防火墙/ACL/IPsecVPN专题
2024-04-21 13:28:54
软考中直接涉及分值约4-10分,主要掌握一些防火墙的基本配置命令和基于域间安全的配置。
涉及的知识点主要有接口地址配置,区域安全策略配置,ACL配置等。
文章目录
- VPN
- VPN使用背景
- VPN基础知识
- VPN隧道技术
- IPsec
- IPsec 隧道建立的基本步骤
- 防火墙基础概念
- 防火墙区域结构
- 防火墙基础配置
- (1) 防火墙默认的区域
- (2) 安全域间与方向
- 配置防火墙的基本步骤
- ACL
- ACL分类编号范围
VPN
相关知识点:VPN基础知识、VPN隧道技术、IPSec、MPLS。
VPN使用背景
VPN的使用背景的需求需求1:北京的总公司和深圳的分公司想通过各自的内网实现通信?需求2:公司里经常出差的员工想随时随地连上公司的内网?需求3:疫情封控,大家如何在家就能连上公司的内网工作环境?什么是专用网络?传统意义的专用网络指的是一条实实在在存在的一根只为你个人服务的物理通信链路线。无疑这样的物理链路线成本很高,据说只有银行才能拉的起这样的链路线。但是,只有你银行才需要专用网络吗?我们普通的企业和个人就不配用吗?但是我们真没银行那么有钱,于是我们就退而求其次,在公用网络上建一条虚拟的专用网吧。 那么VPN就来了。
VPN基础知识
虚拟专用网络(Virtual Private Network,VPN)是在公用网络上建立专用网络的技术。由于整个VPN网络中的任意两个结点之间的连接并没有传统专用网络所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,所以称之为虚拟网。实现VPN的关键技术主要有"隧道技术"、"加/解密技术"、"密钥管理技术"、"身份认证技术"。北京总公司和深圳分公司各自的内网私有地址是不能在公用网络上传输的,那么就使用"隧道技术"让私有地址在"隧道"里传输,为了确保隧道里的数据安全,就需要使用加密解密了(对称密钥)。
VPN隧道技术
实现VPN的最关键部分是在公网上建立虚拟信道,而建立虚信道是利用隧道技术实现的,
IP隧道的建立可以在链路层和网络层。VPN主要隧道协议有PPTP、L2TP、IPSec、SSLVPN、TLSVPN。新冠疫情期间我们就用的SSLVPN居家办公的。如下截图
IPsec
IPSec协议IPSec协议在隧道外面在封装,保证了隧道在传输过程中的安全,该协议是第3层隧道协议。Internet协议安全性(Internet Protocol Security,IPsec)是通过对IP协议非分组进行加密和认证来保证IP协议的网络传输协议簇(一些相互关联的协议的集合)。IPsec工作在TCP/IP协议栈的网络层,为TCP/IP通信提供访问控制机密性、数据源验证、抗重放、数据完整性等多种安全服务。IPsec是一个协议体系,有建立安全分组流的密钥简化协议和保护分组流的协议两个部分构成,前者即为IKE协议,后者则包含AH、ESP协议。SSLVPN、TLSVPN两类VPN使用了SSL和TLS技术,在传输层实现VPN的技术,该协议是第4层隧道协议,由于SSL需要对传输数据加密。因此SSLVPN的速度比IPSecVPN慢。SSLVPN的配置和使用又比其他VPN简单。
IPSec是一个协议体系,由建立安全分组流的密钥交换协议和保护分组流的协议两个部分构成,前者即为IKE协议,后者则包含AH、ESP协议。(1)IKE协议Internet 密钥交换协议(Internet Key Exchange Protocal,IKE)属于一种混合协议,由Internet安全关联和密钥管理协议( Internet Sercurity Association and Key Managemnet Protocol,ISAKMP)与两种密钥交换协议(OAKLEY与SKEME)组成,即IKE由ISAKM框架、OAKLEY密钥交换模式以及 SKEME的共享和密钥更新技术组成。IKE定义了自己的密钥交换方式(手工密钥交换和自动IKE).(2)AH认证头(Authentication Header,AH)是IPSec体系结构中的一种主要协议,它为IP数据报提供完整性检查与数据源认证,并防止重放攻击。AH不支持数据加密。AH常用摘要算法(单向Hash函数)MD5和SHA1实现摘要和认证,确保数据完整。(3)ESP封装安全载荷(Encapsulating Security Payload,ESP)可以同时提供数据完整性认证和数据加密等服务。ESP通常使用DES、3DES、AES等家吗算法实现数据加密,使用MD5或SHA-1来实现摘要和认证,确保数据完整。(4)IPSecVPN应用场景。IPSecVPN应用场景分为站点到站点、端到端、端到站点三中模式。1.站点到站点(Site-to-Site)站点到站点又称网关到网关,多个异地机构利用运营商网络建立IPSec隧道,将各自的内部网络联系起来。2.端到端(End-to-End)端到端又称PC到PC,即两个PC之间的通信由IPSec完成。3.端到站点(End-to-Site)端到站点,两个PC之间的通信。(5)IPSec工作模式:两种工作模式分别是传输模式和隧道模式。IPsec 隧道建立的基本步骤
采用IKE协商方式建立IPSec隧道的基本步骤如下:1.配置接口的IP地址和到对端的静态路由,确保两端路由可达。2.配置ACL,以定义需要IPSec保护的数据流。3.配置IPSec安全提议,定义IPSec的保护方法。4.配置IKE对等体,确定对等体间IKE协商时的参数。5.配置安全策略,并引用ACL、IPSec安全提议和IKE对等体,确定对每种数据流采取的保护方法。6.在接口上应用安全策略组,使接口具有IPSec的保护功能。
防火墙基础概念
防火墙(Fire Wall)是网络关联的重要设备,用于控制网络之间的通信。外部网络用户的访问必须先经过安全策略过滤,而内部网络用户对外部网络的访问则无需过滤。现在的防火墙还具有网络、提供代理服务、流量控制等功能。常见的三种防火墙技术:包过滤防火墙、代理服务器式防火墙、基于状态检测的防火墙。(1)包过滤防火墙主要针对OSI模型中的网络层和传输层的信息进行分析。通过包过滤防火墙用来控制IP、UDP TCP ICMP和其他协议。对数据包的检查内容一般包括源地址、目的地址和协议。包过滤防火墙对通过防火墙的数据包进行检查,只有满足条件的数据包才能通过,包过滤防火墙通过规则(如ACL)来确定数据包是否能通过。配置了ACL的防火墙可以看成包过滤防火墙。(2)代理服务器式防火墙代理服务器式防火墙对第四层到第七层的数据进行检查,与包过滤防火墙相比,需要更高的开销。用户经过建立会话状态并通过认证及授权后,才能访问到受保护的网络。压力较大的情况下,代理服务器式防火墙工作很慢。ISA可以看成是代理服务器式防火墙。(3)基于状态检测的防火墙它检测每一个TCP、UDP之类的会话连接。它包含特定会话的源/目的地址、端口号、TCP序列号信息以及与此会话相关的其他标志信息。它工作基于数据包、连接会话和一个基于状态的会话流表。它比包过滤防火墙和代理服务器式防火墙的性能要高。防火墙区域结构
防火墙按安全级别不同可划分为"内网"、"外网"和"DMZ区",具体结构如下图(1)内网内网是防火墙的重点保护区域,包含单位网络内部的所有网络设备和主机。该区域是可信的,内网发出的连接较少进行过滤和审计。(2)外网外网是防火墙重点防范的对象,针对单位外部访问用户、服务器和终端。外网发起的通信必须按照防火墙设定的规则进行过滤和审计,不符合条件的则不允许访问。(3)DMZ区(Demilitarized Zone)DMZ区是一个逻辑区,从内网中划分出来,包含向外网提供服务的服务器集合。DMZ中的服务器有Web服务器、邮件服务器、FTP服务器、外部DNS服务器等。DMZ区保护级别较低,可以按要求放开某些服务和应用。
防火墙基础配置
(1) 防火墙默认的区域
(2) 安全域间与方向
防火墙的安全防范能力取决于防火墙中设置的安全策略。防火墙中任意两安全区域之间构成一个安全域间(Interzone),防火墙的大部分安全策略都是在安全域间配置的。在同一个安全域间内转发的流量,安全域间设置的安全策略是不起作用的。安全域间的数据流动具有方向性,包括"入方向(Inbound)"和"出方向(Outbound)"1)入方向:数据"由低优先级"的安全区域"向高优先级"的安全区域传输。2)出方向:数据"由高优先级"的安全区域"向低优先级"的安全区域传输。
配置防火墙的基本步骤
ACL
访问控制列表(Access Control Lists,ACL)ACL是目前使用最多的访问控制实现技术。访问控制列表是路由器接口的指令列表,用来控制端口进出的数据包。ACL使用于所用的被路由协议,如IP、IPX、AppleTalk等。访问控制列表可以分为"标准访问控制列表"和"扩展访问控制列表"ACL的默认执行顺序是自上而下,在配置时要遵循最小特权原则,最靠近受控对象原则及默认丢弃原则。
ACL分类编号范围
防火墙/ACL/IPsecVPN专题相关推荐
- 防火墙ACL控制与NAT转换
1.NAT转换 [SRG]firewall p d p interzone trust untrust direction outbound [SRG]firewall p d p interzone ...
- Linux软防火墙ACL匹配的优化点
首先,请求不要再诬陷Netfilter!虽然它有一些固有性能损耗,但敬请不要将iptables和Netfilter等同,如果你要抓元凶,请直接说iptables,而不要说成Netfilter! ...
- 飞塔防火墙之ACL配置
需求: 1.位于inside设备能够使用ssh和telnet访问DMZ和所有outside设备 2.位于outside设备不能够使用ssh和telnet访问DMZ和所有inside设备 3.位于DMZ ...
- 使用 H3C 的办公室路由器和 IDC 的防火墙建立 IPSec ***
一.背景 1.需求 因为为了安全的考虑,之前我们的服务都是映射到远程的端口,这样安全隐患比较大,虽然一些端口是不常见的端口,但是离职的人员还是可以知道的,我们需要设置成只能在办公室内才可以连接我们内部 ...
- 华三,思科ACL命令解析
基本访问控制列表定义及应用: 第一步:分析哪些源地址,也在分析访问控制需求(含拓扑图内容): 第二步:定义基本访问控制列表, a 弄清基本访问控制列表的表号 H3C: 2000--2999 ci ...
- IPSEC实验(IPSECVPN点到点,DSVPN,IPSECVPN旁挂)
目录 一.复现实验 1.防火墙的IPSECVPN点到点实验 -1,拓扑图的搭建 -2,配置IP,开通ping,并且设置策略 -3,在网络中的IPSEC进行配置 第一阶段:发出的UDP500流量 第二阶 ...
- 企业防火墙的基础配置
网络运维 ASA基本配置 实验报告 姓名: 王飛 班级: NTD1711 日期:2018年1月30日 实验任务: 实验拓补图: 实验需求:DMZ 发布Web 服务器,Client3 可以访问Serve ...
- Cisco ASA防火墙简易配置与调试手册
一. 基础配置 1.1 密码配置 ciscoasa(config)#passwd password 一般用于telnet登陆ASA的登录密码 1.2 Enable密码配置 ciscoasa(confi ...
- [个人笔记] FortiGate IPSec+策略路由实现流量的路径分发
网安运营 - 运维篇 第一章 FortiGate IPSec+策略路由实现流量的路径分发 网安运营 - 运维篇 背景 网络需求 实施步骤 现有环境 模拟拓扑 注意事项 搭建总分支防火墙的IPSecVP ...
最新文章
- 基于Metronic的Bootstrap开发框架经验总结(7)--数据的导入、导出及附件的查看处理...
- VMware 虚拟化编程(3) —VMware vSphere Web Service API 解析
- java内存分配和回收策略
- js字符串函数 [http://www.cnblogs.com/qfb620/archive/2011/07/28/2119799.html]
- 关于Qstring.replace传参Qstring.length为0引起程序退出的记录
- vue2.0 子组件和父组件之间的传值
- Objecttive-C 创建多线程
- 七大你可能不知道的 Chrome 使用技巧
- 批量put和单条put
- okhttp post json 数据_使用python抓取App数据
- mysql 柱状图统计_js/jquery 进行动态统计 各种柱状图 饼状图 线条图 等
- 完整的连接器设计手册_如何设计符合整车厂要求的CAN物理层接口电路?
- 基准风险因子暴露度_具有性能基准SQL Server索引填充因子
- 给BERT加一个loss就能稳定提升?斯坦福+Facebook最新力作!
- cpp Namespaces(命名空间)
- Android ndk下载和环境配置
- 【转】翟永超大牛的 博客,SpringBoot SpringCloud应有尽有,转发请备注
- 李佩:阿里本地生活线上线下融合场景中的图像检测技术
- m4a转mp3,m4a怎么转换成mp3格式
- 能和机器划拳,猜中你的表情,百度开了一家超好玩的“AI体验店”