第四章網(wǎng)絡安全技術-網(wǎng)絡安全模型計算機系統(tǒng)與網(wǎng)絡安全技術網(wǎng)絡安全模型模型及網(wǎng)絡安全模型模型是所研究系統(tǒng)、過程、事物或概念的一種表達形式。網(wǎng)絡安全模型是研究網(wǎng)絡安全防御技術、設計安全防御工具和構建安全防御系統(tǒng)的宏觀架構。網(wǎng)絡安全模型的內容技術：確保網(wǎng)絡安全需要研究和采用的方法。工具：確保網(wǎng)絡安全需要開發(fā)和使用的軟硬件工具。管理：確保網(wǎng)絡安全需要制定和實施的規(guī)章制度。PDR模型P2DR模型PDR2模型APPDRR模型PADIMEE模型網(wǎng)絡安全模型主要的網(wǎng)絡安全模型Protection(保護)Detection(檢測)Response(響應)指采取一切可能的措施來保護網(wǎng)絡、系統(tǒng)以及信息的安全了解和評估網(wǎng)絡和系統(tǒng)的安全狀態(tài)解決緊急響應和異常處理問題相應發(fā)生在檢測到安全漏洞時，或者檢測到危及網(wǎng)絡和系統(tǒng)安全的事件、行為以及過程時網(wǎng)絡安全模型

PDR模型主要包括入侵檢測、漏洞檢測以及網(wǎng)絡掃描等技術包括物理實體保護和信息保護包括加密、認證、訪問控制、防火墻、防病毒等Policy(安全策略)Protection(保護)Detection(檢測)Response(響應)核心網(wǎng)絡安全模型P2DR模型也稱自適應網(wǎng)絡安全模型ANSM(AdaptiveNetworkSecurityModel)安全策略為中心，保護、檢測和響應組成了一個完整、動態(tài)的安全循環(huán)?；謴晚憫獧z測保護失敗成功失敗攻擊成功成功失敗網(wǎng)絡安全模型PDRR安全模型網(wǎng)絡安全模型PDRR安全模型（續(xù)1）根據(jù)PDRR模型，可以用時間來衡量一個安全體系的安全性和安全能力。PDRR模型所提出的時間概念包括保護時間、檢測時間、響應時間和系統(tǒng)暴露時間。保護時間（Pt）

：系統(tǒng)處于安全保護狀態(tài)的時間系統(tǒng)暴露時間（Et）：系統(tǒng)處于不安全狀態(tài)的時間檢測時間（Dt）：檢測出正在發(fā)生攻擊所需要的時間響應時間（Rt）：對攻擊做出響應需要的時間Pt>Dt+Rt系統(tǒng)的保護時間應大于系統(tǒng)的檢測時間和響應時間之和Et=Dt+Rt,if

Pt=0假設保護時間為0，那么檢測時間與響應時間的和就是安全目標系統(tǒng)的暴露時間Et“及時的檢測和響應就是安全”，“及時的檢測和恢復就是安全”網(wǎng)絡安全模型PDRR安全模型（續(xù)2）根據(jù)PDRR模型對時間的定義和描述，可以用數(shù)學公式來表達各種安全概念。由風險評估(Assessment)安全策略(Policy)保護(Protection)檢測(Detection)響應(Reaction)恢復(Restoration)網(wǎng)絡安全模型APPDRR模型Policy(安全策略）Assessment(安全評估)Design(設計/方案)Implementation(實施/實現(xiàn))Management/Monitor(管理/監(jiān)控)EmergencyResponse(緊急響應)Education(安全教育)網(wǎng)絡安全模型PADIMEE模型結束謝謝！第四章網(wǎng)絡安全技術-網(wǎng)絡安全預警技術計算機系統(tǒng)與網(wǎng)絡安全技術網(wǎng)絡安全預警技術模型及網(wǎng)絡安全模型預警技術通過分析監(jiān)測到的數(shù)據(jù)預測和匯報未來的趨勢，從而提前監(jiān)控危險事故隱患并將由此可能引發(fā)的安全損失降到最低限度。從實現(xiàn)方法來看網(wǎng)絡安全預警技術通過監(jiān)控有敏感數(shù)據(jù)需要保護的網(wǎng)絡對分布于不同網(wǎng)段的探測器（如入侵檢測傳感器）所采集的信息數(shù)據(jù)進行有效、合理地分析發(fā)現(xiàn)潛在的安全威脅和入侵傾向預測潛在的攻擊目標或攻擊發(fā)展方向實時網(wǎng)絡數(shù)據(jù)流跟蹤網(wǎng)絡攻擊模式識別網(wǎng)絡安全違規(guī)活動捕獲對將要發(fā)生的或已發(fā)生的網(wǎng)絡攻擊進行預警對攻擊的下一步動作進行合理的推測網(wǎng)絡安全預警技術安全預警系統(tǒng)的主要功能總預警中心區(qū)域預警中心分布式IDS檢測代理分布式IDS檢測代理分布式IDS檢測代理分布式IDS檢測代理區(qū)域預警中心區(qū)域預警中心應急響應中心...............網(wǎng)絡安全預警技術安全預警系統(tǒng)的結構數(shù)據(jù)采集模塊預警數(shù)據(jù)結果處理模塊安全預警模型事件分析模塊數(shù)據(jù)提取模塊原始數(shù)據(jù)數(shù)據(jù)采集模塊數(shù)據(jù)采集模塊...網(wǎng)絡安全預警技術安全預警系統(tǒng)功能模塊結構網(wǎng)絡安全預警技術預警的處理過程（1）數(shù)據(jù)采集主要的預警原始數(shù)據(jù)包括：各種安全設備的監(jiān)測信息、操作記錄信息、日志信息、網(wǎng)絡中的審計和報警信息、以及流量變化情況或趨勢等信息。（2）數(shù)據(jù)提取數(shù)據(jù)提取模塊對數(shù)據(jù)采集模塊采集到的數(shù)據(jù)進行處理，如過濾、類型轉換、數(shù)據(jù)格式標準化等把處理過的統(tǒng)一的、標準的數(shù)據(jù)發(fā)送到事件分析模塊網(wǎng)絡安全預警技術預警的處理過程（續(xù)1）（3）事件分析事件分析模塊對數(shù)據(jù)提取模塊提取的標準數(shù)據(jù)進行必要的分類、深入的分析和挖掘得出標準的規(guī)則集并提交給安全預警模型模塊（4）安全預警安全預警模型模塊根據(jù)事件分析模塊的分析結果生成預測模型根據(jù)生成的預測模型檢測異常數(shù)據(jù)并生成異常事件處理異常數(shù)據(jù)得到一個預測后的數(shù)據(jù)序列網(wǎng)絡安全預警技術預警的處理過程（續(xù)2）（5）結果處理結果處理模塊把預測后的數(shù)據(jù)序列進行歸納總結，產生響應方案。生成的預警信息也可以通過短信、電子郵件等方式予以發(fā)布和通告?；谌肭质录念A警模型基于攻擊過程的預警模型基于流量監(jiān)控的預警模型常見網(wǎng)絡安全預警模型網(wǎng)絡安全預警技術網(wǎng)絡安全預警技術常見網(wǎng)絡安全預警模型（1）基于網(wǎng)絡入侵事件的預警模型假設入侵行為每一步對應一個安全事件將一次入侵行為的安全事件序列構造成一個有限自動機基于有限自動機模型實現(xiàn)對入侵事件序列的分析和對入侵行為的描述。基于網(wǎng)絡入侵事件的預警模型能夠檢測入侵行為并預測可能的入侵行為當入侵到達某一個狀態(tài)之后，通過檢測其相應的輸出狀態(tài)，基于網(wǎng)絡入侵事件的預警模型能夠實現(xiàn)對入侵行為的跟蹤以及對入侵行為的發(fā)展趨勢的預測。網(wǎng)絡安全預警技術常見網(wǎng)絡安全預警模型（2）基于攻擊過程的預警模型實時接收來自檢測設備的原始警報數(shù)據(jù)通過關聯(lián)分析形成入侵序列數(shù)據(jù)通過比較這些入侵序列和己知的入侵序列，推斷入侵序列中即將發(fā)生的下一個攻擊步驟或者攻擊事件可以借助于圖形化的方式，對攻擊過程進行直觀的顯示，從而有助于發(fā)現(xiàn)攻擊發(fā)展趨勢和動向網(wǎng)絡安全預警技術常見網(wǎng)絡安全預警模型（3）基于流量監(jiān)控的預警模型通過對網(wǎng)絡流量測量值和預測值分析，發(fā)現(xiàn)異常，發(fā)出報警信息此外，基于流量監(jiān)控的預警技術還可以對流量進行深度解析和分析，從而找到攻擊特征或發(fā)行攻擊行為。深度包檢測技術（DPI：DeepPacketInspection)）是基于流量監(jiān)控的預警技術的基礎。網(wǎng)絡安全預警技術常見網(wǎng)絡安全預警模型（4）宏觀網(wǎng)絡安全預警綜合來自不同系統(tǒng)、網(wǎng)絡和應用的信息從宏觀上建立互聯(lián)網(wǎng)安全的指標的體系、安全預警模型監(jiān)控整個網(wǎng)絡的安全態(tài)勢、用戶行為、輿情傳播、熱點分析等制定應急策略，提前做好各種安全威脅的響應預案通過建立宏觀網(wǎng)絡安全預警與應急響應系統(tǒng)，綜合分析網(wǎng)絡數(shù)據(jù)，評估當前網(wǎng)絡用戶的行為，預測用戶下一行為，在攻擊行為發(fā)生之前，主動地管控網(wǎng)絡結束謝謝！第四章網(wǎng)絡安全技術-威脅情報技術計算機系統(tǒng)與網(wǎng)絡安全技術威脅情報技術威脅情報的定義威脅情報（TI：ThreatIntelligence）是一種基于證據(jù)來描述威脅的知識信息，包括威脅上下文信息（Context）、威脅所使用的方法機制、威脅指標點（Indicators）、攻擊影響，以及應對行動建議。威脅上下文信息（Context）是威脅存在的物理環(huán)境、系統(tǒng)環(huán)境和網(wǎng)絡環(huán)境等信息。威脅指標點（Indicators）是準確描述威脅的特征參數(shù)。從威脅情報所包含的內容來看，主要有關威脅者的物理位置、所用工具、攻擊時間、惡意軟件所在網(wǎng)絡域、僵尸網(wǎng)絡信息以及其他信息。威脅情報技術威脅情報的類型從威脅情況的作用來看，主要包括戰(zhàn)略性威脅情報、操作性威脅情報、戰(zhàn)術性威脅情報和技術性威脅情報。戰(zhàn)略性威脅情報是從威脅的全貌及未來發(fā)展動態(tài)的知識信息，主要提供給高層戰(zhàn)略決策者使用。操作性威脅情報是針對特定攻擊的可付諸行動的知識信息。戰(zhàn)術性威脅情報是關于網(wǎng)絡攻擊戰(zhàn)術性的知識信息（如攻擊技巧、方法等）。技術性威脅情報是關于攻擊的技術細節(jié)的知識信息，包括攻擊的工具、命令、控制渠道、基礎架構等技術信息。威脅情報技術威脅情報的標準化標準化是解決不同系統(tǒng)之間交換信息的一種方法它主要解決語義、技術和策略的互操作性問題語義互操作性：數(shù)據(jù)通信的接收方按照發(fā)送方的預期來理解信息的能力。技術互操作性：不同系統(tǒng)之間通過被明確定義并被廣泛采用的接口標準來進行數(shù)據(jù)通信和數(shù)據(jù)交換的能力。策略互操作性：所有參與者之間關于數(shù)據(jù)傳輸、接收和確認的通用業(yè)務流程的能力。威脅情報技術威脅情報的標準化威脅情報的標準化：可機讀威脅情報（MRTI：MachineReadableThreatIntelligence）就是一種威脅情報的特殊格式，使其可以被計算機所處理，并可以在不同部門或系統(tǒng)間進行交換。威脅情報轉換為可機讀威脅情報是共享威脅情報的基礎和前提網(wǎng)絡可觀察表達式結構化威脅信息表達式可信自動交換指標信息常見的威脅情報標準威脅情報技術開放式威脅指標事件記錄和事故共享詞匯事件描述與交換格式可管理型安全事件輕量級交換聯(lián)合式情報框架國家漏洞數(shù)據(jù)庫紅綠燈協(xié)議網(wǎng)絡可觀察表達式威脅情報技術用XML形式化地描述網(wǎng)絡中可觀察對象的屬性和特性。可觀察對象是在一個可操作的網(wǎng)絡空間環(huán)境的實體（如UNIX系統(tǒng)的文件、Windows系統(tǒng)的注冊表等。CybOX主要通過CybOX_Core和CybOX_Common這兩個描述規(guī)則（Schemas）來提供其基礎結構和功能。CybOX_Core列出了目前CybOX所支持的可觀察對象CybOX_Common則描述了這些對象的結構及屬性CybOX：CyberObservableExpression網(wǎng)絡可觀察表達式（續(xù)）威脅情報技術<xs:elementname="Account"type="AccountObj:AccountObjectType"><xs:annotation><xs:documentation>TheAccountobjectisintendedtocharacterizegenericaccounts.</xs:documentation></xs:annotation></xs:element>對AccountObj:Account的XML描述示例結構化威脅信息表達式威脅情報技術STIX：StructuredThreatInformationExpression提供了基于XML的威脅情報的形式化描述，包括威脅情報的因素、活動、安全事故等詳細內容。支持采用CybOX等規(guī)范來描述具體的網(wǎng)絡實體可以對網(wǎng)絡威脅進行有效管理和威脅情報的標準化共享分析網(wǎng)絡威脅（analyzingcyberthreats）定義指標點模型（specifyingindicatorpatterns）管理響應行為（managingresponseactivities共享網(wǎng)絡威脅信息（sharingcyberthreatinformation）可信自動交換指標信息威脅情報技術TAXII：TrustedAutomatedExchangeofIndicatorInformation定義了用于威脅情報交換的協(xié)議和消息傳輸規(guī)范TAXII定義了以下規(guī)范：服務規(guī)范（ServicesSpecification）消息綁定規(guī)范（MessageBindingSpecifications）協(xié)議綁定規(guī)范（ProtocolBindingSpecifications）查詢格式規(guī)范（QueryFormatSpecification）內容綁定參照（ContentBindingReference）開放式威脅指標威脅情報技術OpenIOC：OpenIndicatorsofCompromise通過XML來描述已知威脅、攻擊者所采用方法或者威脅證據(jù)的標準。威脅指標點（IOC：IndicatorsofCompromise）就是用于描述入侵的詳細信息或者是一組可用檢測攻擊者的入侵及其他行為的特征信息事件描述與交換格式威脅情報技術IODEF：IncidentObjectDescriptionExchangeFormat是在計算機安全應急響應小組以及他們的合作者之間，交換可操作式和統(tǒng)計性安全事件的標準格式。IODEF由IETF擴展安全事件處理工作組（ExtendedIncidentHandlingWorkingGroup）提出，并作為IETF安全領域的標準。IODEF也兼容入侵檢測消息交換格式（IDMEF：IntrusionDetectionMessageExchangeFormat）?？晒芾硇桶踩录p量級交換威脅情報技術MILE：ManagedIncidentLightweightExchange是一個IETF的工作組，它開發(fā)用于支持計算機和網(wǎng)絡安全事件管理的標準。對于IODEF，MILE工作組主要是更具實際需求與經(jīng)驗，對其進行完善和擴展，并提供實施參考指導。實時網(wǎng)絡防御（RID：Real-timeInter-network），則是工作組重點工作。MILE工作組主要工作涉及兩個方面：IODEF和RID可管理型安全事件輕量級交換（續(xù)）威脅情報技術RID定義了一個協(xié)議，用于簡化計算機和網(wǎng)絡安全事件的共享。RID協(xié)議在RFC6545中定義，而利用HTTPS來傳輸RID（RIDoverHTTPS）則在RFC6546中定義。定義一個面向資源的方法（resource-orientedapproach），用來進行網(wǎng)絡安全信息共享。對實現(xiàn)和使用RID提供指導。根據(jù)需要，RID進行修改和完善，使其滿足其他標準的要求。RID的功能包括：聯(lián)合式情報框架威脅情報技術CIF：CollectiveIntelligenceFramework是一個威脅情報管理系統(tǒng)。最重要的威脅情報數(shù)據(jù)包括與惡意行為相關的IP地址、網(wǎng)絡域和URL等。由CSIRTGadgets基金會支持。CIF允許用戶將來自多個情報源的威脅情報進行整合和融合，并用于識別、檢測和清除安全攻擊。國家漏洞數(shù)據(jù)庫威脅情報技術NVD：NationalVulnerabilityDatabase是一組用SCAP（SecurityContentAutomationProtocol）來表示脆弱性數(shù)據(jù)的標準。NVD包括一個由安全脆弱性列表、與安全相關的軟件缺陷、錯誤配置、產品名稱和影響指標等構成的漏洞數(shù)據(jù)庫。事件記錄和事故共享詞匯威脅情報技術VERIS：VocabularyforEventRecordingandIncidentSharing定義了一個用于描述安全事件的詞匯表它由Verizon公司提出紅綠燈協(xié)議威脅情報技術TLP：TrafficLightProtocol提供了一組名稱，而不是一個數(shù)據(jù)格式TLP將可能被共享的情報分類，以控制共享范圍。它定義了四個層次的共享（對應四種顏色）：紅色：表示不能共享黃色：表示只能在產生的組織內共享綠色：表示可以在組織外部共享，但有范圍限制白色：表示可被廣泛共享常見的其他威脅情報標準威脅情報技術通用漏洞及披露（CVE：CommonVulnerabilitiesandExposures）是包含了公眾已知的信息安全漏洞的信息和披露的集合。通過用弱點列舉（CWE：CommonWeaknessEnumeration）是列舉軟件弱點和漏洞的標準。通用配置枚舉（CCE：CommonConfigurationEnumeration）是用于描述計算機及設備配置的標準化語言。通用平臺枚舉（CPE：CommonPlatformEnumeration）是一種對應用程序、操作系統(tǒng)以及硬件設備進行描述和標識的標準化方案。通用配置評分系統(tǒng)（CCSS：CommonConfigurationScoringSystem）描述系統(tǒng)配置缺陷的嚴重程度。常見的其他威脅情報標準（續(xù)1）威脅情報技術通用漏洞評分系統(tǒng)（CVSS：CommonVulnerabilityScoringSystem）用來評測漏洞的嚴重程度，并幫助確定其緊急度和重要度。開放檢查單交互語言（OCIL：OpenChecklistInteractiveLanguage）能夠用來處理安全檢查中需要人工交互反饋才能完成的檢查項。通用攻擊模式列舉與分類（CAPEC：CommonAttackPatternEnumerationandClassification）能夠用來對攻擊進行模式劃分和分類。惡意軟件特征列舉與描述（MAEC：MalwareAttributeEnumerationandCharacterization）基于惡意軟件屬性進行標準化的編碼和通信語言?？蓴U展配置列表與描述格式（XCCDF：TheExtensibleConfigurationChecklistDescriptionFormat）是一種用來定義安全檢查單、安全基線、以及其他類似文檔的一種描述語言。常見的其他威脅情報標準（續(xù)2）威脅情報技術開放漏洞評估語言（OVAL：OpenVulnerabilityandAssessmentLanguage）定義檢查項、脆弱點等技術細節(jié)的一種描述語言。通用公告交換格式（CAIF：CommonAnnouncementInterchangeFormat）是一種用于存儲和交換安全公告信息的XML格式。公共事件表達（CEE：CommonEventExpression）是一種描述、記錄和交換計算機事件的標準。評估結果格式ARF（AssetReportingFormat）是一個用于描述資產及資產之間交換數(shù)據(jù)交換格式的數(shù)據(jù)模型。國家信息交換模型（NIEM：NationalInformationExchangeModel）是美國計算機應急響應小組用于安全公告和事件報告的標準。常見的其他威脅情報標準（續(xù)3）威脅情報技術開放式Web應用程序安全項目（OWASP：OpenWebApplicationSecurityProject）是一個組織，它提供有關計算機和互聯(lián)網(wǎng)應用程序的公正、實際、有成本效益的信息。Web應用安全聯(lián)合威脅分類（WASC-TC：WebApplicationSecurityConsortiumThreatClassification）是一個評估Web應用程序安全性的開放標準，它從攻擊和弱點兩方面討論安全問題?；谕{情報的網(wǎng)絡安全預警威脅情報技術威脅情報不僅包括對安全威脅的描述，也包括攻擊的各方面，而且為應對攻擊而提出了應急響應與行動的建議?；谕{情報，可以預測大規(guī)模網(wǎng)絡攻擊事件，從而起到網(wǎng)絡安全預警的作用。例如，CybOX、STIX和TAXII是美國國土安全部所規(guī)定威脅情報交換標準。其中CybOX用來描述實體的信息，STIX用來描述具體的威脅，而TAXII則用來在不同組織間傳輸威脅情報基于威脅情報的網(wǎng)絡安全預警威脅情報技術基于威脅情報的網(wǎng)絡安全預警的步驟（1）情報采集（Collect）：通過技術和非技術手段，從各情報源（如開源的情報信息、漏洞庫、網(wǎng)絡爬蟲、社交信息、黑客組織、客戶反饋、自由產品反饋、網(wǎng)絡流數(shù)據(jù)等）全面收集數(shù)據(jù)。（2）關聯(lián)與分類（CorrelateandCategorize）：對來自不同數(shù)據(jù)源的情報進行整合和數(shù)據(jù)分析形成對安全有價值的威脅情報?；谕{情報的網(wǎng)絡安全預警威脅情報技術基于威脅情報的網(wǎng)絡安全預警的步驟（續(xù)）（3）行動（Action）：與現(xiàn)有安全防御系統(tǒng)和組件（如防火墻、審計系統(tǒng)）聯(lián)動，積極響應，預防攻擊的發(fā)生或減少攻擊帶來的危害，從而發(fā)揮威脅情報的價值。（4）共享（Share）：通過與合作伙伴或有關組織分享威脅情報，形成威脅情報共享的生態(tài)圈，進一步發(fā)揮威脅情報的價值。結束謝謝！第四章網(wǎng)絡安全技術-加密保護技術計算機系統(tǒng)與網(wǎng)絡安全技術加密技術文件保護技術內網(wǎng)監(jiān)管技術VPN技術

加密保護技術典型的網(wǎng)絡安全保護技術加密技術本質上是一種秘密變換技術，它是保障信息安全的最基本、最核心的技術，是所有通信安全的基石。對信息進行重新編碼，從而隱藏信息內容，防止秘密數(shù)據(jù)的泄漏。加密技術加密保護技術加密技術數(shù)據(jù)傳輸加密技術于對傳輸中的數(shù)據(jù)流進行加密，有鏈路加密、節(jié)點加密和端到端加密三種數(shù)據(jù)傳輸加密應用模式。數(shù)據(jù)存儲加密技術防止在存儲環(huán)節(jié)上的數(shù)據(jù)失密，可分為密文存儲和存取控制兩種應用方式數(shù)據(jù)完整性鑒別技術對信息內容的完整性以及介入信息傳送、存取、處理等環(huán)節(jié)的人的身份真實性進行驗證。加密技術的分類加密保護技術對稱加密算法數(shù)據(jù)加密標準（DES）和高級數(shù)據(jù)加密標準（AES）非對稱加密算法RSA和橢圓曲線加密算法（ECC）流密碼算法RC4典型的密碼算法哈希算法MD5，SHA-1簽名算法DSA加密保護技術加密算法的選擇不同的加密算法有其特性和應用環(huán)境對稱加密算法適合于對大數(shù)據(jù)量進行加密非對稱加密算法適合于對小數(shù)據(jù)進行加密流密碼算法一般用于無線通信加密加密保護技術密鑰的類型主要有根密鑰、主密鑰、密鑰加密密鑰和會話密鑰。根密鑰是密碼系統(tǒng)中最高層次的密鑰，極少數(shù)用來加密，主要用來作為生成其它密鑰的密鑰素材。主密鑰是用戶之間長期共享的秘密密鑰，它存儲在安全區(qū)域，并主要用來作為生成其它低級別密鑰的密鑰素材。密鑰加密密鑰是密鑰交換中用來加密其它密鑰的密鑰。會話密鑰是用來在用戶之間對數(shù)據(jù)進行加密的密鑰。在二級密鑰管理體制中，存儲在安全區(qū)域的一級密鑰既是主密鑰也是密鑰加密密鑰，用它對二級密鑰信息加密生成二級密鑰（也稱會話密鑰、工作密鑰），再用會話密鑰對數(shù)據(jù)加密。加密保護技術會話密鑰是用來直接加密通信數(shù)據(jù)的一次性密鑰。鏈路加密保護通信鏈路中所有節(jié)點之間的鏈路信息安全。節(jié)點加密保護明文不在節(jié)點中出現(xiàn)的加密技術。端到端加密用于向源節(jié)點到目的節(jié)點的數(shù)據(jù)提供端到端加密保護。數(shù)據(jù)傳輸加密的模式加密保護技術鏈路加密技術鏈路，就是網(wǎng)絡中兩個相鄰節(jié)點之間的通信信道。假如節(jié)點S到節(jié)點D之間需要經(jīng)過P1，P2，……，Pk個節(jié)點則從S到D的鏈路包含S→P1，P1→P2，P2→P3，……，Pk→D共k+1條鏈路鏈路加密（又稱在線加密）是傳輸數(shù)據(jù)僅在物理層前的數(shù)據(jù)鏈路層進行加密。加密保護技術信息在每個節(jié)點都要被解密和再加密依次進行，直至到達目的地鏈路加密技術（續(xù)1）鏈路加密的優(yōu)點可以提供不安全信道上的安全傳輸服務可以隱藏通信的信源和信宿加密保護技術可以抵御業(yè)務流分析攻擊鏈路加密技術（續(xù)2）鏈路加密的缺點只適合于專用信道，每個節(jié)點均必須配置密碼裝置，因此成本高，實用性差需要在專用鏈路上進行同步，因此會帶來額外的網(wǎng)絡開銷加密保護技術消息在鏈路節(jié)點以明文行形式存在，必須依賴網(wǎng)絡中每個節(jié)點的可信性密鑰管理復雜節(jié)點加密技術節(jié)點，就是網(wǎng)絡中的通信主機節(jié)點加密方是在節(jié)點處采用一個與節(jié)點相連的被保護密碼裝置，密文在該裝置中被解密并用另外一個不同的密鑰被重新加密。加密保護技術節(jié)點加密的目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供保護。在通信鏈路上為傳輸?shù)南⑻峁┍Ｃ苄?；都在中間節(jié)點先對消息進行解密，然后進行加密。節(jié)點的解密和再加密是在同一個密碼裝置中完成，因此在節(jié)點上不會出現(xiàn)明文。節(jié)點加密技術（續(xù)1）節(jié)點加密的優(yōu)點提供不安全信道上的安全傳輸服務避免了中間節(jié)點易受攻擊的問題，安全性較高加密保護技術不需要每個節(jié)點均配備密碼裝置，因此成本相對較低節(jié)點加密技術（續(xù)2）節(jié)點的缺點存在業(yè)務流分析安全威脅：要求報頭和路由信息以明文形式傳輸需要中間交換節(jié)點配備密碼裝置加密保護技術端到端加密技術端節(jié)點是指網(wǎng)絡系統(tǒng)中發(fā)送數(shù)據(jù)和接收數(shù)據(jù)的節(jié)點加密保護技術發(fā)送數(shù)據(jù)的端節(jié)點稱之為源端節(jié)點接收數(shù)據(jù)的端節(jié)點稱之為目的端節(jié)點數(shù)據(jù)在發(fā)送端被加密，在最終目的地（接收端）解密，鏈路及中間節(jié)點處不以明文的形式出現(xiàn)。除報頭外的的報文均以密文的形式貫穿于全部傳輸過程，而路由信息則是明文傳送的端到端加密是為數(shù)據(jù)從源端節(jié)點傳送到目的端節(jié)點提供的加密方式。端到端加密技術（續(xù)1）端到端加密的優(yōu)點加密保護技術實現(xiàn)成本低，更容易設計、實現(xiàn)和維護，實用性強避免了鏈路加密模式和節(jié)點加密模式的同步問題端到端加密技術（續(xù)2）端到端加密的缺點加密保護技術端到端加密存在竊聽安全威脅：端到端加密只能加密報文，而不能對報頭加密端到端加密無法抵御業(yè)務流分析攻擊：分析端到端加密系統(tǒng)中密文量、密文長度、發(fā)送頻率加密技術的比較從機密性來看加密保護技術鏈路加密對用戶來說比較容易，但需要依賴所有用戶的可信和安全，因此存在一定的泄露風險節(jié)點加密和端到端加密不需要所有節(jié)點均可信，因此安全性較高加密技術的比較（續(xù)1）加密保護技術從使用的密鑰數(shù)量來看鏈路加密：密鑰的數(shù)目最多n(n-1）/2個（n是節(jié)點數(shù)）端到端加密：共需密鑰n(n-1）/2個，其中每個用戶需（n-1）節(jié)點加密：密鑰使用量介于鏈路加密和端到端加密之間加密技術的比較（續(xù)2）加密保護技術從身份認證的角度看鏈路加密和節(jié)點加密只能認證節(jié)點，而不是用戶即使用某個密鑰對報文進行加密，也僅能保證它來自節(jié)點而不能確認來自哪個用戶端到端加密是針對具體的用戶，可以進行用戶認證為保證數(shù)據(jù)在計算機上存儲時受到機密性、完整性和真實性的保護,防止數(shù)據(jù)的非授權訪問以及信息泄露,采用的有效的防護技術和手段。文件保護技術加密保護技術文件加密技術結束謝謝！第四章網(wǎng)絡安全技術-VPN技術計算機系統(tǒng)與網(wǎng)絡安全技術網(wǎng)絡接入與安全用戶需要通過服務器提供商（ISP：InternetServiceProvider）所提供的公用網(wǎng)絡來建立連接對于公用的網(wǎng)絡信道來說，它無法抵御竊聽、欺騙等攻擊是不安全的信道VPN技術虛擬專用網(wǎng)絡虛擬專用網(wǎng)絡，也叫虛擬專網(wǎng)（VPN：irtualPrivateNetwork），是在不安全的公共網(wǎng)絡上建立一條虛擬的安全專用信道，從而允許用戶在不安全網(wǎng)絡上進行安全通信的一種網(wǎng)絡接入技術。任意兩個節(jié)點之間的連接并不像傳統(tǒng)專網(wǎng)那樣獨享端到端的物理鏈路，而是通過對公共通信基礎設施的通信介質進行某種安全保護割是虛擬的網(wǎng)VPN技術專用網(wǎng)絡虛擬專用網(wǎng)絡的特點（1）安全性好由于VPN能建立安全的虛擬專用數(shù)據(jù)通道，保證了通信的安全性，因此借助于VPN能夠實現(xiàn)用戶之間的安全通信。VPN技術（2）成本低VPN不需要在節(jié)點之間建立專用的物理連路，而是利用公共網(wǎng)絡基礎設施來組建網(wǎng)絡，因此大大降低了網(wǎng)絡維護和設備費用，節(jié)約了成本。（3）使用方便覆蓋地域廣泛，其接入點也是無處不在。虛擬專用網(wǎng)絡的特點（4）可擴展性強VPN可以非常方便地增加或減少用戶。VPN技術（5）便于管理VPN不需要關心公共網(wǎng)絡的各種安全威脅，只需要解決利用VPN所建立的企業(yè)內部網(wǎng)絡的安全問題即可，因此減少了管理復雜性。虛擬專用網(wǎng)絡中的隧道技術隧道技術（Tunneling）是一種通過使用互聯(lián)網(wǎng)絡的基礎設施在網(wǎng)絡之間傳遞數(shù)據(jù)的方式。隧道將將其它協(xié)議的數(shù)據(jù)重新封裝然后通過隧道發(fā)送。VPN技術隧道協(xié)議（TunnelingProtocol）也叫封裝協(xié)議，是指將一種協(xié)議的數(shù)據(jù)單元封裝在另一種協(xié)議數(shù)據(jù)單元中傳輸?shù)膮f(xié)議。隧道協(xié)議不是單只某個協(xié)議，而是指用于實現(xiàn)隧道的一組協(xié)議新的數(shù)據(jù)包中，新的包頭提供路由信息。除非特別說明，隧道協(xié)議就是封裝協(xié)議虛擬專用網(wǎng)絡中的隧道技術隧道技術是實現(xiàn)VPN的基本技術，其實質上是一種封裝將一種協(xié)議（如協(xié)議X）封裝在另一種協(xié)議（如協(xié)議Y）中傳輸VPN技術隧道協(xié)議（TunnelingProtocol）的構成乘客協(xié)議：被封裝的協(xié)議，如PPP、SLIP、IP、TC、HTTP協(xié)議實現(xiàn)協(xié)議X對公共網(wǎng)絡的透明傳輸封裝協(xié)議：也叫隧道協(xié)議，隧道的建立、維持和斷開所采用的協(xié)議，如L2TP、IPSec、SSL等承載協(xié)議：承載經(jīng)過封裝后的數(shù)據(jù)包的協(xié)議，如IP協(xié)議、PPP協(xié)議等。隧道協(xié)議舉例將TCP數(shù)據(jù)包封裝到HTTP協(xié)議中，并利用UDP協(xié)議進行傳輸TCP協(xié)議就是乘客協(xié)議VPN技術HTTP協(xié)議就是封裝協(xié)議UDP協(xié)議就是承載協(xié)議按應用平臺軟件平臺專用硬件平臺輔助硬件平臺按協(xié)議PPTPL2TPIPSec按部署模式端到端模式供應商到用戶模式內部供應商模式按服務類型AccessVPNIntranetVPNExtranetVPN按所用設備的類型路由器式VPN交換機式VPN防火墻式VPNVPN分類第二層VPN協(xié)議：第二層轉發(fā)協(xié)議（L2F）、第二層隧道協(xié)議（L2TP）、點到點隧道協(xié)議（PPTP）

第三層協(xié)議：GRE協(xié)議、IPSec協(xié)議第四層隧道協(xié)議：SSL/TLS協(xié)議

VPN技術主要VPN協(xié)議第二層轉發(fā)協(xié)議L2F：Layer2Forwarding雖然依然使用PPP協(xié)議來傳輸數(shù)據(jù)VPN技術但是網(wǎng)絡的鏈路層完全獨立于用戶的鏈路層協(xié)議鏈路層的端點與用戶的會話端點在不同的主機上。是通過PPP協(xié)議將用戶鏈路層的協(xié)議（如PPP）數(shù)據(jù)包封裝起來進行傳送的協(xié)議。在L2F協(xié)議的VPN中，乘客協(xié)議是PPP等協(xié)議，封裝協(xié)議是時L2F，而承載協(xié)議是PPP協(xié)議。PPP協(xié)議概述點對點協(xié)議（PPP：PointtoPointProtocol）是為在點對點連接上傳輸多協(xié)議數(shù)據(jù)包的一個數(shù)據(jù)鏈路層協(xié)議。具有動態(tài)分配IP地址的能力，允許在連接時刻協(xié)商IP地址VPN技術支持多種網(wǎng)絡協(xié)議，比如TCP/IP、NetBEUI、NWLINK等其主要功能包括具有錯誤檢測以及糾錯能力，支持數(shù)據(jù)壓縮具有身份驗證功能可以用于多種類型的物理介質上，包括串口線、電話線、移動電話和光纖（例如SDH）、以太網(wǎng)接口等PPP協(xié)議概述（續(xù)）VPN技術字段名幀頭F地址A控制C協(xié)議P載荷幀校驗FCS幀尾F字段值7EFF03協(xié)議信息校驗值7E字節(jié)長度1112<=150021F：PPP采用7EH作為一幀的開始和結束標志A：地址字段（A）取固定值FFHC：控制字段（C）取固定值03HP：協(xié)議字段（P）取0021H表示IP分組FCS：幀校驗字段（FCS）也為兩個字節(jié)L2F協(xié)議的消息格式VPN技術 0123 01234567890123456789012345678901+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|F|K|P|S|0|0|0|0|0|0|0|0|C|Ver|Protocol|Sequence(opt)|\+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+\|MultiplexID|ClientID||+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|L2F|Length|Offset(opt)||Header+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+||Key(opt)|/+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+/+(payload)|+.....|+(payload)|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|L2FChecksum(optional)|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+基于L2F的VPN建立過程第一步：向撥號服務器發(fā)送建立PPP連接請求。遠程用戶在本地局域網(wǎng)（HomeLAN）通過自己的家庭網(wǎng)關（HGW：HomeGateway）通過PPP撥號連接至服務提供商的撥號服務器（也叫網(wǎng)絡服務器，NAS：NetworkAccessServer）建立初始的PPP連接，用來傳送L2F包。VPN技術基于L2F的VPN建立過程第二步：網(wǎng)絡服務器向家庭網(wǎng)關發(fā)送一個L2F管理包（L2F_CONF）各字段可能值為Proto=L2F、Seq=0,MID=0、CLID=0、Key=0。包的載荷包括網(wǎng)絡服務器的名字（NAS_name）、挑戰(zhàn)隨機數(shù)（ChallengeRnd）和一個隨機分配的客戶標示（Assigned_CLIDCLID1）VPN技術基于L2F的VPN建立過程第二步：網(wǎng)絡服務器向家庭網(wǎng)關發(fā)送一個L2F管理包（L2F_CONF）各字段可能值為Proto=L2F、Seq=0,MID=0、CLID=0、Key=0。包的載荷包括網(wǎng)絡服務器的名字（NAS_name）、挑戰(zhàn)隨機數(shù)（ChallengeRnd）和一個隨機分配的客戶標示（Assigned_CLIDCLID1）VPN技術基于L2F的VPN建立過程第三步：家庭網(wǎng)關向網(wǎng)絡服務器返回一個L2F管理包（L2F_CONF）各字段可能值為Proto=L2F、Seq=0,MID=0、CLID=CLID1、Key=0。包的載荷包括家庭網(wǎng)關的名字（GW_name）、挑戰(zhàn)隨機數(shù)（ChallengeRnd2）和一個網(wǎng)關自己分配的的客戶標示（Assigned_CLIDCLID2）。VPN技術基于L2F的VPN建立過程第四步：網(wǎng)絡服務器向家庭網(wǎng)關發(fā)送一個L2F管理包（L2F_OPEN）各字段可能值為Proto=L2F,Seq=1,MID=0,CLID=CLID2,Key=MD5(Rnd2)。Key的值是用MD5哈希算法對Rnd2進行運算所得到的128位值MD5(Rnd2)。MD5(Rnd2)也包含在載荷部分的“response"字段中。VPN技術基于L2F的VPN建立過程第五步：家庭網(wǎng)關向網(wǎng)絡服務器返回一個L2F管理包（L2F_OPEN）各字段可能值為Proto=L2F、Seq=1、MID=0、CLID=CLID1、Key=C(Rnd1)。Key的值是128位值MD5(Rnd1)。MD5(Rnd1)也包含在載荷部分的“response"字段中VPN技術基于L2F的VPN建立過程第六步：在已經(jīng)建立的L2F隧道上進行CHAP或者PAP認證，并最終建立L2F安全隧道。VPN技術第二層隧道協(xié)議（L2TP）L2TP：LayerTwoTunnelingProtocolVPN技術是將PPP協(xié)議數(shù)據(jù)包封裝起來進行傳送的協(xié)議。用戶向本地的L2TP接入集中器（LAC：AccessConcentrator）發(fā)起網(wǎng)絡連接（如PPP連接或以太網(wǎng)連接）由LAC將用戶的數(shù)據(jù)封裝為L2TP在不同網(wǎng)絡媒介（如IP網(wǎng)絡、幀中繼網(wǎng)絡等)以隧道方式傳輸?shù)絃2TP網(wǎng)絡服務器（LNS：L2TPNetworkServer）在L2TP協(xié)議中，乘客協(xié)議是PPP協(xié)議，封裝協(xié)議是L2TP協(xié)議，而承載協(xié)議是PPP協(xié)議。第二層隧道協(xié)議（L2TP）L2TP接入集中器VPN技術用戶向本地的L2TP接入集中器（LAC：AccessConcentrator）發(fā)起網(wǎng)絡連接（如PPP連接或以太網(wǎng)連接）L2TP接入集中器（LAC：LayerTwoAccessConcentrator）是L2TP隧道中面向用戶的一個端點，位于用戶和L2TP網(wǎng)絡服務器之間，向用戶或者網(wǎng)絡服務器轉發(fā)數(shù)據(jù)。L2TP接入集中器與L2TP網(wǎng)絡服務器之間是L2TP隧道連接L2TP接入集中器與遠程用戶之間可以本地局域網(wǎng)連接，也可以是PPP連接。LAC就是服務提供商提供VPN服務的接入設備，從物理實現(xiàn)來看，它就是L2TP服務的防火墻、路由器或者專用VPN服務器。第二層隧道協(xié)議（L2TP）L2TP網(wǎng)絡服務器VPN技術L2TP網(wǎng)絡服務器（LNS：L2TPNetworkServer）是L2TP隧道的另外一個端點與L2TP接入集中器連接，同時也是L2TP隧道邏輯上的終點。LNS就是位于企業(yè)側的VPN服務器，該服務器完成對用戶的認證和授權，接收來自LAC的L2TP的隧道和連接請求，并建立遠程用戶與LNS之間的PPP通道。第二層隧道協(xié)議（L2TP）VPN技術

012301234567890123456789012345678901+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|T|L|x|x|S|x|O|P|x|x|x|x|Ver|Length(opt)|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|TunnelID|SessionID|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Ns(opt)|Nr(opt)|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|OffsetSize(opt)|Offsetpad...(opt)+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+基于L2TP的VPN建立過程利用L2TP來建立PPP隧道需要經(jīng)過兩個階段為隧道建立控制連接（ControlConnection）VPN技術同一個隧道可以有多各連接，而用戶和服務器之間之間可以建立多個隧道根據(jù)用戶請求建立會話（Session）由于L2TP本身沒有提供安全保護功能，因此一般將L2TP數(shù)據(jù)包封裝為IPSec數(shù)據(jù)包來傳輸基于L2TP的VPN建立過程第一步：初始化PPP連接如果用戶已經(jīng)連接到了互聯(lián)網(wǎng)，則與本地的LAC建立一條虛擬的PPP連接如果沒有接入網(wǎng)絡，則需要通過撥號等形式建立與LAC的網(wǎng)絡連接VPN技術第二步：建立L2TP控制連接PAC使用UDP協(xié)議連接PNS的L2TP服務端口（默認為1701）通過交換L2TP消息完成隧道的建立基于L2TP的VPN建立過程第三步：通過隧道傳輸數(shù)據(jù)PAC和PNS使用L2TP協(xié)議來封裝PPP數(shù)據(jù)，即初始數(shù)據(jù)添加PPP頭形成PPP幀PPP幀再添加L2TP頭、UDP頭形成UDP報文UDP報文進行加密、完整性保護后添加IPSec頭和尾，形成IP報文IP報文添加相應的數(shù)據(jù)鏈路層幀頭和幀尾（如以太網(wǎng)幀頭和幀尾）后通過物理網(wǎng)絡發(fā)送到對方VPN技術基于L2TP的VPN建立過程第四步：對方接收L2TP報文并處理去掉幀頭和幀尾得到IP報文去掉IP頭并進行IPSec解密和校驗去掉UDP頭和L2TP頭得到PPP幀去掉PPP幀得到有效載荷對有效載荷進行傳輸或轉發(fā)（例如封裝為以太網(wǎng)幀發(fā)送給目的接收方）VPN技術點到點隧道協(xié)議（PPTP）PPTP：PointtoPointTunnelingProtocolVPN技術是將PPP協(xié)議數(shù)據(jù)包封裝為IP數(shù)據(jù)包進而在互聯(lián)網(wǎng)上傳輸?shù)膮f(xié)議。PPTP沒有對PPP協(xié)議進行任何修改提出了一種在IP網(wǎng)絡上傳輸PPP協(xié)議數(shù)據(jù)的新方法在PPTP協(xié)議中，乘客協(xié)議可以是PPP等協(xié)議，封裝協(xié)議是GRE協(xié)議，而承載協(xié)議是UDP協(xié)議。PPTP使用GRE的擴展版本來傳輸PPP數(shù)據(jù)包點到點隧道協(xié)議（PPTP）PPTP采用客戶/服務器模型，將傳統(tǒng)服務器的功能劃分為PPP接入集中器和網(wǎng)絡服務器兩個部分VPN技術PPP接入集中器PPP接入集中器（PAC：PPTPAccessConcentrator）負責與撥號用戶之間的鏈路和協(xié)議管理。不僅可以用來在PNS和PAC之間傳輸數(shù)據(jù)包，而且也用于呼叫控制和呼叫管理點到點隧道協(xié)議（PPTP）PPTP網(wǎng)絡服務器VPN技術PPTP網(wǎng)絡服務器（PNS：PPTPNetworkServer）負責管理網(wǎng)絡傳輸介質作為PPP邏輯終點以及部分用戶認證工作點到點隧道協(xié)議（PPTP）PPTP協(xié)議只在PNS和PAC上實現(xiàn)，對于其他系統(tǒng)完全透明VPN技術PPTP的網(wǎng)絡服務器PNS是運行于一個通用的操作系統(tǒng)上，在公司私有網(wǎng)內客戶端及PPTP的訪問集中器PAC可以運行在一個支持撥號訪問的平臺上遠程用戶使用本地撥號網(wǎng)絡與PAC建立一條PPP連接，PAC使用一條隧道將PPP數(shù)據(jù)包傳送給PNS點到點隧道協(xié)議（PPTP）在PPTP協(xié)議中，控制連接（ControlConnection）和IP隧道（IPtunnel）同時存在VPN技術控制連接位于PAC和PNS之間，并采用TCP協(xié)議傳輸數(shù)據(jù)IP隧道位于同一組PAC和PNS之間，但用于傳輸采用GRE協(xié)議來封裝的PPP數(shù)據(jù)包雖然邏輯上控制連接與PPTP隧道有關，但它們是完全分離的。對于一對PNS和PAC，控制連接和隧道同時存在?；赑PTP的VPN建立過程第一步：建立IP網(wǎng)絡連接PPTP協(xié)議采用客戶/服務器模型假定PAC和PNS之間已經(jīng)有IP網(wǎng)絡連接如果PAC尚未接入IP網(wǎng)絡，則遠程用戶需要通過撥打網(wǎng)絡訪問服務器先建立與PAC之間IP網(wǎng)絡連接VPN技術第二步：建立PPTP控制連接PAC使用TCP協(xié)議連接PNS的PPTP服務端口（默認為1723）通過交換PPTP消息完成隧道的建立?；赑PTP的VPN建立過程第三步：控制連接的維護與釋放PAC和PNS之間每60秒通過發(fā)送PPTPEchoRequest和PPTEchoReply消息來維護控制連接信息當控制連接釋放后，PPP連接、PPTP協(xié)議連接和TCP連接均釋放VPN技術第四步：通過隧道傳輸數(shù)據(jù)PAC和PNS使用通用路由封裝（GRE）協(xié)議來封裝PPP數(shù)據(jù)初始的數(shù)據(jù)經(jīng)過加密后添加PPP頭形成PPP幀PPP幀再添加GRE頭、IP頭形成IP報文IP報文添加相應的數(shù)據(jù)鏈路層幀頭和幀尾（如以太網(wǎng)幀頭和幀尾）后通過物理網(wǎng)絡發(fā)送到對方基于PPTP的VPN建立過程第五步：對方接收PPTP報文并處理去掉幀頭和幀尾得到IP報文去掉IP頭和GRE頭得到PPP幀去掉PPP頭得到有效載荷，并對有效載荷進行解密等操作對數(shù)據(jù)進行傳輸或轉發(fā)（例如封裝為以太網(wǎng)幀發(fā)送給目的接收方）當控制連接釋放后，PPP連接、PPTP協(xié)議連接和TCP連接均釋放VPN技術通用路由封裝協(xié)議（GRE）GRE：GenericRoutingEncapsulationVPN技術通用路由封裝協(xié)議（GRE：GenericRoutingEncapsulation）是對某些網(wǎng)絡層協(xié)議（如IP和IPX）的數(shù)據(jù)報進行封裝，使這些被封裝的數(shù)據(jù)報能夠在另一個網(wǎng)絡層協(xié)議（如IP）中傳輸?shù)膮f(xié)議。GRE規(guī)定了怎樣用一種網(wǎng)絡層協(xié)議去封裝另一種網(wǎng)絡層協(xié)議的方法GRE只提供了數(shù)據(jù)包的封裝，它沒有加密功能來防止網(wǎng)絡偵聽和攻擊，所以在實際環(huán)境中它常和IPSec在一起使用，由IPSec提供用戶數(shù)據(jù)的加密，給用戶提供更好的安全性。通用路由封裝協(xié)議（GRE）VPN技術

01234567890123456789012345678901+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|C|Reserved0|Ver|ProtocolType|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Checksum(optional)|Reserved1(Optional)|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

通用路由封裝協(xié)議（GRE）VPN技術

01234567890123456789012345678901+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|C|Reserved0|Ver|ProtocolType|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Checksum(optional)|Reserved1(Optional)|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

Reserved0(bits1-12)：如果1-5位為非零值，觸發(fā)接收者使用RFC1701（GRE原來的版本）來實現(xiàn)GRE，否則拋棄該包。6-12位保留，但必須設置為0。ProtocolType(2octets)：載荷部分所包含的協(xié)議。常見的協(xié)議值1代表ICMP，4表示IP，6表示TCP和17表示UDP。IP安全協(xié)議（IPSec）IPSec：IPSecurityVPN技術是一組開放協(xié)議的總稱。給出了應用于IP層上網(wǎng)絡數(shù)據(jù)安全的一整套體系結構包括：IPsec認證頭協(xié)議（AH）：為IP數(shù)據(jù)報提供無連接完整性和數(shù)據(jù)起源認證，并提供保護以避免重播情況。IPsec封裝安全負載（ESP）：主要提供數(shù)據(jù)機密性和完整性服務。Internet密鑰交換（IKE）：是一種密鑰管理框架，規(guī)定了密鑰管理的消息表示等，通過與ISAKMP協(xié)議和Oakley密鑰交換協(xié)議結合，可提供密鑰交換等功能。在基于IPSec的VPN中，乘客協(xié)議是IP協(xié)議，封裝協(xié)議是IPSec協(xié)議，而承載協(xié)議是IP協(xié)議。安全套接層協(xié)議（SSL）SSL：SecureSocketsLayerVPN技術是在傳輸層為網(wǎng)絡通信提供機密性和數(shù)據(jù)完整性的一種安全協(xié)議。包括：SSL記錄協(xié)議（SSLRecordProtocol）：為高層協(xié)議提供數(shù)據(jù)封裝、壓縮、加密等基本功能的支持。SSL握手協(xié)議（SSLHandshakeProtocol）：用于在實際的數(shù)據(jù)傳輸開始前，通訊雙方進行身份認證、協(xié)商加密算法、交換加密密鑰等。TLS加密規(guī)范修改協(xié)議（SSLChangeCipherSpecProtocol）：主要用于通告對方啟用新的密碼參數(shù)TLS報警協(xié)議（SSLAlertProtocol）：主要用來處理協(xié)議過程中的錯誤或向對方發(fā)送報警消息。在基于SSL的VPN中，乘客協(xié)議是應用層協(xié)議（如HTTP等），封裝協(xié)議是SSL協(xié)議，而承載協(xié)議是TCP協(xié)議。常見VPN協(xié)議比較VPN技術協(xié)議所屬網(wǎng)絡層加密認證安全性復雜性備注L2F數(shù)據(jù)鏈路層支持支持一般一般僅支持PPP協(xié)議L2TP數(shù)據(jù)鏈路層不支持支持無一般與IPSec結合使用PPTP數(shù)據(jù)鏈路層支持支持一般一般僅支持Windows系統(tǒng)GRE網(wǎng)絡層不支持不支持無簡單必須配合其它協(xié)議使用IPSec網(wǎng)絡層支持支持高復雜應用最為廣泛SSL應用層支持支持高較復雜適用于WEB安全結束謝謝！第四章網(wǎng)絡安全技術-VPN技術計算機系統(tǒng)與網(wǎng)絡安全技術第二層轉發(fā)協(xié)議L2F：Layer2Forwarding雖然依然使用PPP協(xié)議來傳輸數(shù)據(jù)VPN技術但是網(wǎng)絡的鏈路層完全獨立于用戶的鏈路層協(xié)議鏈路層的端點與用戶的會話端點在不同的主機上。是通過PPP協(xié)議將用戶鏈路層的協(xié)議（如PPP）數(shù)據(jù)包封裝起來進行傳送的協(xié)議。在L2F協(xié)議的VPN中，乘客協(xié)議是PPP等協(xié)議，封裝協(xié)議是時L2F，而承載協(xié)議是PPP協(xié)議。PPP協(xié)議概述點對點協(xié)議（PPP：PointtoPointProtocol）是為在點對點連接上傳輸多協(xié)議數(shù)據(jù)包的一個數(shù)據(jù)鏈路層協(xié)議。具有動態(tài)分配IP地址的能力，允許在連接時刻協(xié)商IP地址VPN技術支持多種網(wǎng)絡協(xié)議，比如TCP/IP、NetBEUI、NWLINK等其主要功能包括具有錯誤檢測以及糾錯能力，支持數(shù)據(jù)壓縮具有身份驗證功能可以用于多種類型的物理介質上，包括串口線、電話線、移動電話和光纖（例如SDH）、以太網(wǎng)接口等PPP協(xié)議概述（續(xù)）VPN技術字段名幀頭F地址A控制C協(xié)議P載荷幀校驗FCS幀尾F字段值7EFF03協(xié)議信息校驗值7E字節(jié)長度1112<=150021F：PPP采用7EH作為一幀的開始和結束標志A：地址字段（A）取固定值FFHC：控制字段（C）取固定值03HP：協(xié)議字段（P）取0021H表示IP分組FCS：幀校驗字段（FCS）也為兩個字節(jié)L2F協(xié)議的消息格式VPN技術 0123 01234567890123456789012345678901+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|F|K|P|S|0|0|0|0|0|0|0|0|C|Ver|Protocol|Sequence(opt)|\+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+\|MultiplexID|ClientID||+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|L2F|Length|Offset(opt)||Header+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+||Key(opt)|/+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+/+(payload)|+.....|+(payload)|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|L2FChecksum(optional)|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+基于L2F的VPN建立過程第一步：向撥號服務器發(fā)送建立PPP連接請求。遠程用戶在本地局域網(wǎng)（HomeLAN）通過自己的家庭網(wǎng)關（HGW：HomeGateway）通過PPP撥號連接至服務提供商的撥號服務器（也叫網(wǎng)絡服務器，NAS：NetworkAccessServer）建立初始的PPP連接，用來傳送L2F包。VPN技術基于L2F的VPN建立過程第二步：網(wǎng)絡服務器向家庭網(wǎng)關發(fā)送一個L2F管理包（L2F_CONF）各字段可能值為Proto=L2F、Seq=0,MID=0、CLID=0、Key=0。包的載荷包括網(wǎng)絡服務器的名字（NAS_name）、挑戰(zhàn)隨機數(shù)（ChallengeRnd）和一個隨機分配的客戶標示（Assigned_CLIDCLID1）VPN技術基于L2F的VPN建立過程第二步：網(wǎng)絡服務器向家庭網(wǎng)關發(fā)送一個L2F管理包（L2F_CONF）各字段可能值為Proto=L2F、Seq=0,MID=0、CLID=0、Key=0。包的載荷包括網(wǎng)絡服務器的名字（NAS_name）、挑戰(zhàn)隨機數(shù)（ChallengeRnd）和一個隨機分配的客戶標示（Assigned_CLIDCLID1）VPN技術基于L2F的VPN建立過程第三步：家庭網(wǎng)關向網(wǎng)絡服務器返回一個L2F管理包（L2F_CONF）各字段可能值為Proto=L2F、Seq=0,MID=0、CLID=CLID1、Key=0。包的載荷包括家庭網(wǎng)關的名字（GW_name）、挑戰(zhàn)隨機數(shù)（ChallengeRnd2）和一個網(wǎng)關自己分配的的客戶標示（Assigned_CLIDCLID2）。VPN技術基于L2F的VPN建立過程第四步：網(wǎng)絡服務器向家庭網(wǎng)關發(fā)送一個L2F管理包（L2F_OPEN）各字段可能值為Proto=L2F,Seq=1,MID=0,CLID=CLID2,Key=MD5(Rnd2)。Key的值是用MD5哈希算法對Rnd2進行運算所得到的128位值MD5(Rnd2)。MD5(Rnd2)也包含在載荷部分的“response"字段中。VPN技術基于L2F的VPN建立過程第五步：家庭網(wǎng)關向網(wǎng)絡服務器返回一個L2F管理包（L2F_OPEN）各字段可能值為Proto=L2F、Seq=1、MID=0、CLID=CLID1、Key=C(Rnd1)。Key的值是128位值MD5(Rnd1)。MD5(Rnd1)也包含在載荷部分的“response"字段中VPN技術基于L2F的VPN建立過程第六步：在已經(jīng)建立的L2F隧道上進行CHAP或者PAP認證，并最終建立L2F安全隧道。VPN技術結束謝謝！第四章網(wǎng)絡安全技術-VPN技術計算機系統(tǒng)與網(wǎng)絡安全技術第二層隧道協(xié)議（L2TP）L2TP：LayerTwoTunnelingProtocolVPN技術是將PPP協(xié)議數(shù)據(jù)包封裝起來進行傳送的協(xié)議。用戶向本地的L2TP接入集中器（LAC：AccessConcentrator）發(fā)起網(wǎng)絡連接（如PPP連接或以太網(wǎng)連接）由LAC將用戶的數(shù)據(jù)封裝為L2TP在不同網(wǎng)絡媒介（如IP網(wǎng)絡、幀中繼網(wǎng)絡等)以隧道方式傳輸?shù)絃2TP網(wǎng)絡服務器（LNS：L2TPNetworkServer）在L2TP協(xié)議中，乘客協(xié)議是PPP協(xié)議，封裝協(xié)議是L2TP協(xié)議，而承載協(xié)議是PPP協(xié)議。第二層隧道協(xié)議（L2TP）L2TP接入集中器VPN技術用戶向本地的L2TP接入集中器（LAC：AccessConcentrator）發(fā)起網(wǎng)絡連接（如PPP連接或以太網(wǎng)連接）L2TP接入集中器（LAC：LayerTwoAccessConcentrator）是L2TP隧道中面向用戶的一個端點，位于用戶和L2TP網(wǎng)絡服務器之間，向用戶或者網(wǎng)絡服務器轉發(fā)數(shù)據(jù)。L2TP接入集中器與L2TP網(wǎng)絡服務器之間是L2TP隧道連接L2TP接入集中器與遠程用戶之間可以本地局域網(wǎng)連接，也可以是PPP連接。LAC就是服務提供商提供VPN服務的接入設備，從物理實現(xiàn)來看，它就是L2TP服務的防火墻、路由器或者專用VPN服務器。第二層隧道協(xié)議（L2TP）L2TP網(wǎng)絡服務器VPN技術L2TP網(wǎng)絡服務器（LNS：L2TPNetworkServer）是L2TP隧道的另外一個端點與L2TP接入集中器連接，同時也是L2TP隧道邏輯上的終點。LNS就是位于企業(yè)側的VPN服務器，該服務器完成對用戶的認證和授權，接收來自LAC的L2TP的隧道和連接請求，并建立遠程用戶與LNS之間的PPP通道。第二層隧道協(xié)議（L2TP）VPN技術

012301234567890123456789012345678901+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|T|L|x|x|S|x|O|P|x|x|x|x|Ver|Length(opt)|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|TunnelID|SessionID|+-+-+-+-+-+-+-+-+-+-+-+-+-