频道栏目
首页 > 安全 > 杀毒防毒 > 正文

防火墙及其他-6

2004-10-02 11:14:48           
收藏   我要投稿

大多数IPSP及其相应的密钥管理协议的实现均基于Unix系统。任何IPSP的实现都必
须跟对应协议栈的源码纠缠在一起 而这源码又能在Unix系统上使用 其原因大概
就在于此。但是 如果要想在Internet上更广泛地使用和采纳安全协议 就必须有
相应的MS-DOS或Windows版本。而在这些系统上实现Internet层安全协议所直接面
临的一个问题就是 PC上相应的实现TCP/IP的公共源码资源什么也没有。为克服这
一困难 Wagner和Bellovin实现了一个IPSEC模块 它象一个设备驱动程序一样工
作 完全处于IP层以下。

Internet层安全性的主要优点是它的透明性 就是说 安全服务的提供不需要应用
程序、其他通信层次和网络部件做任何改动。它的最主要的缺点是: Internet层一
般对属于不同进程和相应条例的包不作区别。对所有去往同一地址的包 它将按照
同样的加密密钥和访问控制策略来处理。这可能导致提供不了所需的功能 也会导
致性能下降。针对面向主机的密钥分配的这些问题 RFC 1825允许(甚至可以说是
推荐) 使用面向用户的密钥分配 其中 不同的连接会得到不同的加密密钥。但是
面向用户的密钥分配需要对相应的操作系统内核作比较大的改动。

虽然IPSP的规范已经基本制订完毕 但密钥管理的情况千变万化 要做的工作还很
多。尚未引起足够重视的一个重要的问题是在多播 (multicast)环境下的密钥分配
问题 例如 在Internet多播骨干网(MBone)或IPv6网中的密钥分配问题。

简言之 Internet层是非常适合提供基于主机对主机的安全服务的。相应的安全协
议可以用来在Internet上建立安全的IP通道和虚拟私有网。例如 利用它对IP包的
加密和解密功能 可以简捷地强化防火墙系统的防卫能力。事实上 许多厂商已经
这样做了。RSA数据安全公司已经发起了一个倡议 来推进多家防火墙和TCP/IP软
件厂商联合开发虚拟私有网。该倡议被称为S-WAN(安全广域网)倡议。其目标是制
订和推荐Internet层的安全协议标准。
 

相关TAG标签 防火墙 及其他
上一篇:防火墙及其他-7
下一篇:防火墙及其他-5
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站