IT产品热门报价
 手机 更多>>
 笔记本 更多>>
 数码产品 更多>>
 电脑硬件 更多>>
HOT: 柯达 泡泡堂 优化大师 FIFA 魔兽世界 热血传奇 劲乐团 准系统
·北京 ·上海 ·广州
·杭州 ·深圳 ·苏州
·天津 ·西安 ·合肥
·南京 ·重庆 ·宁波

游戏
  • 仙境传说RO
  • FIFA
  • 魔兽世界
  • 热血传奇
  • 梦幻西游
  • 反恐精英 CS
  • 变速齿轮
  • 泡泡堂
  • 封神榜
  • 航海世纪
    		•
  • 奇迹
  • 劲乐团
  • 英雄王座
  • A3
  • 极品飞车
  • 魔力宝贝
  • 星际争霸
  • 天堂2
  • 魔兽争霸
  • 大话西游II
    		•
    软件
  • 网际快车
  • PP点点通
  • Photoshop
  • Firefox
  • 五笔
  • e话通
  • Ghost
  • BT
  • QQ
  • 优化大师
    		•
  • 超级解霸
  • 百宝
  • ACDSee
  • 影音传送带
  • Winrar
  • 金山快译
  • 金山毒霸
  • 天网防火墙
  • 优化大师
  • 金山词霸
    		•
    ·手机 ·笔记本
    ·电脑硬件 ·MP3
    ·数码相机 ·DV
    ·品牌机 ·办公产品
    ·网络产品 ·服务器
    ·投影机
    ·准系统     		·人体摄影
    首页 >> 网络产品 >> 企业组网指导
    技术分析:浅谈VPN的安全技术 [企业组网指导]
    IT.com.cn(IT世界)
    2005-4-15 9:11:00 文/泡沫
      我们都知道,由于VPN传输的是私有信息,VPN用户对数据的安全性都比较关心。 目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)。

      1.隧道技术:
       隧道技术是VPN的基本技术类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。L2TP协议是目前IETF的标准,由IETF融合PPTP与L2F而形成。

      第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等。IPSec(IP Security)是由一组RFC文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在IP层提供安全保障。

      2.加解密技术:
       加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。

      3.密钥管理技术:
       密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥;在ISAKMP中,双方都有两把密钥,分别用于公用、私用。

      4.使用者与设备身份认证技术:
       使用者与设备身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。

      堵住安全漏洞
       安全问题是VPN的核心问题。目前,VPN的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来实现的,可以保证企业员工安全地访问公司网络。

      但是,如果一个企业的VPN需要扩展到远程访问时,就要注意,这些对公司网直接或始终在线的连接将会是黑客攻击的主要目标。因为,远程工作员工通过防火墙之外的个人计算机可以接触到公司预算、战略计划以及工程项目等核心内容,这就构成了公司安全防御系统中的弱点。虽然,员工可以双倍地提高工作效率,并减少在交通上所花费的时间,但同时也为黑客、竞争对手以及商业间谍提供了无数进入公司网络核心的机会。

      但是,企业并没有对远距离工作的安全性予以足够的重视。大多数公司认为,公司网络处于一道网络防火墙之后是安全的,员工可以拨号进入系统,而防火墙会将一切非法请求拒之其外;还有一些网络管理员认为,为网络建立防火墙并为员工提供VPN,使他们可以通过一个加密的隧道拨号进入公司网络就是安全的。这些看法都是不对的。

      在家办公是不错,但从安全的观点来看,它是一种极大的威胁,因为,公司使用的大多数安全软件并没有为家用计算机提供保护。一些员工所做的仅仅是进入一台家用计算机,跟随它通过一条授权的连接进入公司网络系统。虽然,公司的防火墙可以将侵入者隔离在外,并保证主要办公室和家庭办公室之间VPN的信息安全。但问题在于,侵入者可以通过一个被信任的用户进入网络。因此,加密的隧道是安全的,连接也是正确的,但这并不意味着家庭计算机是安全的。

      黑客为了侵入员工的家用计算机,需要探测IP地址。有统计表明,使用拨号连接的IP地址几乎每天都受到黑客的扫描。因此,如果在家办公人员具有一条诸如DSL的不间断连接链路(通常这种连接具有一个固定的IP地址),会使黑客的入侵更为容易。因为,拨号连接在每次接入时都被分配不同的IP地址,虽然它也能被侵入,但相对要困难一些。一旦黑客侵入了家庭计算机,他便能够远程运行员工的VPN客户端软件。因此,必须有相应的解决方案堵住远程访问VPN的安全漏洞,使员工与网络的连接既能充分体现VPN的优点,又不会成为安全的威胁。在个人计算机上安装个人防火墙是极为有效的解决方法,它可以使非法侵入者不能进入公司网络。
       
       当然,还有一些提供给远程工作人员的实际解决方法:

      * 所有远程工作人员必须被批准使用VPN;

      * 所有远程工作人员需要有个人防火墙,它不仅防止计算机被侵入,还能记录连接被扫描了多少次;

      * 所有的远程工作人员应具有入侵检测系统,提供对黑客攻击信息的记录;

      * 监控安装在远端系统中的软件,并将其限制只能在工作中使用;

      * IT人员需要对这些系统进行与办公室系统同样的定期性预定检查;

      * 外出工作人员应对敏感文件进行加密;

      * 安装要求输入密码的访问控制程序,如果输入密码错误,则通过Modem向系统管理员发出警报;

      * 当选择DSL供应商时,应选择能够提供安全防护功能的供应商。
    ·IT产品报价大全
    更多相关: 手机
    在百度中更多内容: 服务器
    加入博采中心 打印此页 投稿与建议 返回顶部

    相关文章
    IT产品报价快速通道
    手机 诺基亚 摩托罗拉 索尼爱立信 三星 西门子 飞利浦 LG 松下 NEC 阿尔卡特 三菱 联想 波导 迪比特 明基 夏新 多普达 南方高科 科健 中桥 大唐 东信 首信
    笔记本 IBM 惠普 戴尔 东芝 索尼 华硕 富士通 宏碁 联想 NEC 三星 LG 苹果 明基 松下 夏普 方正 清华紫光 清华同方 长城 TCL 清华同仁 优派 神舟 七喜 夏新 思登 联宝 微星 京东方 腾龙 海尔 NETBOOK 顶星 八亿时空
    数码相机 佳能 索尼 尼康 柯尼卡美能达 柯达 富士 奥林巴斯 卡西欧 松下 宾得 三星 理光 明基 爱国者 联想 拍得丽
    数码摄像机 索尼 松下 佳能 夏普 三星 JVC 掌上电脑 惠普 奔迈 神达 索尼 联想 华硕 快译通 铂杰 宏碁 ·准系统
    MP3 艾利和 三星 苹果 MPIO 创新 JNC 索尼 爱华 爱欧迪 WeWa!! 爱国者 天诺思 朝华 魅族 大恒 丹丁 昂达 联想 明基 友拓 松日 奥美嘉 优百特 台电 爱琴 HUU ANN 现代 纽曼 金美达 中恒 万城 德劲 Netac 方正 科旗 太阳花 爱基 锐拓 YEP DiGiME 北奥 Beto 领域 道勤 可欧 Ninon 德易城 比萨 歌美
    品牌机 联想 惠普 戴尔 IBM 苹果 宏碁 方正 清华同方 七喜 实达 长城 神舟 TCL 海尔
    服务器 IBM Sun 惠普 英特尔 浪潮 曙光 联想 方正 清华同方 日电 华硕 微星 长城 戴尔 AblestNet 宏碁 致荣 五舟 金品 大恒 越海扬波 宝德 睿智 八亿时空 智翔
    游戏 仙境传说RO FIFA 魔兽世界 热血传奇 梦幻西游 反恐精英 CS 变速齿轮 泡泡堂 封神榜 星际争霸 天堂2 魔兽争霸 大话西游II 奇迹 劲乐团 英雄王座 A3 极品飞车 魔力宝贝
    软件 网际快车 PP点点通 Photoshop Firefox 五笔 e话通 Ghost BT QQ 金山词霸 超级解霸 百宝 ACDSee 影音传送带 Winrar 金山快译 金山毒霸 天网防火墙 优化大师