图1 传输模式示意图
传输模式用于两台主机之间,保护传输层协议头,实现端到端的安全性。当数据包从传输层传送给网络层时,AH和ESP会进行拦截,在IP头与上层协议之间需插入一个IPSec头。当同时应用AH和ESP到传输模式时,应该先应用ESP,再应用AH。另一种隧道模式的实现方式如图2所示。
加密的隧道局域网Internet局域网局域网 图2 隧道模式示意图
隧道模式用于主机与路由器或两部路由器之间,保护整个IP数据包。将整个IP数据包进行封装(称为内部IP头),然后增加一个IP头(称为外部IP头),并在外部与内部IP头之间插入一个IPSec头。
5. 说明Web安全性中网络层、传输层和应用层安全性的实现机制。
答:
第一,网络层。网络层上,虽然IP包本身不具备任何安全特性,很容易被修改、伪造、查看和重播,但是IPSec可提供端到端的安全性机制,可在网络层上对数据包进行安全处理。IPSec可以在路由器、防火墙、主机和通信链路上配置,实现端到端的安全、虚拟专用网络和安全隧道技术等。
第二,传输层。在TCP传输层之上实现数据的安全传输是另一种安全解决方案,安全套接层SSL和TLS(Transport Layer Security)通常工作在TCP层之上,可以为更高层协议提供安全服务。
第三,应用层。将安全服务直接嵌入在应用程序中,从而在应用层实现通信安全。如SET(Secure Electronic Transaction,安全电子交易)是一种安全交易协议,S/MIME、PGP是用于安全电子邮件的一种标准。它们都可以在相应的应用中提供机密性、完整性和不可抵赖性等安全服务。
第12章 网络安全方案设计
3. 网络安全方案框架包含哪些内容?编写时需要注意什么?
答:
总体上说,一份安全解决方案的框架涉及6大方面,可以根据用户的实际需求进行取
舍。
第一,概要安全风险分析。对当前的安全风险和安全威胁作一个概括和分析,最好能够突出用户所在的行业,并结合其业务的特点、网络环境和应用系统等。同时,要有针对性,如政府行业、电力行业、金融行业等,要体现很强的行业特点,使人信服和接受。
第二,实际安全风险分析。实际安全风险分析一般从4个方面进行分析:网络的风险和威胁分析,系统的风险和威胁分析,应用的分析和威胁分析,对网络、系统和应用的风险及威胁的具体实际的详细分析。
第三,网络系统的安全原则。安全原则体现在5个方面:动态性、惟一性、整体性、专业性和严密性。
第四,安全产品。常用的安全产品有5种:防火墙、防病毒、身份认证、传输加密和入侵检测。结合用户的网络、系统和应用的实际情况,对安全产品和安全技术作比较和分析,分析要客观、结果要中肯,帮助用户选择最能解决他们所遇到问题的产品,不要求新、求好和求大。
第五,风险评估。风险评估是工具和技术的结合,通过这两个方面的结合,给用户一种很实际的感觉,使用户感到这样做过以后,会对他们的网络产生一个很大的影响。
第六,安全服务。安全服务不是产品化的东西,而是通过技术向用户提供的持久支持。对于不断更新的安全技术、安全风险和安全威胁,安全服务的作用变得越来越重要。
相关推荐:
loading