安全网络设计指南.docVIP

FILENAME 安全网络设计指南 - PAGE 49 - 安全网络设计指南 安全性 目录 HYPERLINK \l introduction简介 HYPERLINK \l terms 术语 HYPERLINK \l principle 安全性基本原理 HYPERLINK \l technology 安全技术 HYPERLINK \l anthentication 鉴别技术 HYPERLINK \l integration 完整性和保密性技术 HYPERLINK \l vpdn 虚拟专用拨号网络技术 HYPERLINK \l directory 目录业务和命名技术 HYPERLINK \l policy 创建企业安全策略 HYPERLINK \l internaldialin 内部园区网接入 HYPERLINK \l ciscosolution 目前Cisco的企业网安全性解决方案 HYPERLINK \l ciscofirewall Cisco防火墙鉴别 HYPERLINK \l enterprisesolution 当前企业安全实施方案 HYPERLINK \l conclusion总结 HYPERLINK \l appendixA 附录A：Cisco安全性信息来源 简介 企业网络安全一词在网络产业中越来越盛行。网络安全是一个复杂的课题，一部分原因是今天世界上有许多安全技术，许多都解决相同的安全问题，而且渐向更全面的安全战略演进。本文对安全技术进行综合的介绍；读者将对网络的安全性以及Cisco产品和特性如何被用来实现安全的企业网有一个前瞻的认识。这篇论文应该与Cisco的白皮书及详细介绍下文中提到的产品和特性的资料结合使用。关于Cisco产品和特性的整个章节可以查询相关Cisco文件资料。 第一个章节定义了基本词汇，讨论了今天的网络需要安全性的原因；然后详细介绍了密码学的基本原理，并讨论了各种安全技术。这些安全技术今天已广泛地应用于业界，目前，Cisco系统公司也正在销售或开发它们。大多数技术都是从IETF(Internet Engineering Task Force)产生的，适合IP网络协议。一般地，当一个解决方案想在其它没有基于标准的安全解决方案的联网协议上提供安全业务时，它必须在IP中传输该协议。技术介绍完后，文章接着具体讨论了如向建立企业安全策略、Cisco 提供的产品以及Cisco的产品和特性如何适应安全的企业网 络的设计。最后一部分，给出了 一些 网 络安全策略实例，以及相应的Cisco产品系列上的配置。 术语 在了解安全的基本原理之前，我们必须知道安全领域广泛使用的术语。以下是一些基本的专用词语以及它们的定义。 鉴别身份：确认从终端用户或设备，如主机、服务器、交换机、路由器等处送来的信息的出处。 数据完整性：确保数据在传输过程中未被改动。 数据保密性：确保只有获准能够阅读数据的实体以有效的形式阅读数据。 加密：一种挠乱信息，使之不能被除预期的接收者以外的任何人阅读，而预期接收者必须解密以后才能阅读。 解密：一种恢复加密信息，使之可读的方法。 密钥：一种可以用来加密、解密和标记信息的数字代码。 共用密钥：一种用来加密/解密信息，并核对数字签名的数字代码，这种密码可被广泛使用，它还有相应的专用密钥。 专用密钥：一种用来加密/解密信息并提供数字签名的数字代码；这种密钥由其所有者秘密保存，它有对应的共用密钥。 秘密钥：一种只有两方共享的数字代码，它用来加密、解密数据。 密钥指纹：一种共用密钥独有的可读代码，它可用来核查共用密码的所有者。 hash函数：一种数学计算法，它可产生一串位（数字代码）；这个函数不能反推出原始数。 hash原始数：由 hash 函数产生的位串。 报文提要：由一个 hash 函数（同 hash ）返回的值。 密码：任何加密数据的方法。 数字签名：附加到一个报文（一个加密的hash）的位串，它提供鉴别和数据完整性。 当今网络的安全要求 安全性一直是计算机网络关心的一个问题，而且企业网络基础设施的计算机网络安全的重要性也受到越来越多的关注。拥有一个健全的安全策略（参见“ HYPERLINK \l policy 创建一个企业安全策略”部分），应该是所有企业网的要求。这个策略是对风险进行了分析，列出关键的资产和可能的威胁后制定出来的。有一些威胁是我们主要关心的问题： 伪装 一个用户假装是另一名用户。这种情况可导致目标系统上的非法