技术改变世界 阅读塑造人生! - shaogx.com

This string was altered by TechBlog\Plugins\Example.; This is an example to show the potential of an offcanvas layout pattern in Bootstrap. Try some responsive-range viewport sizes to see it in action.

SSL漏洞:企业如何生成可信SSL证书

许多用户和一些企业过分得依赖SSL,认为SSL是网络安全的万能药。然而,在网站上使用SSL时并不能使企业免受所有网络安全漏洞的影响,即使在最佳的情况下SSL也只是在客户和服务器之间提供了加密的链接。在这篇文章中,我们将讲述为何企业应该仔细评估SSL最新漏洞对计算环境可能造成的风险,以及应该采用哪些措施来降低这些风险。SSL现状:SSL漏洞和攻击... 全文

SSL SSL漏洞 SSL证书 认证中心

SSL VPN详解之SSL基础

就在当前大多数远程访问解决方案是利用基于IPSec安全协议的VPN网络的情况下,一种最新的研究表明近乎90%的企业利用VPN进行的内部网和外部网的联接都只是用来进行因特网访问和电子邮件通信,另外10%的用户是利用诸如x11、聊天协议和其它私有客户端应用,属非因特网应用。而这些90%的应用都可以利用一种更加简单的VPN技术--SSL VPN来提供更加有效的解决方案。基于SSL协议的VPN远程访问方案的更加容易配置和管理,网络配置成本比起目前主流的IPSec VPN还要低许多,所以许多企业已经开始转而利用基于SSL加密协议的远程访问技术来实现VPN通信了。... 全文

SSL VPN

SSL VPN详解之SSL基础

就在当前大多数远程访问解决方案是利用基于IPSec安全协议的VPN网络的情况下,一种最新的研究表明近乎90%的企业利用VPN进行的内部网和外部网的联接都只是用来进行因特网访问和电子邮件通信,另外10%的用户是利用诸如x11、聊天协议和其它私有客户端应用,属非因特网应用。而这些90%的应用都可以利用一种更加简单的VPN技术--SSL VPN来提供更加有效的解决方案。基于SSL协议的VPN远程访问方案的更加容易配置和管理,网络配置成本比起目前主流的IPSec VPN还要低许多,所以许多企业已经开始转而利用基于SSL加密协议的远程访问技术来实现VPN通信了。... 全文

SSL VPN

SSL VPN之SSL协议介绍

SSL (Secure socket Layer)安全套接层协议主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性,它不能保证信息的不可抵赖性,主要适用于点对点之间的信息传输,常用Web Server方式。安全套接层协议(SSL,Security Socket Layer)是网景(Netscape)公司提出的基于WEB应用的安全协议,它包括:服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性。对于电子商务应用来说,使用SSL可保证信息的真实性、完整性和保密性。但由于SSL不对应用层的消息进行数字签名,因此不能提供交易的不可否认性,这是SSL在电子商务中使用的最大不足。有鉴于此,网景公司在从Communicator 4.04版开始的所有浏览器中引入了一种被称作"表单签名(Form Signing)"的功能,在电子商务中,可利用这一功能来对包含购买者的订购信息和付款指令的表单进行数字签名,从而保证交易信息的不可否认性。综上所述,在电子商务中采用单一的SSL协议来保证交易的安全是不够的,但采用"SSL+表单签名"模式能够为电子商务提供较好的安全性保证。(责任编辑:liucl)给力(0票)动心(0票)废话(0票)专业(0票)标题党(0票)路过(0票) getcountscom(20382,11); getcountscom(20382,12); getcountscom(20382,13); getcountscom(20382,14); getcountscom(20382,15); getcountscom(20382,16); ... 全文

SSL VPN

SSL VPN之SSL协议介绍

SSL (Secure socket Layer)安全套接层协议主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性,它不能保证信息的不可抵赖性,主要适用于点对点之间的信息传输,常用Web Server方式。安全套接层协议(SSL,Security Socket Layer)是网景(Netscape)公司提出的基于WEB应用的安全协议,它包括:服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性。对于电子商务应用来说,使用SSL可保证信息的真实性、完整性和保密性。但由于SSL不对应用层的消息进行数字签名,因此不能提供交易的不可否认性,这是SSL在电子商务中使用的最大不足。有鉴于此,网景公司在从Communicator 4.04版开始的所有浏览器中引入了一种被称作"表单签名(Form Signing)"的功能,在电子商务中,可利用这一功能来对包含购买者的订购信息和付款指令的表单进行数字签名,从而保证交易信息的不可否认性。综上所述,在电子商务中采用单一的SSL协议来保证交易的安全是不够的,但采用"SSL+表单签名"模式能够为电子商务提供较好的安全性保证。(责任编辑:liucl)给力(0票)动心(0票)废话(0票)专业(0票)标题党(0票)路过(0票) getcountscom(20382,11); getcountscom(20382,12); getcountscom(20382,13); getcountscom(20382,14); getcountscom(20382,15); getcountscom(20382,16); ... 全文

SSL VPN

提升SSL安全性的十个技巧

【51CTO.com 独家译稿】你的SSL服务器上是否存在错误配置或已知漏洞这样的安全隐患呢?根据以下10个技巧,可以帮你避免这些常见的SSL安全威胁。1.禁用SSLv2。早在15年前,这个版本的SSL协议早就被确认存在安全问题了,但还是有很多Web服务器仍然支持这个协议。禁用它只需几分钟的时间。例如,在Apache v2中,你只需要改变默认设置:... 全文

SSL安全 SSL

SSL证书发展历程

SSL协议是 NetScape 公司于 1994 年提出的一个关注互联网信息安全的信息加密传输协议,其目的是为客户端(浏览器) 到服务器端之间的信息传输构建一个加密通道,此协议是与操作系统和 Web 服务器无关。同时, NetScape 在 SSL协议中采用了主流的加密算法(如: DES 、AES 等) 和采用了通用的 PKI 加密技术。目前, SSL已经发展到 V3.0 版本,已经成为一个国际标准,并得到了所有浏览器和服务器软件的支持。* 部署了SSL证书能说明什么?... 全文

SSL证书 EV SSL 在线交易

SSL证书管理:实用指南

很多网络工程师面对琐事之一是SSL证书的维护和更新。对于笔者而言,SSL证书主要是用于VPN部署,但也有很多网络设备需要证书来加密客户端到服务器的通信。每当笔者声称需要一个证书时,大家都会变得鸦雀无声,可能对于大多数人来说,证书有点恐怖。毕竟很多使用公钥加密技术的现有资源要么处于“保密”状态,要么使用对于实用主义来说过于抽象的原则。本文的目的就是解决这方面的困惑,介绍SSL证书的基本知识和一些常见的现实例子。SSL证书的基本知识Web服务器和相关设备使用的常见证书主要由三部分组成:... 全文

SSL证书 SSL证书管理

基于虚拟主机建立ssl会话

ssl会话过程:一台主机作为服务器端,服务器端建立虚拟主机,基于虚拟主机建立ssl会话 一台主机做CA 客户端(即物理机)注意:ssl会话仅能基于IP地址进行,所以如果使用了基于名称的虚拟主机,只有一个IP,那么只有一个可以建立ssl会话在服务器端建立基于IP,host的虚拟主机1、修改web服务器的配置文件... 全文

SSL会话 虚拟主机建立ssl

使用SSL可以轻松解决云安全问题?

也许向云迁移的过程中最令人畏惧的一点便是失去对自己最私有、最保密数据的控制。技术方式转变带来的忧虑对商业世界来说并不是什么新鲜事,但这种向网络的转变使企业面临着前所未有的风险,当今的企业在云的效率和竞争优势与它带来的风险之间加以权衡。... 全文

SSL保护 数据隔离 SSL证书

自己制作ssl证书:为nginx生成自签名ssl证书

   这里说下Linux 系统怎么通过openssl命令生成 证书。  首先执行如下命令生成一个key  openssl genrsa -des3 -out ssl.key 1024  然后他会要求你输入这个key文件的密码。不推荐输入。因为以后要给nginx使用。每次reload nginx配置时候都要你验证这个PAM密码的。  由于生成时候必须输入密码。你可以输入后 再删掉。  mv ssl.key xxx.key  openssl rsa -in xxx.key -out ssl.key   rm xxx.key   然后根据这个key文件生成证书请求文件   openssl req -new -key ssl.key -out ssl.csr   以上命令生成时候要填很多东西 一个个看着写吧(可以随便,毕竟这是自己生成的证书)    最后根据这2个文件生成crt证书文件   openssl x509 -req -days 365 -in ssl.csr -signkey ssl.key -out ssl.crt    这里365是证书有效期 推荐3650哈哈。这个大家随意。最后使用到的文件是key和crt文件。    如果需要用pfx 可以用以下命令生成    openssl pkcs12 -export -inkey ssl.key -in ssl.crt -out ssl.pfx    在需要使用证书的nginx配置文件的server节点里加入以下配置就可以了。   ssl on;   ssl_certificate /home/ssl.crt;   ssl_certificate_key /home/ssl.key;   ssl_session_timeout 5m;   ssl_protocols SSLv2 SSLv3 TLSv1;   ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;   ssl_prefer_server_ciphers on;    然后重启nginx就大功告成了本文出自 “运维工程师” 博客,请务必保留此出处http://yanzhe.blog.51cto.com/5279577/1194651... 全文

签名 制作 ssl证书

start ssl 证书申请及配置nginx

        start ssl证书申请及nginx的https配置,已经配了N次了,对那些步骤都搞烂了,但最近的工作中却让我为之痛苦了2天,跟我最大的感觉就是,要专业就看专业的文章,不专业的讲解,只会误导新手,当初犯的错,早晚要用痛苦来弥补,下面给出自己的血的教训,请童鞋们谨记吧。 ... 全文

startssl ssl证书申请 nginx的ssl证书配置

巧选服务器证书一:SSL服务器证书加密强度

在世界范围内,安全套接协议层Secure Sockets Layer(简称SSL)是网络安全的最为基础的安全标准。SSL协议通过加密敏感数据使得真正信息接受者才能阅读相关信息,阻止机密信息、重要数据通过网络泄露出去。与此同时,SSL技术可以使访问网页的客户识别所访问的网站的真实性。目前主流的操作系统、web应用软件及工具均支持该协议。SSL安全加密机制功能是依靠使用数字证书来实现的。安全专家开发了“SSL Certificate”(服务器证书),其功能类似于驾照或护照,由数字认证中心(Certificate Authority 简称CA)对外颁发。... 全文

SSL服务器 ssl服务器证书 加密

Java Code Examples for javax.net.ssl.SSLContext

下面的这些例子是从开源项目中抽取出来的30个SSLContext的例子,收藏一下,供参考:Code Example 1: From project JGlobus, under directory /jsse/src/main/java/org/globus/gsi/jsse/. Source SSLConfigurator.java... 全文

security ssl example SSLContext javax.net.ssl.SSLCon

THC SSL DOS攻擊 一種沒有解藥的新攻擊工具

        研究人员发布了一个攻击工具,任何人都可以把提供SSL安全连接的网站攻击下线,新的方法被称为SSL拒绝服务攻击(SSL DOS)。德国黑客组织“The Hacker’s Choice”发布了THC SSL DOS,利用SSL中的已知弱点,迅速消耗服务器资源,与传统DDoS工具不同的是,它不需要任何带宽,只需要一台执行单一攻击的电脑。... 全文

THC SSL DOS攻擊 THC SSL DOSDOS攻擊

Vsftpd完全攻略(四)搭建支持SSL加密传输的vftpd

 ftp传输数据是明文,弄个抓包软件就可以通过数据包来分析到账号和密码,为了搭建一个安全性比较高ftp,可以结合SSL来解决问题 SSL(Secure Socket Layer)工作于传输层和应用程序之间.作为一个中间层,应用程序只要采用SSL提供的一套SSL套接字API来替换标准的Socket套接字,就可以把程序转换为SSL化的安全网络程序,在传输过程中将由SSL协议实现数据机密性和完整性的保证.SSL取得大规模成功后,IETF将SSL作了标准化,并将其称为TLS(Transport Layer Security).Ftp结合SSL,将实现传输数据的加密,保证数据不被别人窃取.  下面我们使用linux自带的抓包工具tcpdump抓包分析,来截取ftp登录用户口令... 全文

FlashFXP连接FTP tcpdump ssl Vsftpd完全攻略 Vsftpd支持SSL

升级nginx到1.2.0

首先下载最新源码文件 nginx-1.2.0.tar.gz  解压 tar -zxvf  nginx-1.2.0.tar.gz 同目录下产生同名文件夹  cd nginx-1.2.0.tar.gz   察看原来的配置 /usr/local/nginx/sbin/nginx -V 注意是大写的V nginx version: nginx/0.7.6.x built by gcc 4.1.2 20080704 (Red Hat 4.1.2-48) TLS SNI support disabled configure arguments: --prefix=/usr/local/nginx  --with-http_ssl_module --with-http_stub_status_module 拷贝你的红色字体的安装配置参数 安装配置: cd nginx-1.2.0 # ./configure --prefix=/usr/local/nginx  --with-http_ssl_module --with-http_stub_status_module   中途提示缺少pcre配置,图省事,直接yum安装 yum -y install pcre-devel yum -y install pcre-devel openssl openssl-devel   然后make但是不要make install 编译完,在objs目录下有一个nginx执行文件,备份下原来老的nginx文件: mv /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx.old 复制新文件 cp objs/nginx /usr/local/nginx/sbin/nginx 检测一下是否正常读取配置文件 /usr/local/nginx/sbin/nginx -t   nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok  nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful     显示没有问题。   执行命令完成升级: make upgrade 会有如下输出  nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok  nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful  kill -USR2 `cat /usr/local/nginx/logs/nginx.pid`  sleep 1  test -f /usr/local/nginx/logs/nginx.pid.oldbin  kill -QUIT `cat /usr/local/nginx/logs/nginx.pid.oldbin`   检查版本是否已经更新:/usr/local/nginx/sbin/nginx -V  nginx version: nginx/1.2.0 TLS SNI support disabled 还有一行是你的编译参数 至此,升级完成. 我在升级过程中make报错 编译时候出现错误提示:  objs/src/http/ngx_http_request.o: In function `ngx_http_ssl_servername':   ngx_http_request.c:(.text+0xba7): undefined reference to `SSL_get_servername'  ngx_http_request.c:(.text+0xc5b): undefined reference to `SSL_set_SSL_CTX'   原因是升级了openssl  解决办法: ./configure --prefix=/usr/local/nginx  --with-http_ssl_module --with-http_stub_status_module --with-openssl=这里执行openssl的源码包的地址,不是安装路径... 全文

linux SSL_set_SSL_CTX' SSL_get_servername' 升级nginx-1.2.0

SSL

一、安全的协议1、由于SSL VPN 采用了SSL(Security socket layer)协议,该协议是介于介于HTTP层及TCP层的安全协议。 2、通过SSL VPN是接入企业内部的应用,而不是企业的整个网络。如果是IPSEC的VPN网络,客户通过vpn是联入的整个企业网络。没有控制的联入整个企业的网络是非常危险的。 3、由于采用SSL 安全协议在网络中传输,所以gateway上的防火墙来讲,只需要打开有限的安全端口即可,不需要将所有对应应用的端口开放给公网用户,这样大大降低了整个网络被公网来的攻击的可能性。 4、数据加密的安全性有加密算法来保证,这个各家公司的算法可能都不一样,有标准的算法比如DES,3DES,RSA等等也有自己的加密算法。黑客想要窃听网络中的数据,就要能够解开这些加密算法后的数据包。 5、Session保护功能:现在所有的SSL VPN 基本上都能够做到这个功能,就是在会话停止一段时间以后自动停止会话,如果需要继续访问则要从新登陆,通过对Session的保护来起到数据被窃听后伪装访问的攻击; 二、产品起到的安全功能1、 首先由于SSL VPN一般在GATEWAY上或者在防火墙后面,把企业内部需要被授权外部访问的内部应用注册到SSL VPN上,这样对于GATEWAY来讲,这需要开通443 这样的端口到SSL VPN即可,而不需要开通所有内部的应用的端口,如果有黑客发起攻击也只能到SSL VPN这里,攻击不到内部的实际应用。 2、 不改变防病毒策略:从另外一个角度来讲,如果您采用了IPSEC VPN的产品,当客户端有一台电脑通过VPN联入网络后,该网络的防病毒的策略将被彻底破坏,应为联入内部网络的电脑并不受原来公司的防病毒策略的保护,而ssl vpn 就没有这个问题,SSL VPN需要访问的数据是事先被允许的; 3、不改变防火墙策略:基本原理同防病毒。还是从IPSEC的角度来讲,如果当客户端有一台电脑通过VPN联入网络后,如果该电脑被黑客攻击安装了木马,这个电脑将成为攻击内部网络的跳板,而ssl vpn就没有这个问题。 给力(0票)动心(0票)废话(0票)专业(0票)标题党(0票)路过(0票) getcountscom(11902,11); getcountscom(11902,12); getcountscom(11902,13); getcountscom(11902,14); getcountscom(11902,15); getcountscom(11902,16); ... 全文

SSL-VPN

SSL

客观的讲,目前SSL VPN不论是在应用实现还是在部署成本商均较IPsec要弱。我们公司当初在采购的时候也曾经考虑过SSL VPN,但是最后还是上了Ipsec。个人认为还需等一段时间。事实上,利用SSL VPN利用浏览器本身只能做到B/S应用和访问ftp 服务,这在目前大大降低了灵活性。如果你要实现桌面级的应用,比如C/S结构的系统,怎么办?不管采用哪一家的SSL VPN,你仍然需要安装专门的客户端,就好像IPsec。 随着日后B/S结构应用的崛起,我们相信SSL VPN会有它大放异彩的一天,但还不是今天。 目前由于用户在对SSL VPN的选择上越来越感兴趣,所以针对基于IPSEC的VPN和基于SSL的VPN我整理了一些材料进行了技术对比及分析供大家参考。 SSL VPN厂家经常强调其技术产品优势,主要包括以下几点: 1. IPSec VPN部署、管理成本比SSL VPN高; 2. SSL VPN比IPSEC VPN更安全; 3. SSL VPN与IPSec VPN相比,具有更好的克扩展性; 4. SSL VPN在访问控制方面比IPSec VPN做的更细粒度; 5. 使用SSL VPN相比IPSEC VPN也具有更好的经济性。 一、IPSec VPN部署、管理成本比SSL VPN高; 首先我们先认识一下IPSEC存在的不足之处: 在设计上,IPSec VPN是一种基础设施性质的安全技术。这类VPN的真正价值在于,它们尽量提高IP环境的安全性。可问题在于,部署IPSec需要对基础设施进行重大改造,以便远程访问。好处就摆在那里,但管理成本很高。IPSec安全协议方案需要大量的IT技术支持,包括在运行和长期维护两个方面。在大的企业通常有几个专门的员工为通过IPSec安全协议进行的VPN远程访问提供服务。 IPSec VPN最大的难点在于客户端需要安装复杂的软件,而且当用户的VPN策略稍微有所改变时,VPN的管理难度将呈几何级数增长。SSL VPN则正好相反,客户端不需要安装任何软件或硬件,使用标准的浏览器,就可通过简单的SSL安全加密协议,安全地访问网络中的信息。 其次我们再看看SSL的所谓优势特点: SSL VPN避开了部署及管理必要客户软件的复杂性和人力需求;SSL在Web的易用性和安全性方面架起了一座桥梁,目前对SSL VPN公认的三大好处是: 第一来自于它的简单性,它不需要配置,可以立即安装、立即生效; 第二个好处是客户端不需要麻烦的安装,直接利用浏览器中内嵌的SSL协议就行;第三个好处是兼容性好,传统的IPSec VPN对客户端采用的操作系统版本具有很高的要求,不同的终端操作系统需要不同的客户端软件,而SSL VPN则完全没有这样的麻烦。 最后我们对两者进行综合分析得知: 1、SSL强调的优势其实主要集中在VPN客户端的部署和管理上,我们知道前面SSL一再强调无需安装客户端,主要是由于浏览器内嵌了SSL协议,也就是说是基于B/S结构的业务时,可以直接使用浏览器完成SSL的VPN建立;但如果客户的应用系统采用的是C/S结构的话,仍然需要安装Client软件; 2、目前进行VPN部署的用户大部分都是要求对现有业务需要支持的用户,而据统计这样的用户95%以上都有主要基于C/S架构的重要应用系统,也就是说其“Client软件无需安装”的优势是有很大局限性的,特别是对中国目前很多用户来说这种方式实用性不强; 3、基于B/S的安全性显而易见远远不如基于C/S结构; 4、但同时基于IPSEC的VPN虽然在业务应用基于B/S上没有基于SSL的方便,但在业务应用基于C/S方面确下足了功夫,比如说天融信公司提供一套VPN客户端自动部署系统-ADS,它能帮助用户轻松实现客户端、证书等的统一部署,而SSL VPN在基于C/S的部署时,则无此功能和实际的成功案例。 二、SSL VPN比IPSEC VPN更安全 首先我们还是先认识一下IPSEC存在的不足之处: 1、在通路本身安全性上,传统的IPsec VPN还是非常安全的,比如在公网中建立的通道,很难被人篡改。说其不安全,是从另一方面考虑的,就是在安全的通路两端,存在很多不安全的因素。比如总公司和子公司之间用IPsec VPN连接上了,总公司的安全措施很严密,但子公司可能存在很多安全隐患,这种隐患会通过IPsec VPN传递给总公司,这时,公司间的安全性就由安全性低的分公司来决定了。 2、比如黑客想要攻击应用系统,如果远程用户以IPSec VPN的方式与公司内部网络建立联机之后,内部网络所连接的应用系统,黑客都是可以侦测得到,这就提供了黑客攻击的机会。 3、比如应对病毒入侵,一般企业在Internet联机入口,都是采取适当的防毒侦测措施。不论是IPSec VPN或SSL VPN联机,对于入口的病毒侦测效果是相同的,但是比较从远程客户端入侵的可能性,就会有所差别。采用IPSec联机,若是客户端电脑遭到病毒感染,这个病毒就有机会感染到内部网络所连接的每台电脑。 4、不同的通讯协议,并且通过不同的通讯端口来作为服务器和客户端之间的数据传输通道。以Internet Email系统来说,发信和收信一般都是采取SMTP和POP3通讯协议,而且两种通讯端口是采用25端口,若是从远程电脑来联机Email服务器,就必须在防火墙上开放25端口,否则远程电脑是无法与SMTP和POP3主机沟通的。IPSec VPN联机就会有这个困扰和安全顾虑。在防火墙上,每开启一个通讯埠,就多一个黑客攻击机会。 其次我们再看看SSL的所谓优势特点: 1、SSL安全通道是在客户到所访问的资源之间建立的,确保点到点的真正安全。无论在内部网络还是在因特网上数据都不是透明的。客户对资源的每一次操作都需要经过安全的身份验证和加密。 2、若是采取SSL VPN来联机,因为是直接开启应用系统,并没在网络层上连接,黑客不易侦测出应用系统内部网络设置,同时黑客攻击的也只是VPN服务器,无法攻击到后台的应用服务器,攻击机会相对就减少。 3、而对于SSL VPN的联机,病毒传播会局限于这台主机,而且这个病毒必须是针对应用系统的类型,不同类型的病毒是不会感染到这台主机的。因此通过SSL VPN连接,受外界病毒感染的可能性大大减小。 4、SSL VPN就没有这方面的困扰。因为在远程主机与SSLVPN Gateway之间,采用SSL通讯端口443来作为传输通道,这个通讯端口,一般是作为Web Server对外的数据传输通道,因此,不需在防火墙上做任何修改,也不会因为不同应用系统的需求,而来修改防火墙上的设定,减少IT管理者的困扰。如果所有后台系统都通过SSL VPN的保护,那么在日常办公中防火墙只开启一个443端口就可以,因此大大增强内部网络受外部黑客攻击的可能性。 最后我们对两者进行综合分析得知: 1、目前基于SSL的VPN网关都还是一种‘点到端’的模式,因而在‘端’处两种VPN都面临着‘端’内部的不安全性,如:内网数据的非法监听等等; 2、由于基于IPSEC的VPN本身也有严格的SPD(安全策略库),因此也只有响应的应用类型数据可以达到内部对应服务器,所以两者对防病毒的意义是相同的; 3、由于用户的应用系统存在着大量的基于C/S架构的业务系统,同时基于SSL的VPN产品技术可能还需支持DNS、SMTP、LDAP等其他管理和安全功能,所以它同样面临着多端口的安全威胁;而目前基于IPSEC的VPN已经做了很多技术的改进,所以所开放的协议和端口很少,同时加上防火墙/VPN一体机的这种结构,使得VPN和防火墙的访问控制技术很好结合起来,大大提供VPN自身的安全性。 三、SSL VPN与IPSec VPN相比,具有更好的可扩展性; 首先我们还是先认识一下IPSEC存在的不足之处: IPSec VPN在部署时一般放置在网络网关处,因而要考虑网络的拓扑结构,如果增添新的设备,往往要改变网络结构,那么IPSec VPN就要重新部署,因此造成IPSec VPN的可扩展性比较差。 其次我们再看看SSL的所谓优势特点: 而SSL VPN就有所不同,它一般部署在内网中任一节点处即可,可以随时根据需要,添加需要VPN保护的服务器,因此无需影响原有网络结构。 最后我们对两者进行综合分析得知: 1.由于目前国内知名的VPN厂商(如天融信等),就提供透明模式下的VPN网关,所以对用户原有的网络不做任何改变,包括主机路由、接入方式等方面; 2.同时由于VPN网关本身就是安全设备,所以它自身的安全性也非常重要,因此SSL VPN网关虽然提供简单的包过滤功能,但是远远不如防火墙/VPN一体机安全,因此SSLVPN网关需要通过防火墙进行特殊的安全保护部署;同时由于它位于防火墙后面,也使得SSL的数据无法被防火墙进行安全过滤,但在同等条件下防火墙/VPN一体机则很好解决了加密和防火墙的访问控制的矛盾。 四、SSL VPN在访问控制方面比IPSec VPN做的更细粒度; 为什么最终用户要部署VPN,究其根本原因,还是要保护网络中重要数据的安全,比如财务部门的财务数据,人事部门的人事数据,销售部门的项目信息,生产部门的产品配方等等。 首先我们还是先认识一下IPSEC存在的不足之处: 由于IPSec VPN部署在网络层,因此,内部网络对于通过VPN的使用者来说是透明的,只要是通过了IPSec VPN网关,他可以在内部为所欲为。因此,IPSec VPN的目标是建立起来一个虚拟的IP网,而无法保护内部数据的安全。所以IPSec VPN又被称为网络安全设备。 其次我们再看看SSL的所谓优势特点: 在电子商务和电子政务日益发展的今天,各种应用日益复杂,需要访问内部网络人员的身份也多种多样,比如可能有自己的员工、控股公司的工作人员、供货商、分销商、商业合作伙伴等等。与IPSec VPN只搭建虚拟传输网络不同的是,SSL VPN重点在于保护具体的敏感数据,比如SSL VPN可以根据用户的不同身份,给予不同的访问权限。就是说,虽然都可以进入内部网络,但是不同人员可以访问的数据是不同的。 而且在配合一定的身份认证方式的基础上,不仅可以控制访问人员的权限,还可以对访问人员的每个访问,做的每笔交易、每个操作进行数字签名,保证每笔数据的不可抵赖性和不可否认性,为事后追踪提供了依据。 最后我们对两者进行综合分析得知: 1.目前基于SSL的VPN和基于IPSEC远程接入的VPN都采用的是点到端的模式,所以在进入内网后(VPN网关后)都面临着内部数据安全的问题,虽然两者都可以分别通过各自VPN的策略和认证的安全方式对用户进行相应的安全过滤; 2.只有基于点到点的SSL VPN才能真正做到每个应用、每笔业务的细粒度控制,但这需要服务器端提供直接的SSL接口,服务器系统本身提供强认证等安全功能,所以目前这种基于SSL的VPN网关方式还不能到达这种细粒度的要求。 五、使用SSL VPN相比IPSEC VPN也具有更好的经济性 首先我们还是先认识一下IPSEC存在的不足之处: 对于IPSec VPN来说,每增加一个需要访问的分支,就需要添加一个硬件设备。所以,尤其是对于一个成长型的公司来说,随着IT建设的扩大,要不断购买新的设备来满足需要。 其次我们再看看SSL的所谓优势特点: 使用SSL VPN只需要在总部放置一台硬件设备就可以,就可以实现所有用户的远程安全访问接入。 最后我们对两者进行综合分析得知: 1、但是我们知道基于IPSEC的VPN也支持点到端的方式(也就是指远程的‘点’用户连接总部VPN网关的‘端’用户),也就是说也可以支持总部放置一台硬件设备就可以了,其他都使用VPN客户端就可以了,况且国内外很多VPN客户端实质上都是免费的; 2、同时对于很多企业自己专用的业务应用系统(基于C/S架构的业务应用系统)来说,如果系统本身没有进行安全地设计SSL接口或者更本就没有提供的话,这种SSL的远程接入方式根本就没有办法满足用户需求。 综观上述,SSL VPN虽然有很多新颖的特点,但是无论从用户的实际出发还是我们作为基于IPSEC技术厂家的角度来说,大家都必须要冷静看待新技术的发展,其必然有个过程和局限性,特别是想取代目前成熟的安全技术时都有很大盲目性,对于我们而言就更是如此,希望此文章对于我们的销售还是技术都能有所帮助,谢谢大家的阅读!!! 给力(0票)动心(0票)废话(0票)专业(0票)标题党(0票)路过(0票) getcountscom(11904,11); getcountscom(11904,12); getcountscom(11904,13); getcountscom(11904,14); getcountscom(11904,15); getcountscom(11904,16); ... 全文

SSL-VPN

2 3 4 5 6 7 8 9 10 11