2007系统系统分析师考试复习要点精华版.docVIP

2007系统系统分析师考试复习要点精华版 VPN 介绍VPN工作于第3层概述：随着企业网应用的不断发展，企业网的范围也不断扩大，从一个本地网络发展到跨地区跨城市甚至是跨国家的网络。与此同时随着互联网络的迅猛发展，Internet已经遍布世界各地，从物理上讲Internet把世界各地的资源相互连通。正因为Internet是对全世界开放的，如果企业的信息要通过Internet进行传输，在安全性上可能存在着很多问题。但如果采用专用线路构建企业专网，往往需要租用昂贵的跨地区数据专线。如何能够利用现有的Internet来建立企业的安全的专有网络呢？虚拟专用网（VPN）技术就成为一个很好的解决方案。虚拟专用网（VPN）是指在公共网络中建立专用网络，数据通过安全的加密通道在公共网络中传播。企业只需要租用本地的数据专线，连接上本地的Internet，各地的机构就可以互相传递信息；同时，企业还可以利用Internet的拨号接入设备，让自己的用户拨号到Internet上，就可以连接进入企业网中。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等优点，将会成为今后企业网络发展的趋势。 虚拟专用网的本质实际上涉及到密码的问题。在无法保证电路安全、信道安全、网络安全、应用安全的情况下，或者也不相信其他安全措施的情况下，一种行之有效的办法就是加密，而加密就是必须考虑加密算法和密码的问题。考虑到我国对密码管理的体制情况，密码是一个单独的领域。对防火墙而言，是否防火墙支持对其他密码体制的支持，支持提供API来调用第三方的加密算法和密码，非常重要。VPN通常采用的加密标准是3DES，然而它的算法相当复杂，加密过程需要很多计算处理步骤，这会影响到系统性能，增加加密设备的带宽开销。另一类新型加密标准是AES（增强加密标准），它采用的算法要简单些，但目前还只有Check?Point和Nortel支持。AES具备较大的密钥空间，不易攻破，AES有望在不远的将来取代3DES。对大多数公司来说，主要是选择加密标准（3DES或AES），至于与加密相关的其它功能，如IKE（Internet密钥交换）会话、加密密钥生成、通道协议以及安全机制组合都易于设置，一般运用产品的默认设置也就可以了。VPN的安全协议PPTP－Point to Point Tunnel Protocal(点对点隧道协议)Internet协议，它提供PPTP客户机 与PPTP服务器之间的加密通信，它允许公司使用专用的“ Internet来扩展公司的网络。通过Internet的数据通信，需要对数据流进行封装和加密，PPTP就可以实现这两个功能，从而可以通过Internet实现多功能通信。这就是说，通过PPTP的封装或“隧道”服务，使非IP网络可以获得进行Internet通信的优点。但是PPTP会话不可通过代理器进行，PPTP是Microsoft和其它厂家支持的标准，它是PPTP协议的扩展，它可以通过Internet建立VPN。 L2TP－Layer2 Tunneling Protocol(第二层隧道协议) Microsft外，另有一些厂家也做了许多开发工作，PPTP能支持Macintosh和Unix，Cisco的L2F（Layer2 Forwarding）就是又一个隧道协议。Microsoft、Cisco和其它一些网络厂商正一起努力使L2F与PPTP融合，产生一个新的L2TP协议。PPTP和L2TP十分相似，因为L2TP有一部分就是采用PPTP协议，两个协议都允许客户通过其间的网络建立隧道，L2TP正在由包括Microsoft在内的几家厂商开发。L2TP还支持信道认证，但它没有规定信道保护的方法。 IPSEC—Internet Portocol Security(因特网协议安全性) IETF（因特网工程任务组）的指导下开发。开发这个协议的目的是要解决当前协议中存在的一些缺点，这个标准开发完成最快也要在一年以后。Microsoft承诺支持L2TP和IPSEC。IPSEC是由IETFIP安全性工作组定义的协议集，它用于确保网络层之间的安全通信。该协议草案建议使用IPSEC协议集保护IP网和非IP网上的L2TP业务，以及如何将IPSEC和L2FP一起使用，但它并未试图将端对端的安全性标准化。 SOCKs SOCKs是一个网络连接的代理协议，它使SOCKs一端的主机完全访问SOCKs；而另一端的主机不要求IP直接可达。SOCKs能将连接请求进行鉴别和授权，并建立代理连接和传送数据。SOCKs通常用作网络防火墙，它使SOCKs后面的主机能通过Internet取得完全的访问权，而避免了通过Internet对内部主机进行未授权访问。目前，有SOCKsV4和SOCKsV5二个版本，SOCKsV5可以