2021信息安全工程师学习笔记(九)

最新推荐文章于 2024-07-07 15:31:34 发布
最新推荐文章于 2024-07-07 15:31:34 发布
阅读量2k 收藏 40
点赞数 2
分类专栏: 信息安全工程师认证 文章标签: http tcp/ip 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Aouyangw/article/details/119960629
版权

VPN技术原理与应用

1、VPN概述

VPN概念:VPN即虚拟专用网。

  • 原理:把需要经过公共网传递的报文加密处理后,再由公共网络发送到目的地。
  • 作用:能够在 不可信任的公共网络上构建一条专用的安全通道,经过VPN传输的数据在公共网上具有保密性。

虚拟:指网络连接特性是逻辑的而不是物理的。VPN在公共的物理网络上通过逻辑方式构造安全网络。

VPN安全功能:保密性服务、完整性服务、认证服务。

VPN发展:未来VPN产品的技术动向具有以下特点:

  • VPN客户端尽量简化,将出现“零客户端”安装模式;
  • VPN网关一体化,综合集成多种接入模式,融合多种安全机制和安全功能;
  • VPN产品可能演变成可信网络产品;
  • VPN提供标准安全管理数据接口,能够纳入SOC中心进行管理控制。

VPN技术风险:VPN产品代码实现的安全缺陷;VPN密码算法安全缺陷;VPN管理不当引发的安全缺陷。

2、VPN类型和实现技术

VPN类型:VPN有多种实现技术,可分为:链路层VPN、网络层VPN、传输层VPN。

  • 链路层VPN的实现方式有:ATM、Frame Relay、多协议标签交换MPLS;
  • 网络层VPN的实现方式:受控路由过滤、隧道技术;
  • 传输层VPN则通过SSL来实现。

密码算法:VPN的核心技术是密码算法,VPN利用密码算法,对需要传递的信息进行加密交换。

密码分发的两种方法

  • 一种通过手工配置 的方式,可靠但是密钥更新速度慢,只适合简单网络;
  • 另一种采用密钥交换协议动态分发,是通过软件自动协商动态生产密钥,更新速度快。

VPN连接一般都包括两种形式的认证

  • 用户身份认证
  • 数据完整性和合法性认证

IPSEC协议

  • 认证头(AH):用于数据完整性认证和数据源认证;
  • 封装安全负荷(ESP):提供数据保密性,ESP也包括了防止重放攻击的顺序号;
  • Internet密钥交换协议(IKE):用于生成盒分发在ESP和AH中使用的密钥,IKE也对远程系统进行初始认证。

IPsec VPN两种模式

  • 传输模式(透明模式):不改变原有的IP包头,通常用于主机和主机之间,只保护数据域。
    在这里插入图片描述

  • 隧道模式:增加新的IP头,通常用于私网与私网之间通过公网进行通信。
    在这里插入图片描述
    SSL协议:是一种应用于传输层的安全协议,用于构建客户端和服务端之间的安全通道,SSL有两层协议,包括:
    在这里插入图片描述

  • SSL协议是介于应用层和TCP层之间的安全通信协议;

  • 主要目的:两个应用层之间相互通信时,使被传送的信息具有保密性及可靠性;

  • 工作原理:将应用层的信息加密或签证处理后经TCP/IP网络送至对方,收方经验证无误后解密还原信息。

SSL协议提供三种安全通信服务

  • 保密性通信:使用对称密码算法。握手协议产生秘密密钥后才开始 加、解密数据;
  • 点对点之间的身份验证。采用非对称密码算法;
  • 可靠性通信。信息传送时包含信息完整性检查,使用有密钥保护的消息认证码MAC,采用杂凑函数计算得来。

SSL记录协议的数据处理过程

  • SSL将数据分割成可管理的区块长度;
  • 选择是否要将已分割的数据压缩;
  • 加上消息认证码MAC;
  • 将数据加密,生成即将发送的消息;
  • 接收端收到的消息解密、验证、解压缩,在重组后传送至高层,即完成接收。

PPTP:是一个点到点的安全隧道协议。目标是给电话上网的用户提供VPN安全服务。PPTP提供了在IP网上构建安全通道机制,远程用户通过PPTP可以在客户机和PPTP服务器之间形成一条安全隧道。

L2TP:用户保护设置L2TP-enabled的客户端和服务器的通信。客户端要求安装L2TP软件,采用专用的隧道协议,该协议运行在UDP的1701端口。

PPTP和L2TP的不同

  • PPTP要求互联网网络为IP网络。L2TP只要求隧道媒介提供面向数据包的点对点连接;
  • PPTP只能在两端点间建立单一隧道。L2TP支持在两端点间使用多隧道;
  • L2TP可以提供包头压缩。当压缩包头时,系统开销占用4个字节,而PPTP协议下要占用6个字节;
  • L2TP可以提供隧道验证,而PPTP则不支持隧道验证。

3、VPN主要产品与技术指标

VPN技术的主要产品特征

  • IPSec VPN:支持隧道模式和传输模式。隧道模式适用于主机和网关实现。传输模式仅适用于主机实现;
  • SSL VPN:工作模式分为客户端-服务端模式、网关-网关模式两种。

IPSec VPN主要性能指标

  • 加解密吞吐率
  • 加解密时延
  • 加解密丢包率
  • 每秒新建连接数

SSL VPN主要性能指标

  • 最大并发用户数
  • 最大并发连接数
  • 每秒新建连接数
  • 吞吐率

4、VPN技术应用

远程安全访问
在这里插入图片描述
构建内部安全专网:通过公用网络,把分散在不同地理区域的企业办公点的局域网安全互连起来,实现企业内部信息的安全共享和企业办公自动化。

外部网络安全互联:利用VPN技术,把合作伙伴的网络或主机安全接到企业内部网。

OOOOOK.2021
关注
专栏目录
2024年软考信息安全工程师备考学习笔记汇总
月梦工作室
01-25 4257
信息安全工程师分属“信息系统”专业,位处中级资格,2016年下半年,第一次开考信息安全工程师(中级)考试。目前每年考试一次。已开考六次,2016年11月12日,2017年5月20日,2018年5月26日,2019年5月25日,2020年11月7日,2021年11月6日,2022年11月5日,2023年11月6日为第八次考试。
信息安全工程师学习笔记.rar
03-06
资源为软考中级信息安全工程师学习笔记,非常详细,可用来复习看书,绝对实用!
2021信息安全工程师学习笔记(六)
OOOOOK的博客
08-25 1044
认证技术原理与应用 1、认证概述 认证概念 认证是一个实体向另一个实体证明其所声称的身份过程 需要被证实的实体是声称者 负责检查确认声称者的实体是验证者 认证的组成:一般由标识和鉴别两部分组成 标识代表实体对象的身份标志。一般用名称和标识符来表示,通过唯一标识符,可以代表实体。 鉴别的凭据主要有所知道的秘密信息,所拥有的凭证、所具有的个体特征以及所表现的行为。 认证依据:用于确认实体(声称者)身份的真实性或者其拥有的属性的凭证,常见的认证依据主要有四类: 所知道的秘密信息 所拥有的实物凭证 所具有
2021信息安全工程师学习笔记(十四)
OOOOOK的博客
09-05 1703
恶意代码防范技术原理 1、恶意代码概述 恶意代码定义与分类:英文:Malicious Code,一种违背目标系统安全策略的程序代码;会照成系统信息泄露、资源滥用、破坏系统的完整性及可用性;能通过存储介质或网络进行传播,未经授权认证访问或破坏计算机系统。 恶意代码的种类: 计算机病毒:Computer Vireus 蠕虫:Worms 特洛伊木马:Trojan Horse 逻辑炸弹:Logic Bombs 细菌:Bacteria 恶意脚本:Malicious Scripts 恶意ActiveX软件 间谍软件
信息安全:VPN 技术原理与应用.
网络安全领域___专研者.
08-17 5599
VPN 是网络通信安全保护的常用技术。VPN 中文翻译为“虚拟专用网”,其基本技术原理是把需要经过公共网传递的报文 (packet) 加密处理后,再由公共网络发送到目的地。利用VPN 技术能够在不可信任的公共网络上构建 条专用的安全通道,经过 VPN 传输的数据在公共网上具有保密性。所谓“虚拟”指网络连接特性是逻辑的而不是物理的。 VPN 是通过密码算法、标识鉴别、 安全协议等相关的技术,在公共的物理网络上通过逻辑方式构造出来的安全网络。
【第9章】VPZ 技术原理与应用。信息安全工程师-- 软考笔记
weixin_65034883的博客
10-06 1699
VPN 是英文 Virtual Private Network 的缩写,中文翻译为“虚拟专用网”,其基本技术原理是把需要经过公共网传递的报文(packet) 加密处理后,再由公共网络发送到目的地。利用VPN 技术能够在不可信任的公共网络上构建一条专用的安全通道,经过 VPN 传输的数据在公共网上具有保密性,所谓“虚拟”指网络连接特性是逻辑的而不是物理的。VPN 是通过密码算法、标识鉴别、安全协议等相关的技术,在公共的物理网络上通过逻辑方式构造出来的安全网络 。
软考信息安全工程师学习笔记.rar
02-16
软考信息安全工程师教程学习笔记,是从希赛网上面下载整理的,压缩包里面一共有8个文档,有需要的可以下载!
信息安全工程师备考学习笔记.zip
08-28
信息安全工程师备考学习笔记,全书整理,信息安全工程师备考学习笔记,全书整理信息安全工程师备考学习笔记,全书整理,信息安全工程师备考学习笔记,全书整理信息安全工程师备考学习笔记,全书整理,信息安全工程师...
全国软考中级信息安全工程师学习笔记.rar
03-21
全国软考中级信息安全工程师学习笔记(2020年下半年学习笔记
一文带你了解VPN
H931053的博客
07-26 8703
(VPN-Virtual Private Network)指的是在[]上建立[]的技术。之所以称为[]主要是因为整个[]的任意两个[]的物理链路,而是架构在公用网络服务商所提供的网络平台(如Internet,ATM,Frame Relay等)之上的[],用户数据在逻辑链路中传输。例如某公司员工出差到外地,他想访问企业[]的服务器资源,这种访问就属于。在VPN中,专用路由器设置会让它们彼此连接的站点上,并且它们通过连。
RIP环境下的MGRE实验
最新发布
qq_74397635的博客
07-07 577
RIP环境下的MGRE实验
IPSec的三个协议和两种模式详解
热门推荐
weixin_45317091的博客
02-23 2万+
IKE协议是一种基于UDP的应用层协议,它主要用于SA协商和密钥管理。IKE协议属于一种混合型协议,它综合了ISAKMP(Internet Security Association and Key Management Protocol)、Oakley协议和SKEME协议这三个协议。其中,ISAKMP定义了IKE SA的建立过程,Oakley和SKEME协议的核心是DH(Diffie-Hellman)算法,主要用于在Internet上安全地分发密钥、验证身份,以保证数据传输的安全性。
信息安全工程师笔记-案例分析(一)
IT1995的博客
11-23 1102
信息系统访问控制包含的三要素: 主体:用户、终、主体可以访问客体; 客体:指一个保护或接受信息的被动实体,对客体的访问要受控; 授权访问:主体访问课堂的允许。 BLP模型采用线性排列安全许可的分类形式来保证信息的保密性。 BLP模型中当低安全级的信息向搞安全级流动,可能破坏高安全客体中的数据完整性,被病毒和黑客利用。只要信息由低向高流动即合法(高读低,下读上写)。 -rwx------ 1 root root 5025 May 25 2019 /home/abc/net.txt 第.
性能指标
jincm的专栏
10-12 8922
定义:吞吐量是指在没有帧丢失的情况下,设备能够接受并转发的最大数据速率。   相关知识:   1、吞吐量的大小主要由网络设备的内外网口硬件,及程序算法的效率决定,尤其是程序算法,对于象防火墙系统这样需要进行大量运算的设备来说,算法的低效率会使通信量大打折扣。因此,大多数防火墙虽号称100M防火墙,由于其算法依靠软件实现,通信量远远没有达到100M,实际只有10M-20M。纯硬件
L2TP介绍
zhaqiwen的专栏
08-19 1万+
L2TP概述 L2TP(Layer 2 Tunneling Protocol,二层隧道协议)是VPDN(Virtual Private Dial-up Network,虚拟私有拨号网)隧道协议的一种。 VPDN是指利用公共网络(如ISDN或PSTN)的拨号功能接入公共网络,实现虚拟专用网,从而为企业、小型ISP、移动办公人员等提供接入服务。即,VPDN为远用户与私有企业网之间提供了一种经济而
系统分析师上午题-第 6 章 信息安全
读书就是赚钱
03-25 527
先录入一波之前考软件设计师的笔记,能用的别浪费 1、数字证书 数字证书是由权威机构-CA证书授权中心发行的,能提供有Intenet上进行身份验证的一种权威电子文档,人们可以从因特网交往中用它来证明自己的身份和识别对方的身。 CA证书包括两个方面: 签名:验证CA的签名和确认数字证书的有效性来验证网站的真伪 公钥:用于解析网站数字签名,加密发送的数据 2、密钥的分类 非对称加密算法:RSA 对称加...
虚私网的分类(基于osi七层模型)
全栈空间
01-05 6837
1 引言 随着网络技术和网络应用的迅猛发展,用户对专用网络的需求越来越大,远程办公室、公司各分支机构、公司与合作伙伴、供应商、公司与客户之间都可能要建立连接通道以进行信息传送。为了在在Internet上为企业开通一条专用通道,以代替原来昂贵的专线租赁或帧中继方式,将远程的分支办公室、商业伙伴、移动办公人员等连接起来。并且提供安全的的数据通信,虚拟私有网络(虚私网,VirtualPrivate Network)就是这样的背景下诞生了。虚私网通过隧道(Tunneling)技术,将公众网可靠的性能、丰
数据源(Data Source
weixin_30458043的博客
02-02 1072
数据源(Data Source)顾名思义,数据的来源,是提供某种所需要数据的器件或原始媒体。在数据源中存储了所有建立数据库连接的信息。就像通过指定文件名称可以在文件系统中找到文件一样,通过提供正确的数据源名称,你可以找到相应的数据库连接。中文名数据源外文名Data Source目录1分类2属性3名称4数据包? DBCP? C3P0? ODBC1分类编辑 信息系统的数据源必需可靠且具备更新能力,常...
全面指南:网络工程师学习笔记
网络工程师学习笔记是一份全面介绍网络技术的专业文档,涵盖多个关键领域,旨在帮助学习者逐步掌握网络技术的基础理论和实践技能。该笔记详细分为13个章节,分别探讨了: 1. **交换技术**:介绍了网络中的数据交换...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

OOOOOK.2021

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值