網絡系統安全綜合解決方案

局域網安全解決方案

由于局域網中采用(yòng)廣播方式，因此，若在某個(gè)廣播域中可(kě)¥✔&以偵聽(tīng)到(dào)所有(yǒu)的(de)信息包，黑(hβ&​©ēi)客就(jiù)可(kě)以對(duì)信息包進€♥€β行(xíng)分(fēn)析，那(nà)麽本廣播域   的(de)信息傳遞都(dōu)會(huì↕₹>‌)暴露在黑(hēi)客面前。

網絡分(fēn)段

網絡分(fēn)段是(shì)保證安全的(de)一(yī)項重措施，同時(s φhí)也(yě)是(shì)一(yī)項基本措施，其指♠>導思想在于将非法用(yòng)戶與網絡資源相(xiàng)互隔離(lí)，從→φ©↑(cóng)而達到(dào)限制(zhì)用(yòng)戶非法訪問(wèn)•↑的(de)目的(de)。 

網絡分(fēn)段可(kě)分(fēn)為(wèi)物♦§≥∏(wù)理(lǐ)分(fēn)段和(hé)邏輯分(fēn)段兩種方式：≤•↑物(wù)理(lǐ)分(fēn)段通(tōng)常是(shì)指将 π$網絡從(cóng)物(wù)理(lǐ)層和(hé)數(shù)據鏈路(lù)σ♣層（ISO/OSI模型中的(de)第一(yī)層和(hé)第二層）↕£∞上(shàng)分(fēn)為(wèi)若幹網段，各網段相(x§₹♠iàng)互之間(jiān)無法進行(xíng)直接通₩¥(tōng)訊。目前，許多(duō)交換機(j♣&ī)都(dōu)有(yǒu)一(yī)定的(de)訪問(wèn)控→↔制(zhì)能(néng)力，可(kě)實現(xiàn)​™©↑對(duì)網絡的(de)物(wù)理(lǐ)分(♣ fēn)段。

邏輯分(fēn)段則是(shì)指将整個(gè)系統在網絡層（IS♥ O/OSI模型中的(de)第三層）上(shàng)進行(xíng♥ ←)分(fēn)段。例如(rú)，對(duì)于Tσ±‍CP/IP網絡，可(kě)把網絡分(fēn)成≈£若幹IP子(zǐ)網，各子(zǐ)網間(jiān)必須通(tōng)過路(l∑¥<ù)由器(qì)、路(lù)由交換機(jī)、網關或防火(huǒ)牆等設備進行©±÷β(xíng)連接，利用(yòng)這(zhè)些(xiē)中間(jiān♥®)設備（含軟件(jiàn)、硬件(jiàn)）的(de)安全機(jī)制© '€(zhì)來(lái)控制(zhì)各子(zǐ)網間(j<&±σiān)的(de)訪問(wèn)。

在實際應用(yòng)過程中，通(tōng)常采取物(wù)理(lǐ)分☆→π♣(fēn)段與邏輯分(fēn)段相(xiλ€ ♦àng)結合的(de)方法來(lái)實現(xiàn)¶≈≤對(duì)網絡系統的(de)安全性控制(zhì)。

VLAN的(de)實現(xiàn)

虛拟網技(jì)術(shù)主要(yào)基于近(jìn)年(n∏∞©σián)發展的(de)局域網交換技(jì)術(shù)（≤↓ATM和(hé)以太網交換）。交換技(jì)術(shù)将傳∏§λ統的(de)基于廣播的(de)局域網技(jì)術∞®>(shù)發展為(wèi)面向連接的(de) "₩Ω技(jì)術(shù)。因此，網管系統有(yǒuλ​ ≤)能(néng)力限制(zhì)局域網通(tōn $g)訊的(de)範圍而無需通(tōng)過開(kāσλi)銷很(hěn)大(dà)的(de)路(lù)由器(≤  ♥qì)。以太網從(cóng)本質上(shàng)基于廣播機(jī←‌∑♠)制(zhì)，但(dàn)應用(yòng)了(le)交"↔÷≤換機(jī)和(hé)VLAN技(jì)術(→γshù)後，實際上(shàng)轉變為(wèi)₽&點到(dào)點通(tōng)訊，除非設置了♠≠(le)監聽(tīng)口，信息交換也(yě)不(bù)會(huì)存在監聽(β$tīng)和(hé)插入（改變）問(wèn)題。

由以上(shàng)運行(xíng)機(jī)"π±制(zhì)帶來(lái)的(de)網絡安全的('≠αde)好(hǎo)處是(shì)顯而易見(jiàn≥ )的(de)：信息隻到(dào)達應該到(dào)達的(deγ§←¶)地(dì)點。因此，防止了(le)大(dà)部分(fēn)基于​ε ✔網絡監聽(tīng)的(de)入侵手段。通(tōng™$​ )過虛拟網設置的(de)訪問(wèn)控制✘​(zhì)，使在虛拟網外(wài)的(de)網絡節點不(β< ↔bù)能(néng)直接訪問(wèn)虛拟網內(nèi)節點。但(dà™★∑n)是(shì)，虛拟網技(jì)術(sh→ ¶ù)也(yě)帶來(lái)了(le)新的(<≠de)問(wèn)題：執行(xíng)虛拟網∏∞交換的(de)設備越來(lái)越複雜(zá)，從(cóng)而成為(wè♠•×i)被攻擊的(de)對(duì)象。基于網≈€絡廣播原理(lǐ)的(de)入侵監控技(jì)術(>₽∑shù)在高(gāo)速交換網絡內(nèi)需要(yào)特殊的(de)設置☆β↓€。基于MAC的(de)VLAN不(bù)能(néng≤≤)防止MAC欺騙攻擊。采用(yòng)基于'☆MAC的(de)VLAN劃分(fēn)将™™™面臨假冒MAC地(dì)址的(de)攻擊。因此λγ，VLAN的(de)劃分(fēn)最好(hǎo)基于交換機(j>✔ī)端口。但(dàn)這(zhè)要(yà™• γo)求整個(gè)網絡桌面使用(yòng)交換端口或每個(gè"∑)交換端口所在的(de)網段機(jī)器(qì)均屬于相  ↑(xiàng)同的(de)VLAN。

VLAN之間(jiān)的(de)劃分(fēn)原則

VLAN的(de)劃分(fēn)方式的(de&©≠)目的(de)是(shì)保證系統的(de)安全性。因此，可(kě)以按照(€★zhào)系統的(de)安全性來(lái)劃分(§ $fēn)VLAN：可(kě)以将總部中的(de)服務器(qì)系÷ ≠統單獨劃作(zuò)一(yī)個(gè)VLAN，如(Ω¥rú)數(shù)據庫服務器(qì)、電(diàn)子(zǐ♠σα≈)郵件(jiàn)服務器(qì)等。也(yě)可(kě)以按照(zhào)≈σ‌≈機(jī)構的(de)設置來(lái)劃分(fēn)VLAN，如(rúε∏)将領導所在的(de)網絡單獨作(zuò)為(wèi)一(yī)個(gèΩ‌≈™)Leader VLAN（LVLAN），其它 σ&ε司局（或下(xià)級機(jī)構）分(∑©fēn)别作(zuò)為(wèi)一(yī)個(g≠₩∞®è)VLAN，并且控制(zhì)LVLAN與其它VLAN之<$☆$間(jiān)的(de)單向信息流向，即允許LVLAN查看(kàn)其他(tΩ∏α↑ā)VLAN的(de)相(xiàng)關信息，其他(tā)VLAN≠∞Ω不(bù)能(néng)訪問(wèn)LVLAN的(d™∑✔e)信息。VLAN之內(nèi)的(de)連接采用(yòn☆£g)交換技(jì)術(shù)實現(xiàn)，V δLAN與VLAN之間(jiān)采用(yòng)路(lù)由>α≈實現(xiàn)。由于路(lù)由控制(• zhì)的(de)能(néng)力有(yǒu)限，不(bù)能(nén±♣₽'g)實現(xiàn)LVLAN與其他(tā)VLAN之™→α間(jiān)的(de)單向信息流動，需要(π±yào)在LVLAN與其他(tā)VLAN之間(jiān)設€★₹置一(yī)個(gè)NetScreen防火(huǒ)牆作(zγ∏uò)為(wèi)安全隔離(lí)設備，控€←制(zhì)VLAN與VLAN之間(jiān)的(de)信息交換。

廣域網安全解決方案

由于廣域網采用(yòng)公網傳輸數(shù)據，因而在↔¶廣域網上(shàng)進行(xíng)傳輸時(shí)信息也(yě)可(§★kě)能(néng)會(huì)被不(bù∞✘)法分(fēn)子(zǐ)截取。如(rú)分≥→±(fēn)支機(jī)構從(cóng)異地(dì)發一(yī)•☆α個(gè)信息到(dào)總部時(shí)，這(zhè↓δ§φ)個(gè)信息包就(jiù)可(kě)能(néng)被人(rén)截取和δε≤(hé)利用(yòng)。因此在廣域網上(shà±÷ng)發送和(hé)接收信息時(shí)要(yào)保證： 

除了(le)發送方和(hé)接收方外(w₹↔ài)，其他(tā)人(rén)是(shì)不(σ↔★¶bù)可(kě)知(zhī)悉的(de)→ε♦（隐私性）； 

傳送過程中不(bù)被篡改（真實性）；&✘✔≤>nbsp;

發送方能(néng)确信接收方不(bù)是(shì)β‌假冒的(de)（非僞裝性）；

發送方不(bù)能(néng)否認自(zì)己的(de₽®§≈)發送行(xíng)為(wèi)（非否認）。 

如(rú)果沒有(yǒu)專門(mén)的(de)軟件( ×≤♥jiàn)對(duì)數(shù)據進行(xíng)控制(zhì)，所有(yǒ♦λ₽γu)的(de)廣域網通(tōng)信都(dōu)将不(bù)受限制(zhì)地β ₽≥(dì)進行(xíng)傳輸，因此任何一(yī)個(gè)對(♣©'duì)通(tōng)信進行(xíng)監測的(de)人(rén∑<‌)都(dōu)可(kě)以對(duì)通(tōng)信數(shù)據進行(xí♠$™ ng)截取。這(zhè)種形式的(de)"攻擊"是(shì)相δ‌(xiàng)對(duì)比較容易成功的(de)，隻要≤ ©≤(yào)使用(yòng)現(xiàn)在可(kě)以很(hěn$&↓γ)容易得(de)到(dào)的(de)"包檢測"軟件(jiàn)即可(kě)。∞'∏如(rú)果從(cóng)一(yī)個(gè)聯網的→☆♠♠(de)UNIX工(gōng)作(zuò)站(zhàn)上(shà Ω©→ng)使用(yòng)"跟蹤路(lù)由"命令的(de)話(huà)，β±就(jiù)可(kě)以看(kàn)見(ji↕★àn)數(shù)據從(cóng)客戶機(jī)傳送到(dào)服務器∞♦≥​(qì)要(yào)經過多(duō)少( δ£shǎo)種不(bù)同的(de)節點和(hé)系統，所有(yǒu)這↑ (zhè)些(xiē)都(dōu)被認為(wèi)£×是(shì)最容易受到(dào)黑(hēi)客攻擊的(de)目标。一(yī)般¥Ω↓≥地(dì)，一(yī)個(gè)監聽(tīng)攻擊隻λ♠‌需通(tōng)過在傳輸數(shù)據的(de)末尾獲取IP包的(de)信✔¶φ息即可(kě)以完成。這(zhè)種辦法并不(bù)→₹需要(yào)特别的(de)物(wù)理(lǐ)訪問(wèn)。如"←≈≈(rú)果對(duì)網絡用(yòng)線具有(yǒ®♦±u)直接的(de)物(wù)理(lǐ)訪問(wèn)αβ'₩的(de)話(huà)，還(hái)可(kě÷•α )以使用(yòng)網絡診斷軟件(jiàn)來(lái)進行(xí✘♠✘✘ng)竊聽(tīng)。對(duì)付這(zhè)類攻擊的(de)辦法就™≈♥ε(jiù)是(shì)對(duì)傳輸的(䣶 de)信息進行(xíng)加密，或者是(shì)至少(shǎo)要(yπ≤♥ào)對(duì)包含敏感數(shù)據的(§'±•de)部分(fēn)信息進行(xíng)加密。

加密技(jì)術(shù) 

加密型網絡安全技(jì)術(shù)的(de)基↕₹↑→本思想是(shì)不(bù)依賴于網絡中數(shù)據路(lù↕$')徑的(de)安全性來(lái)實現(xiàn)網ε♠↔$絡系統的(de)安全，而是(shì)通(tōng)過對(duì)γ​₩ 網絡數(shù)據的(de)加密來(lái)保障網絡的(♦εde)安全可(kě)靠性，因而這(zhè)一(yπ£β✔ī)類安全保障技(jì)術(shù)的(de)基石是λ£₩®(shì)使用(yòng)放(fàng)大(dà)數(shù)據加密䮧技(jì)術(shù)及其在分(fēn)布式系統中的(de)應用(y•¥òng)。 

數(shù)據加密技(jì)術(shù)可(kě)以分(fλ₩≤★ēn)為(wèi)三類，即對(duì)稱型加密、不(bù)對(duì)稱‍ ↓Ω型加密和(hé)不(bù)可(kě)逆加密。 對(d✔♠¥₽uì)稱型加密使用(yòng)單個(gè)密鑰對(duì)§$★≥數(shù)據進行(xíng)加密或解密≤‌，其特點是(shì)計(jì)算(suàn)♠π₽×量小(xiǎo)、加密效率高(gāo)。但(dàn∏€)是(shì)此類算(suàn)法在分(fēn)布式系♣"'統上(shàng)使用(yòng)較為(wèi✘ >)困難，主要(yào)是(shì)密鑰管理(lǐ₹π)困難，從(cóng)而使用(yòng)成本較高(gāo)，保安性能→•Ω(néng)也(yě)不(bù)易保證。這(zh£₩≤è)類算(suàn)法的(de)代表是(shì)在計(jì)算(​φ±suàn)機(jī)專網系統中廣泛使用(yòng)的(de)DES算(suàφ¥<n)法（Digital Encryptio>©n Standard）。 

不(bù)對(duì)稱型加密算(suàn)法也(yě)稱公用(yò§★ng)密鑰算(suàn)法，其特點是(shì)有(yǒu)★$二個(gè)密鑰（即公用(yòng)密鑰和('σhé)私有(yǒu)密鑰），隻有(yǒu)€♥二者搭配使用(yòng)才能(néng)完成加密和(hé)解密的(de)全過程××。由于不(bù)對(duì)稱算(suàn)法擁有(yǒu→÷€←)二個(gè)密鑰，它特别适用(yòng)于分(fēn¥γ↕$)布式系統中的(de)數(shù)據加密，在Internet™• ÷中得(de)到(dào)廣泛應用(yòng)。其中公用(yòng)密鑰在網上α‍§(shàng)公布，為(wèi)數(shù)據對(duì)數(shù©£↓)據加密使用(yòng)，而用(yòng'♥)于解密的(de)相(xiàng)應私有(yǒu)密鑰則由數(δπ÷shù)據的(de)接收方妥善保管。

不(bù)對(duì)稱加密的(de)另一(yī)用(yòng↔"♣₹)法稱為(wèi)"數(shù)字簽名"（digital‍§"¶ signature），即數(shù)據源使用(yòng)其私有(yǒ™♦δu)密鑰對(duì)數(shù)據的(de)求校✔™  (xiào)驗和(hé)（checksum）或其它與數(shù)據內‌↔ββ(nèi)容有(yǒu)關的(de)變量進行(xíng)加密，而數(shù)$α據接收方則用(yòng)相(xiàng)應的(de)公用(y"λ↑$òng)密鑰解讀(dú)"數(shù)字簽名"，并将解讀(dú)結果用∏π (yòng)于對(duì)數(shù)據完整性的(de)檢驗。在‍∞Ω←網絡系統中得(de)到(dào)應用(yòng)的(de)不(bù)對(d<←∞uì)稱加密算(suàn)法有(yǒu)RSA算(s☆ ↓uàn)法和(hé)美(měi)國(guó)國(guó)家(jiā)>₹♣γ标準局提出的(de)DSA算(suàn)法（Digital↑" Signature Algorithm）。不(✔<bù)對(duì)稱加密法在分(fēn)布式系統中應用(yò×<™ng)需注意的(de)問(wèn)題是(shì)如(rú)何管理(lǐ)和(h™Ωé)确認公用(yòng)密鑰的(de)合法性↓‍。

不(bù)可(kě)逆加密算(suàn)法的(de)特征是(shì)加密過程不±Ω₩(bù)需要(yào)密鑰，并且經過加密 的(de)數(shù)據↓≥無法被解密，隻有(yǒu)同樣的(de)輸入數(shù)✔₩據經過同樣的(de)不(bù)可(kě)π₹δ↔逆加密算(suàn)法才能(néng)得&✔(de)到(dào)相(xiàng)同的(de)加密數(shù →∏σ)據。不(bù)可(kě)逆加密算(suàn)法不(bù)存在密鑰保管和(h$×¥é)分(fēn)發問(wèn)題，适合于分(fēn→¥)布式網絡系統上(shàng)使用(yòng)，但(dàn)是(sh♥✔ì)其加密計(jì)算(suàn)工(gλ​ōng)作(zuò)量相(xiàng)當可(kě)觀，所以通( "tōng)常用(yòng)于數(shù)據量有(yǒu)限的(de)♥‍情形下(xià)的(de)加密，例如(rαφ"§ú)計(jì)算(suàn)機(jī)系φ←'統中的(de)口令就(jiù)是(shì)利用(yòng)不(bù)可(kě>δΩ)逆算(suàn)法加密的(de)。近(jìn<×)來(lái)随著(zhe)計(jì)算♦Ω(suàn)機(jī)系統性能(néng)的(de)不(bù)斷改善，不↓→₹(bù)可(kě)逆加密的(de)應用(yòng)逐漸增加。在計(jì"€)算(suàn)機(jī)網絡中應用(yòng‌¥)較多(duō)的(de)有(yǒu)RSA公司發明(míng)的(d∑•e)MD5算(suàn)法和(hé)由美(měi)國(guó₽♠)國(guó)家(jiā)标準局建議(yì)的(de)可(kě)靠不(b∞ ¥✔ù)可(kě)逆加密标準（SHS-Secure Hash Stan≥ dard）。

加密技(jì)術(shù)用(yòng)于網絡安全通(tōng)常有(yǒu)>≤≈±二種形式，即面向網絡或面向應用(yòng)₽&服務。前者通(tōng)常工(gōng)作(zuò)在網絡層或傳γ×輸層，使用(yòng)經過加密的(de)數(shù)據包傳送γ×‍、認證網絡路(lù)由及其他(tā)網絡協議(yì)所需的(∑★de)信息，從(cóng)而保證網絡的(de)連通(tōng)性和(hé)可(®£>✔kě)用(yòng)性不(bù)受損害。在網絡層上(shàπ♠≠€ng)實現(xiàn)的(de)加密技(jì)術(shù)ε'δ÷對(duì)于網絡應用(yòng)層的(de)用(yòng)戶通(tōng)常☆ 是(shì)透明(míng)的(de)。此外(wài)，通(tπσ÷♣ōng)過适當的(de)密鑰管理(lǐ)機(jī)制(zhì)，使用(β↓yòng)這(zhè)一(yī)方法還(hái)可(k"π₹"ě)以在公用(yòng)的(de)互聯網☆ 絡上(shàng)建立虛拟專用(yòng)網絡并保障虛拟專用(yòng​™)網上(shàng)信息的(de)安全性♣₹≥"。SKIP協議(yì)即是(shì)近(jìn)♦β™來(lái)IETF在這(zhè)方面的(de)努力 ₽≥之一(yī)。面向網絡應用(yòng)服 σ♠務的(de)加密技(jì)術(shù)使用(yòng)則是(♣α↕×shì)目前較為(wèi)流行(xíng)的(de)加密技(jì)術(β×shù)的(de)使用(yòng)方法，例如(rú↕λλ)使用(yòng)Kerberos服務的(de)telnet、NFS、rlogβ↔±ion等，以及用(yòng)作(zuò)電(diàn)子(zǐ)郵件(j¥↕'≈iàn)加密的(de)PEM（Privacy Enhanced Mai₹• ©l）和(hé)PGP（Pretty Good Priva≈&cy）。這(zhè)一(yī)類加密技(φ←÷≠jì)術(shù)的(de)優點在于實現(xiàn✔δ)相(xiàng)對(duì)較為(wèi)簡單，不(bù)需要(yào)↑≥←對(duì)電(diàn)子(zǐ)信息（數(shù)據包）所經過的(d₩®∏e)網絡的(de)安全性能(néng)提出特殊要(y→ ào)求，對(duì)電(diàn)子(zǐ)郵件(jiàn)數(α≥ ¶shù)據實現(xiàn)了(le)端到(d‌ε♦ào)端的(de)安全保障。

數(shù)字簽名和(hé)認證技(jì)術(shù) 

認證技(jì)術(shù)主要(yào)解¥↕'π決網絡通(tōng)訊過程中通(tōng)訊雙方的(¥§φde)身(shēn)份認可(kě)，數(shù)字簽名作(zu≥<'ò)為(wèi)身(shēn)份認證技(jì)術(shù)中的(de)一(yβ"↑♠ī)種具體(tǐ)技(jì)術(shù)，同時(shí)數γ"α↑(shù)字簽名還(hái)可(kě)用(yòng)于Ω∞通(tōng)信過程中的(de)不(bù)可(kě)抵賴要(yào)求的≈±δ✘(de)實現(xiàn)。 

認證過程通(tōng)常涉及到(dào)加密和(hé)密鑰∏$交換。通(tōng)常，加密可(kě)使用(yòng)對(duì)稱加密♣π↑'、不(bù)對(duì)稱加密及兩種加密方法的(de)混'‍α合。

User Name/Password認證&n∑♣&bsp;

該種認證方式是(shì)最常用(yòng)的(de)一(yī)種認 ‍證方式，用(yòng)于操作(zuò)系統登錄、te÷<←$lnet、rlogin等，但(dàn)此 δ"種認證方式過程不(bù)加密，即password容易被監聽(tī☆λ ng)和(hé)解密。 

使用(yòng)摘要(yào)算(suàn)法的(de)認證&ελ​§nbsp;

Radius（撥号認證協議(yì)）、OSPF（路(l ♠ ₹ù)由協議(yì)）、SNMP Security Protoco©∞∞l等均使用(yòng)共享的(de)Securi→≠©ty Key，加上(shàng)摘要(yào)算(su>♠ àn)法（MD5）進行(xíng)認證，由于摘要(yào)↑¶δ<算(suàn)法是(shì)一(yī)個(g×≈è)不(bù)可(kě)逆的(de)過程ε↑↔，因此，在認證過程中，由摘要(yào)信息不 Ω(bù)能(néng)技(jì)術(shù)≥©£∑出共享的(de)security key，敏感信息不(bù)在網絡上(shà'✔₽ng)傳輸。市(shì)場(chǎng)上(s ≈hàng)主要(yào)采用(yòng)的(de)摘要(yào)算(suàn∞ε)法有(yǒu)MD5和(hé)SHA-1。 

基于PKI的(de)認證

使用(yòng)公開(kāi)密鑰體(tǐ)系進行(xín↓"g)認證和(hé)加密。該種方法安全程度較高(gāo)，綜合∑♥π采用(yòng)了(le)摘要(yào)算(suàn)法、不(bù)對(duì₽•)稱加密、對(duì)稱加密、數(shù)字簽名等技(jì)術(shù)♠ε‍，很(hěn)好(hǎo)地(dì)将安全性和(hé)高(gā∑"₩>o)效性結合起來(lái)。這(zhè)種認證方法目₩​α∏前應用(yòng)在電(diàn)子(zǐ)郵件(jiàn)、γ≈應用(yòng)服務器(qì)訪問(wèn)、客戶認證、防火(h✘>Ωuǒ)牆認證等領域。

該種認證方法安全程度很(hěn)高(gāo)，但(d​✘™àn)是(shì)涉及到(dào)比較繁重的(de)證書(shū)管₹<理(lǐ)任務。

數(shù)字簽名

數(shù)字簽名作(zuò)為(wèi)驗證發送→λ者身(shēn)份和(hé)消息完整性的(de)根據。公→αα 共密鑰系統（如(rú)RSA）基于私有(yǒu)/公 ₩共密鑰對(duì)，作(zuò)為(wèi)驗證發送者身(shēn)份和(hé↔¶✔>)消息完整性的(de)根據，CA使用(yòng)私有(yǒu)密鑰技↑≤©(jì)術(shù)其數(shù)字簽名，利用(yòng)CA提供的(★→δde)公共密鑰，任何人(rén)均可(kβ‍ě)驗證簽名的(de)真實性。僞造數(shù)字簽名®β從(cóng)計(jì)算(suàn)機(jī)‍€§β能(néng)力上(shàng)不(bù"≈)可(kě)行(xíng)的(de)。并且，如£ (rú)果消息随數(shù)字簽名一(yī)同∏Ω≥®發送，對(duì)消息的(de)任何修改在驗證數(shù)字簽名時 α©(shí)都(dōu)将會(huì)被發現(xiàn)。 

通(tōng)訊雙方通(tōng)過Diffie∞♠-Hellman密鑰系統安全地(dì)獲取∑♣♠♠共享的(de)保密密鑰，并使用(yòng)該密鑰對(duì)消息加密。‍☆≠Diffie-Hellman密鑰由CA進行(xíng)驗證。 

基于此種加密模式，需要(yào)管理(lǐ)的(de)密鑰數(shùγ∑₩ε)目與通(tōng)訊者的(de)數(sh↕×∏&ù)量為(wèi)線性關系。而其它的(dγ∑ e)加密模式需要(yào)管理(lǐ)的(de♣↓®)密鑰數(shù)目與通(tōng)訊者數(shù)目的÷₽(de)平方成正比。

VPN技(jì)術(shù)

網絡系統總部和(hé)各分(fēn)支機(jī∏→)構之間(jiān)采用(yòng)公網網絡進行(xíng)連接★ ♥≥，其最大(dà)的(de)弱點在于缺乏足夠的(de)安全性。企♥ε​業(yè)網絡接入到(dào)公網中，暴露出兩個(gè)主要(y∑★ào)危險：

來(lái)自(zì)公網的(de)未經授權的(•©de)對(duì)企業(yè)內(nèi)部網的(de) →∏存取。 

當網絡系統通(tōng)過公網進行(xín≈✔→≈g)通(tōng)訊時(shí)，信息可(kě)能(néng)受到(dào₩ ↔≥)竊聽(tīng)和(hé)非法修改。 完整的(de)集成化(↑>♦✘huà)的(de)企業(yè)範圍的(de)VPN安全解決方案，提供在公網"★≤★上(shàng)安全的(de)雙向通(t&≠•©ōng)訊，以及透明(míng)的(de)加密方案以保證數(s→∞hù)據的(de)完整性和(hé)保密性。 

VPN技(jì)術(shù)的(de)原理(lǐ): ©¶δε;

VPN系統使分(fēn)布在不(bù)同地(dα↔→ì)方的(de)專用(yòng)網絡在不(bù)可(kě)₹≥¥信任的(de)公共網絡上(shàng)安全的(de)通(tōng)信。¥ ÷←它采用(yòng)複雜(zá)的(de)算(suàn)法來(lái)加密傳≈₹λ輸的(de)信息，使得(de)敏感的(de)數(sh₹★> ù)據不(bù)會(huì)被竊聽(tī★γng)。其處理(lǐ)過程大(dà)體(tλγΩ ǐ)是(shì)這(zhè)樣： 

要(yào)保護的(de)主機(jī)發送明(míng<π∞)文(wén)信息到(dào)連接公共網絡的(dπ ​e)VPN設備；

VPN設備根據網管設置的(de)規則，确定是(shì≈​)否需要(yào)對(duì)數(shù)據進行(xí✔♣$ng)加密或讓數(shù)據直接通(tōng)過。 

對(duì)需要(yào)加密的(de)數(shù)據，VPN₽‌設備對(duì)整個(gè)數(shù)據包進行(xíng)加密↔π∑和(hé)附上(shàng)數(shù)字簽名。 ₽∞‌;

VPN設備加上(shàng)新的(de)數(shù)據δ≈✔®報(bào)頭，其中包括目的(de)地(dì)VPN設備需要(yào)的★δ↕ (de)安全信息和(hé)一(yī)些(xiē)初始化(huà)參數(s‌Ω✘hù)。 

VPN 設備對(duì)加密後的(de)數(shù)據、鑒别包‍←≤☆以及源IP地(dì)址、目标VPN設備IP地(dì)址進行(x♦↑π≤íng)重新封裝，重新封裝後的(de)數(shù)據包通(tōng)過虛拟通 ‌>(tōng)道(dào)在公網上(shàng)傳輸。&nb÷±sp;

當數(shù)據包到(dào)達目标VPN設備時(shí)，數(sh≤≥ù)據包被解封裝，數(shù)字簽名被核對(duì)無誤後，數(shù)據包φ ​被解密。 

IPSec

IPSec作(zuò)為(wèi)在IPv4及IPv6上(s≤αδ≠hàng)的(de)加密通(tōng)訊框架，已為(wèi)大(dà)多>®  (duō)數(shù)廠(chǎng)商所支持。

IPSec主要(yào)提供IP網絡層上(shàng)的(de)加密通(&≥tōng)訊能(néng)力。該标準為(wèi)每個(gè)Iγ₽±★P包增加了(le)新的(de)包頭格式，A©♥uthentication Header(AH)及encapsulating ♦λsecurity payload(ESP)。IPSecπ₩使用(yòng)ISAKMP/Oakley及SKIP進行(xíng∏‌<‌)密鑰交換、管理(lǐ)及加密通(tōng)訊協商（Secur∞≤"ity Association）。

IPSec包含兩個(gè)部分(fēn)：

IP security Protocol proper,定義IPSec報(b‌↑÷ào)頭格式。

ISAKMP/Oakley，負責加密通(tōng)訊"×協商。

IPSec提供了(le)兩種加密通(tōng)訊手段： φβ"

IPSec Tunnel：整個(gè)IP封裝在Ip♦∏₽¥sec-gateway之間(jiān)的(de)通(‍λ±Ωtōng)訊。

Ipsec transport：對(duì)IP包內(♣♣ nèi)的(de)數(shù)據進行(xí↕§★¥ng)加密，使用(yòng)原來(lái)的(de)源地(→ dì)址和(hé)目的(de)地(dì)址。 

IPsec Tunnel 不(bù)要(yào)求修改已配備好(÷φ€hǎo)的(de)設備和(hé)應用(yòng)'∞$∑，網絡黑(hēi)客不(bù)能(néng£↔₽)看(kàn)到(dào)實際的(de)通(tōng)訊源α☆地(dì)址和(hé)目的(de)地(dì)址，并且能(néng)夠​δ★₹提供專用(yòng)網絡通(tōng)過Int↑©®βernet加密傳輸的(de)通(tōng)↓‍道(dào)，因此，絕大(dà)多(duō)數(shù)廠(chǎng)商均使β§用(yòng)該模式。 

ISAKMP/Oakley使用(yòng)X.509數(shù)字證書(s☆≤δhū)，因此，使VPN能(néng)夠容易地(dì) ♠< 擴大(dà)到(dào)企業(yè)級。（易于管理(lǐ)）。 

在為(wèi)遠(yuǎn)程撥号服務的(de)Cl☆​ient端，也(yě)能(néng)夠實現(xiàn)IPsec的(♠>β±de)客戶端，為(wèi)撥号用(yòng)戶提供加密網Ω♦絡通(tōng)訊。由于IPsec即将成為(wèi)₩×±€Internet标準，因此不(bù)同廠(chǎng)家(jiφ‌ā)提供的(de)防火(huǒ)牆（VPN）産品可(¶"kě)以實現(xiàn)互通(tōng)。

如(rú)何保證遠(yuǎn)程訪問(wèn)的(de)安全性

對(duì)于從(cóng)外(wài)部撥号訪問(wèn)總部內(✔λnèi)部局域網的(de)用(yòng)戶，由于使用(yòng)公用(β< ©yòng)電(diàn)話(huà)網進行(xíng)數(shù)據傳§×輸所帶來(lái)的(de)風(fēng)險，必須嚴格控制(zhì)其安全性。↓ε<"首先，應嚴格限制(zhì)撥号上(shàng)網用(yòng)戶所訪問(←★£wèn)的(de)系統信息和(hé)資源，這(zh↑☆≠è)一(yī)功能(néng)可(kě)通(tōng)過在撥号訪問(w↑♦γ₹èn)服務器(qì)後設置NetScreen防火(h ×uǒ)牆來(lái)實現(xiàn)。其次，應加強對(duì)撥号用(yòng €∞)戶的(de)身(shēn)份認證，使用(yòng)RAD₹$←∏IUS等專用(yòng)身(shēn)份驗證服務器(q¥★ì)。一(yī)方面，可(kě)以實現(xiàn♣±≠)對(duì)撥号用(yòng)戶帳号的(de)統一(yī)©ε管理(lǐ)；另一(yī)方面，在身(shēn)份驗׶α∏證過程中采用(yòng)加密的(de)手段，避免用(y≥∏'òng)戶口令洩露的(de)可(kě)能(néng)性。​¥第三，在數(shù)據傳輸過程中采用(yòng)加密技(jì)術(shù)，♥$€防止數(shù)據被非法竊取。一(yī)種方法是(shì)使用(yòng)Ω‌'PGP for Business Security，對(du₹↑δ♠ì)數(shù)據加密。另一(yī)種方法是(shì)采用(yòng)Net₽♦Screen防火(huǒ)牆所提供的(de)VPN（虛拟專網）技(γ↔β jì)術(shù)。VPN在提供網間(jiān)數(shù)據加密的(de)同×‍≠☆時(shí)，也(yě)提供了(le)針對(du≤©≥ì)單機(jī)用(yòng)戶的(de)加密客戶端軟件(jiàn)，✔♥<¶即采用(yòng)軟件(jiàn)加密的(↕♦de)技(jì)術(shù)來(lái)保證數(shù)據傳輸的(de)安全性↑¶™✔。