亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        SSL VPN安全技術(shù)在甘肅水利信息化建設(shè)中的應(yīng)用

        2019-03-16 06:36:20張審問
        中國(guó)水利 2019年4期
        關(guān)鍵詞:外網(wǎng)單臂內(nèi)網(wǎng)

        張審問

        (甘肅省水利廳信息中心,730000,蘭州)

        隨著國(guó)家對(duì)電子政務(wù)外網(wǎng)和內(nèi)網(wǎng)進(jìn)一步規(guī)范,現(xiàn)明確定義政府專用網(wǎng)絡(luò)、行業(yè)或企業(yè)網(wǎng)絡(luò)以及互聯(lián)網(wǎng)絡(luò)等非涉密網(wǎng)絡(luò)要一并定義和整合為電子政務(wù)外網(wǎng)。VPN就是在電子政務(wù)外網(wǎng)應(yīng)用中應(yīng)用最廣泛和最安全的網(wǎng)絡(luò)安全產(chǎn)品,可以幫助政府、行業(yè)或企業(yè)遠(yuǎn)程用戶與業(yè)務(wù)服務(wù)端建立安全的網(wǎng)絡(luò)連接,確保數(shù)據(jù)傳輸安全,并具有成本低、擴(kuò)展靈活等優(yōu)勢(shì)。

        一、SSL VPN安全技術(shù)

        在使用Internet作為基本傳輸媒體時(shí),數(shù)據(jù)傳輸中存在泄密、數(shù)據(jù)失真、數(shù)據(jù)被偽造、數(shù)據(jù)傳輸成本高等一些安全風(fēng)險(xiǎn),為了保證數(shù)據(jù)的私密性和完整性,VPN技術(shù)產(chǎn)生。最初VPN僅實(shí)現(xiàn)簡(jiǎn)單的網(wǎng)絡(luò)互連功能,采用GRE等隧道技術(shù);現(xiàn)在移動(dòng)時(shí)代對(duì)VPN技術(shù)提出了更高要求,隨之誕生了更安全的產(chǎn)品SSL VPN。

        1.SSL協(xié)議

        SSL協(xié)議幾乎內(nèi)置在所有瀏覽器中,可以用來(lái)在終端用戶和服務(wù)器或單位(部門)網(wǎng)絡(luò)之間建立安全隧道,使成千上萬(wàn)需要實(shí)現(xiàn)遠(yuǎn)程訪問的用戶快速達(dá)到目的。隨著SSL協(xié)議得到廣泛應(yīng)用,其保護(hù)了存在敏感信息的Web服務(wù)器,消除了用戶在Internet上數(shù)據(jù)傳輸?shù)陌踩檻],它還為TCP/IP連接提供了數(shù)據(jù)加密、信息完整性驗(yàn)證和服務(wù)器身份認(rèn)證功能。

        SSL協(xié)議建立在可靠的TCP之上,并且與上層協(xié)議無(wú)關(guān),各種應(yīng)用層協(xié)議均能通過SSL協(xié)議進(jìn)行透明傳輸。SSL位于TCP/IP協(xié)議棧的應(yīng)用層和傳輸層之間,就像應(yīng)用層連接到傳輸?shù)囊粋€(gè)插口,如圖1所示。

        由于SSL協(xié)議在應(yīng)用層協(xié)議之前就已經(jīng)完成了加密算法、通信密鑰的協(xié)商以及服務(wù)器的認(rèn)證工作,在此之后應(yīng)用層協(xié)議所傳送的數(shù)據(jù)都會(huì)被加密,從而保證通信體系的安全性。

        2.SSLVPN安全技術(shù)

        客戶端和SSL VPN網(wǎng)關(guān)之間的數(shù)據(jù)通過SSL協(xié)議進(jìn)行加密,而SSL VPN網(wǎng)關(guān)和內(nèi)網(wǎng)各服務(wù)器之間則是明文傳送。SSL本身的特性使SSL VPN具有一些獨(dú)特優(yōu)勢(shì)。首先,SSL協(xié)議是一種加密協(xié)議,可以很好地保證數(shù)據(jù)傳輸?shù)乃矫苄院屯暾浴F浯?,SSL協(xié)議還是一種工作在TCP傳輸層之上的協(xié)議。使用SSL進(jìn)行通信不改變IP報(bào)文頭和TCP報(bào)文頭,因而SSL報(bào)文對(duì)NAT和防火墻來(lái)說都是透明的,SSL VPN的部署不會(huì)影響現(xiàn)有網(wǎng)絡(luò)。這樣用戶從任何地方接入Internet上網(wǎng),就能使用SSL VPN。

        (1)SSL VPN 系統(tǒng)結(jié)構(gòu)

        SSL VPN系統(tǒng)結(jié)構(gòu)如圖2所示,主要由遠(yuǎn)程主機(jī)、SSL VPN網(wǎng)關(guān)和服務(wù)器組成。

        (2)SSL VPN 網(wǎng)關(guān)

        SSL VPN網(wǎng)關(guān)負(fù)責(zé)終結(jié)客戶端發(fā)來(lái)的SSL連接,并與資源服務(wù)器之間建立連接,起到中繼的作用。其核心功能是遠(yuǎn)程接入和訪問控制。SSL VPN提供了Web接入、TCP接入、IP接入等3種接入方式。SSL VPN在訪問控制方面提供了用戶認(rèn)證、安全評(píng)估、動(dòng)態(tài)和靜態(tài)授權(quán)等功能。

        圖1 SSL在TCP/IP協(xié)議棧中的位置

        3.訪問控制

        SSL VPN可以提供URL、文件目錄、服務(wù)器端口和IP網(wǎng)段等細(xì)粒度訪問控制功能,其核心技術(shù)在于授權(quán)管理,通常有兩種授權(quán)方式:靜態(tài)授權(quán)和動(dòng)態(tài)授權(quán)。

        (1)靜態(tài)授權(quán)

        靜態(tài)授權(quán)是指用戶無(wú)論在什么時(shí)間、從什么地方、遠(yuǎn)程主機(jī)處于什么樣的安全狀態(tài)情況下登錄后,都被授予同樣的訪問權(quán)限,權(quán)限的大小只和用戶賬號(hào)有關(guān),即用戶的身份與授予的權(quán)力是綁定在一起的。根據(jù)保存身份驗(yàn)證信息位置不同,靜態(tài)授權(quán)的身份認(rèn)證分為本地認(rèn)證和外部認(rèn)證。

        (2)動(dòng)態(tài)授權(quán)

        SSL VPN可以實(shí)現(xiàn)更為高級(jí)的“動(dòng)態(tài)授權(quán)”方式。一方面根據(jù)用戶的身份確定用戶可以合法訪問的網(wǎng)絡(luò)資源,另一方面通過安全策略和主機(jī)檢查確定用戶目前可以安全訪問的網(wǎng)絡(luò)資源,然后取兩者的交集就得到用戶在當(dāng)前網(wǎng)絡(luò)環(huán)境中可以安全合法訪問的網(wǎng)絡(luò)資源范圍。

        二、SSLVPN安全技術(shù)在甘肅水利信息化建設(shè)中的應(yīng)用

        國(guó)家水資源監(jiān)控能力建設(shè)項(xiàng)目甘肅省級(jí)信息平臺(tái)、甘肅水利信息共享互用平臺(tái)、甘肅省縣級(jí)山洪災(zāi)害非工程措施省級(jí)平臺(tái)、甘肅省協(xié)同辦公管理平臺(tái)等重要信息系統(tǒng)通過互聯(lián)網(wǎng)訪問業(yè)務(wù)平臺(tái)時(shí)首先要進(jìn)行VPN授權(quán),通過授權(quán)訪問并通過認(rèn)證的用戶才能進(jìn)一步訪問業(yè)務(wù)平臺(tái)。

        ①在國(guó)家水資源監(jiān)控能力建設(shè)項(xiàng)目甘肅省信息平臺(tái)中,各取水用戶、水資源監(jiān)控點(diǎn)、水資源管理部門等終端在查看訪問平臺(tái)業(yè)務(wù)信息時(shí)首先要登錄省級(jí)平臺(tái)VPN,只有在VPN中被授權(quán)用戶才能登錄VPN,未授權(quán)用戶將無(wú)法登錄,合法用戶授權(quán)通過后,在此平臺(tái)再次通過權(quán)限認(rèn)證訪問業(yè)務(wù)平臺(tái),將極大地保障平臺(tái)數(shù)據(jù)安全和業(yè)務(wù)系統(tǒng)安全,即使出現(xiàn)風(fēng)險(xiǎn)也可根據(jù)訪問授權(quán)跟蹤查到非法用戶。②在甘肅水利信息共享互用平臺(tái)項(xiàng)目中,手機(jī)、平板等移動(dòng)終端用戶訪問省水利廳共享平臺(tái)時(shí)首先要進(jìn)行VPN授權(quán),只有被VPN授權(quán)的終端用戶才能訪問。③在甘肅省縣級(jí)山洪災(zāi)害非工程措施省級(jí)平臺(tái)項(xiàng)目中,各水雨情監(jiān)測(cè)站點(diǎn)上報(bào)水雨情或在移動(dòng)終端訪問縣級(jí)平臺(tái),都要進(jìn)行VPN授權(quán)才能合法訪問。④甘肅水利協(xié)同辦公系統(tǒng)與其他網(wǎng)絡(luò)最初是物理隔離,只有辦公人員在單位才能實(shí)現(xiàn)電子協(xié)同辦公,隨著業(yè)務(wù)擴(kuò)大和遠(yuǎn)程業(yè)務(wù)需求增加,這種辦公方式無(wú)法滿足辦公需求,為解決辦公人員出差或在家無(wú)法訪問協(xié)同辦公平臺(tái)的難題,系統(tǒng)通過SSL VPN,采取采購(gòu)授權(quán)號(hào)的方式對(duì)所有訪問系統(tǒng)的用戶給予授權(quán)定義,只有被授權(quán)的用戶可安全訪問,并且可隨時(shí)隨地訪問平臺(tái)。

        以上重要業(yè)務(wù)系統(tǒng)在通過SSL VPN訪問時(shí),所有數(shù)據(jù)在數(shù)據(jù)通信過程中都是密文,任何非法用戶都無(wú)法竊取信息,保證了數(shù)據(jù)安全訪問。

        圖2 SSL VPN系統(tǒng)結(jié)構(gòu)

        三、SSLVPN的部署方式

        1.雙臂組網(wǎng)模式

        采用雙臂模式組網(wǎng)時(shí),SSL VPN網(wǎng)關(guān)跨接在內(nèi)網(wǎng)和外網(wǎng)之間。這種組網(wǎng)的優(yōu)勢(shì)在于外網(wǎng)對(duì)內(nèi)網(wǎng)所有的訪問流量都經(jīng)過網(wǎng)關(guān),網(wǎng)關(guān)可以對(duì)這些流量進(jìn)行全面控制。不足之處是網(wǎng)關(guān)處于內(nèi)網(wǎng)與外網(wǎng)通信的關(guān)鍵路徑上,一旦網(wǎng)關(guān)出現(xiàn)故障將導(dǎo)致整個(gè)內(nèi)網(wǎng)與外網(wǎng)之間通信中斷;網(wǎng)關(guān)處理性能也對(duì)整個(gè)內(nèi)網(wǎng)訪問外網(wǎng)的速度有影響。一般在SSL VPN網(wǎng)關(guān)與防火墻集成時(shí),多采用雙臂模式的組網(wǎng)。由于有防火墻對(duì)網(wǎng)絡(luò)攻擊的防護(hù),所以SSL VPN可以比較安全地運(yùn)行。

        2.單臂組網(wǎng)模式

        采用單臂模式組網(wǎng)時(shí),SSL VPN網(wǎng)關(guān)并不跨接在內(nèi)網(wǎng)與外網(wǎng)之間,而像服務(wù)器一樣與內(nèi)網(wǎng)相連。SSL VPN網(wǎng)關(guān)作為代理服務(wù)器響應(yīng)外網(wǎng)遠(yuǎn)程主機(jī)的請(qǐng)求,在遠(yuǎn)程主機(jī)與內(nèi)網(wǎng)服務(wù)器之間轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文。使用單臂模式組網(wǎng)的好處是:設(shè)備不處在網(wǎng)絡(luò)流量的關(guān)鍵路徑上,設(shè)備的故障不會(huì)影響通信性能。使用單臂模式組網(wǎng)的不足之處是:設(shè)備不能充分保護(hù)內(nèi)部網(wǎng)絡(luò),有些流量可以不經(jīng)過此設(shè)備而訪問內(nèi)部網(wǎng)絡(luò)中其他服務(wù)器。單純的SSL VPN網(wǎng)關(guān)設(shè)備一般多采用單臂模式,不但可以免受外部的網(wǎng)絡(luò)攻擊,還可避免成為網(wǎng)絡(luò)的性能瓶頸和單點(diǎn)故障源。目前,甘肅水利業(yè)務(wù)平臺(tái)基本都采用單臂組網(wǎng)模式。

        猜你喜歡
        外網(wǎng)單臂內(nèi)網(wǎng)
        內(nèi)網(wǎng)和外網(wǎng)間的同名IP地址轉(zhuǎn)換技術(shù)及應(yīng)用
        我在街上走
        詩(shī)潮(2019年8期)2019-08-23 05:39:48
        電子政務(wù)外網(wǎng)的安全管理研究
        單臂猿的末日
        我在街上走
        詩(shī)潮(2017年4期)2017-12-05 10:16:18
        企業(yè)內(nèi)網(wǎng)中的數(shù)據(jù)隔離與交換技術(shù)探索
        科技資訊(2017年5期)2017-04-12 15:24:45
        內(nèi)外網(wǎng)隔離條件下如何實(shí)現(xiàn)郵件轉(zhuǎn)發(fā)
        地下車庫(kù)柱網(wǎng)布置設(shè)計(jì)思路
        山西建筑(2016年20期)2016-11-22 03:10:21
        QoS技術(shù)在企業(yè)內(nèi)網(wǎng)實(shí)踐探索
        科技資訊(2016年19期)2016-11-15 08:17:44
        我在街上走
        詩(shī)潮(2015年3期)2015-03-20 14:40:24
        日韩精品久久无码中文字幕| 开心激情网,开心五月天| 美女免费观看一区二区三区| 成人中文乱幕日产无线码 | 91露脸半推半就老熟妇| 黑色丝袜秘书夹住巨龙摩擦| 中文字幕在线码一区| 国产熟女高潮视频| 韩国女主播一区二区在线观看| 精品人妻午夜中文字幕av四季| 欧美激情乱人伦| 免费看泡妞视频app| 在线观看一区二区女同| 中文字幕av久久激情亚洲精品| 日本一区二区国产精品| √新版天堂资源在线资源| 麻豆国产人妻欲求不满谁演的| 久久精品爱国产免费久久| 人妻有码中文字幕在线| 波多野结衣绝顶大高潮| 国产精品视频一区二区噜噜| 国产AⅤ无码久久丝袜美腿| 亚洲国产精品成人一区| 国产欧美在线观看不卡| 国产乱了真实在线观看| 亚洲欧美日韩在线一区| 91免费国产| 亚洲第一黄色免费网站| 在线成人一区二区| 破了亲妺妺的处免费视频国产 | 欧美俄罗斯乱妇| 午夜天堂精品一区二区| 噜噜中文字幕一区二区| 日本三级欧美三级人妇视频黑白配 | 国产高潮流白浆免费观看不卡| 毛片成人18毛片免费看| 国产超碰女人任你爽| 热久久久久久久| 国产情侣自拍偷拍精品| 亚洲色欲久久久综合网东京热| 国产精品99久久精品爆乳|