翻译:中国科学技术大学信息安全专业老师 第13章网络安全 部署网络是为了使计算机对外部世界来说更容易使用。使计算机对外部更容易使用是好 坏掺半之事。可能的相互作用越多,不受欢迎的相互作用也越多。因此,你可能希望控制自 己系统上的用户怎样能够访问网络,网络上的用户怎样能访问你的系统,以及当你的数据在 网络上传输时,怎样保护传输的数据等。因此,网络安全不仅是关于密码,而且对访问控制 提出了新的要求。 目标 ·获得针对网络的安全挑战的概观,理解网络安全怎样影响和依赖计算机安全。 使用基本的 Internet安全协议 IPSEC和 SSL/TLS作为范例,介绍网络安全协议的设 ·了解网络边界可以怎样用作安全周界 理解各种防火墙技术的原理,它们能提供的服务,以及它们固有的限制 13.1简介 我们在前面对安全协议的讨论保持在相当抽象的层次上。当数据(消息报文)在实体间 传输时,我们完全没有关心数据交换的精确的性质。安全协议的一些特征能够在这样的模型 中得到检验,但是一旦你开始实现安全协议的时候,你必须更密切注意你的计算机网络的技 术细节 计算机网络是分布式系统中结点之间传输数据的通信基础设施。一个结点上某个应用程 序要发送的数据必须事先准备好,用一个序列的电信号或光信号来传输:接收端进行重组, 并且传送给某个应用程序。网络协议必须找到一条从发送者到接收者的路径,它们必须处理 数据的丢失和损坏,而且还要处理失去的连接,例如施工人员刺穿了电话线缆。一个好的工 程实践是一次一个地解决这些令人关注的问题并使用一个应用层协议在顶端、物理地传输信 息比特流的协议位于底端的分层体系结构。网络安全的主要任务之一就是为特殊的安全服务 寻找一个最合适的网络层次 网络管理协议提供了所需要的支持,使得由其他协议生成的数据可以有效地传送到指定 的接收者。例如,管理协议可以检查在发送者和接收者之间的中间结点的可用性,找到最佳 的连接,或者解决逻辑网络地址到物理地址的转换。其他协议用来远程地配置网络结点,在 这些结点上运行的软件正在变得越来越复杂。因此,网络安全越来越依赖于网络管理协议的 安全和网络中结点的安全。把网络结点安排在保护的场地内的做法已不再是对安全的保证。 13.1.1分层模型 开放系统互联(OSⅠ)体系结构的七层模型,如图131所示,是分层网络协议的公共框 架结构。在这本书里,我们不关心每一层的精确意义。相反,我们只对它的分层模型感兴趣, 因为它们对讨论网络安全提供了相当有用的抽象。分层模型也让我们回到了在142节中的 熟悉的主题 在顶部的安全服务可以用来满足某种特定应用的要求。然而,不同的应用每个都需要 第1页共12页 创建时间:2003-11翻译：中国科学技术大学信息安全专业老师 第 1 页 共 12 页 创建时间：2003-11 第 13 章 网络安全 部署网络是为了使计算机对外部世界来说更容易使用。使计算机对外部更容易使用是好 坏掺半之事。可能的相互作用越多，不受欢迎的相互作用也越多。因此，你可能希望控制自 己系统上的用户怎样能够访问网络，网络上的用户怎样能访问你的系统，以及当你的数据在 网络上传输时，怎样保护传输的数据等。因此，网络安全不仅是关于密码，而且对访问控制 提出了新的要求。 目标 ·获得针对网络的安全挑战的概观，理解网络安全怎样影响和依赖计算机安全。 ·使用基本的 Internet 安全协议 IPSEC 和 SSL/TLS 作为范例，介绍网络安全协议的设 计。 ·了解网络边界可以怎样用作安全周界。 ·理解各种防火墙技术的原理，它们能提供的服务，以及它们固有的限制。 13.1 简介 我们在前面对安全协议的讨论保持在相当抽象的层次上。当数据（消息报文）在实体间 传输时，我们完全没有关心数据交换的精确的性质。安全协议的一些特征能够在这样的模型 中得到检验，但是一旦你开始实现安全协议的时候，你必须更密切注意你的计算机网络的技 术细节。 计算机网络是分布式系统中结点之间传输数据的通信基础设施。一个结点上某个应用程 序要发送的数据必须事先准备好，用一个序列的电信号或光信号来传输；接收端进行重组， 并且传送给某个应用程序。网络协议必须找到一条从发送者到接收者的路径，它们必须处理 数据的丢失和损坏，而且还要处理失去的连接，例如施工人员刺穿了电话线缆。一个好的工 程实践是一次一个地解决这些令人关注的问题并使用一个应用层协议在顶端、物理地传输信 息比特流的协议位于底端的分层体系结构。网络安全的主要任务之一就是为特殊的安全服务 寻找一个最合适的网络层次。 网络管理协议提供了所需要的支持，使得由其他协议生成的数据可以有效地传送到指定 的接收者。例如，管理协议可以检查在发送者和接收者之间的中间结点的可用性，找到最佳 的连接，或者解决逻辑网络地址到物理地址的转换。其他协议用来远程地配置网络结点，在 这些结点上运行的软件正在变得越来越复杂。因此，网络安全越来越依赖于网络管理协议的 安全和网络中结点的安全。把网络结点安排在保护的场地内的做法已不再是对安全的保证。 13.1.1 分层模型 开放系统互联（OSI）体系结构的七层模型，如图 13.1 所示，是分层网络协议的公共框 架结构。在这本书里，我们不关心每一层的精确意义。相反，我们只对它的分层模型感兴趣， 因为它们对讨论网络安全提供了相当有用的抽象。分层模型也让我们回到了在 1.4.2 节中的 熟悉的主题。 ·在顶部的安全服务可以用来满足某种特定应用的要求。然而，不同的应用每个都需要