防火墙 防火墙是一种功能,它使得内部网络和外部网络或Internet互相隔离,以此来保护内部网络或主机。简单的防火墙可以由Router,3 Layer Switch的ACL(access control list)来充当,也可以用一台主机,甚至是一个子网来实现。复杂的可以购买专门的硬件防火墙或软件防火墙来实现。
1、广泛的服务支持:通过将动态的、应用层的过滤能力和认证相结合,可实现WWW浏览器、HTTP服务器、 FTP等;
概括起来说Kerberos协议主要做了两件事 1.Ticket的安全传递。 2.Session Key的安全发布。 再加上时间戳的使用就很大程度上的保证了用户鉴别的安全性。并且利用Session Key,在通过鉴别之后Client和Service之间传递的消息也可以获得Confidentiality(机密性), Integrity(完整性)的保证。不过由于没有使用非对称密钥自然也就无法具有抗否认性,这也限制了它的应用。不过相对而言它比X.509 PKI的身份鉴别方式实施起来要简单多了。 SSL (Secure socket Layer)安全套接层协议 使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性,它不能保证信息的不可抵赖性,主要适用于点对点之间的信息传输,常用Web Server方式。综上所述,在电子商务中采用单一的SSL协议来保证交易的安全是不够的,但采用"SSL+表单签名"模式能够为电子商务提供较好的安全性保证。 特点: 一、代理Web页面。它将来自远端浏览器的页面请求(采用HTTPS协议)转发给Web服务器,然后将服务器的响应回传给终端用户。 二、 应用转换。SSL VPN网关与企业网内部的微软CIFS或FTP服务器通信,将这些服务器对客户端的响应转化为HTTPS协议和HTML格式发往客户端,终端用户感觉这些服务器就是一些基于Web的应用。 三、 端口转发。端口转发用于端口定义明确的应用。它需要在终端系统上运行一个Java或ActiveX程序作为端口转发器,监听某个端口上的连接。当数据包进入这个端口时,将通过SSL连接中的隧道被传送到SSL VPN网关,由SSL VPN网关解开封装的数据包,再转发给目的应用服务器。 四、 网络扩展。它将终端用户系统连接到企业网上,并根据网络层信息(如目的IP地址和端口号)进行接入控制。优势在于能够在复杂拓扑结构下简化网络管理。 就SSL VPN特性来说主要有:使用SSL保证通信安全、适用于所用网络环境、无客户端或客户端配置简便、只供远程访问使用、细粒度的访问控制、多种增强认证方式、与现有系统兼容。 SHTTP协议 (Secure HyperText Transfer Protocal) 安全超文本转换协议 SHTTP是Terisa于1995年设计出的HTTP的安全增强版,它可支持多种加密协议并提供灵活的编程环境,可对信息作多种方式的安全封装,封装内容可有加密、签名和基于报文鉴别码MAC的认证等,用于加密和签名的算法还可由通信双方协商。
S-HTTP 协议为 HTTP 客户机和服务器提供了多种安全机制,这些安全服务选项是适用于万维网上各类用户的。S-HTTP还为客户机和服务器提供了对称能力(及时处理请求和恢复,及两者的参数选择),维持 HTTP 的通信模型和实施特征。 S-HTTP 客户机和服务器是与某些加密消息格式标准相结合的。S-HTTP支持多种兼容方案并且与 HTTP 相兼容。有 S-HTTP 性能的客户机能够与没有 S-HTTP 的服务器连接,但是这样的通讯明显地不会利用 S-HTTP安全特征。 |
