《数据传输安全性的规划、部署和故障排除2823A_10》由会员分享,可在线阅读,更多相关《数据传输安全性的规划、部署和故障排除2823A_10(62页珍藏版)》请在金锄头文库上搜索。
1、第 10 章 数据传输传输 安全性的规规划、 部署和故障排除l第1章 规规划和配置授权权和身份验证验证 策略l第2章 安装、配置和管理证书颁发证书颁发 机构l第3章 配置、部署和管理证书证书l第4章 智能卡证书证书 的规规划、实现实现 和故障诊诊断l第5章 加密文件系统统的规规划、实现实现 和故障排除l第6章 规规划、配置和部署安全的成员员服务务器基线线l第7章 为为服务务器角色规规划、配置和部署安全基线线l第8章 规规划、配置、实现实现 和部署安全客户户端计计算机基线线l第9章 规规划和实现软实现软 件更新服务务l第10章 数据传输传输 安全性的规规划、部署和故障排除l第11章 部署配置和管
2、理SSLl第12章 规规划和实实施无线线网络络的安全措施l第13章 保护远护远 程访问访问 安全网络络安全的实现实现 和管理 -以Windows Server 2003和ISA Server 2004为为例网络络安全的实现实现 和管理 -以Windows Server 2003和ISA Server 2004为为例 l第14章 Microsoft ISA Server 概述l第15章 安装和维护维护 ISA Serverl第16章 允许对许对 Internet 资资源的访问访问l第17章 配置 ISA Server 作为为防火墙墙l第18章 配置对对内部资资源的访问访问l第19章 集成 ISA
3、 Server 2004和Microsoft Exchange Serverl第20章 高级应级应 用程序和Web筛选筛选l第21章 为远为远 程客户户端和网络络配置虚拟专拟专 用网络访问络访问l第22章 实现缓实现缓 存l第23章 监视监视 ISA Server2004第 10 章 数据传输传输 安全性的规规划、部署和故 障排除l安全数据传输传输 方法lIPSec 简简介l规规划数据传输传输 安全性(网络络通信图图)l实现实现 安全数据传输传输 方法lIPSec 通信故障排除l企业业的敏感数据保护应该护应该 从哪几个方面去考虑虑?安全数据传输传输 方法l安全数据传输传输 面临临的威胁胁 lS
4、SL 和 TLSlSSL/TLS 保护护数据安全的方法lPPTPlPPTP 保护护数据安全的方法lSMB 签签名lLDAP 签签名lWEP 确保数据保密性的方法lWPA 确保数据保密性的方法10.1 安全数据传输传输 方法安全数据传输传输 面临临的威胁胁电电子欺 骗骗 重现现 中间间人 拒绝绝服 务务 数据包 嗅探 10.1.1 安全数据传输传输 面临临的威胁胁SSL 和 TLS(secure sockets layer、transport layer security)提供了基于公钥与对称密钥的会话加密、完整性验证 和 服务器身份验证 (对对称和非对对称算法都用了) 保护客户端与服务器通信免
5、受窃听、篡改数据和消息伪 造 OSI(Open Standard Interconnect,开放互连)模型的传输层 与应用层间身份验证 保密性 消息完整性加密特点SSL 和 TLS10.1.2 SSL 和 TLS10.1.3 SSL/TLS 保护护数据安全的方法SSL/TLS 保护护数据安全的方法(书书P215)在 Web 服务务器上启用 SSL 的方法演示:如何在 Web 服务务器上启用 SSL 的方法10.4.4 在 Web 服务务器上启用 SSL 的方法PPTP(Point to Point Tunneling Protocol )PPTP加密特点用于LAN、WAN 或 Internet
6、 进行客户端到服务器的安 全数据传输 使用拨号连接中的点对点协议 (PPP)来在连接中 建立终结 点 PPTP 位于 OSI 模型的第二层身份验证 (pap、ms-chap、eap):服务器验证 客 户 保密性(40位的mppe:即microsoft 点对对点加密,或128位的 RC4) 支持通过mppc( microsoft 点对点压缩)数据压缩 不提供消息完整性或数据源身份验证 (GFG-微软)10.1.4 PPTPPPTP 安全流程PPTP通过过PPTP控制连连接来创创建、维护维护 、终终止一条 隧道,并使用通用路由封装GRE(Generic Routing Encapsulation)
7、对对PPP帧进帧进 行封装。 封装前,PPP帧帧的有效载载荷首先必须经过须经过 加密、压缩压缩 或是两者的混合处处理。 PPTP控制连连接(P217-218) 控制隧道中的会话建立、释放和维护逻辑连 接 封装数据 建立控制连接后,PPP数据用GRE协议来封装10.1.5 PPTP 保护护数据安全的方法PPTP 保护护数据安全的方法VPN通过过PPTP拔入演示:为远为远 程客户户提供VPN拔入服务务SMB 签签名(SMB, Server Message Block,也称为CIFS) SMB 签签名使用带有密钥的哈希(keyed hash)来保护每个 SMB 数据包的完整性的数字签名方法 保护网络
8、通信不受中间人攻击和 TCP/IP 会话劫持 攻击 使用消息摘要(MD5)算法对通信进行数字签名特点相互的身份验证 消息完整性10.1.6 SMB 签签名启用 SMB 签签名的方法演示:如何启用 SMB 签签名的方法10.4.2 启用 SMB 签签名的方法计计算机配置windows设设置安全设设置本地策略安全选项选项 Microsoft网络络客户户端:数字签签名的通信Microsoft网络络服务务器:数字签签名的通信LDAP 签签名LDAP 签签名确保数据来自已知的来源 数据未被篡改数据不以明文传输双向身份验证 消息完整性加密特点10.1.7 LDAP 签签名启用LDAP签签名的方法演示:如何
9、启用 LDAP 签签名的方法10.4.2 启用 SMB 签签名的方法计计算机配置windows设设置安全设设置本地策略安全选项选项 域控制器: LDAP 服务务器签签名要求网络络安全: LDAP 客户户端签签名要求WEP(wired equivalent privacy)l802.11委员员会为为无线线网络络数据安全传输传输 提出的一 个协议协议l三种密钥长钥长 度:40位、128位、256位(RC4)l在工作站和无线线路由器(或AP)间间提供数据加密特点l数据加密l数据完整性WEP 加密过过程客户端启动与无线接入点的连接 客户端使用循环冗余校验 32(CRC-32,Cyclic Redund
10、ancy Check-32)算法创建数据的校验和 ,并将该值 附到数据帧的末尾 数据包经过 RC4 算法加密并在无线网络上传 输 无线接入点收到数据包并使用密钥将其解密 无线接入点验证 CRC-32 并在 LAN 上发送数 据包1234510.1.8 WEP 确保数据保密性的方法WEP 确保数据保密性的方法WEP:wired equivalent privacy,密钥钥交换过换过 程不安全WPA(Wi-Fi protected Aceess, Wi-Fi 保护访问护访问 )l在802.11i中对对无线线局域网安全性改进进的一个协议协议l相对对WEP来说说,WPA通过过TKIP(Temporal
11、 key Integrity Potocol,临时临时 密钥钥完整性协议协议 )每发发送10K 数据就动态动态 改变变加密密钥钥,而WEP没提供安全交 换换加密密钥钥的机制lWPA采用Michael算法来生成消息完整性码码( MIC,message integrity code)来保证证数据完整性特点l数据加密l数据完整性l可防重放功击击WPA:TKIP+802.1X+EAP WPA2:CCMP+802.1X+EAPWPA 加密过过程(密钥动态变换钥动态变换 )客户端启动与无线接入点的连接 客户端使用 Michael 消息完整性代码(MIC) 创建数据的校验和,并将该值 附到数据帧的 末尾 数
12、据包经过 RC4 或 AES 算法加密并在无线网 络上传输 无线接入点收到数据包并使用密钥将其解密 无线接入点验证 MIC 并在 LAN 上发送数据包1234510.1.9 WPA 确保数据保密性的方法WPA 确保数据保密性的方法WPA:Wi-Fi Protected Access P书书220下第 10 章 数据传输传输 安全性的规规划、部署和故 障排除l安全数据传输传输 方法lIPSec 简简介l规规划数据传输传输 安全性l实现实现 安全数据传输传输 方法lIPSec 通信故障排除IPSec 简简介l lIPSec IPSec 概述概述lIPSec 的功能和特点l用于加密功能的 IPSec
13、 模式l使用 IPSec 进进行身份验证验证 的方法lIPSec 策略10.2 IPSec 简简介IPSec 概述IPSec:Internet Protocol Security (Internet协议协议 安全)l工作在网络层以保护数据传输安全l它是一个开放的协议,可采用各种不同的 算法来保证数据的保密性和完整性。l通过ISAKMP (Internet Security Association and Key Management Protocol ,Internet 安全关联 和密钥管理协议)服务和IKE ( Internet 密 钥交换)来实现安全密钥交换l对对上层协议层协议 和应应用程
14、序是透明的IPSec 的功能功能数据包筛选 保护特定路径的主机到主机通信 保护到服务器的通信 VPN 连接的 L2TP/IPSec 站点到站点隧道包括策略的结果集(RSOP,Resultant Set of Policy) 的 IPSec 扩展 能够穿越网络地址转换(NAT)服务器 -Windows Server 2003 IPSec 新特性10.2.1 IPSec 的功能和特点L2TP:Layer 2 Tunneling Protocol 能够使用 ESP来 加密传输 或使用 AH 来进行数据 包签名路由器路由器隧道模式 能够在两个主机 之间使用传输 模 式能够在两个网络 间使用隧道模式 进
15、行数据加密ESPAH路由器传输传输 模式10.2.2 用于加密功能的 IPSec 模式用于加密功能的 IPSec 模式ESP:Encapsulation Security payload,封装安全有效负载;AH:Authentication Header,身份验证头IPSEC特点l身份验证验证l保密性l消息完整性l不可抵赖赖性lAH: Authentication Header,身份验证头验证头 ,提供了消 息完整性和不可抵赖赖性保障,AH可使用SHA-1或 MD5算法lESP:Encapsulation Security payload,封装安全有效 负载负载 ,提供消息保密性、完整性检查检
16、查 和不可抵赖赖 性保障,可使用DES或3DES等加密算法l有两种模式:传输传输 模式和遂道模式IKE协协商IKE协协商过过程AH数据包结结构ESP数据包结结构身份验证 方法用途Kerberos V5 安全协 议可以在同一个域或信任域中任 何运行 Kerberos V5 协议的 计算机上使用公钥证书Internet 访问对企业资 源的远程访问外部业务 伙伴通信未运行 Kerberos V5 安全通信的计算 机预共享密 钥不需要客户端运行 Kerberos V5 协议 或拥有公钥证书10.2.3 使用 IPSec 进进行身份验证验证 的方法使用 IPSec 进进行身份验证验证 的方法IPSec 策略:定义义IPSEC规则规则 使用要求IPSec 使用策略和规则规则 来保障网络传输络传输 安全规则规则 基本组组件:要匹配的通信类型(筛选器列表,也就是对于什么数据流)当通信匹配时做些什么(对选 定的数据流要做的操作)身份验证 方法隧道或传输 模式规则应 用的网络类 型缺
