不足:可能造成单点故障,可能造成性能瓶颈,漏报和无保的影响 4.3.3PKI
公共密钥基础设施是创建、管理、存储、分布和作废数字证书的一场系列软件、硬件、人员、策略和过程的集合
组成:数字证书是PKI的核心;安全策略;证书认证机构(CA);证书注册机构;证书分发机构;基于PKI的应用接口 数字证书
信任模式:单证书认证机构信任模式,层次信任模型,桥证书认证机构信任模型 4.3.4VPN
利用开放的物理链路和专用的安全协议实现逻辑上网络安全连接的技术
网络连接类型:远程访问型VPN(Client-LAN)客户机和服务器都安装VPN软件;网络到网关类型的VPN(LAN-LAN)客户端和服务器各自在自己的网络边界部署硬件VPN网关设备
VPN协议分类:网络隧道技术
第二层隧道协:封装数据链路层数据包;介于二、三层之间的隧道协议;第三层隧道协议IPSec,通用路由封装协议(GRE);传输层的SSL VPN协议:SSL协议工作在TCP/IP和应用层之间
4.3.5网络安全协议
Internet安全协议(IPSec):引入加密算法、数据完整性验证和身份认证;网络安全协议:认证协议头(AH)、安全载荷封装(ESP,传输模式、隧道模式),密钥协商协议:互联网密钥交换协议(IKE) 传输层安全协议(SSL):解决点到点数据安全传输和传输双方身份认证的网络安全传输协议;记录协议和握手协议 应用层安全协议:
Kerberos协议;SSH协议:加密所有传输的数据,能防止DNS欺骗和IP欺骗;安全超文本传输协议(SHTTP);安全多用途网际邮件扩充协议(S/MIME);安全电子交易协议(SET)
