日韩伦理亚洲欧美在线一区_免费看一级大片_在线观看视频一区二区_日韩大片高清播放器大全

我們都知道,由于VPN(虛擬專(zhuān)用網(wǎng)絡(luò))傳輸?shù)氖撬接行畔ⅲ琕PN用戶對(duì)數(shù)據(jù)的安全性都比較關(guān)心。 目前VPN主要采用四項(xiàng)技術(shù)來(lái)保證安全，這四項(xiàng)技術(shù)分別是隧道技術(shù)（Tunneling）、加解密技術(shù)（Encryption & Decryption）、密鑰管理技術(shù)（Key Management）、使用者與設(shè)備身份認(rèn)證技術(shù)（Authentication）。

1.隧道技術(shù)：

隧道技術(shù)是VPN的基本技術(shù)類(lèi)似于點(diǎn)對(duì)點(diǎn)連接技術(shù)，它在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過(guò)這條隧道傳輸。隧道是由隧道協(xié)議形成的，分為第二、 三層隧道協(xié)議。第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中，再把整個(gè)數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進(jìn)行傳輸。第 二層隧道協(xié)議有L2F、PPTP、L2TP等。L2TP協(xié)議是目前IETF的標(biāo)準(zhǔn)，由IETF融合PPTP與L2F而形成。

第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸。第三層隧道協(xié)議有VTP、IPSec等。IPSec（IP Security）是由一組RFC文檔組成，定義了一個(gè)系統(tǒng)來(lái)提供安全協(xié)議選擇、安全算法，確定服務(wù)所使用密鑰等服務(wù)，從而在IP層提供安全保障。

2.加解密技術(shù)：

加解密技術(shù)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù)，VPN可直接利用現(xiàn)有技術(shù)。

3.密鑰管理技術(shù)：

密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取?，F(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMP/OAKLEY兩種。SKIP主要 是利用Diffie-Hellman的演算法則，在網(wǎng)絡(luò)上傳輸密鑰；在ISAKMP中，雙方都有兩把密鑰，分別用于公用、私用。

4.使用者與設(shè)備身份認(rèn)證技術(shù)：

使用者與設(shè)備身份認(rèn)證技術(shù)最常用的是使用者名稱(chēng)與密碼或卡片式認(rèn)證等方式。

堵住安全漏洞

安全問(wèn)題是VPN的核心問(wèn)題。目前，VPN的安全保證主要是通過(guò)防火墻技術(shù)、路由器配以隧道技術(shù)、加密協(xié)議和安全密鑰來(lái)實(shí)現(xiàn)的，可以保證企業(yè)員工安全地訪 問(wèn)公司網(wǎng)絡(luò)。

但是，如果一個(gè)企業(yè)的VPN需要擴(kuò)展到遠(yuǎn)程訪問(wèn)時(shí)，就要注意，這些對(duì)公司網(wǎng)直接或始終在線的連接將會(huì)是黑客攻擊的主要目標(biāo)。因?yàn)?，遠(yuǎn)程工作員工通過(guò)防火墻 之外的個(gè)人計(jì)算機(jī)可以接觸到公司預(yù)算、戰(zhàn)略計(jì)劃以及工程項(xiàng)目等核心內(nèi)容，這就構(gòu)成了公司安全防御系統(tǒng)中的弱點(diǎn)。雖然，員工可以雙倍地提高工作效率，并減少 在交通上所花費(fèi)的時(shí)間，但同時(shí)也為黑客、競(jìng)爭(zhēng)對(duì)手以及商業(yè)間諜提供了無(wú)數(shù)進(jìn)入公司網(wǎng)絡(luò)核心的機(jī)會(huì)。

但是，企業(yè)并沒(méi)有對(duì)遠(yuǎn)距離工作的安全性予以足夠的重視。大多數(shù)公司認(rèn)為，公司網(wǎng)絡(luò)處于一道網(wǎng)絡(luò)防火墻之后是安全的，員工可以撥號(hào)進(jìn)入系統(tǒng)，而防火墻會(huì)將一 切非法請(qǐng)求拒之其外；還有一些網(wǎng)絡(luò)管理員認(rèn)為，為網(wǎng)絡(luò)建立防火墻并為員工提供VPN，使他們可以通過(guò)一個(gè)加密的隧道撥號(hào)進(jìn)入公司網(wǎng)絡(luò)就是安全的。這些看法 都是不對(duì)的。

在家辦公是不錯(cuò)，但從安全的觀點(diǎn)來(lái)看，它是一種極大的威脅，因?yàn)椋臼褂玫拇蠖鄶?shù)安全軟件并沒(méi)有為家用計(jì)算機(jī)提供保護(hù)。一些員工所做的僅僅是進(jìn)入一臺(tái)家 用計(jì)算機(jī)，跟隨它通過(guò)一條授權(quán)的連接進(jìn)入公司網(wǎng)絡(luò)系統(tǒng)。雖然，公司的防火墻可以將侵入者隔離在外，并保證主要辦公室和家庭辦公室之間VPN的信息安全。但 問(wèn)題在于，侵入者可以通過(guò)一個(gè)被信任的用戶進(jìn)入網(wǎng)絡(luò)。因此，加密的隧道是安全的，連接也是正確的，但這并不意味著家庭計(jì)算機(jī)是安全的。

黑客為了侵入員工的家用計(jì)算機(jī)，需要探測(cè)IP地址。有統(tǒng)計(jì)表明，使用撥號(hào)連接的IP地址幾乎每天都受到黑客的掃描。因此，如果在家辦公人員具有一條諸如 DSL的不間斷連接鏈路（通常這種連接具有一個(gè)固定的IP地址），會(huì)使黑客的入侵更為容易。因?yàn)?，撥?hào)連接在每次接入時(shí)都被分配不同的IP地址，雖然它也 能被侵入，但相對(duì)要困難一些。一旦黑客侵入了家庭計(jì)算機(jī)，他便能夠遠(yuǎn)程運(yùn)行員工的VPN客戶端軟件。因此，必須有相應(yīng)的解決方案堵住遠(yuǎn)程訪問(wèn)VPN的安全 漏洞，使員工與網(wǎng)絡(luò)的連接既能充分體現(xiàn)VPN的優(yōu)點(diǎn)，又不會(huì)成為安全的威脅。在個(gè)人計(jì)算機(jī)上安裝個(gè)人防火墻是極為有效的解決方法，它可以使非法侵入者不能 進(jìn)入公司網(wǎng)絡(luò)。

當(dāng)然，還有一些提供給遠(yuǎn)程工作人員的實(shí)際解決方法：

* 所有遠(yuǎn)程工作人員必須被批準(zhǔn)使用VPN；

* 所有遠(yuǎn)程工作人員需要有個(gè)人防火墻，它不僅防止計(jì)算機(jī)被侵入，還能記錄連接被掃描了多少次；

* 所有的遠(yuǎn)程工作人員應(yīng)具有入侵檢測(cè)系統(tǒng)，提供對(duì)黑客攻擊信息的記錄；

* 監(jiān)控安裝在遠(yuǎn)端系統(tǒng)中的軟件，并將其限制只能在工作中使用；

* IT人員需要對(duì)這些系統(tǒng)進(jìn)行與辦公室系統(tǒng)同樣的定期性預(yù)定檢查；

* 外出工作人員應(yīng)對(duì)敏感文件進(jìn)行加密；

* 安裝要求輸入密碼的訪問(wèn)控制程序，如果輸入密碼錯(cuò)誤，則通過(guò)Modem向系統(tǒng)管理員發(fā)出警報(bào)；

* 當(dāng)選擇DSL供應(yīng)商時(shí)，應(yīng)選擇能夠提供安全防護(hù)功能的供應(yīng)商。

現(xiàn)在最為流行的SSL VPN是怎么樣的呢？

IPSEC VPN的安全性建立在隧道技術(shù)的基礎(chǔ)上。隧道間傳送密文，在兩端是明文。

SSL VPN 的安全性主要建立在SSL協(xié)議的基礎(chǔ)上，利用PKI的證書(shū)體系完成秘密傳輸。

SSL具備很強(qiáng)的靈活性，因而廣受歡迎，如今幾乎所有瀏覽器都內(nèi)建有SSL功能。它正成為企業(yè)應(yīng)用、無(wú)線接入設(shè)備、Web服務(wù)以及安全接入管理的關(guān)鍵協(xié) 議。

SSL高效實(shí)現(xiàn)認(rèn)證加密

SSL協(xié)議層包含兩類(lèi)子協(xié)議——SSL握手協(xié)議和SSL記錄協(xié)議。它們共同為應(yīng)用訪問(wèn)連接（主要是HTTP連接）提供認(rèn)證、加密和防篡改功能。SSL能在 TCP/IP和應(yīng)用層間無(wú)縫實(shí)現(xiàn)Internet協(xié)議棧處理，而不對(duì)其他協(xié)議層產(chǎn)生任何影響。SSL的這種無(wú)縫嵌入功能還可運(yùn)用類(lèi)似Internet應(yīng) 用，如Intranet和Extranet接入、應(yīng)用程序安全訪問(wèn)、無(wú)線應(yīng)用以及Web服務(wù)。

SSL能基于Internet實(shí)現(xiàn)安全數(shù)據(jù)通信：數(shù)據(jù)在從瀏覽器發(fā)出時(shí)進(jìn)行加密，到達(dá)數(shù)據(jù)中心后解密；同樣地，數(shù)據(jù)在傳回客戶端時(shí)也進(jìn)行加密，再在 Internet中傳輸。它工作于高層，SSL會(huì)話由兩部分組成：連接和應(yīng)用會(huì)話。在連接階段，客戶端與服務(wù)器交換證書(shū)并協(xié)議安全參數(shù)，如果客戶端接受了 服務(wù)器證書(shū)，便生成主密鑰，并對(duì)所有后續(xù)通信進(jìn)行加密。在應(yīng)用會(huì)話階段，客戶端與服務(wù)器間安全傳輸各類(lèi)信息，如認(rèn)證卡號(hào)、股票交易數(shù)據(jù)、個(gè)人健康狀況這類(lèi) 敏感或機(jī)密數(shù)據(jù)。

SSL安全功能組件包括三部分：認(rèn)證，在連接兩端對(duì)服務(wù)器或同時(shí)對(duì)服務(wù)器和客戶端進(jìn)行驗(yàn)證；加密，對(duì)通信進(jìn)行加密，只有經(jīng)過(guò)加密的雙方才能交換信息并相互 識(shí)別；完整性檢驗(yàn)，進(jìn)行信息內(nèi)容檢測(cè)，防止被篡改。保證通信進(jìn)程安全的一個(gè)關(guān)鍵步驟是對(duì)通信雙方進(jìn)行認(rèn)證，SSL握手子協(xié)議負(fù)責(zé)這一進(jìn)程處理：客戶端向服 務(wù)器提交有效證書(shū)，服務(wù)器采用公共密鑰算法對(duì)證書(shū)信息進(jìn)行檢驗(yàn)，以確認(rèn)終端用戶的合法性。

在發(fā)展初期，很多采納SSL的傳統(tǒng)網(wǎng)絡(luò)應(yīng)用，如電子商務(wù)并不具備客戶端認(rèn)證功能。這類(lèi)功能在SSL協(xié)議之外，通過(guò)一些組合信息，如姓名/認(rèn)證卡號(hào)結(jié)合或其 他客戶端提供的數(shù)據(jù)（如口令）來(lái)實(shí)現(xiàn)的。如今很多企業(yè)在數(shù)據(jù)中心采納SSL，主要是針對(duì)新型應(yīng)用實(shí)現(xiàn)客戶端認(rèn)證功能。SSL VPN即是應(yīng)終端用戶附加認(rèn)證而設(shè)?？蛻舳苏J(rèn)證能讓服務(wù)器在協(xié)議功能范圍內(nèi)確認(rèn)用戶身份，同時(shí)客戶端也可運(yùn)用同樣技術(shù)對(duì)服務(wù)器進(jìn)行認(rèn)證。

SSL VPN控制功能強(qiáng)大

相對(duì)于傳統(tǒng)的IPSec VPN，SSL能讓公司實(shí)現(xiàn)更多遠(yuǎn)程用戶在不同地點(diǎn)接入，實(shí)現(xiàn)更多網(wǎng)絡(luò)資源訪問(wèn)，且對(duì)客戶端設(shè)備要求低，因而降低了配置和運(yùn)行支撐成本。很多企業(yè)用戶采納 SSL VPN作為遠(yuǎn)程安全接入技術(shù)，主要看重的是其接入控制功能。

SSL VPN提供增強(qiáng)的遠(yuǎn)程安全接入功能。IPSec VPN通過(guò)在兩站點(diǎn)間創(chuàng)建隧道提供直接（非代理方式）接入，實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的透明訪問(wèn)；一旦隧道創(chuàng)建，用戶PC就如同物理地處于企業(yè)LAN中。這帶來(lái)很多 安全風(fēng)險(xiǎn)，尤其是在接入用戶權(quán)限過(guò)大的情況下。SSL VPN提供安全、可代理連接，只有經(jīng)認(rèn)證的用戶才能對(duì)資源進(jìn)行訪問(wèn)，這就安全多了。SSL VPN能對(duì)加密隧道進(jìn)行細(xì)分，從而使得終端用戶能夠同時(shí)接入Internet和訪問(wèn)內(nèi)部企業(yè)網(wǎng)資源，也就是說(shuō)它具備可控功能。另外，SSL VPN還能細(xì)化接入控制功能，易于將不同訪問(wèn)權(quán)限賦予不同用戶，實(shí)現(xiàn)伸縮性訪問(wèn)；這種精確的接入控制功能對(duì)遠(yuǎn)程接入IPSec VPN來(lái)說(shuō)幾乎是不可能實(shí)現(xiàn)的。

SSL VPN基本上不受接入位置限制，可以從眾多Internet接入設(shè)備、任何遠(yuǎn)程位置訪問(wèn)網(wǎng)絡(luò)資源。SSL VPN通信基于標(biāo)準(zhǔn)TCP/UDP協(xié)議傳輸，因而能遍歷所有NAT設(shè)備、基于代理的防火墻和狀態(tài)檢測(cè)防火墻。這使得用戶能夠從任何地方接入，無(wú)論是處于其 他公司網(wǎng)絡(luò)中基于代理的防火墻之后，或是寬帶連接中。IPSec VPN在稍復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)中難于實(shí)現(xiàn)，因?yàn)樗茈y實(shí)現(xiàn)防火墻和NAT遍歷，無(wú)力解決IP地址沖突。另外，SSL VPN能實(shí)現(xiàn)從可管理企業(yè)設(shè)備或非管理設(shè)備接入，如家用PC或公共Internet接入場(chǎng)所，而IPSec VPN客戶端只能從可管理或固定設(shè)備接入。隨著遠(yuǎn)程接入需求的不斷增長(zhǎng)，遠(yuǎn)程接入IPSec VPN在訪問(wèn)控制方面受到極大挑戰(zhàn)，而且管理和運(yùn)行支撐成本較高，它是實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)連接的最佳解決方案，但要實(shí)現(xiàn)任意位置的遠(yuǎn)程安全接入，SSL VPN要理想得多。

應(yīng)用優(yōu)勢(shì)

SSL VPN不需要復(fù)雜的客戶端支撐，這就易于安裝和配置，明顯降低成本。IPSec VPN需要在遠(yuǎn)程終端用戶一方安裝特定設(shè)備，以建立安全隧道，而且很多情況下在外部（或非企業(yè)控制）設(shè)備中建立隧道相當(dāng)困難。另外，這類(lèi)復(fù)雜的客戶端難于 升級(jí)，對(duì)新用戶來(lái)說(shuō)面臨的麻煩可能更多，如系統(tǒng)運(yùn)行支撐問(wèn)題、時(shí)間開(kāi)銷(xiāo)問(wèn)題、管理問(wèn)題等。IPSec解決方案初始成本較低，但運(yùn)行支撐成本高。如今，已有 SSL開(kāi)發(fā)商能提供網(wǎng)絡(luò)層支持，進(jìn)行網(wǎng)絡(luò)應(yīng)用訪問(wèn)，就如同遠(yuǎn)程機(jī)器處于LAN中一樣；同時(shí)提供應(yīng)用層接入，進(jìn)行Web應(yīng)用和許多客戶端/服務(wù)器應(yīng)用訪問(wèn).