IT貓撲網:您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機版|論壇轉貼|軟件發(fā)布

您當前所在位置: 首頁網絡安全安全防護 → 企業(yè)數據加密需選擇合適的地方

企業(yè)數據加密需選擇合適的地方

時間:2015-06-28 00:00:00 來源:IT貓撲網 作者:網管聯(lián)盟 我要評論(0)

  給數據加密是網絡管理員常用的提高網絡數據傳輸安全的措施之一。但是,網絡管理員需要注意的是,給數據加密后再傳輸,會額外的增加網絡設備CPU 的壓力,會明顯降低數據的傳輸速度。如接收到加密后的思科路由器,必須要先讀取數據包包頭的一些信息,然后才能夠確定轉發(fā)的目的地。這也就是說接收路由器要先對加密后的數據包進行解密。然后讀取相關信息后再對數據進行加密處理后再轉發(fā)出去。故這個解密、加密的處理過程就會大大增加網絡設備數據轉發(fā)的壓力。

  在使用思科的交換機或者路由器對數據進行加密時,網絡管理員可以選擇在應用層、網絡層或者數據鏈路層等多個地方部署加密策略。但是,每個不同的地方部署加密策略,其對路由器等網絡設備的影響是不同的。也就是說,采取不同的加密策略,路由器的開銷是不同的。故網絡管理員需要了解不同加密策略下路由器等網絡設備的開銷問題,然后根據企業(yè)的實際情況選擇合適的加密策略。如此才能夠實現安全與數據傳輸兩不誤。

  一、在應用層實現加密

  網絡管理員可以在應用層上實現對數據的加密。如現在比較流行的HTTPS協(xié)議,就是在應用層層面上實現加密的一個典型代表。HTTPS協(xié)議以保密為目標研發(fā)的一種技術。簡單的說他就是HTTP協(xié)議的安全版,他是在SSL協(xié)議上實現的一種加密手段。它使用了HTTP協(xié)議,但是他們之間有一個很大的不同,即HTTPS協(xié)議存在不同于HTTP的默認端口及一個加密身份驗證層。這個安全協(xié)議的最初研發(fā)由網景公司進行,提供了身份驗證與加密通訊方法,現在它被廣泛用于互聯(lián)網上安全敏感的通訊。如現在不少網絡設備可以通過瀏覽器來進行管理。為了提高設備的安全性,通過瀏覽器管理網絡設備的話,都是采用安全的HTTPS 協(xié)議,而不是HTTP協(xié)議。為此如故應用程序有一個WEB接口或者一個后斷服務器,對于這種情況出于安全方面的考慮,最好的選擇就是通過安全的超文本協(xié)議和安全套接字層來(HTTPS)加強WEB瀏覽器和數據服務器之間傳輸數據的安全性。

  可見,現在支持應用層加密的協(xié)議也是比較多的。這主要是因為在應用層進行數據加密的話,有一個非常明顯的優(yōu)點,幾可以按照不同的需要有選擇的對數據進行加密。如現在網絡管理員需要遠程維護一臺網絡設備?,F在這個管理員有三個不同的選擇,他可以分別通過瀏覽器、SSH、Telnet這三種方式來實現遠程管理。而如果在應用層實現加密的話,那么管理員就可以選擇對于那種方式進行加密。如管理員可能認為通過瀏覽器管理網絡設備安全風險比較大,那么可以為瀏覽器這種方式設置應用層加密手段,來提高網絡設備的安全性。但是管理員會認為采用Telnet遠程管理路由器比較安全,不需要采用加密措施。那么通過Tennet傳輸的數據就不會加密。故如果在應用層實現數據加密,其用戶的選擇性會比較強一點。可以根據不同的應用來選擇是否需要加密。由于不需要多所有的數據都采取加密處理,故中間的網絡設備其開銷也會少的多。

  不過這也有一定的缺陷。這個缺陷主要體現在兩個方面。一是要委托用戶控制。也就是說,是否要采取加密措施,其主動權很大一部分在用戶手中。由于用戶缺乏安全意識等原因,這會降低加密措施所帶來的安全性保障。二是增加了在每個服務器上配置加密措施的工作量。而且由于每個服務器上都要進行單獨的培植,這不利于在企業(yè)內部實現一致的安全策略。所以,在應用層面采取加密,雖然可以降低中間網絡設備的開銷,但是增加了網絡管理員的工作量。

  二、在網絡層上實現加密

  網絡管理員也可以選擇在網絡層上實現加密,這也是現在最流行的一種加密措施。在網絡層實現加密的話,就不用考慮應用層的管理軟件了。也就是說,為了加密網絡通信流, 不許要更新任何主機上的應用。即使應用軟件不支持加密功能,則只要在網絡層上對數據進行加密,則應用層的數據在網絡上傳輸也是加密的。因為應用層的數據先要發(fā)給網絡層,然后有網絡層對數據進行加密。

  現在網絡層加密技術最火的就是IPSec技術了。IPsec 在網絡層提供安全服務,它使系統(tǒng)能按需選擇安全協(xié)議,決定服務所使用的算法及放置需求服務所需密鑰到相應位置。IPsec 用來保護一條或多條主機與主機間、安全網關與安全網關間、安全網關與主機間的路徑。IPsec 能提供的安全服務集包括訪問控制、無連接的完整性、數據源認證、拒絕重發(fā)包(部分序列完整性形式)、保密性和有限傳輸流保密性。簡單的說,IPSec主要實現兩個功能,一是對數據進行簽名,防止被修改;二是對數據進行加密,防止被竊聽。而對數據進行加密,就是實現在網絡層上的。

  網絡管理員若在網絡層實現對數據的加密,其優(yōu)勢有很多。

  一是提高網絡設備的性能。數據從應用層傳輸到網絡層,每過一個層都會在上一層數據的基礎上添加一寫包頭信息,如所采用的端口等等。如果在網絡層上實現數據加密,第三層和第四層的有些信息是不會被加密的。這些不加密的信息主要就是網絡設備用來選擇路由用的。也就是說,使用網絡層加密的話,網絡管理員可以在網絡上任何點實施加密。因為數據首部關鍵信息(如端口或者協(xié)議信息)沒有被加密,而只是數據包的內容被加密。那么加密過的數據包像任何其他數據包那樣可以在網絡中正常傳輸。所以加密必要的信息,不加密這些用來選路由的信息,即可以提高數據的安全性,同時也不會造成網絡設備過多的開銷。

  二是不依賴與網絡所實現的拓撲類型。在網絡層中采取加密,由于不加密重要的包頭信息,故其可以跟網絡的拓撲類型無關。如IP安全策略,其可以在任何的網絡拓撲中使用。股網絡管理員如果在網絡層中實現加密的話,則就不用考慮網絡拓撲問題。

  三是得到思科IOS軟件的支持?,F在互聯(lián)網中應用的最多的網絡設備就是思科的網絡設備。而且說實話,其他網絡設備廠商也都把思科當作老大哥。所以現在主流的網絡設備基本上都支持在網絡曾上的加密技術。故像IPSec等網絡層加密技術,兼容性是比較高的。

  四是不要求中間的路由器或者網絡上的其他網絡設備提供支持。網絡層的數據加密與解密主要是在對等路由器上實現的。跟對等路由器中間的網絡設備是無關的。所以,其不需要中間網絡設備的支持。

  但是,網絡層加密技術也存在一個問題。他可能會跟其他的一些網絡技術產生沖突。如采用了IPSec網絡層加密技術之后,就很難跨越NAT服務器。因為NAT服務器需要修改數據包的包頭信息,而IPSec網絡層加密技術則是不允許的。如果一定要實現的話,只能夠通過UDP封裝等等。

  三、在鏈路層上實現加密

  網絡管理員也可以在數據鏈路層上實現加密。不過筆者是不建議采用這種加密方式。數據鏈路層加密是在路由器以下的設備上執(zhí)行的。由于在數據鏈路層加密中,網絡層首部以及協(xié)議類型、端口信息等都被加密。這會給路由器等網絡設備在轉發(fā)數據時造成不必要的麻煩。

  在鏈路層上實現加密確實也能夠為網上傳輸的數據提供安全保證。所有消息在被傳輸之前進行加密, 在每一個節(jié)點對接收到的消息進行解密, 然后先使用下一個鏈路的密鑰對消息進行加密, 再進行傳輸??梢跃W絡管理員需要注意的是,在到達目的地之前, 一條消息可能要經過許多通信鏈路的傳輸。而由于包括路由信息在內的鏈路上的所有數據均以密文形式出現,鏈路層加密就加密了被傳輸消息的源點與終點,故在每一個中間傳輸節(jié)點消息均要被解密后重新進行加密(數據包轉發(fā)的需要)。故中間設備的開銷就會比較大。另外,鏈路加密通常用在點對點的同步或異步線路上,。這就要求先對在鏈路兩端的加密設備進行同步, 然后使用一種鏈模式對鏈路上傳輸的數據進行加密。這就給網絡的性能和可管理性帶來了副作用。

  所以說在鏈路層實現數據加密的話,其副作用是比較大的。筆者現在在網絡設計與部署中,從來不在鏈路層上實現加密。

  可見,在數據加密位置的選擇上,鏈路層加密基本上可以不考慮。網絡管理員現在只需要根據自己企業(yè)的實際情況,在應用層與網絡層加密之間作一個分析比較,選擇一個合適的位置即可。

關鍵詞標簽:企業(yè)數據加密

相關閱讀

文章評論
發(fā)表評論

熱門文章 火絨安全軟件開啟懸浮窗的方法-怎么限制和設置軟件網速 火絨安全軟件開啟懸浮窗的方法-怎么限制和設置軟件網速 火絨安全軟件怎么攔截廣告-火絨設置廣告攔截的方法 火絨安全軟件怎么攔截廣告-火絨設置廣告攔截的方法 網絡安全管理軟件-PCHunter使用教程 網絡安全管理軟件-PCHunter使用教程 騰訊QQ密碼防盜十大建議 騰訊QQ密碼防盜十大建議

相關下載

    人氣排行 火絨安全軟件開啟懸浮窗的方法-怎么限制和設置軟件網速 火絨安全軟件怎么攔截廣告-火絨設置廣告攔截的方法 網絡安全管理軟件-PCHunter使用教程 xp系統(tǒng)關閉445端口方法_ 教你如何關閉xp系統(tǒng)445端口 什么是IPS(入侵防御系統(tǒng)) 企業(yè)網絡安全事件應急響應方案 ARP協(xié)議的反向和代理 Windows Server 2008利用組策略的安全設置