安全是一個(gè)廣泛的主題����,它涉及到許多不同的區(qū)域(物理設(shè)備����、網(wǎng)絡(luò)、系統(tǒng)平臺(tái)����、應(yīng)用程序等),每個(gè)區(qū)域都有其相關(guān)的風(fēng)險(xiǎn)����、威脅及解決方法�����。在網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)中需要關(guān)注的安全因素主要有操作系統(tǒng)的安全�����、用戶(hù)信息的安全����、應(yīng)用軟件的安全���,以及網(wǎng)絡(luò)的安全等�。
Q:什么是SSL安全認(rèn)證技術(shù)��?
A:SSL是Secure socket Layer 的英文縮寫(xiě)��,它的中文意思是安全套接層協(xié)議�����,指使用公鑰和私鑰技術(shù)組合的安全網(wǎng)絡(luò)通訊協(xié)議����。SSL協(xié)議是網(wǎng)景公司(Netscape)推出的基于WEB應(yīng)用的安全協(xié)議,SSL協(xié)議指定了一種在應(yīng)用程序協(xié)議(如Http����、Telenet、NMTP和FTP等)和TCP/IP協(xié)議之間提供數(shù)據(jù)安全性分層的機(jī)制��,它為T(mén)CP/IP連接提供數(shù)據(jù)加密��、服務(wù)器認(rèn)證�、消息完整性以及可選的客戶(hù)機(jī)認(rèn)證,主要用于提高應(yīng)用程序之間數(shù)據(jù)的安全性�,對(duì)傳送的數(shù)據(jù)進(jìn)行加密和隱蔽,確保數(shù)據(jù)在傳送中不被改變���,即確保數(shù)據(jù)的完整性�����。
SSL以對(duì)稱(chēng)密碼技術(shù)和公開(kāi)密碼技術(shù)相結(jié)合��,可以實(shí)現(xiàn)如下三個(gè)通信目標(biāo):
1��、 秘密性:SSL客戶(hù)機(jī)和服務(wù)器之間傳送的數(shù)據(jù)都經(jīng)過(guò)了加密處理��,網(wǎng)絡(luò)中的非法竊聽(tīng)者所獲取的信息都將是無(wú)意義的密文信息����。
2、 完整性:SSL利用密碼算法和散列(HASH)函數(shù)�,通過(guò)對(duì)傳輸信息特征值的提取來(lái)保證信息的完整性,確保要傳輸?shù)男畔⑷康竭_(dá)目的地�,可以避免服務(wù)器和客戶(hù)機(jī)之間的信息受到破壞。
3��、 認(rèn)證性:利用證書(shū)技術(shù)和可信的第三方認(rèn)證����,可以讓客戶(hù)機(jī)和服務(wù)區(qū)相互識(shí)別對(duì)方的身份。為了驗(yàn)證證書(shū)持有者是其合法用戶(hù)(而不是冒名用戶(hù))�,SSL要求證書(shū)持有者在握手時(shí)相互交換數(shù)字證書(shū),通過(guò)驗(yàn)證來(lái)保證對(duì)方身份的合法性�����。
對(duì)于可靠性要求高的行業(yè)用戶(hù)���,網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)可以采用SSL協(xié)議對(duì)有關(guān)控制信令進(jìn)行加密、身份認(rèn)證�����、安全傳輸?shù)龋话銓?duì)視頻數(shù)據(jù)不采用SSL.
Q:MPLS VPN如何保障網(wǎng)絡(luò)及信息安全���?
A:MPLS為每個(gè)IP包加上一個(gè)固定長(zhǎng)度的標(biāo)簽��,并根據(jù)標(biāo)簽值轉(zhuǎn)發(fā)數(shù)據(jù)包�����。MPLS實(shí)際上就是一種隧道技術(shù)�����,所以使用它來(lái)建立VPN隧道十分容易而高效�����。MPLS VPN采用路由隔離��、地址隔離和信息隱藏等多種手段提供了抗攻擊和標(biāo)記欺騙的手段��。
1��、 路由隔離
MPLS VPN實(shí)現(xiàn)了VPN之間的路由隔離����。每個(gè)PE路由器為每個(gè)所連接的VPN都維護(hù)一個(gè)獨(dú)立的虛擬路由轉(zhuǎn)發(fā)實(shí)例(VFI),每個(gè)VFI駐留來(lái)自同一VPN的路由(靜態(tài)配置或在PE和CE之間運(yùn)行路由協(xié)議)��。因?yàn)槊總€(gè)VPN都產(chǎn)生一個(gè)獨(dú)立的VFI����,因此不會(huì)受到該P(yáng)E路由器上其它VPN的影響。
在穿越MPLS核心到其它PE路由器時(shí)���,這種隔離是通過(guò)為多協(xié)議BGP(MP-BGP)增加唯一的VPN標(biāo)志符(比如路由區(qū)分器)來(lái)實(shí)現(xiàn)的(這是在BGP方式下�,虛擬路由的方式與此類(lèi)似)�����。MP-BGP穿越核心網(wǎng)專(zhuān)門(mén)交換VPN路由���,并保存在其它PE的特定VPN的VFI中�����,而不會(huì)把這些BGP信息重新分發(fā)給核心網(wǎng)絡(luò)�。因此穿越MPLS網(wǎng)絡(luò)的每個(gè)VPN的路由是相互隔離的�。
2���、 隱藏MPLS核心結(jié)構(gòu)
出于安全考慮�,運(yùn)營(yíng)商和終端用戶(hù)通常并不希望把它們的網(wǎng)絡(luò)拓?fù)浔┞督o外界,這可以使攻擊變得更加困難����。如果知道了IP地址,一個(gè)潛在的攻擊者至少可以對(duì)該設(shè)備發(fā)起Dos攻擊���。但由于使用了“路由隔離”�,MPLS不會(huì)將不必要的信息泄漏給外界���,甚至是向客戶(hù)VPN��。
在不提供因特網(wǎng)接入服務(wù)的“純粹”的MPLS VPN中�,信息隱藏的程度可以與幀中繼或ATM網(wǎng)絡(luò)相媲美�����,因?yàn)樗粫?huì)把任何編址信息泄漏給第三方或因特網(wǎng)����。因此當(dāng)MPLS網(wǎng)絡(luò)沒(méi)有和因特網(wǎng)互聯(lián)時(shí),其安全性等價(jià)于幀中繼或ATM網(wǎng)絡(luò)。但如何客戶(hù)選擇通過(guò)MPLS核心網(wǎng)絡(luò)同時(shí)接入到因特網(wǎng)����,那么運(yùn)營(yíng)商至少會(huì)把一個(gè)IP地址(對(duì)等PE路由器的)暴露給下一個(gè)運(yùn)營(yíng)商或用戶(hù),存在被攻擊的可能性��。
3�、 抗攻擊性
因?yàn)檫M(jìn)行了路由隔離,因此不可能從一個(gè)VPN攻擊另外一個(gè)VPN或核心網(wǎng)絡(luò)����。但從理論上講有可能利用路由協(xié)議對(duì)PE路由器進(jìn)行Dos攻擊,或者攻擊MPLS的信令信息�����。
要相攻擊PE路由器就必須知道它的IP地址�,但由于上面介紹的原因,IP地址已經(jīng)被隱蔽�����。另外�����,就算是攻擊者猜測(cè)到了PE的IP地址,也無(wú)法進(jìn)行有效的攻擊�����,因?yàn)橐策M(jìn)行了有效的MPLS“路由隔離”�。對(duì)于MPLS信令系統(tǒng)的攻擊����,如果在所有PE/CE對(duì)等體上對(duì)路由協(xié)議使用MD5認(rèn)證,就能夠有效防止虛假路由的問(wèn)題���。另外����,很容易跟蹤這種潛在的對(duì)PE的Dos攻擊的源地址�。
4、 標(biāo)記欺騙
在MPLS網(wǎng)絡(luò)中�����,包的轉(zhuǎn)發(fā)不是基于IP目的地址����,而是基于由PE路由器預(yù)先添加的標(biāo)記��。與IP欺騙攻擊時(shí)攻擊者替代包的IP源地址和目的地址相似���,理論上有可能出現(xiàn)MPLS包的標(biāo)記欺騙。
任何CE路由器和它的對(duì)等PE路由器之間的接口主要是IP接口(也就是說(shuō)沒(méi)有標(biāo)記)����。CE路由器不知道MPLS 核心的存在,所有的“標(biāo)記”工作都應(yīng)該是由PE完成的�。因此出于安全考慮,PE路由器應(yīng)該不接受來(lái)自CE路由器的任何標(biāo)記包����。當(dāng)然,發(fā)送到MPLS網(wǎng)絡(luò)中的包仍然存在IP地址欺騙的可能性�,但這可以通過(guò)地址隔離來(lái)實(shí)現(xiàn),使得屬于某個(gè)VPN的用戶(hù)只可能攻擊他自己的網(wǎng)絡(luò)�����,而無(wú)法攻擊別人的網(wǎng)絡(luò)�����。
Q:防火墻如何保障系統(tǒng)安全�?
A:現(xiàn)在防火墻產(chǎn)品一般通過(guò)如下技術(shù)保障系統(tǒng)安全:
1�、包過(guò)濾技術(shù):其原理在于監(jiān)視并過(guò)濾網(wǎng)絡(luò)上流入流出的包���,拒絕發(fā)送那些可疑的包���。由于包過(guò)濾技術(shù)無(wú)法有效地區(qū)分相同IP地址的不同用戶(hù)����,安全性相對(duì)較差。
2���、代理服務(wù)技術(shù):其原理是在網(wǎng)關(guān)計(jì)算機(jī)上運(yùn)行應(yīng)用代理程序�����,運(yùn)行時(shí)由兩部分連接構(gòu)成:一部分是應(yīng)用網(wǎng)關(guān)同內(nèi)部網(wǎng)用戶(hù)計(jì)算機(jī)建立的連接�,另一部分是代替原來(lái)的客戶(hù)程序與服務(wù)器建立的連接��。通過(guò)代理服務(wù)��,內(nèi)部網(wǎng)用戶(hù)可以通過(guò)應(yīng)用網(wǎng)關(guān)安全地使用Internet服務(wù)���,而對(duì)于非法用戶(hù)的請(qǐng)求將予拒絕���。代理服務(wù)技術(shù)與包過(guò)濾技術(shù)不同之處��,在于內(nèi)部網(wǎng)和外部網(wǎng)之間不存在直接連接��,同時(shí)提供審計(jì)和日志服務(wù)�����。
3�����、網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù):其原理如同電話交換總機(jī)�����,當(dāng)不同的內(nèi)部網(wǎng)絡(luò)用戶(hù)向外連接時(shí)�,使用相同的IP地址(總機(jī)號(hào)碼)��;內(nèi)部網(wǎng)絡(luò)對(duì)外部網(wǎng)絡(luò)來(lái)說(shuō)是不可見(jiàn)的�����,防火墻能詳盡記錄第一個(gè)內(nèi)部網(wǎng)計(jì)算機(jī)的通信���,確保每個(gè)數(shù)據(jù)包的正確傳送��。
4��、虛擬專(zhuān)用網(wǎng)VPN技術(shù):虛擬專(zhuān)用網(wǎng)(VPN)是局域網(wǎng)在廣域網(wǎng)上的擴(kuò)展���,是專(zhuān)用計(jì)算機(jī)網(wǎng)絡(luò)在Internet上的延伸�����。VPN通過(guò)專(zhuān)用隧道技術(shù)在公共網(wǎng)絡(luò)上仿真一條點(diǎn)到點(diǎn)的專(zhuān)線,實(shí)現(xiàn)安全的信息傳輸���。雖然VPN不是真正的專(zhuān)用網(wǎng)絡(luò)�����,但卻能夠?qū)崿F(xiàn)專(zhuān)用網(wǎng)絡(luò)的功能�。
5����、審計(jì)技術(shù):通過(guò)對(duì)網(wǎng)絡(luò)上發(fā)生的各種訪問(wèn)過(guò)程進(jìn)行記錄和產(chǎn)生日志,并對(duì)日志進(jìn)行統(tǒng)計(jì)處理�,從而對(duì)網(wǎng)絡(luò)資源的使用情況進(jìn)行分析�,對(duì)異?���,F(xiàn)象進(jìn)行追蹤監(jiān)視。
6���、信息加密技術(shù):加密路由器對(duì)路由的信息進(jìn)行加密處理�,然后通過(guò)Internet傳輸?shù)侥康亩诉M(jìn)行解密����。
免責(zé)聲明:本站所使用的字體和圖片文字等素材部分來(lái)源于互聯(lián)網(wǎng)共享平臺(tái)。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的���,皆為無(wú)意���。如您是字體廠商、圖片文字廠商等版權(quán)方���,且不允許本站使用您的字體和圖片文字等素材��,請(qǐng)聯(lián)系我們�����,本站核實(shí)后將立即刪除�����!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用���,并索要賠償或上訴法院的�,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索�,將不予任何的法律和經(jīng)濟(jì)賠償!敬請(qǐng)諒解��!
粵公網(wǎng)安備 44030402000264號(hào)