网络安全FW理论讲解
文章平均质量分 91
讲解华为FW的理论知识
静下心来敲木鱼
机会是留给有准备的人的
展开
-
防火墙——IKE对等体检测技术(IPSec6)
如果此时IKE SA带有Timeout标记,则删除IKE对等体之间的IKE SA和IPSec SA;如果发送几次DPD报文后抑制没有收到对端的回应,则认为对端不可达,删除IKE对等体之间的SA(IKE SA和IPSec SA)如果一定时间间隔内没有当收到对端发来的IPSec流量,则发送DPD报文探测对端的状态。如果当前距离上一次收到对端的IPSec报文或者DPD报文的时间超过DPD空闲时间。如果本端可以收到对端发来的IPSec流量,则认为对端处于活动状态。则本端主动向对端发送DPD报文。原创 2023-06-09 15:17:52 · 1134 阅读 · 0 评论 -
身份认证——Portal组网架构、协议报文、用户认证流程讲解
802.1x认证点多,配置量大,因此提出了portal认证Portal认证也称为Web认证,通过网站的形式进行身份认证,免除客户端(只需要网络浏览器的支持,也可以使用Portal客户端软件进行认证),一般将Portal认证网站称为门户网站。原创 2023-03-17 22:21:35 · 13824 阅读 · 3 评论 -
身份认证——802.1x认证和MAC认证讲解
用户通过802.1x客户端输入用户和密码来向接入设备发送EAPoL-Start报文来触发认证,接入控制器收到客户端发送的EAPoL-Start报文之后,会向客户端发送EAP-Request/Identity报文,要求用户发送身份标识。EAP中继方式中,用来对用户密码进行加密处理的挑战字由认证服务器生成,设备端只是负责将EAP报文封装在RADIUS报文中透传认证服务器,整个认证处理都由认证服务器来完成。其实就是接入控制端主动触发进行802.1x认证,不过不通过用户密码认证了,而是通过MAC进行认证。原创 2023-03-16 21:47:44 · 9922 阅读 · 0 评论 -
身份认证——AAA与Radius协议讲解
目录AAA介绍AAA的基本架构AAA的认证 授权 计费方式AAA通过本地和远端实现的大致流程Radius协议Radius架构Radius报文结构Radius如何对用户进行认证Radius协议报文交互过程AAA(Authentication Authorization and Accounting)又称为认证、授权和计费,是一种管理网络安全的机制(架构),主要为接入网络的用户提供认证、授权和计费三种基本服务,用于防止非法用户登陆设备AAA可以通过多种协议来实现,在实际应用中,最常使用RADIUS协议,也有些会原创 2023-03-16 13:25:26 · 6127 阅读 · 0 评论 -
防火墙——IPSec高可靠性(IPSec5)
主IPSec通道链路固定IP接入,备IPSec通道链路采用固定或拨号接入(需要建立多个IPSec)将IPSec策略应用到Tunnel接口中,然后多个物理接口做备份(只需要建立一个IPSec)IPSec高可用-主备链路_vpp ipsec主备_静下心来敲木鱼的博客-CSDN博客。IPSec高可用——设备冗余实验配置_静下心来敲木鱼的博客-CSDN博客。冗余的两台FW做双机热备,在物理口上引用IPSec安全策略(正常配置)IPSec高可用-隧道化链路备份_静下心来敲木鱼的博客-CSDN博客。原创 2022-05-18 17:18:13 · 1276 阅读 · 0 评论 -
防火墙——智能选路讲解(全局智能选路、策略路由智能选路、ISP选路)
随着业务的不断发展,企业为例提高出口链路的带宽和可靠性,一般会在出口部署多条链路。智能选路技术可以根据链路带宽、权重、优先级或自动探测到目的地的链路质量,动态选择最优链路,提高了链路资源的利用率和用户体验。原创 2022-06-06 16:57:12 · 4032 阅读 · 0 评论 -
防火墙——服务器负载均衡
服务器负载均衡技术将多个服务器组成服务器集群,对外体现为一台逻辑上的服务器,并保证了流量可以比较平均的分配到各个服务器上,避免出现一个服务器满负荷运行、另一个服务器却空闲的情况。原创 2022-06-04 15:49:51 · 3018 阅读 · 0 评论 -
防火墙——防火墙基础知识
FW通过状态检测功能来对报文的链路状态进行合法性检查,丢弃链路状态不合法的报文。回来的报文不需要额外的策略(通过会话表控制)状态检测为通过的首包建立会话表,当收到回应的包时会先去匹配会话表,不会再去对后续包一一控制了(即只需要做单向控制)安全策略是FW的核心特性,通过对FW的数据流进行检验,只有符合安全策略的合法流量才可以通过FW进行转发。防火墙将不同信任度的网络通过安全区域来进行划分,并且大部分的安全策略都是通过安全区域进行实施的。当配置了多条安全策略时,按照排列的顺序进行匹配,顺序越高,优先级越高。原创 2022-06-01 16:50:22 · 6659 阅读 · 0 评论 -
防火墙——多通道协议与Server-map表项
ASPF全称为针对应用层的包过滤(基于状态的报文过滤),FW通过检测协商报文应用层携带的地址和端口信息,自动生成相应的Server-map表,用于放行后续建立数据通道的报文,相当于自动创建的一条精细的“安全策略”,解决了多通道协议使用随机端口无法过滤的问题。ALG全称为应用层网关,用于在NAT场景下检测协商报文应用层携带的地址和端口信息,自动生成Server-map表,并自动转换应用层报文载荷中的IP地址和端口信息。原创 2022-06-01 16:48:32 · 4129 阅读 · 0 评论 -
防火墙——L2TP基础知识
L2TP是一种用于承载PPP报文的二层隧道技术,为是应用层协议,端口号为UDP1701。L2TP属于V P D N(虚拟专有拨号网络)中的一种技术,主要应用在远程办公场景种为出差员工远程访问企业内网资源提供接入服务。原创 2022-05-20 14:24:53 · 9473 阅读 · 1 评论 -
防火墙——IPSec协议框架(IPSec1)
IPsec与多分支建立IPsec的实验中,总部配置多个ACL(感兴趣流)来使得不同的数据走不同的隧道,使得分支之间通过总部互通。将所有路由到IPSec虚拟隧道接口的报文都进行IPSec保护,根据该路由的目的地址确定哪些数据流需要IPSec保护。主要分为传输模式和隧道模式,将AH或者ESP的相关字段插入到原始IP报文中,以实现对报文的认证和加密。由于未添加额外的IP头,所以原始报文中的IP地址在加密后的报文中可见。由于添加额外的IP头,所以原始报文中的IP地址再加密后的报文中不可见。原创 2022-05-17 10:41:42 · 7407 阅读 · 0 评论 -
防火墙——GRE隧道讲解
当对端设备访问公网时,也会进行GRE封装,目的地址为tunnel接口的目的地址(也就是对端公网地址),再次进行GRE封装;解决了跨越异种网络的报文传输问题——异种报文传输的通道称为Tunnel隧道(例如IPv6孤岛问题)GRE隧道配置后,只要有到达隧道中配置的目的地址的路由(无论是否可达),隧道口都会激活。GRE(通用路由封装)是一种三层隧道封装技术,可以对某些网络层协议的报文进行封装。“包装”乘客协议对应的报文,使得原始报文可以在新的网络中传输。封装后的报文在新网络中传输时所使用的网络协议。原创 2022-05-19 09:54:38 · 8715 阅读 · 0 评论 -
防火墙——隧道技术分类、加解密技术、PKI数字证书讲解
然后用根证书的公钥去解密验证上一层(中级1)证书的合法性,再拿上一层(中级1)证书的公钥去验证更上一层(中级2)证书的合法性,递归回溯,最后验证服务端的证书是可信任的。在实际应用中,由于本地能够存储的CA证书是有限的,所以系统一般只内置了顶级CA机构的证书(根证书),而其它机构的证书则通过信任链的方式进行证书的颁发。CA对每个人的公钥进行认证,并使用CA的私钥进行加密发送给用户(所以我们获取到的公钥就在CA使用私钥加密后的证书中,然后我们使用CA的公钥进行解密得到证书)原创 2022-05-01 16:49:27 · 2096 阅读 · 0 评论 -
防火墙——图解常用隧道技术的数据报文解封装过程(详细)
IPSec使用公网接口建立隧道解封装方式IPSec使用Tunnel口建立隧道解封装方式GRE建立隧道解封装方式GRE over IPSec建立隧道解封装方式L2TP over IPSec建立隧道解封装方式原创 2022-05-21 10:02:58 · 551 阅读 · 0 评论 -
防火墙——动态智能隧道DSVPN讲解
MGRE技术全称为多点GRE技术,是基于GRE技术的升级版,将传统GRE隧道点到点P2P类型的Tunnel接口扩展成了点到多点P2MP类型的mGRE隧道接口。解决了GRE只可以在两点之间建立隧道的问题。MGRE的隧道的建立方式静态建立mGRE隧道一般总部与分支建立静态隧道,永久存在。通过配置NHRP静态表项建立动态建立mGRE隧道一般分支与分支之间建立动态隧道,通过数据流量触发。通过NHRP动态表项建立。原创 2022-05-19 16:40:54 · 2090 阅读 · 6 评论 -
防火墙——Efficient理论讲解(IPSec4——推送IPSec隧道建立)
Efficient VPN称为高效VPN,顾名思义就是简化企业VPN部署配置通过客户端可以将总部(Server端)的IPSec配置推给分支(Remote端)原创 2022-05-18 15:23:44 · 524 阅读 · 0 评论 -
防火墙——虚拟系统理论讲解
当根系统去访问虚拟系统时,如果目的地址匹配到引流表“Destination Address”字段,正向命中引流表,根系统就按照引流表转发报文,将报文送到对应虚拟系统。将接口与虚拟系统绑定后,从此接口接收到的报文都会被认为属于该虚拟系统,并根据该虚拟系统的配置进行处理。当虚拟系统未开启时,管理员对FW的配置就是对根系统的配置,FW的管理员就是根系统的管理员。当虚拟系统开启时,根系统会继承先前FW的配置,FW上已有的管理员将成为根系统的管理员。原创 2022-04-23 22:14:20 · 5651 阅读 · 1 评论 -
防火墙——双机热备理论讲解
本端和对端协商失败。有可能是因为本端和对端设备的软件版本不一致、某端配置错误、对端设备的心跳接口状态为Down、HRP源或目的端口号被修改、或者底层链路不通等原因导致。会话表、SeverMap表、IP监控表、分片缓存表、GTP表、黑名单、PAT方式端口映射表、NO-PAT方式地址映射表。两台设备一主一备,正常情况下业务流量由主设备处理,当主设备故障时,业务流量平滑切换到备用设备进行处理,业务不中断。开启自动备份后,当主用设备配置了一条可备份的命令或产生了可备份的会话表状态时,会直接备份到备用设备上。原创 2022-04-22 23:38:06 · 18811 阅读 · 0 评论 -
防火墙——NAT穿越技术理论讲解(IPSec3)
什么情况下使用NAT穿越技术部署IPSec VPN网络时,如果发起者位于一个私网内部,远端位于公网侧,而它希望与远端响应者直接建立一条IPSec隧道。为保证存在NAT设备的IPSec隧道能够正常建立,这就涉及到IPSec的NAT穿越问题。原创 2022-05-18 13:09:53 · 3586 阅读 · 1 评论 -
防火墙——IKE(IPSec2)
IKE基本概念IKE安全机制身份认证身份保护DH密钥分发算法PFSIKEv1协商安全联盟阶段1——协商IKE SA建立安全通道阶段2——利用安全通道协商IPSec SAIKEv1中DH算法生成密钥、IKE安全提议中的算法、IPSec安全提议中算法之间的关系IKEv2协商安全联盟的过程IKEv2定义了三种交换ISAKMP报文UDP头部ISAKMP头部IKEv1和IKEv2之间的区别查看IKE隧道建立情况原创 2022-05-17 19:28:03 · 9135 阅读 · 0 评论