日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

九 經(jīng)典實用技術(shù)詳解-VPN

云知道

IPSEC
IPSEC是一種由IETF設(shè)計的端到端的確保基于IP通訊的數(shù)據(jù)安全性的機(jī)制 。IPSEC支持對數(shù)據(jù)加密,同時確保數(shù)據(jù)的完整性 。按照IETF的規(guī)定,不采用數(shù)據(jù)加密時,IPSEC使用驗證包頭(AH)提供驗證來源驗證(source authentication),確保數(shù)據(jù)的完整性;IPSEC使用封裝安全負(fù)載(ESP)與加密一道提供來源驗證,確保數(shù)據(jù)完整性 。IPSEC協(xié)議下,只有發(fā)送方和接受方知道秘密密鑰 。假如驗證數(shù)據(jù)有效,接受方就可以知道數(shù)據(jù)來自發(fā)送方,并且在傳輸過程中沒有受到破壞 。
可以把IPSEC想象成是位于TCP/IP協(xié)議棧的下層協(xié)議 。該層由每臺機(jī)器上的安全策略和發(fā)送、接受方協(xié)商的安全關(guān)聯(lián)(security association)進(jìn)行控制 。安全策略由一套過濾機(jī)制和關(guān)聯(lián)的安全行為組成 。假如一個數(shù)據(jù)包的IP地址,協(xié)議,和端口號滿足一個過濾機(jī)制,那么這個數(shù)據(jù)包將要遵守關(guān)聯(lián)的安全行為 。
協(xié)商安全關(guān)聯(lián)(NegotiatedSecurityAssociation)
上述第一個滿足過濾機(jī)制的數(shù)據(jù)包將會引發(fā)發(fā)送和接收方對安全關(guān)聯(lián)進(jìn)行協(xié)商 。ISAKMP/OAKLEY是這種協(xié)商采用的標(biāo)準(zhǔn)協(xié)議 。在一個ISAKMP/OAKLEY交換過程中,兩臺機(jī)器對驗證和數(shù)據(jù)安全方式達(dá)成一致,進(jìn)行相互驗證,然后生成一個用于隨后的數(shù)據(jù)加密的個共享密鑰 。
驗證包頭
通過一個位于IP包頭和傳輸包頭之間的驗證包頭可以提供IP負(fù)載數(shù)據(jù)的完整性和數(shù)據(jù)驗證 。驗證包頭包括驗證數(shù)據(jù)和一個序列號,共同用來驗證發(fā)送方身份,確保數(shù)據(jù)在傳輸過程中沒有被改動,防止受到第三方的攻擊 。IPSEC驗證包頭不提供數(shù)據(jù)加密;信息將以明文方式發(fā)送 。
封裝安全包頭
為了保證數(shù)據(jù)的保密性并防止數(shù)據(jù)被第3方竊取,封裝安全負(fù)載(ESP)提供了一種對IP負(fù)載進(jìn)行加密的機(jī)制 。另外,ESP還可以提供數(shù)據(jù)驗證和數(shù)據(jù)完整性服務(wù);因此在IPSEC包中可以用ESP包頭替代AH包頭 。
用戶治理
在選擇VPN技術(shù)時,一定要考慮到治理上的要求 。一些大型網(wǎng)絡(luò)都需要把每個用戶的目錄信息存放在一臺中心數(shù)據(jù)存儲設(shè)備中(目錄服務(wù))便于治理人員和應(yīng)用程序?qū)π畔⑦M(jìn)行添加,修改和查詢 。每一臺接入或隧道服務(wù)器都應(yīng)當(dāng)能夠維護(hù)自己的內(nèi)部數(shù)據(jù)庫,存儲每一名用戶的信息,包括用戶名,口令,以及撥號接入的屬性等 。但是,這種由多臺服務(wù)器維護(hù)多個用戶帳號的作法難以實現(xiàn)及時的更新,給治理帶來很大的困難 。因此,大多數(shù)的治理人員采用在目錄服務(wù)器,主域控制器或RADIUS服務(wù)器上建立一個主帳號數(shù)據(jù)庫的方法,進(jìn)行有效治理 。
RAS支持
微軟的遠(yuǎn)程接入服務(wù)器(RAS)使用域控制器或RADIUS服務(wù)器存儲每名用戶的信息 。因為治理員可以在單獨的數(shù)據(jù)庫中治理用戶信息中的撥號許可信息,所以使用一臺域控制器能夠簡化系統(tǒng)治理 。
微軟的RAS最初被用作撥號用戶的接入服務(wù)器 。現(xiàn)在,RAS可以作為PPTP和L2TP協(xié)議的隧道服務(wù)器(NT5將支持L2TP) 。這些第2層的VPN方案繼續(xù)了已有的撥號網(wǎng)絡(luò)全部的治理基礎(chǔ) 。
擴(kuò)展性
通過使用循環(huán)DNS在同屬一個安全地帶(securityperimeter)的VPN隧道服務(wù)器之間進(jìn)行請求分配,可以實現(xiàn)容余和負(fù)荷平衡 。一個安全地帶只具有一個對外域名,但擁有多個IP地址,負(fù)荷可以在所有的IP地址之間進(jìn)行任意的分配 。所有的服務(wù)器可以使用一個共享數(shù)據(jù)庫,如NT域控制器驗證訪問請求 。
RADIUS
遠(yuǎn)程驗證用戶撥入服務(wù)(RADIUS)協(xié)議是治理遠(yuǎn)程用戶驗證和授權(quán)的常用方法 。RADIUS是一種基于UDP協(xié)議的超輕便(lightweight)協(xié)議 。RADIUS服務(wù)器可以被放置在Internet網(wǎng)絡(luò)的任何地方為客戶NAS提供驗證(包括PPP PAP,CHAP,MSCHAP和EAP) 。另外,RADIUS服務(wù)器可以提供代理服務(wù)將驗證請求轉(zhuǎn)發(fā)到遠(yuǎn)端的RADIUS服務(wù)器 。例如,ISP之間相互合作,通過使用RADIUS代理服務(wù)實現(xiàn)漫游用戶在世界各地使用本地ISP提供的撥號服務(wù)連接Internet和VPN 。假如ISP發(fā)現(xiàn)用戶名不是本地注冊用戶,就會使用RADIUS代理將接入請求轉(zhuǎn)發(fā)給用戶的注冊網(wǎng)絡(luò) 。這樣企業(yè)在把握授權(quán)權(quán)利的前提下,有效的使用ISP的網(wǎng)絡(luò)基礎(chǔ)設(shè)施,使企業(yè)的網(wǎng)絡(luò)費用開支實現(xiàn)最小化 。

推薦閱讀