TCP/IP层次的安全性

好帖子、好资料总要经常学。

关于认证和密钥分配系统的一个经常遇到的问题是关于它们在Internet上所受到的冷遇。一个原因是它仍要求对应用本身做出改动。考虑到这一点，对一个认证和密钥分配系统来说，提供一个标准化的安全API就显得格外重要。能做到这一点，开发人员就不必再为增加很少的安全功能而对整个应用程序大动手术了。因此，认证系统设计领域内最主要的进展之一就是制定了标准化的安全API，即通用安全服务API(GSS-API)。GSS-API(v1及v2)对于一个非安全专家的编程人员来说可能仍显得过于技术化了些，但德州Austin大学的研究者们开发的安全网络编程(SNP)，把界面做到了比GSS-API更高的层次，使同网络安全性有关的编程更加方便了。
局域网在网络层有什么不安全的地方？

NAI公司 供稿

不安全的地方

由于局域网中采用广播方式，因此，若在某个广播域中可以侦听到所有的信息包，黑客就对可以对信息包进行分析，那么本广播域的信息传递都会暴露在黑客面前。

网络分段

网络分段是保证安全的一项重要措施，同时也是一项基本措施，其指导思想在于将非法用户与网络资源相互隔离，从而达到限制用户非法访问的目的。

网络分段可分为物理分段和逻辑分段两种方式：
物理分段通常是指将网络从物理层和数据链路层（ISO/OSI模型中的第一层和第二层）上分为若干网段，各网段相互之间无法进行直接通讯。目前，许多交换机都有一定的访问控制能力，可实现对网络的物理分段。逻辑分段则是指将整个系统在网络层（ISO/OSI模型中的第三层）上进行分段。例如，对于TCP/IP网络，可把网络分成若干IP子网，各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接，利用这些中间设备（含软件、硬件）的安全机制来控制各子网间的访问。在实际应用过程中，通常采取物理分段与逻辑分段相结合的方法来实现对网络系统的安全性控制。


VLAN的实现


虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换)。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此，网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。

以太网从本质上基于广播机制，但应用了交换器和VLAN技术后，实际上转变为点到点通讯，除非设置了监听口，信息交换也不会存在监听和插入（改变）问题。

由以上运行机制带来的网络安全的好处是显而易见的：
信息只到达应该到达的地点。因此、防止了大部分基于网络监听的入侵手段。
通过虚拟网设置的访问控制，使在虚拟网外的网络节点不能直接访问虚拟网内节点。

但是，虚拟网技术也带来了新的安全问题：
执行虚拟网交换的设备越来越复杂，从而成为被攻击的对象。基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置。基于MAC的VLAN不能防止MAC欺骗攻击。
采用基于MAC的VLAN划分将面临假冒MAC地址的攻击。因此，VLAN的划分最好基于交换机端口。但这要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属于相同的VLAN。


VLAN之间的划分原则

VLAN的划分方式的目的是保证系统的安全性。因此，可以按照系统的安全性来划分VLAN;可以将总部中的服务器系统单独划作一个VLAN,如数据库服务器、电子邮件服务器等。也可以按照机构的设置来划分VLAN，如将领导所在的网络单独作为一个Leader VLAN(LVLAN), 其他司局（或下级机构）分别作为一个VLAN,并且控制LVLAN与其他VLAN之间的单向信息流向，即允许LVLAN查看其他VLAN的相关信息，其他VLAN不能访问LVLAN的信息。VLAN之内的连接采用交换实现， VLAN与VLAN之间采用路由实现。由于路由控制的能力有限，不能实现LVLAN与其他VLAN之间的单向信息流动，需要在LVLAN与其他VLAN之间设置一个Gauntlet防火墙作为安全隔离设备，控制VLAN与VLAN之间的信息交流。
我们这里所说的“基于TCP/IP”，实际上是可以接入internet或者intranet，因为在这种网络上运行的是“TCP/IP协议”。那么，如何接入呢？

我们平时接触到的接入internet或者intranet最普遍的是什么？计算机。

但我们做智能终端，不可能放一台计算机，对吧？

所以我们需要把计算机中我们需要的东西找出来。

计算机接入方式有以下几种：拨号、xDSL、CABLE MODEM、LAN等。其中拨号是调制解调器通过电话
线来实现的，速度比较慢，并且占用了电话线，显然不是我们所需要的接入方式。其他几种方式，
都是通过网卡，一根网线接入到xDSL MODEM、CABLE MODEM、交换机或者集线器。所以，我们的研究对象应该是网卡。