OSI安全體系結構涉及以下幾個方面:
數據鏈路層:點到點通道協議(PPTP),以及第二層通道協議L2TP
PPTP(Point To Point Tunneling Protocol)點到點通道協議,是微軟推出的一種支持多協議虛擬專用網的新型技術,它可以使遠程用戶通過Internet安全的訪問企業網。也就是平時所用的VPN技術。使用此協議,遠程用戶可以通過任意一款網絡操作系統以撥號方式連接到Internet,再通過公網連接到他們企業網絡。即PPTP在所用的通道上做了一個簡單的加密隧道。
L2TP(Layer 2 Tunnel Protocol)第二層通道協議,是Cisco的L2F與PPTP相結合的一個協議,是IETF標準協議。L2TP有一部分采用的是PPTP協議,比如同樣可以對網絡數據流進行加密。不過也有不同之處,比如PPTP要求網絡為IP網絡,L2TP要求面向數據包的點對點連接。PPTP使用單一隧道,L2TP使用多隧道。L2TP提供包頭壓縮、隧道驗證,而PPTP不支持。
網絡層:IP安全協議(IPSEC)
IPSec是三層隧道協議,IPV4在設計時,只考慮了信息資源的共享,沒有過多的考慮到安全問題,因此無法從根本上防止網絡層攻擊。在現有的IPV4上應用IPSEC可以加強其安全性,IPSEC在網絡層提供了IP報文的機密性、完整性、IP報文源地址認證以及抗偽地址的攻擊能力。IPSEC可以保護在所有支持IP的傳輸介質上的通信,保護所有運行于網絡層上的所有協議在主機間進行安全傳輸。IPSEC網關可以安裝在需要安全保護的任何地方,如路由器、防火墻、應用服務器或客戶機等。
傳輸層:安全套接字層(SSL)和傳輸層安全協議TLS
SSL安全套接層(Secure Sockets Layer,SSL)是網景公司(Netscape)在推出Web瀏覽器首版的同時,提出的協議。SSL采用公開密鑰技術,保證兩個應用間通信的保密性和可靠性,使客戶與服務器應用之間的通信不被攻擊者竊聽。可在服務器和客戶機兩端同時實現支持,目前已成為互聯網上保密通訊的工業標準,現行Web瀏覽器普遍將Http和SSL相結合為HTTPS,從而實現安全通信。SSL協議的優勢在于它是與應用層協議獨立無關的。高層的應用層協議 (例如:Http、FTP、Telnet等等 ) 能透明的建立于SSL協議之上。SSL協議在應用層協議通信之前就已經完成加密算法、通信密鑰的協商以及服務器認證工作。在此之后應用層協議所傳送的數據 都會被加密,從而保證通信的私密性。
會話層:SOCKS代理技術
SOCKS是一種網絡代理協議,主要用于客戶端與外網服務器之間通訊的中間傳遞。SOCKS是SOCKetS的縮寫。
當防火墻后的客戶端要訪問外部的服務器時,就跟SOCKS代理服務器連接。這個代理服務器控制客戶端訪問外網的資格,允許的話,就將客戶端的請求發往外部的服務器。這個協議最初由Devid Koblas開發,而后由NEC的Ying-Da Lee將其擴展到版本4。最新協議是版本5,與前一版本相比,增加支持UDP、驗證,以及IPv6。根據OSI模型,SOCKS是位于應用層與傳輸層之間的中間層。
應用層:應用程序代理
應用程序代理工作在應用層之上,位于客戶機與服務器之間,完全阻擋了二者間的數據交流。從客戶機來看,代理服務器相當于一臺真正的服務器;而從服務器來看,代理服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數據時,首先將數據請求發給代理服務器,代理服務器再根據這一請求向服務器索取數據,然后再由代理服務器將數據傳輸給客戶機。由于外部系統與內部服務器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網絡系統。并對應用層以下的數據透明。應用層代理服務器用于支持代理的應用層協議,如:HTTP、HTTPS、FTP、TELNET等。由于這些協議支持代理,所以只要在客戶端的瀏覽器或其他應用軟件中設置“代理服務器”項,設置好代理服務器的地址,客戶端的所有請求將自動轉發到代理服務器中。然后由代理服務器處理或轉發該請求。
回答所涉及的環境:聯想天逸510S、Windows 10。
OSI安全體系結構涉及以下幾個方面:
數據鏈路層:點到點通道協議(PPTP),以及第二層通道協議L2TP
PPTP(Point To Point Tunneling Protocol)點到點通道協議,是微軟推出的一種支持多協議虛擬專用網的新型技術,它可以使遠程用戶通過Internet安全的訪問企業網。也就是平時所用的VPN技術。使用此協議,遠程用戶可以通過任意一款網絡操作系統以撥號方式連接到Internet,再通過公網連接到他們企業網絡。即PPTP在所用的通道上做了一個簡單的加密隧道。
L2TP(Layer 2 Tunnel Protocol)第二層通道協議,是Cisco的L2F與PPTP相結合的一個協議,是IETF標準協議。L2TP有一部分采用的是PPTP協議,比如同樣可以對網絡數據流進行加密。不過也有不同之處,比如PPTP要求網絡為IP網絡,L2TP要求面向數據包的點對點連接。PPTP使用單一隧道,L2TP使用多隧道。L2TP提供包頭壓縮、隧道驗證,而PPTP不支持。
網絡層:IP安全協議(IPSEC)
IPSec是三層隧道協議,IPV4在設計時,只考慮了信息資源的共享,沒有過多的考慮到安全問題,因此無法從根本上防止網絡層攻擊。在現有的IPV4上應用IPSEC可以加強其安全性,IPSEC在網絡層提供了IP報文的機密性、完整性、IP報文源地址認證以及抗偽地址的攻擊能力。IPSEC可以保護在所有支持IP的傳輸介質上的通信,保護所有運行于網絡層上的所有協議在主機間進行安全傳輸。IPSEC網關可以安裝在需要安全保護的任何地方,如路由器、防火墻、應用服務器或客戶機等。
傳輸層:安全套接字層(SSL)和傳輸層安全協議TLS
SSL安全套接層(Secure Sockets Layer,SSL)是網景公司(Netscape)在推出Web瀏覽器首版的同時,提出的協議。SSL采用公開密鑰技術,保證兩個應用間通信的保密性和可靠性,使客戶與服務器應用之間的通信不被攻擊者竊聽。可在服務器和客戶機兩端同時實現支持,目前已成為互聯網上保密通訊的工業標準,現行Web瀏覽器普遍將Http和SSL相結合為HTTPS,從而實現安全通信。SSL協議的優勢在于它是與應用層協議獨立無關的。高層的應用層協議 (例如:Http、FTP、Telnet等等 ) 能透明的建立于SSL協議之上。SSL協議在應用層協議通信之前就已經完成加密算法、通信密鑰的協商以及服務器認證工作。在此之后應用層協議所傳送的數據 都會被加密,從而保證通信的私密性。
會話層:SOCKS代理技術
SOCKS是一種網絡代理協議,主要用于客戶端與外網服務器之間通訊的中間傳遞。SOCKS是SOCKetS的縮寫。
當防火墻后的客戶端要訪問外部的服務器時,就跟SOCKS代理服務器連接。這個代理服務器控制客戶端訪問外網的資格,允許的話,就將客戶端的請求發往外部的服務器。這個協議最初由Devid Koblas開發,而后由NEC的Ying-Da Lee將其擴展到版本4。最新協議是版本5,與前一版本相比,增加支持UDP、驗證,以及IPv6。根據OSI模型,SOCKS是位于應用層與傳輸層之間的中間層。
應用層:應用程序代理
應用程序代理工作在應用層之上,位于客戶機與服務器之間,完全阻擋了二者間的數據交流。從客戶機來看,代理服務器相當于一臺真正的服務器;而從服務器來看,代理服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數據時,首先將數據請求發給代理服務器,代理服務器再根據這一請求向服務器索取數據,然后再由代理服務器將數據傳輸給客戶機。由于外部系統與內部服務器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網絡系統。并對應用層以下的數據透明。應用層代理服務器用于支持代理的應用層協議,如:HTTP、HTTPS、FTP、TELNET等。由于這些協議支持代理,所以只要在客戶端的瀏覽器或其他應用軟件中設置“代理服務器”項,設置好代理服務器的地址,客戶端的所有請求將自動轉發到代理服務器中。然后由代理服務器處理或轉發該請求。
回答所涉及的環境:聯想天逸510S、Windows 10。