ch3载体安全分析.ppt

技术应用 VPN技术对比 协议 工作层 优点 缺点 L2TP 数据链路层 支持其他网络协议 安全性差，连接数有限 MPLS 数据链路层与网络层之间 保证服务器质量 核心网络设备上使用 IPSec 网络层 安全性高，对上层透明 支持IP协议；受防火墙影响 SSL 应用层 简单便捷、不受NAT影响 ? 谢谢！ * 起火地点是位于地下2楼的UPS不间断电源和电池存放室，电池设备里的化学成分导致现场大量烟雾和闷烧情况。 * 谷歌机房1 * 谷歌机房2 * 谷歌机房3。谷歌共拥有近90万台服务器，约占全球3%的服务器数量，但只使用全球数据中心1%的电力。 * 回到1998年初，Google位于斯坦福的有哪些信誉好的足球投注网站引擎和网站是运行在如下设备的。Google平台原貌 – Backrub。 * Google最早的数据中心可能可以追溯到1999年代在加州Santa?Clara的Exodus数据中心。那里同时也是eBay等其他大公司数据中心的所在地。随着服务需求量的大幅度提升，数据中心租用的价格也在提升，Google开始启动名为Willpower的自己从头建设数据中心的计划。Google自己建设的第一个数据中心位于俄勒冈州的Dalles市，紧靠哥伦比亚河，一共花费?6 亿美元。 * 说明有线和无线面临的风险 * * 模板来自于 * 基于第二层的VPN 用于该层的协议主要有： L2TP：Lay 2 Tunneling Protocol PPTP：Point-to-Point Tunneling Protocol L2F：Lay 2 Forwarding 安全协议 IPSec?VPN 采用IPSec协议来实现远程接入的一种VPN技术 用以提供公用和专用网络的端对端加密和验证服务 IPSec IP层 提供 机密性，完整性，数据源认证，反重演攻击 协议 AH ESP ISAKMP/Oakley 隧道技术 IPSec?VPN的原理 收发双方事先设置安全策略信息并协商安全联合信息SA 发送方根据SA提供的安全参数信息封装数据包， 形成隧道数据包后通过公共信道传送到接收方 接收方收到数据包后，根据安全策略以及安全联合信息对收到的隧道数据包进行解封装， 进一步根据安全联合信息提供安全服务，并将明文转发到目的地。 认证协议头（AH） 在所有数据包头加入一个“数字签名”来对用户进行认证。 签名签在数据包上 维持数据的完整性 AH因为在传输过程中无论多小的变化被加载， 数据包头的数字签名都能把它检测出来。 只能认证： 不过由于AH不能加密数据包所加载的内容，因而它不保证任何的机密性 安全加载封装ESP 对数据包的全部数据和加载内容进行全加密来严格保证传输 信息的机密性， 避免其他用户通过监听来打开信息交换的内容 ESP也能提供认证和维持数据的完整性。 由于ESP实际上加密所有的数据，因而它比AH需要更多的处理时间，从而导致性能下降 应用模式 传送模式 传送模式使用原始明文IP头，并且只加密数据，包括它的TCP和 UDP 头 隧道模式 隧道模式处理整个IP数据包，包括全部TCP/IP或UDP/IP头和数据，它用自己的地址做为源地址加入到新的IP头 典型安全传输协议 IPSec（IP Security）是一组安全协议的总称，即IP安全协议 VPN功能 基本功能 数据机密性保护 数据完整性保护 数据源身份认证 重放攻击保护 数据机密性 拨号服务器 PSTN Internet 区域 Internet 边界路由器 内部工作子网 管理子网 一般子网 内部WWW 重点子网 下属机构 DDN/FR X.25专线 SSN区域 WWW Mail DNS 密文传输 明文传输 明文传输 数据完整性 内部工作子网 管理子网 一般子网 内部WWW 重点子网 下属机构 DDN/FR X.25专线 原始数据包 对原始数据包进行Hash 加密后的数据包 摘要 Hash 摘要 对原始数据包进行加密 加密后的数据包 加密 加密后的数据包 摘要 加密后的数据包 摘要 摘要 解密 原始数据包 Hash 原始数据包 与原摘要进行比较，验证数据的完整性 数据源身份认证 内部工作子网 管理子网 一般子网 内部WWW 重点子网 下属机构 DDN/FR X.25专线 原始数据包 对原始数据包进行Hash Hash 摘要 加密 摘要 摘要 取出DSS 原始数据包 Hash 原始数据包 两摘要相比较 私钥 原始数据包 DSS DSS 将数字签名附