第5章Internet安全体系结构课件.ppt

《第5章Internet安全体系结构课件.ppt》由会员分享，可在线阅读，更多相关《第5章Internet安全体系结构课件.ppt（72页珍藏版）》请在三一办公上搜索。

1、第5章 Internet安全体系结构,5.1 Internet安全结构布局5.2 网络安全层次模型5.3 OSI安全体系到TCP/IP安全体系的映射5.4 本章小结习题,第5章 Internet安全体系结构5.1 Intern,Internet的广泛应用对组织的系统和信息增加了潜在的不安全风险，采用合适的安全结构，可降低风险。,7.1 Internet安全结构布局,Internet的广泛应用对组织的系统和信息增加了潜在的不安,Internet提供何种服务，选择哪些主机提供服务，以及哪些用户可访问这些服务，都会影响整个网络结构。Internet提供的服务通常有邮件服务、Web服务、内部访问Int

2、ernet、外部访问内部系统。还有一类属于控制的服务，包括域名服务DNS、Internet控制报文协议ICMP。,7.1.1 Internet提供的服务,Internet提供何种服务，选择哪些主机提供服务，以及哪些,1.邮件服务邮件服务通常用来为内部员工提供收发信件。这种服务至少需要建立一个服务器以接收进来的邮件。一个组织也可选择建立公共邮件网关，用作电子邮件讨论组。它允许外部人员将邮件首先发到该系统，系统按照预先确定的用户列表转送邮件。,1.邮件服务,2.Web服务Web服务用来为员工、合作伙伴发布信息。这种服务需要建立一个Web服务器，以及生成需要发布的信息内容。假如Web站点的某些内容是

3、限制的或敏感的，就应使用HTTPS，HTTPS工作在443端口，而不是通常的80端口，后者用于普通的Web通信。HTTPS是HTTP的加密版，HTTP用于标准的Web通信，而HTTPS用于含有敏感信息或需要身份鉴别的Web页面。,2.Web服务,3.内部访问Internet内部员工如何访问Internet是由该组织制定的Internet使用策略确定的。某些组织允许员工访问Internet使用一些服务，如浏览web、聊天、视频或音频流。而有些组织只允许某些员工使用浏览器访问限定的Web站点。表7-1列出了通常允许员工获得的Internet服务。,3.内部访问Internet,表7-1 允许员工获

4、得的Internet服务,表7-1 允许员工获得的Internet服务服 务说,4.外部访问内部系统从外部访问内部系统，对安全和网络管理人员来说是经常要触及的问题。这种情况是指主要用于内部人员在外部需要访问或处理的内部系统事务，而不是为外部访问而设置的Web和邮件服务器。来自外部的访问主要有两类，一类是从远程访问内部系统的本组织员工，另一类是非本组织员工的访问。员工从远程访问内部系统通常使用在Internet上的虚拟专网VPN。,4.外部访问内部系统,另外一种情况是外部组织需访问内部系统。即提供给那些可信的合作伙伴的访问，但必须提出解决方案来管理风险。这时，外部访问并不直接进入内部系统，而是进

5、入某些受控的网络，在后面讲到非军事区时会进一步阐明。,另外一种情况是外部组织需访问内部系统。即提供给那些可信的合作,1.域名服务域名服务（DNS）用来解决系统名字和IP地址的转换。通常内部系统查询一个内部DNS来解决所有的地址。2.Internet控制报文协议Internet控制报文协议（ICMP）提供诸如ping这样的服务，用来发现一个系统是否在工作。,1.域名服务,Internet体系结构应设计成提供需要的服务，也就考虑一些涉及到法律、规范、道德、安全方面的问题的内容不应在internet上发布。,7.1.2 Internet不应提供的服务,Internet体系结构应设计成提供需要的服务，

6、也就考虑一些,为了组织的Internet连接，开发通信结构时，最主要的问题是吞吐率需求和可用性。ISP应提供合适的通信线以满足所需的吞吐率。Internet接入的方案有单线接入、多线接入至单个ISP、多线接入至多个ISP等。,7.1.3 通信结构,为了组织的Internet连接，开发通信结构时，最主要的问题,非军事区（DMZ）是一个非真正可信的网络部分，它提供一个同内部网分开的区域，可供组织的员工通过Internet访问它，也可供商业伙伴和其他的实体访问。,7.1.4 非军事区,非军事区（DMZ）是一个非真正可信的网络部分，它提供一个同内,1.DMZ的定义DMZ是一个非保护的网络区域，通常用网

7、络访问控制来划定，诸如用防火墙或过滤路由器。网络访问控制设定策略，以决定哪些通信允许进入DMZ，哪些通信不允许进入DMZ，如图7.7所示。一般来说，任何能直接被外部用户接触的系统放置在DMZ中。,1.DMZ的定义,图7.7 通用的DMZ策略规则,图7.7 通用的DMZ策略规则,能被外部系统或用户直接访问的系统也是最先受到攻击和可能被破坏的系统。这些系统不可能是安全可信的，因为在任何时间都有可能被破坏。因此必须在DMZ与内部网络严格的隔离，一般通过访问控制来实现。DMZ的一般访问规则是允许外部用户访问DMZ系统上合适的服务，限制访问内部系统的服务。内部系统应初始化DMZ系统的连接，使内部系统能访

8、问DMZ，但不允许外部用户访问内部系统。,能被外部系统或用户直接访问的系统也是最先受到攻击和可能被破坏,2.在DMZ中放置的系统（1）邮件系统邮件系统有外部邮件服务器和内部邮件服务器两种。外部邮件服务器用来接收进入的邮件，也用来发送输出的邮件。新来的邮件首先由外部邮件服务器接收然后送到内部邮件服务器。内部邮件服务器将要发送的邮件传至外部邮件服务器。有些防火墙提供一个邮件服务器。如果使用防火墙的邮件服务器，其功能相当于外部邮件服务器。这种情况下，就不用另外架设外部邮件服务器。,2.在DMZ中放置的系统,图7.8 DMZ和内部网络间的系统布局,图7.8 DMZ和内部网络间的系统布局,（2）Web服

9、务器提供公共访问的Web服务器放在DMZ中，还应放置一个应用服务器。由于Web服务器有时需要与数据库服务器进行连接通信。而Web服务器又接受来自外面的访问，这样就不是完全的可信。最好的方法是引入第三个系统来管理和数据库通信的应用。Web服务器接收用户的输入，并将它提供给应用服务器处理。应用服务器调用数据库，请求合适的信息，将该信息提供到Web服务器，并传递给用户。虽然看起来比较复杂，然而这种网络结构对数据库提供了保护，并解脱了来自Web服务器的请求处理。,（2）Web服务器,（3）外部可访问的系统所有外部可访问的系统应放置在DMZ中。应该记住，假如一个系统可通过诸如Telnet或SSH等交互会

10、话来访问，则用户就有能力对DMZ上的其他系统执行攻击。最好为这些系统生成第二个DMZ，以保护其他DMZ上的系统免受攻击。,（3）外部可访问的系统,（4）控制系统外部DNS系统应放在DMZ中。假如该组织计划有自己的DNS，则DNS服务器对外部的查询必须是可访问的。DNS也是该组织的基础设施的关键部分。因此，必须选择冗余的DNS系统，或者让ISP作为可替换的DNS。,（4）控制系统,3.合适的DMZ结构DMZ结构有多种，各有优缺点，可根据组织的具体情况选用。其中3种通用的结构是：路由器和防火墙、单个防火墙、双防火墙。（1）路由器和防火墙图7.9显示一个简单路由器和防火墙结构。路由器接入ISP和组织

11、的外部网络。防火墙控制内部网络的访问。,3.合适的DMZ结构,图7.9 路由器和防火墙结构,图7.9 路由器和防火墙结构,DMZ如同外部网络和系统一样，可接受来自Internet的访问。因为这些系统是放在外部网中，它们对来自Internet的外部攻击完全开放。为了降低破坏的风险，可在路由器上放置过滤器，只允许由DMZ系统提供的那些服务的通信进入DMZ。,DMZ如同外部网络和系统一样，可接受来自Internet的访,（2）单个防火墙用一个防火墙就可生成一个DMZ。当使用单个防火墙时，DMZ和外部网络是不同的，如图7.10所示。外部网络由ISP路由器和防火墙构成，防火墙单独控制对DMZ的访问。,（

12、2）单个防火墙,图7.10 单个防火墙DMZ结构,图7.10 单个防火墙DMZ结构,（3）双防火墙第三种结构采用双防火墙，如图7.11所示。用两个防火墙将DMZ从外部网络和内部网络分离开。外部网仍然由ISP路由器和第一个防火墙来定义。DMZ存在于第一个防火墙和第二个防火墙之间。防火墙1配置成允许所有的DMZ通信和所有内部通信。防火墙2的配置要严格限制，只允许流出到Internet的通信。,（3）双防火墙,图7.11 双防火墙DMZ结构,图7.11 双防火墙DMZ结构,网络系统必须处理编址问题。如果不对编址进行精心考虑和恰当地配置，会引起很多麻烦。问题的根源是IP地址空间的短缺，目前使用的32位

13、IP地址正被使用耗尽。解决这个问题的方法称为网络地址转换（NAT）。,7.1.5 网络地址转换,网络系统必须处理编址问题。如果不对编址进行精心考虑和恰当地配,1.什么是NATNAT是将一个或多个地址转换成另一组地址。当客户组建网络时，使用ISP为系统提供的30个或一定数量的地址，这些地址对Internet是可见的；而内部系统使用的地址对Internet是不可见的，但由NAT转换后和Internet通信。大多数网络由防火墙或路由器完成此转换任务。但在设置防火墙时，必须配置好。NAT还能提供安全功能，因为它将内部系统的地址隐藏起来，对Internet是不可见的。由于系统是不可见的，就无法寻址和攻击

14、。,1.什么是NAT,2.专用类地址专用类地址是当使用NAT时，确定内部网络的地址。RFC1918规定了专用类地址。已定义的专用类地址如下：10.0.0.010.255.255.255(10.0.0.0/8位掩码)172.16.0.0172.31.255.255(172.16.0.0/12位掩码)192.168.0.0192.168.255.255(192.168.0.0/16位掩码)使用这些地址为一个组织设计内部编址方案时提供了很大灵活性。可以任意使用上面一种或组合的地址，没有任何限制。这些地址对Internet是不可路由的。,2.专用类地址,3.静态NAT静态NAT是从组织的外部网络映射一

15、个单个实际地址到DMZ上的一个系统，NAT将服务器的外部真实地址转换到服务器的内部地址。静态NAT是一对一的配置。静态NAT适用于DMZ上的服务器。,3.静态NAT,4.动态NAT动态NAT将很多内部地址映射到单个真实地址，不是一对一的映射。所用的真实地址是防火墙的外部地址。防火墙跟踪此连接，每个连接使用一个端口。最多可有64 000个同时的动态NAT连接。当使用动态主机配置协议DHCP时，动态NAT对桌面客户特别有用。它与用户的IP设置无关，增加了灵活性和可用性。方便管理与维护。使用动态NAT的系统从外部是无法寻址的，增加了系统的安全性。,4.动态NAT,图7.13 动态网络地址转换,图7.

16、13 动态网络地址转换,1.合作伙伴网络的使用合作伙伴网络用于在组织之间交换文件和数据。这种交换根据组织的需要而定，但这并不意味着一个组织需要无限制地访问另一个组织的网络。2.合作伙伴网络的设置合作伙伴网络的安全需求和Internet连接的安全需求类同，因此可使用相同的网络结构和方法。提供合作伙伴网络服务的系统放在DMZ中。如图7.14所示，防火墙加了两个接口，一个接到合作伙伴网络的DMZ，另一个接到合作伙伴网络。,7.1.6 合作伙伴网络,1.合作伙伴网络的使用7.1.6 合作伙伴网络,图7.14 使用Internet防火墙的合作伙伴DMZ,图7.14 使用Internet防火墙的合作伙伴D

17、MZ,只有在各个结点间安装或租用了专门的通信设施，才能对网络进行第二层保护。对网络的第二层保护一般可以达到点对点间较强的身份认证、保密性和连续的通道认证，在大多数情况下，也可保证数据流的安全。有些安全服务可以提供数据的完整性或至少具有防止欺骗的能力。,7.2 网络安全层次模型 7.2.1 第二层保护的网络链路层安全,只有在各个结点间安装或租用了专门的通信设施，才能对网络进行第,1.IP数据网络的安全IP是一种面向协议的无连接的包，需要施加安全特性。IP包是共享的，也就是说，寻址于特定位置的信息对大量网络组件来说是可读的，用户之间的数据有可能在网络中通过很多的结点和跳跃进行传输。,7.2.2 第

18、三层保护的网络网络层安全,1.IP数据网络的安全7.2.2 第三层保护的网络网络,（1）域名服务器IP网络把高级域名转化为IP地址，这种服务依赖本地或区域域名服务器（DNS）上的信息的正确性。如果没有域名和IP地址之间的准确转换，IP数据包是无法通过网络准确路由的，要么连接无法建立，要么连接的对象并不是我们期望的对象。DNS查询包含必须被转换的地址信息以及对先前转换请求的应答信息。,（1）域名服务器,（4）路由信息动态路由机制确保了信息包在网络中的高效传输，路由信息和路由表的正确性是相当关键的。它能确保连接的路由不被拒绝，并有效使用网络资源。对网络的可用性来说，确保路由表免受攻击是相当关键的。

19、路由器间的更新信息必须使用完整性机制，这将确保路由更新信息在网络上传送时不会被修改。路由表必须防止非授权用户的非法修改，以确保路由表信息的准确性。另外，还需要认证机制，以确保非授权源不会将路由更新信息插入网络。,（4）路由信息,3.防火墙防火墙是建立在内外网络边界上的过滤封锁机制。内部网络被认为是安全和可信赖的。而外部网络（通常是Internet）被认为是不安全和不可信赖的。防火墙的作用是防止不希望的、未经授权的通信进出被保护的内部网络，通过边界控制强化内部网络的安全策略。防火墙作为解决一些机构对于网络边界安全的迫切需求起了相当好的作用。但它只能是网络安全措施的一个组成部分，而不能解决所有的网

20、络安全问题。,3.防火墙,4.IPSec在IP加密传输信道技术方面，IETF已经指定了一个IP安全性工作小组IPSec来制定IP安全协议（IP Security Protocol,IPSP）和对应的Internet密钥管理协议（Internet Key Management Protocol,IKMP）的标准。IPSP的主要目的是使需要安全服务的用户能够使用相应的加密安全体制。,4.IPSec,按照这些要求，IPSec工作组使用认证头部（AH）和安全内容封装（ESP）两种机制，前者提供认证和数据完整性，后者实现通信保密。现在一些防火墙产品已经实现了IP层的加密，使用了AH或ESP，支持IPSe

21、c，一些主要路由器厂商也称支持IPSec。IPSec技术能够在两个网络结点间建立透明的安全加密信道。,按照这些要求，IPSec工作组使用认证头部（AH）和安全内容,IP安全性的主要优点是它的透明性，安全服务的提供不需要应用程序，也不需要其他通信层次和网络部件做任何改动。它的最主要缺点是IP层一般对属于不同进程的包不作区别。对所有去往同一地址的包，它将按照同样的加密密钥和访问控制策略来处理，这将使性能下降。IP层非常适合提供基于主机的安全服务。相应的安全协议可以用来在Internet上建立安全的IP通道和虚拟专网。,IP安全性的主要优点是它的透明性，安全服务的提供不需要应用程,由于TCP/IP协

22、议本身非常简单，没有加密、身份认证等安全特性，因此要向上层应用提供安全通信的机制就必须在TCP之上建立一个安全通信层次。传输层网关在两个通信结点之间代为传递TCP连接并进行控制，这个层次一般称作传输层安全。最常见的传输层安全技术有SSL、SOCKS和安全RPC等。,7.2.3 传输层保护的网络,由于TCP/IP协议本身非常简单，没有加密、身份认证等安全特,具体做法包括双向实体的认证、数据加密密钥的交换等。Netscape通信公司遵循了这个思路，制定了建立在可靠的传输服务（如TCP/IP所提供）基础上的安全套接层协议（SSL）。SSL分为两层，上面是SSL协商层，双方通过协商约定有关加密的算法，

23、进行身份认证等；下面是SSL记录层，它把上层的数据经分段、压缩后加密，由传输层传送出去。SSL采用公钥方式进行身份认证，但是大量数据传输仍使用对称密钥方式。通过双方协商，SSL可以支持多种身份认证、加密和检验算法。,具体做法包括双向实体的认证、数据加密密钥的交换等。Netsc,两个层次对应以下两个协议：（1）SSL记录层协议。它涉及应用程序提供的分段、压缩、数据认证和加密。SSL v3提供对数据认证用的MD5和SHA以及数据加密用的R4和DES等的支持，用来对数据进行认证和加密的密钥可以通过SSL的握手协议来协商。（2）SSL协商层协议。用来交换版本号、加密算法、（相互）身份认证并交换密钥。S

24、SL v3提供对DeffieHellman密钥交换算法、基于RSA的密钥交换机制和另一种实现在Frotezza chip上的密钥交换机制的支持。,两个层次对应以下两个协议：,使用SSL协议通信的双方通过协商层来约定协议版本、加密算法，进行身份验证，生成共享密钥等。SSL协商层的工作过程如图7.16所示。SSL记录层接收上层的数据，将它们分段；然后用协商层约定的压缩方法进行压缩，压缩后的记录用约定的流加密或块加密方式进行加密，再由传输层发送出去。,使用SSL协议通信的双方通过协商层来约定协议版本、加密算法，,图7.16 SSL协议会话过程示意图,图7.16 SSL协议会话过程示意图,IP层的安全

25、协议能够为网络连接建立安全的通信信道，传输层安全协议允许为进程之间的数据通道增加安全属性，但它们都无法根据所传送的不同内容的安全要求予以区别对待。如果确实想要区分具体文件的不同的安全性要求，就必须在应用层采用安全机制。提供应用层的安全服务，实际上是最灵活的处理单个文件安全性的手段。只有应用层是惟一能够提供这种安全服务的层次。,7.2.4 应用层安全性,IP层的安全协议能够为网络连接建立安全的通信信道，传输层安全,一般说来，在应用层提供安全服务有下面几种可能的做法。首先是对每个应用（及应用协议）分别进行修改和扩展，加入新的安全功能。例如，在RFC14211424中，IETF规定了私用强化邮件（P

26、EM）来为基于SMTP的电子邮件系统提供安全服务。,一般说来，在应用层提供安全服务有下面几种可能的做法。首先是对,建立一个PKI需要很多非技术因素，因为它需要各方在一个共同点上达成信任。由于需要满足各方的要求，整个PKI建立过程很长。作为一个中间软件包PGP（Pretty Good Privacy）。它符合PEM的绝大多数规范，但不必要求PKI的存在。相反，它采用了分布式的信任模型，即由每个用户自己决定该信任哪些用户。因此，PGP不是去推广一个全局的PKI，而是让用户自己建立自己的信任网。,第5章Internet安全体系结构课件,S-HTTP是Web上使用的超文本传输协议（HTTP）的安全增强

27、版本。S-HTTP提供了文件级的安全机制，因此每个文件都可以设置成保密/签字状态。用作加密及签名的算法可以由参与通信的收发双方协商。S-HTTP提供了对多种单向散列（Hash）函数的支持，如MD2、MD5及SHA；对多种私钥体制的支持，如DES、三元DES、RC2、RC4，以及CDMF；对数字签名体制的支持，如RSA和DSS。,S-HTTP是Web上使用的超文本传输协议（HTTP）的安全,S-HTTP和SSL是从不同角度提供Web的安全性。S-HTTP对单个文件作“保密/签字”之区分，而SSL则把参与通信的相应过程之间的数据通道按“保密”和“已鉴别”进行监管。除了电子邮件系统外，另一个重要的应

28、用是电子商务，尤其是信用卡交易。为使Internet上的信用卡交易安全起见，MasterCard公司（与IBM、Netscape、GTE和Cybercash等公司一起）制定了安全电子付费协议（SEPP），Visa国际公司与微软公司（和其他一些公司一道）制定了安全交易技术（STT）协议。,S-HTTP和SSL是从不同角度提供Web的安全性。S-HT,同时，MasterCard、Visa国际公司和微软公司已经同意联手推出Internet上的安全信用卡交易服务。他们发布了相应的安全电子交易（SET）协议，其中规定了信用卡持有人用其信用卡通过Internet进行付费的方法。这套机制的后台有一个证书颁发

29、的基础设施，提供对X.509证书的支持。SET标准在1997年5月发布了第一版，它提供数据保密、数据完整性、对于持卡人和商户的身份认证以及其他安全系统的互操作性。,同时，MasterCard、Visa国际公司和微软公司已经同,由于应用程序要使用身份认证和密钥分发系统的API，这要求有统一的API，使得应用程序能不作修改就使用不同的身份认证和密钥分发系统提供的服务。能做到这一点，开发人员就不必再为增加很少的安全功能而对整个应用程序动大手术了。因此，认证系统设计领域内最主要的进展之一就是制定了标准化的安全API，即通用安全服务API（GSS-API）。,由于应用程序要使用身份认证和密钥分发系统的A

30、PI，这要求有统,随着WWW应用领域的扩大，安全和管理等问题日益受到重视。由于最初HTTP协议在设计时注重的是方便的交流，并没有考虑安全的问题，对于WWW的资源管理缺乏有效的安全保护；后来的HTTP1.0和 HTTP1.1协议本身也只提供了相当有限的认证机制，仍然没有全面的安全保证。加上WWW是建立在Internet的基础上，Internet的安全隐患也使得WWW的进一步应用受到限制。这些已经阻碍了它的进一步实际商业使用。,7.2.5 WWW应用安全技术,随着WWW应用领域的扩大，安全和管理等问题日益受到重视。由于,WWW应用安全的解决方案需要结合通用的Internet安全技术和专门针对WWW

31、的技术。前者主要指防火墙技术，后者包括根据WWW技术的特点改进HTTP协议或者利用代理服务器、插入件（plug in）、中间件等技术来实现的安全技术。HTTP协议目前已经有了3个版本，分别是HTTP0.9、HTTP1.0、HTTP1.1。,WWW应用安全的解决方案需要结合通用的Internet安全技,HTTP1.0中提供了一个基于口令的基本认证方法（Basic Authentication Scheme）,目前，所有Web服务器都可以通过“基本身份认证”支持访问控制。浏览器将用户输入的用户名和口令经过一定的编码传给服务器方。在检验了用户身份和口令后，服务器方才发送回所请求的页面或者执行CGI程

32、序。用户也可以选择使用SSL建立加密信道传输。,HTTP1.0中提供了一个基于口令的基本认证方法（Basic,HTTP1.1在身份认证上，针对基本认证方法以明文传输口令这一最大弱点补充了摘要认证方法（Digest Authentication Scheme）,不再传递口令的明文，而是将口令经过散列函数变换以后传递它的摘要。使用摘要认证，攻击者再也不能截获口令，最多只能进行重放攻击，而且这种攻击也被限定在很短时间内，并只能用于同样的访问请求。,HTTP1.1在身份认证上，针对基本认证方法以明文传输口令这,从安全角度来看，HTTP协议中的基本身份认证存在不少潜在的问题，浏览器以明文的方式传递用户名

33、和口令，或者接近明文（编码或者散列）。一些浏览器（如Netscape）支持采用SSL加密信道返回用户名和口令，但是并不是所有WWW服务器支持SSL服务器方，它们必须通过支持SSL的安全服务器才能触发这种操作模式。这也带来了一些安全漏洞。,从安全角度来看，HTTP协议中的基本身份认证存在不少潜在的问,其他针对HTTP协议的改进还有安全HTTP协议（S-HTTP）。它建立在HTTP1.1的基础上，提供了数据加密、身份认证、数据完整、防止否认等功能。S-HTTP强调的是灵活性，因此，它通过协商可以选择不同的密钥管理方法、安全策略，以及加密算法等。它支持数种报文格式标准。在对称密钥方式下工作时，它不要

34、求客户方用公钥Certificate进行身份认证，相对于SSL而言，降低了对公钥体系的要求。,其他针对HTTP协议的改进还有安全HTTP协议（S-HTTP,ISO7498-2给出的是开放系统互连安全的一种参考模型，它是从现实应用的各种网络中提取出较为抽象的共性而形成的国际标准。这种开放系统的参考模型以及基于它而构建的安全体系结构，对于网络环境下的具体应用，有着普遍的指导意义。TCP/IP协议是一个4层概念模型，即应用层、传输层、网络层和网络接口层。TCP/IP模型中的每一层对应于OSI参考模型中的一层或多层。因而可以根据ISO7498-2的安全体系结构，将各种安全服务与安全机制映射到TCP/I

35、P协议集中，如表7-6所示。,7.3 OSI安全体系到TCP/IP安全体系的映射,ISO7498-2给出的是开放系统互连安全的一种参考模型，它,Internet安全体系结构是基于TCP/IP层模型之上的网络安全体系结构，包括Internet安全结构的布局（服务配置、通信结构开发、非军事区DMZ设定等）以及不同层次网络的保护机制与安全技术。,7.4 本章小结,Internet安全体系结构是基于TCP/IP层模型之上的网,TCP/IP是一种分层模型的协议集。它是由基于硬件层次上的4个概念性层次构成，即应用层、传输层、IP层和网络接口层。它包含两个重要分界线，一个是协议地址分界线，以区分高层和低层的

36、寻址；另一个是操作系统分界线，以区分系统与应用程序。IP协议是一种不可靠的、无连接传送机制。用户数据报协议（UDP）是一种提供应用程序之间传送数据报的机制。TCP协议是一种可靠的、面向连接的传送机制。Internet提供的服务通常有邮件服务、Web服务、内部访问Internet、外部访问内部系统。提供的控制的服务有域名服务（DNS）、控制报文协议（ICMP）、网络时间协议（NTP）。Internet不应提供的服务包括那些不需要的服务，特别是会产生很大风险的服务。,TCP/IP是一种分层模型的协议集。它是由基于硬件层次上的4,基于TCP/IP分层模型的网络安全服务也是分层的，相应的不同层次的网络

37、服务也是不同的，需要分层进行配置。包括物理层的安全、链路层的加密保护、网络层的防火墙及IP加密、传输层的安全套接字层以及在应用层针对用户身份进行认证并建立起安全的访问通道。,基于TCP/IP分层模型的网络安全服务也是分层的，相应的不同,7-1 VPN的加密手段为（）。A.具有加密功能的防火墙B.带有加密功能的路由器C.VPN内的各台主机对各自的信息进行相应的加密D.单独的加密设备7-2 IPSec协议中负责对IP数据报加密的部分是（）。A.封装安全负载（ESP）B.鉴别包头（AH）C.Internet密钥交换（IKE）D.以上都不是,习题,7-1 VPN的加密手段为（）。习题,7-3 分组过滤

38、型防火墙原理上是基于（）进行分析的技术。物理层 B.数据链路层 C.网络层 D.应用层7-4 SSL产生会话密钥的方式是（）。A.从密钥管理数据库中请求获得B.每一台客户机分配一个密钥的方式C.随机由客户机产生并加密后通知服务器D.由服务器产生并分配给客户机7-5（）属于Web中使用的安全协议。A.PEM、SSL B.S-HTTP、S/MIMEC.SSL、S-HTTP D.S/MIME、SSL,7-3 分组过滤型防火墙原理上是基于（）进行分析的技术。,7-6 为了降低风险，不建议使用的Internet服务是（）。A.Web服务 B.外部访问内部系统C.内部访问Internet D.FTP服务7

39、-7 为了提高可用性，采用多线接入多个ISP的通信结构，采用这种方案需要解决的问题是（）。A.需要ISP具有边界网关协议BGP知识B.连接物理路由的冗余C.编址方案D.以上3项都是,7-6 为了降低风险，不建议使用的Internet服务是（）,7-8 对非军事区DMZ而言，正确的解释是（）。A.DMZ是一个非真正可信的网络部分B.DMZ网络访问控制策略决定允许或禁止进入DMZ通信C.允许外部用户访问DMZ系统上合适的服务D.以上3项都是7-9 对动态网络地址转换（NAT），不正确的说法是（）。A.将很多内部地址映射到单个真实地址B.外部网络地址和内部地址一对一的映射C.最多可有64 000个同

40、时的动态NAT连接D.每个连接使用一个端口,7-8 对非军事区DMZ而言，正确的解释是（）。,7-10 第二层保护的网络一般可达到点对点间（）。A.较强的身份认证 B.保密性C.连续的通道认证 D.以上3项都是7-11 第三层保护的网络与第二层保护的网络相比在通信成本上占有一定优势，它只需要（）进行保护。主要采用的技术是（）。A.认证机制，防火墙 B.访问控制机制，IPSecC.访问控制机制，防火墙和IPSecD.认证机制，防火墙和IPSec,7-10 第二层保护的网络一般可达到点对点间（）。,7-12 传输层保护的网络采用的主要技术是建立在（）基础上的（）。A.可靠的传输服务，安全套接字层SSL协议B.不可靠的传输服务，S-HTTP协议C.可靠的传输服务，S-HTTP协议D.不可靠的传输服务，安全套接字层SSL协议,7-12 传输层保护的网络采用的主要技术是建立在（）基础上的,