網絡系統安全綜合解決方案

局域網安全解決方案

由于局域網中采用(yòng)廣播方式，因此，若在某個(gè)廣播域中可(✔±↕↑kě)以偵聽(tīng)到(dào)所有(yǒu)的(de)信息包，黑(hēiδ↓δ)客就(jiù)可(kě)以對(duì)信息包進行(xíng)分(↓& ≈fēn)析，那(nà)麽本廣播域的(de)信息傳遞都(dōλ‍u)會(huì)暴露在黑(hēi)客面前。

網絡分(fēn)段

網絡分(fēn)段是(shì)保證安全的(de)一(yī)項重措施，同時‍↓±₩(shí)也(yě)是(shì)一(yī)項基本措施，其指導思想在于将非法用   (yòng)戶與網絡資源相(xiàng)互隔離(lí)，從(• cóng)而達到(dào)限制(zhì)用(yòng)戶非法訪問(wèn)→¥α$的(de)目的(de)。 

網絡分(fēn)段可(kě)分(fēn)為(‌σ wèi)物(wù)理(lǐ)分(fēn)段和(¶σΩ​hé)邏輯分(fēn)段兩種方式：物(wù)理(γ₽lǐ)分(fēn)段通(tōng)常是(shì)指将網絡從(cóng)物(wù'φ )理(lǐ)層和(hé)數(shù)據鏈路(lù)層（IS∑™εO/OSI模型中的(de)第一(yī)層和∏•(hé)第二層）上(shàng)分(fēn)為✘‌¶∑(wèi)若幹網段，各網段相(xiàng)互之間(jiān)無法進行(xín← βg)直接通(tōng)訊。目前，許多(duō)交換機(jī)都(dō₹₹u)有(yǒu)一(yī)定的(de)訪問(wèn§×)控制(zhì)能(néng)力，可(kě)實現(xiàn>‍Ω')對(duì)網絡的(de)物(wù)理(lǐπ¶>®)分(fēn)段。

邏輯分(fēn)段則是(shì)指将整個(g↓♠₹★è)系統在網絡層（ISO/OSI模型中的(de)第三層）上(shàng)進≈↑行(xíng)分(fēn)段。例如(rú)，對(duì)于TCP/IP網絡，可™≠₽'(kě)把網絡分(fēn)成若幹IP子(zǐ)γ☆φ©網，各子(zǐ)網間(jiān)必須通(tōng)↓<過路(lù)由器(qì)、路(lù)由交換機(j★© ∑ī)、網關或防火(huǒ)牆等設備進行(x→©γ×íng)連接，利用(yòng)這(zhè)些(xiē)中間(jiān)設備（‍‍含軟件(jiàn)、硬件(jiàn)）的(de)安全機(jī)制(zhì)來('₩lái)控制(zhì)各子(zǐ)網間(jiān)的(de)訪問(wε∏→èn)。

在實際應用(yòng)過程中，通(tōng)常采取物>&(wù)理(lǐ)分(fēn)段與邏輯分(fēn)段相(xiàng)‍¥↕結合的(de)方法來(lái)實現(xiàn)對(duì)網絡系統的(de₽×)安全性控制(zhì)。

VLAN的(de)實現(xiàn)

虛拟網技(jì)術(shù)主要(yào)基于近($¥γ♠jìn)年(nián)發展的(de)局域網交換技(jì)術(sh∞®♦ù)（ATM和(hé)以太網交換）。交換‌↑技(jì)術(shù)将傳統的(de)基于廣播÷Ω的(de)局域網技(jì)術(shù)發展為(wèλ←£ i)面向連接的(de)技(jì)術(shù)。×₹<因此，網管系統有(yǒu)能(néng)力限制(zhì)局域網↕←×β通(tōng)訊的(de)範圍而無需通(tōng)過開(k✘₹āi)銷很(hěn)大(dà)的(de)路(lù)由器(qì)。以≠✘γ太網從(cóng)本質上(shàng)基于廣播機(jī)制">(zhì)，但(dàn)應用(yòng)了(le)交換機(jī)和♠∏§✘(hé)VLAN技(jì)術(shù)後，實際上(shàn♠™g)轉變為(wèi)點到(dào)點通(tōng)訊，除非設置¶​≥了(le)監聽(tīng)口，信息交換也(yě)不(bù)會(£↓huì)存在監聽(tīng)和(hé)插入（改變）問(wèn)題。

由以上(shàng)運行(xíng)機(jī)制(zhì)帶來(lái)的("∏÷∑de)網絡安全的(de)好(hǎo)處是(shì)顯而α↑易見(jiàn)的(de)：信息隻到(dào)達應該到(dào)達的≈₩(de)地(dì)點。因此，防止了(le)大(dà)部分(fēn)↑ 基于網絡監聽(tīng)的(de)入侵手段。通(tōng)過♥÷≤™虛拟網設置的(de)訪問(wèn)控制(zhì)，使≥​在虛拟網外(wài)的(de)網絡節點不(bù)能(néng)直接訪問(wèn∑®£)虛拟網內(nèi)節點。但(dàn)是(shì♣✘)，虛拟網技(jì)術(shù)也(yě)帶來(lái∏≈)了(le)新的(de)問(wèn)題：執行($₩₽xíng)虛拟網交換的(de)設備越來(lái)越複雜(zá)，從(cón∑÷☆☆g)而成為(wèi)被攻擊的(de)對(duì)象。基于網絡廣播原理(l✔× ♠ǐ)的(de)入侵監控技(jì)術(shù)在高(>®¥gāo)速交換網絡內(nèi)需要(yào)特殊的(d→πe)設置。基于MAC的(de)VLAN不(bù)能γ•(néng)防止MAC欺騙攻擊。采用(yòng)基♣ 于MAC的(de)VLAN劃分(fēn)将面臨假冒MAC地(dì)址的 γ☆™(de)攻擊。因此，VLAN的(de)劃分(fēn)最好(hǎo)基于≠₽↑‌交換機(jī)端口。但(dàn)這(zhè)要(yào)↕γ♣求整個(gè)網絡桌面使用(yòng)交換∞₩φ端口或每個(gè)交換端口所在的(de)網段機ε→(jī)器(qì)均屬于相(xiàng)同的(de)VLAN。σ‌↓

VLAN之間(jiān)的(de)劃分(fēn)原則

VLAN的(de)劃分(fēn)方式的(de)目的(de)是(shì)保證'≥< 系統的(de)安全性。因此，可(kě)以按照(zhà​₩Ωo)系統的(de)安全性來(lái)劃分(fēn)VLAN：可(kě)以将總€₹♠部中的(de)服務器(qì)系統單獨劃作(zuò)一(yī)個 •(gè)VLAN，如(rú)數(shù)據庫服務器(qì)π♣γ、電(diàn)子(zǐ)郵件(jiàn)服務器(qì)等。也(yě)可(k‌≥‍✔ě)以按照(zhào)機(jī)構的(de)設φ±↕​置來(lái)劃分(fēn)VLAN，如(rúδδ‌‍)将領導所在的(de)網絡單獨作(zuò)為(wèi)一(yī)個(gè)Le φ× ader VLAN（LVLAN），其它司局（或下(xià)級機(jσ©÷€ī)構）分(fēn)别作(zuò)為(wèi)一(yī)個™λ' (gè)VLAN，并且控制(zhì)LV♥≥↔¶LAN與其它VLAN之間(jiān)的(de)單向信息流向，即↕↔±‍允許LVLAN查看(kàn)其他(tā)VLAN的(de)•™σ相(xiàng)關信息，其他(tā)VLAN不(bù)能(néng)訪問(wè®≤"n)LVLAN的(de)信息。VLAN之內(nèi)的(de)連接采用(y>®$òng)交換技(jì)術(shù)實現(xiàn)，VLAN姣↑與VLAN之間(jiān)采用(yòng)路(lù)由實現(≈‌÷‌xiàn)。由于路(lù)由控制(zhì)≥∞的(de)能(néng)力有(yǒu)限，不(bù)能(néng)實現(xià≥→>n)LVLAN與其他(tā)VLAN之間(ji®§ān)的(de)單向信息流動，需要(yào)在LVβ♥☆←LAN與其他(tā)VLAN之間(jiān)設置一(yī)Ω'☆個(gè)NetScreen防火(huǒ)牆作(zuò)為(wèi)安全隔離"↓♣(lí)設備，控制(zhì)VLAN與VLAN之間(jiān)的(dφ¥↕±e)信息交換。

廣域網安全解決方案

由于廣域網采用(yòng)公網傳輸數(shù)據，因而在廣域★≤≠​網上(shàng)進行(xíng)傳輸時(shí)信息↔♦'也(yě)可(kě)能(néng)會(huì)被不(bù)法分(fδ∑↕♦ēn)子(zǐ)截取。如(rú)分(fēn)支機(jī)構從(cón¶→g)異地(dì)發一(yī)個(gè)信息到(dào)總部時(s₽✘↓hí)，這(zhè)個(gè)信息包就(jiù)可(≠δ÷kě)能(néng)被人(rén)截取和(hé)利用(yòng)。因此在廣γ×域網上(shàng)發送和(hé)接收信♥©∏β息時(shí)要(yào)保證： 

除了(le)發送方和(hé)接收方外(wài)，♥♦•其他(tā)人(rén)是(shì)不(bù)可(kě)知(zhī)悉的(de§£)（隐私性）； 

傳送過程中不(bù)被篡改（真實性）； £✘±≠;

發送方能(néng)确信接收方不(bù)是(shì)假冒的(de)（非僞✔•★≤裝性）；

發送方不(bù)能(néng)否認自(zì)己的(de)發送‌≤行(xíng)為(wèi)（非否認）。 

如(rú)果沒有(yǒu)專門(mén)↑×¥的(de)軟件(jiàn)對(duì)數(shù)據進×★≠₹行(xíng)控制(zhì)，所有(yǒu)的(de)₩≤↓廣域網通(tōng)信都(dōu)将不(bù)受限制(z∑← hì)地(dì)進行(xíng)傳輸，因此任何一(yī↓Ω)個(gè)對(duì)通(tōng)信進行<γ(xíng)監測的(de)人(rén)都(dōu)可(k↓∏ě)以對(duì)通(tōng)信數(shù$∑ )據進行(xíng)截取。這(zhè)種≥>α形式的(de)"攻擊"是(shì)相(xiàng)對≤σ≤(duì)比較容易成功的(de)，隻要(™↓γyào)使用(yòng)現(xiàn)在可(kě)以很(hěn)容易得(de↔₹♦∏)到(dào)的(de)"包檢測"軟件(jiàn✘α)即可(kě)。如(rú)果從(cóng)一(yī)個(gβε è)聯網的(de)UNIX工(gōng)'•作(zuò)站(zhàn)上(shàng)使用(yòn'•g)"跟蹤路(lù)由"命令的(de)話(huà)，就(jiù)©¥‍π可(kě)以看(kàn)見(jiàn)數$≈(shù)據從(cóng)客戶機(jī)傳送到(dào)服務器(qì)要(y₹↕☆ào)經過多(duō)少(shǎo)種不(bù)同的(de)節ε×↑點和(hé)系統，所有(yǒu)這(zhè)些(xi&φē)都(dōu)被認為(wèi)是(shì)最容易受到(dào)黑(÷λ≈hēi)客攻擊的(de)目标。一(yī)般地(dì)，一(yī)個(gè)監↔φ聽(tīng)攻擊隻需通(tōng)過在傳輸數(shù)據的(÷★de)末尾獲取IP包的(de)信息即可(kě)以 ✔≥¶完成。這(zhè)種辦法并不(bù)需要(yào)特别的(de)物(wù®σ£‍)理(lǐ)訪問(wèn)。如(rú)果對(duì)網絡用←→±(yòng)線具有(yǒu)直接的(de)物(wù)理(lǐ)訪問(wèn★ ←)的(de)話(huà)，還(hái)可(kě)以使用(yòng ↓₹)網絡診斷軟件(jiàn)來(lái)進行(xíσλng)竊聽(tīng)。對(duì)付這(zhè)類攻擊的(de)↔₽π辦法就(jiù)是(shì)對(duì)傳輸的λ'¶"(de)信息進行(xíng)加密，或者是(shì)至少(shǎo®≤&₽)要(yào)對(duì)包含敏感數(shù)據的(de)部分(f₽γēn)信息進行(xíng)加密。

加密技(jì)術(shù) 

加密型網絡安全技(jì)術(shù)的(de)基本思想是(shì)€★↑不(bù)依賴于網絡中數(shù)據路(lù)徑的(de)安全性來(lái↑∞‌>)實現(xiàn)網絡系統的(de)安全，而是(shì)通(tōnσ®λ₽g)過對(duì)網絡數(shù)據的(de)加密來(lái)保障$δ網絡的(de)安全可(kě)靠性，因而這(zhσ α↑è)一(yī)類安全保障技(jì)術(shù)的(de)基石是(shì)使用(•₽>yòng)放(fàng)大(dà)數(sh&ε÷‍ù)據加密技(jì)術(shù)及其在分(f‌≥≤€ēn)布式系統中的(de)應用(yòng)。 

數(shù)據加密技(jì)術(shù)可(kě)以分( ‌✘↑fēn)為(wèi)三類，即對(duì)稱型加密、不(bù)對(duì‌π≠↓)稱型加密和(hé)不(bù)可(kě)逆加密。 對(duì☆ σ™)稱型加密使用(yòng)單個(gè)密鑰對(duì)♦↓★π數(shù)據進行(xíng)加密或解密，其特點是(§≤shì)計(jì)算(suàn)量小(xiǎ ↔o)、加密效率高(gāo)。但(dàn)是(shì)此類算(suàπ<n)法在分(fēn)布式系統上(shàng)使用(yòn→≥↓g)較為(wèi)困難，主要(yào)是(shì)密鑰®≥™♣管理(lǐ)困難，從(cóng)而使用(yòng)成本較高(g↔≠āo)，保安性能(néng)也(yě)不(bù)易保證。×ε這(zhè)類算(suàn)法的(de)代表是(shì)在計(jì)算₩♣∑≈(suàn)機(jī)專網系統中廣泛使用(yòn‍∏πg)的(de)DES算(suàn)法（Digital Encryption S✔★πtandard）。 

不(bù)對(duì)稱型加密算(suàn)法也(yě)稱公 ↓✘λ用(yòng)密鑰算(suàn)法，其特點是(sh£∞ì)有(yǒu)二個(gè)密鑰（即公用(yòng)≥σ≥密鑰和(hé)私有(yǒu)密鑰），隻有(yǒu> )二者搭配使用(yòng)才能(néng">₽σ)完成加密和(hé)解密的(de)全過程。由于不(bù)對β§≈(duì)稱算(suàn)法擁有(yǒu)二個(gè)密鑰，它特别适Ω$用(yòng)于分(fēn)布式系統中的(de)數(shù)據加密，在Int ™ernet中得(de)到(dào)廣泛應用(yòng)。其中公用(yòng®β ♣)密鑰在網上(shàng)公布，為(wèi)數(shù)據對(duì)數(sγδhù)據加密使用(yòng)，而用(yòng)于解 φ↔δ密的(de)相(xiàng)應私有(yǒu)密鑰則由數(sλσσhù)據的(de)接收方妥善保管。

不(bù)對(duì)稱加密的(de)另一(yī)©✔φ用(yòng)法稱為(wèi)"數(sh ★ ù)字簽名"（digital signa¶ ture），即數(shù)據源使用(yòng)其私有(yǒu)密鑰對(duìΩ'≠δ)數(shù)據的(de)求校(xiào)驗和(hé)（checks×₹‌✔um）或其它與數(shù)據內(nèi)容有(yǒu)關的(deΩ÷)變量進行(xíng)加密，而數(shù)據接收方則用(yò‌≠βng)相(xiàng)應的(de)公用(yòng)密鑰解讀(d$™☆ú)"數(shù)字簽名"，并将解讀(dú)結果用(yòΩ'δng)于對(duì)數(shù)據完整性的₽σ÷∏(de)檢驗。在網絡系統中得(de)到(dào)應用(yòng)的('↓de)不(bù)對(duì)稱加密算(suàn)法有(yǒα∏u)RSA算(suàn)法和(hé)美(měi)國(guó)國(guó)家(j≤₹×iā)标準局提出的(de)DSA算(suàn)法（Digital σ↕≥Signature Algorithm）。不(bù)對≥♣∑(duì)稱加密法在分(fēn)布式系統中應用(yò☆₹ng)需注意的(de)問(wèn)題是(shì)如(rú)何管理  (lǐ)和(hé)确認公用(yòng)密鑰的(de✔φ')合法性。

不(bù)可(kě)逆加密算(suàn)法的(de)特征是(shì)加密÷☆過程不(bù)需要(yào)密鑰，并且經過加密 的(de)數(shù≥☆)據無法被解密，隻有(yǒu)同樣的(de)±¶ 輸入數(shù)據經過同樣的(de)不(bù)可(kě)逆加密算(suàn)法×™>γ才能(néng)得(de)到(dào)相(xiàng)同的(de)加密₽∑β'數(shù)據。不(bù)可(kě)逆加密算(suàn  ♦∏)法不(bù)存在密鑰保管和(hé)分(fēn)發問(wèn)題，适合于←Ω‌分(fēn)布式網絡系統上(shàng)使用(yòng)，但(dàn)是(sππ<hì)其加密計(jì)算(suàn)工(gōng)作(≤♣zuò)量相(xiàng)當可(kě)觀，所以通(tōng ‌φ​)常用(yòng)于數(shù)據量有(yǒu)限的(de)情形下(xi‌≠à)的(de)加密，例如(rú)計(jì)算(suàn)γΩ₹機(jī)系統中的(de)口令就(jiù)是(shì)α™σ利用(yòng)不(bù)可(kě)逆算(suàn)法加密的(d↓§←e)。近(jìn)來(lái)随著(zhe)計(jì)算(s ♠γ£uàn)機(jī)系統性能(néng)的(de)不ε→(bù)斷改善，不(bù)可(kě)逆加密的(de)應✘₹γ用(yòng)逐漸增加。在計(jì)算(suàn)機(jī)網絡中應用 ®±↑(yòng)較多(duō)的(de)有(yǒu₽₩↕)RSA公司發明(míng)的(de)MD5算(suàn)法和(hα€φ¥é)由美(měi)國(guó)國(guó)$∞∏¶家(jiā)标準局建議(yì)的(de)可(kě)靠不(bù)™←可(kě)逆加密标準（SHS-Secure Hash Standard）。

加密技(jì)術(shù)用(yòng)于網絡安φ×全通(tōng)常有(yǒu)二種形式，即面向網絡或'☆₩面向應用(yòng)服務。前者通(tōng)常工(gōng)♣¥§σ作(zuò)在網絡層或傳輸層，使用(yòng)經過加密的(d↔$e)數(shù)據包傳送、認證網絡路(lù)由及其他(ε<≠tā)網絡協議(yì)所需的(de)信息，從( ¶cóng)而保證網絡的(de)連通(tōng)性和(hé)可♦$>(kě)用(yòng)性不(bù)受損害。在網絡₩∑層上(shàng)實現(xiàn)的(de)加密∏↑₩技(jì)術(shù)對(duì)于網絡應用(yòng)£δ♣₽層的(de)用(yòng)戶通(tōng)常是(shì)透明(míng≤×σ)的(de)。此外(wài)，通(tōng)過适÷♦£當的(de)密鑰管理(lǐ)機(jī)制(zhì) ★，使用(yòng)這(zhè)一(yī)方法還(hái≥₩★™)可(kě)以在公用(yòng)的(de)互聯網絡上(shàng)建立虛♥π‍拟專用(yòng)網絡并保障虛拟專用(yòng)網上(shàng)信>¥ ®息的(de)安全性。SKIP協議(yì)即是(shì)近ε₽(jìn)來(lái)IETF在這(zhè)方面的(de)努力之一(yī)。≥≈面向網絡應用(yòng)服務的(de)加密技(jì)術(shù)使用(✔₽ ♣yòng)則是(shì)目前較為(wèi)流行γ<↕(xíng)的(de)加密技(jì)術(shù)的φφ←¥(de)使用(yòng)方法，例如(rú)使用(yòng)Kerb•©≤÷eros服務的(de)telnet、NFS、 Ω®±rlogion等，以及用(yòng)作(zuò)電(dià→♦★n)子(zǐ)郵件(jiàn)加密的(de)♠♦δPEM（Privacy Enhanced Mail）和(hé)PGP（P¥♦retty Good Privacy）。♠§∏這(zhè)一(yī)類加密技(jì)術(shù)' 的(de)優點在于實現(xiàn)相(xiàng)對(d₩‍ uì)較為(wèi)簡單，不(bù)需要(yào)對(duì)電(di♥®<àn)子(zǐ)信息（數(shù)據包）所經過的(de)網絡的(de)安全性能≥'(néng)提出特殊要(yào)求，對(duì)電β±(diàn)子(zǐ)郵件(jiàn)數(shù)據實現(xiàn★✔>)了(le)端到(dào)端的(de)安全保障。

數(shù)字簽名和(hé)認證技(jì)術(shù)&nb×σ©sp;

認證技(jì)術(shù)主要(yào)解決網絡通(tōng)訊過程中通₽ (tōng)訊雙方的(de)身(shēn)份認≈φ§可(kě)，數(shù)字簽名作(zuò)為(λγ©wèi)身(shēn)份認證技(jì)術(shù)中的≠∏↓'(de)一(yī)種具體(tǐ)技(jì)術(shù)，同時(shí)數(≈β¥∞shù)字簽名還(hái)可(kě)用(yòng)于δπ‌通(tōng)信過程中的(de)不(bù)可(kě)抵賴要(yào)求的φ•ασ(de)實現(xiàn)。 

認證過程通(tōng)常涉及到(dào)加密和(hé)密鑰交換。通(tōn∑✘‌g)常，加密可(kě)使用(yòng)對(duì)稱加密、®™♣£不(bù)對(duì)稱加密及兩種加密方法的(de)混合。

User Name/Password認證 

該種認證方式是(shì)最常用(yòng)的(de)一(yī)種認證方式，<₩用(yòng)于操作(zuò)系統登錄、↕✘↑‌telnet、rlogin等，但(dàn)此種認證方式過程不(bù)加密¥✔，即password容易被監聽(tīng)和(hé)解密。&✘★↕☆nbsp;

使用(yòng)摘要(yào)算(suàn)法的(de)認證&nbs≈♥≥&p;

Radius（撥号認證協議(yì)）、OSPF（£‌♥路(lù)由協議(yì)）、SNMP Security Protocol等↓φ×均使用(yòng)共享的(de)Securit§₽ £y Key，加上(shàng)摘要(yào)算(suàn)法（MD5♣→≠•）進行(xíng)認證，由于摘要(yào)算(s↔Ωuàn)法是(shì)一(yī)個(gè)不(bù)可(kě)逆的(d ≥e)過程，因此，在認證過程中，由摘要(yào)信息不(bδ♣↓ù)能(néng)技(jì)術(shù)出共享的∞®≠±(de)security key，敏感信息不(bù)在網絡上(shàng)×γ傳輸。市(shì)場(chǎng)上(shàng)主要(yào)采用(ε×↑εyòng)的(de)摘要(yào)算(suàn₹​")法有(yǒu)MD5和(hé)SHA-1。&↑®nbsp;

基于PKI的(de)認證

使用(yòng)公開(kāi)密鑰體(tǐ)系進行(xín&↕g)認證和(hé)加密。該種方法安全程度較高(ε>gāo)，綜合采用(yòng)了(le)摘要(yào)算↕÷(suàn)法、不(bù)對(duì)稱加密、®π‌對(duì)稱加密、數(shù)字簽名等技(jì)術(shù)，很(hěn)&α好(hǎo)地(dì)将安全性和(hé)高(gāo)效性結合起​✘₹α來(lái)。這(zhè)種認證方法目前應用(yòng)在電(←☆diàn)子(zǐ)郵件(jiàn)、應用(yòng)服務器(qì)訪問(wè§₽δn)、客戶認證、防火(huǒ)牆認證等領域。

該種認證方法安全程度很(hěn)高(gāo→♦₽)，但(dàn)是(shì)涉及到(dào)比較≠™ 繁重的(de)證書(shū)管理(lǐ)任務。

數(shù)字簽名

數(shù)字簽名作(zuò)為(wèi)驗證發送者身β"(shēn)份和(hé)消息完整性的(de★∞δ)根據。公共密鑰系統（如(rú)RSA）基于私有(yǒu)/公共密鑰對(÷•♦σduì)，作(zuò)為(wèi)驗證發送者身(s">•¥hēn)份和(hé)消息完整性的(de)根據，CA使用€×(yòng)私有(yǒu)密鑰技(jì)¥•術(shù)其數(shù)字簽名，利用(yòng)CA提供的(de)公 >↑↓共密鑰，任何人(rén)均可(kě)驗證簽名的(de)真實性。♠€僞造數(shù)字簽名從(cóng)計(jì)算(suàn)機 ↕ (jī)能(néng)力上(shàng)不(bù)可(kě)行(xínσ₽g)的(de)。并且，如(rú)果消息随數(shù)字π"簽名一(yī)同發送，對(duì)消息的(de←<λ)任何修改在驗證數(shù)字簽名時(shí)都(dō"‌∞u)将會(huì)被發現(xiàn)。 

通(tōng)訊雙方通(tōng)過Diffie-Hellman密鑰系統安全地→±(dì)獲取共享的(de)保密密鑰，并使用(yòng)該密鑰​'γ對(duì)消息加密。Diffie-Hellman密鑰由CA進行(x↓§↕íng)驗證。 

基于此種加密模式，需要(yào)管理(lǐ)的(de)密鑰數 Ω(shù)目與通(tōng)訊者的(de)數(shù)量為(wèi)線性關系。♥↕>∑而其它的(de)加密模式需要(yào)管λπ¥理(lǐ)的(de)密鑰數(shù)目與通(tōn♥φg)訊者數(shù)目的(de)平方成正比。

VPN技(jì)術(shù)

網絡系統總部和(hé)各分(fēn)支機(jī​'™ )構之間(jiān)采用(yòng)公網網↕σ÷絡進行(xíng)連接，其最大(dà)的(de)弱點φ‌✔±在于缺乏足夠的(de)安全性。企業(yè)網絡接入到(dào)♦¥∑公網中，暴露出兩個(gè)主要(yào)危險：

來(lái)自(zì)公網的(de)未經授權的(de)對(d≠‍₩÷uì)企業(yè)內(nèi)部網的(de)存‌♣π₹取。 

當網絡系統通(tōng)過公網進行(xíng)通(tōng)訊時(shí)，φ→☆£信息可(kě)能(néng)受到(dào)竊聽(tīn∑‌♦♣g)和(hé)非法修改。 完整的(de)集φ₹$成化(huà)的(de)企業(yè)範圍的(de)VPN安全解決方案←Ωδ£，提供在公網上(shàng)安全的(de)雙向通(tōng)訊，以↔✔≈™及透明(míng)的(de)加密方案以保證數(♥÷↕shù)據的(de)完整性和(hé)保密性。 

VPN技(jì)術(shù)的(de)原理(lǐ): 

VPN系統使分(fēn)布在不(bù)同地(dì)方的(de)專用('♦ ©yòng)網絡在不(bù)可(kě)信任的(de)公共網絡上(shàng)安≠$¥全的(de)通(tōng)信。它采用(yò‌♦ ng)複雜(zá)的(de)算(suàn)法來(lái)加密傳輸的(de)信息γ¶₽ ，使得(de)敏感的(de)數(shù)據不(bù)會(huì)≠Ω被竊聽(tīng)。其處理(lǐ)過程大(dà)體(tǐ)是(s★<≈hì)這(zhè)樣： 

要(yào)保護的(de)主機(jī)發送明(míng)↓₽文(wén)信息到(dào)連接公共網絡的(de)VPN設備；

VPN設備根據網管設置的(de)規則，确定是(shì)否需要(yào)對(επ♠duì)數(shù)據進行(xíng)加密或讓$λ¶數(shù)據直接通(tōng)過。 

對(duì)需要(yào)加密的(de)數(s<↕hù)據，VPN設備對(duì)整個(gè)數(shù)據包進行(xíng) ∞‍π加密和(hé)附上(shàng)數(shù)字簽名。&nbs÷≥≈p;

VPN設備加上(shàng)新的(de)數(shù)據報(bào)頭，其↑¶↓∑中包括目的(de)地(dì)VPN設備需要(yào)的(de)₽♥安全信息和(hé)一(yī)些(xiē)初始化(huà<♥♠)參數(shù)。 

VPN 設備對(duì)加密後的(de)數(shù)據、鑒别包以及 ε♦σ源IP地(dì)址、目标VPN設備IP地(dì)址進行(♣®§xíng)重新封裝，重新封裝後的(de)數(shù)據包通(tōng)過&‌​虛拟通(tōng)道(dào)在公網上(shàng)傳輸φ€¶&。 

當數(shù)據包到(dào)達目标VPN設備時(shí)，數(☆‍♥shù)據包被解封裝，數(shù)字簽名被核對(duì)≥‌✔π無誤後，數(shù)據包被解密。 

IPSec

IPSec作(zuò)為(wèi)在IPv4及IPv÷&∑♣6上(shàng)的(de)加密通(tōng)訊±γδ框架，已為(wèi)大(dà)多(duō)數(shù)廠©>‌§(chǎng)商所支持。

IPSec主要(yào)提供IP網絡層上(shàng)的(d↑→ "e)加密通(tōng)訊能(néng)力。該标準為(wèi)  ∏每個(gè)IP包增加了(le)新的(de)包頭格式，Authentic≥$↑♣ation Header(AH)及encapsulating seσεcurity payload(ESP)。IPSe↑•φ•c使用(yòng)ISAKMP/Oakley及SKIP進行(xíng)密鑰€β交換、管理(lǐ)及加密通(tōng)訊協商（S​‍ecurity Association）↕≥。

IPSec包含兩個(gè)部分(fēn)：

IP security Protocol p&♥∏δroper,定義IPSec報(bào)頭格式。

ISAKMP/Oakley，負責加密通(t™¥ōng)訊協商。

IPSec提供了(le)兩種加密通(tōng)訊手段$✘&×： 

IPSec Tunnel：整個(gè)IP封裝在Ipsec-gateway¶★≠¥之間(jiān)的(de)通(tōng)訊。

Ipsec transport：對(duì)IP包內(nèi)的(d$←e)數(shù)據進行(xíng)加密，使用(yòΩ£ng)原來(lái)的(de)源地(dì)址和(hé)目的(de)λ↓∏地(dì)址。 

IPsec Tunnel 不(bù)要(yào)求修改已配備好(hǎo)的(d  £•e)設備和(hé)應用(yòng)，網絡黑(hēi)客不(bù)能(nén♥®<g)看(kàn)到(dào)實際的(de)通(t≈λōng)訊源地(dì)址和(hé)目的(de)地(dì)址，并且能(néng)≥→★>夠提供專用(yòng)網絡通(tōng)過Internet加密傳輸的(de)通±✔  (tōng)道(dào)，因此，絕大(dà)多(duō)數(shù)廠(chφ©ǎng)商均使用(yòng)該模式。 

ISAKMP/Oakley使用(yòng)X.509數(shù)字證書(s☆★hū)，因此，使VPN能(néng)夠容易地(dì)擴大(dà)到(dào)®•φ‍企業(yè)級。（易于管理(lǐ)）。 ∑&

在為(wèi)遠(yuǎn)程撥号服務的(de)Client端，也(yě)能(∑α↔néng)夠實現(xiàn)IPsec的(de)客↕>戶端，為(wèi)撥号用(yòng)戶提供加密網絡通(tōng)訊。由于IPsσ¥•♥ec即将成為(wèi)Internet标準，因此不(bù)同廠(chǎng)™<家(jiā)提供的(de)防火(huǒ)牆（VPN）産品可(kě)★∑✘以實現(xiàn)互通(tōng)。

如(rú)何保證遠(yuǎn)程訪問(wèn±'ε)的(de)安全性

對(duì)于從(cóng)外(wài)部撥号訪問(wèn)總Ω Ω£部內(nèi)部局域網的(de)用(yòng)戶，由于使用φ‌(yòng)公用(yòng)電(diàn)話(♠★huà)網進行(xíng)數(shù)據傳☆ ☆輸所帶來(lái)的(de)風(fēng•✘)險，必須嚴格控制(zhì)其安全性。首先，應嚴格限制(zhì)ε↕撥号上(shàng)網用(yòng)戶所訪問(wèn)的(de)系φ→→統信息和(hé)資源，這(zhè)一(yī)功能(₽♠néng)可(kě)通(tōng)過在撥号訪問(wèn)服™≥σ♥務器(qì)後設置NetScreen防火(hu ↕↑ǒ)牆來(lái)實現(xiàn)。其次，應加強對(duì)撥号用(yòng)ε≈ §戶的(de)身(shēn)份認證，使用(yòng)RADIUS等專用(₽♥ yòng)身(shēn)份驗證服務器(qì)↕π。一(yī)方面，可(kě)以實現(xiàn)對(duì)撥号用↕∞(yòng)戶帳号的(de)統一(yī)管理(lǐ)；另一(yī)方面，在身(≈§Ωshēn)份驗證過程中采用(yòng)加密的(de)手段，避免用(yòng)戶₹•口令洩露的(de)可(kě)能(néng)性。≈₽₹§第三，在數(shù)據傳輸過程中采用(yòng)加密技(jì)術(sλ€₩≠hù)，防止數(shù)據被非法竊取。一(yī)種方法是(&♥‍σshì)使用(yòng)PGP for <£•αBusiness Security，對(duì)數(shù)據加密<≠σ★。另一(yī)種方法是(shì)采用(yòng)NetScrδ∏een防火(huǒ)牆所提供的(de)VPN（虛拟專網≠πε）技(jì)術(shù)。VPN在提供網間(jiān)數(shù)據加密的(®σ↔‍de)同時(shí)，也(yě)提供了(lφ≠•e)針對(duì)單機(jī)用(yòng)戶的(de)加密客>≥戶端軟件(jiàn)，即采用(yòng)軟件(πλγ↓jiàn)加密的(de)技(jì)術(shù✔✔)來(lái)保證數(shù)據傳輸的(de)安全性。