Depuis l'O 9 a commencé, l'Internet est devenu populaire dans le pays, avec de nombreux sites Web et développement d'applications, les utilisateurs d'Internet ont contribué à une augmentation substantielle de la courte période de temps, peu à peu commence à affecter la vie des gens, de l'éducation Entertainment économie de la connaissance et ainsi de suite ont joué beaucoup de changements, les gens peuvent par Internet avec des amis autour du monde d'échanger des informations, ou peut être Jiaoxue à distance pour étudier vocations ou par la page d'accueil de la bibliothèque de recherche d'information, la conduite des affaires peut également être accessible par l'Internet, plus important, c'est l'Internet a créé une non-entité du monde virtuel, au-delà de la vie réelle de toutes les formes de régulation. De nombreuses applications dans le réseau, l'entreprise peut dire, c'est la partie la plus importante, l'utilisation d'Internet pour effectuer des transactions financières et activités de marketing de temps de ne plus être limité à la capitale, personnel, équipement, zones, point de vente et d'autres contraintes physiques rendre les PME plus compétitives, mais il y avait beaucoup sans précédent des modèles d'affaires électroniques, tels que Business to Business (B to B), Business to Client (B to C), Client to Business (C à B), et un client à l' (C à C) et les investisseurs tant devant le suivi de rejoindre les rangs de l'Internet, comme les soi-disant révolution industrielle d'autre part, le lieu, dans beaucoup de ces applications, la sécurité du réseau a été une question fondamentale un, parce que si elle est entreprise ou le transfert des utilisateurs des données sont souvent visés, l'argent ou des renseignements privés, alors la sécurité des données est le principal problème.
Dans le passé, l'industrie de l'échange d'informations à effectuer, à la fois l'entreprise et la société ou entre les ministères au sein de l'entreprise peut avoir à tirer une ligne, ce très rentable et il ya beaucoup régionale ou d'un dispositif, les PME à Xiwangzhenzheng Communications générées dynamiquement lorsque la connexion réseau de manière autonome, sans la nécessité d'off-line où vous pouvez économiser sur les coûts, conjuguée à la popularité de l'Internet et la technologie est simple, et beaucoup de gens importants essayer de fichiers confidentiels via Internet Chemin du transfert, mais a peur de l'information d'être volés ou, ce qui entraîne la perte irréparable et espérons donc d'établir une connexion par l'intermédiaire du canal de transmission de données Internet (tunnel) est absolument sûr, c'est le concept de base du VPN.
Un coût
Utilisez le VPN Internet, le plus simple que cet avantage est des économies de coûts, à la fois traditionnels VPN T1 ou cadre de la ligne RNIS, le coût est vraiment effrayant, y compris les frais d'installation, frais mensuels fixes mensuels, et basé sur la distance augmentation des coûts, etc, le coût et beaucoup plus élevé que le VPN Internet.
2 flexibles
ISP offrant des services d'intégration d'affaires à travers le traditionnel point à point de connexion, car la bande passante nécessaire pour chaque point des exigences différentes, de l'espoir à la ligne avec une bande passante différente, provoquant ainsi l'équipement lourd et des déchets, leur maintien est des problèmes complexes, mais Internet VPN, car le service est fourni par le FAI à être basé sur la largeur de bande fourni par le FAI est différent pour chaque point de l'un des choix de la bande passante dont vous avez besoin, il ne sera pas seulement flexibles, mais aussi de réduire les coûts, et planification basée sur les différents besoins en bande passante.
Extension de 3 complète de
évolutivité géographique: les vendeurs générale IPS, dans un pays ou une région ont souvent un certain nombre de postes, alors quand le bureau du mouvement est modifié, la ligne du réseau 较为 mobile simple où seulement modifier un seul point de connexion du FAI , et généralement basées sur l'action utilisateurs d'ordinateur portable peuvent également dial-up FAI pour rejoindre le système VPN, que l'action de l'utilisateur n'est plus limité à des limites en ligne. l'évolutivité de la bande passante: quand une branche est une bande passante insuffisante, nous pouvons facilement en fonction des FAI local pour améliorer les services fournis, n'a pas besoin de changements radicaux à la ligne.
Channel (Tunnels)
1 Virtual
connexion VPN avec le vert traditionnel de la plus grande différence est que les organisations doivent générées dynamiquement lorsque la connexion, VPN n'est généralement pas maintenir une connexion permanente, qui est, lorsque la transmission terminée, sur la libération de la bande passante pour une utilisation hors connexion à d'autres Lors de l'ouverture d'un canal entre les deux extrémités, la borne de sortie est généralement utilisée par les paquets IP sera traitée ultérieurement envoyé à l'Internet, souvent l'information fait partie de cette entente incluent le cryptage ou d'augmenter la reconnaissance de l'information, et re-calcul des en-tête IP Lorsque le récepteur reçoit ce paquet va supprimer l'en-tête IP et après la réorganisation, puis décoder les données et identifier des actions. Tunneling par la voie de paquets dans le travail général de bureau peuvent exister entre les deux types de critères d'évaluation, il ya une station de travail général, ou une passerelle de sécurité (Security Gateway) entre la passerelle de sécurité est un routeur ou pare-feu peuvent être posés par cette peut être une combinaison des deux points de terminaison dans une LAN-to-LAN, LAN-to-client, sous forme client-client.
2 Private (privatisation)
VPN mis en place l'une des conditions est que, lorsque la communication entre les deux points extrêmes, la nécessité d'atteindre les questions de privatisation, la privatisation dite est établie par les voies sur un support de transmission de données partagée, le résultat est équivalent à faire dans le vert transmission, il doit répondre aux quatre conditions suivantes
D'authentification (identification): identification des sources d'information est l'identité des autres revendications
Contrôle d'accès (accès): droit limité à utiliser la machine sans accès aux données
Confidentialité (confidentialité des données): pour empêcher les utilisateurs illégaux de lire ou de copier le contenu de l'information
L'intégrité des données (données de fin positive): Le processus visant à déterminer si la transmission de données n'a pas été modifié
Pour atteindre les conditions ci-dessus, il faut ajouter un certain nombre de procédures supplémentaires, telles que des procédures de cryptage pour le procédé de signature électronique, le hachage des méthodes reconnues procédures, et parce que des informations confidentielles de la reconnaissance mutuelle (clé) que les clés, il doit y avoir un mécanisme gestion.
les attaques DDoS en les défauts actuels de lutte contre pare-feu
Pare-feu (Firewall) est un réseau de sécurité dans une partie très importante de la plupart des organes de la majorité des entreprises pensent que il suffit d'installer un pare-feu "appareil doit être en mesure de résoudre leurs problèmes de sécurité. C'est principalement par les restrictions d'accès pour protéger leur réseau interne, non soumises à l'attaque. Cependant, le pare-feu doit avoir l'environnement de corriger les paramètres de jouer sur le mécanisme de sécurité. Par conséquent, un pare-feu fort ou ne dépend pas principalement sur le contexte environnemental du niveau, lorsque les règles de pare-feu basé sur la sécurité des différents services multiples filtres de paquets et les procurations, il est souvent facile de pousser le système à l'environnement d'erreur du gestionnaire de pare-feu paramètres mais a laissé des lacunes dans la sécurité du système, sera l'occasion pour un intrus. Le Packet Filter Firewall pour le paquet IP est habituellement les champs d'en-tête et les gestionnaires de règles de filtrage, ces domaines sont principalement:
type de paquets (Packet Type), tels que: IP, UDP, ICMP, TCP ou de l'hôte source de l'adresse IP de l'hôte cible de l'adresse IP, source port TCP / UDP, TCP cible / des numéros de ports UDP
produits pare-feu présents à venir pour résister à des attaques DDoS, il est difficile pour beaucoup de raisons suivantes:
1. Pare-feu est un homme de définir manuellement (Static configuration), et ne conviennent donc pas pour les paramètres dynamiques (Dynamic Configuration), parce que chaque mode d'attaque n'est pas forcément, vous ne pouvez pas savoir l'attaquant adresse source, et utilisé pour attaquer le protocole, sauf si vous voulez être un ensemble très complet, sinon, il est difficile de faire une attaque DDoS efficace de lutte contre.
2. En outre, les paramètres actuels de pare-feu sont souvent utilisés au lieu Cuosha 100 doit pas laisser manière d'une personne, qui est, il ne fait pas de distinction entre le normal et paquets de l'attaque de paquets différents, par exemple, la plupart des administrateurs réseau ICMP Ping pour résister à l'attaque, fixera le pare-feu pour tous les paquets entrants ICMPPing ménager à la fois, cependant, il ne bloque pas les paquets ICMP Ping réponse, cette approche permet aux utilisateurs de l'extérieur du pare-feu ne peut pas Ping le pare-feu adresse IP interne, mais dans un but de défense n'est pas une bonne façon, mais maintenant le mode d'attaque a été changé pour envoyer un grand nombre de faux paquets ICMP de réponse Ping, oui, pare-feu uniquement avec Ping ICMP de réponse de paquet a bloquer pour bloquer ce type de paquets de l'attaque, ce qui causerait des inconvénients Firewall utilisateur à l'intérieur. Par conséquent, nous avons un urgent besoin d'un outil rapide et efficace pour détecter les attaques DDoS, afin que nous puissions attaquer la première fois de faire le traitement.