自適應(yīng)加密和會話身份驗證
自適應(yīng)加密是在應(yīng)用層加密,使用傳輸層安全性(TLS),可選擇在網(wǎng)絡(luò)級別重新加密。當(dāng)然優(yōu)點是雙重加密比單一加密更安全。如果某人在應(yīng)用程序?qū)佑袀鬏攲影踩裕═LS),他們?nèi)匀豢梢栽趥鬏攲影踩裕═LS)會話設(shè)置期間獲得有關(guān)TLS連接的一些元數(shù)據(jù)。
然而,在網(wǎng)絡(luò)層加密使用不同的密鑰,使用戶可以隱藏有關(guān)該TLS會話的元數(shù)據(jù)。但是,如果要在網(wǎng)絡(luò)層進(jìn)行加密,則會實現(xiàn)網(wǎng)絡(luò)性能。要解決此問題,用戶可能需要額外的資源來促進(jìn)加密。
1:1分割
互聯(lián)網(wǎng)設(shè)計提供1:1分割。這是應(yīng)用程序或服務(wù)到另一個應(yīng)用程序或服務(wù)的映射。確切地說,在虛擬服務(wù)器中,應(yīng)用程序只能在此端口上與另一個端口的應(yīng)用程序進(jìn)行通信,而不是通用的服務(wù)器到服務(wù)器映射。
應(yīng)用程序性能和服務(wù)保證
應(yīng)用程序性能和服務(wù)保證確保應(yīng)用程序正在高效運行。此外,它確保應(yīng)用程序采用最佳路徑而不是最短路徑,這可能具有高利用率。
確定性路由
在通過安全堆棧時,必須采用確定性和動態(tài)路由,因為用戶不需要非對稱路由。
一些SD-WAN供應(yīng)商通過發(fā)送ping,雙向轉(zhuǎn)發(fā)檢測(BFD)或通過其他一些專有的保持活動訪問鏈路測量來監(jiān)控鏈路。邊界網(wǎng)關(guān)協(xié)議(BGP)路由控制路由,但它是靜態(tài)的,可以根據(jù)規(guī)則或跳變進(jìn)行配置,但是,這些指標(biāo)都不是基于鏈路的利用率。
如果在一段時間內(nèi)丟棄了超過10%的數(shù)據(jù)包,用戶應(yīng)該能夠?qū)⒙酚稍O(shè)置為更好的路徑。許多SD-WAN正在宣傳這一點,因為在過去設(shè)置思科智能WAN(IWAN)時,數(shù)據(jù)流的設(shè)置將使用相同的鏈路,直到該流程結(jié)束,無論抖動或數(shù)據(jù)包丟失如何。
大型會話的鏈接負(fù)載平衡
全球互聯(lián)網(wǎng)為大型會話提供鏈路負(fù)載平衡。比方說,用戶正在執(zhí)行備份,可以平衡多個鏈接,而不是使用單個鏈接,這些鏈接可以同時使用給定的AWS或Azure實例,以便于進(jìn)行大量文件傳輸。
從傳輸控制協(xié)議(TCP)的角度來看,它看起來仍然相同。TCP仍然按順序保留序列號,即使它們進(jìn)入不同的路徑。這是因為負(fù)載平衡是在開放系統(tǒng)互連(OSI)模型的網(wǎng)絡(luò)層執(zhí)行的。
維護(hù)會話狀態(tài)
在網(wǎng)絡(luò)中,會話將通過防火墻。發(fā)生拓?fù)涓膶?dǎo)致返回路徑發(fā)生變化時會發(fā)生什么?
非對稱路由將導(dǎo)致防火墻丟棄會話。因此,需要通過防火墻邊界和網(wǎng)絡(luò)拓?fù)涓膩砭S護(hù)會話狀態(tài)。因此,如果某個鏈接表現(xiàn)不佳,則需要確保路線更改是雙向的,而不僅僅是單方。這使用戶可以正確進(jìn)行故障轉(zhuǎn)移。在這種情況下,從TCP角度來看,用戶仍然在維護(hù)TCP狀態(tài)。
主辦單位:中國電力發(fā)展促進(jìn)會 網(wǎng)站運營:北京中電創(chuàng)智科技有限公司 國網(wǎng)信通億力科技有限責(zé)任公司 銷售熱線:400-007-1585
項目合作:400-007-1585 投稿:63413737 傳真:010-58689040 投稿郵箱:yaoguisheng@chinapower.com.cn
《 中華人民共和國電信與信息服務(wù)業(yè)務(wù)經(jīng)營許可證 》編號:京ICP證140522號 京ICP備14013100號 京公安備11010602010147號
自適應(yīng)加密和會話身份驗證
自適應(yīng)加密是在應(yīng)用層加密,使用傳輸層安全性(TLS),可選擇在網(wǎng)絡(luò)級別重新加密。當(dāng)然優(yōu)點是雙重加密比單一加密更安全。如果某人在應(yīng)用程序?qū)佑袀鬏攲影踩裕═LS),他們?nèi)匀豢梢栽趥鬏攲影踩裕═LS)會話設(shè)置期間獲得有關(guān)TLS連接的一些元數(shù)據(jù)。
然而,在網(wǎng)絡(luò)層加密使用不同的密鑰,使用戶可以隱藏有關(guān)該TLS會話的元數(shù)據(jù)。但是,如果要在網(wǎng)絡(luò)層進(jìn)行加密,則會實現(xiàn)網(wǎng)絡(luò)性能。要解決此問題,用戶可能需要額外的資源來促進(jìn)加密。
1:1分割
互聯(lián)網(wǎng)設(shè)計提供1:1分割。這是應(yīng)用程序或服務(wù)到另一個應(yīng)用程序或服務(wù)的映射。確切地說,在虛擬服務(wù)器中,應(yīng)用程序只能在此端口上與另一個端口的應(yīng)用程序進(jìn)行通信,而不是通用的服務(wù)器到服務(wù)器映射。
應(yīng)用程序性能和服務(wù)保證
應(yīng)用程序性能和服務(wù)保證確保應(yīng)用程序正在高效運行。此外,它確保應(yīng)用程序采用最佳路徑而不是最短路徑,這可能具有高利用率。
確定性路由
在通過安全堆棧時,必須采用確定性和動態(tài)路由,因為用戶不需要非對稱路由。
一些SD-WAN供應(yīng)商通過發(fā)送ping,雙向轉(zhuǎn)發(fā)檢測(BFD)或通過其他一些專有的保持活動訪問鏈路測量來監(jiān)控鏈路。邊界網(wǎng)關(guān)協(xié)議(BGP)路由控制路由,但它是靜態(tài)的,可以根據(jù)規(guī)則或跳變進(jìn)行配置,但是,這些指標(biāo)都不是基于鏈路的利用率。
如果在一段時間內(nèi)丟棄了超過10%的數(shù)據(jù)包,用戶應(yīng)該能夠?qū)⒙酚稍O(shè)置為更好的路徑。許多SD-WAN正在宣傳這一點,因為在過去設(shè)置思科智能WAN(IWAN)時,數(shù)據(jù)流的設(shè)置將使用相同的鏈路,直到該流程結(jié)束,無論抖動或數(shù)據(jù)包丟失如何。
大型會話的鏈接負(fù)載平衡
全球互聯(lián)網(wǎng)為大型會話提供鏈路負(fù)載平衡。比方說,用戶正在執(zhí)行備份,可以平衡多個鏈接,而不是使用單個鏈接,這些鏈接可以同時使用給定的AWS或Azure實例,以便于進(jìn)行大量文件傳輸。
從傳輸控制協(xié)議(TCP)的角度來看,它看起來仍然相同。TCP仍然按順序保留序列號,即使它們進(jìn)入不同的路徑。這是因為負(fù)載平衡是在開放系統(tǒng)互連(OSI)模型的網(wǎng)絡(luò)層執(zhí)行的。
維護(hù)會話狀態(tài)
在網(wǎng)絡(luò)中,會話將通過防火墻。發(fā)生拓?fù)涓膶?dǎo)致返回路徑發(fā)生變化時會發(fā)生什么?
非對稱路由將導(dǎo)致防火墻丟棄會話。因此,需要通過防火墻邊界和網(wǎng)絡(luò)拓?fù)涓膩砭S護(hù)會話狀態(tài)。因此,如果某個鏈接表現(xiàn)不佳,則需要確保路線更改是雙向的,而不僅僅是單方。這使用戶可以正確進(jìn)行故障轉(zhuǎn)移。在這種情況下,從TCP角度來看,用戶仍然在維護(hù)TCP狀態(tài)。