SANGFOR+XXXX年度新员工入职培训_常见应用.pptxVIP

常见应用培训;目 录;相关技术概念;相关技术概念培训目标;;;;C/S架构的优势和劣势 ;B/S架构的优势和劣势 ;劣势是应用服务器运行数据负荷较重 ;相关技术概念;;;;;;;相关技术概念;;;相关技术概念;;;;;目 录;认证相关;认证相关培训目标;LDAP的基本概念： Lightweight Directory Access Protocol（轻量级目录访问协议）提供一种方法，开发一个组织中的成员电子目录，使得网络上拥有访问权限的任何人都可以访问该目录。;;;;;;;;;;;;认证相关;RADIUS 是Remote Authentication Dial In User Service （远程用户拨号认证系统 ）的简称，用来管理大量分散用户的认证、授权和计费。;什么是AAA协议？;;通常对Radius协议的服务端口号是1645（认证）、1646（计费）或1812（认证）、1813（计费）。我们设备只用到了1812。 ;用户发出登录请求;SANGFOR 设备与RADIUS服务器结合;远端（Radius）验证——PAP方式： PAP（Password Authentication Protocol）是密码验证协议的 简称，是认证协议的一种。 具体过程： 当用户把用户名密码传给我们设备之后，我们的设备（NAS）首先会生成一个16字节的随机数。然后对这个随机数和共享密钥做一个MD5，再把MD5的结果与密码做一个与或得到最终的安全密码。然后，我们设备会把这个安全密码、用户名、随机数发给RADIUS服务器，RADIUS服务器通过用户名去数据库查询出密码。最后RADIUS服务器会用随机数、共享密钥和密码也算一个安全密码，与从我们设备传过来的安全密码进行比较，如果一致就通过认证，如果不一致就验证失败。; ;远端（RADIUS）验证——CHAP方式： CHAP（Challenge Handshake Authentication Protocol）是 查询握手验证协议的简称，是我们使用的另一种认证协议。 具体过程： 当用户把用户名密码传给我们设备之后，我们的设备首先会生成一个16字节的Chap-challenge，同时生存一个1-256的随机数。然后我们的设备会对Chap-challenge、随机数、password做一个MD5，并且将Chap-challenge、随机数，用户名以及MD5的结果一起传给RADIUS服务器。RADIUS服务器通过用户名去数据库查询出密码。最后RADIUS服务器会用Chap-challenge、随机数以及password算一个MD5，与从我们设备传过来的进行比较，如果一致则验证??过，否则验证失败。;身份验证方式（4）;认证相关;网络安全面临的挑战;对网络的被动攻击和主动攻击 ; 网络中不安全因素造成的危害显而易见；公司企业敏感信息遭到窃取，交易系统账号密码被截获，交易数据遭更改，交易双方受到欺骗等等都严重影响企业业务，使得企业个人蒙受巨大的财产损失和无法估量的非财产损失。 ;CA认证详解;CA认证详解;CA认证详解;加密算法分为： 对称加密算法 非对称加密算法（公钥加密算法）;对称加密算法;非对称加密算法;数据加密（使用公钥加密）;签名（使用私钥加密）;数字证书背景; CA认证流程（双向认证）;认证相关;随着网络技术和应用的发展，更加安全的身份认证方法需求总是被提到公司IT执行者的议程上来，多因素认证使用多种身份认证方法来弥补每一种的不足，构成了一个多层安全体系来区分合法和不合法用户。 ;;动态令牌认证一般采用PIN和令牌的双因素认证 双因素身份认证系统(Two-Factor-Authentication)是采用检测密码结合其他实物两种因数实现对用户的认证，即通常检测 “你知道什么”和“你有什么”。 ;; ? 动态口令技术，到目前为止，该技术的应用成果和大体情况如下： 动态口令技术主要分两种：?同步口令技术, 异步口令技术 同步口令技术中又分为：?基于时间的同步口令,基于事件的同步口令 详细介绍： 时间同步：基于令牌和服务器的时间同步，通过运算来生成一致的动态口令。基于时间同步的令牌在每次进行认证时，服务器端将会检测令牌的时钟偏移量，相应不断的微调自己的时间记录，从而保证了令牌和服务器的同步，确保日常的使用 事件同步：基于事件同步的令牌，其原理是通过某一特定的事件次序及相同的种子值作为输入，在DES算法中运算出一致的密码，其运算机理决定了其整个工作流程同时钟无关，不受时钟的影响，令牌中不存在时间脉冲晶振 。;基于时间同步技术;基于事件同步技术;无论是哪种认证机制都存在需要跟服务器同步的