招标系统安全整体解决方案设计_第1页
招标系统安全整体解决方案设计_第2页
招标系统安全整体解决方案设计_第3页
招标系统安全整体解决方案设计_第4页
招标系统安全整体解决方案设计_第5页
已阅读5页,还剩11页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、指导老师评阅成绩表指导老师评阅成绩表学习与工作态度(30%)选题的价值与意义(10%)文献综述(10%)研究水平与设计能力(20%)课程设计说明说(论文)撰写质量(20%)学术水平与创新(10%)总分指导老师签名: 年 月 日课程设计答辩记录及评价表课程设计答辩记录及评价表学生讲述情况教师主要提问记录学生回答问题情况评价参考标准评分项目分值优良中及格差评分总分选题的价值与意义1098764文献综述1098764研究水平与设计能力201917151310课程设计说明书(论文)撰写质量201917151310学术水平与创新1098764答辩评分答辩效果302825221915是否同意论文(设计)通

2、过答辩同意 不同意答辩小组成员签名答辩小组组长签名: 年 月 日课程设计成绩评定表课程设计成绩评定表评分项目评分比例分数课程设计总分成绩汇总指导老师评分50%课程设计成绩评价表答辩小组评分50%成成 都都 信信 息息 工工 程程 学学 院院课课 程程 设设 计计题目:某招标系统安全设计解决方案题目:某招标系统安全设计解决方案作者姓名:作者姓名:班班 级级: :学学 号:号:指指导导教教师师: :日日 期:期:2010 年年 12 月月 13 日日 作者签名:封面摘摘 要要 随着计算机技术和通讯技术的飞速发展,网络正逐步改变着人们的工作方式和生活方式,成为当今社会发展的一个主题。由于网络的开放性

3、,互连性,共享性程度的扩大,特别是 Internet 的出现,使网络的重要性和对社会的影响也越来越大。随着网络上电子商务,电子现金,数字货币,网络国税等新兴业务的兴起,网络犯罪也充斥着整个网络,给网络中的用户带来了很大的损失。因此对于这些企业的网络安全问题的解决已经刻不容缓。 本设计方案是针对某招标系统的安全管理出发,大家都知道招标系统含有大量的商业绝密信息,对于商业用户有着至关重要的影响,因此这套安全设计方案有着非凡的意义。本方案首先提出了系统所面临的主要威胁再针对系统中的网络设备等因素进行了分析;然后针对前面的需求以及分析提出了网络安全解决方案的设计原则,策略等总体规划;最后介绍的是方案的

4、详细设计问题,用到的各方面技术,例如 IPSEC,防火墙的运用等。设计方案里面也特别强调到了在运用系统中的认为因素,俗话说 3 分技术 7 分管理,可见人为的因素是相当重要的,我们因该在日常生活中培养好良好的安全防范意识,把技术与人为管理完美的结合起来,建立一个真正意义上安全的招标系统。关键词关键词:Internet;IPSEC;招标系统;防火墙与入侵检测。目目 录录1 引言.11.1 课题背景.11.2 国内外现状.11.3 本课题研究的迫切性.11.4 本课题的研究作用.22 招标系统安全体系概述.22.1 安全威胁.22.2 平台安全的需求.22.3 平台安全的体系结构.32.4 平台安

5、全的管理因素.33 招标系统网络结构分析及安全需求.43.1 招标系统现行网络整体结构分析.43.1.1 网络结构.43.1.2 网络设备.53.1.3 主机设备.53.1.4 系统软件平台.53.2 系统面临主要网络安全威胁.54 网络安全系统的总体规划.64.1 安全体系结构.64.2 安全体系设计.64.2.1 安全体系设计原则.74.2.2 安全管理的实现.84.2.3 网络安全设计.85 网络安全整体解决方案详细设计.95.1 应用防火墙技术,控制访问权限,实现网络安全管理.95.1.1 使用 FIREWALL 的意义.95.1.2 设置 FIREWALL 的要素.105.2 应用入

6、侵检测技术保护主机资源,防止非法访问和恶意攻击.115.2.1 入侵检测系统.125.2.2 选择入侵监视系统的要点.125.2.3 具体实施方案.125.3 应用 VPN 技术,保证移动用户访问内部网的安全性.135.3.1 网络系统对 VPN 技术的需求.135.3.2 IPSEC.135.3.3 如何保证移动用户远程访问内部网的安全性.14结 论.15参考文献.151 引言引言1.1 课题背景课题背景随着计算机网络技术的飞速发展,网络技术越来越受到人们的重视,它已逐渐渗入我们生活各个层面。在人们尽情享受网络带来的便捷的同时也同样在遭受网络犯罪所带来的危害。病毒是网络安全最大的隐患,它对网

7、络的威胁占导致经济损失的安全问题的 76%。几乎所有的企业都不同程度的遭受过病毒的侵袭。目前全球已发现二万余种病毒样本,并且以每月新增 300 多种的速度继续破坏着网络和单机上宝贵的信息资源。病毒给每个计算机用户和企业带来了无法估量和弥补的损失。1.2 国内外现状国内外现状计算机网络犯罪所造成的经济损失非常令人吃惊。在中国虽然已经由国家颁布了相关的法律法规但是网络犯罪依然泛滥,具体数据这里我就不多加讲述,总之每天是有增五减。而在国外,情况也很严重,仅在美国每年因计算机犯罪所造成的直接经济损失就达 150 亿美元。在全球平均每二十秒就发生一次网上入侵事件。有近 80%的公司至少每周在网络上要被大

8、规模的入侵一次,并且一旦黑客找到系统的薄弱环节,所有用户都会遭殃。面对计算机网络的种种安全威胁,必须采取有力的措施来保证安全。1.3 本课题研究的本课题研究的迫切性迫切性随着网络规模的不断扩大,复杂性不断增加,异构性不断提高,用户对网络性能要求的不断提高,网络管理也逐步成为网络技术发展中一个极为关键的任务,对网络的发展产生很大的影响,成为现代信息网络中最重要的问题之一。如果没有一个高效的网络管理系统对网络进行管理,就很难向广大用户提供令人满意的服务。据测算,管理一台连网的 PC 机五年的成本就超过 65,000 美元。因此,找到一种使网络运作更高效,更实用,更低廉的解决方案已成为每一个企业领导

9、人和网络管理人员的迫切要求。虽然其重要性已在各方面得到体现,并为越来越多的人所认识,可迄今为止,在网络管理领域里仍有许多漏洞和亟待完善的问题存在。1.4 本课题的研究本课题的研究作作用用本课题研究主要针对商业系统的安全问题,首先提出安全威胁,分析规划并提出解决方案,以保证企业的信息安全。2 2 招标系统安全体系概述招标系统安全体系概述 2.1 安全威胁安全威胁自信息系统开始运行以来就存在信息系统安全问题,通过网络远程访问而构成的安全威胁成为日益受到严重关注的问题。根据美国 FBI 的调查,美国每年因为网络安全造成的经济损失超过 170 亿美元。由于招标系统网络内运行的主要是多种网络协议,而这些

10、网络协议并非专为安全通讯而设计。所以,研究所网络可能存在的安全威胁来自以下方面:(1) 操作系统的安全性,目前流行的许多操作系统均存在网络安全漏洞,如 UNIX 服务器,NT 服务器及 Windows 桌面 PC;(2) 防火墙的安全性,防火墙产品自身是否安全,是否设置错误,需要经过检验;(3) 来自内部网用户的安全威胁;(4) 缺乏有效的手段监视、评估网络系统的安全性;(5) 采用的 TCP/IP 协议族软件,本身缺乏安全性;(6) 应用服务的安全,许多应用服务系统在访问控制及安全通讯方面考虑较少,并且,如果系统设置错误,很容易造成损失。 2.2 平台安全的需求平台安全的需求满足基本的安全要

11、求,是该网络成功运行的必要条件,在此基础上提供强有力的安全保障,是该网络系统安全的重要原则。招标系统网络内部部署了众多的网络设备、服务器,保护这些设备的正常运行,维护主要办公网,网站服务器系统的安全,是该网络的基本安全需求。对于各种各样的网络攻击,如何在提供灵活且高效的网络通讯及信息服务的同时,抵御和发现网络攻击,并且提供跟踪攻击的手段,是本项目需要解决的问题。该网络基本安全要求:(1) 网络正常运行。在受到攻击的情况下,能够保证网络系统继续运行。(2) 网络管理/网络部署的资料不被窃取。(3) 具备先进的入侵检测及跟踪体系。(4) 提供灵活而高效的内外通讯服务。 2.3 平台安全的平台安全的

12、体系结构体系结构本招标系统安全涉及到平台的各个方面。按照网络 OSI 的 7 层模型,网络安全贯穿于整个 7 层模型。针对招标系统网络网络实际运行的 TCP/IP 协议,网络安全贯穿于信息系统的 4 个层次。 物理层的安全:物理层信息安全,主要防止物理通路的损坏、物理通路的窃听、对物理通路的攻击(干扰等) 。链路层的安全:链路层的网络安全需要保证通过网络链路传送的数据不被窃听。主要采用划分 VLAN(局域网) 、加密通讯(远程网)等手段。网络层的安全:网络层的安全需要保证网络只给授权的客户使用授权的服务,保证网络路由正确,避免被拦截或监听。操作系统的安全:操作系统安全要求保证客户资料、操作系统

13、访问控制的安全,同时能够对该操作系统上的应用进行审计。应用平台的安全:应用平台指建立在网络系统之上的应用软件服务,如数据库服务器、电子邮件服务器、Web 服务器等。由于应用平台的系统非常复杂,通常采用多种技术(如 SSL 等)来增强应用平台的安全性。应用系统的安全:应用系统完成网络系统的最终目的-为用户服务。应用系统的安全与系统设计和实现关系密切。应用系统使用应用平台提供的安全服务来保证基本安全,如通讯内容安全,通讯双方的认证,审计等手段。2.4 平台安全的管理因素平台安全的管理因素平台安全可以采用多种技术来增强和执行。但是,很多安全威胁来源于管理上的松懈及对安全威胁的认识。安全威胁主要利用以

14、下途径:(1)系统实现存在的漏洞;(2)系统安全体系的缺陷;(3)使用人员的安全意识薄弱;(4)管理制度的薄弱;良好的平台管理有助于增强系统的安全性:(1)及时发现系统安全的漏洞;(2)加强对使用人员的安全知识教育;(3)建立完善的系统管理制度;(4)审查系统安全体系;3 招标系统网络结构分析及安全需求招标系统网络结构分析及安全需求3.1 招标系统现行网络整体结构分析招标系统现行网络整体结构分析3.1.1 网络结构网络结构以下我们将从内部网络结构和外部网络连接两个方面讨论研究所网络的结构。(1)内部网络结构:从网络结构拓扑图中可以看出,将整个托管服务器网站与办公自动化网设为内部网络,它包括:各

15、种服务器(如:Lotus domino SERVER,Proxy server 等)运行 Win9x 的工作站通过 DDN 专线连接的托管服务器网站与办公自动化网托管服务器网站通过 ISP 与 Internet 连通,办公自动化网通过 ADSL 与Internet 连通,托管服务器网站与办公自动化网之间通过路由器通过 DDN 专线连接。网络间各节点通过 TCP/IP 协议进行通讯。(2)外部网络连接:由于业务需要,某研究所员工经常需要出差,并且要保证该移动用户能使用当地 ISP 拨号上网连接上 Internet,安全进入内部网网络,形成一个虚拟私有网络(VPN) 。以上连接属于内部网络与外部网

16、络的连接,一方面虽然满足了该研究所的需要,同时也导致了新的安全问题。这些外部连接的安全防范也成为研究所网络安全的重要方面之一。3.1.2 网络设备网络设备在整个网络中,各节点是通过租用 ISP 的通讯线路进行连接的,局域网主要使用了以下设备:MODEM 以太网交换机;HUB;以太网接口卡;3.1.3 主机设备主机设备PC SERVER;PC 机; 3.1.4 系统软件平台系统软件平台操作系统平台主要包括以下内容:WINDOWS NT/2000 网络操作系统;WINDOWS 95/98;3.2 系统面临主要网络安全威胁系统面临主要网络安全威胁网络系统的可靠运转是基于通讯子网、计算机硬件和操作系统

17、及各种应用软件等各方面、各层次的良好运行。因此,它的风险将来自对企业的各个关键点可能造成的威胁,这些威胁可能造成总体功能的失效。由于在这种广域网分布式计算环境中,相对于过去的局域网、主机环境、单机环境,安全问题变得越来越复杂和突出,所以网络安全风险分析成为制定有效的安全管理策略和选择有作用的安全技术实施措施的基础。安全保障不能完全基于思想教育或信任。而应基于“最低权限”和“相互监督”的法则,减少保密信息的介入范围,尽力消除使用者为使用资源不得不信任他人或被他人信任的问题,建立起完整的安全控制体系和保证体系。通过以上对网络结构的分析不难看出,目前研究所网络的规模庞大,结构复杂,网络上运行着各种各

18、样的主机和应用程序,使用了多种网络设备;同时,由于多种业务的需要,又和许多其他网络进行连接。因此,我们认为,研究所计算机网络安全应该从以下几个层面进行考虑:第一层:第一层:外部网络连接及数据访问,其中包括出差在外的移动用户的连接托管服务器网站对外提供的公共服务办公自动化网使用 ADSL 与 Internet 连接第二层:第二层:内部网络连接,其中包括通过 DDN 专线连接的托管服务器网站与办公自动化网第三层:第三层:同一网段中不同部门间的连接这里主要是指同一网段中,即连接在同一个 HUB 或交换机上的不同部门的主机和工作站的安全问题。其中外部网络攻击威胁主要来自第一层,内部网络的安全问题集中在

19、第二、三层上。以下我们将就外部网络安全和内部网络的安全问题展开具体讨论。4 网络安全系统的总体规划网络安全系统的总体规划4.1 安全体系结构安全体系结构网络安全体系结构主要考虑安全对象和安全机制,安全对象主要有网络安全、系统安全、数据库安全、信息安全、设备安全、信息介质安全和计算机病毒防治等,其安全体系结构如图 3-1 所示:4.2 安全体系设计安全体系设计企业安全策略用户责任病毒防治保密教育信息安全信息服务操作系统计算机网络安全网络拓扑图如上:网络拓扑图如上:4.2.1 安全体系设计原则安全体系设计原则在进行计算机网络安全设计、规划时,应遵循以下原则: 需求、风险、代价平衡分析的原则 :对任

20、一网络来说,绝对安全难以达到,也不一定必要。对一个网络要进行实际分析,对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。保护成本、被保护信息的价值必须平衡,价值仅 1 万元的信息如果用 5 万元的技术和设备去保护是一种不适当的保护。综合性、整体性原则 :运用系统工程的观点、方法,分析网络的安全问题,并制定具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络包括个人、设备、软件、数据等环节。它们在网络安全中的地位和影响作用,只有从系统综合的整体角度去看待和分析,才可能获得有效、可行的措施。 一致性原则 :这主要是指网络安

21、全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。实际上,在网络建设之初就考虑网络安全对策,比等网络建设好后再考虑,不但容易,而且花费也少得多。易操作性原则 :安全措施要由人来完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,采用的措施不能影响系统正常运行。 适应性、灵活性原则 安全措施必须能随着网络性能及安全需求的变化而变化,要容易适应、容易修改。多重保护原则 任何安全保护措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。4.2.2 安全管理的实现安

22、全管理的实现信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制订相应的管理制度或采用相应规范,其具体工作是:确定该系统的安全等级;根据确定的安全等级,确定安全管理的范围;制订相应的机房出入管理制度,对安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域;制订严格的操作规程,操作规程要根据职责分离和多人负责的原则,各负其责,不能超越自己的管辖范围;制订完备的系统维护制度,维护时,要首先经主管部门批准,并有安全管理人员在场,故障原因、维护内容和维护前后的情况要详细记录;制订应急措施,要制订在紧急情况下,系统如何尽快恢复的应急措施,使损失减至最小;建立人员雇用和解聘制

23、度,对工作调动和离职人员要及时调整相应的授权。安全系统需要由人来计划和管理,任何系统安全设施也不能完全由计算机系统独立承担系统安全保障的任务。一方面,各级领导一定要高度重视并积极支持有关系统安全方面的各项措施。其次,对各级用户的培训也十分重要,只有当用户对网络安全性有了深入了解后,才能降低网络信息系统的安全风险。总之,制定系统安全策略、安装网络安全系统只是网络系统安全性实施的第一步,只有当各级组织机构均严格执行网络安全的各项规定,认真维护各自负责的分系统的网络安全性,才能保证整个系统网络的整体安全性。4.2.3 网络安全网络安全设计设计由于网络的互连是在链路层、网络层、传输层、应用层不同协议层

24、来实现,各个层的功能特性和安全特性也不同,因而其网络安全措施也不相同。物理层安全涉及传输介质的安全特性,抗干扰、防窃听将是物理层安全措施制定的重点。在链路层,通过“桥”这一互连设备的监视和控制作用,使我们可以建立一定程度的虚拟局域网,对物理和逻辑网段进行有效的分割和隔离,消除不同安全级别逻辑网段间的窃听可能。在网络层,可通过对不同子网的定义和对路由器的路由表控制来限制子网间的接点通信,通过对主机路由表的控制来控制与之直接通信的节点。同时,利用网关的安全控制能力,可以限制节点的通信、应用服务,并加强外部用户识别和验证能力。对网络进行级别划分与控制,网络级别的划分大致包括Internet/企业网、

25、骨干网/区域网、区域网/部门网、部门网/工作组网等,其中Internet/企业网的接口要采用专用防火墙,骨干网/区域网、区域网/部门网的接口利用路由器的可控路由表、安全邮件服务器、安全拨号验证服务器和安全级别较高的操作系统。增强网络互连的分割和过滤控制,也可以大大提高安全保密性。随着企业个人与个人之间、各部门之间、企业和企业之间、国际间信息交流的日益频繁,信息传输的安全性成为一个重要的问题。尽管个人、部门和整个企业都已认识到信息的宝贵价值和私有性,但商场上的无情竞争已迫使机构打破原有的界限,在企业内部或企业之间共享更多的信息,只有这样才能缩短处理问题的时间,并在相互协作的环境中孕育出更多的革新

26、和创造。然而,在群件系统中共享的信息却必须保证其安全性,以防止有意无意的破坏。5 网络安全整体解决方案详细设计网络安全整体解决方案详细设计5.1 应用防火墙技术应用防火墙技术,控制访问权限控制访问权限,实现网络安全管理实现网络安全管理防火墙是近年发展起来的重要安全技术,其主要作用是在网络入口点检查网络通讯,根据客户设定的安全规则,在保护内部网络安全的前提下,提供内外网络通讯。5.1.1 使用使用 FirewallFirewall 的意义的意义(1)保护脆弱的服务:通过过滤不安全的服务,Firewall 可以极大地提高网络安全和减少子网中主机的风险。例如,Firewall 可以禁止 NIS、NF

27、S 服务通过,Firewall 同时可以拒绝源路由和 ICMP 重定向封包。(2)控制对系统的访问:Firewall 可以提供对系统的访问控制。如允许从外部访问某些主机,同时禁止访问另外的主机。例如,Firewall 允许外部访问特定的 Mail Server 和Web Server。(3)集中的安全管理:Firewall 对企业内部网实现集中的安全管理,在 Firewall 定义的安全规则可以运用于整个内部网络系统,而无须在内部网每台机器上分别设立安全策略。如在 Firewall 可以定义不同的认证方法,而不需在每台机器上分别安装特定的认证软件。外部用户也只需要经过次认证即可访问内部网。(4

28、)增强的保密性:使用 Firewall 可以阻止攻击者获取攻击网络系统的有用信息,如 Finger和 DNS。(5)记录和统计网络利用数据以及非法使用数据:Firewall 可以记录和统计通过 Firewall 的网络通讯,提供关于网络使用的统计数据,并且,Firewall 可以提供统计数据,来判断可能的攻击和探测。(6)策略执行:Firewall 提供了制定和执行网络安全策略的手段。未设置 Firewall 时,网络安全取决于每台主机的用户。5.1.2 设置设置 FirewallFirewall 的要素的要素(1)网络策略:影响 Firewall 系统设计、安装和使用的网络策略可分为两级,高

29、级的网络策略定义允许和禁止的服务以及如何使用服务,低级的网络策略描述 Firewall如何限制和过滤在高级策略中定义的服务。(2)服务访问策略:服务访问策略集中在外部网络访问(如拨入策略、SLIP/PPP 连接等) 。服务访问策略必须是可行的和合理的。可行的策略必须在阻止己知的网络风险和提供用户服务之间获得平衡。典型的服务访问策略是:允许通过增强认证的用户在必要的情况下从外部访问某些内部主机和服务;允许内部用户访问指定的外部主机和服务。(3)Firewall 设计策略:Firewall 设计策略基于特定的 Firewall,定义完成服务访问策略的规则。通常有两种基本的设计策略: 允许任何服务除

30、非被明确禁止; 禁止任何服务除非被明确允许。通常采用第二种类型的设计策略。(4)增强的认证:许多发生在网络上的入侵事件源于脆弱的传统用户/口令机制。多年来,用户被告知使用难于猜测和破译的口令,虽然如此,攻击者仍然在外部网络监视传输的口令明文,使传统的口令机制形同虚设。增强的认证机制包含智能卡、认证令牌、生理特征(指纹)以及基于软件(RSA)等技术,来克服传统口令的弱点。虽然存在多种认证技术,它们均使用增强的认证机制产生难于被攻击者重用的口令和密钥。目前许多流行的增强认证机制使用一次有效的口令和密钥(如 SmartCard 和认证令牌)。5.2 应用入侵检测技术保护主机资源,防止非法访问和恶应用

31、入侵检测技术保护主机资源,防止非法访问和恶意攻击意攻击利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险。但是,仅仅使用防火墙、网络安全还远远不够: (1)入侵者可寻找防火墙背后可能敞开的后门;(2)入侵者可能就在防火墙内;(3)由于性能的限制,防火墙通常不能提供实时的入侵检测能力。入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。 实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击,其次它能够缩短黑客入侵的时间。5.2.1 入侵检测系统入侵检测系统基于主机的入侵检测

32、系统用于保护关键应用的服务器,实时监视可疑的连接、系统日志检查,非法访问的闯入等,并且提供对典型应用的监视。5.2.2 选择入侵监视系统的要点选择入侵监视系统的要点 (1)协议分析及检测能力;(2)解码效率(速度);(3)自身安全的完备性;(4)精确度及完整度,防欺骗能力;(5)模式更新速度。入侵监测系统可实时监视:可疑的连接、异常进程、非法访问的闯入等;检查系统日志;通过监视来自网络的攻击,入侵监测系统能够实时地检测出攻击,并对非法入侵行为作出切断服务、重启服务器进程、发出警报、记录入侵过程等动作;提供对典型应用的监视;因此,在提供关键服务的服务器上使用入侵监测系统,安装实时的安全监控系统,

33、可以提高服务器系统的可靠性,使网络安全系统更加强健。5.2.3 具体实施方案具体实施方案如下图所示,在每个网段上我们都安全一台入侵检测系统,可以实时监视各个网段的访问请求,并及时将信息反馈给控制台,这样全网任何一台主机受到攻击时系统都可以及时发现。5.3 应用应用 VPNVPN 技术技术,保证移动用户访问内部网的安全性,保证移动用户访问内部网的安全性5.3.1 网络系统对网络系统对 VPNVPN 技术的需求技术的需求出差员工采用公网网络进行连接,其最大的弱点在于缺乏足够的安全性。企业网络接入到公网中,暴露出两个主要危险:来自公网的未经授权的对企业内部网的存取。当网络系统通过公网进行通讯时,信息

34、可能受到窃听和非法修改。完整的集成化的企业范围的 VPN 安全解决方案,提供在公网上安全的双向通讯,以及透明的加密方案以保证数据的完整性和保密性。 5.3.2 IPSecIPSec 作为在 IP v4 及 IP v6 上的加密通讯框架,已为大多数厂商所支持,预计在 1998 年将确定为 IETF 标准,是 VPN 实现的 Internet 标准。IPSec 主要提供 IP 网络层上的加密通讯能力。该标准为每个 IP 包增加了新的包头格式,Authentication Header(AH)及 encapsualting security payload(ESP)。IPsec 使用 ISAKMP/

35、Oakley 及 SKIP 进行密钥交换、管理及加密通讯协商(Security Association)。Ipsec 包含两个部分:(1)IP security Protocol proper,定义 Ipsec 报文格式。(2)ISAKMP/Oakley,负责加密通讯协商。Ipsec 提供了两种加密通讯手段:Ipsec Tunnel:整个 IP 封装在 Ipsec 报文。提供 Ipsec-gateway 之间的通讯。Ipsec transport:对 IP 包内的数据进行加密,使用原来的源地址和目的地址。Ipsec Tunnel 不要求修改已配备好的设备和应用,网络黑客户不能看到实际的的通讯源地址和目的地址,并且能够提供专用网络通过 Internet

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论