8周防火墙技术.docVIP

课 时 第 7 周 第 1-2 课时 年 月 日 课题：第四章数据包过滤 一、教学目的： 了解计算机网络安全的相关概念 二、教学重点： 计算机网络的安全性问题 教学难点： 计算机网络面对的哪些问题 学方法： 讲解法为主，利用投影仪和黑板讲解穿插教学 教学用具： 黑板、投影仪、CAI课件及其硬件支持 课时安排：2课时 教学过程： 4.1数据包过滤的协议 为什么TCP/IP是不安全的？ 风险＝漏洞＋威胁 漏洞：硬件漏洞，操作系统漏洞，应用程序漏洞，管理漏洞， 威胁 1）窃听 2）数据篡改 3）身份欺骗（IP地址欺骗） 4）盗用口令攻击（Password-Based Attacks） 5）拒绝服务攻击（Denial-of-Service Attack） 6）中间人攻击（Man-in-the-Middle Attack） 7）盗取密钥攻击（Compromised-Key Attack） 8）Sniffer 攻击（Sniffer Attack） 9）应用层攻击（Application-Layer Attack） IPSec概述 什么是IPSec IPSec (Internet 协议安全)是一个工业标准网络安全协议，为 IP 网络通信提供透明的安全服务，保护 TCP/IP 通信免遭窃听和篡改，可以有效抵御网络攻击，同时保持易用性。 IPSec的作用 1）保护IP数据包安全；2）为抵御网络攻击提供防护措施。 IPSec的优点 过滤每一个访问计算机的数据包，并可根据数据报的源IP地址、协议和端口进行过滤 对应用程序完全透明，应用程序无需任何调整 三种身份验证 对数据包进行加密，以防止数据包在网络传输中被截取 使用HASH算法保障数据包在传输过程中保持完整性 确保每个IP数据包的唯一性 IPSec的工作原理 IPSec 协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，包括网络认证协议 Authentication Header（AH）、封装安全载荷协议Encapsulating Security Payload（ESP）、密钥管理协议Internet Key Exchange （IKE）和用于网络认证及加密的一些算法等。 IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换，向上提供了访问控制、数据源认证、数据加密等网络安全服务。 SA安全关联SA（Security Association）是单向的，在两个使用 IPSec的实体（主机或路由器）间建立的逻辑连接，定义了实体间如何使用安全服务（如加密）进行通信。它由下列元素组成：1）安全参数索引SPI；2）IP目的地址；3）安全协议。 AH协议为IP通信提供数据源认证、数据完整性和反重播保证，它能保护通信免受篡改，但不能防止窃听，适合用于传输非机密数据。 ESP为IP数据包提供完整性检查、认证和加密，可以看作是“超级 AH”， 因为它提供机密性并可防止篡改。ESP服务依据建立的安全关联（SA）是可选的。 IKE（Internet密钥交换）负责这些任务，它提供一种方法供两台计算机建立安全关联 (SA)。SA 对两台计算机之间的策略协议进行编码，指定它们将使用哪些算法和什么样的密钥长度，以及实际的密钥本身。包括ISAKMP和OKD 模式 传输模式 transportation mode： 是在计算机之间使用IPSec来实现安全； 是一种端对端 end to end的保护； 是IPSec的缺省模式 隧道模式 tunnel mode： 是在网络之间使用IPSec实现安全； 是一种点到点 point to point的保护； 隧道是对数据包重新封装的过程，它将原始数据包封装在新的数据包内部，从而改变数据包的寻址路径； 通过新增IP包头的方法，将目的地址改变为隧道终点，对和隧道终点之间的传输设置加密等操作； 通常，隧道终点即为安全性网关，也就是说此网关和目的主机之间的通信是安全的； 其思想是先将数据包通过IPSec策略传送到安全性网关，再由安全性网关正常传送到目的主机。 传输模式：当ESP在一台主机（客户机或服务器）上实现时使用，传送模式使用原始明文IP头，并且只加密数据，包括它的TCP和UDP头。 IP地址 TCP/UDP端口 数据包内容 隧道模式：当ESP在关联到多台主机的网络访问介入装置实现时使用，隧道模式处理整个IP数据包--包括全部TCP/IP或UDP/IP头和数据，它用自己的地址做为源地址加入到新的IP头。当隧道模式用在用户终端设置时，它可以提供更多的便利来隐藏内部服务器主机和客户机的地址。 新IP地址 新T