網路安全協定的類型
一般來說,網路安全協定旨在為網路流量提供機密性、完整性和身份驗證或三者的某種組合。 以下是廣泛使用的網路安全協定的一些範例。
IPsec 和虛擬私人網路 (VPN)
虛擬私人網路 (VPN)可以在 OSI 模型的不同層上運行。 例如,IPsec是一種常見的VPN協議,運行在第3層。 但是,也可以使用 HTTPS 實作 VPN,這是一個第 7 層協議。
無論它們的實作方法如何,VPN 都可以用來創建一個加密的隧道,以便流量流通。 與 SSL/TLS 一樣,VPN 通常以握手開始,旨在設定用於保護網路流量的加密金鑰。 然後,所有未來的流量都會由發送方加密,然後透過網路傳送給接收方,然後由接收方解密。
VPN 可以用於兩種範例之一。 遠端存取 VPN 旨在將使用者的電腦連接到位於公司網路上的遠端伺服器。 另一方面,站點到站點 VPN 旨在透過不可信的公共互聯網連接兩個地理上分佈的網路。
SSL/TLS
安全通訊端層和傳輸層安全性 (SSL/TLS) 是一種在 OSI 模型第 5 層運行的網路安全協定。 該協定為網路流量提供了多種好處,包括資料加密、身份驗證和完整性保護。
SSL/TLS 連線開始是用於在用戶端和伺服器之間設定安全連線的握手。 在此握手期間,通訊雙方就會話期間用於加密、身份驗證和完整性檢查的加密演算法達成協議。
此初始握手期間也會執行身份驗證。 至少,伺服器會向用戶端提供 X.509 數位憑證,以驗證伺服器身分。 但是,這兩個系統也可能在此握手期間執行相互驗證。
SSL/TLS 的作用是將其他不安全的通訊協定包裝在加密、經驗證和完整性檢查的包裝程式中。 例如,HTTPS 通訊協定會在 SSL/TLS 通道中執行不安全的 HTTP 通訊協定。
資料包傳輸層安全性 (DTLS)
SSL/TLS 旨在與傳輸控制通訊協定 (TCP) 一起使用,該通訊協定可建立穩定、可靠的連線。 但是,用戶數據包通訊協定 (UDP) 是另一種常用的通訊協定,可提供無連接傳輸。
資料包傳輸層安全性 (DTLS) 通訊協定在 OSI 模型的第 5 層運作,並源自 SSL/TLS,但是專為無連線、不可靠的資料圖所設計。 該協議有助於確保需要低延遲和延遲的應用程式的資料完整性和隱私性,包括視訊會議、VoIP 和線上遊戲。
Kerberos
Kerberos 是一種廣泛使用的第 7 層通訊協定,用於驗證服務請求。 它旨在對不可信公共網路上可信任系統之間的請求進行身份驗證。
Kerberos 基於門票的概念建立,它們用於提供身份證明和身份證明。 集中式驗證服務器用於驗證用戶的身份並生成這些令牌。 然後,信任該伺服器的每個系統或應用程式都可以驗證使用者發出特定請求的權限。
大多數作業系統支援凱貝羅斯,包括 Windows、Mac 和 Linux。 但是,它是 Windows 的預設驗證通訊協定,也是其 Active Directory (AD) 服務的核心元件。
SNMPV3
簡單網路管理協定 (SNMP) 是用於監控和管理組織裝置的第 7 層網路協定。 SNMP管理器可以查詢裝置,而該裝置上的代理提供對這些請求的回應或執行所要求的動作。
早期版本的 SNMP 不安全,缺乏加密、驗證和完整性保護。 SNMPv3 是 2004 年推出的通訊協定的更新版本,它使用現代、安全的加密算法提供所有這些功能。
超文本傳輸安全協定
HTTP 是用於網頁瀏覽的第 7 層網路協定。 HTTP 是最早的網路協定之一,是作為未加密的、人類可讀的協定實現的。
任何竊聽網路流量的人都能夠讀取和修改前往目的地的 HTTP 流量。 隨著互聯網越來越多用於傳輸敏感數據,例如支付卡信息或登錄憑證,這導致了重大的安全風險。
HTTPS 是 HTTP 協定的安全版本,提供資料加密、完整性保護和驗證。 HTTPS 是通過在 SSL/TLS 包裝程序中運行 HTTP 來實現的,而不是從頭重寫通訊協定。 SSL/TLS 隧道建立後,它為用於在客戶端瀏覽器和 Web 伺服器之間傳輸資料的 HTTP 流量提供必要的加密、驗證和完整性保護。
反映意見