网络安全架构设计和网络安全设备的部署

1网络安全架构设计和

网络安全设备布署网络安全架构设计和网络安全设备的部署第1页2主要内容内网安全架构设计与安全产品布署安全扫描技术防火墙技术入侵检测技术IPSecVPN和SSLVPN技术网络安全架构设计和网络安全设备的部署第2页3网络信息安全基本问题网络信息安全基本问题保密性完整性可用性可控性可审查性最终要处理是使用者对基础设施信心和责任感问题。网络安全架构设计和网络安全设备的部署第3页4网络与信息安全体系要实施一个完整网络与信息安全体系，最少应包含三类办法，而且三者缺一不可。社会法律政策、规章制度办法技术办法审计和管理办法网络安全架构设计和网络安全设备的部署第4页5网络安全设计基本标准要使信息系统免受攻击，关键要建立起安全防御体系，从信息保密性，拓展到信息完整性、信息可用性、信息可控性、信息不可否定性等。在进行计算机网络安全设计、规划时，应遵照以下标准：需求、风险、代价平衡分析标准综合性、整体性标准一致性标准易操作性标准适应性、灵活性标准多重保护标准网络安全架构设计和网络安全设备的部署第5页6网络安全处理方案网络安全处理方案基本概念网络安全处理方案能够看作是一张相关网络系统安全工程图纸，图纸设计好坏直接关系到工程质量优劣。总体来说，网络安全处理方案包括安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术、认证和数字署名技术、VPN技术等多方面安全技术。网络安全架构设计和网络安全设备的部署第6页7一份好网络安全处理方案，不但仅要考虑到技术，还要考虑到策略和管理。技术是关键策略是关键管理是确保在整个网络安全处理方案中，一直要表达出这三个方面关系。网络安全架构设计和网络安全设备的部署第7页8网络安全处理方案设计网络安全架构设计和网络安全设备的部署第8页9安全需求分析网络系统总体安全需求是建立在对网络安全层次分析基础上。对于基于TCP/IP协议网络系统来说，安全层次是与TCP/IP协议层次相对应。针对该企业网络实际情况，能够将安全需求层次归纳为网络层安全和应用层安全两个技术层次，同时将在各层都包括安全管理部分单独作为一部分进行分析。网络安全架构设计和网络安全设备的部署第9页10网络层需求分析网络层安全需求是保护网络不受攻击，确保网络服务可用性。确保同Internet互联边界安全能够防范来自Internet对提供服务非法利用防范来自Internet网络入侵和攻击行为发生对于内部网络提供高于网络边界更高安全保护网络安全架构设计和网络安全设备的部署第10页11应用层需求分析应用层安全需求是针对用户和网络应用资源，主要包含：正当用户能够以指定方式访问指定信息；正当用户不能以任何方式访问不允许其访问信息；非法用户不能访问任何信息；用户对任何信息访问都有统计。网络安全架构设计和网络安全设备的部署第11页12应用层要处理安全问题包含非法用户利用应用系统后门或漏洞，强行进入系统用户身份假冒非授权访问数据窃取数据篡改数据重放攻击抵赖网络安全架构设计和网络安全设备的部署第12页13网络安全处理方案网络安全架构设计和网络安全设备的部署第13页14电子政务网络拓扑概述内部关键子网INTERNET分支机构1分支机构2网络安全架构设计和网络安全设备的部署第14页15电子政务网络拓扑详细分析领导层子网分支机构2业务处室子网公共处室子网服务处室子网直属人事机构处室子网共享数据库子网INTERNET分支机构1网络安全架构设计和网络安全设备的部署第15页16电子政务网络风险及需求分析领导层子网分支机构2业务处室子网公共处室子网服务处室子网直属人事机构处室子网共享数据库子网INTERNET分支机构1此人正试图进入网络监听并窃取敏感信息分支机构工作人员正试图在领导层子网安装木马分支机构工作人员正试图越权访问业务子网安装木马非内部人员正试图篡改公共网络服务器数据网络安全架构设计和网络安全设备的部署第16页17电子政务网络内网基础网络平台安全领导层子网业务处室子网公共处室子网服务处室子网直属人事机构处室子网共享数据库子网分支机构2分支机构1NEsec300FW2035968?告警内网接口外网接口电源NEsec300FW2035968?告警内网接口外网接口电源INTERNETNEsec300FW2035968?告警内网接口外网接口电源防火墙FW1防火墙FW2防火墙FW3安全认证服务器安全管理器安全网关SG1安全网关SG2安全网关SG3路由器路由器路由器交换机NEsec300FW2035968?告警内网接口外网接口电源网络安全架构设计和网络安全设备的部署第17页18内网关键网络与各级子网间安全设计

分支机构2INTERNET分支机构1NEsec300FW2035968?告警内网接口外网接口电源

内部关键子网NEsec300FW2035968?告警内网接口外网接口电源NEsec300FW2035968?告警内网接口外网接口电源NEsec300FW2035968?告警内网接口外网接口电源交换机安全网关SG1安全网关SG2安全网关SG3路由器路由器路由器安全管理器安全认证服务器网络安全架构设计和网络安全设备的部署第18页19内网网络漏洞扫描系统设计分支机构2INTERNET分支机构1NEsec300FW2035968?告警内网接口外网接口电源

内部关键子网NEsec300FW2035968?告警内网接口外网接口电源NEsec300FW2035968?告警内网接口外网接口电源NEsec300FW2035968?告警内网接口外网接口电源交换机安全网关SG1安全网关SG2安全网关SG3路由器路由器路由器安全管理器安全认证服务器网络漏洞扫描器网络安全架构设计和网络安全设备的部署第19页20内网网络入侵检测系统设计

分支机构2INTERNET分支机构1NEsec300FW2035968?告警内网接口外网接口电源

内部关键子网NEsec300FW2035968?告警内网接口外网接口电源NEsec300FW2035968?告警内网接口外网接口电源NEsec300FW2035968?告警内网接口外网接口电源交换机安全网关SG1安全网关SG2安全网关SG3路由器路由器路由器安全管理器安全认证服务器网络入侵检测探头网络入侵策略管理器网络安全架构设计和网络安全设备的部署第20页21电子政务外网基础平台安全设计INTERNET办公厅办公业务网（简称“内网”）路由器交换机安全管理器防火墙FW物理隔离器（K1)E-MAIL服务器WWW服务器应用服务器数据库服务器网络安全架构设计和网络安全设备的部署第21页22外网网络漏洞扫描系统设计INTERNET办公厅办公业务网（简称“内网”）路由器交换机安全管理器防火墙FW物理隔离器（K1)E-MAIL服务器WWW服务器应用服务器数据库服务器网络漏洞扫描器网络安全架构设计和网络安全设备的部署第22页23外网网络入侵检测系统设计INTERNET办公厅办公业务网（简称“内网”）路由器交换机安全管理器物理隔离器（K1)E-MAIL服务器WWW服务器应用服务器数据库服务器网络漏洞扫描器网络入侵检测探头网络入侵策略管理器防火墙FW网络安全架构设计和网络安全设备的部署第23页24外网WEB服务器安全设计INTERNET办公厅办公业务网（简称“内网”）路由器交换机安全管理器物理隔离器（K2)E-MAIL服务器WWW服务器应用服务器数据库服务器防火墙FW物理隔离器（K1)办公厅办公业务网（简称“内网”）政府系统办公业务资源网（简称“专网”）Web网站监测&自动修复系统网络安全架构设计和网络安全设备的部署第24页25内网、外网和专网隔离系统设计INTERNET办公厅办公业务网（简称“内网”）路由器交换机安全管理器物理隔离器（K2)E-MAIL服务器WWW服务器应用服务器数据库服务器防火墙FW物理隔离器（K1)办公厅办公业务网（简称“内网”）政府系统办公业务资源网（简称“专网”）网络安全架构设计和网络安全设备的部署第25页26其它网络安全设备拨号检测系统上网行为管理系统DDOS防御网关VPN网关防病毒网关网络安全架构设计和网络安全设备的部署第26页27安全扫描技术扫描目标查看目标网络中哪些主机是存活（Alive）查看存活主机运行了哪些服务WWWFTPEMAILTELNET查看主机提供服务有没有漏洞网络安全架构设计和网络安全设备的部署第27页28IP扫描IP扫描——PingSweepingPing使用ICMP协议进行工作网络安全架构设计和网络安全设备的部署第28页29IP扫描ICMP协议负责差错汇报与控制。比如目标不可达，路由重定向等等ICMP报文格式类型域(type)用来指明该ICMP报文类型代码域(code)确定该包详细作用

081631

类型

代码

校验和

其它字段（不一样类型可能不一样）

数据区……

数据ICMP包头IP包头MAC帧头网络安全架构设计和网络安全设备的部署第29页30IP扫描惯用ICMP报文Ping程序使用ICMPEchoRequest/Reply报文名称类型ICMPDestinationUnreachable（目标不可达）3ICMPSourceQuench（源抑制）4ICMPRedirection（重定向）5ICMPTimestampRequest/Reply（时间戳）13/14ICMPAddressMaskRequest/Reply（子网掩码）17/18ICMPEchoRequest/Reply（响应请求/应答）8/0网络安全架构设计和网络安全设备的部署第30页31端口扫描端口Internet上主机间通讯总是经过端口发生

端口是入侵通道端口分为TCP端口与UDP端口所以，端口扫描可分类为TCP扫描UDP扫描网络安全架构设计和网络安全设备的部署第31页32端口扫描基本扫描用Socket开发TCP应用服务器端客户端网络安全架构设计和网络安全设备的部署第32页33端口扫描connect()函数intconnect(SOCKETs,conststructsockaddrFAR*name,intnamelen);当connect返回0时，连接成功基本扫描方法即TCPConnect扫描优点实现简单能够用普通用户权限执行缺点轻易被防火墙检测，也会目标应用所统计网络安全架构设计和网络安全设备的部署第33页34端口扫描隐秘扫描服务器端客户端connect网络安全架构设计和网络安全设备的部署第34页35端口扫描TCP连接建立过程客户机服务器发送SYN

seq=x

接收SYN报文

发送SYNseq=y,ACKack=x+1

接收SYN+ACK

发送ACKack=y+1

接收ACK报文段

网络安全架构设计和网络安全设备的部署第35页36端口扫描SYN扫描客户机服务器发送SYN

seq=x

假如接收到SYN+ACK，表明服务器端口可连接假如服务器端口打开，则返回SYN+ACK假如服务器端口未打开，则返回RSTSYN+ACK假如接收到RST，表明服务器端口不可连接RST网络安全架构设计和网络安全设备的部署第36页37端口扫描SYN扫描实现WinSock2接口RawSock方式，允许自定义IP包SockRaw=socket(AF_INET,SOCK_RAW,IPPROTO_IP);TCP包头标志位01631源端口

目端口

序列号

确认号

HLEN

保留

标志位

窗口

校验和

紧急指针

选项

填充

数据

保留保留UrgentpointACKPUSHRESETSYNFIN网络安全架构设计和网络安全设备的部署第37页38端口扫描SYN扫描优缺点优点：普通不会被目标主机所统计缺点：运行RawSocket时必须拥有管理员权限网络安全架构设计和网络安全设备的部署第38页39端口扫描FIN扫描关闭TCP连接过程客户机服务器发送FIN

seq=x

接收FIN报文

发送FINseq=y,ACKack=x+1

接收FIN+ACK

发送ACKack=y+1

接收ACK报文段

网络安全架构设计和网络安全设备的部署第39页40端口扫描关闭一个并没有建立连接，会产生以下情况对非连接FIN报文回复TCP标准关闭端口——返回RST报文打开端口——忽略BSD操作系统与TCP标准一致其它操作系统均返回RST报文网络安全架构设计和网络安全设备的部署第40页41TCPACK扫描扫描主机向目标主机发送ACK数据包。依据返回RST数据包有两种方法能够得到端口信息。方法一是：若返回RST数据包TTL值小于或等于64，则端口开放，反之端口关闭方法二是：若返回RST数据包WINDOW值非零，则端口开放，反之端口关闭TCPACK扫描建立连接成功TCPACK扫描建立连接成功网络安全架构设计和网络安全设备的部署第41页42NULL扫描扫描主机将TCP数据包中ACK、FIN、RST、SYN、URG、PSH(接收端将数据转由应用处理)标志位置空后（保留RES1和RES2对扫描结果没有任何影响）发送给目标主机。若目标端口开放，目标主机将不返回任何信息。若目标主机返回RST信息，则表示端口关闭。NULL扫描建立连接成功NULL扫描建立连接未成功网络安全架构设计和网络安全设备的部署第42页43Xmastree扫描（圣诞树扫描）XMAS扫描原理和NULL扫描类似，将TCP数据包中ACK、FIN、RST、SYN、URG、PSH标志位置1后发送给目标主机。在目标端口开放情况下，目标主机将不返回任何信息若目标端口关闭，则目标主机将返回RST信息XMAS扫描建立连接成功XMAS扫描建立连接未成功网络安全架构设计和网络安全设备的部署第43页44端口扫描优点不会被统计到日志能够绕过一些防火墙netstat命令不会显示——netstate命令只能显示TCP连接或连接尝试缺点使用RAWIP编程，实现起来相对比较复杂利用BSD代码缺点，可能被修复——OpenBSD不一样操作系统结果不一样，所以不完全可信网络安全架构设计和网络安全设备的部署第44页45端口扫描UDP端口扫描当前扫描UDP端口只有一个方法：向目标UDP端口发送一些随机数据，假如端口关闭，则目标主机会回复ICMP端口不可达消息网络安全架构设计和网络安全设备的部署第45页46慢速扫描伴随防火墙广泛应用，普通扫描极难穿过防火墙去扫描受防火墙保护网络。即使扫描能穿过防火墙，扫描行为依然有可能会被防火墙统计下来。假如扫描是对非连续性端口、源地址不一致、时间间隔很长且没有规律扫描话，这些扫描统计就会淹没在其它众多杂乱日志内容中。使用慢速扫描目标也就是这么，骗过防火墙和入侵检测系统而搜集信息。即使扫描所用时间较长，但这是一个比较难以被发觉扫描。网络安全架构设计和网络安全设备的部署第46页47乱序扫描乱序扫描也是一个常见扫描技术，扫描器扫描时候不是进行有序扫描，扫描端口号次序是随机产生，每次进行扫描次序都完全不一样，这种方式能有效地坑骗一些入侵检测系统而不会被发觉。网络安全架构设计和网络安全设备的部署第47页48漏洞扫描漏洞是指系统硬件、操作系统、软件、网络协议、数据库等在设计上和实现上出现能够被攻击者利用错误、缺点和疏漏。漏洞扫描程序是用来检测远程或当地主机安全漏洞工具。针对扫描对象不一样，漏洞扫描又可分为网络扫描、操作系统扫描、WWW服务扫描、数据库扫描以及无线网络扫描等。网络安全架构设计和网络安全设备的部署第48页49端口扫描惯用端口扫描工具UNIX下端口扫描工具NmapWindows下端口扫描工具XScanSuperScanNmapforNT网络安全架构设计和网络安全设备的部署第49页50防火墙建筑业中防火墙用在建筑单位间，预防火势蔓延。在网络安全领域中，防火墙用来指应用于内部网络（局域网）和外部网络（Internet）之间，用来保护内部网络免受非法访问和破坏网络安全系统。网络安全架构设计和网络安全设备的部署第50页51防火墙功效示意

两个不一样网络安全域间通信流唯一通道，对流过网络数据进行检验，阻止攻击数据包经过。安全网域一安全网域二网络安全架构设计和网络安全设备的部署第51页52防火墙主要功效过滤进、出网络数据;预防不安全协议和服务；管理进、出网络访问行为；统计经过防火墙信息内容与活动；对网络攻击进行检测与告警;预防外部对内部网络信息获取提供与外部连接集中管理；网络安全架构设计和网络安全设备的部署第52页53防火墙不能防范攻击来自内部安全威胁；病毒开放应用服务程序漏洞；特洛伊木马；社会工程；不妥配置网络安全架构设计和网络安全设备的部署第53页54衡量防火墙三大要求安全内部和外部间全部数据必须经过防火墙只有符合安全策略数据流才能经过防火墙防火墙本身要安全管理良好人机交互界面提供强劲管理及扩展功效速度网络安全架构设计和网络安全设备的部署第54页55防火墙发展历程主要经历了三个阶段：基于路由器防火墙基于通用操作系统防火墙基于安全操作系统防火墙网络安全架构设计和网络安全设备的部署第55页56防火墙分类按实现技术分类：包过滤型代理型防火墙按体系结构分类：双宿/多宿主机防火墙屏蔽主机防火墙屏蔽子网防火墙混合结构网络安全架构设计和网络安全设备的部署第56页57包过滤防火墙包过滤防火墙在决定能否及怎样传送数据包之外，还依据其规则集，看是否应该传送该数据包普通路由器当数据包抵达时，查看IP包头信息，依据路由表决定能否以及怎样传送数据包网络安全架构设计和网络安全设备的部署第57页58静态包过滤防火墙

传输层传输层传输层

网络安全架构设计和网络安全设备的部署第58页59路由与包过滤路由进行转发，过滤进行筛选源地址目标地址协议是否允许HostASeverXTCPYESHostASeverXUDPNOHostA外部网络目标路由SeverX接口1……………………SeverX网络安全架构设计和网络安全设备的部署第59页60包过滤所检验内容源和目标IP地址IP选项IP上层协议类型（TCP/UDP/ICMP）TCP和UDP源及目标端口ICMP报文类型和代码我们称这种对包头内容进行简单过滤方式为静态包过滤网络安全架构设计和网络安全设备的部署第60页61包过滤配置包过滤防火墙配置步骤：知道什么是应该和不应被允许，制订安全策略要求允许包类型、包字段逻辑表示用防火墙支持语法重写表示式网络安全架构设计和网络安全设备的部署第61页62规则制订策略拒绝任何访问，除非被规则尤其允许允许任何访问，除非规则尤其地禁止允许拒绝允许拒绝网络安全架构设计和网络安全设备的部署第62页63规则制订策略过滤两种基本方式按服务过滤：依据安全策略决定是否允许或拒绝某一个服务按规则过滤：检验包头信息，与过滤规则匹配，决定是否转发该数据包网络安全架构设计和网络安全设备的部署第63页64依赖于服务过滤

多数服务对应特定端口，如要封锁输Telnet、SMTP连接，则Router丢弃端口值为23和25全部数据包。经典过滤规则有以下几个：只允许进来Telnet会话连接到指定内部主机只允许进来FTP会话连接到指定内部主机允许全部出去Telnet会话允许全部出去FTP会话拒绝从一些指定外部网络进来全部信息网络安全架构设计和网络安全设备的部署第64页65按规则过滤有些类型攻击极难用基本包头信息加以判别，因为独立于服务。假如防范则需要定义规则1）源IP地址坑骗攻击入侵者从伪装成源自一台内部主机一个外部地点传送一些信息包；这些信息包似乎像包含了一个内部系统源IP地址。假如这些信息包抵达Router外部接口，则舍弃每个含有这个源IP地址信息包，就能够挫败这种源坑骗攻击。网络安全架构设计和网络安全设备的部署第65页66按规则过滤2）源路由攻击攻击者为信息包指定一个穿越Internet路由，这类攻击企图绕过安全办法，并使信息包沿一条意外(疏漏)路径抵达目标地。能够经过舍弃全部包含这类源路由选项信息包方式，来挫败这类攻击。3）残片攻击入侵者利用IP分段特征生成一个极小片断并将TCP报头信息肢解成一个分离信息包片断，使数据包绕过用户定义过滤规则。黑客希望过滤路由器只检验第一分段，而允许其它分段经过。经过舍弃全部协议类型为TCP、IP报头中FragmentOffset=1数据包，即可挫败残片攻击。网络安全架构设计和网络安全设备的部署第66页67推荐规则任何进入内网数据包不能将内部地址作为源地址任何进入内网数据包必须将内部地址作为目标地址任何离开内网数据包必须将内部地址作为源地址任何离开内网数据包不能将内部地址作为目标地址任何进入或离开内网数据包不能把一个私有地址或者/8作为源或目标地址网络安全架构设计和网络安全设备的部署第67页68静态包过滤优缺点优点：速度快价格低对用户透明缺点：配置难把握防范能力低没有用户身份验证机制网络安全架构设计和网络安全设备的部署第68页69动态包过滤动态包过滤是CheckPoint一项称为“

StatefulInspection”专利技术，也称状态检测防火墙。动态包过滤防火墙不但以一个数据包内容作为过滤依据，还依据这个数据包在信息流位置加以判断。动态包过滤防火墙可阻止未经内网请求外部通信，而允许内网请求外部网站传入通信。网络安全架构设计和网络安全设备的部署第69页70动态包过滤防火墙网络安全架构设计和网络安全设备的部署第70页71使用动态包过滤制订规则Setinternal=/24Denyipfrom$internaltoanyinviaeth0Denyipfromnot$internaltoanyinviaeth1Allow$internalaccessanydnsbyudpkeepstateAllow$InternalacessanywwwbytcpkeepstateAllow$internalaccessanyftpbytcpkeepstateDenyipfromanytoany网络安全架构设计和网络安全设备的部署第71页72动态包过滤优缺点优点：基于应用程序信息验证一个包状态能力统计经过每个包详细信息缺点：造成网络连接迟滞系统资源要求较高网络安全架构设计和网络安全设备的部署第72页73防火墙分类：包过滤代理型防火墙：应用代理型代理型防火墙：电路代理型代理型防火墙：NAT网络安全架构设计和网络安全设备的部署第73页74代理服务技术

代理服务技术能够将全部跨越防火墙网络通信链路分为两段。防火墙内外计算机系统间应用层连接，由两个代理服务器之间连接来实现，外部计算机网络链路只能抵达代理服务器，从而起到隔离防火墙内外计算机系统作用。网络安全架构设计和网络安全设备的部署第74页75应用代理防火墙工作在应用层对全部规则内允许应用程序作中转转发牺牲了对应用程序透明性网络安全架构设计和网络安全设备的部署第75页76应用代理防火墙应用代理防火墙网络安全架构设计和网络安全设备的部署第76页77应用代理应用代理工作原理示意缓冲文件应用请求回复应用请求回复网络安全架构设计和网络安全设备的部署第77页78应用代理防火墙应用代理服务器安全性屏蔽内网用户与外网直接通信，提供更严格检验提供对协议控制，拒绝全部没有配置连接提供用户级控制，可近一步提供身份认证等信息网络安全架构设计和网络安全设备的部署第78页79应用代理优缺点优点：能够隐藏内部网络信息；能够含有强大日志审核；能够实现内容过滤；缺点：价格高速度慢失效时造成网络瘫痪网络安全架构设计和网络安全设备的部署第79页80电路级代理电路级代理所以能够同时为不一样服务，如WEB、FTP、TELNET提供代理服即SOCKS代理，它工作在传输层。网络安全架构设计和网络安全设备的部署第80页81应用代理应用代理工作在应用层，对于不一样服务，必须使用不一样代理软件。应用代理内部主机WEB服务FTP服务WEBFTP网络安全架构设计和网络安全设备的部署第81页82电路级代理优缺点优点：隐藏内部网络信息配置简单，无需为每个应用程序配置一个代理缺点：多数电路级网关都是基于TCP端口配置，不对数据包检测，可能会有漏洞网络安全架构设计和网络安全设备的部署第82页83NAT防火墙NAT定义

NAT（NetworkAddressTransla-tion）网络地址翻译最初设计目标是用来增加私有组织可用地址空间和处理将现有私有TCP/IP网络连接到网上IP地址编号问题网络安全架构设计和网络安全设备的部署第83页84NAT防火墙NAT提供功效内部主机地址隐藏网络负载均衡网络地址交叠网络安全架构设计和网络安全设备的部署第84页85NAT（网络地址翻译）依据内部IP地址和外部IP地址数量对应关系，NAT分为：基本NAT：简单地址翻译M-1，多个内部网地址翻译到1个IP地址M-N，多个内部网地址翻译到N个IP地址池网络安全架构设计和网络安全设备的部署第85页86NAT优缺点优点管理方便而且节约IP地址资源。隐藏内部IP地址信息。仅当向某个外部地址发送过出站包时，NAT才允许来自该地址流量入站。

缺点外部应用程序却不能方便地与NAT网关后面应用程序联络。网络安全架构设计和网络安全设备的部署第86页87防火墙布置简单包过滤路由双宿/多宿主机模式屏蔽主机模式屏蔽子网模式网络安全架构设计和网络安全设备的部署第87页88包过滤路由内部网络外部网络包过滤路由器优点：配置简单缺点：日志没有或极少，难以判断是否被入侵规则表会伴随应用变得很复杂单一部件保护，脆弱网络安全架构设计和网络安全设备的部署第88页89双宿/多宿主机模式堡垒主机：关键位置上用于安全防御某个系统，攻击者攻击网络必须先行攻击主机。双宿/多宿主机防火墙又称为双宿/多宿网关防火墙，它是一个拥有两个或多个连接到不一样网络上网络接口防火墙，通惯用一台装有两块或多块网卡堡垒主机做防火墙，两块或多块网卡各自与受保护网和外部网相连网络安全架构设计和网络安全设备的部署第89页90双宿/多宿主机模式内部网络外部网络应用代理服务器完成：对外屏蔽内网信息设置访问控制对应用层数据严格检验网络安全架构设计和网络安全设备的部署第90页91优点：配置简单检验内容更细致屏蔽了内网结构缺点：应用代理本身安全性网络安全架构设计和网络安全设备的部署第91页92屏蔽主机内部网络外部网络包过滤路由堡垒主机两道屏障：网络层包过滤；应用层代理服务注：与双宿主机网关不一样，这里应用网关只有一块网卡。Web服务器网络安全架构设计和网络安全设备的部署第92页93屏蔽主机优点：双重保护，安全性更高。实施策略：针对不一样服务，选择其中一个或两种保护办法。网络安全架构设计和网络安全设备的部署第93页94屏蔽子网内部网络外部网络外部路由器内部路由器周围网络（DMZ）网络安全架构设计和网络安全设备的部署第94页95屏蔽子网1）周围网络：非军事化区、停火区（DMZ）周围网络是另一个安全层,是在外部网络与内部网络之间附加网络。对于周围网络，假如某人侵入周围网上堡垒主机，他仅能探听到周围网上通信。2）内部路由器（阻塞路由器）：保护内部网络使之免受Internet和周围子网侵犯。它为用户防火墙执行大部分数据包过滤工作网络安全架构设计和网络安全设备的部署第95页96屏蔽子网3）外部路由器：在理论上，外部路由器保护周围网和内部网使之免受来自Internet侵犯。实际上，外部路由器倾向于允许几乎任何东西从周围网出站，而且它们通常只执行非常少数据包过滤。外部路由器安全任务之一是：阻止从Internet上伪造源地址进来任何数据包。网络安全架构设计和网络安全设备的部署第96页97优点安全性较高可用性很好缺点配置复杂成本高网络安全架构设计和网络安全设备的部署第97页98PIX网络安全架构设计和网络安全设备的部署第98页994种管理访问模式非特权模式

PIX防火墙开机自检后，就是处于这种模式。系统显示为pixfirewall>特权模式输入enable进入特权模式，能够改变当前配置。显示为pixfirewall#配置模式输入configureterminal进入此模式，绝大部分系统配置都在这里进行。显示为pixfirewall(config)#监视模式

PIX防火墙在开机或重启过程中，按住Escape键或发送一个"Break"字符，进入监视模式。这里能够更新*作系统映象和口令恢复。显示为monitor>网络安全架构设计和网络安全设备的部署第99页1006个基本命令nameifinterfaceipaddressnatglobalroute网络安全架构设计和网络安全设备的部署第100页101nameif配置防火墙接口名字，并指定安全级别Pix525(config)#nameifethernet0outsidesecurity0Pix525(config)#nameifethernet1insidesecurity100Pix525(config)#nameifethernet2dmzsecurity50在缺省配置中，以太网0被命名为外部接口（outside），安全级别是0；以太网1被命名为内部接口（inside），安全级别是100。安全级别取值范围为1～99，数字越大安全级别越高。网络安全架构设计和网络安全设备的部署第101页102interface配置以太口参数Pix525(config)#interfaceethernet0autoauto选项表明系统自适应网卡类型Pix525(config)#interfaceethernet1100full100full选项表示100Mbit/s以太网全双工通信Pix525(config)#interfaceethernet1100fullshutdownshutdown选项表示关闭这个接口，若启用接口去掉shutdown网络安全架构设计和网络安全设备的部署第102页103ipaddressPix525(config)#ipaddressoutside248Pix525(config)#ipaddressinside很显著，Pix525防火墙在外网ip地址是2，内网ip地址是

网络安全架构设计和网络安全设备的部署第103页104nat指定要进行转换内部地址网络地址翻译（nat）作用是将内网私有ip转换为外网公有ip.Nat命令总是与global命令一起使用，这是因为nat命令能够指定一台主机或一段范围主机访问外网，访问外网时需要利用global所指定地址池进行对外访问。网络安全架构设计和网络安全设备的部署第104页105nat命令配置语法nat(if_name)nat_idlocal_ip[netmark]其中（if_name）表示内网接口名字，比如inside。nat_id用来标识全局地址池，使它与其对应global命令相匹配，local_ip表示内网被分配ip地址。比如表示内网全部主机能够对外访问。[netmark]表示内网ip地址子网掩码。网络安全架构设计和网络安全设备的部署第105页106nat例子例1．Pix525(config)#nat(inside)100表示启用nat,内网全部主机都能够访问外网，用0能够代表例2．Pix525(config)#nat(inside)1表示只有这个网段内主机能够访问外网。网络安全架构设计和网络安全设备的部署第106页107global指定外部地址范围global命令把内网ip地址翻译成外网ip地址或一段地址范围。global命令配置语法：global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]其中（if_name）表示外网接口名字，比如outside.。Nat_id用来标识全局地址池，使它与其对应nat命令相匹配，ip_address-ip_address表示翻译后单个ip地址或一段ip地址范围。[netmarkglobal_mask]表示全局ip地址网络掩码。网络安全架构设计和网络安全设备的部署第107页108global例子例1．Pix525(config)#global(outside)12-8表示内网主机经过pix防火墙要访问外网时，pix防火墙将使用2-8这段ip地址池为要访问外网主机分配一个全局ip地址。例2．Pix525(config)#global(outside)12表示内网要访问外网时，pix防火墙将为访问外网全部主机统一使用2这个单一ip地址。例3.Pix525(config)#noglobal(outside)12表示删除这个全局表项。网络安全架构设计和网络安全设备的部署第108页109route设置指向内网和外网静态路由（route）定义一条静态路由。route命令配置语法：route(if_name)00gateway_ip[metric]其中（if_name）表示接口名字，比如inside，outside。gateway_ip表示网关路由器ip地址。[metric]表示到gateway_ip跳数。通常缺省是1。网络安全架构设计和网络安全设备的部署第109页110例1．Pix525(config)#routeoutside00681表示一条指向边界路由器（ip地址68）缺省路由。例2．Pix525(config)#routeinside1创建了一条到网络静态路由，静态路由下一条路由器ip地址是

Pix525(config)#routeinside1网络安全架构设计和网络安全设备的部署第110页111static配置静态IP地址翻译假如从外网发起一个会话，会话目标地址是一个内网ip地址，static就把内部地址翻译成一个指定全局地址，允许这个会话建立。static(internal_if_name，external_if_name)outside_ip_addressinside_ip_address其中internal_if_name表示内部网络接口，安全级别较高，如inside。external_if_name为外部网络接口，安全级别较低，如outside等。outside_ip_address为正在访问较低安全级别接口上ip地址。inside_ip_address为内部网络当地ip地址。网络安全架构设计和网络安全设备的部署第111页112conduit管道命令前面讲过使用static命令能够在一个当地ip地址和一个全局ip地址之间创建了一个静态映射，但从外部到内部接口连接依然会被pix防火墙自适应安全算法(ASA)阻挡。conduit命令用来允许数据流从含有较低安全级别接口流向含有较高安全级别接口，比如允许从外部到DMZ或内部接口入方向会话。对于向内部接口连接，static和conduit命令将一起使用，来指定会话建立。网络安全架构设计和网络安全设备的部署第112页113conduit命令配置语法conduitpermit|denyglobal_ipport[-port]protocolforeign_ip[netmask]permit|deny允许|拒绝访问global_ip指是先前由global或static命令定义全局ip地址，假如global_ip为0，就用any代替0；假如global_ip是一台主机，就用host命令参数。port指是服务所作用端口，比如www使用80，smtp使用25等等，我们能够经过服务名称或端口数字来指定端口protocol指是连接协议，比如：TCP、UDP、ICMP等。foreign_ip表示可访问global_ip外部ip。对于任意主机，能够用any表示。假如foreign_ip是一台主机，就用host命令参数。网络安全架构设计和网络安全设备的部署第113页114例1.Pix525(config)#conduitpermittcphosteqwwwany这个例子表示允许任何外部主机对全局地址这台主机进行http访问。其中使用eq和一个端口来允许或拒绝对这个端口访问。Eqftp就是指允许或拒绝只对ftp访问。例2.Pix525(config)#conduitdenytcpanyeqftphost9表示不允许外部主机9对任何全局地址进行ftp访问。例3.Pix525(config)#conduitpermiticmpanyany表示允许icmp消息向内部和外部经过。网络安全架构设计和网络安全设备的部署第114页115例4.Pix525(config)#static(inside,outside)2Pix525(config)#conduitpermittcphost2eqwwwany这个例子说明static和conduit关系。在内网是一台web服务器，现在希望外网用户能够经过pix防火墙得到web服务。所以先做static静态映射：－>2（全局），然后利用conduit命令允许任何外部主机对全局地址2进行http访问。网络安全架构设计和网络安全设备的部署第115页116配置fixup协议fixup命令作用是启用，禁止，改变一个服务或协议经过pix防火墙，由fixup命令指定端口是pix防火墙要侦听服务。例1．Pix525(config)#fixupprotocolftp21启用ftp协议，并指定ftp端口号为21例2．Pix525(config)#fixupprotocolhttp80Pix525(config)#fixupprotocolhttp1080

为http协议指定80和1080两个端口。例3．Pix525(config)#nofixupprotocolsmtp80

禁用smtp协议。网络安全架构设计和网络安全设备的部署第116页117telnet从内网telnet：telnet55inside从外网需要使用IPSECVPN网络安全架构设计和网络安全设备的部署第117页118防火墙不足无法发觉和阻止对正当服务攻击；无法发觉和阻止源自其它入口攻击；无法发觉和阻止来自内部网络攻击；无法发觉和阻止来自特洛伊木马威胁；网络安全架构设计和网络安全设备的部署第118页119绕过防火墙攻击穿过防火墙攻击行为IIS4.0和IIS5.0在Unicode字符解码实现中存在一个安全漏洞，造成用户能够远程经过IIS执行任意命令。当IIS打开文件时，假如该文件名包含unicode字符，它会对其进行解码，假如用户提供一些特殊编码，将造成IIS错误打开或者执行一些web根目录以外文件。网络安全架构设计和网络安全设备的部署第119页120据统计80%成功攻击来自于防火墙内部！网络安全架构设计和网络安全设备的部署第120页121入侵检测技术经过对计算机网络或计算机系统中若干关键点信息搜集和分析，从中发觉网络或系统中是否有违反安全策略行为和被攻击迹象一个安全技术。网络安全架构设计和网络安全设备的部署第121页122入侵检测作用检测防护部分阻止不了入侵检测入侵前兆入侵事件归档网络受威胁程度评定帮助从入侵事件中恢复网络安全架构设计和网络安全设备的部署第122页123防火墙与入侵检测防火墙属于信息保障保护步骤门禁系统入侵检测属于信息保障检测步骤监控系统网络安全架构设计和网络安全设备的部署第123页124入检测检测历史入侵检测发源1980，JamesAnderson

提出入侵检测构想1987，DorothyDenning提出入侵检测系统抽象模型主机入侵检测1988，出现一批基于主机审计信息入侵检测系统网络入侵检测1990，开始出现基于网络数据入侵检测系统入侵检测新技术与新方法致力于提升入侵检测系统可伸缩性、可维护性、容错性。一些新思想，如免疫、信息挖掘引入到入侵检测领域网络安全架构设计和网络安全设备的部署第124页125入侵检测关键任务攻击者进行攻击时候会留下痕迹，这些痕迹和系统正常运行时候产生数据混在一起。入侵检测任务就是从混合数据中找出入侵痕迹并作出响应。网络安全架构设计和网络安全设备的部署第125页126通用入侵检测框架CIDF体系结构：阐述了一个标准IDS通用模型组件通信：定义了IDS组件之间进行通信标准协议语言规范：定义了一个用来描述各种检测信息标准语言编程接口：提供了一整套标准应用程序接口网络安全架构设计和网络安全设备的部署第126页127CIDF体系结构网络安全架构设计和网络安全设备的部署第127页128CIDF组件事件产生器（Eventgenerators）事件分析器（Eventanalyzers）事件数据库（Eventdatabases）响应单元（Responseunits）网络安全架构设计和网络安全设备的部署第128页129事件产生器数据获取主机入侵检测：系统审计统计，应用程序日志网络入侵检测：网络流量复合型入侵检测：其它安全产品数据，如防火墙事件统计网络安全架构设计和网络安全设备的部署第129页130事件分析器数据分析模式匹配统计分析网络安全架构设计和网络安全设备的部署第130页131事件数据库数据管理保留事件信息，包含正常事件和入侵事件用来存放暂时处理数据，饰演各个组件之间数据交换中心网络安全架构设计和网络安全设备的部署第131页132响应单元行为响应主动响应：自动干涉入侵，如切断怀疑可能是攻击行为TCP连接，与防火墙联动操作阻塞后续数据包，甚至向被怀疑是攻击起源主机发动还击被动响应：仅仅开启告警机制，向管理员提供信息，由管理员采取对应行动网络安全架构设计和网络安全设备的部署第132页133信息搜集技术系统日志文件日志文件中统计了各种行为类型，每种类型又包含不一样信息，比如统计“用户活动”类型日志，就包含登录、用户ID改变、用户对文件访问、授权和认证信息等方面内容以用户活动为例，不正常或不期望行为就是重复登录失败、登录到不期望位置以及非授权访问企图等等。网络安全架构设计和网络安全设备的部署第133页134信息搜集技术网络流量远程网络攻击伴伴随攻击数据发送，比如扫描、口令攻击、远程缓冲区溢出、脚本攻击、假消息攻击等。另外一些攻击可能使网络流量产生异常，比如特洛伊木马、服务拒绝等等。网络安全架构设计和网络安全设备的部署第134页135信息搜集技术系统目录和文件异常改变入侵者经常替换、修改和破坏他们取得访问权系统上文件，同时为了隐藏系统中他们表现及活动痕迹，都会尽力去替换系统程序或修改系统日志。目录和文件中不期望改变（包含修改、创建和删除），尤其是那些正常情况下限制访问，很可能就是一个入侵产生指示和信号。网络安全架构设计和网络安全设备的部署第135页136信息搜集技术程序执行中异常行为针对程序漏洞攻击，常造成程序产生异常行为，如发生缓冲区溢出，进行权限提升等。网络安全架构设计和网络安全设备的部署第136页137信息分析技术信息分析技术技术指标误报率漏报率惯用信息分析技术包含模式匹配（基于知识检测）统计分析（基于行为检测）网络安全架构设计和网络安全设备的部署第137页138模式匹配过程：监控特征提取匹配判定网络安全架构设计和网络安全设备的部署第138页139模式匹配特点前提：全部入侵行为都有可被检测到特征特点：系统负担小准确度高不能检测未知入侵网络安全架构设计和网络安全设备的部署第139页140统计分析过程：监控量化比较判定

修正网络安全架构设计和网络安全设备的部署第140页141统计分析特点前提入侵是异常活动子集

特点：测系统能针对用户行为改变进行自我调整和优化能检测到未知入侵和更为复杂入侵对系统资源消耗大系统误报相对比较高，且不能适应用户正常行为突然改变。网络安全架构设计和网络安全设备的部署第141页142入侵检测布署目标：检测整个网络信息网络安全架构设计和网络安全设备的部署第142页143共享网络入侵检测布署IDSSensorConsoleHUBMonitoredServers网络安全架构设计和网络安全设备的部署第143页144交换网络入侵检测布署IDSSensorConsole经过端口镜像实现（SPAN/PortMonitor）SwitchMonitoredServers网络安全架构设计和网络安全设备的部署第144页145分段网络布署在一个分段网络中，应确保IDS探测器能够监听到全部网络数据IDSSensorConsoleIDSSensorSwitchMonitoredServersMonitoredServersRouter网络安全架构设计和网络安全设备的部署第145页146发展趋势分析技术改进内容恢复和网络审计功效引入集成网络分析和管理功效安全性和易用性提升改进对大数据量网络处理方法防火墙联动功效入侵防护系统（IPS）网络安全架构设计和网络安全设备的部署第146页147IPS网络安全架构设计和网络安全设备的部署第147页148TCP/IP协议栈对应VPN协议网络安全架构设计和网络安全设备的部署第148页149VPN技术及应用介绍-IPSECIPSEC协议介绍（RFC2401－2409等）IPSec（网络安全协议）协议是一个协议集而不是一个单个协议；IPSec协议给出了应用于IP层上网络数据安全一整套体系结构；自1995年IPSec研究工作开始以来，IETF组织已经积累了大量标准文件集（RFC）。网络安全架构设计和网络安全设备的部署第149页150VPN技术及应用介绍-IPSECIPSec协议组成IPSec协议包含AH协议、ESP协议、密钥管理协议（IKE协议）和用于网络验证及加密一些算法等。IPSec要求了怎样在对等层之间选择安全协议、确定安全算法和密钥交换，向上提供了访问控制、数据源验证、数据加密等网络安全服务。网络安全架构设计和网络安全设备的部署第150页151IPSec基本原理对报文进行安全封装后再在不可信赖网络上传输并检验和解除接收到报文安全封装IPSEC隧道报文封装报文解封AB网络安全架构设计和网络安全设备的部署第151页152VPN技术及应用介绍-IPSECIPSec认证－AH协议其使用包头号放在标准IPv4和IPv6包头和下一个高层协议帧（如TCP、UDP、ICMP、ESP等）之间；国际IANA机构分配给AH协议号为51。IPv4包头AH包头高层协议AH协议提供数据认证服务；确保数据在传输过程中没有被改变或破坏，数据次序也没有很大改变。网络安全架构设计和网络安全设备的部署第152页153VPN技术及应用介绍-IPSECIPSec加密－ESP协议其使用包头号放在标准IPv4和IPv6包头和下一个高层协议帧（如TCP、UDP、ICMP等）之间。国际IANA机构分配给ESP协议号为50。IPv4包头ESP包头高层协议ESP协议为IP数据包提供机密性、数据源验证、抗重播以及数据完整性等安全服务。网络安全架构设计和网络安全设备的部署第153页154安全联盟（SA）安全联盟简称SA，是组成IPSec基础。SA是两个通信实体经协商建立起来一个协定。SA是单向，双向通信需要两个SA。主机A主机BSA（out）SA（in）SA（in）SA（out）共享相同加密参数共享相同加密参数网络安全架构设计和网络安全设备的部署第154页155安全联盟（SA）SA是安全策略通惯用一个三元组唯一表示：<SPI，IP目标地址，安全协议标识符>SPI：安全参数索引(SecurityParametersIndex)，说明用SAIP头类型，它能够包含认证算法、加密算法、用于认证加密密钥以及密钥生存期；IP目标地址：指定输出处理目标IP地址，或输入处理源IP地址；安全协议标识符：指明使用协议是AH还是ESP或者二者同时使用。网络安全架构设计和网络安全设备的部署第155页156安全关联数据库SADSAD存放着和安全实体相关全部SA，每个SA由三元组索引。一个SAD条目包含以下域：序列号计数器：32位整数，用于生成AH或ESP头中序列号；序列号溢出标志：标识是否对序列号计数器溢出进行审核；抗重发窗口：使用一个32位计数器和位图确定一个输入AH或ESP数据包是否是重发包；IPSec协议操作模式：传输或隧道；AH认证算法和所需密钥；ESP认证算法和所需密钥；ESP加密算法，密钥，初始向量（IV）和IV模式；路径最大传输单元；进出标志；SA生存期状态。网络安全架构设计和网络安全设备的部署第156页157安全策略数据库SPDSPD决定了对数据包提供安全服务，全部IPSec实施方案策略都保留在该数据库中。IP包处理过程中，系统要查阅SPD，每一个数据包，都有三种可能选择：丢弃、绕过IPSec或应用IPSec:丢弃：根本不允许数据包离开主机穿过安全网关；绕过：允许数据包经过，在传输中不使用IPSec进行保护；应用：在传输中需要IPSec保护数据包，对于这么传输SPD必须要求提供安全服务、所使用协议和算法等等。网络安全架构设计和网络安全设备的部署第157页158IPSec对数据包处理TCP层产生或者需要转发数据包安全关联？处理策略？查询SPD丢弃绕过IPSec应用IPSec，查询SADSA不存在或SA无效进行IPSec处理添加IPSec头SA有效添加IP头，送到IP层发送队列返回丢弃数据包，统计犯错信息

协商成功？开启IKE协商否是网络安全架构设计和网络安全设备的部署第158页159SA管理SA管理两大任务创建先协商SA参数，再用SA更新SADB删除SA管理方式手工进行经过Internet密钥交换协议来完成，如IKE网络安全架构设计和网络安全设备的部署第159页160IPSec两种安全机制IPSec提供了两种安全机制：认证和加密。认证机制使IP通信数据接收方能够确认数据发送方真实身份以及数据在传输过程中是否遭篡改；加密机制经过对数据进行编码来确保数据机密性，以防数据在传输过程中被窃听。AH定义了认证应用方法，提供数据源认证和完整性确保；ESP定义了加密和可选认证应用方法，提供可靠性确保。IKE作用是帮助进行安全管理，它在IPSec进行处理过程中对身份进行判别，同时进行安全策略协商和处理会话密钥交换工作。网络安全架构设计和网络安全设备的部署第160页161IP认证包头AHAH协议提供无连接完整性、数据源认证和抗重发保护服务，但不提供保密性服务。它能保护通信免受篡改，但不能预防窃听，适合用于传输非机密数据。AH在每一个数据包上添加一个身份验证包头。

IP头IPSecAH头传输层头（TCP/UDP）数据

下一个包头长度保留安全参数索引(SPI)序列号认证数据网络安全架构设计和网络安全设备的部署第161页162AH包头字段下一个包头(NextHeader，8位)：标识紧跟AH头后面使用IP协议号包头；载荷长度(PayloadLen，8位)：AH包头长度；保留（Reserved，16位）：为未来应用保留，（当前为0）；安全参数索引(SPI，32位)：与目标IP地址一同标识SA；序列号(SequenceNumberField，32位)：从1开始32位单增序列号，不允许重复，唯一地标识每一个发送数据包，为SA提供反重发保护。认证数据(AuthenticationData，长度可变)：包含完整性检验和。网络安全架构设计和网络安全设备的部署第162页163VPN技术及应用介绍-IPSEC通道模式AH报文网络安全架构设计和网络安全设备的部署第163页164IP封装安全负载ESPESP为IP包提供完整性检验、认证和加密。它使用HMAC-MD5或HMAC-SHA-1算法对IP进行认证。为了确保各种IPSec之间实现互操作性，当前ESP必须提供对56位DES算法支持。ESP能够单独使用，也能够和AH结合使用。

安全参数索引序列号

（SPI）IP头IPSecESP头传输层头（TCP/UDP）数据ESP尾ESP认证尾

认证数据

填充域填充域下一个长度包头

网络安全架构设计和网络安全设备的部署第164页165ESP包头字段安全参数索引SPI(SecurityParametersIndex)：同AH；序列号(SequenceNumber)：同AH；填充域(Padding)：0-255个字节。用来确保加密数据部分满足块加密长度要求，若数据长度不足，则填充；填充域长度(PaddingLength)：接收端依据该字段长度去除数据中填充位；下一个包头(NextHeader)：同AH；认证数据(AuthenticationData)：包含完整性检验和。完整性检验部分包含ESP包头、传输层协议、数据和ESP包尾，但不包含IP包头，所以ESP不能确保IP包头不被篡改。ESP加密部分包含传输层协议、数据和ESP包尾。网络安全架构设计和网络安全设备的部署第165页166VPN技术及应用介绍-IPSEC通道模式ESP报文网络安全架构设计和网络安全设备的部署第166页167VPN技术及应用介绍-IPSEC通道模式AH、ESP混合报文网络安全架构设计和网络安全设备的部署第167页168IPSec两种模式传输模式AH和ESP保护是传输头；AH和ESP会拦截从传输层到网络层数据包，依据详细配置提供安全保护。主要用于主机－主机VPN应用。隧道模式用于数据包最终目标地不是安全终点情况下。主要用于网关－网关VPN应用。网络安全架构设计和网络安全设备的部署第168页169VPN技术及应用介绍-IPSEC传输模式下IPSec数据包格式AH＋ESPESPAHIP头AH(51)网络载荷加密通道IP头ESP(50)网络载荷IP头AH(51)ESP(50)网络载荷网络安全架构设计和网络安全设备的部署第169页170VPN技术及应用介绍-IPSEC隧道模式下IPSec数据包格式AH＋ESPESPAH新IP头AH(51)上层协议原IP头新IP头ESP(50)上层协议原IP头新IP头AH(51)ESP(50)上层协议原IP头加密通道对一个IP报文进行封装，在原有IP头前，又添加一个新IP报头协议，就像隧道一样保护原来IP报文。从而隐藏了网络相关信息。网络安全架构设计和网络安全设备的部署第170页171AH传输模式网络安全架构设计和网络安全设备的部署第171页172AH隧道模式网络安全架构设计和网络安全设备的部署第172页173ESP传输模式网络安全架构设计和网络安全设备的部署第173页174ESP隧道模式网络安全架构设计和网络安全设备的部署第174页175VPN技术及应用介绍-IKE什么是IKE（RFC2407、2408、2409、2410…）IKE（InternetKeyExchange）是一个密钥协商协议；IKE提供了身份认证，协商信息保护，并为IPSec等安全协议进行安全联盟协商。IKE是一个通用协议，它不仅可认为IPSec协商安全参数，也可认为其它协议协商安全参数。网络安全架构设计和网络安全设备的部署第175页176VPN技术及应用介绍-IKEUDP报文，端口号500。对于不一样消息，payload内容不一样。

IPudpisakmp