我有话说
查看评论
好文我顶(选择性
在VPN和认证技术中,依照网络的需要有许多选择性的内容可以提供。这些选择性的内容在下面列出以备参考,但细节性的内容在该文章中不再叙述。
智能卡和/或生物度量(bio-metric)的认证。
L2TP和/或PPTP远程服务VPN隧道。
认证授权(CA)。
IKE生存弹性机制。
多协议标签交换(MPLS)VPN。
广域网(WAN)模块
该模块显示了在WAN终端的顺应力与安全性,而不是WAN设计的所有内容。使用框架中继封装,流量被在远程站点和中心站点之间被路由。
关键设备
IOS路由器--使用路由、访问控制、QoS机制。
图24 WAN模块详图
威胁缓解
IP欺骗--通过第3层过滤缓解。
未授权访问--简单的路由器访问控制,能限制其分支可以访问的协议类型。
图25 WAN模块的攻击缓解任务
设计指导原则
服务提供商的双重连接提供了恢复能力,通过路由器到边界分配模块。安全由IOS安全特性提供。输入访问列表被用来阻塞所有来自远程分支的不被希望的流量。
选择性
有的组织非常关心信息的保密性,它们在WAN连接中加密成高度可信的流量。类似于站点对站点的VPN,可以利用IPSec来实现信息的私有化。
电子商务模块
因为电子商务是该模块的主要目标,在访问和安全之间的平衡问题需要仔细的考虑。把电子商务的事务分割成三个部分允许体系结构提供不阻止访问的不同安全等级。
 |
Web服务器--为电子商务厂商的导航担当初级用户接口的角色。
应用服务器--Web服务器所需要的各种应用程序的平台。
数据库服务器--电子商务商业运行核心的主要信息。
防火墙--管理系统中两个不同安全和信任度级别之间的通信。
NIDS程序--在模块中提供密钥网络元件的监视。
带有IDS模块的第3层交换--与安全监视集成在一起的可以升级的电子商务输入设备。
 |
好文我顶(
收藏
纠错
订阅
RSS
分享
打印
|
 |
相关推荐
|
