网络安全培训课程提纲

南京市国国家保密密局培训训课程提提纲一. 网络安全全与防火火墙技术术1. 网络安全全概述随着政府府上网、海关上上网、电电子商务务、网上上娱乐等等一系列列网络应应用的蓬蓬勃发展展，Innterrnett正在越越来越多多地离开开原来单单纯的学学术环境境，融入入到社会会的各个个方面。一方面面，网络络用户成成分越来来越多样样化，出出于各种种目的的的网络入入侵和攻攻击越来来越频繁繁；另一一方面，网网络应用用越来越越深地渗渗透到金金融、商商务、国国防等等等关键要要害领域域。换言言之，IInteerneet网的的安全，包包括其上上的信息息数据安安全和网网络设备备服务的的运行安安全，日日益成为为与国家家、政府府、企业业、个人人的利益益休戚相相关的大事情情。 安全保保障能力力是新世世纪一个个国家综综合国力力、经济济竞争实实力和生生存能力力的重要要组成部部分。不不夸张地地说，它它在下个个世纪里里完全可可以与核核武器对对一个国国家的重重要性相相提并论论。这个个问题解解决不好好将全方方位地危危及我国国的政治治、军事事、经济济、文化化、社会会生活的的各个方方面，使使国家处处于信息息战和高高度经济济金融风风险的威威胁之中中。 去去年的印印尼排华华浪潮导导致中国国黑客对对印尼站站点的大大规模攻攻击，也也招致了了印尼黑黑客的报报复；科科索沃危危机引发发南黑客客对美国国军方站站点的报报复性攻攻击；今今年台独独势力的的猖獗引引发了大大陆黑客客对台湾湾官方站站点和台台独党派派站点的的攻击，海海峡两岸岸以及美美国各种种媒体沸沸沸扬扬扬，纷纷纷长篇累累犊地报报导。可可以说，网网络战争争已经在在另外一一个维度度上成为为政治治的延续续。 从网络络运行者者的角度度来看，三三月份，宁宁夏1669网主主页被修修改；四四月份，辽辽宁电信信网站被被入侵导导致停机机两次；六月份份，中国国商务网网（htttp:/）被被自称iinS的的黑客更更改主页页；七月月份以来来国内多多个网站站遭到台台湾黑客客报复性性攻击。这些攻攻击伤害害了网络络运行者者的信誉誉和形象象，同时时也使企企业蒙受受了经济济上的损损失。 美国政政府对网网络安全全的研究究起步很很早。119855年，美美国国防防部基于于军事计计算机系系统的保保密需要要，制订订了可可信计算算机系统统安全评评价准则则（TTCSEEC），随随后又制制订了关关于网络络系统、数据库库等方面面的系列列安全建建议，形形成了安安全信息息系统体体系结构构的最早早原则。美国政政府将网网络安全全产品当当作战略略武器，严严格限制制出口的的种类。并且，从从新闻报报导分析析来看，它它有意容容忍黑客客组织的的活动，目目的是使使黑客的的攻击置置于一定定的控制制之下，并并且通过过这一渠渠道获得得防范攻攻击的实实战经验验。 目目前我国国对计算算机网络络安全产产品的认认证研究究刚开始始起步，尚尚没有对对计算机机安全发发布权威威性的标标准方案案。新刑刑法中关关于计算算机网络络犯罪的的条款也也没有解解决法律律上的问问题。例例如，去去年上海海热线杨杨威入侵侵案的审审理过程程说明了了新刑法法在新兴兴的计算算机犯罪罪的定罪罪和量刑刑上的模模糊不清清。所以以，不管管在设计计网络安安全方案案时，还还是在确确认事故故、攻击击、入侵侵等级时时都显得得无所适适从。对对于企业业来说，尤尤其是大大的ISSP，等等待国家家去研究究发布相相应的标标准是不不恰当的的。应当当尽快组组织自己己的ITT部门或或购买其其它公司司的相应应服务来来确立自自己企业业网的安安全策略略，并且且下决心心去实施施，并且且定期地地检查实实际情况况与安全全策略的的差距。 应该该说，IInteerneet技术术是一把把双刃剑剑，它在在为我国国国民经经济建设设、人民民的物质质文化生生活带来来促进和和丰富的的同时，也也对传统统的国家家安全体体系提出出了严峻峻的挑战战，使得得国家机机密、金金融信息息等面临临巨大的的威胁。但是，正正确的态态度应该该是辨证证的态度度。一方方面不能能因噎废废食，拒拒绝先进进的网络络技术和和文化，但但另一方方面一定定要对网网络威胁胁给予充充分的重重视。曙曙光公司司总裁李李国杰院院士表示示：国家家标准是是一种主主权。中中国工程程院院士士沈昌祥祥说：构构筑信息息与网络络安全防防线事事关重大大、刻不不容缓。2. 网络的安安全威胁胁网络面临临的安全全威胁大大体可分分为两种种：一是是对网络络数据的的威胁； 二是是对网络络设备的的威胁。这些威威胁可能能来源于于各种各各样的因因素： 可能是是有意的的，也可可能是无无意的；可能是是来源于于企业外外部的， 也可能能是内部部人员造造成的；可能是是人为的的，也可可能是自自然力造造成的。 总结结起来，大大致有下下面几种种主要威威胁：(1) 非人为为、自然然力造成成的数据据丢失、设备失失效、线线路阻断断(2) 人为为但属于于操作人人员无意意的失误误造成的的数据丢丢失(33) 来来自外部部和内部部人员的的恶意攻攻击和入入侵前面面两种的的预防与与传统电电信网络络基本相相同，不不在本文文讨论范范围之内内。 最最后一种种是当前前Intternnet网网络所面面临的最最大威胁胁，是电电子商务务、政府府上网工工程 等等顺利发发展的最最大障碍碍，也是是企业网网络安全全策略最最需要解解决的问问题。22.1网网络攻击击的定义义对网络络安全管管理员来来说，可可能导致致一个网网络受到到破坏、网络服服务受到到影 响响的所有有行为都都应称为为攻击，也也可以说说攻击是是指谋取取超越目目标网络络安全策策 略所所限定的的服务（入入侵）或或者使目目标网络络服务受受到影响响甚至停停止（攻攻击） 的所有有行为。攻击行行为从攻攻击者开开始在接接触目标标机的那那个时刻刻起可以以说就 已经开开始了。2.22 攻击击的动机机招致网网络攻击击的原因因有方方方面面。国家机机密、商商业竞争争、对顾顾主单位位的不满满、对网网络安全全技术的的挑战、对企业业核心机机密的企企望、网网络接入入帐号、信用卡卡号等金金钱利益益的诱惑惑、利用用攻击网网络站点点而出名名、对网网络的好好奇心（这这方面主主要是孩孩子们）等等，当然然其它一一些原因因也都可可能引起起攻击者者的蓄意意攻击行行为。但但是从已已见报道道的网络络犯罪案案件来看看，多数数网络犯犯罪者都都很年轻轻，它们们表示原原来并不不知道这这样做是是犯罪。另外，目目前国内内多数网网络系统统管理人人员和工工程施工工人员对对网络安安全问题题重视不不够，意意识淡漠漠，建设设中或建建设后在在没有采采取足够够的安全全防护措措施的情情况下，将将网络接接入因特特网上，也也为计算算机犯罪罪打开了了方便之之门。使使得一些些青少年年利用从从网络上上学来的的简单入入侵手段段就能在在网络上上通行无无阻，在在满足自自己好奇奇心的同同时，触触犯了国国家法律律。 根根据美国国联邦调调查局119988年的统统计数据据，网络络攻击主主要包括括四种来来源，它它们分别别是国外外政府、竞争对对手、黑黑客和不不满的雇雇员。值值得注意意的是当当前出于于政治目目的和商商业竞争争目的的的网络攻攻击日益益增多。某集成成商的演演示系统统在开标标前夕突突然失去去服务，而而该系统统之前从从未出现现类似问问题。竞竞争对手手出于竞竞争目的的，为打打击对手手的商业业信誉可可能会发发动攻击击行为。从前言言的叙述述中，我我们也看看到了网网络攻击击和入侵侵对于获获取其它它目标国国家或机机构的机机密信息息是一种种非常重重要的手手段。3. 防火墙技技术古时候, 人们们常在寓寓所之间间砌起一一道砖墙墙, 一一旦火灾灾发生, 它能能够防止止火势蔓蔓延到别别的寓所所。自然然, 这这种墙因因此而得得名“防防火墙”。现在, 如果果一个网网络接到到了Innterrnett上面, 它的的用户就就可以访访问外部部世界并并与之通通信。但但同时, 外部部世界也也同样可可以访问问该网络络并与之之交互。为安全全起见,可以在在该网络络和Innterrnett之间插插入一个个中介系系统, 竖起一一道安全全屏障。这道屏屏障的作作用是阻阻断来自自外部通通过网络络对本网网络的威威胁和入入侵, 提供扼扼守本网网络的安安全和审审计的唯唯一关卡卡。这种种中介系系统也叫叫做“防防火墙”, 或“防防火墙系系统”。简言之, 一个个防火墙墙在一个个被认为为是安全全和可信信的内部部网络和和一个被被认为是是不那么么安全和和可信的的外部网网络(通通常是IInteerneet)之之间提供供一个封封锁工具具。在使使用防火火墙的决决定背后后, 潜潜藏着这这样的推推理: 假如没没有防火火墙, 一个网网络就暴暴露在不不那么安安全的IInteerneet诸协协议和设设施面前前, 面面临来自自Intternnet其其他主机机的探测测和攻击击的危险险。在一一个没有有防火墙墙的环境境里, 网络的的安全性性只能体体现为每每一个主主机的功功能, 在某种种意义上上, 所所有主机机必须通通力合作作, 才才能达到到较高程程度的安安全性。网络越越大, 这种较较高程度度的安全全性越难难管理。随着安安全性问问题上的的失误和和缺陷越越来越普普遍, 对网络络的入侵侵不仅来来自高超超的攻击击手段, 也有有可能来来自配置置上的低低级错误误或不合合适的口口令选择择。因此此, 防防火墙的的作用是是防止不不希望的的、未授授权的通通信进出出被保护护的网络络, 迫迫使单位位强化自自己的网网络安全全政策。实现防火火墙的技技术包括括两大类类型：包包过滤(PF)、应用用级防火火墙。它它们之间间各有所所长，具具体使用用哪一种种或是否否混合使使用，要要看具体体需要。1. 包过滤滤型防火火墙检查的的范围涉涉及网络络层、传传输层和和会话层层，过滤滤匹配的的原则可可以包括括源地址址、目的的地址、传输协协议、目目的端口口等。还还可以根根据TCCP序列列号、TTCP连连接的握握手序列列（如SSYN、ACKK）的逻逻辑分析析等进行行判断，较较为有效效地抵御御类似IIP SSpooofinng、SSyncc fllooddingg等类型型的攻击击。路由由器通过过配置其其中的访访问控制制列表可可以作为为包过滤滤防火墙墙使用，但但是过多多的控制制列表会会严重降降低路由由器的性性能。所所以在业业务量较较大的场场合需要要将路由由和包过过滤两种种功能分分开，也也就是说说有必要要单独购购买专门门防火墙墙。访问问控制表表（ACCL）定定义了各各种规则则来表明明是否同同意或拒拒绝包的的通过，表表一是典典型ACCL示例例。 包包过滤防防火墙检检查每一一条规则则直至发发现包中中的信息息与某规规则相符符。 如如果规则则都不符符合，则则缺省操操作为丢丢弃该包包。包过过滤型防防火墙 配置简简洁、速速度快、费用较较低，并并且对用用户透明明，但是是对应用用层的 信息无无法控制制，对内内网的保保护有限限。表一 访访问控制制列表（AACL）示示例源IP源端口目的IPP目的端口口协议动作记录备注1intrra_iipanyanyAnyudp/tcppDenyy防止外部部IP spooof2anyanyWww_ip80udp/tcppPermmit允许WWWW3anyanyMaill_ipp25TcpPermmitlog允许Maail服服务4anyanyDns_ip53UdpPermmit允许DNNS服务务5anyanyDns_ip53TcpPermmitlog允许DNNS转发发6anyanyanyAnyudp/tcppDenyy禁止其他他服务注: 在在上面配配置建议议中，各各个地址址含义如如下：WWWW服服务器地地址：wwww_ipMMAILL服务器器地址：maiil_iipDNNS服务务器地址址：dnns_iip外部部地址网网段：iinteer_iip内部部地址网网段：iintrra_iip2. 应应用级防防火墙 应用级防防火墙能能够检查查进出的的数据包包，透视视应用层层协议，与与既定的的安全策策略进行行比较。该类型型防火墙墙能够进进行更加加细化复复杂的安安全访问问控制，并并做精细细的注册册和稽核核。根据据是否允允许两侧侧通信主主机直接接建立链链路，又又可以分分为网关关和代理理两种。前者允允许两侧侧建立直直接连接接，而是是依靠某某种算法法来识别别进出的的应用层层数据，这这些算法法通过已已知合法法数据包包的模式式来比较较进出数数据包。而后者者通过特特定的代代理程序序在两侧侧主机间间复制传传递数据据，不允允许建立立直接连连接。每每一种应应用需要要相应的的代理软软件，使使用时防防火墙负负载较大大，效率率不如前前者。目目前在市市场上流流行的防防火墙大大多属于于应用级级防火墙墙。 3. 天天网防火火墙简介介天网防火火墙在总总体上采采用软硬硬件一体体化的结结构，通通过与硬硬件系统统的深层层结合，比比基于任任何传统统的软件件防火墙墙都更加加高效，安安全，而而且更加加实时化化。天网防火火墙系统统是一套套全面、创新、高安全全性、高高性能的的网络安安全系统统。它根根据系统统管理者者设定的的安全规规则（SSecuuritty RRulees）把把守企业业网络，提提供强大大的访问问控制、身份认认证、应应用选通通、网络络地址转转换（NNetwworkk Adddreess Traansllatiion）、信息过过滤、虚虚拟专网网（VPPN）、流量控控制、虚虚拟网桥桥等功能能。提供供完善的的安全性性设置，通通过高性性能的网网络核心心进行访访问控制制。它采采用了WWBM(Webb Baase Mannageemennt)管管理界面面，通过过直观、易用的的界面管管理强大大、复杂杂的系统统功能。系统采采用中国国化的设设计，不不单是界界面全中中文化，还还提供了了符合中中国国情情的全文文过滤系系统。系统具有有以下特特点：特点简要说明明1硬件集成成设计系统与硬硬件紧密密结合，发发挥硬件件最高效效能，提提高系统统自身安安全性。2高性能系系统核心心系统采用用专用的的网络操操作系统统SNOOS（SSkyNNet OS）系系统，防防火墙与与系统内内核融为为一体，加加上汇编编级的网网络底层层驱动，3完善的访访问控制制管理员可可以根据据系统提提供的完完善选项项，设定定对网络络地址段段、网络络地址与与网络端端口服务务访问控控制政策策。系统统还可以以支持针针对网络络物理(MACC)地址址绑定的的功能，令令到IPP地址不不会被盗盗用。4虚拟网桥桥设备系统支持持透明多多个网桥桥设备，系系统可以以将任意意的网络络端口加加入网桥桥设备中中，使防防火墙变变成一台台没有网网络地址址的网桥桥设备。5透明的代代理服务务当内部用用户需要要访问外外部资源源时，只只要经过过身份认认证，建建立在NNetwworkk Laayerr的Prroxyy就会建建立透明明的通道道。6双向地址址转换系统支持持动态、静态、双向的的NATT。7对等三网网络端口口系统提供供对等的的三个网网络端口口，让管管理员灵灵活应用用。如建建立DMMZ（DDemiilittariizeddZonne）、连接22个外部部物理网网段、连连接两个个内部物物理网段段等。8智能的内内容过滤滤系统可以以对选定定内容进进行智能能分析、过滤功功能。当当有符合合条件的的数据流流通本防防火墙，系系统可以以检查数数据内容容，条件件成立后后会根据据预先设设定的控控制逻辑辑处理该该数据流流，如拒拒绝进入入、纪录录备案等等，实现现内容控控制。9URL级级的统计计、屏蔽蔽系统提供精确到到具体页页面地址址的访问问统计与与数据拦拦截功能能。10统计计费费功能系统提供供的统计计接口，可可以对经经过防火火墙的访访问节点点地址进进行记录录，统计计分析得得出各节节点的访访问量，访访问次数数，访问问人数，计计费信息息。11VPN虚虚拟专网网系统提供供IP数数据隧道道功能，并并且在组组建VPPN时，可可以采用用多种加加密算法法（566Bitts DDES、1688Bitts 33DESS、MDD5、RRC4、SHAA1、IIDEAA）对数数据加密密。4. 网络整体体安全策策略的必必要尽管防火火墙已经经在Innterrnett业界得得到了广广泛的应应用, 关于防防火墙的的话题仍仍然十分分敏感。防火墙墙的拥护护者们把把防火墙墙看成是是一种重重要的新新型安全全措施, 因为为它把诸诸多安全全功能集集中到一一点上, 大大大简化了了安装、配置和和管理的的手续。许多公公司把防防火墙当当做自己己单位驻驻Intternnet的的大使馆馆, 当当做关于于其项目目、产品品、服务务等公共共信息的的仓库。从美国国生产厂厂家的观观点来看看, 防防火墙技技术是很很有意义义的, 因为它它不用加加密, 因而在在出口上上不受限限制。但但是, 目前提提供的大大多数防防火墙产产品确实实支持这这种或那那种的IIP层加加密功能能, 从从而在这这方面受受到美国国出口政政策的控控制。防防火墙的的另一个个特色是是它不限限于TCCP/IIP协议议, 从从而不只只适用于于Intternnet。确实, 类似的的技术完完全可以以用在任任何分组组交换网网络当中中, 例例如X.25或或ATMM都可以以。防火火墙的批批评者们们一般关关注的是是防火墙墙的使用用不便之之处, 例如: 需要要多次登登录及其其他不受受约束的的机制, 影响响Intternnet的的使用甚甚至影响响Intternnet的的生存。他们声声称: 防火墙墙给人制制造一种种虚假的的安全感感, 导导致在防防火墙内内部放松松安全警警惕。他们也注注意到, 许多多攻击是是内部犯犯罪, 这是任任何基于于隔离的的防范措措施都无无能为力力的。同同样, 防火墙墙也不能能解决进进入防火火墙的数数据带来来的所有有安全问问题。如如果用户户抓来一一个程序序在本地地运行, 那个个程序很很可能就就包含一一段恶意意的代码码, 或或泄露敏敏感信息息, 或或对之进进行破坏坏。随着着Javva、JJavaaScrriptt和Acctivve XX控件及及其相应应浏览器器的大量量持续推推广, 这一问问题变得得更加突突出和尖尖锐。防防火墙的的另一个个缺点是是很少有有防火墙墙制造商商推出简简便易用用的“监监狱看守守”型的的防火墙墙, 大大多数的的产品还还停留在在需要网网络管理理员手工工建立的的水平上上。当然然, 这这一方面面马上会会出现重重大的变变化。尽管存在在这些争争议, 防火墙墙的拥护护者和批批评者都都承认, 防火火墙不能能替代墙墙内的谨谨慎的安安全措施施。防火火墙在当当今Innterrnett世界中中的存在在是有生生命力的的。它是是一些对对高级别别的安全全性有迫迫切要求求的机构构出于实实用的原原因建造造起来的的, 因因此, 它不是是解决所所有网络络安全问问题的万万能药方方, 而而只是网网络安全全政策和和策略中中的一个个组成部部分。企业的安安全策略略是企业业在网络络安全工工作中的的法律。网络安安全工作作要有法法可依。如果说说网络安安全的目目标是一一座大厦厦的话，那那么相应应的安全全策略就就是施工工的蓝图图。它使使网络建建设和管管理过程程中的安安全工作作避免盲盲目性。但是，它它并没有有得到足足够的重重视。国国际调查查显示，目目前555%的企企业网没没有自己己的安全全策略。网络安安全策略略应该对对企业的的各种网网络服务务的安全全、档次次、地位位和用户户的权限限、分类类、安全全故障处处理、网网络拓扑扑结构、管理员员的职责责、入侵侵和攻击击的防御御和检测测、备份份和灾难难恢复计计划等内内容二. 认证与加加密1. 认证与加加密基本本知识介介绍信息加密密的目的的是保护护网内的的数据、文件、口令和和控制信信息，保保护网络络会话的的完整性性。网络加密密可以在在链路级级、网络络级、应应用级等等进行。信息加加密过程程是由形形形色色色的加密密算法来来具体实实施。据据不完全全统计，到到目前为为止，已已经公开开发表的的各种加加密算法法多达数数百种。如果按按照收发发双方密密钥是否否相同来来分类，可可以将这这些加密密算法分分为对称称（私钥钥）密码码算法和和不对称称（公钥钥）密码码算法。在对称密密码中，加加密和解解密使用用相同的的密钥，即即加密密密钥和解解密密钥钥是相同同或等价价的。比比较著名名的常规规密码算算法有：美国的的DESS及其各各种变形形、欧洲洲的IDDEA、RC44、RCC5以及及以代换换密码和和转轮密密码为代代表的古古典密码码等。 对称密密码的优优点是有有很强的的保密强强度，且且经受住住时间的的检验和和攻击，但但其密钥钥必须通通过安全全的途径径传送。因此，其其密钥管管理成为为系统安安全的重重要因素素。在不对称称密码中中，加密密和解密密使用的的密钥互互不相同同，而且且几乎不不可能从从加密密密钥推导导出解密密密钥。比较著著名的公公钥密码码算法有有：RSSA、DDifffe-HHelllmann等。最最有影响响的公钥钥密码算算法是RRSA，它它能抵抗抗到目前前为止已已知的所所有密码码攻击。 公钥钥密码的的优点是是可以适适应网络络的开放放性要求求，且密密钥管理理问题也也较为简简单，尤尤其可方方便的实实现数字字签名和和验证。但其算算法复杂杂。加密密数据的的速率较较低。尽管如此此，随着着现代电电子技术术和密码码技术的的发展，公公钥密码码算法将将是一种种很有前前途的网网络安全全加密体体制。现在流行行的PGGP和SSSL等等加密技技术将常常规密码码和公钥钥密码结结合在一一起使用用，利用用DESS或IDDEA来来加密信信息，而而采用RRSA来来传递会会话密钥钥。 加加密技术术是网络络安全最最有效的的技术之之一2. 认证与加加密的实实现方式式介绍2.1 网络络认证对网络用用户的用用户名和和口令进进行验证证是防止止非法访访问的第第一道防防线。用用户注册册时首先先输入用用户名和和口令，服服务器将将验证所所输入的的用户名名是否合合法。如如果验证证合法，才才继续验验证用户户输入的的口令，否否则，用用户将被被拒之网网络之外外。用户户的口令令是用户户入网的的关键所所在。为保证口口令的安安全性，用用户口令令不能显显示在显显示屏上上，用户户口令通通常是经经过加密密后存储储在主机机系统中中的，即即使是系系统管理理员也难难以破解解。但是是，非常常遗憾的的是传统统的因特特网上传传输的是是明文，包包括TEELNEET、FFTP、HTTTP、PPOP33等应用用，这样样网络窃窃听可以以非常容容易地得得到明文文的用户户口令。针对明明文网络络传输的的弱点，可可以采用用的加强强措施包包括：1. SSSH：加强TTELNNET，登登录时的的口令加加密后传传输。该该软件网网络上可可以免费费获得。2. SSLL：几乎乎可以和和大多数数应用配配合使用用。最典典型的应应用是加加强HTTTP。它使用用公钥与与私钥结结合的方方法，可可以抵御御重发（rrepllay）、人中介介（maan-iin-tthe-midddlee）、穷穷举分析析（pllainn-teext）等等攻击。关于三三种攻击击方法的的原理超超出了本本文的讨讨论范围围。该软软件网络络上也可可以免费费获得。但CAA证书的的申请一一般需要要交费。3. 一次性性用户口口令：如如S/KKEY系系统等。这样即即使明文文口令被被截获，但但由于下下次登录录时系统统将使用用新口令令，而使使攻击无无效。44. PPGP：通用的的公钥加加密工具具。可以以用来加加密电子子邮件、机密文文档等。安全性性的关键键在于私私钥本身身的安全全性。网网络上可可以免费费获得该该软件的的国际版版。5. 自动动回呼设设备：拨拨号服务务器设定定特定用用户对特特定电话话号码的的自动回回拨可以以防止假假冒的拨拨号用户户。多数数拨号服服务器支支持该功功能。22 数据传传输加密密（基于于IPSSEC的的加密技技术）l IPSeec认证证IPSeec认证证包头（AH）是一个用于提供IP数据报完整性和认证的机制。完整性保证数据报不被无意的或恶意的方式改变，而认证则验证数据的来源（主机、用户、网络等）。AH本身其实并不支持任何形式的加密，它不能保护通过Internet发送的数据的可信性。AH只是在加密的出口、进口或使用受到当地政府限制的情况下可以提高全球Intenret的安全性。当全部功能实现后，它将通过认证IP包并且减少基于IP欺骗的攻击机率来提供更好的安全服务。AH使用的包头放在标准的IPv4和IPv6包头和下一个高层协议帧（如TCP、UDP、I CMP等）之间。AH协议议通过在在整个IIP数据据报中实实施一个个消息文文摘计算算来提供供完整性性和认证证服务。一个消消息文摘摘就是一一个特定定的单向向数据函函数，它它能够创创建数据据报的唯唯一的数数字指纹纹。消息息文摘算算法的输输出结果果放到AAH包头头的认证证数据（Authentication_Data）区。消息文摘5算法（MD5）是一个单向数学函数。当应用到分组数据中时，它将整个数据分割成若干个128比特的信息分组。每个128比特为一组的信息是大分组数据的压缩或摘要的表示。当以这种方式使用时，MD5只提供数字的完整性服务。一个消息文摘在被发送之前和数据被接收到以后都可以根据一组数据计算出来。如果两次计算出来的文摘值是一样的，那么分组数据在传输过程中就没有被改变。这样就防止了无意或恶意的窜改。在使用HMACMD5认证过的数据交换中，发送者使用以前交换过的密钥来首次计算数据报的64比特分组的MD5文摘。从一系列的16比特中计算出来的文摘值被累加成一个值，然后放到AH包头的认证数据区，随后数据报被发送给接收者。接收者也必须知道密钥值，以便计算出正确的消息文摘并且将其与接收到的认证消息文摘进行适配。如果计算出的和接收到的文摘值相等，那么数据报在发送过程中就没有被改变，而且可以相信是由只知道秘密密钥的另一方发送的。l IPSeec加密密封包安全全协议（ESP）包头提供IP数据报的完整性和可信性服务ESP协议是设计以两种模式工作的：隧道（Tunneling）模式和传输（Transport）模式。两者的区别在于IP数据报的ESP负载部分的内容不同。在隧道模式中，整个IP数据报都在ESP负载中进行封装和加密。当这完成以后，真正的IP源地址和目的地址都可以被隐藏为Internet发送的普通数据。这种模式的一种典型用法就是在防火墙防火墙之间通过虚拟专用网的连接时进行的主机或拓扑隐藏。在传输模式中，只有更高层协议帧（TCP、UDP、ICMP等）被放到加密后的IP数据报的ESP负载部分。在这种模式中，源和目的IP地址以及所有的IP包头域都是不加密发送的。IPSeec要求求在所有有的ESSP实现现中使用用一个通通用的缺缺省算法法即DEESCBCC算法。美国数数据加密密标准（DES）是一个现在使用得非常普遍的加密算法。它最早是在由美国政府公布的，最初是用于商业应用。到现在所有DES专利的保护期都已经到期了，因此全球都有它的免费实现。IPSec ESP标准要求所有的ESP实现支持密码分组链方式（CBC）的DES作为缺省的算法。DESCBC通过对组成一个完整的IP数据包（隧道模式）或下一个更高的层协议帧（传输模式）的8比特数据分组中加入一个数据函数来工作。DESCBC用8比特一组的加密数据（密文）来代替8比特一组的未加密数据（明文）。一个随机的、8比特的初始化向量（IV）被用来加密第一个明文分组，以保证即使在明文信息开头相同时也能保证加密信息的随机性。DESCBC主要是使用一个由通信各方共享的相同的密钥。正因为如此，它被认为是一个对称的密码算法。接收方只有使用由发送者用来加密数据的密钥才能对加密数据进行解密。因此，DESCBC算法的有效性依赖于秘密密钥的安全，ESP使用的DESCBC的密钥长度是56比特。3. VPN技技术虚拟专网网是指在在公共网网络中建建立专用用网络，数数据通过过安全的的“管道”在公共共网络中中传播。使用VVPN有有节省成成本、提提供远程程访问、扩展性性强、便便于管理理和实现现全面控控制等好好处，是是目前和和今后网网络服务务的重点点项目。因此必必须充分分认识虚虚拟专网网的技术术特点，建建立完善善的服务务体系。1、 VPN工工作原理理目前建造造虚拟专专网的国国际标准准有IPPSECC（RFFC 118255-18829）和和L2TTP（草草案drraftt-ieetf-ppppextt-l22tp-10）。其中LL2TPP是虚拟拟专用拨拨号网络络协议，是是IETTF根据据各厂家家协议（包包括微软软公司的的PPTTP、CCiscco的LL2F）进进行起草草的，目目前尚处处于草案案阶段。IPSSEC是是一系列列基于IIP网络络（包括括Inttrannet、Exttrannet和和Intternnet）的的，由IIETFF正式定定制的开开放性IIP安全全标准，是是虚拟专专网的基基础，已已经相当当成熟可可靠。LL2TPP协议草草案中规规定它（L2TP标准）必须以IPSEC为安全基础（见draft-ietf-pppext-l2tp-security-01）。因此，阐述VPN的工作原理，主要是分析IPSEC的工作原理。IPSEEC提供供三种不不同的形形式来保保护通过过公有或或私有IIP网络络来传送送的私有有数据：l 认证作用是是可以确确定所接接受的数数据与所所发送的的数据是是一致的的，同时时可以确确定申请请发送者者在实际际上是真真实发送送者，而而不是伪伪装的。l 数据完整整作用用是保证证数据从从原发地地到目的的地的传传送过程程中没有有任何不不可检测测的数据据丢失与与改变。l 机密性作用用是使相相应的接接收者能能获取发发送的真真正内容容，而无无意获取取数据的的接收者者无法获获知数据据的真正正内容。在IPSSEC由由三个基基本要素素来提供供以上三三种保护护形式：认证协协议头（AAH）、安全加加载封装装（ESSP）和和互联网网密匙管管理协议议（IKKMP）。认证协协议头和和安全加加载封装装可以通通过分开开或组合合使用来来达到所所希望的的保护等等级。l 认证协议议头（AAH）是是在所有有数据包包头加入入一个密密码。正正如整个个名称所所示，AAH通过过一个只只有密匙匙持有人人才知道道的“数字签签名”来对用用户进行行认证。这个签签名是数数据包通通过特别别的算法法得出的的独特结结果；AAH还能能维持数数据的完完整性，因因为在传传输过程程中无论论多小的的变化被被加载，数数据包头头的数字字签名都都能把它它检测出出来。不不过由于于AH不不能加密密数据包包所加载载的内容容，因而而它不保保证任何何的机密密性。两两个最普普遍的AAH标准准是MDD5和SSHA-1，MMD5使使用最高高到1228位的的密匙，而而SHAA-1通通过最高高到1660位密密匙提供供更强的的保护。l 安全加载载封装（EESP）通通过对数数据包的的全部数数据和加加载内容容进行全全加密来来严格保保证传输输信息的的机密性性，这样样可以避避免其他他用户通通过监听听来打开开信息交交换的内内容，因因为只有有受信任任的用户户拥有密密匙打开开内容。ESPP也能提提供认证证和维持持数据的的完整性性。最主主要的EESP标标准是数数据加密密标准（DDES），DDES最最高支持持56位位的密匙匙，而33DESS使用三三套密匙匙加密，那那就相当当于使用用最高到到1688位的密密匙。由由于ESSP实际际上加密密所有的的数据，因因而它比比AH需需要更多多的处理理时间，从从而导致致性能下下降。l 密匙管理理包括密密匙确定定和密匙匙分发两两个方面面，最多多需要四四个密匙匙：AHH和ESSP各两两个发送送和接收收密匙。密匙本本身是一一个二进进制字符符串，通通常用十十六进制制表示，例例如，一一个566位的密密匙可以以表示为为5F339DAA7522E0CC25BB4。注注意全部部长度总总共是664位，包包括了88位的奇奇偶校验验。566位的密密匙（DDES）足足够满足足大多数数商业应应用了。密匙管管理包括括手工和和自动两两种方式式，手工工管理系系统在有有限的安安全需要要可以工工作得很很好，而而自动管管理系统统能满足足其他所所有的应应用要求求。 使用手手工管理理系统，密密匙由管管理站点点确定然然后分发发到所有有的远程程用户。真实的的密匙可可以用随随机数字字生成器器或简单单的任意意拼凑计计算出来来，每一一个密匙匙可以根根据集团团的安全全政策进进行修改改。使用自动动管理系系统，可可以动态态地确定定和分发发密匙，显显然和名名称一样样，是自自动的。自动管管理系统统具有一一个中央央控制点点，集中中的密匙匙管理者者可以令令自己更更加安全全，最大大限度的的发挥IIPSEEC的效效用。2、 IPSEEC的实实现方式式IPSEEC的一一个最基基本的优优点是它它可以在在共享网网络访问问设备，甚甚至是所所有的主主机和服服务器上上完全实实现，这这很大程程度避免免了升级级任何网网络相关关资源的的需要。在客户户端，IIPSEEC架构构允许使使用在远远程访问问介入路路由器或或基于纯纯软件方方式使用用普通MMODEEM的PPC机和和工作站站。而EESP通通过两种种模式在在应用上上提供更更多的弹弹性：传传送模式式和隧道道模式。IPSEEC PPackket 可以在在压缩原原始IPP地址和和数据的的隧道模模式使用用l 传送模式式通常当当ESPP在一台台主机（客客户机或或服务勤勤）上实实现时使使用，传传送模式式使用原原始明文文IP头头，并且且只加密密数据，包包括它的的TCPP和UDDP头。隧道模式式通常当当ESPP在关联联到多台台主机的的网络访访问介入入装置实实现时使使用，隧隧道模式式处理整整个IPP数据包包包括括全部TTCP/IP或或UDPP/IPP头和数数据，它它用自己己的地址址做为源源地址加加入到新新的IPP头。当当隧道模模式用在在用户终终端设置置时，它它可以提提供更多多的便利利来隐藏藏内部服服务器主主机和客客户机的的地址。4. 利用天网网防火墙墙架构VVPN建立虚拟拟企业专专网的工工作由专专门的网网络服务务器承担担，在VVPN中中 ，不不同企业业内部网网之间的的通讯通通过网络络服务器器间建立立的IPPSECC安全通通道进行行。由广广州市众众达讯通通技术有有限公司司自行开开发的天天网防火火墙系统统在构造造VPNN方面作作为专门门的VPPN网络络服务器器具有其其独特的的优点。它可以以建立基基于IPPSECC的真正正的虚拟拟专网，安安全性高高；不需需要改变变目前网网络结构构，只需需要增加加一台专专用VPPN服务务器即可可做到平平滑升级级；性价价比高，符符合经济济考虑；扩展能能力强，便便于日后后扩容；虚拟用用户可以以访问视视聆通、Intternnet，互互通性好好；用户户不需要要进行任任何额外外设置，方方便用户户。而IISP可可以使用用天网防防火墙系系统来架架构VPPN，建建立一个个安全可可靠的IIPSEEC安全全通道，来来进行各各种私有有数据的的传送。具体的的解决方方案举例例如下：天网防火火墙VPPN网关关工作逻逻辑示意意图（这里AA与A11、A22和A33为同一一虚拟专专用网组组，B与与B1为为同一虚虚拟专用用网组）源网络地地址目标网络络地址使用协议议密匙目标VPPN网关关A（100.1.x.xx）A1（110.22.x.x）ESP(40BBitss)KEY11G2A（100.1.x.xx）A2（110.33.x.x）ESP(1688Bitts)KEY22G2A（100.1.x.xx）A3（110.44.x.x）AH(无无加密)无G3:天网防火火墙VPPN网关关网络连连接地址址表示例例（VPPN网关关G1） 天网网防火墙墙系统的的VPNN服务体体系采用用IPSSEC安安全标准准，利用用天网虚虚拟专网网复用技技术，通通过网络络地址进进行标识识路由。所谓天天网虚拟拟专网复复用技术术，就是是指在一一个VPPN服务务体系中中建立起起许多组组互不干干扰、相相对独立立的虚拟拟专网。例如图图中VPPN用户户A通过过VPNN向VPPN用户户A1发发送信息息，具体体工作过过程是：VPNN用户AA通过DDDN、ATMM或X.25等等方式连连上天网网防火墙墙的VPPN网关关G1，由由VPNN网关GG1对VVPN用用户A的的数据包包进行判判断，如如果是发发送到公公众网络络的，直直接路由由到公众众网络上上；这里里是发送送到另一一端的VVPN用用户A11的，由由于VPPN网关关G1本本身具有有一个类类似于路路由表的的一一对对应的网网络地址址连接表表，根据据这个连连接表，它它可以获获知要把把VPNN用户AA的数据据包送到到到VPPN用户户A1目目标网络络地址，需需要路由由到VPPN网关关G2，它它就把VVPN用用户A的的数据包包以ESSP（440位加加密）进进行封装装加入密密匙KEEY1，从从而产生生一个IIPSEEC数据据包，然然后把这这个IPPSECC数据包包发送到到目标网网络地址址连接的的VPNN网关GG2，由由目标VVPN网网关G22对IPPSECC数据包包进行解解封解密密，并且且根据数数据包的的目标网网络地址址把数据据包发送送到相应应的目标标VPNN用户AA1。这这就像在在VPNN用户AA和VPPN用户户A1之之间建立立了一个个IPSSEC的的安全通通道，只只要是源源VPNN用户AA发送到到目标VVPN用用户A11的数据据包，都都能在这这个IPPSECC安全通通道内进进行传输输。而且且，由于于IPSSEC标标准是基基于TCCP/IIP协议议，在数数据碎块块重整、错误包包处理以以及断线线续传等等方面具具有很好好的处理理性能，因因而在数数据包的的长途传传输过程程能保证证数据的的完整性性。同时时，因为为天网防防火墙系系统的VVPN网网关通过过网络地地址来标标识和分分辨VPPN网络络用户，假假如它采采用100.x.x.xx网段，最最多可以以支持2256个个B类VVPN网网络用户户和6555355个C类类VPNN网络用用户的用用户量。使用天网网防火墙墙构架VVPN的的主要优优点：l 独创的虚虚拟专网网复用技技术，利利用此技技术，可可以在一一个大型型的VPPN服务务体系中中建立起起许多组组互不干干扰的、相对独独立的虚虚拟专网网。l 便于开展展业务，由由于采用用网络地地址来表表识VPPN用户户，可以以根据网网段的大大小对不不同网络络规模的的用户进进行收费费，同时时可以根根据不同同的加密密需要进进行收费费。使业业务的开开展更加加灵活。l 同时支持持拨入用用户使用用VPNN（即VVPDNN），利利用Raadiuus认证证区分用用户身份份，接入入对应的的虚拟专专网，充充分满足足用户的的不同需需要。（详详细技术术见“利用天天网防火火墙架构构的VPPDN方方案”）l VPN用用户可以以同时对对视聆通通和Innterrnett进行访访问。l 具有良好好的保密密性，安安全性高高。由于于VPNN是在整整个公有有网络基基础上建建立VPPN用户户的私有有网络，进进行私有有信息的的传输，用用户对数数据在传传输过程程中的安安全性、保密性性要求很很高，因因而需要要有非常常高级的的数据加加密技术术。天网网防火墙墙全面支支持IPPSECC，包括括支持440/556 BBitss DEES 、 1112/1186 Bitts 33DESS、Bloowfiish、IDEEA加密密算法，MD5、SHA1两种Hash算法，安全特性好。l 性能高容容量大。最多可可以建立立655535组组虚拟专专网，使使用400/566Bitts DDes中中级加密密算法时时可以支支持3227688条同步步VPNN连接，使使用1668 BBitss Trriplle DDES高高级加密密算法时时可以支支持10024条条同步VVPN连连接。由由于能够够支持大大量用户户，因此此大大降降低成本本。l 由于使用用了开放放式标准准，可以以与其他他厂家支支持IPPSECC标准的的产品连连接。天天网防火火墙还具具有自适适应功能能，如果果连接产产品的加加密程度度较低，它它可以相相应自动动降低加加密程度度，以便便更好地地进行协协同工作作。