不卡AV在线|网页在线观看无码高清|亚洲国产亚洲国产|国产伦精品一区二区三区免费视频

學(xué)習(xí)啦>學(xué)習(xí)電腦>電腦安全>局域網(wǎng)安全>

保障廣域網(wǎng)安全三大技巧

時(shí)間: 若木635 分享

目前的局域網(wǎng)基本上都采用以廣播為技術(shù)基礎(chǔ)的以太網(wǎng),任何兩個(gè)節(jié)點(diǎn)之間的通信數(shù)據(jù)包,不僅為這兩個(gè)節(jié)點(diǎn)的網(wǎng)卡所接收,也同時(shí)為處在同一以太網(wǎng)上的任何一個(gè)節(jié)點(diǎn)的網(wǎng)卡所截取。因此,黑客只要接入以太網(wǎng)上的任一節(jié)點(diǎn)進(jìn)行偵聽,就可以捕獲發(fā)生在這個(gè)以太網(wǎng)上的所有數(shù)據(jù)包,對其進(jìn)行解包分析,從而竊取關(guān)鍵信息,這就是以太網(wǎng)所固有的安全隱患。事實(shí)上,Internet上許多免費(fèi)的黑客工具都把以太網(wǎng)偵聽作為其最基本的手段。

廣域網(wǎng)安全

由于廣域網(wǎng)大多采用公網(wǎng)來進(jìn)行數(shù)據(jù)傳輸,信息在廣域網(wǎng)上傳輸時(shí)被截取和利用的可能性就比局域網(wǎng)要大得多。如果沒有專用的軟件對數(shù)據(jù)進(jìn)行控制,只要使用Internet上免費(fèi)下載的“包檢測”工具軟件,就可以很容易地對通信數(shù)據(jù)進(jìn)行截取和破譯。

因此,必須采取手段,使得在廣域網(wǎng)上發(fā)送和接收信息時(shí)能夠保證:

①除了發(fā)送方和接收方外,其他人是無法知悉的(隱私性);

②傳輸過程中不被篡改(真實(shí)性);

③發(fā)送方能確知接收方不是假冒的(非偽裝性);

④發(fā)送方不能否認(rèn)自己的發(fā)送行為(不可抵賴性)。

為了達(dá)到以上安全目的,廣域網(wǎng)通常采用以下安全解決辦法:

1.加密技術(shù)

加密型網(wǎng)絡(luò)安全技術(shù)的基本思想是不依賴于網(wǎng)絡(luò)中數(shù)據(jù)通道的安全性來實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全,而是通過對網(wǎng)絡(luò)數(shù)據(jù)的加密來保障網(wǎng)絡(luò)的安全可靠性。數(shù)據(jù)加密技術(shù)可以分為三類,即對稱型加密、不對稱型加密和不可逆加密。

其中不可逆加密算法不存在密鑰保管和分發(fā)問題,適用于分布式網(wǎng)絡(luò)系統(tǒng),但是其加密計(jì)算量相當(dāng)可觀,所以通常用于數(shù)據(jù)量有限的情形下使用。計(jì)算機(jī)系統(tǒng)中的口令就是利用不可逆加密算法加密的。近年來,隨著計(jì)算機(jī)系統(tǒng)性能的不斷提高,不可逆加密算法的應(yīng)用逐漸增加,常用的如RSA公司的MD5和美國國家標(biāo)準(zhǔn)局的SHS。在海關(guān)系統(tǒng)中廣泛使用的Cisco路由器,有兩種口令加密方式:Enable Secret和Enable Password。其中,Enable Secret就采用了MD5不可逆加密算法,因而目前尚未發(fā)現(xiàn)解除方法(除非使用字典攻擊法)。而Enable Password則采用了非常脆弱的加密算法(即簡單地將口令與一個(gè)常數(shù)進(jìn)行XOR與或運(yùn)算),目前至少已有兩種解除軟件。因此,最好不用Enable Password。

2.技術(shù)

(虛擬專網(wǎng))技術(shù)的核心是采用隧道技術(shù),將企業(yè)專網(wǎng)的數(shù)據(jù)加密封裝后,透過虛擬的公網(wǎng)隧道進(jìn)行傳輸,從而防止敏感數(shù)據(jù)的被竊??梢栽贗nternet、服務(wù)提供商的IP、幀中繼或ATM網(wǎng)上建立。企業(yè)通過公網(wǎng)建立,就如同通過自己的專用網(wǎng)建立內(nèi)部網(wǎng)一樣,享有較高的安全性、優(yōu)先性、可靠性和可管理性,而其建立周期、投入資金和維護(hù)費(fèi)用卻大大降低,同時(shí)還為移動(dòng)計(jì)算提供了可能。因此,技術(shù)一經(jīng)推出,便紅遍全球。

但應(yīng)該指出的是,目前技術(shù)的許多核心協(xié)議,如L2TP、IPSec等,都還未形成通用標(biāo)準(zhǔn)。這就使得不同的服務(wù)提供商之間、設(shè)備之間的互操作性成為問題。因此,企業(yè)在建網(wǎng)選型時(shí),一定要慎重選擇服務(wù)提供商和設(shè)備。

3.身份認(rèn)證技術(shù)

對于從外部撥號(hào)訪問總部內(nèi)部網(wǎng)的用戶,由于使用公共電話網(wǎng)進(jìn)行數(shù)據(jù)傳輸所帶來的風(fēng)險(xiǎn),必須更加嚴(yán)格控制其安全性。一種常見的做法是采用身份認(rèn)證技術(shù),對撥號(hào)用戶的身份進(jìn)行驗(yàn)證并記錄完備的登錄日志。較常用的身份認(rèn)證技術(shù),有Cisco公司提出的TACACS+以及業(yè)界標(biāo)準(zhǔn)的RADIUS。筆者在廈門海關(guān)外部網(wǎng)設(shè)計(jì)中,就選用了Cisco公司的CiscoSecure ACS V2.3軟件進(jìn)行RADIUS身份認(rèn)證。

107838