網路安全性
可以透過增強本機器的網路安全性來避免資料洩漏和竄改,同時提高資料的安全性和機密性。
為安全起見,建議在使用SSO-H時設定「網路管理員」(NetworkAdmin)。
使用以下功能可以維護本機器的網路安全性。
TLS加密通訊
使用者從網路瀏覽器存取本機器時,透過為本機器安裝伺服器憑證可以實現安全的加密通訊。透過TLS通訊,使用伺服器憑證和公開鍵值可以生成只有使用者和本機器可以使用的通用鍵值。這樣有助於防止截取和盜竊資料。請參閱「加密TLS通訊的鍵值對和伺服器憑證設定」 and 「使用TLS的設置」。
TLS通訊的結構如下所示。
1. | 使用者從電腦存取本機器時,需要提供TLS的伺服器憑證和該伺服器的公開鍵值。 |
2. | 從本機器傳送憑證和公開鍵值至使用者的電腦。 |
3. | 使用從伺服器傳送的公開鍵值,加密在電腦上生成的唯一的通用鍵值。 |
4. | 傳送加密的通用鍵值至本機器。 |
5. | 使用本機器上的專用鍵值對加密的通用鍵值進行解碼。 |
6. | 至此,使用者的電腦和本機器都具有了通用鍵值,可以使用通用鍵值傳送/接收資料。 |
防火牆
防火牆是防止外部網路存取並攻擊/入侵本網路的系統。可以使用本機器上的防火牆,透過限制與指定的外部IP位址通訊來阻止有危險的外部網路存取。(請參閱「通訊協定設定」)
SNMP
SNMP是管理整個網路的通訊協定。本機器支援SNMPv1和SNMPv3。SNMP監控透過網路與本機器連線的通訊機器。(請參閱「通訊環境設定」)
IEEE 802.1X認證
透過認證伺服器(RADIUS:Remote Authentication Dial In User Service,遠端身分驗證撥入使用者服務)管理所有認證資訊並對存取請求者進行認證。由於認證者僅許可經RADIUS伺服器認證的請求者連線至網路,因此可以防止未經授權的存取。
認證者阻止未經RADIUS伺服器認證的請求者的通訊。(請參閱「IEEE 802.1X認證設定」)
IPSec通訊和FIPS 140-2
IPSec是用於創建安全策略的通訊協定,它保護來自IP網路和傳送至IP網路的資料不會受到攔截、竄改和盜竊等威脅。(請參閱「IPSec設定」)
還可以使IPSec通訊的加密方法符合美國政府批准的FIPS(Federal Information Processing Standards,聯邦資訊處理標準)140-2。(請參閱「使用符合FIPS 140-2的加密方法」)
MEAP設定
透過網路瀏覽器存取本機器來使用MEAP應用程式時,可以使用TLS通訊。 (請參閱「MEAP設定」)