网络工程师培训教程-网络安全

本文由875895807贡献
ppt文档可能在WAP端浏览体验不佳。建议您优先选择TXT，或下载源文件到本机查看。
主题十二
网络安全
国家信息化工程师认证考试管理中心
12.1 主要知识点
12.2 12.3 12.4 12.5 安全计算 VPN 风险管理典型试题分析
12.2 安全计算
信息安全的基本概念保密性和完整性非法入侵和病毒的防护
12.2.1 信息安全的基本概念
机密性：确保信息不暴露给未授权的实体或进程。完整性：只有得到允许的人才能够修改数据，并且能够判别出数据是否已被篡改。
信息
可用性：得到授权的实体再需要时可访问数据，即攻击着不能占用所有的资源而阻碍授权者的工作。可控性：可以控制授权范围内的信息流向以及行为方式。可审查性：对出现的网络安全问题提供调查的依据和手段。
信息和网络安全现状
现在全球普遍存在信息安全意识欠缺的状况，着导致大多数的信息系统和网络存在着先天性的安全漏洞和安全威胁。国际上也存在着信息安全管理不规范和标准不统一的问题。在信息安全的发展过程中，企业和政府的要求有一致性的地方，也有不一致的地方。信息和网络安全的技术仍然在发展过程中，“绝对的安全是不可能的”和“木桶原理”也让一些使用者踌躇不前，市场上“叫好不叫卖”的现象仍然存在。同样在国内，信息安全产品的“假、大、空”现象在一定程度的存在，防火墙变成了“铜墙铁壁”，产生这种情况的原因在于包括监督不力和信息安知识的普及程度不够。
网络中存在的威胁
非授权访问信息泄漏或丢失破坏数据完整性拒绝服务攻击利用网络传播病毒
12.2.2 保密性和完整性
私钥和公钥加密标准（DES、IDEA、RSA）认证（数字签名、身份认证）完整性（SHA、MDs）访问控制（存取权限、口令）
加密方法的分类与识别
手工密码按应用技术或历史上发展阶段划分应用技术或历史上发展阶段划分机械密码电子机内乱密码计算机密码理论上保密的密码按保密程度划分保密程度划分实际上保密的密码不保密的密码对称式密码按密钥方式划分密钥方式划分非对称式密码模拟型密码数字型密码
私钥和公钥加密标准（DES、IDEA、RSA） DES、IDEA、RSA）
私钥加密标准是一种对称加密算法，用户使用同一个密钥加密和解密，包括DES、3DES和IDEA等。公钥加密标准是一种非对称加密算法，加密和解密使用不同的密钥，RSA是其中的代表，已经成为公钥加密标准的代名词。 DES（数据加密标准），输入、输出均为64位，密钥为56位（虽然总共是64

位，但是其中8位是奇偶校验位，实际上密钥只有56 位是有效的）。3DES是对DES算法的三次运行，将替代DES。 3DES需要高级别安全性时使用。3DES 将每个数据块处理三次。采用112b的密钥。使用密钥 1 加密数据块，使用密钥 2 解密数据块，使用密钥1 加密数据块
私钥和公钥加密标准（DES、IDEA、RSA） DES、IDEA、RSA）
IDEA（国际数据加密算法），明文块和密文块都是64位，但密钥长128位，是目前数据加密中应用得较为广泛的一种密码体制。 RSA（根据三位创立者的名字命名），发送者用接受者公钥对消息加密，接受者用自己的密钥解密。
DES算法的应用误区 DES算法的应用误区
DES算法具有较高的安全性，到目前为止，除了用穷举搜索法对 DES算法进行攻击外，还没有发现更有效的办法。而56位长的密钥的穷举空间为256，这意味着如果一台计算机的速度是每一秒一百万个密钥，则它搜索完全部密钥就需要将近2285年的时间，可见，这是难以实现的，当然，随着科学技术的发展，当出现超高速计算机后，可考虑把DES密钥的长度再增长一些，以此来达到更高的保密程度。由上述DES算法介绍可以看到：DES算法中只用到64位密钥中的其中56位，而第8、16、24……64位以外的其余56位的组合变化256 才得以使用其他的56位作为有效数据位，才能保证DES算法安全可靠地发挥作用。如果不了解这一点，把密钥K的8、16、24……64位作为有效数据使用，将不能保证DES加密数据的安全性，对运用 DES来达到保密作用的系统产生数据被破译的危险，这正是DES算法在应用上的误区，留下了被人攻击、被人破译的极大隐患。
认证（数字签名、身份认证）
在信息技术中，所谓“认证”，是指通过一定的验证技术，确认系统使用者身份，以及系统硬件（如电脑）的数字化代号真实性的整个过程。其中对系统使用者的验证技术过程称为“身份认证”。身份认证一般会涉及到两方面的内容，一个是识别，一个是验证。所谓识别，就是要明确访问者是谁？即必须对系统中的每个合法（注册）的用户具有识别能力。要保证识别的有效性，必须保证任意两个不同的用户都不能具有相同的识别符。所谓验证是指访问者声称自己的身份后（比如，向系统输入特定的标识符），系统还必须对它声称的身份进行验证，以防止冒名顶替者。识别符可以是非秘密的，而验证信息必须是秘密的。身份认证的本质是被认证方有一些信息（无论是一些秘密的信息还是一些个人持有的特殊硬件或个人特有的生物学信息），除被认证方自己外，任何第三方（在有些需要认证权威的方案

中，认证权威除外）不能伪造，被认证方能够使认证方相信他确实拥有那些秘密（无论是将那些信息出示给认证方或者采用零知识证明的方法），则他的身份就得到了认证。
身份认证的理论分类
单因素静态口令认证分类双因素认证 / 认证认证
实际的认证手段
What you know? What’s you have? Who are you? Where are you?
认证技术的完整性（SHA、MDS）认证技术的完整性（SHA、MDS）
报文摘要MD4：：报文摘要创建 128 位散列值并由 RSA Data Security, Inc 开发的散列算法。报文摘要MD5：：报文摘要消息摘要 5 (MD5) 基于 RFC 1321，它是针对 MD4 中发现的薄弱环节而开发的。MD5 通过数据块（MD4 完成三项传递）完成四项传递，对每一项传递的消息中的每个字采用一种不同的数字常量。 MD5 计算中使用的 32 位常量的个数等于 64，最终会产生一个用于完整性校验的 128 位的哈希。但是 MD5 比较消耗资源，它可比 MD4 提供更强的完整性。安全散列算法SHA：：安全散列算法以任意长度报文作为输入，按512b的分组进行处理。产生160b的报文摘要输出。
数字签名与身份认证
数字签名是通过一个单向函数对要传送的报文进行处理得到的用以认证报文来源并核实报文是否发生变化的一个字母数字串。数字证书采用公钥体制，利用一对互相匹配的密钥进行加密解密。在公钥密码体制中，常用的一种是RSA体制。证书格式遵循ITU X.509国际标准。证书由某个可信的证书发放机构CA建立。
访问控制（存取权限、口令）
访问控制管理指的是安全性处理过程，即妨碍或促进用户或系统间的通信，支持各种网络资源如计算机、Web服务器、路由器或任何其它系统或设备间的相互作用。认证过程主要包含两个步骤： ? 认证：登录过程； ? 自主访问控制（Discretionary Access Control）:校验用户决定他们是否有权访问具有更高安全控制权限的敏感区域和文件的认证级别。
12.2.3 非法入侵和病毒的防护
防火墙入侵检测安全协议（IPSec、SSL、ETS、PGP、S-HTTP、TLS、Kerberos）可信任系统硬件安全性计算机病毒保护文件的备份和恢复个人信息控制匿名不可跟踪性网络设备可靠性应付自然灾害环境安全性 UPS
防火墙
简介：简介：防火墙作为一种放置于Internet和企业内部网Intranet之间，进行数据包的访问控制的工具，是我们进行网络安全化建设中必须考虑的要素。如果把Internet比喻成为现实生活中的大街，Intranet比喻成一所房子，数据比喻成为来往于大街和房子之间形形色色的人们，那么防火墙则为守护这所房子忠实的保安。他会从进出房子的

人们中识别出哪些是房子的主人（正常进出网络的数据）；哪些是企图进入房子的不法分子（恶意的数据包），允许房子的主人进入房子，拒绝不法分子进入房子，从而保证了房子中的物品安全。
防火墙
防火墙的定义：防火墙的定义：防火墙是一种高级访问控制设备，它是置于不同网络安全域之间的一系列部件的组合，是不同网络安全域间通信流的唯一通道，能根据企业有关的安全策略控制（允许、拒绝、监视、记录）进出网络的访问行为。防火墙可以是硬件系统、路由器，也可以是个人主机、主系统和一批主系统，用于把网络或子网同那些可能被子网外的主系统滥用的协议和服务隔绝，实施访问控制功能。防火墙必须部署到不同安全域之间的唯一通道。如果不同安全域之间（例如财务子网和工程子网）有多条通道，而只是再其中一条通道之间部署防火墙，那么此时的防火墙就没有任何意义。安全规则，防火墙上的安全策略定义哪些数据包可以通过防火墙，哪些数据包不可以通过防火墙，安全策略是防火墙能够实施访问控制的关键因素。如果仅设立防火墙系统，而没有全面的安全策略，那么防火墙就形同虚设。
防火墙
防火墙的发展
第二阶段：用户化的防火墙工具集第第阶段：阶段：具用的防火墙的防火墙第一阶段：基于路由器的防火墙
防火墙
Web Server Firewall
Mail Server
防火墙的位置防火墙技术包过滤技术状态检测技术应用代理技术
Interne t
防火墙
DoS/Ddos攻击
数据包状态检测过滤
防止入侵者扫描防止源路由攻击防止IP碎片攻击防止ICMP/IMP攻击抗IP假冒攻击
防火墙的功能
防御功能应用代理 URL过滤 IP NAT MAC
防火墙
吞吐量防火墙的性能指标延迟并发连接数平均无故障时间
防火墙
“访问控制”的应用防火墙在VLAN网络中的应用
应用案例
“内网安全分段”的应用 “动态IP分配”的应用 “多出口”的应用 “端口映射”的应用
防火墙
无法防护内部用户之间的攻击无法防护基于操作系统漏洞的攻击
不足之处
无法防护内部用户的其他行为无法防护端口反弹木马的攻击无法防护病毒的侵袭无法防护非法通道出现
防火墙
企业部署防火墙的误区：企业部署防火墙的误区：误区 1. 最全的就是最好的，最贵的就是最好的。 2. 软件防火墙部署后不对操作系统加固。 3. 一次配置，永远运行。 4. 测试不够完全。 5. 审计是可有可无的。
入侵检测
入侵检测系统IDS（Intrusion Detection System）处于防火墙之后对

网络活动进行实时检测。许多情况下，由于可以记录和禁止网络活动，所以入侵检测系统是防火墙的延续。它们可以和防火墙和路由器配合工作。
例如：IDS可以重新配置来禁止从防火墙外部进入的恶意流量。安全管理员应当理解入侵检测系统是独立域防火墙工作的。
入侵检测
IDS的起源的起源
1. 安全审计 2. IDS的诞生
1. IDS信息的收集和预处理
IDS包括包括
2. 入侵分析引擎 3. 响应和恢复系统 1. 网络流量管理
入侵检测的功能
2. 系统扫描，Jails和IDS 3. 追踪 4. 入侵检测系统的必要性
入侵检测
入侵检测系统的类型 3. 2. 级IDS 1. 网络级IDS
管理者特殊的考虑管理者和代理的比例代理理的代理
管理和代理的
入侵检测
IDS存在的问题：存在的问题：存在的问题
1. 如何提高入侵检测系统的检测速度，以适应网络通信的要求。 2. 如何减少入侵检测系统的漏报和误报。 3. 提高入侵检测系统的互动性能。
IDS躲避技术：躲避技术：躲避技术
1. 字符串匹配的弱点。 2. 会话拼接。 3. 碎片攻击。 4. 拒绝服务。
入侵检测技术发展方向：入侵检测技术发展方向：
1. 分布式入侵检测。 2. 智能化入侵检测。 3. 全面的安全防御方案。 4. 入侵检测应该与操作系统绑定。
安全协议
密码身份验证协议 (PAP) Shiva 密码身份验证协议 (SPAP) 质询握手身份验证协议 (CHAP) Microsoft 质询握手身份验证协议 (MS-CHAP) Microsoft 质询握手身份验证协议版本 2 (MS-CHAP v2) Microsoft 点对点加密 (MPPE) 可扩展身份验证协议 (EAP) Kerberos SSL和IPSec SHTTP和SET
安全协议－PAP 安全协议－PAP
密码身份验证协议 (Password Authentication Protocol, PAP) 是一种简单的身份验证协议，在该协议中，用户名和密码以明文（不加密的）形式发送到远程访问服务器。强烈建议您不要使用 PAP，因为在身份验证过程中，您的密码可以被很容易地从点对点协议 (PPP) 数据包中读取。PAP 一般只用于连接到不支持任何其他身份验证协议的较早的基于 UNIX 的远程访问服务器。注意：如果将 PAP 用于对连接进行身份验证，那么将无法使用 Microsoft 点对点加密 (MPPE)。如果将连接配置为需要安全密码，并且连接到只配置了 PAP 的服务器，那么 Windows XP 远程访问客户端将终止连接。
安全协议－SPAP 安全协议－SPAP
Shiva 密码身份验证协议 (SPAP) 是 Shiva 使用的一种可逆加密机制。运行 Windows 2000 Professional 的计算机在连接到 Shiva LAN Rover 时会使用 SPAP，就象 Shiva 客户机连接到运行 Windows 2000 的远程访问服务器一样。这种身份验证方式比明文身份

验证更安全，但没有 CHAP 或 MS-CHAP 安全。在启用 SPAP 作为身份验证协议时，同一用户密码总是以相同的可逆加密形式发送。这使得 SPAP 身份验证容易受到重现攻击，该攻击中有恶意的用户通过捕获身份验证过程数据包并重现响应，来获得对 Intranet 的身份验证访问。不鼓励使用 SPAP，特别是对虚拟专用网络连接。
安全协议－CHAP 安全协议－CHAP
“质询握手身份验证协议”(Challenge Handshake Authentication Protocol, CHAP) 是一种被广泛支持的身份验证方法，在该方法的验证过程中，将发送用户密码的消息（而非密码本身）。通过 CHAP，远程访问服务器将质询字符串发送给远程访问客户端。远程访问客户端使用质询字符串和用户密码，计算出“消息摘要 5”(MD5) 散列。散列函数和算法是单向加密方法。因为对于数据块，计算散列的结果是很简单的；但是对于散列结果，要确定它的原始数据块是不可行的（从数学角度讲）。将 MD5 散列发送到远程访问服务器。远程访问服务器（可以访问用户密码）执行相同的散列计算，并将计算的结果与客户端发回的散列相比较。如果两者匹配，则认为远程访问客户端的身份凭据可信。注意：如果曾使用 CHAP 执行连接时的身份验证，那么不能使用“Microsoft 点对点加密”(MPPE)。如果正在使用 CHAP 并连接到运行 Windows 2000 以及“路由和远程访问服务”的远程访问服务器，那么连接客户端的用户帐户必须被配置为允许以可逆加密格式存储密码。
安全协议－MS-CHAP 安全协议－MSMicrosoft 创建的 MS-CHAP 是为了对远程 Windows 工作站进行身份验证，在集成用于 Windows 网络的散列算法的同时提供 LAN 用户所熟悉的功能。与 CHAP 类似， MS-CHAP 使用质询响应机制来防止在身份验证过程中发送密码。 MS-CHAP 使用"消息摘要 4"(MD4) 散列算法和"数据加密标准"(DES) 加密算法生成质询和响应，并提供用于报告连接错误和更改用户密码的机制。在设计响应数据包的格式时，尤其考虑了与 Windows 95、Windows 98、Windows Millennium Edition、Windows NT、Windows 2000 和 Windows XP 中的网络产品的协作。
安全协议－MS-CHAP v2 安全协议－MSWindows XP 支持 Microsoft 质询握手身份验证协议版本 2 (MS-CHAP v2)。 MS-CHAP v2 可以提供双重身份验证、为“Microsoft 点对点加密 (MPPE)”生成更强的初始数据加密密钥，以及在发送和接收数据时使用不同的加密密钥。为降低更改密码时密码泄漏的风险，较旧的 MS-CHAP 密码更改方法不再受支持。因为 MS-CHAP v2 比 MS-CHAP 更加安全，所以对于所有连接，它将在 MSCHAP（如果已启用）之前提供。运行 Windows XP、Windows 2000、Windows 98、Win

dows Millennium Edition 和 Windows NT 4.0 的计算机支持 MS-CHAP v2。对于运行 Windows 95 的计算机，MS-CHAP v2 仅支持 VPN 连接，不支持拨号连接。 MS-CHAP v2 是一种双重身份验证协议，即客户端和服务器都需证明它们知道用户的密码。首先，远程访问服务器通过向远程客户端发送质询的方式寻求证据。然后，远程访问客户端通过向远程服务器发送质询的方式寻求证据。如果服务器无法通过正确回答客户端的质询证实它知道用户的密码，则客户端会中断连接。如果没有双重身份验证，那么远程访问客户端将无法检测出是否连接到了假扮的远程访问服务器。
安全协议－MPPE 安全协议－MPPE
Microsoft 点对点加密 (MPPE) 加密基于 PPP 拨号连接或 PPTP VPN 连接中的数据。可支持增强（128 位密钥）和标准的（40 位密钥）MPPE 加密方案。MPPE 为您的 PPTP 连接和隧道服务器之间的数据提供安全保障。 MPPE 需要由 MS-CHAP 或 EAP 身份验证生成的公用的客户端和服务器密钥。
安全协议－EAP 安全协议－EAP
可扩展身份验证协议 (EAP) 是点对点协议 (PPP) 的扩展，该协议允许那些使用任意长度的凭据和信息交换的任意身份验证方法。EAP 的开发是为了适应对身份验证方法日益增长的需求，这些身份验证方法使用其他安全设备并提供支持 PPP 内其他身份验证方法的工业标准结构。通过使用 EAP，可以支持被称为 EAP 类型的许多特殊身份验证方案，其中包括令牌卡、一次性密码、使用智能卡的公钥身份验证、证书及其他方案。EAP（与强大的 EAP 类型一起）构成安全的虚拟专用网络 (VPN) 连接的重要技术组成部分。强大的 EAP 类型（例如那些基于证书的类型）在对抗野蛮攻击、词典攻击和密码猜测方面比基于密码的身份验证协议（如 CHAP 或 MS-CHAP）更加安全。 Windows XP 包括对两种 EAP 类型的支持：EAP-MD5 CHAP（等同于 CHAP 身份验证协议）和EAP-TLS，用于基于用户证书的身份验证。 EAP-TLS 是一种双重身份验证方法，这意味着客户端和服务器都向对方证明自己的身份。在 EAP-TLS 交换过程中，远程访问客户端发送其用户证书，而远程访问服务器发送其计算机证书。如果其中一个证书未发送或无效，则连接将终止。在 EAP-TLS 身份验证过程中，将为 Microsoft 点对点加密 (MPPE) 生成共享的机密加密密钥。
安全协议－Kerberos 安全协议－Kerberos
用于确认用户或主机身份的身份验证机制。Kerberos V5 身份验证协议是用于 Windows 2000 的默认身份验证服务。 Internet 协议安全 (IPSec) 和 QoS 许可控制服务使用该 Kerberos 协议进行身份验证。
安全协议－SSL 安全协议－SSL
SSL是一个协议独立的加

密方案，在应用层和传输层之间提供了安全的通道，又叫“安全套接层（Secure Sockets Layer）” 。SSL的整个概念可以被总结为：一个保证任何安装了安全套接字的客户和服务器间事务安全的协议，它涉及所有TC/IP应用程序。
1. 用户和服务器的合法性认证
SSL安全协议主要提供三方面的服务：
2. 加密数据以隐藏被传送的数据 3. 保护数据的完整性
安全套接层协议是一个保证计算机通信安全的协议，对通信对话过程进行安全保护，其实现过程主要经过如下几个阶段：（1）接通阶段：客户机通过网络向服务器打招呼，服务器回应；（2）密码交换阶段：客户机与服务器之间交换双方认可的密码，一般选用 RSA密码算法，也有的选用Diffie-Hellmanf和Fortezza-KEA密码算法；（3）会谈密码阶段：客户机器与服务器间产生彼此交谈的会谈密码；（4）检验阶段：客户机检验服务器取得的密码；（5）客户认证阶段：服务器验证客户机的可信度；（6）结束阶段：客户机与服务器之间相互交换结束的信息。
安全协议－IPSec 安全协议－IPSec
IPSec是指以RFC形式公布的一组安全IP协议，支持加密和认证服务。目前已经成为最流行的VPN解决方案。 IPSec包括AH和ESP。AH验证头，提供数据源身份认证、数据完整性保护、重放攻击保护功能；ESP安全负载封装，提供数据保密、数据源身份认证、数据完整性、重放攻击保护功能。
SA 安全连接
安全协议－PGP 安全协议－PGP
PGP（Pretty Good Privacy）使用一个被成为IDEA（International Data Encryption Algorithm）的块密码算法来加密数据。该算法使用128位密钥，它是在瑞士被设计出来的，当时DES已经被认为不够安全了，而 AES尚未发明。从概念上讲，IDEA非常类似于DES和AES：它也运行许多轮，在每一轮中将数据位尽可能地混合起来，但是，它的混合函数与 DES AES DES和AES中的不同。PGP的密钥管理使用RSA，数据完整性使用MD5。 PGP RSA MD5 PGP支持4种RSA密钥长度。它可以由用户来选择一种最为合适的长度： 1. 临时的（384位）：今天很容易被破解。 2. 商用的（512位）：可以被三字母组织破解。 3. 军用的（1024位）：地球上的人任何人都无法破解。 4. 星际的（2048位）：其他行星上的任何人也无法破解。
安全协议－SHTTP和SET 安全协议－SHTTP和
SHTTP是HTTP协议的扩展，目的是保证商业贸易的传输安全。SHTTP是应用层协议，只限于WEB使用，默认使用TCP 443端口。 SET（安全电子交易）是一个安全协议和格式的集合，是用户可以以一种安全的方式，在开放网络上进行交易。SET在交易各方之间提供安全的通信信道，通过使用

x.509数字证书来提供信任。
信息的机密性数据的完整性
SET的关键特征
信用卡用户帐号的鉴别商家的鉴别。
可信任系统
为了加强计算机系统的信息安全，1985年美国国防部发表了《可信计算机系统评估准则》（缩写为TCSEC），它依据处理的信息等级采取的相应对策，划分了4类7个安全等级。依照各类、级的安全要求从低到高，依次是D、C1、C2、B1、B2、B3和A1级。即： D 级：无任何安全保护。 C1级：自主安全保护（无条件安全保护）。 C2级：自主访问保护。 B1级：有标号的安全保护。 B2级：结构化保护。 B3级：强制安全区域保护。 A1级：验证设计安全保护。 1999.9.13我国颁布了《计算机信息系统安全保护等级划分准则》 (GB17859_1999)，定义了计算机信息系统安全保护能力的五个等级：第一级到第五级。实际上，国标中将国外的最低级D级和最高级A1级取消，余下的分为五级。TCSEC中的B1级与GB17859的第三级对应。
中国计算机信息系统安全保护等级
GB 17859-1999 第一级：用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级：结构化保护级；第五级：访问验证保护级。
计算机病毒保护
病毒定义：病毒定义：计算机病毒是一个程序，一段可执行行码。就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户是，它们就随同文件一起蔓延开来。
计算机病毒保护
病毒产生的背景：病毒产生的背景：
计算机病毒是计算机犯罪的一种新的衍化形式计算机软硬件产品的脆弱性是根本的技术原因微机的普及应用是计算机病毒产生的必要环境
计算机病毒保护
感染机制计算机病毒的结构触发机制有效载荷
计算机病毒保护
计算机病毒的四大机制：计算机病毒的四大机制：计算机病计算机病毒的寄生对象毒的计算机病毒的寄生引导计算机病毒的机制
? ? 制
计算机病毒保护
计算机病毒的四大机制：计算机病毒的四大机制：计计算机病毒的传染方式算机病计算机病毒的传染过程毒的病毒的传染机传染病毒的传染机机制
病毒过的传染
计算机病毒保护
计算机病毒的四大机制：计算机病毒的四大机制：
计算机病毒的破坏机制：计算机病毒的破坏机制：破坏机制破坏机制在设计原则、工作原理上与传染机制基本相同。它也是通过修改某一中断向量入口地址（一般为时钟中断INT 8H，或与时钟中

断有关的其他中断，如INT 1CH），使该中断向量指向病毒程序的破坏模块。
计算机病毒保护
计算机病毒的四大机制：计算机病毒的四大机制：计算机病毒的触发机制：计算机病毒的触发机制：触发机制
日期触发时间触发键盘触发感染触发启动触发访问磁盘次数触发调用中断功能触发 CPU型号/主板型号触发
触发条件
计算机病毒保护
平时运行正常的计算机突然经常性无缘无故地死机
计算机病毒发作前的表现现象
操作系统无法正常启动运行速度明显变慢以前能正常运行的软件经常发生内存不足的错误打印和通讯发生异常无意中要求对软盘进行写操作以前能正常运行的系统件的时打速动内存发生变生发动件生的无法 Word 经常发生死机发生变件存时能以存法错误
运行Word 盘
计算机病毒保护
计算机病毒发作时的表现现象
发提示一些不相干的话发出一段音乐产生特定的图像硬盘灯不断闪烁进行游戏算法 Windows 算的发生图发生
计算机病毒保护
计算机病毒发作后的表现现象
硬盘无法启动，数据丢失系统文件丢失或被破坏文件目录发生混乱部分文档丢失或者被破坏部分文档动 Format C: 混乱，被破坏
Autoexec.bat文件，部分件，无法 BIOS
计算机病毒保护
计算机病毒的检测方法：计算机病毒的检测方法：
比较法加总对比法搜索法分析法人工智能陷阱技术和宏病毒陷阱技术软件仿真扫描法先知扫描法
硬件安全性
物理安全：防止意外事件或人为破坏具体的物理设备，如服务器、交换机、路由器、机柜、线路等。机房和机柜的钥匙一定要管理好，不要让无关人员随意进入机房，尤其是网络中心机房，防止人为蓄意破坏设置安全：在设备上进行必要的设置（如服务器、交换机的密码等），防止黑客取得硬件设备的远程控制权。对于路由器等接入设备，由于经常暴露在黑客攻击的视野之中，因此需要采取更为严格的安全管理措施，比如口令加密、加载严格的访问列表等
文件的备份和恢复
选择备份策略：选择备份策略：备份策略
完全备份（必须），增量备份「节约」，磁盘镜像『利于快速恢复』，网络备份（经济、方便、快速、集约）。
选择备份介质：选择备份介质：备份介质
磁带「适合完全备份、整个系统恢复」，dump＋restore CD、DVD『适合增量、单个文件恢复，保存时间长，适合经常改变的数据』，包括cdrecord,dvdrecord,devdump,isodump,isoinfo,isovfy,readcd命令，创建文件系统映射文件

：mkisofs -R -o /var/tmp/dai.iso /home/dai「—R保存文件的所有权和访问权，—r 不保存文件权限，适合创建发布光盘」查看SCSI总线号、设备ID号、光驱的逻辑单元号LUN：cdrecord -scanbus 刻盘：cdrecord -v speed=40 dev=0,0,0 -data /var/tmp/dai.iso或dvdrecord v speed=40 dev=0,0,0 -data /var/tmp/dai.iso 硬盘（快速、频繁的备份），一种是RAID1；另一种是mirrordir命令mirrordir /home /mirror/home『第一次时完全备份目录，第二次运行此命令为更新』， mirrordir /mirror/home /home为恢复。
个人信息控制
控制您的个人信息：控制您的个人信息：您的个人信息
拥有个人隐私的权利是我们生活方式的基础之一。在 Internet 时代的初期，控制您的个人信息比以往更重要也更复杂。我们利用 Internet 进行商务、娱乐、金融、教育、卫生保健以及其他活动越多，他人跟踪和存储有关我们日常生活的信息的可能性也就越大。保持联机安全最需要的是要像对待钱财那样照管个人信息。在某种意义上，它就是钱财。Internet 的货币未必只与钱有关－－它还与您的信息有关。
个人信息控制
保密个人信息：保密个人信息：个人信息
确保密码保密和安全。您进入 Internet 的密码是进入您的整个联机生活的钥匙，请不要把它透露给其他人员。请您经常问问自己：“为什么这个 Web 站点需要我的信息呢？”请记住：当您在 Internet 上输入自己的信息时，那些您不认识的人可能会存储这些信息并将这些信息与从其他来源获得的有关您的信息联系起来使用。输入自己的信息之前，请您阅读每个 Web 站点上的“隐私策略”。如果它们没有隐私策略或者想以您不喜欢的方式使用您的信息，那么请您转到其他的站点进行交易。
个人信息控制
保密个人信息：保密个人信息：个人信息
请格外小心不要泄露某些类型的个人信息。您母亲的名字、银行帐号和驾驶执照号码都是您应很少（如果发生过的话）联机泄露的信息类型。保密级别较低、但仍需注意的信息有电子邮件地址、年龄、性别、家庭电话号码和家庭地址。如果在 Web 站点上输入个人信息，请确保该站点使用加密技术通过 Internet 发送这些信息。有两种方法可以确保 Web 站点对您的数据进行加密：在计算机屏幕的边缘寻找一个关闭的锁状小图标。查看 Web 地址 (URL)。安全的 Web 站点使用 https 协议而不是 http。末尾的“s”代表“secure”（安全）。
个人信息控制
保密个人信息：保密个人信息：个人信息
请记住：电子邮件是不安全的。电子邮件可以被截取、被您的老板阅读（在发送到您的公司地址的情况下）、转发给

其他人，甚至发布到 Web 站点上。不在电子邮件中放入您不希望发布到社区中心公告牌上的任何内容是个好主意。当您参与新闻组或聊天时，请小心。当您与联机朋友交谈时可能会产生麻痹而有一种安全感。但一定要记住两件事情：人们并不总是他们所声称的那种人，而且联机“对话”被视为公开的，有时会被存档并打印出来供他人阅读和搜索。如果您的孩子也使用 Internet，那么请您与他们一起回顾这些应对措施。确保他们了解在其联机共享任何个人信息之前获得您的许可的重要性。请注意：Microsoft 对第三方 Web 站点、产品或服务的引用并不表示对其认可。提供指向第三方站点的链接仅是为了便于您获取信息。
网络设备可靠性
可靠性是进行通信网络规划设计与性能评价的重要指标。通信网络的可靠性一般包括网络的生存性、抗毁性及有效性等多个方面，涉及到网络通信设备、拓扑结构、通信协议等多方面因素。计算机网络和通信网络密不可分，它们已经完全融合。
网络设备可靠性
计算机网络可靠性的要素：计算机网络可靠性的要素：要素
计算机网络可靠性是计算机网络系统的固有特征之一，它表明一个计算机网络系统按照用户的要求和设计的目标，执行其功能的正确程度。计算机网络可靠性与网络软件可靠性、硬件可靠性及所处环境有关。计算机网络可靠性应包含以下3个要素。 (1) 无故障运行时间。计算机网络可靠性只是体现在其运行阶段，用 “无故障运行时间”来度量。由于网络运行环境、网络程序路径选取及所受进攻的随机性，软件的失效为随机事件，因此无故障运行时间属于随机变量。 (2) 环境条件。环境条件指计算机网络的运行环境。它涉及网络系统运行时所需的各种支持要素，如硬件、协议软件、操作系统、可能受到攻击的手段、所采取的防护措施以及操作规程等。不同的环境条件下信息网络的可靠性是不同的。 (3) 规定的功能。计算机网络可靠性还与规定的任务和功能有关。由于要完成的任务不同，信息网络的运行剖面会有所区别，则调用的网络子模块就不同，其可靠性也就可能不同，因此要准确度量计算机网络的可靠性，首先必须明确它的任务和功能。
网络设备可靠性
计算机网络可靠性分析：计算机网络可靠性分析：
交换机的可靠性交换机的可靠性 ? 交换机应具有较强的微分段能力 ? 交换机应具有很强的容错特性 ? 交换机还应提供先进的网络诊断工具 ? 交换机应具有支持构建虚拟网的能力
路由器的可靠性路由器的可靠性
路由器是网络层的互连设备，

应用它不仅可实现不同类型局域网的互连，而且还可以实现局域网与广域网以及广域网之间的互连。因此，在考虑路由器的可靠性时，首先要考虑的问题就是如何选择协议。设计路由器可靠性的首要目标就是去除一些不支持的协议，建立一致的局域网和广域网协议。在路由器硬件本身的选择上也要考虑其一致性。提高路由器可靠性的最保险的方法是采用冗余路由技术，即通过布线系统、集线器和交换机，使每个网段都连接到两个路由器上，这两个路由器保持相同的配置；连接在相同网络上的端口分配相同的IP地址。这样，当主路由器正常工作时，由于次路由器具有相同的路由表和IP地址，因此不会影响网络正常运行；若主路由器出现故障，次路由器立即能自动代替其工作。
网络设备可靠性
链路的可靠性分析：
提高链路的可靠性往往通过链路的冗余设计来实现，即采用一条主链路和一条备链路。这种冗余设计构思简单而且便宜。链路的冗余可以通过多种技术实现，目前最流行的是链路聚合技术和生成树技术。链路冗余还有一个好处是可以做到均衡负载。这种方法可以充分利用两条链路，当网络正常时，所有的数据流随机地分配到任何一线路上(根据线路的综合情况，如带宽等)，简单地说，就是将两条线路看成一条带宽较宽的线路，当其中一条线路或设备出现故障时，所有的数据流自动选择另一条线路。
网络设备可靠性
协议的可靠性分析：
协议的可靠性技术就是采用相关的软、硬件切换技术(如STP和VRRP) 来保证核心应用系统的快速切换，防止局部故障导致整个网络系统的瘫痪，避免网络出现单点失效，从而保证用户端在网络失效时能快速透明地切换。
生成树协议：
可靠的网络必须具备有3个典型特点
有效地传输流量提供冗余故障快速恢复能力
最早的生成树协议(STP)——IEEE802.1d规定可在50s内恢复连接。但是随着视频和语音的应用要求，网络必须具有更快的自恢复能力，因而IEEE随后又开发了802.1w定义的快速生成树协议(RSTP)以及802.1s定义的多路生成树协议(MST)。生成树协议通过网格化物理拓扑结构而构建一个无环路逻辑转发拓扑结构，提供了冗余连接，消除了数据流量环路的威胁。
网络设备可靠性
协议的可靠性分析：
虚拟路由冗余协议：
虚拟路由冗余协议(VRRP)是对共享多存取访问介质(如以太网)上终端IP设备的默认网关(Default Gateway)进行冗余备份，从而在其中一台路由设备宕机时，备份路由设备及时接管转发工作，向用户提供透明的切换，提高了网络服务质量

。简单来说，VRRP是一种容错协议，它保证若主机的下一跳路由器故障时能及时由另一台路由器来代替，从而保持通信的连续性和可靠性。为了使 VRRP工作，需要在路由器上配置虚拟路由器号和虚拟IP地址，同时产生一个虚拟MAC地址，这样在这个网络中就加入了一个虚拟路由器。虚拟路由冗余协议工作原理如图所示。
网络设备可靠性
虚拟路由冗余协议工作原理：虚拟路由冗余协议工作原理：
UPS
UPS的汉语意思为“不间断电源”，是英语 “Uninterruptable Power Supply”的缩写，它可以保障计算机系统在停电之后继续工作一段时间以使用户能够紧急存盘，避免数据丢失。
离线式（Off Line Off Line）在线式（On Line）
UPS按其工作方式分类
在线互动式（Line-Interactive）
UPS
离线式离线式UPS：：
优点：优点：运行效率高、噪音低、价格相对便宜，主要适用于市电波动不大，对供电质量要求不高的场合，比较适合家庭使用。缺点：缺点：存在一个切换时间问题，因此不适合用在关键性的供电不能中断的场所。不过实际上这个切换时间很短，一般介于2至10毫秒，而计算机本身的交换式电源供应器在断电时应可维持10毫秒左右，所以个人计算机系统一般不会因为这个切换时间而出现问题。
UPS
在线式UPS：：在线式
优点：优点：供电持续长，一般为几个小时，也有大到十几个小时的，它的主要功能是可以让您在停电的情况可像平常一样工作，显然，由于其功能的特殊，价格也明显要贵一大截。这种在线式 UPS比较适用于计算机、交通、银行、证券、通信、医疗、工业控制等行业，因为这些领域的电脑一般不允许出现停电现象。
UPS
在线互动式：在线互动式：
优点：优点：保护功能较强，逆变器输出电压波形较好，一般为正弦波，具有较强的软件功能，可以方便地上网，进行UPS的远程控制和智能化管理。可自动侦测外部输入电压是否处于正常范围之内，与计算机之间可以通过数据接口（如RS-232串口）进行数据通讯，通过监控软件，用户可直接从电脑屏幕上监控电源及UPS状况，简化、方便管理工作，并可提高计算机系统的可靠性。效率高、供电质量高。缺点：缺点：稳频特性能不是十分理想，不适合做常延时的UPS电源。
UPS
UPS的发展方向：的发展方向：的发展方向
1. 智能化、网络化智能化、
全数字控制方式，通过UPS内部的CPU对机器参数进行编程控制；一台UPS可以同时连接多台电脑系统；可利用通讯接口与计算机通讯，并配合智能化监控软件及网络协议使用户方便、

高效的在本地甚至远程分析及管理整个计算机及UPS系统。
2. 高可靠性与安全性
自动侦测：开机时UPS即开始进行元件（逆变器、电池等）负载的检查，便于及时发现问题，避免产生任何疏失；自我保护：通过自我保护设计，不论是UPS超载、短路、电池电压太低或 UPS温度太高，UPS皆会自动关机；直流开机：充分发挥UPS的紧急备用功能；极强的过载能力：即使在大过载情况下仍能工作较长时间；双机热备份功能：为局域网络提供双重的电源保护，即使一台UPS发生故障，也不会导致网络中断。
12.3 VPN
虚拟专用网络可以实现不同网络的组件和资源之间的相互连接。虚拟专用网络能够利用Internet或其它公共互联网络的基础设施为用户创建隧道，并提供与专用网络一样的安全和功能保障。
VPN概述 VPN概述
Extranet
Business Partner
Mobile User
POP
Internet
DSL Cable
VPN
Central Site Site-to-Site
Remote Office
Home Telecommuter
虚拟专用网指的是依靠ISP（Internet服务提供商）和（服务提供商）虚拟专用网指的是依靠服务提供商），在公用网络中建立专用其NSP（网络服务提供商），在公用网络中建立专用（网络服务提供商），的数据通信网络的技术。
虚拟专用网络的基本用途
通过Internet实现远程用户访问：实现远程用户访问：通过实现远程用户访问
虚拟专用网络支持以安全的方式通过公共互联网络远程访问企业资源。
虚拟专用网络的基本用途
通过Internet实现网络互连：实现网络互连：通过实现网络互连
方式使用专线连接分支机构和企业局域网使用拨号线路连接分支机构和企业局域网
虚拟专用网络的基本用途
连接企业内部网络计算机：连接企业内部网络计算机：
在企业的内部网络中，考虑到一些部门可能存储有重要数据，为确保数据的安全性，传统的方式只能是把这些部门同整个企业网络断开形成孤立的小网络。这样做虽然保护了部门的重要信息，但是由于物理上的中断，使其他部门的用户无法，造成通讯上的困难。
VPN的基本要求 VPN的基本要求
用户验证：用户验证：
VPN方案必须能够验证用户身份并严格控制只有授权用户才能访问VPN。另外，方案还必须能够提供审计和记费功能，显示何人在何时访问了何种信息。
地址管理：地址管理：
VPN方案必须能够为用户分配专用网络上的地址并确保地址的安全性。
数据加密：数据加密：
对通过公共互联网络传递的数据必须经过加密，确保网络其他未授权的用户无法读取该信息。
密

钥管理：密钥管理：
VPN方案必须能够生成并更新客户端和服务器的加密密钥。
多协议支持：多协议支持：
VPN方案必须支持公共互联网络上普遍使用的基本协议，包括IP，IPX等。以点对点隧道协议（PPTP）或第2层隧道协议（L2TP）为基础的VPN方案既能够满足以上所有的基本要求，又能够充分利用遍及世界各地的Internet互联网络的优势。其它方案，包括安全IP协议（IPSec)，虽然不能满足上述全部要求，但是仍然适用于在特定的环境。
VPN的工作原理 VPN的工作原理
10.1.1.0 10.1.10.0 10.2.1.0
Registered Address
Internet
Registered Address
利用隧道在新的包里隐藏了原始包。为了路由通过隧道，利用隧道在新的包里隐藏了原始包。为了路由通过隧道，隧道端点的地址在外部的新包头里提供，这个包头称为隧道端点的地址在外部的新包头里提供，封装头。而最后的目的地址装在原始的包头里。封装头。而最后的目的地址装在原始的包头里。当包抵达隧道的终点时，将封装头剥去。达隧道的终点时，将封装头剥去。
VPN的协议
IP PPP PPP L2TP L2F PPP
PPP
PPTP (Point to Point Tunneling Protocol) ? L2F (Layer 2 Forwarding) ? L2TP (Layer 2 Tunneling Protocol)
隧道技术基础、隧道协议
隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据（或负载）可以是不同协议的数据桢（此字不正确）或包。隧道协议将这些其它协议的数据桢或包重新封装在新的包头中发送。新的包头提供了路由信息，从而使封装的负载数据能够通过互联网络传递。被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点，数据将被解包并转发到最终目的地。注意隧道技术是指包括数据封装，传输和解包在内的全过程。
隧道技术基础、隧道协议
隧道技术基础、隧道协议
目前较为成熟的技术 IP网络上的SNA隧道技术 IP网络上的NovellNetWareIPX隧道技术
点对点隧道协议（PPTP）一些新的隧道技术第2层隧道协议（L2TP）安全IP（IPSec)隧道模式
隧道技术基础、隧道协议
隧道协议：隧道协议：
为创建隧道，隧道的客户机和服务器双方必须使用相同的隧道协议。隧道技术可以分别以第2层或第3层隧道协议为基础。上述分层按照开放系统互联（OSI）的参考模型划分。第2层隧道协议对应OSI模型中的数据链路层，使用桢作为数据交换单位。 PPTP，L2TP和L2F（第2层转发）都属于第2层隧道协议，都是将数据封装在点

对点协议（PPP）桢中通过互联网络发送。第3层隧道协议对应OSI模型中的网络层，使用包作为数据交换单位。IP overIP以及IPSec隧道模式都属于第3层隧道协议，都是将IP包封装在附加的IP包头中通过IP网络传送。
实现、隧道协议和基本隧道要求
隧道技术如何实现：隧道技术如何实现：
对于象PPTP和L2TP这样的第2层隧道协议，创建隧道的过程类似于在双方之间建立会话；隧道的两个端点必须同意创建隧道并协商隧道各种配置变量，如地址分配，加密或压缩等参数。绝大多数情况下，通过隧道传输的数据都使用基于数据报的协议发送。隧道维护协议被用来作为管理隧道的机制。第3层隧道技术通常假定所有配置问题已经通过手工过程完成。这些协议不对隧道进行维护。与第3层隧道协议不同，第2层隧道协议（PPTP和L2TP）必须包括对隧道的创建，维护和终止。隧道一旦建立，数据就可以通过隧道发送。隧道客户端和服务器使用隧道数据传输协议准备传输数据。例如，当隧道客户端向服务器端发送数据时，客户端首先给负载数据加上一个隧道数据传送协议包头，然后把封装的数据通过互联网络发送，并由互联网络将数据路由到隧道的服务器端。隧道服务器端收到数据包之后，去除隧道数据传输协议包头，然后将负载数据转发到目标网络。
实现、隧道协议和基本隧道要求
隧道协议和基本隧道要求：隧道协议和基本隧道要求：
因为第2层隧道协议（PPTP和L2TP）以完善的PPP协议为基础，因此继承了一整套的特性。
1. 用户验证 2. 令牌卡（Tokencard）支持 3. 动态地址分配 4. 数据压缩 5. 数据加密 6. 密钥管理 7. 多协议支持
点对点协议
阶段1：创建创建PPP链路创建链路 1. 口令验证协议（PAP） 2. 挑战-握手验证协议（CHAP） 3. 微软挑战-握手验证协议（MS-CHAP）
阶段2：用户验证用户验证
阶段3：PPP回叫控制（CallBackControl) 回叫控制（回叫控制
阶段4：调用网络层协议调用网络层协议
数据传输阶段、IPSec隧道模式数据传输阶段、IPSec隧道模式
数据传输阶段：数据传输阶段：
一旦完成上述4阶段的协商，PPP就开始在连接对等双方之间转发数据。每个被传送的数据报都被封装在PPP包头内，该包头将会在到达接收方之后被去除。如果在阶段1选择使用数据压缩并且在阶段4完成了协商，数据将会在被传送之间进行压缩。类似的，如果如果已经选择使用数据加密并完成了协商，数据（或被压缩数据）将会在传送之前进行加密。点对点隧道协议（PPTP）第2层转发（L2F）第2层隧道协议（L2TP）
数据传输

阶段、IPSec隧道模式数据传输阶段、IPSec隧道模式
PPTP与L2TP：
PPTP和L2TP都使用PPP协议对数据进行封装，然后添加附加包头用于数据在互联网络上的传输。尽管两个协议非常相似，但是仍存在以下几方面的不同： 1. PPTP要求互联网络为IP网络。L2TP只要求隧道媒介提供面向数据包的点对点的连接。L2TP可以在IP（使用UDP），桢中继永久虚拟电路（PVCs),X.25虚拟电路（VCs）或ATM VCs网络上使用。 2. PPTP只能在两端点间建立单一隧道。L2TP支持在两端点间使用多隧道。使用L2TP，用户可以针对不同的服务质量创建不同的隧道。 3. L2TP可以提供包头压缩。当压缩包头时，系统开销（overhead）占用4个字节，而PPTP协议下要占用6个字节。 4. L2TP可以提供隧道验证，而PPTP则不支持隧道验证。但是当L2TP或PPTP 与IPSEC共同使用时，可以由IPSEC提供隧道验证，不需要在第2层协议上验证隧道。
数据传输阶段、IPSec隧道模式数据传输阶段、IPSec隧道模式
IPSec隧道模式： IPSec隧道模式：隧道模式
IPSEC是第3层的协议标准，支持IP网络上数据的安全传输。本文将在“高级安全”一部分中对IPSEC进行详细的总体介绍，此处仅结合隧道协议讨论IPSEC协议的一个方面。除了对IP数据流的加密机制进行了规定之外，IPSEC还制定了IPoverIP隧道模式的数据包格式，一般被称作IPSEC隧道模式。一个IPSEC隧道由一个隧道客户和隧道服务器组成，两端都配置使用IPSEC隧道技术，采用协商加密机制。为实现在专用或公共IP网络上的安全传输，IPSEC隧道模式使用的安全方式封装和加密整个IP包。然后对加密的负载再次封装在明文 IP包头内通过网络发送到隧道服务器端。隧道服务器对收到的数据报进行处理，在去除明文IP包头，对内容进行解密之后，获的最初的负载IP包。负载IP包在经过正常处理之后被路由到位于目标网络的目的地。
数据传输阶段、IPSec隧道模式数据传输阶段、IPSec隧道模式
IPSEC隧道模式具有以下功能和局限：隧道模式具有以下功能和局限：隧道模式具有以下功能和局限
1.只能支持数据流。只能支持IP数据流只能支持数据流。 2.工作在栈（IPstack）的底层，因此，应用程序和高层协议可以继工作在IP栈工作在）的底层，因此，的行为。承IPSEC的行为。的行为 3.由一个安全策略（一整套过滤机制）进行控制。安全策略按照优先由一个安全策略（一整套过滤机制）进行控制。由一个安全策略级的先后顺序创建可供使用的加密和隧道机制以及验证方式。的先后顺序创建可供使用的加密和隧道机制以及验证方式。当需要建立通讯时，双方机器执行相互

验证，然后协商使用何种加密方式。建立通讯时，双方机器执行相互验证，然后协商使用何种加密方式。此后的所有数据流都将使用双方协商的加密机制进行加密，此后的所有数据流都将使用双方协商的加密机制进行加密，然后封装在隧道包头内。装在隧道包头内。
数据传输阶段、IPSec隧道模式数据传输阶段、IPSec隧道模式
数据传输阶段：数据传输阶段：
一旦完成上述4阶段的协商，PPP就开始在连接对等双方之间转发数据。每个被传送的数据报都被封装在PPP包头内，该包头将会在到达接收方之后被去除。如果在阶段1选择使用数据压缩并且在阶段4完成了协商，数据将会在被传送之间进行压缩。类似的，如果如果已经选择使用数据加密并完成了协商，数据（或被压缩数据）将会在传送之前进行加密。点对点隧道协议（PPTP）第2层转发（L2F）第2层隧道协议（L2TP）
隧道类型
自愿隧道（自愿隧道（Voluntarytunnel) 强制隧道（Compulsorytunnel）强制隧道（）
高级安全功能
虽然Internet为创建VPN提供了极大的方便，但是需要建立强大的安全功能以确保企业内部网络不受到外来攻击，确保通过公共网络传送的企业数据的安全。
对称加密与非对称加密（专用密钥与公用密钥）：对称加密与非对称加密（专用密钥与公用密钥）：
对称加密，或专用密钥（也称做常规加密）由通信双方共享一个秘密密钥。发送方在进行数学运算时使用密钥将明文加密成密文。接受方使用相同的密钥将密文还原成明文。RSA RC4算法，数据加密标准（DES），国际数据加密算法（IDEA）以及Skipjack加密技术都属于对称加密方式。非对称加密，或公用密钥，通讯各方使用两个不同的密钥，一个是只有发送方知道的专用密钥，另一个则是对应的公用密钥，任何人都可以获得公用密钥。专用密钥和公用密钥在加密算法上相互关联，一个用于数据加密，另一个用于数据解密。公用密钥加密技术允许对信息进行数字签名。数字签名使用发送发送一方的专用密钥对所发送信息的某一部分进行加密。接受方收到该信息后，使用发送方的公用密钥解密数字签名，验证发送方身份。
证书
使用对称加密时，发送和接收方都使用共享的加密密钥。使用对称加密时，发送和接收方都使用共享的加密密钥。必须在进行加密通讯之前，完成密钥的分布。使用非对称加密时，行加密通讯之前，完成密钥的分布。使用非对称加密时，发送方使用一个专用密钥加密信息或数字签名，用一个专用密钥加密信息或数字签名，接收方使用公用密钥解密信息。公用

密钥可以自由分布给任何需要接收加密信息或数字签名信息的一方，发送方只要保证专用密钥的安全性即可。息的一方，发送方只要保证专用密钥的安全性即可。为保证公用密钥的完整性，公用密钥随证书一同发布。证书（为保证公用密钥的完整性，公用密钥随证书一同发布。证书（或公用密钥证书）是一种经过证书签发机构（）数字签名的数据结构。用密钥证书）是一种经过证书签发机构（CA）数字签名的数据结构。 CA使用自己的专用密钥对证书进行数字签名。如果接受方知道使用自己的专用密钥对证书进行数字签名。使用自己的专用密钥对证书进行数字签名如果接受方知道CA 的公用密钥，就可以证明证书是由CA签发签发，的公用密钥，就可以证明证书是由签发，因此包含可靠的信息和有效的公用密钥。有效的公用密钥。总之，公用密钥证书为验证发送方的身份提供了一种方便，总之，公用密钥证书为验证发送方的身份提供了一种方便，可靠的方法。可以选择使用该方式进行端到端的验证。方法。IPSec可以选择使用该方式进行端到端的验证。RAS可以使可以选择使用该方式进行端到端的验证可以使用公用密钥证书验证用户身份。用公用密钥证书验证用户身份。
扩展验证协议（EAP）扩展验证协议（EAP）
如前文所述，只能提供有限的验证方式如前文所述，PPP只能提供有限的验证方式。只能提供有限的验证方式。 EAP是由是由IETF提出的提出的PPP协议的扩展，允许连接使协议的扩展，是由提出的协议的扩展用任意方式对一条PPP连接的有效性进行验证。用任意方式对一条连接的有效性进行验证。连接的有效性进行验证 EAP支持在一条连接的客户和服务器两端动态加支持在一条连接的客户和服务器两端动态加入验证插件模块。入验证插件模块。
交易层安全协议（EAP-TLS）交易层安全协议（EAP-TLS）
EAP-TLS已经作为提议草案提交给已经作为提议草案提交给IETF，用于建立基于已经作为提议草案提交给，公用密钥证书的强大的验证方式。使用EAP-TLS，客户向拨公用密钥证书的强大的验证方式。使用，入服务器发送一份用户方证书，同时，入服务器发送一份用户方证书，同时，服务器把服务器证书发送给客户。用户证书向服务器提供了强大的用户识别信息；送给客户。用户证书向服务器提供了强大的用户识别信息；服务器证书保证用户已经连接到预期的服务器。务器证书保证用户已经连接到预期的服务器。用户方证书可以被存放在拨号客户PC中用户方证书可以被存放在拨号客户中，或存放在外部智能