防火墙——隧道技术类型
目录
VPN类型
根据组网方式划分
根据协议实现层划分
核心技术
加解密技术
密钥管理技术
VPN类型
|
|
GRE |
L2TP |
IPSec |
SSL VPN |
|
保护范围 |
IP层及以上 |
IP层及以上 |
IP层及以上 |
IP层及以上 |
|
身份认证 |
不支持 |
支持 |
支持 |
支持 |
|
数据加密 |
不支持 |
不支持 |
支持 |
支持 |
|
数据验证 |
支持 |
不支持 |
支持 |
支持 |
根据组网方式划分
Remote-Access VPN——远程访问VPN
用于客户端与企业内网之间建立连接,拨号IP地址不固定
包含VPN类型:SSL VPN、L2TP、L2TP over IPSec 、IPSec(IKE v2)
Site-to-Site VPN——站点到站点VPN
用于客户端与企业内网之间建立连接,通常双方都有固定的IP地址
包含VPN类型:IPSec、L2TP、GRE、MPLS VPN、L2TP over IPSec、GRE over IPSec、IPSec over GRE
根据协议实现层划分
应用层VPN: SSL VPN
网络层VPN: GRE、IPSec、MPLS V P N
数据链路层VPN: L2TP、L2F、PPTP
核心技术
隧道技术:用以建立数据通道。隧道两端封装,解封装(不同的VPN隧道使用不同的隧道技术)
身份认证:保证VPN操作人员的合法性、有效性(一般通过VPN远程登录时需要身份认证)
加解密技术:保证数据在网络传输过程中不被非法获取、篡改
密钥管理技术:在不安全的网络中安全的传输密钥
加解密技术
通过密钥进行加密解密
加解密的密钥类型
对称密钥——加解密数据较快,一般用来加密数据
加密和解密都使用同一种密钥
包含算法:
流加密(每个报文加密)——RC4
分组加密(每个固定的块)——DES、3DES、AES、IDEA、RC2/5/6、SM1/4
非对称密钥——加解密速度相比于对称密钥比较慢,一般用来加密密钥
密钥分为公钥和私钥
私钥只有自己知道,公钥可以所有人都知道
包含算法:DH、RSA、DSA
非对称密钥的应用场景
私钥加密公钥解密——数字签名
公钥加密私钥解密——数字信封、数据加密
数字信封——加密对称密钥
发送方使用对称密钥加密传输数据,然后再使用接收方的公钥加密对称密钥
接受方使用私钥解密出对称密钥,然后使用对称密钥解密传输的数据
数据加密——加密传输数据
发送方使用公钥加密传输数据
接收方使用私钥进行数据解密
数字签名——加密数字指纹
发送方用自己的私钥对数字指纹进行加密
接收方使用发送方的公钥进行指纹解密
通过散列算法进行数据完整性校验(一般和加解密技术一起使用)
数据指纹——通过散列算法生成(进行数据完整性校验)
散列算法就是将任意长度的输入变换成固定长度的输出,用来确保数据的完整性
包含算法:MD5、SHA、SM3
密钥管理技术
密钥管理就是管理密钥从产生到销毁的过程,包括密钥的产生、存储、分配、保护、更新、吊销和销毁等。在这一系列的过程中,都存在安全隐患威胁系统的密钥安全
PKI——公钥管理功能
基本概念
PKI称为公钥基础设施,利用公钥技术能够为所有网络应用提供安全服务。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。
PKI的核心技术就围绕着数字证书的申请、颁发和使用等整个生命周期进行展开。
用于保证在网上交易过程中能够实现身份认证、保密、数据完整性和不可否认性。
PKI的组成
用户
申请注册公钥
认证机构(证书颁发机构)——颁发证书的人,对证书进行管理,主要有如下操作
1、生成密钥对——可以用户自动生成,也可以认证机构生成后再将私钥发给用户
2、注册证书 ——如果是用户自动生成密钥对,需要对本人的身份进行验证
3、生成并颁发证书
4、作废证书
仓库
保存证书的数据库
数字证书
什么是数字证书
数字证书可以说是Internet上的安全护照或身份证,保证公钥的真实性和可靠性。
数字证书的颁发机构
CA认证机构、CA认证中心是负责签发、管理、认证数字证书的机构
是基于国际互联网平台建立的一个公正、可信赖的第三方组织机构
数字证书的结构
版本:X.509版本,目前普遍使用的是v3版本
序列号:颁发者分配给证书的一个正整数,同一颁发者颁发的证书序列号各不相同,可用与颁发者名称一起作为证书唯一标识。
签名算法:颁发者颁发证书使用的签名算法。
颁发者:颁发该证书的设备名称,必须与颁发者证书中的主体名一致。通常为CA服务器的名称。
有效期:包含有效的起、止日期,不在有效期范围的证书为无效证书。
主体名:证书拥有者的名称,如果与颁发者相同则说明该证书是一个自签名证书。
公钥信息:用户对外公开的公钥以及公钥算法信息。
扩展信息:通常包含了证书的用法、CRL的发布地址等可选字段。
签名:数字签名,就是将前面所有字段所生成的数据指纹通过CA私钥进行加密
防火墙——隧道技术类型相关推荐
- 网络类型 ---- PAP认证配置 ---- CHAP认证----隧道技术
Homie 留下赞 一.网络类型 ---- 根据数据链路层运行协议及规则划分的 串线: 1. HDLC 2. PPP及PPPOE ppp ---- 需要经过3个阶段完成会话建立 二.PAP认证配置 认 ...
- 内网安全-隧道技术-防火墙限制协议绕过-文件传输
隧道技术: 一种通过使用互联网络基础设施在网络之间传递数据的方式,包括数据封装. 传输和解包在内的全过程.使用隧道传递的数据(或负载)可以是不同协议的数据帧或包. 封装: 隧道协议将这些其他协议的数据 ...
- 【Pingtunnel工具教程】利用ICMP隧道技术进行ICMP封装穿透防火墙
文章目录 前言 一.ICMP隧道概念 二.复现前的准备工作&相关环境介绍 三.复现步骤 三.总结 前言 web搞太多了,发现csdn上面很少内网的内容,所以今天来整点内网的隧道技术,ICMP隧 ...
- 内网渗透测试:隐藏通讯隧道技术(下)
什么是隧道? 在实际的网络中,通常会通过各种边界设备.软/硬件防火墙甚至入侵检测系统来检查对外连接情况,如果发现异样,就会对通信进行阻断.那么什么是隧道呢?这里的隧道,就是一种绕过端口屏蔽的通信方式. ...
- 内网渗透测试:隐藏通讯隧道技术(上)
什么是隧道? 在实际的网络中,通常会通过各种边界设备.软/硬件防火墙甚至入侵检测系统来检查对外连接情况,如果发现异样,就会对通信进行阻断.那么什么是隧道呢?这里的隧道,就是一种绕过端口屏蔽的通信方式. ...
- 反弹端口 HTTP代理 HTTP隧道技术
现在,很多木马都利用了"反弹端口原理"与"HTTP隧道技术",它的服务端(被控制端)会主动连接客户端(控制 端),因此,在互联网上可以访问到局域网里通过NAT代 ...
- 【内网安全】域横向网络传输应用层隧道技术
必备知识点: 1.代理和隧道技术区别? 代理只是为了解决网络通信问题,有些内网访问不到,可以用代理实现 隧道不仅是解决网络的通信问题,同时更大的作用是被防火墙甚至入侵检测系统进行拦截的东西的突破. 2 ...
- HTTP代理原理以及HTTP隧道技术
通过HTTP协议与代理服务器建立连接,协议信令中包含要连接到的远程主机的IP和端口号,如果有需要身份验证的话还需要加上授权信息,服务器收到信令后首先进行身份验证,通过后便与远程主机建立连接,连接成功之 ...
- 图解再谈ssh port forwarding-ssh隧道技术
https://www.ramkitech.com/2012/04/how-to-do-ssh-tunneling-port-forwarding.html https://www.cnblogs.c ...
最新文章
- Blender 和Unreal Engine中的模块化3D建筑技能学习视频教程
- windows server 2008 r2 enterprise ,惠普DL 580 G7服务器报,事件 ID: 47错误。
- 请教于国富律师——怎样把灰鸽子病毒和灰鸽子程序区分开
- VirtualBox虚拟机网络环境解析和搭建-NAT、桥接、Host-Only、Internal、端口映射
- redis 上亿数据_票房上亿,稳居第一?肖战《诛仙》日本上映,真实数据到底怎样...
- MATLAB视角下的七夕节
- StarGAN v2: Diverse Image Synthesis for Multiple Domains (多域多样性图像合成)
- 交叉编译mpg321到MX27 ADS Rel3平台
- 加速度传感器,磁场传感器和陀螺仪传感器案例
- sql server完全卸载
- 【ASUS】关于华硕笔记本win7下GTX950M独显驱动无法安装上的解决方法
- 教务管理系统乱码服务器不可,青果教务管理系统Post登录(二)
- # SIGPROC --- 脉冲星信号处理程序-详解
- 学习笔记-测试利器Mocha
- PHP接入谷歌验证器(Google Authenticator)
- 世纪互联的那些人、那些年、那些事
- 互联网寒冬!一线互联网移动架构师筑基必备技能之Java篇,附带学习经验
- 数据库拆分的理解和案例(详细版)
- $monitor用法
- 天梯赛题目练习L1-001,L1-002,L1-003