日韩伦理亚洲欧美在线一区_免费看一级大片_在线观看视频一区二区_日韩大片高清播放器大全

我們都知道,由于VPN(虛擬專用網(wǎng)絡(luò))傳輸?shù)氖撬接行畔?，VPN用戶對數(shù)據(jù)的安全性都比較關(guān)心。 目前VPN主要采用四項技術(shù)來保證安全，這四項技術(shù)分別是隧道技術(shù)（Tunneling）、加解密技術(shù)（Encryption & Decryption）、密鑰管理技術(shù)（Key Management）、使用者與設(shè)備身份認(rèn)證技術(shù)（Authentication）。

1.隧道技術(shù)：

隧道技術(shù)是VPN的基本技術(shù)類似于點對點連接技術(shù)，它在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過這條隧道傳輸。隧道是由隧道協(xié)議形成的，分為第二、 三層隧道協(xié)議。第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中，再把整個數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進(jìn)行傳輸。第 二層隧道協(xié)議有L2F、PPTP、L2TP等。L2TP協(xié)議是目前IETF的標(biāo)準(zhǔn)，由IETF融合PPTP與L2F而形成。

第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸。第三層隧道協(xié)議有VTP、IPSec等。IPSec（IP Security）是由一組RFC文檔組成，定義了一個系統(tǒng)來提供安全協(xié)議選擇、安全算法，確定服務(wù)所使用密鑰等服務(wù)，從而在IP層提供安全保障。

2.加解密技術(shù)：

加解密技術(shù)是數(shù)據(jù)通信中一項較成熟的技術(shù)，VPN可直接利用現(xiàn)有技術(shù)。

3.密鑰管理技術(shù)：

密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取?，F(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMP/OAKLEY兩種。SKIP主要 是利用Diffie-Hellman的演算法則，在網(wǎng)絡(luò)上傳輸密鑰；在ISAKMP中，雙方都有兩把密鑰，分別用于公用、私用。

4.使用者與設(shè)備身份認(rèn)證技術(shù)：

使用者與設(shè)備身份認(rèn)證技術(shù)最常用的是使用者名稱與密碼或卡片式認(rèn)證等方式。

堵住安全漏洞

安全問題是VPN的核心問題。目前，VPN的安全保證主要是通過防火墻技術(shù)、路由器配以隧道技術(shù)、加密協(xié)議和安全密鑰來實現(xiàn)的，可以保證企業(yè)員工安全地訪 問公司網(wǎng)絡(luò)。

但是，如果一個企業(yè)的VPN需要擴展到遠(yuǎn)程訪問時，就要注意，這些對公司網(wǎng)直接或始終在線的連接將會是黑客攻擊的主要目標(biāo)。因為，遠(yuǎn)程工作員工通過防火墻 之外的個人計算機可以接觸到公司預(yù)算、戰(zhàn)略計劃以及工程項目等核心內(nèi)容，這就構(gòu)成了公司安全防御系統(tǒng)中的弱點。雖然，員工可以雙倍地提高工作效率，并減少 在交通上所花費的時間，但同時也為黑客、競爭對手以及商業(yè)間諜提供了無數(shù)進(jìn)入公司網(wǎng)絡(luò)核心的機會。

但是，企業(yè)并沒有對遠(yuǎn)距離工作的安全性予以足夠的重視。大多數(shù)公司認(rèn)為，公司網(wǎng)絡(luò)處于一道網(wǎng)絡(luò)防火墻之后是安全的，員工可以撥號進(jìn)入系統(tǒng)，而防火墻會將一 切非法請求拒之其外；還有一些網(wǎng)絡(luò)管理員認(rèn)為，為網(wǎng)絡(luò)建立防火墻并為員工提供VPN，使他們可以通過一個加密的隧道撥號進(jìn)入公司網(wǎng)絡(luò)就是安全的。這些看法 都是不對的。

在家辦公是不錯，但從安全的觀點來看，它是一種極大的威脅，因為，公司使用的大多數(shù)安全軟件并沒有為家用計算機提供保護。一些員工所做的僅僅是進(jìn)入一臺家 用計算機，跟隨它通過一條授權(quán)的連接進(jìn)入公司網(wǎng)絡(luò)系統(tǒng)。雖然，公司的防火墻可以將侵入者隔離在外，并保證主要辦公室和家庭辦公室之間VPN的信息安全。但 問題在于，侵入者可以通過一個被信任的用戶進(jìn)入網(wǎng)絡(luò)。因此，加密的隧道是安全的，連接也是正確的，但這并不意味著家庭計算機是安全的。

黑客為了侵入員工的家用計算機，需要探測IP地址。有統(tǒng)計表明，使用撥號連接的IP地址幾乎每天都受到黑客的掃描。因此，如果在家辦公人員具有一條諸如 DSL的不間斷連接鏈路（通常這種連接具有一個固定的IP地址），會使黑客的入侵更為容易。因為，撥號連接在每次接入時都被分配不同的IP地址，雖然它也 能被侵入，但相對要困難一些。一旦黑客侵入了家庭計算機，他便能夠遠(yuǎn)程運行員工的VPN客戶端軟件。因此，必須有相應(yīng)的解決方案堵住遠(yuǎn)程訪問VPN的安全 漏洞，使員工與網(wǎng)絡(luò)的連接既能充分體現(xiàn)VPN的優(yōu)點，又不會成為安全的威脅。在個人計算機上安裝個人防火墻是極為有效的解決方法，它可以使非法侵入者不能 進(jìn)入公司網(wǎng)絡(luò)。

當(dāng)然，還有一些提供給遠(yuǎn)程工作人員的實際解決方法：

* 所有遠(yuǎn)程工作人員必須被批準(zhǔn)使用VPN；

* 所有遠(yuǎn)程工作人員需要有個人防火墻，它不僅防止計算機被侵入，還能記錄連接被掃描了多少次；

* 所有的遠(yuǎn)程工作人員應(yīng)具有入侵檢測系統(tǒng)，提供對黑客攻擊信息的記錄；

* 監(jiān)控安裝在遠(yuǎn)端系統(tǒng)中的軟件，并將其限制只能在工作中使用；

* IT人員需要對這些系統(tǒng)進(jìn)行與辦公室系統(tǒng)同樣的定期性預(yù)定檢查；

* 外出工作人員應(yīng)對敏感文件進(jìn)行加密；

* 安裝要求輸入密碼的訪問控制程序，如果輸入密碼錯誤，則通過Modem向系統(tǒng)管理員發(fā)出警報；

* 當(dāng)選擇DSL供應(yīng)商時，應(yīng)選擇能夠提供安全防護功能的供應(yīng)商。

現(xiàn)在最為流行的SSL VPN是怎么樣的呢？

IPSEC VPN的安全性建立在隧道技術(shù)的基礎(chǔ)上。隧道間傳送密文，在兩端是明文。

SSL VPN 的安全性主要建立在SSL協(xié)議的基礎(chǔ)上，利用PKI的證書體系完成秘密傳輸。

SSL具備很強的靈活性，因而廣受歡迎，如今幾乎所有瀏覽器都內(nèi)建有SSL功能。它正成為企業(yè)應(yīng)用、無線接入設(shè)備、Web服務(wù)以及安全接入管理的關(guān)鍵協(xié) 議。

SSL高效實現(xiàn)認(rèn)證加密

SSL協(xié)議層包含兩類子協(xié)議——SSL握手協(xié)議和SSL記錄協(xié)議。它們共同為應(yīng)用訪問連接（主要是HTTP連接）提供認(rèn)證、加密和防篡改功能。SSL能在 TCP/IP和應(yīng)用層間無縫實現(xiàn)Internet協(xié)議棧處理，而不對其他協(xié)議層產(chǎn)生任何影響。SSL的這種無縫嵌入功能還可運用類似Internet應(yīng) 用，如Intranet和Extranet接入、應(yīng)用程序安全訪問、無線應(yīng)用以及Web服務(wù)。

SSL能基于Internet實現(xiàn)安全數(shù)據(jù)通信：數(shù)據(jù)在從瀏覽器發(fā)出時進(jìn)行加密，到達(dá)數(shù)據(jù)中心后解密；同樣地，數(shù)據(jù)在傳回客戶端時也進(jìn)行加密，再在 Internet中傳輸。它工作于高層，SSL會話由兩部分組成：連接和應(yīng)用會話。在連接階段，客戶端與服務(wù)器交換證書并協(xié)議安全參數(shù)，如果客戶端接受了 服務(wù)器證書，便生成主密鑰，并對所有后續(xù)通信進(jìn)行加密。在應(yīng)用會話階段，客戶端與服務(wù)器間安全傳輸各類信息，如認(rèn)證卡號、股票交易數(shù)據(jù)、個人健康狀況這類 敏感或機密數(shù)據(jù)。

SSL安全功能組件包括三部分：認(rèn)證，在連接兩端對服務(wù)器或同時對服務(wù)器和客戶端進(jìn)行驗證；加密，對通信進(jìn)行加密，只有經(jīng)過加密的雙方才能交換信息并相互 識別；完整性檢驗，進(jìn)行信息內(nèi)容檢測，防止被篡改。保證通信進(jìn)程安全的一個關(guān)鍵步驟是對通信雙方進(jìn)行認(rèn)證，SSL握手子協(xié)議負(fù)責(zé)這一進(jìn)程處理：客戶端向服 務(wù)器提交有效證書，服務(wù)器采用公共密鑰算法對證書信息進(jìn)行檢驗，以確認(rèn)終端用戶的合法性。

在發(fā)展初期，很多采納SSL的傳統(tǒng)網(wǎng)絡(luò)應(yīng)用，如電子商務(wù)并不具備客戶端認(rèn)證功能。這類功能在SSL協(xié)議之外，通過一些組合信息，如姓名/認(rèn)證卡號結(jié)合或其 他客戶端提供的數(shù)據(jù)（如口令）來實現(xiàn)的。如今很多企業(yè)在數(shù)據(jù)中心采納SSL，主要是針對新型應(yīng)用實現(xiàn)客戶端認(rèn)證功能。SSL VPN即是應(yīng)終端用戶附加認(rèn)證而設(shè)。客戶端認(rèn)證能讓服務(wù)器在協(xié)議功能范圍內(nèi)確認(rèn)用戶身份，同時客戶端也可運用同樣技術(shù)對服務(wù)器進(jìn)行認(rèn)證。

SSL VPN控制功能強大

相對于傳統(tǒng)的IPSec VPN，SSL能讓公司實現(xiàn)更多遠(yuǎn)程用戶在不同地點接入，實現(xiàn)更多網(wǎng)絡(luò)資源訪問，且對客戶端設(shè)備要求低，因而降低了配置和運行支撐成本。很多企業(yè)用戶采納 SSL VPN作為遠(yuǎn)程安全接入技術(shù)，主要看重的是其接入控制功能。

SSL VPN提供增強的遠(yuǎn)程安全接入功能。IPSec VPN通過在兩站點間創(chuàng)建隧道提供直接（非代理方式）接入，實現(xiàn)對整個網(wǎng)絡(luò)的透明訪問；一旦隧道創(chuàng)建，用戶PC就如同物理地處于企業(yè)LAN中。這帶來很多 安全風(fēng)險，尤其是在接入用戶權(quán)限過大的情況下。SSL VPN提供安全、可代理連接，只有經(jīng)認(rèn)證的用戶才能對資源進(jìn)行訪問，這就安全多了。SSL VPN能對加密隧道進(jìn)行細(xì)分，從而使得終端用戶能夠同時接入Internet和訪問內(nèi)部企業(yè)網(wǎng)資源，也就是說它具備可控功能。另外，SSL VPN還能細(xì)化接入控制功能，易于將不同訪問權(quán)限賦予不同用戶，實現(xiàn)伸縮性訪問；這種精確的接入控制功能對遠(yuǎn)程接入IPSec VPN來說幾乎是不可能實現(xiàn)的。

SSL VPN基本上不受接入位置限制，可以從眾多Internet接入設(shè)備、任何遠(yuǎn)程位置訪問網(wǎng)絡(luò)資源。SSL VPN通信基于標(biāo)準(zhǔn)TCP/UDP協(xié)議傳輸，因而能遍歷所有NAT設(shè)備、基于代理的防火墻和狀態(tài)檢測防火墻。這使得用戶能夠從任何地方接入，無論是處于其 他公司網(wǎng)絡(luò)中基于代理的防火墻之后，或是寬帶連接中。IPSec VPN在稍復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)中難于實現(xiàn)，因為它很難實現(xiàn)防火墻和NAT遍歷，無力解決IP地址沖突。另外，SSL VPN能實現(xiàn)從可管理企業(yè)設(shè)備或非管理設(shè)備接入，如家用PC或公共Internet接入場所，而IPSec VPN客戶端只能從可管理或固定設(shè)備接入。隨著遠(yuǎn)程接入需求的不斷增長，遠(yuǎn)程接入IPSec VPN在訪問控制方面受到極大挑戰(zhàn)，而且管理和運行支撐成本較高，它是實現(xiàn)點對點連接的最佳解決方案，但要實現(xiàn)任意位置的遠(yuǎn)程安全接入，SSL VPN要理想得多。

應(yīng)用優(yōu)勢

SSL VPN不需要復(fù)雜的客戶端支撐，這就易于安裝和配置，明顯降低成本。IPSec VPN需要在遠(yuǎn)程終端用戶一方安裝特定設(shè)備，以建立安全隧道，而且很多情況下在外部（或非企業(yè)控制）設(shè)備中建立隧道相當(dāng)困難。另外，這類復(fù)雜的客戶端難于 升級，對新用戶來說面臨的麻煩可能更多，如系統(tǒng)運行支撐問題、時間開銷問題、管理問題等。IPSec解決方案初始成本較低，但運行支撐成本高。如今，已有 SSL開發(fā)商能提供網(wǎng)絡(luò)層支持，進(jìn)行網(wǎng)絡(luò)應(yīng)用訪問，就如同遠(yuǎn)程機器處于LAN中一樣；同時提供應(yīng)用層接入，進(jìn)行Web應(yīng)用和許多客戶端/服務(wù)器應(yīng)用訪問.