快捷搜索:

浅谈OSI网络安全体系结构

谋略机收集在给人们的事情、生活带来伟大年夜方便利,也带了信息安然问题,分外是无线收集无疑给我们的事情带来了前所没有的便利,企业员工享受着在不合位置间自由移动带来的便利同时,安然性问题也随之呈现。打仗过收集的同伙都知道,收集的底层支摚根基是OSI参考模型。ISO国际标准组织定义了OSI七层模型的各层功能。它是收集技巧入门者的拍门砖,也是阐发、评判各类收集技巧的依据。

建立七层模型主如果为办理异种收集互连时所碰到的兼容性问题。它的最大年夜优点是将办事、接口和协议这三个观点明确地区分开来;也使收集的不合功能模块分担起不合的职责。也便是说初衷在于办理兼容性,但当收集成长到必然规模的时刻,安然性问题就变得凸起起来。以是就必须有一套体系布局来办理安然问题,于是OSI安然体系布局就应运而生。

OSI安然体系布局是根据OSI七层协议模型建立的。也便是说OSI安然体系布局与OSI七层是相对应的。在不合的层次上都有不合的安然技巧。OSI安然体系布局如下图所示:

▲ 图:OSI安然模型

每层响应的安然技巧如下:

数据链路层:点到点通道协议(PPTP),以及第二层通道协议L2TP

点到点通道协议PPTP,英文全称是Point – to – point Tunneling Protocol。PPTP 是用于在中心收集上传输点对点协议(PPP)帧的一种地道机制。 经由过程使用PPP 的身份验证、加密和协议设置设置设备摆设摆设机制,PPTP 连接同时为远程造访和路由器到路由器的虚拟专用网(VPN)连接供给了一条在公共收集(比如:Internet)上创建安然连接的道路。PPTP 将PPP 帧封装成IP 数据包,以便在急于IP 的互联网上传输,为了确保数据的安然性,平日必要事先对封装的数据进行加密。

▲ 图:PPTP数据款式

L2TP是Cisco的L2F与PPTP相结合的一个协议。L2TP有一部分采纳的是PPTP协议,比犹如样可以对收集数据流进行加密。不过也有不合之处,比如PPTP要求收集为IP收集,L2TP要求面向数据包的点对点连接;PPTP应用单一地道,L2TP应用多地道;L2TP供给包头压缩、地道验证,而PPTP不支持。

▲图:L2TP敕令头款式

收集层:IP安然协议(IPSEC)

IPV4在设计时,只斟酌了信息资本的共享,没有过多的斟酌到安然问题,是以无法从根本上防止收集层进击。在现有的IPV4上利用IPSEC可以加强其安然性,IPSEC在收集层供给了IP报文的机密性、完备性、IP报文源地址认证以及抗伪地址的进击能力。IPSEC可以保护在所有支持IP的传输介质上的通信,保护所有运行于收集层上的所有协议在主机间进行安然传输。IPSEC网关可以安装在必要安然保护的任何地方,如路由器、防火墙、利用办事器或客户机等。

▲ 图:含有IPSEC的数据封装

IPSEC主要由三个协议组成:

1. AH(Authentication Header)认证报头,供给对报文完备性的报文的源地址进行认证。

2. ESP(Encapsulating Security Payload)封装安然载荷,供给对报文内容的加密和认证功能。

3. IKE(Internet Key Exchange) Internet密钥互换,协商信源和信宿节点间保护IP报文的AH和ESP的相关参数,如加密、认证的算法和密钥、密钥的生计光阴等。又称为安然同盟。AH和ESP是收集层协议,IKE是利用层协议。一样平常环境下,IPSEC仅指收集层协议AH和ESP。因为 IPSEC办事是在收集层供给的,任何上层协议都可以应用到此办事。

传输层:安然套接字层(SSL)和传输层安然协议TLS

安然套接层(Secure Sockets Layer,SSL)是网景公司(Netscape)在推出Web浏览器首版的同时,提出的协议。SSL采纳公开密钥技巧,包管两个利用间通信的保密性和靠得住性,使客户与办事器利用之间的通信不被进击者窃听。可在办事器和客户机两端同时实现支持,今朝已成为互联网上保密通讯的工业标准,现行Web浏览器普遍将Http和SSL相结合,从而实现安然通信。SSL协议的上风在于它是与利用层协议自力无关的。高层的利用层协议 (例如:Http、FTP、Telnet等等 ) 能透明的建立于SSL协议之上。SSL协议在利用层协议通信之前就已经完成加密算法、通信密钥的协商以及办事器认证事情。在此之后利用层协议所传送的数据都邑被加密,从而包管通信的私密性。

▲ 图:SSL位于传输层上

传输层安然协议(TLS)是确保互联网上通信利用和其用户隐私的协议。当办事器和客户机进行通信,TLS确保没有第三方能窃听或窃守信息。TLS是安然套接字层(SSL)的后继协议。TLS由两层构成:TLS记录协讲和TLS握手协议。TLS记录协议应用机密措施,如数据加密标准(DES),来包管连接安然。TLS记录协议也可以不应用加密技巧。TLS握手协议使办事器和客户机在数据互换之提高行互相剖断,并协商加密算法和密钥。TLS使用密钥算法在互联网上供给端点身份认证与通讯保密,其根基是公钥根基举措措施(public key infrastructure,PKI)。不过在实现的典典范子中,只有收集办事者被靠得住身份验证,而其客户端则不必然。这是由于公钥根基举措措施普遍商业运营,电子署名证书相称昂贵,通俗大年夜众很难买得起证书。协议的设计在某种程度上能够使主从式架构利用法度榜样通讯本身预防窃听、滋扰(Tampering)、和消息捏造。

会话层:SOCKS代理技巧

SOCKS是一种收集传输协议,主要用于客户端与外网办事器之间通讯的中心通报。SOCKS是"SOCKetS"的缩写。

当防火墙后的客户端要造访外部的办事器时,就跟SOCKS代理办事器连接。这个代理办事器节制客户端造访外网的资格,容许的话,就将客户真个哀求发往外部的办事器。这个协议最初由Devid Koblas开拓,而后由NEC的Ying-Da Lee将其扩展到版本4。最新协议是版本5,与前一版真相比,增添支持UDP、验证,以及IPv6。根据OSI模型,SOCKS是位于利用层与传输层之间的中心层。

利用层:利用法度榜样代理

利用法度榜样代理事情在利用层之上,位于客户机与办事器之间,完全阻挡了二者间的数据交流。从客户机来看,代理办事器相称于一台真正的办事器;而从办事器来看,代理办事器又是一台真正的客户机。当客户机必要应用办事器上的数据时,首先将数据哀求发给代理办事器,代理办事器再根据这一哀求向办事器索取数据,然后再由代理办事器将数据传输给客户机。因为外部系统与内部办事器之间没有直接的数据通道,外部的恶意损害也就很难危害到企业内部收集系统。并对利用层以下的数据透明。利用层代理办事器用于支持代理的利用层协议,如:HTTP、HTTPS、FTP、TELNET等。因为这些协议支持代理,以是只要在客户真个浏览器或其他利用软件中设置“代理办事器”项,设置好代理办事器的地址,客户真个所有哀求将自动转发到代理办事器中。然后由代理办事器处置惩罚或转发该哀求。

您可能还会对下面的文章感兴趣: