设为主页 | 加入收藏 | 繁體中文
当前位置:首页 > 新闻中心 > 行业资讯 > 电脑入门 > 网络技术

安全路由器组网及IPSec技术介绍

  一个大的企业/公司需要把漫衍在全国的各个分公司或办事处经过广域网联系起来,做到互相之间共享信息资源,由于需要在公用的数据网上传输数据,众所周知在公用的数据网上传输数据信息并不是特另外宁静。为了提高所传输的数据的宁静性可以思量利用宁静路由器。宁静路由器可以隐蔽公司外部的网络拓扑结构图,同时还可以加密需要传输的数据,从而做到纵然传输的数据在公网上给其它用户阻拦到时,他们也不克不及经过IP包来获取公司外部的网络IP地址及了解到外部的网络拓扑结构图,颠末加密的数据,没有专门的解密东西一样平常的用户是不行能知道所传输的数据包的内容。
  由于宁静路由器具有数据加密的功效,局域网上的需要传输的数据在经过宁静路由器向外发送时,宁静路由器会根据一定的加密算法把数据加密,吸收到该数据的对端也要利用相同的算法才气把数据还原。
  宁静路由器的IPSec的隧道形式还具有隐蔽外部网络拓扑结构图的功效,宁静路由器对所有需要发送的IP包,进行重新封装,在原来的IP包上封装源和目的网关的IP地址;目的路由器对吸收到的IP包,先去失IPSec所增长的IP包头,然后再根据IP包的源和目的地址,把该IP包发送到局域网上的目的主机上。
  当局域网A上的用户要给局域网B上的用户发送数据时,首先A用户的IP报文经过出口宁静路由器时被重新打包,在原来的IP包上封装源和目的网关的IP地址,封装后的IP报文传送到目的地B端的宁静路由器时,可被自动辨认出来,同时IP报文重新被解包,终极传送到B端用户。
  IPSec技术介绍
  IPSec是一个开放式尺度的框架。基于IETF开发的尺度,IPSec可以在一个公共IP网络上确保数据通讯的可靠性和完整性。IPSec对付完成通用的宁静计谋所需要的基于尺度的灵活的解决方案提供了一个必备的要素。
  TCP/IP协议簇提供了一个开放式协议平台,正将越来越多的部门和人员用网络连接起来,网络正在疾速地转变着我们事情和生活的方法,但是宁静性的缺乏已经减慢了联网的生长速度。目前网络面临的各种要挟包括保密数据的泄漏、完整性的粉碎、身份假装和拒绝办事等。
  首先是保密数据的泄漏。一个罪犯可能会在公网上窃听保密性数据。这个可能是目前互相通信之间的最大障碍。没有加密,每个发送的信息可能被一个未被受权的组织所窃听。由于早期协议对宁静思量的匮乏,各种用户验证信息如用户名或口令均以密码在网络上传输。窃听者可以很容易失掉用户的帐户信息。
  其次是数据完整性的粉碎。纵然数据不是保密的,还要确保数据完整性。大概你不在乎他人看见你的生意业务历程,但你一定在意生意业务是否被篡改。要是一旦你能用向银行验证你的身份,你一定想确保生意业务本身的内容不会被以某种方法被修正,如存款数额不会被修正。
  再次是身份假装。除了保护数据本身以外,你一定还要保护本身的身份。一个聪明的入侵者可能会伪造你的有用身份,存取只限于你本人可存取的保密信息。目前许多宁静系统依赖于IP地址来唯一地辨认用户。不幸的是,这种系统很容易被欺骗并招致侵入。
  另一种要挟是拒绝办事。一旦联网之后,必需确保系统随时可以事情。在过去数年内,打击者已在TCP/IP协议簇及其具体完成中发明多少弱点,以使他们可造成某些盘算机系统瓦解。
  对付抵挡上述要挟保证网络宁静并没有一个简单的答案。加密和验证是抵挡上述要挟保证的要害办事。很显着,要是数据在传输历程中加密,那么sniffer就不克不及侦听和篡改。而网络层验证可以防备身份假装和拒绝办事。要是设备能精确辨认数据的来源,那么就很难模仿一个友好的设备去完成拒绝办事的打击。
  为完成IP网络上的宁静,IETF创建了一个Internet宁静协议事情组卖力IP宁静协议和密钥管理机制的制定。颠末几年的高兴,该事情组提出一系列的协议,组成一个宁静体系,总称为IP Security Protocol,简称为IPSec。
  IPSec重要包括两个宁静协议AH(Authentication Header)和ESP(Encapsulating Security Payload)及密钥管理协议IKE(Internet Key Exchange)。AH提供无连接的完整性、数据发起验证和重放保护。ESP 还可另外提供加密。密钥管理协议IKE 提供宁静可靠的算法和密钥协商。这些机制均独立于算法,这种模块化的计划容许只转变不同的算法而不影响完成的其它部门。协议的应用与具体加密算法的利用取决于用户和应用步伐的宁静性要求。
  IPSec可以为IP提供基于加密的互操纵性强高质量的通信宁静,所支持的宁静办事包括存取控制、无连接的完整性、数据发起方认证和加密。这些办事在IP上完成,提供IP层或IP层之上的保护。完成网络层的加密和验证可以在网络结构上提供一个端到端的宁静解决方案。这样终端系统和应用步伐不需要任何转变就可以利用强有力的宁静性保证用户的网络外部结构。由于加密报文雷同于通常IP报文,因而可以很容易经过恣意IP网络,而无须转变中心的网络设备。只有终端网络设备才需要了解加密,这可以大大减小完成与管理的开支。由于IPSec的完成位于网络层上,完成IPSec的设备仍可进行正常的IP通信,这样可以完成设备的长途监控和配置。
 


    文章作者: 福州军威计算机技术有限公司
    军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
    版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

TAG:
评论加载中...
内容:
评论者: 验证码:
  
上一篇: 电脑常见的问题处理和技巧
下一篇: 没有光驱软驱照样重装系统

友情链接