×××的分類

 

採用加密技術的 ××× 有兩種： IPsec ××× 和 SSL ×××。IPsec ×××比SSL ×××出現得早，因爲協議簡單、實現容易，能夠知足通常狀況下的×××互連要求，IPsec ×××獲得了必定的應用和推廣。可是，在使用IPsec ×××的過程當中，也遇到了一些問題：

· 網絡互連性問題。

在經過NAT（地址轉換）上網的環境中，IPsec報文的IP頭會被出口路由器修改，從而破壞了報文的完整性，在對端的IPsec網關接收時會被丟棄。這樣採用NAT方式上網的用戶鏈接IPsec ×××就會遇到問題。雖而後來有了相應的解決辦法「NAT穿越」，可是增長了使用的複雜性。

另外，在創建IPsec鏈接之初須要經過IKE協議協商密鑰，IKE協議使用UDP報文進行通信。若是用戶上網的線路途徑防火牆，而防火牆配置不當，沒有容許IKE報文經過的話，用戶創建IPsec ×××鏈接仍然會遇到問題。

總之，因爲用戶上網方式多種多樣，上網的環境也比較複雜，IPsec ×××在實際應用中會遇到一些網絡互連方面的問題。

·  客戶端維護問題

對於經過電腦直接遠程訪問內網的用戶，部署IPsec ×××須要預先安裝一個客戶端軟件。因爲如今電腦終端的類型有不少種，如臺式機、筆記本、PDA、手機等；運行的操做系統也不少：有Windows 98/2000/XP/Vista/CE，Unix，Linux，Palm OS等，IPsec ×××須要爲每種運行環境準備一種×××客戶端，安裝維護起來比較麻煩。另外，IPsec ×××的客戶端通常工做在IP層，涉及到對操做系統核心的操做，容易產生異常，帶來系統的不穩定。因此IPsec ×××客戶端的安裝維護是個×××煩。

此外，面對愈來愈多的安全漏洞和******，如何有效地阻止遠程用戶的非法***成爲建設×××系統不容忽視的重要問題。這一點涉及到如下幾方面的技術問題：

·  身份認證

如何驗證用戶的身份？如何保證標識用戶身份的私密信息在網絡傳輸過程當中不被竊取？如何保證用戶身份不會被冒用？

· 訪問控制

即便遠程用戶的身份是真實的，考慮到遠程主機的不可控，遠程主機上可能存在各類潛藏的未知危險，對遠程用戶應當嚴格地、精細地限制訪問權限，以免因爲非法***而形成的系統損失。

· 安全評估

爲了儘量減小遠程訪問所帶來的風險，一種好的做法就是要求遠程主機足夠安全。這就須要對遠程主機的安全狀態進行評估。能夠檢查遠程主機上是否安裝了符合公司安全標準的操做系統，並及時打上了補丁；遠程主機上是否安裝並運行了合適的殺毒軟件，病毒庫是否更新；如此等等。只有在遠程主機足夠安全的狀況下，咱們才容許它遠程接入企業的網絡。

· 動態受權

雖然檢查遠程主機的安全狀態是一種很好的保護網絡安全的做法，可是遠程主機有多是私人設備、公用設備（網吧）、合做方的設備，對這些設備咱們是不能嚴格控制和管理的，於是也難以統一要求在這些設備上必須安裝符合公司網絡安全標準的軟件。對此，好的×××系統應當能夠對遠程主機的安全狀態進行評級，對處於不一樣安全級別的主機授予不一樣的訪問權限，安全的主機將得到較多的訪問資源，不安全的主機將只能訪問少數受限的網絡資源。這種受權管理的辦法將使得用戶的訪問權限再也不只與我的身份相關，還與當前所使用主機的安全狀態相關，於是被稱爲動態受權。

· 精細的訪問日誌

因爲遠程訪問可能帶來比較隱蔽的非法***問題，因此須要對遠程用戶的訪問過程進行詳細的記錄，以便對用戶的訪問行爲進行實時的監控和往後的問題回溯。

面對上述遠程接入的問題和安全管理要求，近年來興起的SSL ×××技術能夠很好地給予解決。做爲國內網絡設備的領導廠商，H3C公司始終關注用戶需求，以用戶需求爲導向來開發產品和設計方案。繼IPsec ×××以後，H3C又推出了功能全面，使用方便的SSL ×××產品。H3C SSL ×××產品的種類和形態不少，既有專用的×××產品V100E，又有集成在防火牆中的SSL ×××模塊，還有采用OAA架構，與以高端交換機配合使用的SecBlade SSL ×××插卡。