▲ 圖:OSI安全模型
每層相應(yīng)的安全技術(shù)如下:
數(shù)據(jù)鏈路層:點到點通道協(xié)議(PPTP),以及第二層通道協(xié)議L2TP
點到點通道協(xié)議PPTP,英文全稱是Point – to – point Tunneling Protocol�。PPTP 是用于在中間網(wǎng)絡(luò)上傳輸點對點協(xié)議(PPP)幀的一種隧道機制���。 通過利用PPP 的身份驗證���、加密和協(xié)議配置機制���,PPTP 連接同時為遠(yuǎn)程訪問和路由器到路由器的虛擬專用網(wǎng)(VPN)連接提供了一條在公共網(wǎng)絡(luò)(比如:Internet)上創(chuàng)建安全連接的途徑。PPTP 將PPP 幀封裝成IP 數(shù)據(jù)包����,以便在急于IP 的互聯(lián)網(wǎng)上傳輸,為了確保數(shù)據(jù)的安全性���,通常需要事先對封裝的數(shù)據(jù)進行加密����。
▲ 圖:PPTP數(shù)據(jù)格式
L2TP是Cisco的L2F與PPTP相結(jié)合的一個協(xié)議。L2TP有一部分采用的是PPTP協(xié)議��,比如同樣可以對網(wǎng)絡(luò)數(shù)據(jù)流進行加密����。不過也有不 同之處,比如PPTP要求網(wǎng)絡(luò)為IP網(wǎng)絡(luò)����,L2TP要求面向數(shù)據(jù)包的點對點連接;PPTP使用單一隧道,L2TP使用多隧道;L2TP提供包頭壓縮����、隧道 驗證,而PPTP不支持�����。
▲圖:L2TP命令頭格式
網(wǎng)絡(luò)層:IP安全協(xié)議(IPSEC)
IPV4在設(shè)計時��,只考慮了信息資源的共享����,沒有過多的考慮到安全問題�,因此無法從根本上防止網(wǎng)絡(luò)層攻擊���。在現(xiàn)有的IPV4上應(yīng)用IPSEC可以加 強其安全性���,IPSEC在網(wǎng)絡(luò)層提供了IP報文的機密性、完整性�、IP報文源地址認(rèn)證以及抗偽地址的攻擊能力。IPSEC可以保護在所有支持IP的傳輸介 質(zhì)上的通信�����,保護所有運行于網(wǎng)絡(luò)層上的所有協(xié)議在主機間進行安全傳輸�。IPSEC網(wǎng)關(guān)可以安裝在需要安全保護的任何地方,如路由器�����、防火墻����、應(yīng)用服務(wù)器或 客戶機等��。
▲ 圖:含有IPSEC的數(shù)據(jù)封裝
IPSEC主要由三個協(xié)議組成:
1. AH(Authentication Header)認(rèn)證報頭���,提供對報文完整性的報文的源地址進行認(rèn)證���。
2. ESP(Encapsulating Security Payload)封裝安全載荷�����,提供對報文內(nèi)容的加密和認(rèn)證功能�。
3. IKE(Internet Key Exchange) Internet密鑰交換�,協(xié)商信源和信宿節(jié)點間保護IP報文的AH和ESP的相關(guān)參數(shù),如加密��、認(rèn)證的算法和密鑰�����、密鑰的生存時間等�。又稱為安全聯(lián)盟。 AH和ESP是網(wǎng)絡(luò)層協(xié)議�,IKE是應(yīng)用層協(xié)議。一般情況下��,IPSEC僅指網(wǎng)絡(luò)層協(xié)議AH和ESP���。由于 IPSEC服務(wù)是在網(wǎng)絡(luò)層提供的���,任何上層協(xié)議都可以使用到此服務(wù)�����。
傳輸層:安全套接字層(SSL)和傳輸層安全協(xié)議TLS
安全套接層(Secure Sockets Layer����,SSL)是網(wǎng)景公司(Netscape)在推出Web瀏覽器首版的同時��,提出的協(xié)議����。SSL采用公開密鑰技術(shù),保證兩個應(yīng)用間通信的保密性和 可靠性�,使客戶與服務(wù)器應(yīng)用之間的通信不被攻擊者竊聽?���?稍诜?wù)器和客戶機兩端同時實現(xiàn)支持,目前已成為互聯(lián)網(wǎng)上保密通訊的工業(yè)標(biāo)準(zhǔn)��,現(xiàn)行Web瀏覽器普 遍將Http和SSL相結(jié)合�����,從而實現(xiàn)安全通信����。SSL協(xié)議的優(yōu)勢在于它是與應(yīng)用層協(xié)議獨立無關(guān)的。高層的應(yīng)用層協(xié)議 (例如:Http��、FTP�、Telnet等等 ) 能透明的建立于SSL協(xié)議之上。SSL協(xié)議在應(yīng)用層協(xié)議通信之前就已經(jīng)完成加密算法��、通信密鑰的協(xié)商以及服務(wù)器認(rèn)證工作�。在此之后應(yīng)用層協(xié)議所傳送的數(shù)據(jù) 都會被加密,從而保證通信的私密性��。
▲ 圖:SSL位于傳輸層上
傳輸層安全協(xié)議(TLS)是確?��;ヂ?lián)網(wǎng)上通信應(yīng)用和其用戶隱私的協(xié)議�����。當(dāng)服務(wù)器和客戶機進行通信��,TLS確保沒有第三方能竊聽或盜取信息�����。TLS是 安全套接字層(SSL)的后繼協(xié)議���。TLS由兩層構(gòu)成:TLS記錄協(xié)議和TLS握手協(xié)議�。TLS記錄協(xié)議使用機密方法��,如數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)�,來保證 連接安全。TLS記錄協(xié)議也可以不使用加密技術(shù)����。TLS握手協(xié)議使服務(wù)器和客戶機在數(shù)據(jù)交換之前進行相互鑒定,并協(xié)商加密算法和密鑰��。TLS利用密鑰算法 在互聯(lián)網(wǎng)上提供端點身份認(rèn)證與通訊保密����,其基礎(chǔ)是公鑰基礎(chǔ)設(shè)施(public key infrastructure,PKI)��。不過在實現(xiàn)的典型例子中����,只有網(wǎng)絡(luò)服務(wù)者被可靠身份驗證,而其客戶端則不一定���。這是因為公鑰基礎(chǔ)設(shè)施普遍商業(yè)運 營���,電子簽名證書相當(dāng)昂貴,普通大眾很難買得起證書���。協(xié)議的設(shè)計在某種程度上能夠使主從式架構(gòu)應(yīng)用程序通訊本身預(yù)防竊聽����、干擾(Tampering)����、和 消息偽造。
會話層:SOCKS代理技術(shù)
SOCKS是一種網(wǎng)絡(luò)傳輸協(xié)議��,主要用于客戶端與外網(wǎng)服務(wù)器之間通訊的中間傳遞����。SOCKS是"SOCKetS"的縮寫。
當(dāng)防火墻后的客戶端要訪問外部的服務(wù)器時�����,就跟SOCKS代理服務(wù)器連接。這個代理服務(wù)器控制客戶端訪問外網(wǎng)的資格�,允許的話,就將客戶端的請求發(fā)往外部的服務(wù)器�����。這個協(xié)議最初由Devid Koblas開發(fā)����,而后由NEC的Ying-Da Lee將其擴展到版本4。最新協(xié)議是版本5���,與前一版本相比�����,增加支持UDP��、驗證����,以及IPv6�。根據(jù)OSI模型,SOCKS是位于應(yīng)用層與傳輸層之間的中間層�。
應(yīng)用層:應(yīng)用程序代理
應(yīng)用程序代理工作在應(yīng)用層之上��,位于客戶機與服務(wù)器之間���,完全阻擋了二者間的數(shù)據(jù)交流��。從客戶機來看�,代理服務(wù)器相當(dāng)于一臺真正的服務(wù)器;而從服務(wù) 器來看,代理服務(wù)器又是一臺真正的客戶機����。當(dāng)客戶機需要使用服務(wù)器上的數(shù)據(jù)時,首先將數(shù)據(jù)請求發(fā)給代理服務(wù)器����,代理服務(wù)器再根據(jù)這一請求向服務(wù)器索取數(shù) 據(jù),然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機��。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道�����,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)����。并對應(yīng)用 層以下的數(shù)據(jù)透明��。應(yīng)用層代理服務(wù)器用于支持代理的應(yīng)用層協(xié)議�,如:HTTP��、HTTPS����、FTP、TELNET等�����。由于這些協(xié)議支持代理����,所以只要在客 戶端的瀏覽器或其他應(yīng)用軟件中設(shè)置“代理服務(wù)器”項,設(shè)置好代理服務(wù)器的地址�,客戶端的所有請求將自動轉(zhuǎn)發(fā)到代理服務(wù)器中。然后由代理服務(wù)器處理或轉(zhuǎn)發(fā)該 請求�����。
果.jpg)