>>>>>>点击了解更多网络管理员网络课堂

       >>>>>>点击了解更多网络管理员考试教材

       >>>>>>希赛2017上半年软考公开课，解读考试趋势，报名不再迷茫

      下面是希赛小编为大家整理的软考网络管理员知识点提炼之VPN技术，希望能帮助学友们。

    VPN技术

       1、企业对VPN技术的需求

       企业总部和各分支机构之间采用internet网络进行连接，由于internet是公用网络，因此，必须保证其安全性。我们将利用公共网络实现的私用网络称为虚拟私用网(VPN)。

       因为VPN利用了公共网络，所以其最大的弱点在于缺乏足够的安全性。企业网络接入到internet，暴露出两个主要危险：

       来自internet的未经授权的对企业内部网的存取。

       当企业通过INTERNET进行通讯时，信息可能受到窃听和非法修改。

       完整的集成化的企业范围的VPN安全解决方案，提供在INTERNET上安全的双向通讯，以及透明的加密方案以保证数据的完整性和保密性。

       企业网络的全面安全要求保证：

       保密-通讯过程不被窃听。

       通讯主体真实性确认-网络上的计算机不被假冒。

       2、数字签名

       数字签名作为验证发送者身份和消息完整性的根据。公共密钥系统(如RSA)基于私有/公共密钥对，作为验证发送者身份和消息完整性的根据。CA使用私有密钥计算其数字签名，利用CA提供的公共密钥，任何人均可验证签名的真实性。伪造数字签名从计算能力上是不可行的。

       并且，如果消息随数字签名一同发送，对消息的任何修改在验证数字签名时都将会被发现。

       通讯双方通过Diffie-Hellman密钥系统安全地获取共享的保密密钥，并使用该密钥对消息加密。Diffie-Hellman密钥由CA进行验证。

       类型技术用途

       基本会话密钥DES加密通讯

       加密密钥Deff-Hellman生成会话密钥

       认证密钥RSA验证加密密钥

       基于此种加密模式，需要管理的密钥数目与通讯者的数量为线性关系。而其它的加密模式需要管理的密钥数目与通讯者数目的平方成正比。

       3、IPSEC

       IPSec作为在IP v4及IP v6上的加密通讯框架，已为大多数厂商所支持，预计在1998年将确定为IETF标准，是VPN实现的Internet标准。

       IPSec主要提供IP网络层上的加密通讯能力。该标准为每个IP包增加了新的包头格式，Authentication Header(AH)及encapsualting security payload(ESP)。IPsec使用ISAKMP/Oakley及SKIP进行密钥交换、管理及加密通讯协商(Security Association)。

       Ipsec包含两个部分：

       (1)IP security Protocol proper，定义Ipsec报文格式。

       (2)ISAKMP/Oakley，负责加密通讯协商。

       Ipsec提供了两种加密通讯手段：

       Ipsec Tunnel：整个IP封装在Ipsec报文。提供Ipsec-gateway之间的通讯。

       Ipsec transport：对IP包内的数据进行加密，使用原来的源地址和目的地址。

       Ipsec Tunnel不要求修改已配备好的设备和应用，网络黑客户不能看到实际的的通讯源地址和目的地址，并且能够提供专用网络通过Internet加密传输的通道，因此，绝大多数均使用该模式。

       ISAKMP/Oakley使用X.509数字证书，因此，使VPN能够容易地扩大到企业级。(易于管理)。

       在为远程拨号服务的Client端，也能够实现Ipsec的客户端，为拨号用户提供加密网络通讯。

       由于Ipsec即将成为Internet标准，因此不同厂家提供的防火墙(VPN)产品可以实现互通。

       返回目录：软考网络管理员知识点提炼之第15章网络安全技术

       希赛网，拥有十四年软考培训经验，希赛网一直坚持自主研发，将丰富的软考培训经验有效融入教程研发过程，自成体系的软考在线题库（软考历年真题）、软考培训教材和软考视频教程，多样的培训方式包括面授、和，使考生的学习更具系统性，辅导更具针对性。采用全程督学机制，，软考平均通过率在全国。