【ipsec 自动加密】:系统管理员可于此单元以加密功能建立联机两端以固定标准方式交换网络加密钥匙码,并设定ipsec lifetime(加密钥匙更新周期),启动负载平衡器系统自动随机选取更新无法被判读入侵的加密钥匙码。
【pptp 服务器】:系统管理员可于此单元建立vpn-pptp 服务器的相关功能设定。
【pptp 客户端】:系统管理员可于此单元建立vpn-pptp 客户端的相关功能设定。
如何运用网络验证
建立虚拟私有网络验证virtual private network (vpn),无须至【管制条例】设定,只需依照下列步骤,设定vpn 名称、来源端网络地址、目的端网络地址与认证与加密模式,即可为联机两端建立安全保密的网络通讯。
【vpn】专有名词解释:
rsa 说明如下:
为非对称性密码系统,使用者拥有两把金钥,一个为秘密金钥,使用者须秘密收藏,为联机解密时用,另一个为公开金钥,将任何欲传送讯息者皆可自认证中心取得,并使用此金钥将讯息加密传送给接收者。
preshared key 说明如下:
当vpn 双方进行联机时用来进行ipsec 验证用的专用的key.
isakmp 说明如下:
「ip security association key management protocol」(isakmp) 就是提供一种方法供两台计算机建立安全性关联(sa)。sa(security association) 对两台计算机之间进行联机编码,指定使用哪些算法和什么样的金钥长度或实际加密金钥。事实上sa 不止一个联机方式:从两台计算机isakmp sa 作为起点,必须指定使用何种加密算法(des、triple des、40 位des 或根本不用)、使用何种认证。
main mode 说明如下:
在vpn 第一阶段的ike 开始联机时,会提供两种模式选择,其中的一种模式就是main mode,会对资料交换的双方先进行认证,main mode 会提供六个讯息在双方之间进行传递来达到认证的需求,确保与自己交流资料是对方本人,而不是伪造的。
aggressive mode 说明如下:
在vpn 第一阶段的ike 开始联机时,另一种认证模式就是aggressive mode,会对资料交换的双方先进行认证,aggressive mode 则仅会提供三个讯息在双方之间进行传递来达到认证的需求,确保与自己交流资料是对方本人,而不是伪造的。
ah ( authentication header ) 说明如下:
提供vpn 联机时的认证及选择性的认证检测。
esp 说明如下:
( encapsulated security payload ) 提供vpn 联机时的认证及认证检测。并对传送中的资料提供了机密和保护。
des 说明如下:
资料加密标准(data encryption standard)是一种nist 标准安全加密金钥方法,使用的加密金钥为56 位。
3des 说明如下:
提供比des 更加安全的三重资料加密标准(triple data encryptionstandard,3des) 安全加密金钥方法,使用的加密金钥为168 位。
aes 说明如下:
为高阶加密模式其标准比des 的加密标准更加严谨,des 加密金钥长度为56 位,aes 加密金钥长度则高达128 位、192 位、以及256 位。
null 算法说明如下:
是一种快速又便利的联机模式来取代确保其机密性或负责身份验证而不进行加密的动作。null 算法不提供机密性也没有提供其它任何安全服务,仅仅是一条快速方便去替换在使用esp 加密时的选项。
sha1 安全杂凑算法(secure hash algorithm,sha) 说明如下:
是用于产生讯息摘要或杂凑的算法。原有的sha 算法已被改良式的sha1 算法取代。可以计算出160 位的演算。
md5 杂凑算法说明如下:
一种单向字符串杂凑演算,其演算方式是将你给予任何长度字符串, 使用md5杂凑算法,可以计算出一个长度为128 位的演算。
gre 通用路由协议封装说明如下:
gre 只提供了资料包的封装,它没有防止网络侦听和攻击的加密功能。所以在实际环境中它常和ipsec 一起使用,由ipsec 为用户资料的加密,给用户提供更好的安全服务。
【ipsec 自动加密】窗口表格内图标与名词名称定义:
名称说明如下:
定义虚拟私有网络(vpn)验证信道名称。此名称必须是唯一且不可重复。
网关ip 地址说明如下:
目的端网络接口地址。
目的端子网络说明如下:
目的端子网络地址。
算法说明如下:
显示目前vpn 联机时的加密模式。
状态说明如下:
显示目前vpn 的使用情形(连接或断线)。
变更说明如下:
变更ipsec vpn 中各项设定值。点选【修改】,可修改自动加密之各项参数;点选【删除】,可删除该项设定;点选【联机】,激活与目的端联机;点选【断线】,关闭与目的端加密联机功能。(如图11-1 )
【pptp 服务器】窗口表格内图标与名词名称定义:
pptp 服务器说明如下:
可设定开启或关闭。
客户端ip 范围说明如下:
可设定pptp 客户端连入分配的网络地址范围。
使用者名称说明如下:
pptp 客户端连入时所使用的名称。
客户端ip 地址说明如下:
pptp 客户端连入pptp 服务器时,所使用的客户端网络地址。
联机历时说明如下:
显示目前pptp 客户端与pptp 服务器联机时间。
联机状况说明如下:
显示目前pptp 客户端与pptp 服务器联机状况。
设定说明如下:
变更pptp vpn server 中各项设定值。点选【修改】,可修改pptp 服务器之各项参数;点选【删除】,可删除该项设定。(如图11-2 )
【pptp 客户端】窗口表格内图标与名词名称定义:
使用者名称说明如下:
pptp 客户端连入pptp 服务器时所使用的名称。
服务器地址说明如下:
pptp 客户端连入pptp 服务器网络地址。
联机历时说明如下:
显示目前pptp 客户端与pptp 服务器联机时间。
联机状况说明如下:
显示目前pptp 客户端与pptp 服务器联机状况。
设定说明如下:
变更pptp vpn client 中各项设定值。点选【联机】可使pptp 客户端与pptp服务器端进行联机,点选【断线】会中断pptp 客户端与pptp 服务器端的联机,点选【修改】,可修改pptp 客户端之各项参数;点选【删除】,可删除该项设定。(如图11-3 )
我们在此范例设定中,总共架设了6 种vpn 环境。
