网络信息安全之防火墙***加密技术(八)
2013-01-08 09:33
288 查看
***作用与特点
一个***至少提供如下功能:
①数据加密;
②信息认证和身份认证;
③访问权限控制。
***的以下特点:
1.使用***专用网的构建将使费用大幅降低
***不需要象传统的专用网那样租用专线设置大量的数据机或远程存取服务器等设备。比如, 远程访问***用户只需通过本地的信息服务提供商(ISP) 登录到Internet上, 就可以在他的办公室和公司内部网之间建立一条加密信道, 用这种Internet作为远程访问的骨干网方案比传统的方案(比如租用专线和远端拨号方问) 更易实现, 而费用更少。
2.***灵活性大
***方便更改网络结构, 方便连接新的用户和网站。
3.***易于管理维护
***中可以使用RADIUS (Renmote Authentics Diɑl In User Service) 来简化管理, 使用RADIUS,管理则只需维护一个访问权限的中心数据库来简化用户的认证管理,无须同时管理地理上分散的远程访问服务器的访问权限和用户认证。同时在***中, 较少的网络设备和线路也使网络的维护较容易。
7.5.3 ***技术
与实际的点到点连接电路一样, ***系统可被设计成通过Internet提供安全的点到点(或端到端) 的"隧道"。这种连接与常规的直接拨号连接的不同点在于在后一种情形中, PPP (点对点协议) 数据包流是通过专用线路传输的。在***中, PPP数据包流由一个LAN上的路由器发出, 通过共享IP网络上的隧道进行传输, 再到达另一个LAN上的路由器。隧道连接与直接拨号连接的关键不同点是隧道代替了实实在在的专用线路。因为Internet是一个公共传输网络, 建立在它之上的安全专用网络需要有高度的安全技术要求, 而且Internet不提供实际的点到点连接那样的可靠性能。在Internet上, 经常发生阻塞, 导致丢包和包重发, 这将影响到网络的整体性能。基于Internet的*** 使用了下面一些技术来实现内部数据网。
1.隧道协议(Tunnel Protocols)
***技术中的隧道是由隧道协议形成的, 隧道协议用来建立通过Internet的安全的点到点传输,大多数的***系统使用点到点隧道协议(PPTP -Point to Point Tunneling Protocol) 、第二层隧道协议(L2TP -Layer 2 Tunneling Protocol) 以及IPsec (Secure IP) 标准。PPTP协议被嵌入到Windows 98 和Windows NT 4.0 中。L2TP协议综合了PPTP协议和L2F(Layer 2 Forwarding) 协议的优点, 并且支持多路隧道, 这样可以使用户同时访问Internet 和企业网。一般而言,PPTP/ L2TP 的特点是:
①封装的PPP数据包中包含用户信息;
②支持隧道交换, 隧道交换可以根据用户权限, 开启并分配新的隧道, 将PPP 数据包在网络中传输;
③便于企业在防火墙和内部服务器上实施访问控制。
位于企业防火墙的隧道终端器接受包含用户信息的PPP 数据包, 然后对不同来源的数据包实施访问控制。隧道交换还可以将用户导向指定的企业内部服务器。而IPsec是一个广泛的、安全的*** 协议, IPsec包含了用户身份认证、查验和数据完整性内容。该协议规定了用以在两个IP工作站之间进行加密、数字签名等而使用的一系列IP 级协议。IPsec实现来自不同厂商的设备在进行隧道开通和终止时的互操作。同时, IPsec的安全性功能与密钥管理系统松散耦合, 当密钥管理系统发生变化时, IPsec的安全机制不需要进行修改。IPsec 适应向Ipv6迁移, 预计它今后将成为***的主要标准。隧道协议有两个重要的方面: 性能与安全。各公司采用不同的标准, 因此这方面有着广泛的技术。同时可以有很多技术来提高隧道的性能, 包括减少丢包、压缩和加密数据, 但在目前, 这些技术并未被广泛应用。
2.隧道服务器(Tunnel Severs)
隧道服务器位于企业网的中心站点, 用于集中隧道连接。隧道服务器具备高性能, 这些高性能设备可以同时处理几百或几千个用户连接。同时隧道服务器往往具有一些访问控制、认证和加密能力。
3.认证(Authenticɑtion)
认证包括对用户身份进行认证, 而不仅是认证IP 地址, 认证后决定是否允许用户对网络资源的访问, 现在有大量的认证技术来认证用户, 包括用户名/ 口令、RADIUS 认证、令牌卡等。一旦一个用户同公司的***服务器进行了认证, 根据他的访问权限表, 他就有一定程度的访问权限。每个人的访问权限表由网络管理员制定, 并且要符合公司的安全策略。在大量的认证技术中, *** 更普遍的是使用RADIUS 来进行用户认证。在RADIUS 服务器中设立一个中心数据库, 这个中心数据库包括用户身份证信息(比如用户名, 口令) , RADIUS 根据这个中心数据库来认证用户。从RADIUS 用户认证大致过程可以看到*** 采用RADIUS 的原因, 当远程用户拨入远程访问服务器时, RAS 或*** 获得认证信息, 并将认证信息传给RADIUS 服务器。如果用户在中心数据库中并有权访问网络, RADIUS 通知远程访问服务器继续处理, 同时RADIUS 发送一些关于用户的概要信息(比如用户IP 地址, 用户和网络保持连接的最大时间, 允许用户拨入访问网络的电话号码等) 给远程访问服务器, RAS 或*** 根据这些信息来检查用户是否符合所有的条件, 只有当拨入用户符合所有的条件, 用户才能访问网络。
4.加密(Encrytion)
当数据包传递时, 加密技术用来隐藏数据包。如果数据包要通过不安全的Internet , 那么即使已建立了用户认证, *** 也不完全是安全的。因为如果没有加密的话, 普通的嗅探技术也能捕获、甚至更改信息流。所以在隧道的发送端, 认证用户要先加密, 再传送数据; 在接收端, 认证用户接收后再解密。
一个***至少提供如下功能:
①数据加密;
②信息认证和身份认证;
③访问权限控制。
***的以下特点:
1.使用***专用网的构建将使费用大幅降低
***不需要象传统的专用网那样租用专线设置大量的数据机或远程存取服务器等设备。比如, 远程访问***用户只需通过本地的信息服务提供商(ISP) 登录到Internet上, 就可以在他的办公室和公司内部网之间建立一条加密信道, 用这种Internet作为远程访问的骨干网方案比传统的方案(比如租用专线和远端拨号方问) 更易实现, 而费用更少。
2.***灵活性大
***方便更改网络结构, 方便连接新的用户和网站。
3.***易于管理维护
***中可以使用RADIUS (Renmote Authentics Diɑl In User Service) 来简化管理, 使用RADIUS,管理则只需维护一个访问权限的中心数据库来简化用户的认证管理,无须同时管理地理上分散的远程访问服务器的访问权限和用户认证。同时在***中, 较少的网络设备和线路也使网络的维护较容易。
7.5.3 ***技术
与实际的点到点连接电路一样, ***系统可被设计成通过Internet提供安全的点到点(或端到端) 的"隧道"。这种连接与常规的直接拨号连接的不同点在于在后一种情形中, PPP (点对点协议) 数据包流是通过专用线路传输的。在***中, PPP数据包流由一个LAN上的路由器发出, 通过共享IP网络上的隧道进行传输, 再到达另一个LAN上的路由器。隧道连接与直接拨号连接的关键不同点是隧道代替了实实在在的专用线路。因为Internet是一个公共传输网络, 建立在它之上的安全专用网络需要有高度的安全技术要求, 而且Internet不提供实际的点到点连接那样的可靠性能。在Internet上, 经常发生阻塞, 导致丢包和包重发, 这将影响到网络的整体性能。基于Internet的*** 使用了下面一些技术来实现内部数据网。
1.隧道协议(Tunnel Protocols)
***技术中的隧道是由隧道协议形成的, 隧道协议用来建立通过Internet的安全的点到点传输,大多数的***系统使用点到点隧道协议(PPTP -Point to Point Tunneling Protocol) 、第二层隧道协议(L2TP -Layer 2 Tunneling Protocol) 以及IPsec (Secure IP) 标准。PPTP协议被嵌入到Windows 98 和Windows NT 4.0 中。L2TP协议综合了PPTP协议和L2F(Layer 2 Forwarding) 协议的优点, 并且支持多路隧道, 这样可以使用户同时访问Internet 和企业网。一般而言,PPTP/ L2TP 的特点是:
①封装的PPP数据包中包含用户信息;
②支持隧道交换, 隧道交换可以根据用户权限, 开启并分配新的隧道, 将PPP 数据包在网络中传输;
③便于企业在防火墙和内部服务器上实施访问控制。
位于企业防火墙的隧道终端器接受包含用户信息的PPP 数据包, 然后对不同来源的数据包实施访问控制。隧道交换还可以将用户导向指定的企业内部服务器。而IPsec是一个广泛的、安全的*** 协议, IPsec包含了用户身份认证、查验和数据完整性内容。该协议规定了用以在两个IP工作站之间进行加密、数字签名等而使用的一系列IP 级协议。IPsec实现来自不同厂商的设备在进行隧道开通和终止时的互操作。同时, IPsec的安全性功能与密钥管理系统松散耦合, 当密钥管理系统发生变化时, IPsec的安全机制不需要进行修改。IPsec 适应向Ipv6迁移, 预计它今后将成为***的主要标准。隧道协议有两个重要的方面: 性能与安全。各公司采用不同的标准, 因此这方面有着广泛的技术。同时可以有很多技术来提高隧道的性能, 包括减少丢包、压缩和加密数据, 但在目前, 这些技术并未被广泛应用。
2.隧道服务器(Tunnel Severs)
隧道服务器位于企业网的中心站点, 用于集中隧道连接。隧道服务器具备高性能, 这些高性能设备可以同时处理几百或几千个用户连接。同时隧道服务器往往具有一些访问控制、认证和加密能力。
3.认证(Authenticɑtion)
认证包括对用户身份进行认证, 而不仅是认证IP 地址, 认证后决定是否允许用户对网络资源的访问, 现在有大量的认证技术来认证用户, 包括用户名/ 口令、RADIUS 认证、令牌卡等。一旦一个用户同公司的***服务器进行了认证, 根据他的访问权限表, 他就有一定程度的访问权限。每个人的访问权限表由网络管理员制定, 并且要符合公司的安全策略。在大量的认证技术中, *** 更普遍的是使用RADIUS 来进行用户认证。在RADIUS 服务器中设立一个中心数据库, 这个中心数据库包括用户身份证信息(比如用户名, 口令) , RADIUS 根据这个中心数据库来认证用户。从RADIUS 用户认证大致过程可以看到*** 采用RADIUS 的原因, 当远程用户拨入远程访问服务器时, RAS 或*** 获得认证信息, 并将认证信息传给RADIUS 服务器。如果用户在中心数据库中并有权访问网络, RADIUS 通知远程访问服务器继续处理, 同时RADIUS 发送一些关于用户的概要信息(比如用户IP 地址, 用户和网络保持连接的最大时间, 允许用户拨入访问网络的电话号码等) 给远程访问服务器, RAS 或*** 根据这些信息来检查用户是否符合所有的条件, 只有当拨入用户符合所有的条件, 用户才能访问网络。
4.加密(Encrytion)
当数据包传递时, 加密技术用来隐藏数据包。如果数据包要通过不安全的Internet , 那么即使已建立了用户认证, *** 也不完全是安全的。因为如果没有加密的话, 普通的嗅探技术也能捕获、甚至更改信息流。所以在隧道的发送端, 认证用户要先加密, 再传送数据; 在接收端, 认证用户接收后再解密。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 网络信息安全之防火墙技术(一)
- 网络信息安全之防火墙体系结构(二)
- 网络信息安全之防火墙的设计 (三)
- 网络信息安全之防火墙***检测原理 (四)
- 网络信息安全之防火墙***检测方法 (五)
- 网络信息安全之防火墙反病毒 (六)
- 网络信息安全之防火墙入反病毒技术 (七)
- Linux的安全设置,网络防火墙
- 网络信息安全攻防实验室 第四关
- 网络安全中防火墙和IDS的作用
- 企业信息与网络通信安全 团队成员简历-吕 剑
- 信息与网络安全视频教程、资料下载
- 浅谈防火墙技术与网络安全!
- Python爬虫——2017高校网络信息安全管理运维挑战赛:随机数
- 国家成立网络安全和信息化指导小组,2014年信息安全再迎春天
- 中国计算机学会推荐国际学术会议和期刊目录——网络与信息安全
- 网络安全与防火墙(CIW)技术资料
- 第二届360杯全国大学生信息安全技术大赛部分解题思路(网络与协议)
- 网络信息安全防范体系以及设计原则