你在这里

VPN 智能卡

14 提交 / 0 new
最新文章
Ginger
VPN 智能卡

ADMIN站长,Zhongbin版主,能否谈谈VPN的智能卡、VPN安全性方面的东东?[xxyyzz]

虚拟专用网和IPsec确保企业VPN安全性

[b]转贴一篇介绍VPN的文章,至于智能卡,本人真不太清楚它和VPN有什么直接的联系,如果有联系的话,我想可能也只是用来储存密钥吧?[/b]

伴随信息技术应用变化的是基础网络架构的变化。传统上通过调制解调器或专用线路连接互联网用户的方式正逐渐被新兴虚拟专用网(VPN)所代替,VPN使用户可以通过互联网安全地通信。在未来几年中,几乎所有的通信(包括数据、话音和视频通信)都将能够安全地通过互联网进行。

  VPN的商业优势非常吸引人,许多公司都开始制订自己的战略,利用互联网作为他们主要的传输媒介,甚至包括商业秘密数据的传输。今天,北电网络提供的解决方案不仅使客户可以建立各种类型的VPN,而且还可以把这些VPN集成到未来的融合话音和数据的网络中。在北电网络看来,明天的VPN将发展成为高速、安全的网络,它将在公共互联网上安全融合所有业务,包括数据、话音和视频业务。

  VPN有许多类型,部署范围非常广泛:包括服务提供商为用户提供的可管理的VPN服务,及企业自己建立并管理自己的VPN。目前,VPN应用主要有3种类型:远程接入VPN、内联网VPN和外联网VPN。

  ——远程接入VPN。远程接入VPN最为普遍,因为它能够大幅度地降低拨号线路和专用线路的月收费。它的设计理念很简单:用户把呼叫发送到本地POP点,然后在互联网上通过隧道传输呼叫,从而节约长途电话费。然后,呼叫在企业VPN网关设备上终结,并把数据馈送到企业网络中。这一优势非常明显,但是使用公共互联网作为骨干网络来传输敏感的企业数据潜在着巨大的威胁——因此安全机制成为这种技术的关键成功因素。

  ——内联网VPN。采用集中式信息访问的企业通常使用专线或帧中继连接远程站点。这些专用线路会产生大幅开支,而且这种开支会因站点之间带宽的增加和距离的延长而增加,因此这些连接成为WAN维护中一项最大的开支。要使站点到站点VPN的方式降低这方面的成本,公司可以通过互联网建立费用较低的连接来代替昂贵的专用链路,大大降低租用链路的费用——因为互联网连接对距离是不敏感的。

  ——外联网VPN。外联网指的是提供从一个公司网络到另一个公司网络的安全接入网络,它可实现安全的商业通信。外联网VPN与站点到站点VPN类似,只是外联网VPN要求更多地考虑安全问题。当两家公司或更多公司决定进行合作、允许对方访问自己的网络时,必须认真考虑,以保证公司的每个合作伙伴都可以轻松地获得适当的信息,同时使敏感的信息受到严密保护,防止未授权用户的访问。在外联网中,通过防火墙进行接入控制非常关键。用户鉴权也很重要,因为它可以保证只有经授权的用户才允许访问网络资源。部署完毕后,安全性应尽量在后台实现,对用户尽可能透明。

  无论是企业选择使用哪一种或全部三种类型的VPN,都必须采取特殊的保护措施,以保证重要信息在公共互联网上传输时不会泄露。这主要包括保密性、完整性、鉴权和可查性。

  最简单也是最常用的信息保密方法是采用加密技术扰乱数据,这样,未经授权的用户就无法译解数据。加密依靠复杂的数学算法来扰乱数据,然后允许合法的用户将信息解码,恢复最初的状态。完整性可以验证接收到的数据确实就是发送的数据。与保密性一样,完整性是使用数学算法来保证的;在这里,使用的是散列算法。鉴权和可查性是同一事物的两个方面。与任何一方通信时,重要的是要毫无疑问地证明网络另一端的人确实是他们声称的人。这被称为鉴权用户。(完)

"本人真不太清楚它和VPN有什么直接的联系,如果有联系的话,我想可能也只是用来储存密钥吧? "

确实是储存密钥的,因为我觉得传统的account+password太不安全了。

另: 站长,我使用粗体时有问题,提示要输入图片URL地址。
[b][color=red]
ADMIN:对不起,这是提示错误,不用管它,直接输入你要设置粗体的文字即可。[/color][/b]

[B]"但是使用公共互联网作为骨干网络来传输敏感的企业数据潜在着巨大的威胁——因此安全机制成为这种技术的关键成功因素"[/B]

安全性在VPN中占着非常重要的地位,因此,能否谈谈VPN中安全性的具体解决方案?

zhongbin
VPN用于解决机器间传输的安全问题

account+password用于解决用户的合法性问题,VPN用于解决机器间传输过程的安全问题。在没有任何加密情况下,机器间传输是用普通的ASCII码或二进制码。这种码是公开的,熟悉计算机技术的人都可以解读,因此我们认为它没有保密性。在传输的过程中,通过网络的广播方式、电磁泄露、恶意拦截都可以被第三方或多方截获,并进而知晓信息内容,造成失密。VPN是在机器间进行信息传输前首先对将要传输的信息进行加密,然后将加密信息传送出去。在接收端,首先将接收信息进行解密,再将解密信息显示给接收者,保证接收者看到应得的信息。有些软件如Lotus,它还有一套自己的加密系统,可以在信息出Domino或Notes之前进行加密,让操作系统得到的信息就已经不再是明码了。所有这些都不矛盾,我们认为Lotus的加密系统已经满足需要了,就可以不用VPN,如果认为软件的加密不够,就再加上VPN。我们如果需要用许多系统,其中有些系统加密不完备,我们就用VPN,可以省去许多其他的加密手段。
VPN既然一边需要加密,一边需要解密,就一定是成对使用的。一般是用同一型号的产品,不同品牌的产品也可以,但要支持相同加密解密算法。

比如说,我直接使用Win2k的VPN连接把不同城市的子公司与母公司组建成一个域网,这样是否会存在安全性问题?

另:Server端是ADSL虚拟拔号,客户端是固定IP的,这样进反向连接是否有问题?

THKS!

zhongbin
安全性永远是一个相对的概念

我们都知道海信出了防火墙后,自认为是坚不可摧,悬赏请黑客来攻,结果却一败涂地。任何安全性都是相对的,VPN是依靠特有的加密算法保证难以被他人破译。Win2k由于使用的广泛性,及微软恐龙般的巨大身躯而受到高度的关注,一般来说他的东西被人家研究得比较透,也就容易对其安全性产生怀疑,所以很少有人用Win2k的VPN。但这不等于不能用,如果你认为它可以满足自身的需要,只管用好了。
一般化来说,通过远程拨号方式入网没有走公网,还是在自己的专网上,VPN也不是在这里采用的。当然通过远程拨号,你的信息是在电话线上明码传递的,也有被第三者监听的可能。对于这种情况,如果你使用的是Lotus系统,而且认为有必要防范的话,可以采用Lotus的加密工具,保证在电话线上传递的信号已经是加密的了。

不好意思,是我没描述清楚。
我的意思是:我这边(东莞)是ADSL动态IP的,但有Email Server, ERP System等等Server端系统,因此,我是把它当做Server的,目前我采用的内部IP是 192。168。0。1网段的,而香港端采用的是固定IP,因此我在香港端架设VPN Server,由东莞往香港拔号,由此形成一个WAN,从应用来说香港还是客户端。

[QUOTE][i]最初由 songster 发布[/i]
[B]一般都是服务器端是固定IP吧?进行VPN二次拨号的时候,客户端需要知道服务器端的IP地址吧?不然怎么连接? [/B][/QUOTE]

Ginger,能不能谈一下你们公司用的VPN SRV是什么产品?是不是WIN2000 SRV自带的?不了解WIN2K的VPN SRV用的人多不多。

还没用,准备用Win2K下的。

我已经找到了的Win2K下的VPN解决方法。

谢谢站长与钟版主!

zhongbin

可以详细说明一下么?

使用香港端的固定IP,安装Win2K Server(or Windows 2003 Server)建立VPN Server side,新建一用户,使其允许远程拔入,以用于VPN客户端拔号);东莞使用ADSL虚拟拔号(断线自动重拔),使用Win2k pro(这一端操作系统没有要求了),在网络连接中新建“连接到我的工作声场所”的网络连接,选用VPN方式,选中其断线重拔功能。

或者东莞组建VPN Server side也行,但这样的话则要使用到动态域名解释了。

现在要解决的是安全性问题了,个人对Win2K自身的安全性还是不太放心,而且,我最想要的是Linux下的VPN解决办法,因我想把公司除ERP(AS/400)之外的所有服务器组件在以后转移Linux系统下。

VPN On OpenBSD
登录注册后发表评论