网络安全-第八讲课件

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第八讲,Internet,的安全性和防火墙设计（,IPsec,）,引言,IP,安全机制（,IPsec,）,Ipsec,隧道及其他,防火墙和互联网的访问,一、引言,1、安全性的地位,在互联网中，安全性很重要，但实现也很困难。,2、形成互联网安全基础的基本技术,周边安全：允许某组织确定对外来者所,提供的服务和网络，以及外来者所能使用,的资源的范围。,加密处理其它大部分安全性事务。,3、信息安全性,指确保网络上的信息和服务不被未经授权的用户所使用。,4、信息安全的防护措施,数据的完整性和可用性,数据的保密性或机密性,授权和鉴别,避免重放,5、信息策略,策略：指定对每条信息允许谁访问它，每个人在,向其他人散布信息时所必须遵守的规则，,以及对违反规定的情况将如何处置。,不安全的互联网中，使用远程机器的,IP,地址进行,鉴别的授权计划不足以满足需要。,控制中间路由器的冒名顶替者通过冒充已被授权,的客户，可以获得访问权。,更高的鉴别要求对报文进行加密。,6、,Internet,安全机制,二、,IP,安全机制（,IPsec,）,1、,IPsec,-,一套提供,Internet,安全通信的协议。,2、,IPsec,的功能：,在,IP,层提供鉴别和保密服务。,提供安全算法以及常用结构的集合。,（其中，结构允许一对通信实体使用任,何一种算法为通信提供适当的安全保证。）,3、,IPsec,鉴别首部,鉴别首部,AH：,用来传送鉴别信息。,AH,与,IPv4,一起使用时的情况：,IPv4,首部 鉴别首部,TCP,首部,TCP,数据,4、安全联合（,SA）,因为安全方案的许多细节（如：算法使用的,密钥等）不能放入首部中。,为了节省首部中的空间，,Ipsec,安排每个接收者把有关安全方案的细节收集到被称为安全联合（,SA）,的摘要中。,每个,SA,都有一个数字，被称为安全参数索引。,接收方使用安全参数索引标识每个分组的,SA，,索引值不是全局的，需要用目的地址和安全参数索引一起指定,SA。,5、,Ipsec,封装安全有效载荷,ESP,ESP,比,AH,复杂得多。,Ipsec,使用,ESP,是为了处理保密性以及鉴别问题。,ESP,使用许多和鉴别首部中一样的条目，但重新,排列了它们的顺序。,IPv4,首部,ESP,首部,TCP,首部,TCP,数据,ESP,尾部,ESP,鉴别数据,鉴别部分,加密部分,三、,IPsec,隧道及其他,1、隧道版本中数据报的布局,下面给出鉴别和封装安全有效载荷的,IPsec,隧道模型的示意图：,外部,IP,首部 鉴别首部 内部,IP,数据（包括,IP,首部）,外部,IP,首部,ESP,首部 内部数据报（包括,IP,首部）,ESP,尾部,ESP,鉴别数据,加密部分,鉴别部分,2、安全套接字,SSL,套接字：是一个应用程序的接口,API：,是应用程序与,TCP/IP,协议之间的接口。,SSL,技术最初由,Netscape,公司开发。,SSL,和套接字,API,处于同一层。,SSL,协议允许每一端向另一端鉴别自己，,两端协商出都支持的加密算法。,SSL,允许两端都建立加密的连接。,四、防火墙和互联网的访问,1、控制互联网访问的机制所要处理的问题：,筛选特定的网络或机构。,防止并不期望的通信（如，外来者获取信息、改变信息等）。,2、互联网放火墙,是一种作为互联网访问控制基础的技术。它把互联网分为内部和外部。,3、最薄弱环节,有多个外部连接的组织必须在每个外部连接上安装防火墙，并协调它们。,若所有防火墙上的限制访问有不一致之处，则会使组织很危险。,4、防火墙的实现,从理论上讲，就是封锁组织内的计算机和组织外的计算机之间未授权的通信。,在实际应用中，则取决于网络技术、连接的容量、通信量负载以及组织的策略。,5、分组级的过滤器,它是路,由器提供的一种机制。,它要求管理员指明路由器应当如何处理每个分组。,当数据报到达时，路由器先将它传送给过滤器，若,过滤器拒绝，则路由器立即将此数据报丢弃。,有分组过滤器的路由器是防火墙的基本构件。,6、安全性与分组过滤器的规范,防火墙要限制除组织已明确决定可对外,开放的计算机、网络及服务以外的所有,IP,源站、,IP,目的站、协议及协议端口的访问。,过滤器要求管理员指定接收的数据报。,而不是阻拦的数据报。,7、客户受限访问的后果,后果：如果一个组织的放火墙限制所有传入,的数据报，那么，组织内的任何一个,应用程序就不能作为组织外部某个服,务器的客户。,在,需要用安全防火墙来防止对内部不期望的访问时，内部的用户需要一种能够提供访问外部服务的安全机制。,一个组织往往为每个防火墙安排一台安全计算机，在该计算机上安装一套应用程序网关，往往将该安全计算机称为堡垒主机。,堡垒主机提供了对外界服务的安全访问，但并不要求组织允许任意目的地的数据报通过。,8、通过防火墙的代理访问,9、防火墙实现细节,用,两个路由器和一个堡垒主机实现的防火墙：,R2,R1,H,堡垒主机,内部网,（内部）,全球,Internet,(,外部),连接全球,解释！,10、残段网络,残段,网络：是一段连接两个路由器和堡垒主机的,多余网络。,问题：这种残段网络是否必要？,答案：取决于希望从外界传入的通信量。,若相对于残段网络的容量而言，外部连接的速率比较慢，则分离的物理线路就没必要了。,对于要防止自己内部最终使用的网络免受服务中断的组织而言，残段网络往往是一种较便宜的途径。,11、监视与记录,是,防火墙设计中的最重要的方面之一。,监视可以是主动的，也可以是被动的。,主动监视：,防火墙会通知管理员是否发生了事件。,优点：速度快，管理员能立即发现潜在的问题。,缺点：经常产生大量信息，以致管理员不能理解它。,11、监视与记录,是,防火墙设计中的最重要的方面之一。,监视可以是主动的，也可以是被动的。,被动监视：,防火墙将每个事件记录在磁盘中的一个文件里，,还记录有正常的通信量信息以及被过滤的数据报。,管理员可以在任何时候阅读这些日志。,优点：对事件有记录。可以定期分析日志。,缺点：速度慢。,今天的课就到这里！,谢谢大家！,