亚洲欧美精品沙发,日韩在线精品视频,亚洲Av每日更新在线观看,亚洲国产另类一区在线5

<pre id="hdphd"></pre>

  • <div id="hdphd"><small id="hdphd"></small></div>
      學習啦>學習電腦>電腦安全>網絡安全知識>

      關于基礎知識介紹

      時間: 權威724 分享

      是什么?

      (Virtual Private Network, 虛擬專用網絡)是一個建立在公用網(通常是因特網)上的專用網絡,但因為這個專用網絡只是邏輯存在并沒有實際物理線路,故稱為虛擬專用網。

      隨著因特網的發(fā)展壯大,越來越多的數(shù)據(jù)需要在因特網上進行傳輸共享,當企業(yè)將自身網絡接入因特網時,各地的辦事處等外部站點可以很方便地訪問企業(yè)網絡,但同時也把企業(yè)內部的私有數(shù)據(jù)暴露給因特網上的其他用戶。于是在這種開放的網絡環(huán)境上搭建專用線路的需求日益強烈,應運而生。

      通過隧道技術在兩個站點間建立一條虛擬的專用線路,使用端到端的認證和加密保證數(shù)據(jù)的安全性。典型拓撲如下圖所示:

      什么是封裝與隧道?

      封裝是指將一種協(xié)議承載在另一種協(xié)議中進行傳輸?shù)募夹g,如PPTP就是將PPP報文封裝在GRE協(xié)議中。協(xié)議B為被承載協(xié)議,GRE為承載協(xié)議。

      隧道指被承載協(xié)議的傳輸通道。

      什么是PPTP?

      點對點隧道協(xié)議,是在PPP協(xié)議的基礎上開發(fā)的一種新的增強型安全協(xié)議,可以使遠程用戶安全方便的訪問企業(yè)網絡。PPTP屬于二層隧道協(xié)議。

      什么是L2TP?

      二層隧道協(xié)議(L2TP(Layer 2 Tunneling Protocol),是由IETF起草,微軟、Cisco等公司參予制定的二層隧道協(xié)議。

      PPTP與L2TP區(qū)別是什么?

      PPTP與L2TP適用于經常有流動人員遠程辦公的環(huán)境,出差員工利用Internet可以很方便的和公司的網關建立私有的隧道連接。PPTP、L2TP提供認證加密功能,可提高網絡的安全性。如下圖所示,出差員工通過PPTP 連接至總部網絡。

      什么是IPsec ?

      IPsec(IP安全)是一系列服務和協(xié)議的集合,是由IETF制定的三層隧道加密協(xié)議,它為Internet上數(shù)據(jù)的傳輸提供了高質量的、可互操作的、基于密碼學的安全保證。特定的通信方之間在IP層通過加密與數(shù)據(jù)源認證等方式,可以保證雙方數(shù)據(jù)的完整性與機密性。

      數(shù)據(jù)完整性:IPSec接收方對發(fā)送方發(fā)送來的包進行認證,以確保數(shù)據(jù)的完整性。

      數(shù)據(jù)機密性:IPSec發(fā)送方在通過網絡傳輸包前對數(shù)據(jù)包進行加密,可以保證數(shù)據(jù)的安全性。

      數(shù)據(jù)來源認證:IPSec接收方可以認證IPSec報文的發(fā)送方是否合法。

      為了實現(xiàn)安全的通信,通信雙方的IPsec協(xié)議必須協(xié)商用于編碼數(shù)據(jù)的具體算法,數(shù)據(jù)格式的安全提議,并通過IKE交換解密編碼數(shù)據(jù)所需的密鑰。

      IPsec中有兩個重要的安全協(xié)議,AH(Authentication Header)和ESP(Encapsulating Security Payload)。

      什么是AH?

      AH是認證頭協(xié)議,主要提供的功能有數(shù)據(jù)源認證、數(shù)據(jù)完整性校驗和防報文重放功能,可選擇的認證算法有MD5、SHA-1等。AH報文頭插在標準IP包頭后面,保證數(shù)據(jù)包的完整性和真實性,防止黑客截獲數(shù)據(jù)包或向網絡中插入偽造的數(shù)據(jù)包。

      什么是ESP?

      ESP是報文安全封裝協(xié)議,與AH協(xié)議不同的是,ESP將需要保護的用戶數(shù)據(jù)進行加密后封裝到IP包中,可以保證數(shù)據(jù)的機密性。

      常見的加密算法有DES、3DES、AES等。

      可以選擇MD5、SHA-1算法保證報文的完整性和真實性。

      AH和ESP可以單獨使用,也可以配合使用。設備支持的AH和ESP聯(lián)合使用的方式為:先對報文進行ESP封裝,再對報文進行AH封裝,封裝之后的報文從內到外依次是原始IP報文、ESP頭、AH頭和外部IP頭。

      目前TL-ER6120支持AH或者ESP,不支持“AH+ESP”。

      驗證算法

      AH和 ESP都能夠對 IP報文的完整性進行驗證, 以判別報文在傳輸過程中是否被篡改。驗證算法是通過 Hash函數(shù)。Hash函數(shù)是一種能夠接受任意長的消息輸入,并產生固定長度輸出的算法,該輸出稱為消息摘要。IPsec 對等體計算摘要,如果兩個摘要是相同的,則表示報文是完整未經篡改的。IPsec 使用兩種驗證算法:

      MD5:MD5通過輸入任意長度的消息,產生 128bit的消息摘要。

      SHA-1:SHA-1通過輸入長度小于 2的 64次方比特的消息,產生 160bit的消息摘要。

      加密算法

      ESP能夠對 IP報文內容進行加密保護,防止報文內容在傳輸過程中被窺探。加密算法實現(xiàn)主要通過對稱密鑰系統(tǒng),它使用相同的密鑰對數(shù)據(jù)進行加密和解密。

      IPsec常用的三種加密算法:

      DES:使用 56bit的密鑰對每個 64bit的明文塊進行加密。

      3DES:使用三個 56bit的 DES密鑰(共 168bit密鑰)對明文進行加密。3DES具有更高的安全性,但其加密數(shù)據(jù)的速度要比 DES慢。

      AES(Advanced Encryption Standard):可以實現(xiàn) 128bit、192bit和 256bit密鑰長度的 AES算法。

       什么是IKE?

      在 IPsec 中,為了保證信息的私密性,通信雙方需要使用彼此都知道的信息來對數(shù)據(jù)進行加密和解密,所以在通信建立之初雙方需要協(xié)商安全性密鑰,這一過程便由 IKE (Internet Key Exchange, 互聯(lián)網密鑰交換)協(xié)議完成。

      IKE 其實并非一個單獨的協(xié)議,而是三個協(xié)議的混合體。這三個協(xié)議分別是 ISAKMP (Internet Security Association and Key Management Protocol, 互聯(lián)網安全性關聯(lián)和密鑰管理協(xié)議),該協(xié)議為交換密鑰和 SA (Security Association, 安全聯(lián)盟)協(xié)商提供了一個框架;Oakley 密鑰確定協(xié)議,該協(xié)議描述了密鑰交換的具體機制;SKEME安全密鑰交換機制,該協(xié)議描述了與 Oakley 不同的另一種密鑰交換機制。

      整個 IKE 協(xié)商過程被分為兩個階段。第一階段,通信雙方將協(xié)商交換驗證算法、加密算法等安全提議,并建立一個 ISAKMP SA,用于在第二階段中安全交換更多信息。第二階段,使用第一階段中建立的 ISAKMP SA 為 IPsec的安全性協(xié)議協(xié)商參數(shù),創(chuàng)建 IPsec SA,用于對雙方的通信數(shù)據(jù)進行保護。

      IKE為IPSec提供自動協(xié)商交換密鑰、建立和維護SA的服務,以簡化IPSec的使用和管理。IPSec所使用的策略和算法等可以手工協(xié)商,IKE并不是必須的。

      DH(Diffie-Hellman)交換及密鑰分發(fā) :Diffie-Hellman 算法是以蒂夫-海曼的名字命名的一種公共密鑰算法。通信雙方在不傳送密鑰的情況下通過交換一些數(shù)據(jù),計算出共享的密鑰。加密的前提是交換加密數(shù)據(jù)的雙方必須要有共享的密鑰。

      PFS(Perfect Forward Secrecy)完善的前向安全性: PFS特性是一種安全特性,由于密鑰間沒有派生關系,即使一個密鑰被解除,并不影響其他密鑰的安全性。

      IPSec主要用在站點到站點(分支結構到分支機構)的方案中。如下圖,總部與分支機構各部署一臺網關,做好相應配置后,分支機構與總部的內網間可實現(xiàn)透明互訪,又可保證通信的安全性。

      515497