (4)中， 發(fā) 起者和響 應(yīng) 者交 換 DH公開 值 ，和隨機(jī)信息串 nonce，在第四步完成 時 ，雙方已 經(jīng) 可以 經(jīng)計 算得出共享的 DH公共 值 ，以及各自 計 算出 SKEYID和相關(guān)衍生密 鑰 。n 當(dāng)采用數(shù)字 簽 名的身份 驗證 方法 時 ，消息 (5)和 (6)可以包含 證書載 荷，將自己的公 鑰證書發(fā)給對 方， 驗證 數(shù)據(jù)AUTH DATA就是數(shù)字 簽 名的運(yùn)算 結(jié) 果，在 這 里數(shù)字 證書 也可以是從有效的 遠(yuǎn) 程有效的 認(rèn)證 中心通 過 LDAP、DNSSEC等 協(xié)議獲 得。將 SA加入自己的IPSec SADB數(shù)據(jù)庫。186第一 階 段的 6個步 驟發(fā)起者（客戶端） 響應(yīng)者（服務(wù)器端）HDR、 SAHDR、 SA步驟 1步驟 2HDR、 KE、 NonceHDR、 KE、 Nonce步驟 3步驟 4HDR、 ID、散列HDR、 ID、散列步驟 5步驟 6預(yù)共享密鑰 方式、主模式協(xié)商KE： Key ExchangeDH： DiffieHellmanNonce：隨機(jī)數(shù)協(xié)商 IKE SA的各項參數(shù) , 并對交換的其余部分?jǐn)M定規(guī)范。完成DH交換 , 并生成 SKEYID狀態(tài)。187第一 階 段的 6個步 驟發(fā)起者（客戶端） 響應(yīng)者（服務(wù)器端）HDR、 SAHDR、 SA步驟 1步驟 2HDR、 KE、 NonceHDR、 KE、 Nonce步驟 3步驟 4HDR、 ID、［ Cert］HDR、 ID、［ Cert］步驟 5步驟 6數(shù)字簽名 方式、主模式協(xié)商188第一 階 段的 6個步 驟發(fā)起者（客戶端） 響應(yīng)者（服務(wù)器端）HDR、 SAHDR、 SA步驟 1步驟 2HDR、 KE、｛ ID｝ pub_r，｛ Ni｝ pub_r HDR、 KE、｛ ID｝ pub_I，｛ Nr｝ pub_r步驟 3步驟 4HDR、散列HDR、散列步驟 5步驟 6公鑰加密 方式、主模式協(xié)商189