论文部分内容阅读
1网络安全的基本内容
完整的考虑网络安全包括3方面的内容:网络攻击、安全机制与安全服务。网络安全服务应该提供以下基本服务功能:保密性、认证、数据完整性、防抵赖和访问控制。
2IPsec的VPN技术的应用
VPN(Virtual Private Network)是虚拟专用网的全称,指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,如Internet ATM(异步传输模式)、Frame Relay(帧中继)等之上的逻辑网络,用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。
当前,VPN(Virtual Private Network,即虚拟专用网)产品在我国的IT应用市场上正逐渐被越来越多的行业和企业用户所熟悉和采用,已经成为近两年中国市场上成长迅速的主流消费产品之一。
3VPN的关键技术
目前,VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption&Decryption)、密钥管理技术(KeyManagement)、使用者与设备身份认证技术(Authentication)。
4IPsec协议分析
4.1IPsec协议简介
IPsec是一种具有互操作性、高质量、基于加密的,适用于IPv4和IPv6的规范。IPsec能够对数据的存取控制、机密性、完整性和可用性提供保证,并能够防止重放攻击。IPsec可应用在IP层(对IP包进行封装)或在IP层与数据链路层之间或在物理线路上。IPsec是安全联网的长期方向。它通过端对端的安全性来提供主动的保护以防止专用网络与Internet的攻击。IPsec协议是一个标准的第三层安全协议,它是在隧道外面再封装,保证了在传输过程中的安全。IPsec的主要特征在于它可以对所有IP级的通信进行加密。
4.2IPsec工作原理
IPsec的工作原理类似于包过滤防火墙,可以看作是对包过滤防火墙的一种扩展。当接收到一个IP数据包时包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时,包过滤防火墙按照规则制定的方法对接受到的IP数据包只进行2种处理:丢弃或转发。而IPsec则是通过查询SD(Security Policy Database安全策略数据库)来决定对接收到的IP数据包的处理。但不同于包过滤防火墙的,IPSec对IP数据包的处理方法除了丢弃、直接转发(绕过IPsec)外,还有一种,即进行IPsec处理。
4.3IPsec协议的实现方式
IPsec的一个最基本的优点是它可以在共享网络上访问设备,甚至是可以在所有的主机和服务器上完全实现,这就在很大程度上避免了升级任何网络相关资源的需要。在客户端,IPsec的架构允许使用在远程访问介入路由器或基于纯软件方式使用普通MODEM的PC机和工作站。
4.4IPsec协议的工作模式
IPsec在不同的应用需求下会有不同的工作方式,分别为传输模式(Transport Mode)和隧道模式(Tunnel Mode)。
4.4.1传输模式(Transport Mode)
所谓传输模式的IPsec VPN是指可以将两部主机之间所传递的数据加密。例如,我们使用便携计算机通过POP3协议连回公司的邮件服务器收取信件时,就可以在Mail Server与便携计算机之间建立传输模式的IPsec VPN,以确保信件的内容不会被他人窃取。
4.4.2隧道模式(Tunnel Mode)
如图1所示,如果我们需要让两个不同网段所传输的数据内容都经由IPsec VPN来加密,或者需要将两个Private IP的网段通过IPsec VPN来跨越Internet连接,就会需要用到隧道模式的IPsec VPN。
5结束语
本文所研究的是基于IPsec的VPN技术,IPsec VPN技术在IP传输上通过加密隧道,在公网传送内部专网的内容的同时,保证内部数据的安全性,从而实现企业总部与各分支机构之间的数据、语音、视频业务互通。
完整的考虑网络安全包括3方面的内容:网络攻击、安全机制与安全服务。网络安全服务应该提供以下基本服务功能:保密性、认证、数据完整性、防抵赖和访问控制。
2IPsec的VPN技术的应用
VPN(Virtual Private Network)是虚拟专用网的全称,指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,如Internet ATM(异步传输模式)、Frame Relay(帧中继)等之上的逻辑网络,用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。
当前,VPN(Virtual Private Network,即虚拟专用网)产品在我国的IT应用市场上正逐渐被越来越多的行业和企业用户所熟悉和采用,已经成为近两年中国市场上成长迅速的主流消费产品之一。
3VPN的关键技术
目前,VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption&Decryption)、密钥管理技术(KeyManagement)、使用者与设备身份认证技术(Authentication)。
4IPsec协议分析
4.1IPsec协议简介
IPsec是一种具有互操作性、高质量、基于加密的,适用于IPv4和IPv6的规范。IPsec能够对数据的存取控制、机密性、完整性和可用性提供保证,并能够防止重放攻击。IPsec可应用在IP层(对IP包进行封装)或在IP层与数据链路层之间或在物理线路上。IPsec是安全联网的长期方向。它通过端对端的安全性来提供主动的保护以防止专用网络与Internet的攻击。IPsec协议是一个标准的第三层安全协议,它是在隧道外面再封装,保证了在传输过程中的安全。IPsec的主要特征在于它可以对所有IP级的通信进行加密。
4.2IPsec工作原理
IPsec的工作原理类似于包过滤防火墙,可以看作是对包过滤防火墙的一种扩展。当接收到一个IP数据包时包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时,包过滤防火墙按照规则制定的方法对接受到的IP数据包只进行2种处理:丢弃或转发。而IPsec则是通过查询SD(Security Policy Database安全策略数据库)来决定对接收到的IP数据包的处理。但不同于包过滤防火墙的,IPSec对IP数据包的处理方法除了丢弃、直接转发(绕过IPsec)外,还有一种,即进行IPsec处理。
4.3IPsec协议的实现方式
IPsec的一个最基本的优点是它可以在共享网络上访问设备,甚至是可以在所有的主机和服务器上完全实现,这就在很大程度上避免了升级任何网络相关资源的需要。在客户端,IPsec的架构允许使用在远程访问介入路由器或基于纯软件方式使用普通MODEM的PC机和工作站。
4.4IPsec协议的工作模式
IPsec在不同的应用需求下会有不同的工作方式,分别为传输模式(Transport Mode)和隧道模式(Tunnel Mode)。
4.4.1传输模式(Transport Mode)
所谓传输模式的IPsec VPN是指可以将两部主机之间所传递的数据加密。例如,我们使用便携计算机通过POP3协议连回公司的邮件服务器收取信件时,就可以在Mail Server与便携计算机之间建立传输模式的IPsec VPN,以确保信件的内容不会被他人窃取。
4.4.2隧道模式(Tunnel Mode)
如图1所示,如果我们需要让两个不同网段所传输的数据内容都经由IPsec VPN来加密,或者需要将两个Private IP的网段通过IPsec VPN来跨越Internet连接,就会需要用到隧道模式的IPsec VPN。
5结束语
本文所研究的是基于IPsec的VPN技术,IPsec VPN技术在IP传输上通过加密隧道,在公网传送内部专网的内容的同时,保证内部数据的安全性,从而实现企业总部与各分支机构之间的数据、语音、视频业务互通。