《计算机网络安全基础(第4版)》课件-第7章.ppt
- 文档编号:18878102
- 上传时间:2024-02-07
- 格式:PPT
- 页数:60
- 大小:942KB
《计算机网络安全基础(第4版)》课件-第7章.ppt
《《计算机网络安全基础(第4版)》课件-第7章.ppt》由会员分享,可在线阅读,更多相关《《计算机网络安全基础(第4版)》课件-第7章.ppt(60页珍藏版)》请在冰点文库上搜索。
第第7章章网络安全技术网络安全技术网络安全技术从理论上来说分为:
攻击技术和防御技术。
攻击技术包括:
网络监听、网络扫描、网络入侵、网络后门等;防御技术包括:
加密技术、防火墙技术、入侵检测技术、虚拟专用网技术和网络安全协议等。
对于攻击技术我们在第九章中加以介绍,本章主要介绍网络安全协议、网络加密技术、防火墙技术、入侵检测技术和虚拟专用网等网络安全防御技术。
计算机网络安全基础(第4版)17.1网络安全协议网络安全协议安全协议本质上是关于某种应用的一系列规定,包括功能、参数、格式和模式等,连通的各方只有共同遵守协议,才能相互操作。
大部分安全措施都采用特定的协议来实现,如在网络层加密和认证采用IPSec(IPSecurity)协议、在传输层加密和认证采用SSL协议等。
计算机网络安全基础(第4版)27.1网络安全协议网络安全协议计算机网络安全基础(第4版)37.1网络安全协议网络安全协议1.安全协议概述安全协议概述
(1)应用层安全协议主要有以下五个协议:
安全Shell(SSH)协议SET(SecureElectronicTransaction)协议S-HTTPPGP协议S/MIME协议计算机网络安全基础(第4版)47.1网络安全协议网络安全协议
(2)传输层安全协议安全套接层(SecureSocketLayer,SSL)协议工作在传输层,独立于上层应用,为应用提供一个安全的点点通信隧道。
SSL机制由协商过程和通信过程组成,协商过程用于确定加密机制、加密算法、交换会话密钥服务器认证以及可选的客户端认证,通信过程秘密传送上层数据。
私密通信技术(PrivateCommunicationTechnology,PCT)协议与SSL协议有很多相似之处。
现在PCT协议已经同SSL协议合并为TLS(传输层安全)协议,只是习惯上仍然把TLS协议称为SSL协议。
计算机网络安全基础(第4版)57.1网络安全协议网络安全协议(3)网络层安全协议为开发在网络层保护IP数据的方法,IETF成立了IP安全协议工作组(IPSec),定义了一系列在IP层对数据进行加密的协议,包括:
IP验证头(AuthenticationHeader,AH)协议;IP封装安全载荷(EncryptionServicePayload,ESP)协议;Internet密钥交换(InternetKeyExchange,IKE)协议。
计算机网络安全基础(第4版)67.1网络安全协议网络安全协议2.网络层安全协议网络层安全协议IPSecIPSec是一个工业标准网络安全协议,为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,可以有效抵御网络攻击。
IPSec有两个基本目标:
保护IP数据包安全;为抵御网络攻击提供防护措施。
IPSec结合密码保护服务、安全协议组和动态密钥管理,三者共同实现这两个目标,它不仅能为局域网与拨号用户、域、网站、远程站点以及Extrant之间的通信提供有效且灵活的保护,而且还能用来筛选特定数据流。
计算机网络安全基础(第4版)77.1网络安全协议网络安全协议IPSec提供3种不同的形式来保护通过公有或私有IP网络传送的私有数据。
(1)认证。
通过认证可以确定所接受的数据与所发送的数据是否一致,同时可以确定申请发送者在实际上是真实的,还是伪装的发送者。
(2)数据完整验证。
通过验证,保证数据在从原发地到目的地的传送过程中没有发生任何无法检测的丢失与改变。
(3)保密。
使相应的接收者能获取发送的真正内容,而无关的接收者无法获知数据的真正内容。
计算机网络安全基础(第4版)87.1网络安全协议网络安全协议IPSec通过使用两种通信安全协议:
认证头(AuthenticationHeader,AH)协议、封装安全载荷(EncryptionServicePayload,ESP)协议,并使用像Internet密钥交换(InternetKeyExchange,IKE)协议之类的协议来共同实现安全性。
计算机网络安全基础(第4版)97.1网络安全协议网络安全协议3.传输层安全协议传输层安全协议安全套接层(SecureSocketsLayer,SSL)协议是由Netscape公司开发的一套Internet数据安全协议,目前已广泛用于Web浏览器与服务器之间的身份认证和加密数据传输。
SSL协议位于TCP/IP与各种应用层协议之间,为数据通信提供安全支持。
计算机网络安全基础(第4版)107.1网络安全协议网络安全协议
(1)SSL协议体系结构SSL协议被设计成使用TCP来提供一种可靠的端到端的安全服务。
SSL协议分为两层,其中SSL握手协议、修改密文协议和告警协议位于上层,SSL记录协议为不同的更高层协议提供了基本的安全服务,可以看到HTTP可以在SSL协议上运行。
SSL协议中有两个重要概念,即SSL连接和SSL会话。
计算机网络安全基础(第4版)117.1网络安全协议网络安全协议SSL协议体系结构计算机网络安全基础(第4版)127.1网络安全协议网络安全协议
(2)SSL记录协议SSL记录协议为SSL连接提供:
机密性和报文完整性两种服务。
(3)SSL修改密文规约协议SSL修改密文规约协议由值为1的单个字节组成。
这个报文的惟一目的就是使得挂起状态被复制到当前状态,从而改变这个连接将要使用的密文簇。
计算机网络安全基础(第4版)137.1网络安全协议网络安全协议(4)SSL告警协议告警协议用来将SSL协议有关的警告传送给对方实体。
它由两个字节组成,第一个字节的值用来表明警告的严重级别,第二个字节表示特定告警的代码。
(5)SSL握手协议SSL协议中最复杂的部分是握手协议。
这个协议使得服务器和客户能相互鉴别对方的身份、协商加密和MAC算法以及用来保护在SSL记录中发送数据的加密密钥。
在传输任何应用数据前,都必须使用握手协议。
计算机网络安全基础(第4版)147.2网络加密技术网络加密技术计算机网络安全基础(第4版)151.链路加密链路加密链路加密是目前最常用的一种加密方法,通常用硬件在网络层以下的物理层和数据链路层中实现,它用于保护通信节点间传输的数据。
7.2网络加密技术网络加密技术
(1)异步通信加密异步通信时,发送字符中的各位都是按发送方数据加密设备(DEE)的时钟所确定的不同时间间隔来发送的。
接收方的数据终端设备(DTE)产生一个频率与发送方时钟脉冲相同,且具有一定相位关系的同步脉冲,并以此同步脉冲为时间基准接收发送过来的字符,从而实现收发双方的通信同步。
(2)字节同步通信加密字节同步通信不使用起始位和终止位实现同步,而是首先利用专用同步字符SYN建立最初的同步。
传输开始后,接收方从邮过来的信息序列中提取同步信息。
(3)位同步通信加密计算机网络安全基础(第4版)167.2网络加密技术网络加密技术计算机网络安全基础(第4版)172.节点加密节点加密节点加密是在协议运输层上进行加密,是对源点和目标节点之间传输的数据进行加密保护。
它与链路加密类似,只是加密算法要组合在依附于节点的加密模件中。
7.2网络加密技术网络加密技术3.端一端加密端一端加密网络层以上的加密,通常称为端一端加密。
端一端加密是面向网络高层主体进行的加密,即在协议表示层上对传输的数据进行加密,而不对下层协议信息加密。
端一端加密具有链路加密和节点加密所不具有的优点:
(1)成本低。
(2)端一端加密比链路加密更安全。
(3)端一端加密可以由用户提供,因此对用户来说这种加密方式比较灵活。
计算机网络安全基础(第4版)187.3防火墙技术防火墙技术1.因特网防火墙因特网防火墙
(1)防火墙的基本知识防火墙是在两个网络之间执行访问控制策略的一个或一组系统,包括硬件和软件,目的是保护网络不被他人侵扰。
本质上,它遵循的是一种允许或阻止业务来往的网络通信安全机制,也就是提供可控的过滤网络通信,只允许授权的通信。
通常,防火墙就是位于内部网或Web站点与因特网之间的一个路由器或一台计算机,又称为堡垒主机。
其目的如同一个安全门,为门内的部门提供安全,控制那些可被允许出入该受保护环境的人或物。
计算机网络安全基础(第4版)197.3防火墙技术防火墙技术防火墙是由管理员为保护自己的网络免遭外界非授权访问但又允许与因特网联接而发展起来的。
从网际角度,防火墙可以看成是安装在两个网络之间的一道栅栏,根据安全计划和安全策略中的定义来保护其后面的网络。
由软件和硬件组成的防火墙应该具有以下功能。
(1)所有进出网络的通信流都应该通过防火墙。
(2)所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权。
(3)理论上说,防火墙是穿不透的。
计算机网络安全基础(第4版)207.3防火墙技术防火墙技术内部网需要防范的三种攻击有:
间谍:
试图偷走敏感信息的黑客、入侵者和闯入者。
盗窃:
盗窃对象包括数据、Web表格、磁盘空间和CPU资源等。
破坏系统:
通过路由器或主机服务器蓄意破坏文件系统或阻止授权用户访问内部网(外部网)和服务器。
这里,防火墙的作用是保护Web站点和公司的内部网,使之免遭因特网上各种危险的侵犯。
计算机网络安全基础(第4版)217.3防火墙技术防火墙技术防火墙在因特网与内部网中的位置所有来自因特网的传输信息或从内部网络发出的信息都必须穿过防火墙。
防火墙能够确保如电子信件、文件传输、远程登录或在特定的系统间信息交换的安全。
计算机网络安全基础(第4版)227.3防火墙技术防火墙技术
(2)防火墙的基本功能防火墙能够强化安全策略防火墙能有效地记录因特网上的活动防火墙限制暴露用户点防火墙是一个安全策略的检查站(3)防火墙的不足之处不能防范恶意的知情者防火墙不能防范不通过它的连接防火墙不能防备全部的威胁防火墙不能防范病毒计算机网络安全基础(第4版)237.3防火墙技术防火墙技术2.包过滤路由器包过滤路由器
(1)基本概念包是网络上信息流动的单位。
在网上传输的文件一般在发出端被划分成一串数据包,经过网上的中间站点,最终传到目的地,然后这些包中的数据又重新组成原来的文件。
每个包有两个部分:
数据部分和包头。
包头中含有源地址和目标地址等信息。
包过滤器又称为包过滤路由器,它通过将包头信息和管理员设定的规则表比较,如果有一条规则不允许发送某个包,路由器将它丢弃。
计算机网络安全基础(第4版)247.3防火墙技术防火墙技术
(2)包过滤路由器的优缺点优点:
仅用一个放置在重要位置上的包过滤路由器就可保护整个网络。
如果站点与因特网间只有一台路由器,那么不管站点规模有多大,只要在这台路由器上设置合适的包过滤,站点就可获得很好的网络安全保护。
缺点及局限性:
在机器中配置包过滤规则比较困难;对系统中的包过滤规则的配置进行测试也较麻烦;许多产品的包过滤功都有这样或那样的局限性,要找一个比较完整的包过滤产品比较困难。
计算机网络安全基础(第4版)257.3防火墙技术防火墙技术(3)包过滤路由器的配置在配置包过滤路由器时,首先要确定哪些服务允许通过而哪些服务应被拒绝,并将这些规定翻译成有关的包过滤规则。
协议的双向性。
“往内”与“往外”的含义。
“默认允许”与“默认拒绝”。
计算机网络安全基础(第4版)267.3防火墙技术防火墙技术(4)包过滤设计假设网络策略安全规则确定:
从外部主机发来的因特网邮件在某一特定网关被接收,并且想拒绝从不信任的名为THEHOST的主机发来的数据流(一个可能的原因是该主机发送邮件系统不能处理的大量的报文,另一个可能的原因是怀疑这台主机会给网络安全带来极大的威胁)。
在这个例子中,SMTP使用的网络安全策略必须翻译成包过滤规则。
在此可以把网络安全规则翻译成下列中文规则。
过滤器规则1:
我们不相信从THEHOST来的连接。
过滤器规则2:
我们允许与我们的邮件网关的连接。
计算机网络安全基础(第4版)277.3防火墙技术防火墙技术序动作内部主机内外部主机外说明1阻塞*THEHOST*阻塞来自他THEHOST流量2允许Mail-GW252*允许的邮件网关的连接3允许*325允许输出至远程邮件网关计算机网络安全基础(第4版)28阻塞任何从(*)THEHOST端口来的到我们任意(*)主机的任意(*)端口的连接。
允许任意(*)外部主机从其任意(*)端口到我们的Mail-GW主机端口的连接。
7.3防火墙技术防火墙技术3.堡垒主机堡垒主机人们把处于防火墙关键部位、运行应用级网关软件的计算机系统称为堡垒主机。
堡垒主机在防火墙的建立过程中起着这关重要的作用。
(1)建立堡垒主机的原则设计和建立堡垒主机的基本原则有两条:
最简化原则和预防原则。
计算机网络安全基础(第4版)297.3防火墙技术防火墙技术
(2)堡垒主机的分类堡垒主机目前一般有3种类型:
无路由双宿主主机、牺牲主机和内部堡垒主机。
无路由双宿主主机有多个网络接口。
牺牲主机是一种没有任何需要保护信息的主机,同时它又不与任何入侵者想利用的主机相连。
内部堡垒主机是可与某些内部主机进行交互的堡垒主机。
计算机网络安全基础(第4版)307.3防火墙技术防火墙技术(3)堡垒主机的选择堡垒主机操作系统的选择堡垒主机速度的选择(4)堡垒主机提供的服务无风险服务。
低风险服务。
高风险服务。
禁用服务。
计算机网络安全基础(第4版)317.3防火墙技术防火墙技术4.代理服务代理服务代理服务是运行在防火墙主机上的一些特定的应用程序或者服务程序。
防火墙主机可以是有一个内部网络接口和一个外部网络接口的双重宿主主机,也可以是一些可以访问因特网并可被内部主机访问的堡垒主机。
这些程序接受用户对因特网服务的请求(诸如文件传输FTP和远程登录Telnet等),并按照安全策略转发它们到实际的服务。
所谓代理就是一个提供替代连接并且充当服务的网关。
代理也称之为应用级网关。
计算机网络安全基础(第4版)327.3防火墙技术防火墙技术计算机网络安全基础(第4版)33代理的实现过程代理的实现过程7.3防火墙技术防火墙技术5.防火墙体系结构防火墙体系结构
(1)双重宿主主机体系结构双重宿主主机体系结构是围绕具有双重宿主的主体计算机而构筑的。
该计算机至少有两个网络接口,这样的主机可以充当与这些接口相连的网络之间的路由器,并能够从一个网络到另一个网络发送IP数据包。
防火墙内部的网络系统能与双重宿主主机通信,同时防火墙外部的网络系统(在因特网上)也能与双重宿主主机通信。
通过双重宿主主机,防火墙内外的计算机便可进行通信了,但是这些系统不能直接互相通信,它们之间的IP通信被完全阻止。
计算机网络安全基础(第4版)347.3防火墙技术防火墙技术双重宿主主机的防火墙体系结构是相当简单的,双重宿主主机位于两者之间,并且被连接到因特网和内部的网络。
右图显示这种体系结构。
计算机网络安全基础(第4版)357.3防火墙技术防火墙技术
(2)主机过滤体系结构在主机过滤体系结构中提供安全保护的主机仅仅与内部网相连。
另外,主机过滤结构还有一台单独的过滤路由器。
在这种体系结构中,主要的安全由数据包过滤提供。
计算机网络安全基础(第4版)367.3防火墙技术防火墙技术(3)子网过滤体系结构子网过滤体系结构添加了额外的安全层到主机过滤体系结构中,即通过添加参数网络,更进一步地把内部网络与因特网隔离开。
子网过滤体系结构的最简单的形式为两个过滤路由器,每一个都连接到参数网,一个位于参数网与内部的网络之间,另一个位于参数网与外部网络之间。
计算机网络安全基础(第4版)377.4入侵检测技术入侵检测技术1.入侵检测技术概述入侵检测技术概述入侵定义为任何试图破坏信息系统的完整性、保密性或有效性的活动的集合。
入侵检测就是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。
入侵检测系统(IDS)被认为是防火墙之后的第二道安全闸门,能够检测来自网络内部的攻击。
计算机网络安全基础(第4版)387.4入侵检测技术入侵检测技术
(1)基本概念入侵检测是指通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图。
(2)入侵检测系统的分类异常检测模型:
检测与可接受行为之间的偏差。
如果可以定义每项可接受的行为,那么每项不可接受的行为就应该是入侵。
误用检测模型:
检测与已知的不可接受行为之间的匹配程度。
计算机网络安全基础(第4版)397.4入侵检测技术入侵检测技术按照监测的对象是主机还是网络分为基于主机的入侵检测系统和基于网络的入侵检测系统以及混合型入侵检测系统。
基于主机的入侵检测系统基于网络的入侵检测系统混合型入侵检测系统按照工作方式分为离线检测系统与在线检测系统。
离线检测系统在线检测系统计算机网络安全基础(第4版)407.4入侵检测技术入侵检测技术(3)入侵检测的过程信息收集:
入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为。
信息分析:
收集到的信息,被送到检测引擎,检测引擎驻留在传感器中,一般通过三种技术手段进行分析:
模式匹配、统计分析和完整性分析。
当检测到某种误用模式时,产生一个告警并发送给控制台。
结果处理:
控制台按照告警产生预先定义的响应采取相应措施,可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性,也可以只是简单的告警。
计算机网络安全基础(第4版)417.4入侵检测技术入侵检测技术(4)入侵检测系统的结构由于入侵检测环境和系统安全策略的不同,IDS在具体实现上也存在差异。
从系统构成上看,IDS包括事件提取、入侵分析、入侵响应和远程管理4部分。
另外,还可能结合安全知识库、数据存储等功能模块,提供更为完善的安全检测和数据分析功能。
计算机网络安全基础(第4版)427.4入侵检测技术入侵检测技术计算机网络安全基础(第4版)43入侵检测系统的结构7.4入侵检测技术入侵检测技术2.常用入侵检测技术常用入侵检测技术
(1)常用的检测方法入侵检测系统常用的检测方法有特征检测、统计检测与专家系统。
(2)统计异常检测统计异常检测技术可以分为两种:
阈值检测和基于行为的检测。
阈值检测对一段时间之内某种特定事件的出现次数进行统计,如果统计所得的结果超过了预先定义好的阈值,就可以认为有入侵行为发生。
基于用户行为的检测技术首先要建立单个用户或群体用户的行为模型,之后检测当前用户行为和该模型是否有较大的偏离。
计算机网络安全基础(第4版)447.4入侵检测技术入侵检测技术(3)基于规则的入侵检测基于规则的入侵检测是通过观察系统里发生的事件并将该事件与系统的规则集进行匹配,来判断该事件是否与某条规则所代表的入侵行为相对应。
基于规则的入侵检测可以大体划分为两种方法,即基于规则的异常检测和基于规则的渗透检测。
(4)分布式入侵检测分布式入侵检测系统设计应包含:
主机代理模块、局域网监测代理模块和中央管理器模块三个模块。
计算机网络安全基础(第4版)457.4入侵检测技术入侵检测技术(5)蜜罐技术蜜罐技术是一种欺骗性的入侵检测系统,其设计目的是将入侵者从关键系统处引诱开。
蜜罐技术的主要任务是:
转移入侵者对关键系统的访问、收集入侵者的活动信息、引诱入侵者在系统中停留足够长的时间,以便于管理员作出反应。
有两种类型的蜜罐主机:
产品型蜜罐主机和研究型蜜罐主机。
产品型蜜罐主机用于网络的安全风险;研究型蜜罐主机则用于收集更多的信息。
计算机网络安全基础(第4版)467.5虚拟专用网技术虚拟专用网技术1.虚拟专用网的定义虚拟专用网的定义虚拟专用网是利用接入服务器、路由器及VPN专用设备在公用的广域网上实现虚拟专用网的技术。
也就是说,用户觉察不到他在利用公用网获得专用网的服务。
从客观上可以认为虚拟专用网就是一种具有私有和专用特点网络通信环境。
它是通过虚拟的组网技术,而非构建物理的专用网络的手段来达到的。
计算机网络安全基础(第4版)477.5虚拟专用网技术虚拟专用网技术虚拟专用网具有如下的优点:
(1)成本较低当使用Internet时,借助ISP来建立虚拟专用网,就可以节省大量的通信费用。
(2)扩展容易如果企业想扩大虚拟专用网的容量和覆盖范围,只需与新的ISP签约,建立账户;或者与原有的ISP重签合约,扩大服务范围。
(3)方便与合作伙伴的联系(4)完全控制主动权计算机网络安全基础(第4版)487.5虚拟专用网技术虚拟专用网技术2.虚拟专用网的类型虚拟专用网的类型虚拟专用网分为三种类型:
远程访问虚拟网(AccessVPN)企业内部虚拟网(IntranetVPN)企业扩展虚拟网(ExtranetVPN)。
计算机网络安全基础(第4版)497.5虚拟专用网技术虚拟专用网技术3.虚拟专用网的工作原理虚拟专用网的工作原理虚拟专用网是一种连接,从表面上看它类似一种专用连接,但实际上是在共享网络实现。
它通常使用一种被称作“隧道”的技术,数据包在公共网络上的专用“隧道”内传输。
专用“隧道”用于建立点对点的连接。
来自不同的数据源的网络业务经由不同的隧道在相同的体系结构上传输,并允许网络协义穿越不兼容的体系结构,还可区分来自不同数据源的业务,因而可将该业务发往指定的目的也,并接受指定的等级服务。
一个隧道的基本组成是:
隧道启动器、路由网络、可选的隧道交换机和一个或多个隧道终结器。
计算机网络安全基础(第4版)507.5虚拟专用网技术虚拟专用网技术4.虚拟专用网的关键技术和协议虚拟专用网的关键技术和协议
(1)关键技术虚拟专用网中采用的关键技术主要包括隧道技术、加密技术、用户身份认证技术及访问控制技术。
隧道技术:
隧道是一种通过互联网络在网络之间传递数据的一种方式。
所传递的数据在传送之前被封装在相应的隧道协议里,当到达另一端时被解包。
被封装的数据在互联网上传递时所经过的路径是一条逻辑路径。
计算机网络安全基础(第4版)517.5虚拟专用网技术虚拟专用网技术加密技术:
虚拟专用网上的加密方法主要是发送者在发送数据之前对数据加密,当数据到达接收者时由接收者对数据进行解密的处理过程。
加密算法的种类包括:
对称密钥算法,公共密钥算法等。
如DES、3DES、IDEA等。
用户身份认证技术:
主要用于远程访问的情况。
当一个拨号用户要求建立一个会话时,就要对用户的身份进行鉴定,以确定该用户是否是合法用户以及哪些资源可被使用。
访问控制技术:
确定合法用户对资源的访问权限,以实现对信息资源的最大限度的保护。
计算机网络安全基础(第4版)527.5虚拟专用网技术虚拟专用网技术
(2)相关协议对于虚拟专用网来说,网络隧道技术是关键技术,它涉及三种协议,即网络隧道协议、支持网络隧道协议的承载协议和网络隧道协议所承载的被承载协议。
构成网络隧道协议主要有三种:
点对点隧道协议(PointtoPointTunnelingProtocol,PPTP)、二层转发协议(Layer2Forwarding,L2F)和二层隧道协议(Layer2TunnelingProtocol,L2TP)。
计算机网络安全基础(第4版)537.5虚拟专用网技术虚拟专用网技术点对点隧道协议:
一个最流行的Internet协议,它提供PPTP客户机与PPTP服务器之间的加密通信,它允许公司使用专用的隧道,通过公共Internet来扩展公司的网络。
通过Internet的数据通信,需要对数据流进行封装和加密,PPTP就可以实现这两个功能,从而可以通过Internet实现多功能通信。
第二层隧道协议:
使用两种类型的消息:
控制消息和数据隧道消息。
控制消息负责创建、维护及终止L2TP隧道,而数据隧道消息则负责用户数据的真正传输。
L2TP支持标准的安全特性CHAP和PAP,可以进行用户身份认证。
在安全性考虑上,L2TP仅定义了控制消息的加密传输方式,对传输中的数据并不加密。
计算机网络安全基础(第4版)547.5虚拟专用网技术虚拟专用网技术通用路由封装协议:
通用路由封装协议是对某些网络层协议(如IP和IPX)的数据报进行封装,使这些被封装的数据报能够在另一个网络层协议(如IP)中传输。
GRE是VPN的第三层隧道协议,即在协议层之间采用了一种隧道技术。
GRE规定了如何用一种网络协议去封装另一种网络协议的方法。
GRE的隧道由两端的源IP地址和目的IP地址来定义,允许用户使
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机网络安全基础第4版 计算机 网络安全 基础 课件