ASP网页编程之VPN手艺详解(下)
缺点:安全性不是太差了,还行,只要你充分利用系统自带的工具;唯一缺点就是执行效率慢,如何进行网站优化以后,效果会比较好。详解VPN手艺详解(下)吕晓波
(紧接中篇)
数据传输阶段
一旦完成上述4阶段的协商,PPP就入手下手在毗连对等两边之间转发数据。每一个被传送的数据报都被封装在PPP包头内,该包头将会在抵达吸收方以后被往除。假如在阶段1选择利用数据紧缩而且在阶段4完成了协商,数据将会在被传送之间举行紧缩。相似的,假如假如已选择利用数据加密并完成了协商,数据(或被紧缩数据)将会在传送之行进行加密。
点对点地道协定(PPTP)
PPTP是一个第2层的协定,将PPP数据桢封装在IP数据报内经由过程IP收集,如Internet传送。PPTP还可用于公用局域收集之间的毗连。RFC草案“点对点地道协定”对PPTP协定举行了申明和先容。该草案由PPTP论坛的成员公司,包含微软,Ascend,3Com,和ECI等公司在1996年6月提交至IETF。可在以下站点http://www.ietf.orghttp://www.ietf.org参看草案的在线拷贝.PPTP利用一个TCP毗连对地道举行保护,利用通用路由封装(GRE)手艺把数据封装成PPP数据桢经由过程地道传送。能够对封装PPP桢中的负载数据举行加密或紧缩。所示为怎样在数据传送之前组装一个PPTP数据包。
第2层转发(L2F)
L2F是Cisco公司提出地道手艺,作为一种传输协定L2F撑持拨号接进服务器将拨号数据流封装在PPP桢内经由过程广域网链路传送到L2F服务器(路由器)。L2F服务器把数据包解包之从头注进(inject)收集。与PPTP和L2TP分歧,L2F没有断定的客户方。应该注重L2F只在强迫地道中无效。(志愿和强迫地道的先容参看“地道范例”)。
第2层地道协定(L2TP)
L2TP分离了PPTP和L2F协定。计划者但愿L2TP可以综合PPTP和L2F的上风。
L2TP是一种收集层协定,撑持封装的PPP桢在IP,X.25,桢中继或ATM等的收集长进行传送。当利用IP作为L2TP的数据报传输协定时,可使用L2TP作为Internet收集上的地道协定。L2TP还能够间接在各类WAN前言上利用而不必要利用IP传输层。草案RFC“第2层地道协定”对L2TP举行了申明和先容。该文档于1998年1月被提交至IETF。能够在以下网站http://www.ietf.orghttp://www.ietf.org取得草案拷贝。
IP网上的L2TP利用UDP和一系列的L2TP动静对地道举行保护。L2TP一样利用UDP将L2TP协定封装的PPP桢经由过程地道发送。能够对封装PPP桢中的负载数据举行加密或紧缩。所示为怎样在传输之前组装一个L2TP数据包。
PPTP与L2TP
PPTP和L2TP都利用PPP协定对数据举行封装,然后增加附加包头用于数据在互联收集上的传输。只管两个协定十分类似,可是仍存在以下几方面的分歧:
1.PPTP请求互联收集为IP收集。L2TP只需求地道前言供应面向数据包的点对点的毗连。L2TP能够在IP(利用UDP),桢中继永世假造电路(PVCs),X.25假造电路(VCs)或ATMVCs收集上利用。
2.PPTP只能在两头点间创建单一地道。L2TP撑持在两头点间利用多地道。利用L2TP,用户能够针对分歧的服务质量创立分歧的地道。
3.L2TP能够供应包头紧缩。当紧缩包头时,体系开支(overhead)占用4个字节,而PPTP协定下要占用6个字节。
4.L2TP能够供应地道考证,而PPTP则不撑持地道考证。可是当L2TP或PPTP与IPSEC配合利用时,能够由IPSEC供应地道考证,不必要在第2层协定上考证地道。
IPSec地道形式
IPSEC是第3层的协定尺度,撑持IP收集上数据的平安传输。本文将在“初级平安”一部分中对IPSEC举行具体的整体先容,此处仅分离地道协定会商IPSEC协定的一个方面。除对IP数据流的加密机制举行了划定以外,IPSEC还制订了IPoverIP地道形式的数据包格局,一样平常被称作IPSEC地道形式。一个IPSEC地道由一个地道客户和地道服务器构成,两头都设置利用IPSEC地道手艺,接纳协商加密机制。
为完成在公用或大众IP收集上的平安传输,IPSEC地道形式利用的平安体例封装和加密全部IP包。然后对加密的负载再次封装在明文IP包头内经由过程收集发送到地道服务器端。地道服务器对收到的数据报举行处置,在往除明文IP包头,对内容举行解密以后,获的最后的负载IP包。负载IP包在经由一般处置以后被路由到位于方针收集的目标地。
IPSEC地道形式具有以下功效和范围:
1.只能撑持IP数据流
2.事情在IP栈(IPstack)的底层,因而,使用程序和高层协定能够承继IPSEC的举动。
3.由一个平安战略(一整套过滤机制)举行把持。平安战略依照优先级的前后按次创立可供利用的加密和地道机制和考证体例。当必要创建通信时,两边呆板实行互相考证,然后协商利用何种加密体例。今后的一切数据流都将利用两边协商的加密机制举行加密,然后封装在地道包头内。
关于IPSEC的具体先容参看本文稍后的“初级平安”部分。
地道范例
能够创立分歧范例的地道。
1.志愿地道(Voluntarytunnel)
用户或客户端盘算机能够经由过程发送VPN哀求设置和创立一条志愿地道。此时,用户端盘算机作为地道客户方成为地道的一个端点。
2.强迫地道(Compulsorytunnel)
由撑持VPN的拨号接进服务器设置和创立一条强迫地道。此时,用户真个盘算机不作为地道端点,而是由位于客户盘算机和地道服务器之间的远程接进服务器作为地道客户端,成为地道的一个端点。
今朝,志愿地道是最广泛利用的地道范例。以下,将对上述两种地道范例举行具体先容。
志愿地道
当一台事情站或路由器利用地道客户软件创立到方针地道服务器的假造毗连时创建志愿地道。为完成这一目标,客户端盘算机必需安装得当的地道协定。志愿地道必要有一条IP毗连(经由过程局域网或拨号线路)。利用拨号体例时,客户端必需在创建地道之前创立与大众互联收集的拨号毗连。一个最典范的例子是Internet拨号用户必需在创立Internet地道之前拨通当地ISP获得与Internet的毗连。
对企业外部收集来讲,客户机已具有同企业收集的毗连,由企业收集为封装负载数据供应到方针地道服务器路由。
年夜多半人误以为VPN只能利用拨号毗连。实在,VPN只需求撑持IP的互联收集。一些客户机(如家用PC)能够经由过程利用拨号体例毗连Internet创建IP传输。这只是为创立地道所做的开端筹办,其实不属于地道协定。
强迫地道
今朝,一些商家供应可以取代拨号客户创立地道的拨号接进服务器。这些可以为客户端盘算机供应地道的盘算机或收集设备包含撑持PPTP协定的前端处置器(FEP),撑持L2TP协定的L2TP接进集线器(LAC)或撑持IPSec的平安IP网关。本文将次要以FEP为例举行申明。为一般的发扬功效,FEP必需安装得当的地道协定,同时必需可以当客户盘算机创建起毗连时创立地道。
以Internet为例,客户机向位于当地ISP的可以供应地道手艺的NAS收回拨号呼唤。比方,企业能够与某个ISP签订协定,由ISP为企业在天下局限内设置一套FEP。这些FEP能够经由过程Internet互联收集创立一条到地道服务器的地道,地道服务器与企业的公用收集相连。如许,就能够将分歧中央兼并成企业收集真个一条单一的Internet毗连。
由于客户只能利用由FEP创立的地道,以是称为强迫地道。一旦最后的毗连乐成,一切客户真个数据流将主动的经由过程地道发送。利用强迫地道,客户端盘算机创建单一的PPP毗连,当客户拨进NAS时,一条地道将被创立,一切的数据流主动经由过程该地道路由。能够设置FEP为一切的拨号客户创立到指定地道服务器的地道,也能够设置FEP基于分歧的用户名或目标地创立分歧的地道。
志愿地道手艺为每一个客户创立自力的地道。FEP和地道服务器之间创建的地道能够被多个拨号客户共享,而不用为每一个客户创建一条新的地道。因而,一条地道中大概会传送多个客户的数据信息,只要在最初一个地道用户断开毗连以后才停止整条地道。
初级平安功效
固然Internet为创立VPN供应了极年夜的便利,可是必要创建壮大的平安功效以确保企业外部收集不遭到外来打击,确保经由过程大众收集传送的企业数据的平安。
对称加密与非对称加密(公用密钥与公用密钥)
对称加密,或公用密钥(也称做惯例加密)由通讯两边共享一个奥密密钥。发送方在举行数学运算时利用密钥将明文加密成密文。承受方利用不异的密钥将密文复原成明文。RSARC4算法,数据加密尺度(DES),国际数据加密算法(IDEA)和Skipjack加密手艺都属于对称加密体例。
非对称加密,或公用密钥,通信各方利用两个分歧的密钥,一个是只要发送方晓得的公用密钥,另外一个则是对应的公用密钥,任何人都能够取得公用密钥。公用密钥和公用密钥在加密算法上互相联系关系,一个用于数据加密,另外一个用于数据解密。
公用密钥加密手艺同意对信息举行数字署名。数字署名利用发送发送一方的公用密钥对所发送信息的某一部分举行加密。承受方收到该信息后,利用发送方的公用密钥解密数字署名,考证发送方身份。
证书
利用对称加密时,发送和吸收方都利用共享的加密密钥。必需在举行加密通信之前,完成密钥的散布。利用非对称加密时,发送方利用一个公用密钥加密信息或数字署名,吸收方利用公用密钥解密信息。公用密钥能够自在散布给任何必要吸收加密信息或数字署名信息的一方,发送方只需包管公用密钥的平安性便可。
为包管公用密钥的完全性,公用密钥随证书一同公布。证书(或公用密钥证书)是一种经由证书签发机构(CA)数字署名的数据布局。CA利用本人的公用密钥对质书举行数字署名。假如承受方晓得CA的公用密钥,就能够证实证书是由CA签发,因而包括牢靠的信息和无效的公用密钥。
总之,公用密钥证书为考证发送方的身份供应了一种便利,牢靠的办法。IPSec能够选择利用该体例举行端到真个考证。RAS可使用公用密钥证书考证用户身份。
扩大考证协定(EAP)
如前文所述,PPP只能供应无限的考证体例。EAP是由IETF提出的PPP协定的扩大,同意毗连利用恣意体例对一条PPP毗连的无效性举行考证。EAP撑持在一条毗连的客户和服务器两头静态到场考证插件模块。
买卖层平安协定(EAP-TLS)
EAP-TLS已作为发起草案提交给IETF,用于创建基于公用密钥证书的壮大的考证体例。利用EAP-TLS,客户向拨进服务</p>Access是一种桌面数据库,只适合数据量少的应用,在处理少量数据和单机访问的数据库时是很好的,效率也很高。但是它的同时访问客户端不能多于4个。access数据库有一定的极限,如果数据达到100M左右,很容易造成服务器iis假死,或者消耗掉服务器的内存导致服务器崩溃。 ASP的语言不仅仅只是命令格式差不多,而是包含在<%%>之内的命令完全就是VB语法。虽然ASP也是做为单独的一个技术来提出的,但他就是完全继承了VB所有的功能。 运用ASP可将VBscript、javascript等脚本语言嵌入到HTML中,便可快速完成网站的应用程序,无需编译,可在服务器端直接执行。容易编写,使用普通的文本编辑器编写,如记事本就可以完成。由脚本在服务器上而不是客户端运行,ASP所使用的脚本语言都在服务端上运行。 他的语法和设计思路和VB完全相同,导致很多ASP的书都留一句“相关内容请参考VB的相关教材....”更糟糕的是,相当多的ASP教程混合了Javascript,VBscript等等脚本语言,搞的初学者。 最近在学asp,不要问我为什么不直接学.net,因为公司网站是asp做的所以有这个需要,卖了本书asp入门到精通,对里面的六大内置对象老是记不住,还有很多属性和方法看的头晕。 没有坚实的理论做基础,那么我们连踏入社会第一步的资本都没有,特别对于计算机专业的学生学好专业知识是置关重要的。在这里我侧重讲一下如何学习ASP,从平时的学习过程中。 哪些内置对象是可以跳过的,或者哪些属性和方法是用不到的? 哪些内置对象是可以跳过的,或者哪些属性和方法是用不到的? 下面简单介绍一下我学习ASP的方法,希望对想学习ASP的朋友有所帮助...
页:
[1]