Sinds de 9 O begon, het internet werd populair in het land, met vele websites en applicatie ontwikkeling, Internet-gebruikers hebben bijgedragen tot een aanzienlijke toename in de korte periode van tijd, langzamerhand het leven van mensen beïnvloeden, uit de onderwijs Entertainment op kennis gebaseerde economie en enzovoort hebben gespeeld een veel veranderingen, kan het via het internet met vrienden over de hele wereld informatie uitwisselen, maar ook om lessen te leren voor het op afstand leren of via de bibliotheek-website voor informatie retrieval, zakelijke praktijken kan ook worden bereikt via het internet, des te belangrijker is het internet heeft een non-entiteit uit de virtuele wereld, buiten het echte leven van alle vormen van regelgeving. Veel applicaties in het netwerk, het bedrijf kan zeggen is het belangrijkste onderdeel, het internet gebruiken om financiële transacties en marketing activiteiten van de tijd gedragingen niet langer beperkt tot de hoofdstad, personeel, uitrusting, gebieden, plaats van verkoop en andere fysieke beperkingen KMO's concurrerender te maken, maar er waren vele ongekende e-business-modellen, zoals Business-to-Business (B to B), Business to Client (B to C), Customer-to-Business (C naar B) en Client to Client (C tot C) en dus veel beleggers voor de follow-up van de gelederen van het internet, zoals de zogenaamde tweede industriële revolutie te voegen, de plaats, in veel van deze toepassingen is de veiligheid van het netwerk is een kernpunt , want of het nu voor zaken of voor de overdracht van gegevens gebruikers vaak betrokken zijn geld of persoonlijke prive-informatie, dus beveiliging van de gegevens is het primaire probleem.
In het verleden, de industrie in de uitwisseling van berichten naar zowel de onderneming als het bedrijf of tussen de afdelingen binnen het bedrijf kan hebben om een lijn te trekken, dit is niet de economie, en er zijn veel regionale beperkingen of apparatuur, zou het bedrijf echt Communicatie dynamisch gegenereerd wanneer een netwerkverbinding van hun eigen, zonder de noodzaak voor off-line wanneer u kunt om kosten te besparen, in combinatie met de populariteit van het internet en de technologie is eenvoudig, en veel van de belangrijke mensen proberen om vertrouwelijke bestanden via het internet Weg naar een transfer, maar is bang van informatie worden gestolen of, onherstelbare schade aanrichten, dus hopen op een verbinding via het internet datatransmissie kanaal (tunnel vast te stellen) is absoluut veilig, dit is het basisconcept van VPN.
Een kosten
Gebruik het Internet VPN, het meest eenvoudig als dat voordeel is kostenbesparing, zowel traditionele VPN-T1-of ISDN-lijn frame, de kostprijs is echt eng, inclusief installatie, maandelijkse vaste maandelijkse vergoeding, en op basis van afstand stijging van de kosten, enz., de kosten en veel hoger dan de Internet VPN.
2 flexibele
Het leveren van business integratie ISP diensten via de traditionele point to point verbinding, omdat de bandbreedte die nodig is voor elk punt van de andere eisen, hopen de lijn met verschillende bandbreedte, waardoor voor de omslachtige apparatuur en afval, het handhaven ervan is complexe problemen, maar Internet VPN, omdat de dienst wordt verricht door de ISP te worden op basis van de bandbreedte die door de ISP is verschillend voor elk een punt van kiezen voor de bandbreedte je nodig hebt, het zal niet alleen flexibel, maar ook om kosten te besparen, en De noodzaak om te plannen op basis van verschillende bandbreedte.
3 volle uitbreiding van de
Geografische schaalbaarheid: de algemene IPS leveranciers, in een land of regio gewoonlijk hebben veel van de posities, zodat Dangbangongshi van de 规模 wijzigen Banqian O'clock LAN kabel van Yidong 较为 simpel, slechts een enkele een Xiugai juiste ISP's 连线, en in het algemeen actie op basis notebook-gebruikers kunnen ook dial-up ISP met de VPN-systeem aan te sluiten, dat de actie van de gebruiker niet langer beperkt tot de grenzen lijn. Bandbreedte schaalbaarheid: wanneer een bijkantoor is er onvoldoende bandbreedte, kunnen we gemakkelijk naar gelang de plaatselijke ISP op de diensten die upgrade, hoeft geen drastische veranderingen aan de lijn.
Channel (Tunnels)
1 Virtuele
VPN-verbinding met het traditionele groen het grootste verschil, is het organiseren indien nodig Chansheng dynamische verbinding, VPN meestal niet Wei Hu een permanente verbinding, dat wil zeggen, wanneer er transmissie Uiteindelijk hebben we toch af om andere mensen te vrij gebruik van bandbreedte Bij het openen van een kanaal tussen twee eindpunten, de uitgang meestal wordt gebruikt door het IP-pakket zal later behandeld worden verzonden naar het internet, vaak de informatie is een onderdeel van deze deal zijn encryptie of stijging erkenning van de informatie, en herberekening van de IP Header Als de ontvanger dit pakket zal verwijderen van de IP-header en na de reorganisatie, en vervolgens de gegevens te decoderen en aangeven welke acties. Tunneling via de packet-kanaal in de algemene kantooromgeving kan bestaan tussen twee verschillende soorten endpoints, is er een algemene werkstation, of Security Gateway (Security Gateway) tussen de veiligheids-gateway is een router of firewall kan worden gesteld door deze kan elke combinatie van de twee eindpunten kunnen worden in een LAN-to-LAN, LAN-to-Client, Client-to-Client vorm.
2 Prive (privatisering)
VPN's opzetten een van de voorwaarden is dat wanneer de communicatie tussen twee eindpunten, de noodzaak te bereiken op de vraag van de privatisering, de zogenaamde privatisering is vastgesteld door de kanalen op een gedeelde datatransmissie medium, het resultaat is gelijk aan doen in de groene transmissie, moeten ze voldoen aan de volgende vier voorwaarden
Authenticatie (identificatie): identificatie van bronnen van informatie is de identiteit van de andere vorderingen
Access Control (toegang tot): beperkt recht op de machine te gebruiken zonder toegang tot gegevens
Vertrouwelijkheid (vertrouwelijkheid van gegevens): om illegale voorkomen dat gebruikers te lezen of de informatie-inhoud te kopiëren
Data Integrity (Data End positief): het proces van het bepalen van de overdracht van gegevens niet is gewijzigd
Ter verwezenlijking van de hierboven genoemde voorwaarden, moet worden toegevoegd een aantal extra procedures, zoals encryptie procedures voor de elektronische handtekening proces, hashing methoden erkende procedures, en vanwege de vertrouwelijke informatie van de wederzijdse (key) als sleutels, dus er moet een mechanisme worden management.
DDoS-aanvallen in de huidige Firewall Anti gebreken
Firewall (Firewall) is een netwerkbeveiliging in een zeer belangrijk onderdeel van de meeste organen van de meerderheid van de bedrijven denkt dat alleen een "firewall te installeren" be apparaat moet kunnen hun beveiliging problemen op te lossen. Het is vooral door de beperkingen van de toegang tot hun eigen interne netwerk te beschermen, niet onderworpen aan een aanval. Wel moet de firewall de juiste milieu-instellingen om te spelen op het beveiligingsmechanisme. Daarom is een sterke firewall of niet, hangt vooral af van het milieu Setup niveau, wanneer de firewall regels die zijn gebaseerd op meerdere, verschillende diensten Packet Filters en Proxies uur, vaak gemakkelijk leiden tot het milieu van het systeem, de firewall-instellingen zal Guanli Zhe Cuo Wu, maar liet een aantal lacunes in de beveiliging van het systeem, een kans voor een indringer. De Packet Filter Firewall voor het IP-pakket is meestal de header velden en managers om regels filter, deze velden zijn voornamelijk:
Packet type (Packet Type), zoals: IP, UDP, ICMP, of TCP bronhost van het IP-adres van de doel host van het IP-adres, bron: TCP / UDP-poortnummer, doel TCP / UDP-poortnummers
Firewall-producten voor te stellen om te komen tot DDoS-aanvallen te weerstaan, is het moeilijk voor veel van de volgende redenen:
1. Firewall is een mens handmatig in te stellen (Statisch configureren), en daarom niet geschikt voor dynamische instellingen (Dynamic configureren), omdat elke vorm van aanval is niet noodzakelijk, je kan niet weten wat de aanvaller de bron aan te pakken, en gebruikt om het protocol te vallen, tenzij je een zeer complete set, anders is het moeilijk om te doen een effectieve anti-DDoS-aanvallen.
2. Bovendien, de huidige firewall-instellingen zijn vaak eerder gebruikt Cuosha 100 moet je niet laten een persoon de weg, dat is, maakt het geen onderscheid tussen normale en aanval pakketjes van verschillende pakketten, bijvoorbeeld, de meeste network administrators ICMP Ping om de aanval te weerstaan, zal de firewall alle binnenkomende pakketten ICMPPing zowel sparen is het echter niet blokkeert ICMP Ping antwoordpakketten, deze aanpak kunnen gebruikers buiten de firewall niet kunt pingen de Firewall intern IP adres, maar om een verweerschrift doel is niet een goede manier, maar nu de wijze van aanval is veranderd in een groot aantal valse ICMP Ping antwoordpakketten, dus stuur, Firewall alleen met ICMP Ping Reactie van packet gaf blok uit om dit type aanval pakketten te blokkeren, zal dit binnen overlast veroorzaken Firewall gebruiker. Daarom hebben we dringend behoefte aan een snelle en effectieve tool voor het opsporen van DDoS-aanvallen, dus kunnen we de eerste keer om de verwerking te doen vallen.