广域网优化的发展
业内人士预测,得益于市场发展,广域网优化即服务选项的需求,以及IP协议和以太网服务的持续增长,广域网优化全球市场收入在2019年将达到121亿美元。2015年全球网络采购意向调查揭露了企业在未来一年内将如何对广域网优化进行投资。事实上,广域网优化产品位于企业IT投资计划的前五位中,因为企业急于解决广域网相关性能问题。该调查还解释了,为什么IT行业需要采用广域网优化技术来提高广域网性能。主要原因包括:支持QoS的需求,满足如VoIP和视频这类服务的实时应用加速需求,以及带宽汇聚。为了满足这些性能需求,IT部门正在评估各种广域网优化技术和工具,从广域网优化即服务到虚拟广域网优化产品。随着网络流量以指数级速度增长,IT部门需要充分利用每一种能够确保用户获取他们所需性能的技术。
什么是广域网?广域网优化是怎么进行?
广域网
广域网(英语:Wide Area Network),缩写为WAN,又称广域网、外网、公网,广域网并不等同于互联网,它是连接不同地区局域网或城域网计算机通信的远程网,主要使用分组交换技术。 广域网通常跨接很大的物理范围,覆盖的范围比局域网(LAN)和城域网(MAN)都广,所覆盖的范围从几十公里到几千公里,它能连接多个地区、城市和国家,或横跨几个洲并能提供远距离通信,形成国际性的远程网络。
广域网优化
广域网优化抑制用户不关心的流量对有限带宽的过度占用,并提高整个网络的利用率,让有限的广域网带宽得到合理利用!
优化广域网能带来什么好处?
优化广域网能带来什么好处?1.链路优化,速度提升200%HTTP协议:通过扩充传输窗口、改善拥塞控制等技术提高TCP传输效率,显著提升在高丢包、高延时情况下的网络传输速度。2.数据优化,流量削减70%流压缩:通过对数据进行压缩后传送,减少数据传输量。流缓存:通过基于码流特征的缓存技术,大幅削减带宽消耗,减少带宽扩容成本。3.应用优化,效率提升3-10倍通过应用层协议代理技术,优化应用交互机制,可以为数十种常见的OA/ERP等业务系统进行加速,加快分支访问业务应用的速度。4.加速VPN,成本降低1/2融合IPSecVPN技术,支持国密、国际标准等多种加密算法,让VPN组网的速度媲美专线且成本更低。5.视频会议优化,丢包降至0%通过对UDP数据进行缓存、代理,自动感知链路丢包进行数据重传,消除马赛克,让视频会议更流畅。
SD-WAN解决方案有什么价值_sdwan方案有哪些
SD-WAN的最大优点以及许多公司转向它的原因是成本。MPLS和专用线网络的扩展变得极其昂贵,对于希望省钱的公司来说。SD-WAN可以通过应用程序从中央位置进行管理,这与必须在每个特定站点进行管理的MPLS电路不同。SD-WAN也能够支持云。尽管SD-WAN部署有很多优点,但不可能做到完美。SD-WAN最常见的问题是,由于它们完全基于Internet,因此没有安全功能,这意味着IT专业人员不仅要管理网络,还要使网络免受攻击,因为一种攻击可能会破坏整个网络。这就是为什么许多公司都转向将SD-WAN与MPLS相结合的混合SD-WAN,从而为您提供“两全其美”的原因。
sdwan解决方案的优势?
sdwan解决方案的优势可参考如下内容:
1. 提升网络性能和可靠性:SD-WAN可以通过多种技术手段(如负载均衡、链路聚合、QoS等)提升网络性能和可靠性,从而确保应用程序的正常运行和用户的高效体验。
2. 减少网络成本:SD-WAN可以利用多种网络链接(如MPLS、互联网、4G/5G等)进行智能路由,从而优化网络流量,降低网络运营成本。
3. 更好的网络安全:SD-WAN可以在不同的网络链接之间进行加密和隔离,从而提高网络安全性,保护企业数据的机密性和完整性。
4. 简化网络管理:SD-WAN可以通过集中化的控制平面,实现对网络的集中管理和监控,从而简化网络管理,降低管理成本。
5. 更好的用户体验:SD-WAN可以通过就近接入和快速路由,提高应用程序的响应速度和用户的体验,从而提高用户满意度。
广域网优化的产品功能
加速VPN组网——速度媲美专线、投资成本更低此功能可简单理解为快速虚拟专线,通过加速与VPN技术的完美结合,帮助客户建立快速、稳定、安全的业务传输通道。速度和稳定性媲美专线,投资成本更低;对业务系统交互大幅提速,访问速度更快。此功能可简单理解为专线管家,为专线管理提供有效决策。通过数据压缩、缓存技术实现带宽升级效果,低成本投资专线提速。还可清晰呈现专线内流量分布,保障专线内传输的核心业务应用的带宽资源和访问提速。专线备份——业务传输高效可靠、节省专线扩建成本此功能可简单理解为虚拟专线备份,通过内置加速VPN模块,可建立快速VPN通道实现对专线的备份,保障业务传输链路的高可靠,并实现专线与备份链路基于应用的流量分流,带宽资源最大利用化。业务应用加速——应用系统智能提速、业务办公效率加快此功能简单理解为应用交互加速器,通过应用协议代理机制减少应用在广域网上的频繁,加快应用系统响应速度,业务运转效率提高。融合创新虚拟应用加速(VirtualApplicationAcceleration,简称VAA)技术,广域网传输所有应用均可实现大幅加速效果。对用友U8、U9、NC,金蝶K3等应用有3-10倍提速效果。视频会议优化——视频会议清晰流畅、协同办公体验最佳此功能简单理解为视频会议小“优”,通过应用智能流控技术来精确保障视频会议带宽,非核心业务数据通过优化手段减少带宽资源占用,并通过UDP丢包优化技术改善视频会议丢包马赛克现象,视频会议流畅协同办公零距离。数据中心灾备优化——大数据趋势来袭、助力数据同步快跑此功能简单理解为数据中转站,通过数据压缩、缓存技术,减少灾备同步重复数据的传输,释放带宽压力。改善链路丢包、延时问题,保证灾备数据的高速传输,缩短灾备同步时间。
广域网优化的应用
性能测试结果显示:存储、虚拟化和广域网优化解决方案的结合可实现卓越的数据迁移能力,为用户带来价值。借助包括 BIG-IP WAN Optimization Module产品的F5集成解决方案,企业用户能够更加高效地使用现有宽带并降低在数据中心之间复制数据的成本。Gartner 公司数据中心改造部门研究副总裁 Joe Skorupa 称:“随着企业不断整合其在全球范围内分散的数据中心,对业务连续性/灾难恢复(BC/DR)的追求推动着对数据中心之间存储复制和虚拟机迁移能力的需求。这一趋势 -- 伴随着企业数据中心之间数据迁移的普遍增长 -- 促使了专用广域网优化产品的出现。这些产品可以帮助企业最大限度地提高关键业务连续性/灾难恢复操作的性能,同时尽量减少用于高速广域网链接的带宽成本。”F5、NetApp 和其他厂商联合进行了一系列测试,以验证广域网优化服务与存储和虚拟化技术相结合可带来的价值。测试结果表明,集成的广域网优化服务可满足用户对于可用性、性能和存储迁移的要求,同时大幅降低了性能延迟的影响。NetApp 解决方案与联盟副总裁 Patrick Rogers 表示:“用户通过使用F5 和 NetApp产品,能够进一步优化数据中心之间的安全复制和长距离实时迁移操作,进而增强数据迁移和流量均衡能力。”通过附加测试,日立数据系统已验证F5 的 BIG - IP设备可与日立 TrueCopy远程复制结合,应用于日立通用存储平台和日立可适应模块化存储中。同时,与广域网复制相关的显著性能及安全优势也已在 Dell EqualLogic PS系列Internet SCSI(iSCSI)阵列与 F5 BIG-IP 解决方案(包括 BIG-IP 广域网优化模块[WOM])的结合使用测试中得到了证明。
SD-WAN的优势是什么?MPLS的优势又是什么?
SD-WAN技术是基于身份验证和加密,完全保护了端到端的流量,其优势拥有带宽提速明显、部署迅速、无需管理、节省成本的优势,不管是出去成本还是开通速度来说,SD-WAN比MPLS更具有优势,但是SD-WAN还是无法替代MPLS,这个是根据企业的需求来定的,MPLS的优势是路由承载许多不同类型的流量,而不考虑它是什么类型的流量。
我公司就是找的华为的SD-WAN合作伙伴,光联集团,有兴趣的话,可以接触一下。
SD-WAN对比MPLS有什么优势?
SD-WAN与传统的MPLS网络相比具有多种优势,SD-WAN的核心价值是它对整个企业网络生态系统具有极大地影响。借助SD-WAN,可以删除地理边界,并增强可见性,可扩展性,性能和控制等关键优势。
与MPLS不同,SD-WAN没有带宽损失,客户可以通过添加新链接轻松升级,无需对基础架构或网络进行任何更改,SD-WAN的最大卖点是能够根据内容类型或优先级经济高效地混合和匹配网络链接,互联网宽带和4G LTE都比MPLS便宜,因此客户可以为某些类型的低优先级流量选择这些链路而不是昂贵的MPLS网络。
SD-WAN的主要优点是安全性。企业更喜欢集成安全性,策略和协调的网络架构,而SD-WAN则通过统一安全连接来覆盖这些基础,在SD-WAN架构中,公司可以在整个网络(包括Internet)中受益于端到端加密,借助可扩展的密钥交换功能和软件定义的安全性,所有设备和端点均经过完全认证。
如何构建安全网络环境
微型计算机和局域网的广泛应用,基于client/server体系结构的分布式系统的出现,I
SDN,宽带ISDN的兴起,ATM技术的实施,卫星通信及全球信息网的建设,根本改变了以往主机
-终端型的网络应用模式;传统的、基于Mainframe的安全系统结构已不能适用于新的网络环
境,主要原因是:
(1)微型机及LAN的引入,使得网络结构成多样化,网络拓扑复杂化;
(2)远地工作站及远地LAN对Mainframe的多种形式的访问,使得网络的地理分布扩散化
;
(3)多种通讯协议的各通讯网互连起来,使得网络通信和管理异质化。
构作Micro-LAN-Mainframe网络环境安全体系结构的目标同其它应用环境中信息安全的
目标一致,即:
(1)存储并处理于计算机和通信系统中的信息的保密性;
(2)存储并处理于计算机和通信系统中的信息的完整性;
(3)存储并处理于计算机和通信系统中的信息的可用性;
(4)对信息保密性、完整性、拒绝服务侵害的监查和控制。
对这些安全目标的实现不是绝对的,在安全系统构作中,可因地制宜,进行适合于自身条
件的安全投入,实现相应的安全机制。但有一点是应该明确的,信息安全是国民经济信息化
必不可少的一环,只有安全的信息才是财富。
对于潜在的财产损失,保险公司通常是按以下公式衡量的:
潜在的财产损失=风险因素×可能的损失
这里打一个比方,将信息系统的安全威胁比作可能的财产损失,将系统固有的脆弱程度
比作潜在的财产损失,于是有:
系统的脆弱程度=处于威胁中的系统构件×安全威胁
此公式虽不能将系统安全性定量化,但可以作为分析信息安全机制的适用性和有效性的
出发点。
对计算机犯罪的统计表明,绝大多数是内部人员所为。由于在大多数Micro-LAN-Mainf
rame系统中,用户登录信息、用户身份证件及其它数据是以明文形式传输的,任何人通过连
接到主机的微型机都可秘密地窃取上述信息。图1给出了我们在这篇文章中进行安全性分析
的网络模型,其安全性攻击点多达20个。本文以下各部分将详细讨论对此模型的安全威胁及
安全对策。
@@14219700.GIF;图1.Micro-LAN-Mainframe网络模型@@
二、开放式系统安全概述
1.OSI安全体系结构
1989年2月15日,ISO7498-2标准的颁布,确立了OSI参考模型的信息安全体系结构,它对
构建具体网络环境的信息安全构架有重要的指导意义。其核心内容包括五大类安全服务以
及提供这些服务所需要的八类安全机制。图2所示的三维安全空间解释了这一体系结构。
@@14219701.GIF;ISO安全体系结构@@
其中,一种安全服务可以通过某种安全机制单独提供,也可以通过多种安全机制联合提
供;一种安全机制可用于提供一种或多种安全服务。
2.美军的国防信息系统安全计划DISSP
DISSP是美军迄今为止最庞大的信息系统安全计划。它将为美国防部所有的网络(话音
、数据、图形和视频图象、战略和战术)提供一个统一的、完全综合的多级安全策略和结构
,并负责管理该策略和结构的实现。图3所示的DISSP安全框架三维模型,全面描述了信息系
统的安全需求和结构。第一维由九类主要的安全特性外加两类操作特性组成,第二维是系统
组成部件,它涉及与安全需求有关的信息系统部件,并提供一种把安全特性映射到系统部件
的简化手段;第三维是OSI协议层外加扩展的两层,OSI模型是面向通信的,增加两层是为了适
应信息处理。
@@14219702.GIF;DISSP安全框架雏形@@
3.通信系统的安全策略
1节和2节较全面地描述了信息系统的安全需求和结构,具有相当的操作指导意义。但仅
有这些,对于构作一个应用于某组织的、具体的网络应用环境的安全框架或安全系统还是不
够的。
目前,计算机厂商在开发适用于企业范围信息安全的有效策略方面并没有走在前面,这
就意味着用户必须利用现有的控制技术开发并维护一个具有足够安全级别的分布式安全系
统。一个安全系统的构作涉及的因素很多,是一个庞大的系统工程。一个明晰的安全策略必
不可少,它的指导原则如下:
·对安全暴露点实施访问控制;
·保证非法操作对网络的数据完整性和可用性无法侵害;
·提供适当等级的、对传送数据的身份鉴别和完整性维护;
·确保硬件和线路的联接点的物理安全;
·对网络设备实施访问控制;
·控制对网络的配置;
·保持对网络设施的控制权;
·提供有准备的业务恢复。
一个通信系统的安全策略应主要包括以下几个方面的内容:
总纲;
适用领域界定;
安全威胁分析;
企业敏感信息界定;
安全管理、责任落实、职责分明;
安全控制基线;
网络操作系统;
信息安全:包括用户身份识别和认证、文件服务器控制、审计跟踪和安全侵害报告、数
据完整性及计算机病毒;
网络安全:包括通信控制、系统状态控制、拨号呼叫访问控制;
灾难恢复。
三、LAN安全
1.LAN安全威胁
1)LAN环境因素造成的安全威胁
LAN环境因素,主要是指LAN用户缺乏安全操作常识;LAN提供商的安全允诺不能全部兑现
。
2)LAN自身成员面临的安全威胁
LAN的每一组成部件都需要保护,包括服务器、工作站、工作站与LAN的联接部件、LAN
与LAN及外部世界的联接部件、线路及线路接续区等。
3)LAN运行时面临的安全威胁
(1)通信线路上的电磁信号辐射
(2)对通信介质的攻击,包括被动方式攻击(搭线窃听)和主动方式攻击(无线电仿冒)
(3)通过联接上网一个未经授权的工作站而进行的网络攻击。攻击的方式可能有:窃听
网上登录信息和数据;监视LAN上流量及与远程主机的会话,截获合法用户log off指令,继续
与主机会话;冒充一个主机LOC ON,从而窃取其他用户的ID和口令。
(4)在合法工作站上进行非法使用,如窃取其他用户的ID、口令或数据
(5)LAN与其他网络联接时,即使各成员网原能安全运行,联网之后,也可能发生互相侵害
的后果。
(6)网络病毒
4)工作站引发的安全威胁
(1)TSR和通信软件的滥用:在分布式应用中,用户一般在本地微机及主机拥有自己的数
据。将微机作为工作站,LAN或主机系统继承了其不安全性。TSR是用户事先加载,由规定事
件激活的程序。一个截获屏幕的TSR可用于窃取主机上的用户信息。这样的TSR还有许多。
某些通信软件将用户键入字符序列存为一个宏,以利于实现对主机的自动LOGON,这也是很危
险的。
(2)LAN诊断工具的滥用:LAN诊断工具本用于排除LAN故障,通过分析网上数据包来确定
线路噪声。由于LAN不对通信链路加密,故LAN诊断工具可用于窃取用户登录信息。
(3)病毒与微机通信:例如Jerusalem-B病毒可使一个由几千台运行3270仿真程序的微机
组成的网络瘫痪。
2 LAN安全措施
1)通信安全措施
(1)对抗电磁信号侦听:电缆加屏蔽层或用金属管道,使较常规电缆难以搭线窃听;使用
光纤消除电磁辐射;对敏感区域(如电话室、PBX所在地、服务器所在地)进行物理保护。
(2)对抗非法工作站的接入:最有效的方法是使用工作站ID,工作站网卡中存有标识自身
的唯一ID号,LAN操作系统在用户登录时能自动识别并进行认证。
(3)对抗对合法工作站的非法访问:主要通过访问控制机制,这种机制可以逻辑实现或物
理实现。
(4)对通信数据进行加密,包括链路加密和端端加密。
2)LAN安全管理
(1)一般控制原则,如对服务器访问只能通过控制台;工作站间不得自行联接;同一时刻
,一个用户只能登录一台工作站;禁止使用网上流量监视器;工作站自动挂起;会话清除;键盘
封锁;交易跟踪等。
(2)访问控制,如文件应受保护,文件应有多级访问权力;SERVER要求用户识别及认证等
。
(3)口令控制,规定最大长度和最小长度;字符多样化;建立及维护一个软字库,鉴别弱口
令字;经常更换口令等。
(4)数据加密:敏感信息应加密
(5)审计日志:应记录不成功的LOGIN企图,未授权的访问或操作企图,网络挂起,脱离联
接及其他规定的动作。应具备自动审计日志检查功能。审计文件应加密等。
(6)磁盘利用:公用目录应只读,并限制访问。
(7)数据备份:是LAN可用性的保证;
(8)物理安全:如限制通信访问的用户、数据、传输类型、日期和时间;通信线路上的数
据加密等。
四、PC工作站的安全
这里,以荷兰NMB银行的PC安全工作站为例,予以说明。在该系统中,PC机作为IBM SNA主
机系统的工作站。
1.PC机的安全局限
(1)用户易于携带、易于访问、易于更改其设置。
(2)MS-DOS或PC-DOS无访问控制功能
(3)硬件易受侵害;软件也易于携带、拷贝、注入、运行及损害。
2.PC安全工作站的目标
(1)保护硬件以对抗未授权的访问、非法篡改、破坏和窃取;
(2)保护软件和数据以对抗:未授权的访问、非法篡改、破坏和窃取、病毒侵害;
(3)网络通信和主机软硬件也应类似地予以保护;
3.安全型PC工作站的设计
(1)PC硬件的物理安全:一个的可行的方法是限制对PC的物理访问。在PC机的后面加一
个盒子,只有打开这个盒子才能建立所需要的联接。
(2)软件安全:Eracon PC加密卡提供透明的磁盘访问;此卡提供了4K字节的CMOS存储用
于存储密钥资料和进行密钥管理。其中一半的存储区对PC总线是只可写的,只有通过卡上数
据加密处理的密钥输入口才可读出。此卡同时提供了两个通信信道,其中一个支持同步通信
。具体的安全设计细节还有:
A、使用Clipcards提供的访问权授予和KEY存储(为脱机应用而设)、Clipcards读写器
接于加密卡的异步口。
B、对硬盘上全部数据加密,对不同性质的文件区分使用密钥。
C、用户LOGON时,强制进入与主机的安全监控器对话,以对该用户进行身份验证和权力
赋予;磁盘工作密钥从主机传送过来或从Clipcards上读取(OFFLINE);此LOGON外壳控制应用
环境和密钥交换。
D、SNA3270仿真器:利用Eracon加密卡实现与VTAM加解密设备功能一致的对数据帧的加
密。
E、主机安全监控器(SECCON):如果可能,将通过3270仿真器实现与PC安全监控程序的不
间断的会话;监控器之间的一套消息协议用于完成对系统的维护。
五、分布式工作站的安全
分布式系统的工作站较一般意义上的网络工作站功能更加全面,它不仅可以通过与网上
服务器及其他分布式工作站的通信以实现信息共享,而且其自身往往具备较强的数据存储和
处理能力。基于Client/Server体系结构的分布式系统的安全有其特殊性,表现如下:
(1)较主机系统而言,跨局域网和广域网,联接区域不断扩展的工作站环境更易受到侵害
;
(2)由于工作站是分布式的;往往分布于不同建筑、不同地区、甚至不同国家,使安全管
理变得更加复杂;
(3)工作站也是计算机犯罪的有力工具,由于它分布广泛,安全威胁无处不在;
(4)工作站环境往往与Internet及其他半公开的数据网互联,因而易受到更广泛的网络
攻击。
可见,分布式工作站环境的安全依赖于工作站和与之相联的网络的安全。它的安全系统
应不劣于主机系统,即包括用户的身份识别和认证;适当的访问控制;强健的审计机制等。除
此之外,分布式工作站环境还有其自身的特殊安全问题,如对网络服务器的认证,确保通信中
数据的保密性和完整性等。这些问题将在后面讨论。
六、通信中的信息安全
通过以上几部分的讨论,我们已将图1所示的网络组件(包括LAN、网络工作站、分布式
工作站、主机系统)逐一进行了剖析。下面,我们将就它们之间的联接安全进行讨论。
1.加密技术
结合OSI七层协议模型,不难理解加密机制是怎样用于网络的不同层次的。
(1)链路加密:作用于OSI数据模型的数据链路层,信息在每一条物理链路上进行加密和
解密。它的优点是独立于提供商,能保护网上控制信息;缺点是浪费设备,降低传输效率。
(2)端端加密:作用于OSI数据模型的第4到7层。其优点是花费少,效率高;缺点是依赖于
网络协议,安全性不是很高。
(3)应用加密:作用于OSI数据模型的第7层,独立于网络协议;其致命缺点是加密算法和
密钥驻留于应用层,易于失密。
2.拨号呼叫访问的安全
拨号呼叫安全设备主要有两类,open-ended设备和two-ended设备,前者只需要一台设备
,后者要求在线路两端各加一台。
(1)open-ended设备:主要有两类,端口保护设备(PPDs)和安全调制解调器。PPDs是处于
主机端口和拨号线路之间的前端通信处理器。其目的是隐去主机的身份,在将用户请求送至
主机自身的访问控制机制前,对该用户进行预认证。一些PPDs具有回叫功能,大部分PPDs提
供某种形式的攻击示警。安全调制解调器主要是回叫型的,大多数有内嵌口令,用户呼叫调
制解调器并且输入口令,调制解调器验证口令并拆线。调制解调器根据用户口令查到相应电
话号码,然后按此号码回叫用户。
(2)two-ended设备:包括口令令牌、终端认证设备、链路加密设备和消息认证设备。口
令令牌日益受到大家欢迎,因为它在认证线路另一端的用户时不需考虑用户的位置及网络的
联接类型。它比安全调制解调器更加安全,因为它允许用户移动,并且禁止前向呼叫。
口令令牌由两部分组成,运行于主机上与主机操作系统和大多数常用访问控制软件包接
口的软件,及类似于一个接卡箱运算器的硬件设备。此软件和硬件实现相同的密码算法。当
一个用户登录时,主机产生一个随机数给用户,用户将该随机数加密后将结果返回给主机;与
此同时,运行于主机上的软件也作同样的加密运算。主机将这两个结果进行对比,如果一致
,则准予登录。
终端认证设备是指将各个终端唯一编码,以利于主机识别的软件及硬件系统。只有带有
正确的网络接口卡(NIC)标识符的设备才允许登录。
链路加密设备提供用于指导线路的最高程度的安全保障。此类系统中,加密盒置于线路
的两端,这样可确保传送数据的可信性和完整性。唯一的加密密钥可用于终端认证。
消息认证设备用于保证传送消息的完整性。它们通常用于EFT等更加注重消息不被更改
的应用领域。一般采用基于DES的加密算法产生MAC码。
七、安全通信的控制
在第六部分中,我们就通信中采取的具体安全技术进行了较为详细的讨论。但很少涉及
安全通信的控制问题,如网络监控、安全审计、灾难恢复、密钥管理等。这里,我们将详细
讨论Micro-LAN-Mainframe网络环境中的用户身份认证、服务器认证及密钥管理技术。这三
个方面是紧密结合在一起的。
1.基于Smartcards的用户认证技术
用户身份认证是网络安全的一个重要方面,传统的基于口令的用户认证是十分脆弱的。
Smartcards是一类一话一密的认证工具,它的实现基于令牌技术。其基本思想是拥有两个一
致的、基于时间的加密算法,且这两个加密算法是同步的。当用户登录时,Smartcards和远
端系统同时对用户键入的某一个系统提示的数进行运算(这个数时刻变化),如果两边运行结
果相同,则证明用户是合法的。
在这一基本的Smartcards之上,还有一些变种,其实现原理是类似的。
2.kerboros用户认证及保密通信方案
对于分布式系统而言,使用Smartcards,就需要为每一个远地系统准备一个Smartcard,
这是十分繁琐的,MIT设计与开发的kerboros用户认证及保密通信方案实现了对用户的透明
,和对用户正在访问的网络类型的免疫。它同时还可用于节点间的保密通信及数据完整性的
校验。kerboros的核心是可信赖的第三方,即认证服务中心,它拥有每一个网络用户的数据
加密密钥,需要用户认证的网络服务经服务中心注册,且每一个此类服务持有与服务中心通
信的密钥。
对一个用户的认证分两步进行,第一步,kerboros认证工作站上的某用户;第二步,当该
用户要访问远地系统服务器时,kerboros起一个中介人的作用。
当用户首次登录时,工作站向服务器发一个请求,使用的密钥依据用户口令产生。服务
中心在验明用户身份后,产生一个ticket,所使用的密钥只适合于该ticket-granting服务。
此ticket包含用户名、用户IP地址、ticket-granting服务、当前时间、一个随机产生的密
钥等;服务中心然后将此ticket、会话密钥用用户密钥加密后传送给用户;用户将ticket解
密后,取出会话密钥。当用户想联接某网络服务器时,它首先向服务中心发一个请求,该请求
由两部分组成,用户先前收到的ticket和用户的身份、IP地址、联接服务器名及一个时间值
,此信息用第一次传回的会话密钥加密。服务中心对ticket解密后,使用其中的会话密钥对
用户请求信息解密。然后,服务中心向该用户提供一个可与它相联接的服务器通信的会话密
钥及一个ticket,该ticket用于与服务器通信。
kerboros方案基于私钥体制,认证服务中心可能成为网络瓶颈,同时认证过程及密钥管
理都十分复杂。
3.基于公钥体制的用户认证及保密通信方案
在ISO11568银行业密钥管理国际标准中,提出了一种基于公钥体制,依托密钥管理中心
而实现的密钥管理方案。该方案中,通信双方的会话密钥的传递由密钥管理中心完成,通信
双方的身份由中心予以公证。这样就造成了密钥管理中心的超负荷运转,使之成为网上瓶颈
,同时也有利于攻击者利用流量分析确定网络所在地。
一个改进的方案是基于公钥体制,依托密钥认证中心而实现的密钥管理方案。该方案中
,通信双方会话密钥的形成由双方通过交换密钥资料而自动完成,无须中心起中介作用,这样
就减轻了中心的负担,提高了效率。由于篇幅所限,这里不再展开讨论。
八、结论
计算机网络技术的迅速发展要求相应的网络安全保障,一个信息系统安全体系结构的确
立有助于安全型信息系统的建设,一个具体的安全系统的建设是一项系统工程,一个明晰的
安全策略对于安全系统的建设至关重要,Micro-LAN-Mainframe网络环境的信息安全是相对
的,但其丰富的安全技术内涵是值得我们学习和借鉴的。
拥有H3CSE认证一般干什么?
2.完成建议的培训京东翰林H3C培训中心班老师分享
H3CSE Routing & Switching培训共包括三门课程,建议按照如下顺序进行学习:
《构建H3C高性能园区网络》
本课程内容覆盖了当前构建高性能园区网络的主要技术。通过对本课程的学习,学员将能理解高性能园区网络中的主要需求和常用技术,掌握如何运用这些技术设计和构建高速、可靠、安全的园区网络。
《H3C大规模网络路由技术》
本课程内容涵盖了当前构建大规模网络的主流路由技术。通过对本课程的学习,学员将能理解大规模网络中路由技术的应用,掌握如何运用各种路由协议和技术设计和构建大规模网络。
《构建安全优化的广域网》
本课程内容涵盖了当前构建一个安全优化的广域网络所涉及的主要技术。通过对本课程的学习,学员将能理解安全优化的广域网中各种技术的应用,掌握宽带接入、各种VPN、增强安全性、VoIP、QoS及OAA等技术理论,并可以灵活运用上述技术设计和构建安全优化的广域网络。
如何构建安全优化的广域网?
广域网优化加速技术特点:1、最大化带宽价值广域网端到端精确带宽控制与均衡技术避免了传统队列机制所带来的广域网下行带宽的浪费,真正实现优先级管理、带宽限制、带宽保障以及带宽的公平使用。独特的单边加速有效提升TCP应用在广域网上的传输效率,提高带宽利用率。高效的透明数据压缩、字节缓存有效消减冗余及重复数据的传输,减少广域网传输数据量,充分挖掘现有带宽潜力,让有限的广域网链路容纳更多的应用和数据,避免带宽升级成本。2、突破性的用户体验单边TCP加速、对象缓存、数据压缩、字节缓存技术的全面使用极大地缩短了应用响应时间,提高了应用在广域网的传输速率,带给用户突破性的体验。单边TCP加速的效果达到2至5倍,数据压缩、缓存的加速效果一般达到几十倍甚至几百倍。3、易于使用及部署采用透明接入模式最大程度上减少用户网络结构的调整。基于网络层的加速、压缩对应用完全透明。多设备部署时,不需要对“对端设备”做任何配置,设备之间也不需要做任何隧道配置,便于轻松扩展并实现大规模自动部署。多设备自动探测技术实现多设备自动协调工作达到最优效果。
SDWAN到底是什么?
首先sd-wan可以分为运营方式和产品方式;
sd-wan是一个概念和新型的企业数据连接及组网方式,各个公司的实现和解决方案各异。目前sd-wan分产品模式和运营模式两大阵营。
产品模式阵营包括velocloud、viptela
(已被cisco
收购)、versa
networks、riverbed等多数sd-wan厂商,其特点是提供企业总部、数据中心、或分支机构边缘网络设备或虚拟设备(customer
premise
equipment,
简称cpe)及集中管理系统。相比于mpls,其主要优势如下:
1.
提升企业wan连接效能、应用体验、及安全性:边缘网络设备能够接入并管理互联网、专线/mpls等各种网络连接,根据应用对延迟、抖动、吞吐的要求智能选择链路。有的厂商还在网络设备中提供网络安全及广域网优化功能,进一步提升网络连接效能、优化应用体验、提升安全性。
2.
替代企业边缘网络设备、简化企业分支网络部署:
替代企业原有边缘网络设备,如路由器、防火墙/utm、广域网优化设备等。
3.
多分支网络统一管理、降低企业it人员开支:集中管理系统能够统一管理企业总部、数据中心、及所有分支机构的网络接入,降低企业分支机构的it专业人才需求及人员开支。
运营模式
1.
替换企业专线/mpls,降低企业wan成本:运营模式的sd-wan优化最后一里互联网连接,应用性能瓶颈的远程连接部分(中间一里)由sd-wan厂商运营的高质量私网承载,企业只需要保留互联网,不再需要订购专线/mpls。
2.
连接可靠性大幅提升:sd-wan厂商运营的高质量私网具有多路由优化及冗余特性,连接的两端只要有一条路径可用,企业应用流量就不会中断。这一整网冗余的机制最大限度保障了连接的可靠性。
3.
快捷的交付:企业只要有互联网连接就可以即时接入sd-wan运营网络。只要企业或分支所在地有sd-wan覆盖,一般当天即可接入使用。
