日韩床上生活一级视频|能看毛片的操逼网站|色悠悠网站在线观看视频|国产免费观看A淫色免费|国产av久久久久久久|免费A级视频美女网站黄|国产毛片av日韩小黄片|热久久免费国产视频|中文字幕无码色色|成人在线视频99久久久

  ３．２．１ 系統(tǒng)結(jié)構(gòu)和實現(xiàn)機制

    EFS核心系統(tǒng)一般可以包括四個主要部件：客戶認證代理,嵌入式防火墻代理,票據(jù)授予服務(wù)器（TGS）和認證服務(wù)器（AS）如圖1所示。

    EFS的實現(xiàn)機制如下：

（１）客戶登錄EFS系統(tǒng)時,客戶認證代理將提示并獲取相應(yīng)的用戶名和口令。僅當客戶同時具有正確的口令和含有私有密鑰的設(shè)備,客戶代理才能夠進行身份認證。在用戶登錄完成后,客戶代理將自動向AS發(fā)送請求AS＿REQ,以申請TGT。

（２）認證服務(wù)器AS收到客戶的AS＿REQ后,發(fā)回應(yīng)答消息AS＿REP。

（３）客戶認證代理得到AS發(fā)回的AS＿REP后,進行解密,獲取并保存與TGS通信的會話密鑰及提交給TGS的票據(jù)。

（４）當客戶需要使用某一服務(wù)時,客戶認證代理將首先截獲請求TCP連接的IP包,并根據(jù)Socket匹配以判斷是否已具有獲取該服務(wù)的票據(jù)。如有,則直接將此票附加于該IP包,形成AP＿REQ,發(fā)往服務(wù)器（執(zhí)行步驟7）。否則,客戶認證代理必須首先向TGS申請相應(yīng)的應(yīng)用票據(jù)。

（５）TGS在收到客戶認證代理發(fā)來的TGS＿REQ后,進行解密,以獲取客戶與其會話密鑰,用它來解密認證算子,將算得的檢驗和與自己生成的ＨASＨ函數(shù)結(jié)果相比較,以檢查客戶身份的合法性和消息的完整性。在授權(quán)通過后,TGS生成TGS＿REP,并發(fā)回用戶。

（６）客戶認證代理得到TGS發(fā)回的TGS＿REP后,首先確定所申請的服務(wù)是否需要認證。若無需認證,客戶代理將恢復連接請求。否則,從TGS＿REP中獲取服務(wù)的票據(jù)和與應(yīng)用服務(wù)器之間的會話密鑰,將它們放入原來的連接請求包中,形成AP＿REQ,發(fā)往應(yīng)用服務(wù)器。

（７）駐留于應(yīng)用服務(wù)器上的嵌入式防火墻代理收到AP＿REQ后,解開票據(jù),獲取會話密鑰,以驗證用戶身份。如合法,則將該IP包遞交上層處理,否則予以丟棄。

    ３．２．２ 外部網(wǎng)訪問控制及狀態(tài)檢測機制

    EFS可以實現(xiàn)對外部網(wǎng)的訪問控制,首先在所有與外部網(wǎng)相連的路由器或網(wǎng)關(guān)設(shè)備上安裝嵌入式防火墻代理。然后再將各種外部網(wǎng)絡(luò)服務(wù)在TGS上注冊,并安裝相應(yīng)的通過邊界路由器或網(wǎng)關(guān)設(shè)備所需的票據(jù)。最后,根據(jù)用戶身份制定外部網(wǎng)訪問控制安全策略�；�本的EFS實現(xiàn)了嚴格的身份認證及訪問控制,客戶認證代理一旦與嵌入式防火墻代理完成三次握手,創(chuàng)建了TCP連接,通信將直接在客戶機與服務(wù)器間進行,不再接受任何形式的安全檢查,這種機制雖然大大地提高了訪問效率,但它不能實現(xiàn)基于特定協(xié)議命令的過濾和內(nèi)容安全檢查。為了實現(xiàn)高級安全檢查,可以在EFS中增加狀態(tài)檢測防火墻,由它來檢查一些標準的網(wǎng)絡(luò)服務(wù)（如Http,Ftp,Telnet,Finger等）,或基于內(nèi)容的檢查。

    ３．２．３ 嵌入式防火墻的優(yōu)點

    與傳統(tǒng)防火墻相比,EFS具有如下優(yōu)點：

    ·同時防止來自于內(nèi)、外部網(wǎng)絡(luò)的攻擊。由于嵌入式防火墻代理部件直接安裝在所有需要安全保護的應(yīng)用服務(wù)器上,來自于裝載嵌入式防火墻代理的機器之外的任何通信,都需經(jīng)過嵌入式防火墻代理的檢查和過濾。

    ·透明認證。由于EFS在低層即IP層上實現(xiàn)了Kerberos認證協(xié)議,它能夠支持任何基于IP協(xié)議的應(yīng)用。用戶無需親自與防火墻連接以獲取認證,而是由駐留在客戶機上的認證代理自動與AS、TGS等連接,交換相應(yīng)的票據(jù),實現(xiàn)整個認證過程,即EFS是完全透明于用戶的。EFS中,即使應(yīng)用程序本身從未考慮過實現(xiàn)任何認證機制,EFS仍可使其支持嚴格的身份認證過程,從而實現(xiàn)了認證與應(yīng)用的完全獨立。

    ·安全會話。由于Kerberos協(xié)議為每個會話均提供了一個隨機的會話密鑰,從而實現(xiàn)了安全的會話傳輸。此外,通過與公開密鑰技術(shù)的結(jié)合,EFS提供了四種數(shù)據(jù)傳輸?shù)陌踩�級別,從而在兩臺通信主機之間形成了一條私有通道。

    ·一次簽放。用戶只需在登錄系統(tǒng)時進行一次認證,便可以使用所有的安全服務(wù)。而管理員只需維護一套EFS帳號,并精確定義用戶訪問各種服務(wù)的權(quán)限即可,這也有助于管理員將各個服務(wù)的安全性作為一個整體集中起來綜合考慮,從而極大地增加了系統(tǒng)的安全系數(shù)。

    ·低成本、高性能。EFS中,檢查點被直接設(shè)置于需保護的應(yīng)用服務(wù)器上,內(nèi)部網(wǎng)中無需為了安全而使用額外的路由器以劃分安全子網(wǎng),沒有多余的通信檢查和硬件投資。

    ·統(tǒng)籌規(guī)劃、集中管理。由于EFS在每臺需保護的主機上安裝了嵌入式防火墻代理,而該代理的主要工作是驗證Kerberos票據(jù),所有的安全策略都將統(tǒng)一保存在TGS上,因此形成了一個負責整個企業(yè)訪問控制及授權(quán)的集中式控制臺。

    ３．２．４ 嵌入式防火墻的發(fā)展

    目前,整個系統(tǒng)模型已在Linux操作系統(tǒng)上得以實現(xiàn)。在不久的將來,系統(tǒng)還將實現(xiàn)運行于Windows系統(tǒng)平臺上的客戶認證代理及運行于NT和UNIX上的嵌入式防火墻代理。屆時,一個完整的、跨平臺的安全解決方案將會形成。

    ４ 前景展望

    防火墻作為一種防護手段,對維護網(wǎng)絡(luò)安全起到了一定的作用,但并非萬無一失,它只能防護經(jīng)過自身的非法訪問和攻擊;它雖然能夠針對所有服務(wù)進行安全檢查,過濾其是否合法,但不能有效地杜絕所有惡意數(shù)據(jù)包,利用合法的連接傳輸非法數(shù)據(jù)確實存在。

    防火墻只是整個網(wǎng)絡(luò)安全防護的一部分,它需要其他的防護措施和技術(shù),如密碼技術(shù)、訪問控制、權(quán)限管理、病毒防治等。也只有運用先進認證技術(shù),并在網(wǎng)絡(luò)層上實施統(tǒng)一的用戶端對端的數(shù)據(jù)流加密技術(shù),再結(jié)合目前的防火墻技術(shù)以進行必要的內(nèi)容檢測、攻擊檢測及其他一些手段,才能解決內(nèi)部網(wǎng)安全問題,并最終提供一套一體化的解決途徑。