▲ 圖:OSI安全模型
每層相應(yīng)的安全技術(shù)如下:
數(shù)據(jù)鏈路層:點(diǎn)到點(diǎn)通道協(xié)議(PPTP),以及第二層通道協(xié)議L2TP
點(diǎn)到點(diǎn)通道協(xié)議PPTP,英文全稱是Point – to – point Tunneling Protocol�。PPTP 是用于在中間網(wǎng)絡(luò)上傳輸點(diǎn)對(duì)點(diǎn)協(xié)議(PPP)幀的一種隧道機(jī)制。 通過利用PPP 的身份驗(yàn)證�����、加密和協(xié)議配置機(jī)制�,PPTP 連接同時(shí)為遠(yuǎn)程訪問和路由器到路由器的虛擬專用網(wǎng)(VPN)連接提供了一條在公共網(wǎng)絡(luò)(比如:Internet)上創(chuàng)建安全連接的途徑��。PPTP 將PPP 幀封裝成IP 數(shù)據(jù)包�,以便在急于IP 的互聯(lián)網(wǎng)上傳輸,為了確保數(shù)據(jù)的安全性��,通常需要事先對(duì)封裝的數(shù)據(jù)進(jìn)行加密��。
▲ 圖:PPTP數(shù)據(jù)格式
L2TP是Cisco的L2F與PPTP相結(jié)合的一個(gè)協(xié)議�。L2TP有一部分采用的是PPTP協(xié)議,比如同樣可以對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行加密����。不過也有不 同之處,比如PPTP要求網(wǎng)絡(luò)為IP網(wǎng)絡(luò)�,L2TP要求面向數(shù)據(jù)包的點(diǎn)對(duì)點(diǎn)連接;PPTP使用單一隧道,L2TP使用多隧道;L2TP提供包頭壓縮��、隧道 驗(yàn)證,而PPTP不支持���。
▲圖:L2TP命令頭格式
網(wǎng)絡(luò)層:IP安全協(xié)議(IPSEC)
IPV4在設(shè)計(jì)時(shí)�,只考慮了信息資源的共享����,沒有過多的考慮到安全問題,因此無法從根本上防止網(wǎng)絡(luò)層攻擊����。在現(xiàn)有的IPV4上應(yīng)用IPSEC可以加 強(qiáng)其安全性,IPSEC在網(wǎng)絡(luò)層提供了IP報(bào)文的機(jī)密性�、完整性�����、IP報(bào)文源地址認(rèn)證以及抗偽地址的攻擊能力���。IPSEC可以保護(hù)在所有支持IP的傳輸介 質(zhì)上的通信��,保護(hù)所有運(yùn)行于網(wǎng)絡(luò)層上的所有協(xié)議在主機(jī)間進(jìn)行安全傳輸��。IPSEC網(wǎng)關(guān)可以安裝在需要安全保護(hù)的任何地方����,如路由器、防火墻����、應(yīng)用服務(wù)器或 客戶機(jī)等。
▲ 圖:含有IPSEC的數(shù)據(jù)封裝
IPSEC主要由三個(gè)協(xié)議組成:
1. AH(Authentication Header)認(rèn)證報(bào)頭��,提供對(duì)報(bào)文完整性的報(bào)文的源地址進(jìn)行認(rèn)證�。
2. ESP(Encapsulating Security Payload)封裝安全載荷,提供對(duì)報(bào)文內(nèi)容的加密和認(rèn)證功能�����。
3. IKE(Internet Key Exchange) Internet密鑰交換���,協(xié)商信源和信宿節(jié)點(diǎn)間保護(hù)IP報(bào)文的AH和ESP的相關(guān)參數(shù)��,如加密��、認(rèn)證的算法和密鑰�、密鑰的生存時(shí)間等����。又稱為安全聯(lián)盟��。 AH和ESP是網(wǎng)絡(luò)層協(xié)議�����,IKE是應(yīng)用層協(xié)議���。一般情況下,IPSEC僅指網(wǎng)絡(luò)層協(xié)議AH和ESP�����。由于 IPSEC服務(wù)是在網(wǎng)絡(luò)層提供的���,任何上層協(xié)議都可以使用到此服務(wù)���。
傳輸層:安全套接字層(SSL)和傳輸層安全協(xié)議TLS
安全套接層(Secure Sockets Layer�����,SSL)是網(wǎng)景公司(Netscape)在推出Web瀏覽器首版的同時(shí)�,提出的協(xié)議。SSL采用公開密鑰技術(shù),保證兩個(gè)應(yīng)用間通信的保密性和 可靠性��,使客戶與服務(wù)器應(yīng)用之間的通信不被攻擊者竊聽���??稍诜?wù)器和客戶機(jī)兩端同時(shí)實(shí)現(xiàn)支持�����,目前已成為互聯(lián)網(wǎng)上保密通訊的工業(yè)標(biāo)準(zhǔn)��,現(xiàn)行Web瀏覽器普 遍將Http和SSL相結(jié)合�,從而實(shí)現(xiàn)安全通信。SSL協(xié)議的優(yōu)勢(shì)在于它是與應(yīng)用層協(xié)議獨(dú)立無關(guān)的�。高層的應(yīng)用層協(xié)議 (例如:Http、FTP���、Telnet等等 ) 能透明的建立于SSL協(xié)議之上����。SSL協(xié)議在應(yīng)用層協(xié)議通信之前就已經(jīng)完成加密算法�、通信密鑰的協(xié)商以及服務(wù)器認(rèn)證工作。在此之后應(yīng)用層協(xié)議所傳送的數(shù)據(jù) 都會(huì)被加密�����,從而保證通信的私密性。
▲ 圖:SSL位于傳輸層上
傳輸層安全協(xié)議(TLS)是確?���;ヂ?lián)網(wǎng)上通信應(yīng)用和其用戶隱私的協(xié)議。當(dāng)服務(wù)器和客戶機(jī)進(jìn)行通信�����,TLS確保沒有第三方能竊聽或盜取信息�。TLS是 安全套接字層(SSL)的后繼協(xié)議。TLS由兩層構(gòu)成:TLS記錄協(xié)議和TLS握手協(xié)議��。TLS記錄協(xié)議使用機(jī)密方法�����,如數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)�����,來保證 連接安全�����。TLS記錄協(xié)議也可以不使用加密技術(shù)����。TLS握手協(xié)議使服務(wù)器和客戶機(jī)在數(shù)據(jù)交換之前進(jìn)行相互鑒定,并協(xié)商加密算法和密鑰���。TLS利用密鑰算法 在互聯(lián)網(wǎng)上提供端點(diǎn)身份認(rèn)證與通訊保密����,其基礎(chǔ)是公鑰基礎(chǔ)設(shè)施(public key infrastructure����,PKI)。不過在實(shí)現(xiàn)的典型例子中���,只有網(wǎng)絡(luò)服務(wù)者被可靠身份驗(yàn)證����,而其客戶端則不一定��。這是因?yàn)楣€基礎(chǔ)設(shè)施普遍商業(yè)運(yùn) 營(yíng)��,電子簽名證書相當(dāng)昂貴���,普通大眾很難買得起證書��。協(xié)議的設(shè)計(jì)在某種程度上能夠使主從式架構(gòu)應(yīng)用程序通訊本身預(yù)防竊聽�����、干擾(Tampering)����、和 消息偽造。
會(huì)話層:SOCKS代理技術(shù)
SOCKS是一種網(wǎng)絡(luò)傳輸協(xié)議�����,主要用于客戶端與外網(wǎng)服務(wù)器之間通訊的中間傳遞��。SOCKS是"SOCKetS"的縮寫�����。
當(dāng)防火墻后的客戶端要訪問外部的服務(wù)器時(shí)���,就跟SOCKS代理服務(wù)器連接����。這個(gè)代理服務(wù)器控制客戶端訪問外網(wǎng)的資格,允許的話�����,就將客戶端的請(qǐng)求發(fā)往外部的服務(wù)器��。這個(gè)協(xié)議最初由Devid Koblas開發(fā)�,而后由NEC的Ying-Da Lee將其擴(kuò)展到版本4�����。最新協(xié)議是版本5���,與前一版本相比����,增加支持UDP�、驗(yàn)證,以及IPv6�����。根據(jù)OSI模型�����,SOCKS是位于應(yīng)用層與傳輸層之間的中間層。
應(yīng)用層:應(yīng)用程序代理
應(yīng)用程序代理工作在應(yīng)用層之上��,位于客戶機(jī)與服務(wù)器之間�����,完全阻擋了二者間的數(shù)據(jù)交流�����。從客戶機(jī)來看�����,代理服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器;而從服務(wù) 器來看�����,代理服務(wù)器又是一臺(tái)真正的客戶機(jī)�����。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí)��,首先將數(shù)據(jù)請(qǐng)求發(fā)給代理服務(wù)器,代理服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù) 據(jù)�,然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道�,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。并對(duì)應(yīng)用 層以下的數(shù)據(jù)透明���。應(yīng)用層代理服務(wù)器用于支持代理的應(yīng)用層協(xié)議,如:HTTP�、HTTPS、FTP�、TELNET等。由于這些協(xié)議支持代理���,所以只要在客 戶端的瀏覽器或其他應(yīng)用軟件中設(shè)置“代理服務(wù)器”項(xiàng)���,設(shè)置好代理服務(wù)器的地址,客戶端的所有請(qǐng)求將自動(dòng)轉(zhuǎn)發(fā)到代理服務(wù)器中�。然后由代理服務(wù)器處理或轉(zhuǎn)發(fā)該 請(qǐng)求。
果.jpg)