Q：什么是SSL安全认证技术？

　　A：SSL是Secure socket Layer 的英文缩写，它的中文意思是安全套接层协议，指使用公钥和私钥技术组合的安全网络通讯协议。SSL协议是网景公司(Netscape)推出的基于WEB应用的安全协议，SSL协议指定了一种在应用程序协议（如Http、Telenet、NMTP和FTP等）和TCP/IP协议之间提供数据安全性分层的机制，它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证，主要用于提高应用程序之间数据的安全性，对传送的数据进行加密和隐蔽，确保数据在传送中不被改变，即确保数据的完整性。

　　SSL以对称密码技术和公开密码技术相结合，可以实现如下三个通信目标：

　　1、 秘密性：SSL客户机和服务器之间传送的数据都经过了加密处理，网络中的非法窃听者所获取的信息都将是无意义的密文信息。

　　2、 完整性：SSL利用密码算法和散列(HASH)函数，通过对传输信息特征值的提取来保证信息的完整性，确保要传输的信息全部到达目的地，可以避免服务器和客户机之间的信息受到破坏。

　　3、 认证性：利用证书技术和可信的第三方认证，可以让客户机和服务区相互识别对方的身份。为了验证证书持有者是其合法用户（而不是冒名用户），SSL要求证书持有者在握手时相互交换数字证书，通过验证来保证对方身份的合法性。

　　对于可靠性要求高的行业用户，网络视频监控系统可以采用SSL协议对有关控制信令进行加密、身份认证、安全传输等，一般对视频数据不采用SSL.

　　Q：MPLS VPN如何保障网络及信息安全？

　　A：MPLS为每个IP包加上一个固定长度的标签，并根据标签值转发数据包。MPLS实际上就是一种隧道技术，所以使用它来建立VPN隧道十分容易而高效。MPLS VPN采用路由隔离、地址隔离和信息隐藏等多种手段提供了抗攻击和标记欺骗的手段。
 

　　1、 路由隔离

　　MPLS VPN实现了VPN之间的路由隔离。每个PE路由器为每个所连接的VPN都维护一个独立的虚拟路由转发实例（VFI），每个VFI驻留来自同一VPN的路由（静态配置或在PE和CE之间运行路由协议）。因为每个VPN都产生一个独立的VFI，因此不会受到该PE路由器上其它VPN的影响。

　　在穿越MPLS核心到其它PE路由器时，这种隔离是通过为多协议BGP(MP-BGP)增加唯一的VPN标志符(比如路由区分器)来实现的（这是在BGP方式下，虚拟路由的方式与此类似）。MP-BGP穿越核心网专门交换VPN路由，并保存在其它PE的特定VPN的VFI中，而不会把这些BGP信息重新分发给核心网络。因此穿越MPLS网络的每个VPN的路由是相互隔离的。

　　2、 隐藏MPLS核心结构

　　出于安全考虑，运营商和终端用户通常并不希望把它们的网络拓扑暴露给外界，这可以使攻击变得更加困难。如果知道了IP地址，一个潜在的攻击者至少可以对该设备发起Dos攻击。但由于使用了“路由隔离”，MPLS不会将不必要的信息泄漏给外界，甚至是向客户VPN。

　　在不提供因特网接入服务的“纯粹”的MPLS VPN中，信息隐藏的程度可以与帧中继或ATM网络相媲美，因为它不会把任何编址信息泄漏给第三方或因特网。因此当MPLS网络没有和因特网互联时，其安全性等价于帧中继或ATM网络。但如何客户选择通过MPLS核心网络同时接入到因特网，那么运营商至少会把一个IP地址(对等PE路由器的)暴露给下一个运营商或用户，存在被攻击的可能性。

　　3、 抗攻击性

　　因为进行了路由隔离，因此不可能从一个VPN攻击另外一个VPN或核心网络。但从理论上讲有可能利用路由协议对PE路由器进行Dos攻击，或者攻击MPLS的信令信息。

　　要相攻击PE路由器就必须知道它的IP地址，但由于上面介绍的原因，IP地址已经被隐蔽。另外，就算是攻击者猜测到了PE的IP地址，也无法进行有效的攻击，因为也进行了有效的MPLS“路由隔离”。对于MPLS信令系统的攻击，如果在所有PE/CE对等体上对路由协议使用MD5认证，就能够有效防止虚假路由的问题。另外，很容易跟踪这种潜在的对PE的Dos攻击的源地址。

　　4、 标记欺骗

　　在MPLS网络中，包的转发不是基于IP目的地址，而是基于由PE路由器预先添加的标记。与IP欺骗攻击时攻击者替代包的IP源地址和目的地址相似，理论上有可能出现MPLS包的标记欺骗。

　　任何CE路由器和它的对等PE路由器之间的接口主要是IP接口（也就是说没有标记）。CE路由器不知道MPLS 核心的存在，所有的“标记”工作都应该是由PE完成的。因此出于安全考虑，PE路由器应该不接受来自CE路由器的任何标记包。当然，发送到MPLS网络中的包仍然存在IP地址欺骗的可能性，但这可以通过地址隔离来实现，使得属于某个VPN的用户只可能攻击他自己的网络，而无法攻击别人的网络。

　　Q：防火墙如何保障系统安全？

　　A：现在防火墙产品一般通过如下技术保障系统安全：

　　1、包过滤技术：其原理在于监视并过滤网络上流入流出的包，拒绝发送那些可疑的包。由于包过滤技术无法有效地区分相同IP地址的不同用户，安全性相对较差。

　　2、代理服务技术：其原理是在网关计算机上运行应用代理程序，运行时由两部分连接构成：一部分是应用网关同内部网用户计算机建立的连接，另一部分是代替原来的客户程序与服务器建立的连接。通过代理服务，内部网用户可以通过应用网关安全地使用Internet服务，而对于非法用户的请求将予拒绝。代理服务技术与包过滤技术不同之处，在于内部网和外部网之间不存在直接连接，同时提供审计和日志服务。

　　3、网络地址转换技术：其原理如同电话交换总机，当不同的内部网络用户向外连接时，使用相同的IP地址（总机号码）；内部网络对外部网络来说是不可见的，防火墙能详尽记录第一个内部网计算机的通信，确保每个数据包的正确传送。

　　4、虚拟专用网VPN技术：虚拟专用网(VPN)是局域网在广域网上的扩展，是专用计算机网络在Internet上的延伸。VPN通过专用隧道技术在公共网络上仿真一条点到点的专线，实现安全的信息传输。虽然VPN不是真正的专用网络，但却能够实现专用网络的功能。

　　5、审计技术：通过对网络上发生的各种访问过程进行记录和产生日志，并对日志进行统计处理，从而对网络资源的使用情况进行分析，对异常现象进行追踪监视。

　　6、信息加密技术：加密路由器对路由的信息进行加密处理，然后通过Internet传输到目的端进行解密。