企業(yè)信息化培訓(xùn)課件_第1頁
企業(yè)信息化培訓(xùn)課件_第2頁
企業(yè)信息化培訓(xùn)課件_第3頁
企業(yè)信息化培訓(xùn)課件_第4頁
企業(yè)信息化培訓(xùn)課件_第5頁
已閱讀5頁,還剩82頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

企業(yè)信息化傅建明武漢大學(xué)計算機(jī)學(xué)院fujms@謝謝羅敏博士第七章網(wǎng)絡(luò)信息安全網(wǎng)絡(luò)信息安全的概念網(wǎng)絡(luò)信息安全的常用技術(shù)網(wǎng)絡(luò)信息安全的概念網(wǎng)絡(luò)信息安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)能連續(xù)可靠地運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全性指計算機(jī)機(jī)密性、完整性和可用性的實(shí)現(xiàn)。網(wǎng)絡(luò)安全性可用性授權(quán)實(shí)體有權(quán)訪問數(shù)據(jù)。機(jī)密性信息不暴露給未授權(quán)實(shí)體或進(jìn)程。完整性保證數(shù)據(jù)不被未授權(quán)修改。網(wǎng)絡(luò)信息安全的常用技術(shù)防火墻技術(shù)入侵檢測技術(shù)反病毒技術(shù)內(nèi)外網(wǎng)隔離技術(shù)VPN技術(shù)電子郵件的安全7.1防火墻技術(shù)有關(guān)知識和概念體系結(jié)構(gòu)防火墻的設(shè)計

7.1.1有關(guān)知識和概念防火墻的概念

Internet防火墻指能增強(qiáng)網(wǎng)絡(luò)安全性的(一組)系統(tǒng)或一種裝置。它是由軟件或硬件設(shè)計組合而成,通常位于局域網(wǎng)/內(nèi)部網(wǎng)與Internet/外部網(wǎng)之間,用于加強(qiáng)網(wǎng)絡(luò)間的訪問控制,防止外部用戶非法使用內(nèi)部網(wǎng)的資源,保護(hù)內(nèi)部網(wǎng)絡(luò)不被破壞,防止內(nèi)部網(wǎng)的敏感數(shù)據(jù)被竊取。所以防火墻實(shí)際上可以作為內(nèi)部網(wǎng)和外部網(wǎng)之間的一種訪問控制設(shè)備。它可以是路由器,也可以是個人主機(jī)、主系統(tǒng)或一批主系統(tǒng),用于把網(wǎng)絡(luò)或子網(wǎng)同子網(wǎng)外的可能是不安全的系統(tǒng)隔離。7.1.1有關(guān)知識和概念防火墻的訪問控制:1.

服務(wù)控制,決定哪些服務(wù)可以被訪問2.

方向控制,決定哪些方向的服務(wù)請求被發(fā)起3.

用戶控制,哪些用戶可以訪問服務(wù)(本地用戶,遠(yuǎn)程用戶)4.

行為控制,控制具體的服務(wù)過程7.1.1有關(guān)知識和概念防火墻的應(yīng)用:1.

設(shè)立單一阻塞點(diǎn)2.

提供NAT,對外可以隱藏內(nèi)部IP,可計費(fèi)3.

作為IPSec的平臺(性能管理、安全管理、故障管理、計費(fèi)管理、配置管理)7.1.1有關(guān)知識和概念防火墻的優(yōu)點(diǎn)防止易受攻擊的服務(wù)控制訪問網(wǎng)點(diǎn)集中安全性增強(qiáng)保密,強(qiáng)化私有權(quán)有關(guān)網(wǎng)絡(luò)使用、濫用的紀(jì)錄和統(tǒng)計政策執(zhí)行7.1.1有關(guān)知識和概念防火墻的主要組成部分:網(wǎng)絡(luò)政策(高級的、低級的)先進(jìn)的驗(yàn)證工具包過濾應(yīng)用網(wǎng)關(guān)防火墻設(shè)計的基本方針只允許訪問特定的服務(wù)只拒絕訪問特定的服7.1.1有關(guān)知識和概念防火墻的缺點(diǎn)不能防范惡意的知情者不能防范不通過它的連接幾乎不能防范病毒只能用來防備已知的威脅,不能防備新的未知的威脅7.1.1有關(guān)知識和概念按位置分:l

個人防火墻(主機(jī))l

企業(yè)防火墻(網(wǎng)絡(luò))按實(shí)現(xiàn)方式分:l

軟件防火墻l

硬件防火墻l

軟硬一體化防火墻按技術(shù)分:l

包過濾器l

應(yīng)用層網(wǎng)關(guān)

電路層網(wǎng)關(guān)

7.1.2防火墻體系結(jié)構(gòu)雙宿主主機(jī)防火墻被屏蔽主機(jī)被屏蔽子網(wǎng)其它7.1.2防火墻體系結(jié)構(gòu)

堡壘主機(jī)

bastionhost是網(wǎng)絡(luò)安全的一個邊界點(diǎn),可以作為應(yīng)用層網(wǎng)關(guān)和電路層網(wǎng)關(guān)的服務(wù)平臺。雙宿主主機(jī)防火墻雙宿主主機(jī)防火墻被屏蔽主機(jī)被屏蔽主機(jī)被屏蔽子網(wǎng)被屏蔽子網(wǎng)7.1.3防火墻的設(shè)計包過濾防火墻網(wǎng)絡(luò)層(IP層)應(yīng)用層防火墻應(yīng)用層NAT代理服務(wù)包過濾防火墻包過濾防火墻數(shù)據(jù)包的處理信息:

l

源IP地址/目的IP地址l

源端口/目的端口l

IP協(xié)議域-TCP,UDP,ICMP.RIP,OSPF…l

TCP標(biāo)志位ACKl

ICMPtype包過濾防火墻設(shè)計要求:1.

外網(wǎng)的主機(jī)可以訪問內(nèi)網(wǎng)的SMTP服務(wù)器(25)2.

內(nèi)網(wǎng)的主機(jī)可以訪問外網(wǎng)的SMTP服務(wù)器(25)3.

除1,2外不允許其他流量通過該防火墻包過濾防火墻包過濾防火墻規(guī)則號源地址目的地址協(xié)議類型源端口目的端口動作ACK位A1外部地址內(nèi)部地址TCP>102425passanyB2內(nèi)部地址外部地址TCP

25

>1024passACKC3內(nèi)部地址外部地址TCP>102425

passanyD4外部地址內(nèi)部地址TCP

25

>1024passACKE5anyanyanyanyany

dropany包過濾防火墻-狀態(tài)檢查

應(yīng)用層網(wǎng)關(guān)

增加驗(yàn)證功能/實(shí)現(xiàn)應(yīng)用服務(wù)。應(yīng)用層網(wǎng)關(guān),也稱為代理服務(wù)器,proxy,broker,Agent,傳遞消息。

電路層網(wǎng)關(guān)

應(yīng)用:Web,BBS,F(xiàn)TP,EMAIL,QQSocks4TCP協(xié)議;Socks5TCP/UDP,IPv6,身份驗(yàn)證,DNS,RFC1928,1929;HTTPAgent:80防火墻的發(fā)展

1.

功能:l

包過濾:基于狀態(tài)檢查的包過濾l

基于內(nèi)容的信息過濾非法信息/垃圾郵件/端口掃描/拒絕服務(wù)/病毒/木馬/蠕蟲…l

VPN,VirtualPrivateNetworkl

IDS防火墻的發(fā)展2.

性能:千兆防火墻,專用芯片(ASIC芯片,NP)快速算法stress-test-強(qiáng)力測試規(guī)則數(shù)

性能

防火墻的發(fā)展3.

管理:l

Webl

GUIl

Console/CLI

安全,認(rèn)證4.

抗攻擊:scanning,firewalk,SNMPwalk7.2入侵檢測技術(shù)入侵檢測的任務(wù)入侵檢測的原理入侵檢測的方法7.2入侵檢測技術(shù)入侵:指任何試圖危及計算機(jī)資源的完整性、機(jī)密性或可用性的行為。

入侵的分類:1.

入侵者只獲得系統(tǒng)訪問權(quán)限,即獲得了普通級別的系統(tǒng)帳號和口令并登錄主機(jī),不做破壞性的工作2.

入侵者進(jìn)入系統(tǒng)后,毀壞改變數(shù)據(jù)3.

入侵得到部分或整個系統(tǒng)的控制權(quán)修改系統(tǒng)帳戶、口令、修改日志、安裝后門、木馬等4.

拒絕服務(wù)的攻擊,入侵者并沒有獲得系統(tǒng)的訪問權(quán),而是利用一些拒絕服務(wù)的攻擊程序,引起網(wǎng)絡(luò)掛起或重新啟動.7.2入侵檢測技術(shù)入侵的來源:1.

外部入侵者:未授權(quán)的用戶2.

內(nèi)部入侵者:逾越了合法訪問權(quán)限的系統(tǒng)授權(quán)用戶,如:偽裝者:盜用秘密用戶:躲過審計

7.2入侵檢測技術(shù)網(wǎng)絡(luò)中的安全威脅主要有:1.

身份竊取,用戶身份在通信時被非法竊取2.

假冒,指非法用戶假冒合法用戶身份獲取敏感信息的行為3.

數(shù)據(jù)竊取,指非法用戶截獲通信網(wǎng)絡(luò)的數(shù)據(jù)4.

否認(rèn),知通信方事后否認(rèn)曾經(jīng)參與某次活動的行為5.

非授權(quán)訪問6.

拒絕服務(wù),指合法用戶的正常申請被拒絕、延遲、更改等7.

錯誤路由入侵檢測的任務(wù)識別入侵者和入侵行為檢測和監(jiān)視已成功的安全突破為對抗措施及時提供重要信息入侵檢測,IntrusionDetection,對入侵行為的發(fā)覺。它通過在系統(tǒng)(計算機(jī))網(wǎng)絡(luò)中的若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。進(jìn)行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)(IntrusionDetectionSystem,IDS)。安全模型PDR模型:

P(t)>D(t)+R(t)PreventionDetectionResponse

黑客:1.

scriptkiddy2.

利用已有的漏洞和弱點(diǎn),編制新的工具3.

發(fā)現(xiàn)已有的系統(tǒng)的漏洞和弱點(diǎn)入侵檢測的功能IDS的功能:1.

檢測并分析用戶和系統(tǒng)的活動2.

檢查系統(tǒng)的配置和漏洞-scanning3.

評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性4.

識別已知的攻擊行為5.

統(tǒng)計分析異常行為6.

管理操作系統(tǒng)日志,并識別違反安全策略的用戶活動

入侵檢測的原理入侵檢測系統(tǒng)的分類根據(jù)審計數(shù)據(jù)的來源可l

基于主機(jī)的IDS保護(hù)關(guān)鍵位置的服務(wù)器,實(shí)時監(jiān)視可疑的連接、系統(tǒng)日志、非法訪問的入侵等。一般通過分析審計記錄確認(rèn)是否有入侵發(fā)生.Filemonitor(R,W,E,B);registertablemonitor;memorymonitor;portmonitor.l

基于網(wǎng)絡(luò)的IDS

通過連接在網(wǎng)絡(luò)的站點(diǎn)捕獲網(wǎng)上的數(shù)據(jù)包,并分析其是否具有已知的攻擊模式,以此來判別是否為入侵者?;赼gent的IDS

入侵檢測的方法異常檢測誤用檢測異常入侵檢測

分析用戶正常的行為活動,并建立統(tǒng)計概率模型,然后觀察系統(tǒng)的行為,決定在何種程序上將一個行為標(biāo)識為“異?!?。該方法只能識別出那些與正常過程有較大偏差的行為,而無法知道具體的入侵情況,誤警較高。

異常入侵檢測例:

用戶名

時間戳

主機(jī)

用戶主機(jī)

命令

參數(shù)

行為

Aam0cat/etc/passwd

Aam0vi.cAam0gcc

……常用算法:Bayes,HMM,神經(jīng)網(wǎng)絡(luò),……優(yōu)點(diǎn):可以檢測未知的攻擊誤用入侵檢測

是基于已知的系統(tǒng)缺陷和入侵模式;假設(shè)能精確的編碼攻擊特征。檢測:按先定義好的入侵模式匹配當(dāng)前用戶的活動,若匹配則有入侵。常用算法:規(guī)則,專家系統(tǒng),Petrinet……

誤用入侵檢測例:1.%cp/bin/sh/usr/spool/mail/root2.%chmod4755/usr/spool/mail/root3.%touchx4.%mailroot<x5.%/usr/spool/mail/root6.root%檢測結(jié)果當(dāng)前用戶的活動有4種可能:1.

入侵但非異常,……漏檢2.

非入侵且異常,……誤檢3.

非入侵且非異常4.

入侵且異常入侵檢測系統(tǒng)指標(biāo)

1可靠性,容錯能力,可連續(xù)運(yùn)行

TolearanceIntrusionSystem2.可用性3.可測性4.適應(yīng)性,適應(yīng)環(huán)境的變化(未知攻擊)1.

實(shí)時性--PDR2.

準(zhǔn)確性,——falsepositive誤檢

MDADfalsenegative漏檢

MD5.安全性,IDS本身安全

入侵檢測系統(tǒng)發(fā)展和困難

系統(tǒng)的漏洞百出,入侵行為表現(xiàn)為不確定性、復(fù)雜性、多樣性等。關(guān)鍵的問題:1.

高效的檢測算法2.

入侵模式的自動生成及確認(rèn)3.

實(shí)時監(jiān)測、響應(yīng)4.

入侵描述語言XML、數(shù)據(jù)標(biāo)準(zhǔn)化5.

數(shù)據(jù)捕獲,20M,30M,50M6.

IDS間的協(xié)同7.

IDS評估8.容侵研究

7.3反病毒技術(shù)基本知識病毒的特征病毒的分類反病毒技術(shù)病毒的預(yù)防措施7.3反病毒技術(shù)《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》,在《條例》第二十八條中明確指出:“計算機(jī)病毒,是指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者毀壞數(shù)據(jù),影響計算機(jī)使用,并能自我復(fù)制的一組計算機(jī)指令或者程序代碼”

7.3反病毒技術(shù)其產(chǎn)生的原因有:(1)、一些計算機(jī)愛好者出于好奇或興趣;(2)、產(chǎn)生于個別人的報復(fù)心理。(3)、來源于軟件加密。(4)、產(chǎn)生于游戲。(5)、用于研究或?qū)嶒?yàn)而設(shè)計的“有用”程序,由于某種原因失去控制而擴(kuò)散出來。

(6)、由于政治、經(jīng)濟(jì)和軍事等特殊目的,一些組織或個人也會編制一些程序用于進(jìn)攻對方電腦。

7.3反病毒技術(shù)其特征可以歸納為傳染性,非授權(quán)性,隱蔽性,潛伏性,破壞性,不可預(yù)見性和可觸發(fā)性。計算機(jī)病毒的傳染性是指病毒具有把自身復(fù)制到其它程序的能力,是病毒的基本特征。非授權(quán)性強(qiáng)調(diào)病毒程序的執(zhí)行對用戶是未知的,即病毒的執(zhí)行具有某種主動性。隱蔽性是指病毒生存的必要條件。病毒的非授權(quán)性,隱蔽性,潛伏性使得病毒的行為是不可預(yù)見的,病毒的觸發(fā)條件越多,則傳染性越強(qiáng),但同時其隱蔽性和潛伏性降低。病毒的分類 按傳染方式分:引導(dǎo)型病毒文件型病毒混合型病毒按連接方式分:源碼型病毒入侵型病毒操作系統(tǒng)型病毒外殼型病毒按破壞性分:良性病毒惡性病毒計算機(jī)病毒的狀態(tài)靜態(tài)病毒,指存在于輔助存儲介質(zhì)(如軟盤、硬盤、磁帶、CD-ROM)上的計算機(jī)病毒。靜態(tài)病毒不能產(chǎn)生傳染和破壞作用。

動態(tài)病毒,指進(jìn)入了計算機(jī)內(nèi)存的計算機(jī)病毒,它必定是隨病毒宿主的運(yùn)行而運(yùn)行,如使用寄生了病毒的軟、硬盤啟動機(jī)器,或執(zhí)行染有病毒的程序文件時進(jìn)入內(nèi)存的。

計算機(jī)病毒的組成病毒程序是一種特殊程序,其最大特點(diǎn)是具有感染能力。病毒的感染動作受到觸發(fā)機(jī)制的控制,病毒觸發(fā)機(jī)制還控制了病毒的破壞動作。病毒程序一般由感染模塊、觸發(fā)模塊、破壞模塊、主控模塊組成,相應(yīng)為感染機(jī)制、觸發(fā)機(jī)制和破壞機(jī)制三種。有的病毒不具備所有的模塊,如巴基斯坦智囊病毒沒有破壞模塊。

常見計算機(jī)病毒種類DOS病毒,PE病毒,宏病毒,腳本病毒,蠕蟲--蠕蟲王/沖擊波/MyDoom//Netsky/震蕩波反病毒技術(shù)第一代靜態(tài)特征代碼掃描第二代靜態(tài)廣譜特征掃描第三代靜態(tài)掃描和動態(tài)仿真相結(jié)合第四代多種技術(shù)相結(jié)合反病毒技術(shù)特征值檢測技術(shù);校驗(yàn)和檢測技術(shù);行為監(jiān)測技術(shù);啟發(fā)式掃描技術(shù);虛擬機(jī)技術(shù)。

病毒預(yù)防(1)檢查外來文件

(2)局域網(wǎng)預(yù)防

(3)購買正版軟件

(4)小心運(yùn)行可執(zhí)行文件

(5)使用確認(rèn)和數(shù)據(jù)完整性工具

(6)周期性備份工作文件

病毒預(yù)防(7)留心計算機(jī)出現(xiàn)的異常,如操作突然中止、系統(tǒng)無法啟動、文件消失、文件屬性自動變更、程序大小和時間出現(xiàn)異常、非使用者意圖的電腦自行操作、電腦有不明音樂傳出或死機(jī)、硬盤的指示燈持續(xù)閃爍、系統(tǒng)的運(yùn)行速度明顯變慢、上網(wǎng)速度緩慢。

(8)及時升級抗病毒工具的病毒特征庫和有關(guān)的殺毒引擎。

(9)建立健全的網(wǎng)絡(luò)系統(tǒng)安全管理制度

“預(yù)防為主,消滅結(jié)合”

7.4內(nèi)外網(wǎng)隔離技術(shù)(物理隔離)什么是物理隔離物理隔離技術(shù)雙機(jī)物理隔離雙硬盤物理隔離單硬盤物理隔離系統(tǒng)網(wǎng)絡(luò)級物理隔離隔離網(wǎng)閘7.4內(nèi)外網(wǎng)隔離技術(shù)2000年1月,國家保密局發(fā)文:涉密網(wǎng)絡(luò)不能直接或間接與互聯(lián)網(wǎng)或公眾網(wǎng)互聯(lián)。物理隔離:指內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間物理上沒有相互連接的通道。邏輯隔離:指內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間物理上有相互連接的設(shè)備,但只是邏輯上的通道。7.4內(nèi)外網(wǎng)隔離技術(shù)第一代隔離技術(shù)——完全的隔離。此方法使得網(wǎng)絡(luò)處于信息孤島狀態(tài),做到了完全的物理隔離,需要至少兩套網(wǎng)絡(luò)和系統(tǒng)。第二代隔離技術(shù)——硬件卡隔離。在客戶端增加一塊硬件卡,客戶端硬盤或其他存儲設(shè)備首先連接到該卡,然后再轉(zhuǎn)接到主板上,通過該卡能控制客戶端硬盤或其他存儲設(shè)備。而在選擇不同的硬盤時,同時選擇了該卡上不同的網(wǎng)絡(luò)接口,連接到不同的網(wǎng)絡(luò)。共享鍵盤/cpu/顯示器P2047.4內(nèi)外網(wǎng)隔離技術(shù)第三代隔離技術(shù)—數(shù)據(jù)轉(zhuǎn)播隔離。利用轉(zhuǎn)播系統(tǒng)分時復(fù)制文件的途徑來實(shí)現(xiàn)隔離,切換時間非常之久,甚至需要手工完成,不僅明顯地減緩了訪問速度,更不支持常見的網(wǎng)絡(luò)應(yīng)用,失去了網(wǎng)絡(luò)存在的意義.第四代隔離技術(shù)—空氣開關(guān)隔離。它是通過使用單刀雙擲開關(guān),使得內(nèi)外部網(wǎng)絡(luò)分時訪問臨時緩存器來完成數(shù)據(jù)交換的,但在安全和性能上存在有許多問題。-隔離集線器第五代隔離技術(shù)—安全通道隔離。此技術(shù)通過專用通信硬件和專有安全協(xié)議等安全機(jī)制,來實(shí)現(xiàn)內(nèi)外部網(wǎng)絡(luò)的隔離和數(shù)據(jù)交換,透明支持多種網(wǎng)絡(luò)應(yīng)用。網(wǎng)閘/渡船

7.5企業(yè)的虛擬專用網(wǎng)(VPN技術(shù))VPN的定義和分類VPN的作用和特點(diǎn)VPN技術(shù)什么是VPN?VPN(VirtualPrivateNetwork)是通過internet公共網(wǎng)絡(luò)在局域網(wǎng)絡(luò)之間或單點(diǎn)之間安全地傳遞數(shù)據(jù)的技術(shù)ISPModemsVPNGatewayVPNGateway總部網(wǎng)絡(luò)遠(yuǎn)程局域網(wǎng)絡(luò)總部分支機(jī)構(gòu)單個用戶Internet

VPN可以省去專線租用費(fèi)用或者長距離電話費(fèi)用,大大降低成本

VPN可以充分利用internet公網(wǎng)資源,快速地建立起公司的廣域連接VPN的作用數(shù)據(jù)加密信息認(rèn)證和身份認(rèn)證訪問權(quán)限控制VPN技術(shù)隧道協(xié)議(TunnelProtocols)PPTP(PointtoPointTunnelingProtocol)L2TP(Layer2TunnelingProtocol)Ipsec(SecureIP)隧道服務(wù)器(TunnelServers)認(rèn)證(Authentication)加密(Encryption)PPTP(PointtoPointTunnelingProtocol)由3Com公司和Microsoft公司合作開發(fā)的PPTP是第一個廣泛使用建立VPN的協(xié)議。

Windows95/98/NT4.0/2000,Linux、Solaris

PPTP可以將其他類型協(xié)議的數(shù)據(jù)包提取出來,然后封裝在一個PPTP包中,這樣就可以支持從客戶機(jī)到VPN網(wǎng)絡(luò)(LAN)服務(wù)器(例如移動用戶到公司總部LAN)和LAN-to-LAN(例如分支機(jī)構(gòu)、合作伙伴到總部VPN網(wǎng)絡(luò)服務(wù)器)兩種隧道。

PPTP是PPP協(xié)議的擴(kuò)展當(dāng)與遠(yuǎn)程計算機(jī)連接時,PPP需要與遠(yuǎn)程計算機(jī)一起按以下步驟協(xié)商完成工作:

(1)在遠(yuǎn)程計算機(jī)和服務(wù)器之間建立幀傳輸規(guī)則,通過該規(guī)則的建立,才允許進(jìn)行連續(xù)的通信(通常稱為“幀傳輸”)。

(2)遠(yuǎn)程訪問服務(wù)器通過使用PPP協(xié)議中的身份驗(yàn)證協(xié)議(如:MS-CHAP、EAP、CHAP、SPAP、PAP等),來驗(yàn)證遠(yuǎn)程用戶的身份。

(3)身份驗(yàn)證完畢后,如果用戶啟用了回?fù)?,則遠(yuǎn)程訪問服務(wù)器將掛斷并呼叫遠(yuǎn)程訪問客戶機(jī),實(shí)現(xiàn)服務(wù)器回?fù)堋?/p>

(4)“網(wǎng)絡(luò)控制協(xié)議”(NCP)啟用并配置遠(yuǎn)程客戶機(jī),使得所用的LAN協(xié)議與服務(wù)器端進(jìn)行PPP通信連接。

PPTP第2層隧道協(xié)議(L2TP)

L2TP也是PPP協(xié)議的擴(kuò)展,它綜合了PPTP和L2F兩個隧道協(xié)議的優(yōu)點(diǎn)。它是由Cisco、Microsoft、Ascend、3Com和其他網(wǎng)絡(luò)設(shè)備供應(yīng)商開發(fā)-RFC2661。

L2TP主要由LAC(L2TPAccessConcentrator,第2層隧道協(xié)議接入集線器)和LNS(L2TPNetworkServer,第2層隧道協(xié)議網(wǎng)絡(luò)服務(wù)器)構(gòu)成

L2TPPPTP與L2TP比較

1.PPTP要求互聯(lián)網(wǎng)絡(luò)為IP網(wǎng)絡(luò)。L2TP只要求隧道媒介提供面向數(shù)據(jù)包的點(diǎn)對點(diǎn)的連接。L2TP可以在IP(使用UDP),幀中繼永久虛擬電路(PVCs),X.25虛擬電路(VC)或ATMVC網(wǎng)絡(luò)上使用。2.PPTP只能在兩端點(diǎn)間建立單一隧道。L2TP支持在兩端點(diǎn)間使用多隧道。3.L2TP可以提供包頭壓縮。當(dāng)壓縮包頭時,系統(tǒng)開銷(overhead)占用4個字節(jié),而PPTP協(xié)議下要占用6個字節(jié)。4.L2TP可以提供隧道驗(yàn)證,而PPTP則不支持隧道驗(yàn)證。但是當(dāng)L2TP或PPTP與IPSEC共同使用時,可以由IPSEC提供隧道驗(yàn)證,不需要在第2層協(xié)議上驗(yàn)證隧道VPN技術(shù)-傳輸模式傳輸模式主要是為上層協(xié)議提供保護(hù),同時增加了IP包載荷的保護(hù)。例如,TCP段或UDP段、ICMP包均是在主機(jī)協(xié)議棧的IP層進(jìn)行操作。典型地,傳輸模式用于在兩臺主機(jī)(如服務(wù)器與工作站之間、兩個工作站之間)進(jìn)行的端到端通信。當(dāng)一個

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論