第八章：网络安全目录网络的不安全性目录IPSec2.1IPSec:基于标准的IP安全性解决方案IPSec是用于对网络连接进行安全保护的长期发展方向，它提供了一道用户防范专用网络和Internet攻击的防线，并且，权衡了易用性和安全性。IPSec是IP协议的扩展，它可保护IP数据包免遭探查和修改，并提供防止网络攻击的防线，IPSec具有阻止前面提到的大多数安全性攻击的能力。IPSec协议上述两个阶段分别由以下几个协议规定:IPsec标准之间的关系安全策略IPSec组件总结1安全封装协议封装模式1安全封装协议两种封装协议IP头带有AH报头的IP数据报AH报头格式载荷长度：规定了AH的长度。SPI:同ESP安全序号：同ESP2安全关联（SA）3Internet密钥交换（IKE）IKE交换过程IPSecWindows中的IPSec在Windows2000中实现IPSec确定安全级别建立安全策略IPSEC能做什么IPSec策略的规则预定义的IPSec策略创建自定义的IPSec策略IP安全策略的规则IP安全策略的规则筛选器包含的设置IP数据包的源和目的地址。正在传输的数据包所使用的传输协议TCP和UDP协议的源和目的端口。IP筛选器的操作筛选器操作用来定义数据传输的安全需求IP筛选器操作类型IPSec配置的简单实例1(禁用协议)运行“IP安全策略”管理工具（开始程序管理工具本地安全策略IP安全策略）右键点击“IP安全策略，在本地机器”创建IP安全策略添加IP安全策略完毕实例2：关闭端口实例3（加密传输）目录VPN概述应用背景防火墙存在的安全隐患不能有效阻止来自内网的攻击不能对网络中传输内容加密用于加密的SSL协议不能应用于所有应用程序VPN几种VPN协议比较举例Vpn客户端远程访问服务器目录SSL(SecuresocketLayer)SSL概述SSLSSL结构ssl实现过程SSL的工作原理1SSL记录协议2SSL握手协议层SSL握手协议层SSL握手协议握手协议定义的消息类型(1)握手协议定义的消息类型(2)SSL协议的实现HTTPSMTPPOP38025110SSL协议在“重传攻击”上，有它独到的解决办法。SSL协议为每一次安全连接产生了一个128位长的随机数——“连接序号”。理论上，攻击者提前无法预测此连接序号，因此不能对服务器的请求做出正确的应答。一个安全协议除了基于其所采用的加密算法安全性以外，更为关键的是其逻辑严密性、完整性、正确性，从目前来看，SSL比较好地解决了这一问题。SSL的安全性SSL缺陷1在SSL的客户机/服务器模式下，即使服务器端可以支持位数更多的密钥长度，具有较高的安全强度，但由于客户端的限制，实际SSL连接中只能使用客户端较低位数的密钥长度来进行安全信息传输。很多安全系统的客户端大都安装了一个SSL代理程序，它直接接管浏览器发送和接收的信息，利用安全的密钥长度与服务器进行交互（必要的时候还需要在服务器端安装SSL服务器代理）。SSL的缺陷2SSL的应用SSL的典型使用：HTTPS举例:SSL的使用https://reg.163.comWindows系统中使用SSL保护Web站点举例：设置SSL通信在客户端和服务器端，安装根证书生成证书请求，并提交给CA生成证书设置网站的ssl通信小结