《網(wǎng)絡(luò)安全原理與實(shí)務(wù)》06 保護(hù)高級(jí)信息交流

網(wǎng)絡(luò)安全原理與實(shí)務(wù)

保護(hù)高級(jí)信息交流61加固文件傳輸協(xié)議FTP的工作方式網(wǎng)頁(yè)瀏覽器FTP客戶端命令行

保護(hù)高級(jí)信息交流61加固文件傳輸協(xié)議FTP的漏洞FTP明文傳輸:用戶名、密碼甚至文件傳輸都是純文本易遭受中間人攻擊:攻擊者截獲數(shù)據(jù)后可以在發(fā)送時(shí)加以修改

保護(hù)高級(jí)信息交流61加固文件傳輸協(xié)議FTP的加固使用安全FTPhttp:///，選擇產(chǎn)品secureFTPClient安裝Java的最新版本，登錄網(wǎng)站http:///zh_CN/download/

保護(hù)高級(jí)信息交流62遠(yuǎn)程登錄安全使用包括隧道協(xié)議、認(rèn)證技術(shù)、安全傳輸協(xié)議和虛擬專(zhuān)用網(wǎng)絡(luò)等安全技術(shù)

保護(hù)高級(jí)信息交流62遠(yuǎn)程登錄安全隧道協(xié)議：隧道是以另一種形式壓縮數(shù)據(jù)包，建立安全傳輸鏈接的技術(shù)。原始數(shù)據(jù)包被裝入“外層”，它是數(shù)據(jù)包的又一種形式。例如，TCP/IP網(wǎng)絡(luò)本來(lái)不能與AppleTalk網(wǎng)絡(luò)通信。然而，把TCP/IP數(shù)據(jù)包壓縮在AppleTalk數(shù)據(jù)包中就允許TCP/IP數(shù)據(jù)包訪問(wèn)AppleTalk網(wǎng)絡(luò)。

保護(hù)高級(jí)信息交流62遠(yuǎn)程登錄安全兩種安全隧道協(xié)議：點(diǎn)對(duì)點(diǎn)隧道協(xié)議（PPTP）第二層隧道協(xié)議（L2TP）

保護(hù)高級(jí)信息交流62遠(yuǎn)程登錄安全點(diǎn)對(duì)點(diǎn)隧道協(xié)議（PPTP）點(diǎn)對(duì)點(diǎn)隧道協(xié)議（PPTP）是一種支持多協(xié)議虛擬專(zhuān)用網(wǎng)絡(luò)的網(wǎng)絡(luò)技術(shù),它工作在第二層。通過(guò)該協(xié)議，遠(yuǎn)程用戶能夠通過(guò)MicrosoftWindowsNT工作站、Windowsxp

、Windows2000和windows2003、windows7操作系統(tǒng)以及其它裝有點(diǎn)對(duì)點(diǎn)協(xié)議的系統(tǒng)安全訪問(wèn)公司網(wǎng)絡(luò)，并能撥號(hào)連入本地ISP，通過(guò)Internet安全鏈接到公司網(wǎng)絡(luò)。

保護(hù)高級(jí)信息交流62遠(yuǎn)程登錄安全點(diǎn)對(duì)點(diǎn)隧道協(xié)議（PPTP）PPTP是由3Com、USRobotics、Ascend和其他供應(yīng)商的協(xié)會(huì)開(kāi)發(fā)。該連接是基于點(diǎn)對(duì)點(diǎn)協(xié)議（PPP），是建立線路或兩點(diǎn)間撥號(hào)連接的廣泛使用的協(xié)議。客戶端連接網(wǎng)絡(luò)并接入服務(wù)器（NAS）中，NAS基本是由因特網(wǎng)服務(wù)供應(yīng)商（ISP）提供。

保護(hù)高級(jí)信息交流62遠(yuǎn)程登錄安全點(diǎn)對(duì)點(diǎn)隧道協(xié)議（PPTP）與NAS的連接建立以后，另一連接是通過(guò)因特網(wǎng)建立在NAS和PPTP服務(wù)器之間。這一連接就如同隧道（使用TCP端口1723），進(jìn)行客戶端和PPTP服務(wù)器之間的通信。PPTP利用PPP協(xié)議加密。PPTP的一個(gè)擴(kuò)展就是鏈接控制協(xié)議（LCP），用以建立、設(shè)置和測(cè)試該連接。

保護(hù)高級(jí)信息交流62遠(yuǎn)程登錄安全點(diǎn)對(duì)點(diǎn)隧道協(xié)議（PPTP）

保護(hù)高級(jí)信息交流62遠(yuǎn)程登錄安全第二層隧道協(xié)議（L2TP）第二層隧道協(xié)議（L2TP）代表了PPTP功能和Cisco的第二層轉(zhuǎn)發(fā)協(xié)議（L2F）的融合，最初是為彌補(bǔ)PPTP的漏洞而設(shè)計(jì)的。L2TP不只限于TCP/IP網(wǎng)絡(luò)，也支持很多其他協(xié)議。與PPTP不同，L2TP不但可作為軟件安裝在客戶端計(jì)算機(jī)上，而且還可以設(shè)置在路由器上。

保護(hù)高級(jí)信息交流62遠(yuǎn)程登錄安全認(rèn)證技術(shù)傳輸認(rèn)證用以確保訪問(wèn)來(lái)自于授權(quán)用戶，其可以增加遠(yuǎn)程登錄用戶的安全級(jí)別。三種主要的認(rèn)證技術(shù)類(lèi)型為：IEEE802.1x遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)（RADIUS）終端訪問(wèn)控制器訪問(wèn)控制系統(tǒng)（TACACS+）

保護(hù)高級(jí)信息交流62遠(yuǎn)程登錄安全認(rèn)證技術(shù)IEEE802.1x802.1x提供的是基于802局域網(wǎng)（如以太網(wǎng)、TokenRing和無(wú)線局域網(wǎng)）認(rèn)證框架的IEEE標(biāo)準(zhǔn)。其使用是基于端口的認(rèn)證機(jī)制，即交換機(jī)除通過(guò)端口連接網(wǎng)絡(luò)的授權(quán)用戶外，拒絕其他用戶。802.1x不進(jìn)行任何加密，相反是利用加密密鑰為授權(quán)用戶提供安全的交換路徑。

保護(hù)高級(jí)信息交流62遠(yuǎn)程登錄安全認(rèn)證技術(shù)IEEE802.1x術(shù)語(yǔ)RADIUS：RemoteAuthenticationDialInUserService，遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)，可以簡(jiǎn)單將其理解成一個(gè)存儲(chǔ)有用戶的用戶名密碼的服務(wù)器，能夠?qū)σ恍┎樵冞M(jìn)行響應(yīng)，從而得知用戶是否合法

保護(hù)高級(jí)信息交流62遠(yuǎn)程登錄安全認(rèn)證技術(shù)IEEE802.1xEAP：ExtentionalAuthenticationProtocol,可擴(kuò)展的認(rèn)證協(xié)議，這是一個(gè)能夠?yàn)闆](méi)有接入網(wǎng)絡(luò)的設(shè)備提供認(rèn)證及網(wǎng)絡(luò)接入的服務(wù)，工作于OSI七層模型中的數(shù)據(jù)鏈路層。之所以稱其為“可擴(kuò)展的”，是因?yàn)閰f(xié)議只是規(guī)定了一個(gè)框架，允許企業(yè)根據(jù)實(shí)際需要自行定制，但是它要求企業(yè)自己的標(biāo)準(zhǔn)符合IEEE標(biāo)準(zhǔn)中對(duì)于安全性的要求

保護(hù)高級(jí)信息交流62遠(yuǎn)程登錄安全認(rèn)證技術(shù)IEEE802.1xEAPOL：EAPOverLAN，能夠在局域網(wǎng)上傳輸EAP報(bào)文的協(xié)議基于802.1x的認(rèn)證，又稱EAPOE認(rèn)證，因?yàn)檫@個(gè)協(xié)議依賴于EAP實(shí)現(xiàn)。通常，802.1x協(xié)議、802.1x認(rèn)證、EAP協(xié)議都可以認(rèn)為是同一個(gè)意思

保護(hù)高級(jí)信息交流62遠(yuǎn)程登錄安全認(rèn)證技術(shù)IEEE802.1x認(rèn)證包括三個(gè)部分:請(qǐng)求方、認(rèn)證方、認(rèn)證服務(wù)器。請(qǐng)求方就是希望接入局域網(wǎng)/無(wú)線局域網(wǎng)來(lái)上網(wǎng)的設(shè)備，譬如一臺(tái)筆記本，有時(shí)候也指設(shè)備上運(yùn)行的客戶端軟件；認(rèn)證方則是管理接入的設(shè)備，譬如以太網(wǎng)交換機(jī)或者無(wú)線接入點(diǎn)；認(rèn)證服務(wù)器就是一個(gè)運(yùn)行有支持RADIUS和EAP的軟件的主機(jī)。

保護(hù)高級(jí)信息交流62遠(yuǎn)程登錄安全認(rèn)證技術(shù)IEEE802.1x在認(rèn)證過(guò)程中認(rèn)證方起到了關(guān)鍵作用。它將網(wǎng)絡(luò)接入端口分成兩個(gè)邏輯端口：受控端口和非受控端口，非受控端口始終對(duì)用戶開(kāi)放，只允許用于傳送認(rèn)證信息，認(rèn)證通過(guò)之后，受控端口才會(huì)打開(kāi)，用戶才能正常訪問(wèn)網(wǎng)絡(luò)服務(wù)。這種方式可以通過(guò)某些方法實(shí)現(xiàn)，譬如防火墻。

保護(hù)高級(jí)信息交流62遠(yuǎn)程登錄安全請(qǐng)求方與認(rèn)證方之間通過(guò)EAPOL傳遞EAP報(bào)文，EAPOL報(bào)文在認(rèn)證方那里封裝成EAP報(bào)文送往認(rèn)證服務(wù)器

保護(hù)高級(jí)信息交流62遠(yuǎn)程登錄安全認(rèn)證流程1.當(dāng)client有上網(wǎng)需求時(shí)打開(kāi)802.1X客戶端程序，輸入帳號(hào)密碼，向server發(fā)起連接請(qǐng)求。此時(shí)，客戶端程序?qū)l(fā)出請(qǐng)求認(rèn)證的報(bào)文給交換機(jī)，開(kāi)始啟動(dòng)一次認(rèn)證過(guò)程。

2.交換機(jī)收到請(qǐng)求報(bào)文后，會(huì)發(fā)出一個(gè)請(qǐng)求幀要求用戶的客戶端程序?qū)⑤斎氲挠脩裘蜕蟻?lái)。

保護(hù)高級(jí)信息交流62遠(yuǎn)程登錄安全認(rèn)證流程3.client回應(yīng)請(qǐng)求，把用戶信息通過(guò)數(shù)據(jù)幀傳給交換機(jī)，交換機(jī)將客戶端送上來(lái)的報(bào)文經(jīng)過(guò)封包處理后送給server進(jìn)行處理。

4.server收到交換機(jī)轉(zhuǎn)發(fā)上來(lái)的用戶信息后，將該信息與數(shù)據(jù)庫(kù)中的用戶信息表相比對(duì)，找到該用戶名對(duì)應(yīng)的口令信息，用隨機(jī)生成的一個(gè)加密字對(duì)它進(jìn)行加密處理，同時(shí)也將此加密字傳送給交換機(jī)，由交換機(jī)傳給client。

保護(hù)高級(jí)信息交流62遠(yuǎn)程登錄安全認(rèn)證流程5.client收到由交換機(jī)傳來(lái)的加密字后，用該加密字對(duì)口令部分進(jìn)行加密處理（此種加密算法通常是不可逆的如MD5等），并通過(guò)交換機(jī)傳給server。

6.server驗(yàn)證信息，如果相同，則認(rèn)為該用戶為合法用戶，反饋給client通過(guò)的消息，并向交換機(jī)發(fā)出打開(kāi)端口的指令，允許用戶的業(yè)務(wù)流通過(guò)端口訪問(wèn)網(wǎng)絡(luò)。

保護(hù)高級(jí)信息交流62遠(yuǎn)程登錄安全RADIUS(遠(yuǎn)程撥入用戶認(rèn)證服務(wù))是為分布式網(wǎng)絡(luò)上的認(rèn)證服務(wù)器提供管理服務(wù)。RADIUS為服務(wù)供應(yīng)商和公司提供了一種靈活通用的協(xié)議,用來(lái)完成集中式的用戶認(rèn)證、口令加密、服務(wù)選擇、過(guò)濾和帳目核對(duì)等工作。IETF制定RADIUS的工業(yè)標(biāo)準(zhǔn)。

保護(hù)高級(jí)信息交流62遠(yuǎn)程登錄安全RADIUS(遠(yuǎn)程撥入用戶認(rèn)證服務(wù))

RADIUS具有以下的主要功能:用戶身份辯認(rèn);用戶認(rèn)證;用戶認(rèn)證信息以及有關(guān)的描述信息;帳目核對(duì)。RADIUS不僅指運(yùn)行于服務(wù)器上的軟件,還包括網(wǎng)絡(luò)訪問(wèn)服務(wù)器與RADIUS服務(wù)器之間的交互操作協(xié)議。

保護(hù)高級(jí)信息交流62遠(yuǎn)程登錄安全終端訪問(wèn)控制器訪問(wèn)控制系統(tǒng)（TACACS+）是傳輸用戶名和密碼信息到集中服務(wù)器的行業(yè)標(biāo)準(zhǔn)協(xié)議。是為支持遠(yuǎn)程連接而設(shè)計(jì)的。在大型網(wǎng)絡(luò)中，由于用戶數(shù)據(jù)庫(kù)龐大，最好是將其存儲(chǔ)在集中服務(wù)器中。這樣既節(jié)省登錄設(shè)備的內(nèi)存，同時(shí)也減少了因增加新用戶或改變密碼而升級(jí)每個(gè)登錄服務(wù)的需要。TACACS+支持認(rèn)證、授權(quán)和監(jiān)控。

保護(hù)高級(jí)信息交流63安全傳輸協(xié)議

安全殼（SSH）是基于UNIX為安全登錄遠(yuǎn)程計(jì)算機(jī)的命令接口和協(xié)議。SSH實(shí)際上是三個(gè)實(shí)體的組合—slogin、ssh和scp，它們是非安全UNIX相應(yīng)實(shí)體的安全版本。

保護(hù)高級(jí)信息交流63安全傳輸協(xié)議

安全殼（SSH）UNIX命令名描述結(jié)構(gòu)安全替代命令rlogin登錄遠(yuǎn)程計(jì)算機(jī)rloginremotecomputersloginrcp遠(yuǎn)程計(jì)算機(jī)間拷貝文件rcp[options]localfile

remtecomputer:filenamescprsh不登錄而執(zhí)行遠(yuǎn)程主機(jī)命令rsh

remotecomputercommandssh

保護(hù)高級(jí)信息交流63安全傳輸協(xié)議

安全殼（SSH）傳統(tǒng)的網(wǎng)絡(luò)服務(wù)程序，如：ftp和telnet在本質(zhì)上都是不安全的，因?yàn)樗鼈冊(cè)诰W(wǎng)絡(luò)上用明文傳送口令和數(shù)據(jù)，別有用心的人非常容易就可以截獲這些口令和數(shù)據(jù)。通過(guò)使用SSH，你可以把所有傳輸?shù)臄?shù)據(jù)進(jìn)行加密，這樣"中間人"這種攻擊方式就不可能實(shí)現(xiàn)了，而且也能夠防止DNS欺騙和IP欺騙。使用SSH，還有一個(gè)的好處是傳輸?shù)臄?shù)據(jù)是經(jīng)過(guò)壓縮的，加快傳輸速度。

保護(hù)高級(jí)信息交流63安全傳輸協(xié)議

安全殼（SSH）從客戶端來(lái)看，SSH提供兩種級(jí)別的安全驗(yàn)證。第一種級(jí)別（基于口令的安全驗(yàn)證）

只要你知道自己帳號(hào)和口令，就可以登錄到遠(yuǎn)程主機(jī)。所有傳輸?shù)臄?shù)據(jù)都會(huì)被加密，但是不能保證你正在連接的服務(wù)器就是你想連接的服務(wù)器?？赡軙?huì)有別的服務(wù)器在冒充真正的服務(wù)器，也就是受到“中間人”這種方式的攻擊。

保護(hù)高級(jí)信息交流63安全傳輸協(xié)議

安全殼（SSH）第二種級(jí)別（基于密匙的安全驗(yàn)證）

需要依靠密匙，也就是你必須為自己創(chuàng)建一對(duì)密匙，并把公用密匙放在需要訪問(wèn)的服務(wù)器上。如果你要連接到SSH服務(wù)器上，客戶端軟件就會(huì)向服務(wù)器發(fā)出請(qǐng)求，請(qǐng)求用你的密匙進(jìn)行安全驗(yàn)證。服務(wù)器收到請(qǐng)求之后，先在該服務(wù)器上你的主目錄下尋找你的公用密匙，然后把它和你發(fā)送過(guò)來(lái)的公用密匙進(jìn)行比較。如果兩個(gè)密匙一致，服務(wù)器就用公用密匙加密“質(zhì)詢”（challenge）并把它發(fā)送給客戶端軟件?？蛻舳塑浖盏健百|(zhì)詢”之后就可以用你的私人密匙解密再把它發(fā)送給服務(wù)器。

保護(hù)高級(jí)信息交流63安全傳輸協(xié)議

SSH另類(lèi)應(yīng)用：用ssh做socks5代理

1.下載MyEntunnel

2.下載PuTTY,解壓到MyEntunnel程序的目錄下。

3.運(yùn)行MyEntunnel.exe，設(shè)置：SSHServer里頭填上sshftp的地址或IP，填好用戶名和密碼，點(diǎn)Connect，系統(tǒng)欄里面的小鎖變成綠色就連接成功了。

4.設(shè)置瀏覽器。IE是不支持socks代理的，用firefox好了，打開(kāi)firefox的代理設(shè)置頁(yè)，在socks主機(jī)處填上端口填原先設(shè)置的，默認(rèn)7070。

保護(hù)高級(jí)信息交流63安全傳輸協(xié)議

IPSec是IPSecurity的縮寫(xiě)，是支持?jǐn)?shù)據(jù)包安全交換的一套協(xié)議。由于它工作在OSI模型的網(wǎng)絡(luò)層，IPSec被認(rèn)為是透明的安全協(xié)議?！?yīng)用程序—程序不需改動(dòng)就可以在IPSec下運(yùn)行?！び脩簟c一些安全工具不同，用戶無(wú)需進(jìn)行特定安全程序的培訓(xùn)（如PGP加密）。·軟件—

由于IPSec安全設(shè)在如防火墻或路由器這種設(shè)備中，因此在本地客戶端不需更改軟件。

保護(hù)高級(jí)信息交流63安全傳輸協(xié)議

IPSec提供以下三個(gè)領(lǐng)域的保護(hù)：·認(rèn)證—IPSec從數(shù)據(jù)包中的信息認(rèn)證是從源頭發(fā)送的，中間人攻擊和再現(xiàn)式攻擊不能改變其內(nèi)容，由認(rèn)證頭（AH）協(xié)議完成的。·機(jī)密性—通過(guò)加密數(shù)據(jù)包，IPSec確保其他人不能查看其內(nèi)容。機(jī)密性是通過(guò)封裝安全負(fù)載（ESP）協(xié)議實(shí)現(xiàn)的。ESP支持發(fā)送人和加密數(shù)據(jù)的認(rèn)證。

保護(hù)高級(jí)信息交流63安全傳輸協(xié)議

IPSec提供以下三個(gè)領(lǐng)域的保護(hù)：·密鑰管理—IPSec管理密鑰確保其免受非授權(quán)用戶的使用。應(yīng)用IPSec，發(fā)送和接收設(shè)備必須使用同一密鑰。因?yàn)镮PSec是通過(guò)互聯(lián)網(wǎng)安全關(guān)聯(lián)和密鑰管理協(xié)議/Oakley（ISAKMP/Oakley）來(lái)實(shí)現(xiàn)對(duì)用戶的保護(hù)的，它允許接受者獲到密鑰，并利用數(shù)字證書(shū)認(rèn)證發(fā)送人。

保護(hù)高級(jí)信息交流63安全傳輸協(xié)議

IPSec支持兩種加密模式：傳輸和隧道。傳輸模式只加密每個(gè)數(shù)據(jù)包的數(shù)據(jù)部分，而頭部不加密。更安全的隧道模式則同時(shí)加密數(shù)據(jù)和頭部。

保護(hù)高級(jí)信息交流63安全傳輸協(xié)議

虛擬專(zhuān)用網(wǎng)絡(luò)（VPNs）

在公用網(wǎng)絡(luò)上建立專(zhuān)用網(wǎng)絡(luò)的技術(shù)。其之所以稱為虛擬網(wǎng)，主要是因?yàn)檎麄€(gè)VPN網(wǎng)絡(luò)的任意兩個(gè)節(jié)點(diǎn)之間的連接并沒(méi)有傳統(tǒng)專(zhuān)網(wǎng)所需的端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺(tái)，用戶數(shù)據(jù)在邏輯鏈路中傳輸。它涵蓋了跨共享網(wǎng)絡(luò)或公共網(wǎng)絡(luò)的封裝、加密和身份驗(yàn)證鏈接的專(zhuān)用網(wǎng)絡(luò)的擴(kuò)展。VPN主要采用了隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和認(rèn)證技術(shù)。

保護(hù)高級(jí)信息交流63安全傳輸協(xié)議

虛擬專(zhuān)用網(wǎng)絡(luò)（VPNs）

VPN的隧道協(xié)議主要有三種，PPTP，L2TP和IPSec，其中PPTP和L2TP協(xié)議工作在OSI模型的第二層，又稱為二層隧道協(xié)議；IPSec是第三層隧道協(xié)議，也是最常見(jiàn)的協(xié)議。L2TP和IPSec配合使用是目前性能最好，應(yīng)用最廣泛的一種。

保護(hù)高級(jí)信息交流63安全傳輸協(xié)議

虛擬專(zhuān)用網(wǎng)絡(luò)（VPNs）

作用

(1)使用VPN可降低成本——通過(guò)公用網(wǎng)來(lái)建立VPN，就可以節(jié)省大量的通信費(fèi)用，而不必投入大量的人力和物力去安裝和維護(hù)WAN(廣域網(wǎng))設(shè)備和遠(yuǎn)程訪問(wèn)設(shè)備。

(2)傳輸數(shù)據(jù)安全可靠——虛擬專(zhuān)用網(wǎng)產(chǎn)品均采用加密及身份驗(yàn)證等安全技術(shù)，保證連接用戶的可靠性及傳輸數(shù)據(jù)的安全和保密性。

保護(hù)高級(jí)信息交流63安全傳輸協(xié)議

虛擬專(zhuān)用網(wǎng)絡(luò)（VPNs）

作用

(3)連接方便靈活——用戶如果想與合作伙伴聯(lián)網(wǎng)，如果沒(méi)有虛擬專(zhuān)用網(wǎng)，雙方的信息技術(shù)部門(mén)就必須協(xié)商如何在雙方之間建立租用線路或幀中繼線路，有了虛擬專(zhuān)用網(wǎng)之后，只需雙方配置安全連接信息即可。

(4)完全控制——用戶只利用ISP提供的網(wǎng)絡(luò)資源，對(duì)于其它的安全設(shè)置、網(wǎng)絡(luò)管理變化可由自己管理。在企業(yè)內(nèi)部也可以自己建立虛擬專(zhuān)用網(wǎng)。

保護(hù)高級(jí)信息交流64保護(hù)目錄服務(wù)

目錄服務(wù)是存在網(wǎng)絡(luò)中的數(shù)據(jù)庫(kù)，含有關(guān)于用戶和網(wǎng)絡(luò)設(shè)備的所有信息。目錄服務(wù)含有用戶名、電話、郵件地址和登錄名等信息。目錄服務(wù)也記錄網(wǎng)絡(luò)資源及用戶授權(quán)，根據(jù)驅(qū)動(dòng)器服務(wù)信息接受或拒絕登錄。國(guó)際標(biāo)準(zhǔn)組織（ISO）設(shè)立了驅(qū)動(dòng)器服務(wù)標(biāo)準(zhǔn)X.500。X.500的目的是建立數(shù)據(jù)存儲(chǔ)標(biāo)準(zhǔn)，任何計(jì)算機(jī)系統(tǒng)都可以訪問(wèn)該驅(qū)動(dòng)器。它提供通過(guò)姓名查找信息（白頁(yè)服務(wù)）以及瀏覽和搜索信息（黃頁(yè)服務(wù)）的功能。

保護(hù)高級(jí)信息交流64保護(hù)目錄服務(wù)

X.500標(biāo)準(zhǔn)定義的客戶端應(yīng)用程序訪問(wèn)X.500目錄的標(biāo)準(zhǔn)，叫做目錄訪問(wèn)協(xié)議（DAP）。然而，由于DAP需要空間較大，其不能在個(gè)人電腦中運(yùn)行。輕級(jí)目錄訪問(wèn)協(xié)議，有時(shí)也叫做X.500Lite，是DAP的一個(gè)子集。將SSL與LDAP目錄配合使用將允許您安全地管理您的目錄。可配置LDAP目錄服務(wù)器以接受從LDAP客戶機(jī)的SSL連接。還可在將信息發(fā)布至LDAP目錄服務(wù)器時(shí)配置您的服務(wù)器以使用SSL。

保護(hù)高級(jí)信息交流65加固無(wú)線局域網(wǎng)（WLAN）

無(wú)線網(wǎng)絡(luò)技術(shù)也存在一些嚴(yán)重的安全漏洞。包括以下幾方面：·非授權(quán)用戶也可以接受無(wú)線信號(hào)，登錄網(wǎng)絡(luò)。·攻擊者可以在傳輸中截獲和查看傳輸信息。·辦公室員工可以安裝個(gè)人無(wú)線設(shè)備，并攻破安全區(qū)域?！す粽呖梢允褂媚_本輕松攻破無(wú)線安全。

保護(hù)高級(jí)信息交流65加固無(wú)線局域網(wǎng)（WLAN）

IEEE802.11標(biāo)準(zhǔn)：802.11標(biāo)準(zhǔn)定義了LAN，在移動(dòng)或固定的地點(diǎn)提供無(wú)電纜數(shù)據(jù)訪問(wèn)，最高速度為2Mbps。

物理（PHY）和媒體訪問(wèn)控制（MAC）層的功能提供了所有WLAN功能的實(shí)施，所以其他層不需進(jìn)行調(diào)整。

保護(hù)高級(jí)信息交流65加固無(wú)線局域網(wǎng)（WLAN）

保護(hù)高級(jí)信息交流65加固無(wú)線局域網(wǎng)（WLAN）

WALN安全保護(hù)可以分為兩個(gè)部分：基本W(wǎng)LAN安全和更高的企業(yè)WLAN安全。基本W(wǎng)LAN安全使用兩種新的無(wú)線工具和一種有線工具。這些工具是服務(wù)設(shè)置標(biāo)志號(hào)（SSID）標(biāo)向，MAC地址過(guò)濾和有線等效保密（WEP）。

保護(hù)高級(jí)信息交流65加固無(wú)線局域網(wǎng)（WLAN）

無(wú)線網(wǎng)卡物理地址（MAC）過(guò)濾

每個(gè)無(wú)線工作站網(wǎng)卡都由唯一的物理地址標(biāo)示，該物理地址編碼方式類(lèi)似于以太網(wǎng)物理地址，是48位。網(wǎng)絡(luò)管理員可在無(wú)線局域網(wǎng)訪問(wèn)點(diǎn)AP中手工維護(hù)一組允許訪問(wèn)或不允許訪問(wèn)的MAC地址列表，以實(shí)現(xiàn)物理地址的訪問(wèn)過(guò)濾。

保護(hù)高級(jí)信息交流65加固無(wú)線局域網(wǎng)（WLAN）

服務(wù)區(qū)標(biāo)識(shí)符(SSID)匹配

無(wú)線工