徐州云建站模板温州网站建设公司有哪些
CISCO ASA防火墙
ASA系列
1、防火墙工作原理(状态化防火墙)
2、在防火墙上配置ACL(基本都是命名的ACL)
3.在防火墙上配置NAT(防火墙设备基本上放在局域网出口
一、工作原理
1.系列
ASA5500系列
2、ASA防火墙状态化防火墙
-
维护一张表:状态化链接表(conn表)
-
源IP地址
-
目标IP地址
-
IP协议(TCP/UDP)
-
IP协议信息(端口号,序列号,控制位)
-
-
默认情况下,ASA对TCP和UDP协议提供状态化链接,对ICMP协议是非状态化的
-
-
状态化防火墙的处理过程,
-
ASA的安全算法
-
接口安全级别(优先级)
-
访问控制列表
-
记录conn表
-
链接表
-
检测引擎(根据结构安全级别来决定数据是放通还是阻止)
-
默认情况下,ASA自动放通高安全级别访问低安全级别,阻止低安全级别访问高安全级别;安全级别一直,直接阻止。
-
-
二、ASA接口
1.物理接口
-
基于防火墙自身模块定义
2.逻辑接口
-
用来描述物理接口所处的安全区域:insid内网区域,outside外网区域,DMZ服务器区域
-
inside:安全级别设置为100 outside:安全级别设置为0 DMZ:安全级别设置为50
-
三、ASA配置ACL
access-list dma_to_in permit tcp host 192.168.2.10 host 192.168.1.10 eq
VPN基础内容
1、基本概念
-
虚拟专用网络(VPN)的功能是:在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN可通过服务器、硬件、软件等多种方式实现。
-
企业对专用网络的传输要求越来越高。
-
虚拟:不需要实际长途路线,使用公共资源建立自己的私有网络
-
专用:可以定制符合自身需求的网络
-
核心技术:隧道技术
2、VPN分类
-
客户端到局域网(client--LAN) access VPN
-
PPTP或L2TP
-
-
局域网到局域网(LAN---LAN)
-
IPSecVPN
-
-
PPTP和L2TP属于网络接口层协议
-
IPSec属于网络层
-
SSL VPN属于应用层
3、VPN常用技术
-
隧道技术
-
通过在隧道两端封装和解封装(新的报文头)
-
GRE ,不支持身份验证,只支持简单的关键字验证和校验,(IPv4到IPv6过渡)
-
L2TP,支持基于PPP的身份验证,加密和验证不支持
-
IPSec,预共享密钥或证书认证、支持IKEV2的认证,支持加密和验证
-
SSL VPN,支持多种身份认证,支持加密和验证
-
-
加解密技术
-
对称加密,DES、3DES、AES
-
非对称加密,RSA、DH
-
完整性校验算法,MD5、SHA
-
-
身份认证技术
IPSec VPN
1、概述
-
一组基于网络层的应用密码学的安全通信协议族,是一个开放的协议族,也考虑长远性要求(支持IPv4,IPv6)
-
保护的是网络层及上层流量,主要保护TCP、UDP、ICMP等的隧道的IP数据包
-
可以提供的安全服务
-
机密性
-
完整性
-
数据源鉴别
-
不可否认
-
访问控制
-
重放攻击保护
-
2、IPSec架构
-
两个通信保护协议
-
AH:只支持鉴别算法(完整性校验)
-
ESP:支持加密和鉴别算法
-
-
两个工作模式:传输模式、隧道模式
-
IKE协商,秘钥交换管理协议:SA(安全联盟)
-
阶段一:主模式,野蛮模式(快速模式)
-
阶段二:配置感兴趣流
-
3、传输模式
-
应用场景:用于主机和主机之间端到端通信的数据保护
-
封装方式:不会改变原始IP包头,在原始包头后插入IPSec包头
-
4、隧道模式
-
应用场景:用于私网与私网之间通过公网进行通信,建立VPN通道
-
封装方式:增加新的IP头部,其后是IPSec头部,接着是原始数据包
5、AH协议
-
完整性校验(通过哈希函数(MD5、SHA1)产生的校验来保证)
-
不管是传输模式还是隧道模式都会验证整个数据报
6、ESP协议
-
加解密(使用对称加密算法DES、3DES、AES)
-
完整性校验(通过哈希函数(MD5、SHA1)产生的校验来保证)
-
ESP在传输模式下,只对数据进行加密和完整性校验
-
ESP在隧道模式下,对整个原始报文进行加密和校验
7、AH和ESP对比
| 安全特性 | AH | ESP |
|---|---|---|
| 协议号 | 51 | 50 |
| 数据完整性校验 | √ | 支持但不验证IP头 |
| 数据源验证 | √ | √ |
| 数据加解密 | × | √ |
| 抗重放 | √ | √ |
| NAT-T (NAT穿透) | × | √ |