day20--VPN

已于 2024-01-25 16:37:43 修改
阅读量402 收藏 9
点赞数 7
分类专栏: 网络安全笔记 文章标签: 服务器 运维
于 2024-01-25 16:37:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59854777/article/details/135832049
版权

1、VPN(virtual private network)

虚拟专有网络

2、引入

可以实现在不安全的网络上,安全的传输数据,好像专网!

VPN只是一个技术,使用pki技术,来保证数据的安全三要素

3、安全三要素:

1)机密性

2)完整性

3)身份验证

4、加密技术:

1)对称加密

2)非对称加密

5、完整性算法/hash

MD5

SHA

6、vpn类型:

1)远程访问

2)点到点

常见:IPsecVPN

7、ipsecvpn:

1)属于点到点VPN,可以在企业之间建立VPN隧道

2)VPN隧道优点:安全性!合并两家企业内网!

3)VPN隧道技术:

传输模式:只加密上层数据,不加密私有IP包头

隧道模式:加密整个私有IP包,包括ip包头,更安全,速度慢

4)VPN隧道技术:重新封装技术+加密认证技术

5)2大阶段:

第一阶段:管理连接

目的:对称密钥

命令:

conf t

crypto isakmp policy 1     (传输集/策略集)

    encryption des/3des/aes

    hash md5/sha

    group 1/2/5

    authentication pre-share

    lifetime 秒    (默认86400秒)

    exit

crypto isakmp key 预共享密钥 address 对方的公网IP地址

第二阶段:数据连接

目的:加密私网数据

命令:

定义VPN触发流量:

access-list 100 permit ip 192.168.1.0 0.0.255.255 172.16.0.0 0.0.255.255

定义加密及认证方式:crypto ipsec transform-set 传输模式名 esp-des/3des/aes esp/ah-md5/sha-hmac

例如:crypto ipsec transform-set wentran esp-des  esp-sha-hmac

ESP:支持加密及认证(身份验证+完整性)

AH:只支持认证(身份验证+完整性)

 创建MAP映射表:

conf t

crypto map map名 1 isakmp

match address acl表名

set transform-set 传输模式名

set peer 对方的公网IP

exit

例如:

conf t

crypto map wenmap 1 isakmp

match address 100

set transform-set wentran 

set peer 200.1.1.2

exit

将map表应用到外网端口:

int f0/1

crypto map wenmap

exit

注意:一个接口只能应用一个map表!!

8、查看命令:

show crypto isakmp sa 查看第一阶段状态

show crypto ipsec sa 查看第二阶段状态

show crypto isakmp policy 查看第一阶段的策略配置集

show crypto ipsec transform-set 查看第二阶段的传输模式

9、路由器工作原理:

内网--to--外网:路由--NAT--VPN--出去

10、远程访问VPN:

在公司需要搭建VPN服务器

VPN服务器需要对VPN客户端进行身份验证

VPN服务器需要给VPN客户端下发权限及IP地址        

喝水都塞牙缝(//̀Д/́/)
关注
专栏目录
【1day】复现Milesight-VPNserver.js 任意文件读取漏洞
记录并分享学习安全的知识点..
08-22 394
Milesight路由器-VPN是由Milesight Technology Co., Ltd.开发的一种集成了VPN功能的路由器产品。它旨在为用户提供安全、可靠的远程访问和连接解决方案。Milesight-VPNserver.js存在任意文件读取,攻击者可以通过利用系统中存在的漏洞,获取未经授权的访问权限并读取系统上的任意文件。
网络工程师Day9--GRE配置
小梁的博客
08-28 1127
#网络工程师Day8–实验3-5 GRE隧道配置 学习目标 掌握GRE隧道封装的配置方法 掌握GRE隧道接口的配置方法 理解GRE keepalive功能的实现原理 拓扑图 场景 当企业总部和分支机构间需要互相发布加密的路由信息时,仅通过IPSEC VPN方案是无法实现的,由于IPSEC VPN无法承载使用组播发送的路由协议数据包,因此还需要在现有的IPSEC网络中配置GRE隧道解决此问题 操作...
Day06-02-OpenVpn
苦难带不走梦想
07-09 1999
两点如何传输数据最安全方案1: 专线(成本高)方案2: 硬件设备3层路由器 , 硬件vpn设备 vpn virtual private network 虚拟专有网络 深信服VPN方案3: 公有云产品方案4: 商业产品方案5: 开源软件pptp (不推荐) 使用最简单,不是很稳定,依赖于网络设备的支持.OpenVPN 实现用户/运维/开发,访问网站内网.IpSECOpenSwan 用于实现两个局域网内网互通.通过openvpn连接某台机器,访问web。
防御保护Day7--IPSec VPN实验
Wincreds的博客
03-11 508
在FW5和FW3之间建立一条IPSec通道,保证10.0.2.0/24网段可以正常访问到192.168.1.0/24。
信安学习-day20
ekko_jay的博客
11-11 431
华为防火墙
Day10-网络
anwen12的博客
12-31 131
Day10 0x01 网络 ping 列出网络中存活主机 #!/bin/bash # name: a.sh # to scan ip for ip in 192.168.0.{1,255}; do (ping $ip -c 2 & > /dev/null; if [ $? -eq 0 ]; then echo $ip is alive; fi )& done wait ssh -C压缩数据 FTP ftp中可以使用的指令: cd dir : 更改远
Day13-寻觅踪迹
anwen12的博客
01-01 671
寻觅踪迹 0x01 tcpdump tcpdump -vv -i ens33跟踪指定的网卡 tcpdump -vv -i ens33 port http指定支持显示的协议有http。 `-r 从文件中读取流量包, -c表示最大能抓到的packet的数量。 hose结合port利用对发往或来自特定主机的i像那些链接。 0x02 ngrep 是tcpdump和grep的结合体。 ngrep -q -c 64 linux port 80 -q只答应载荷的头部 -c显示多少列 -xx用16进制在流量包中搜索。 ??
day-1
m0_64642883的博客
08-28 237
在某些网络架构中,如果内网和外网处于同一物理网络或可以通过某种方式直接连接(如使用交换机或路由器),则可以通过配置直接路由来实现内外网的互联。它不仅可以实现内外网互联,还能提供负载均衡、缓存、SSL加密等功能,增强内网服务器的安全性和性能。端口映射(NAT,网络地址转换)技术允许将内网机器的端口映射到外网IP地址的某个端口上,这样外网用户就可以通过访问这个外网IP地址和端口来访问内网中的特定服务。将抓包后的用户与密码修改为正确用户名与密码,再点击action,选择响应请求,放行。
青岛实训DAY10---frp
m0_68890540的博客
07-20 523
frp 是⼀个开源、简洁易⽤、⾼性能的内⽹穿透和反向代理软件,⽀持 tcp, udp, http, https等协议。frp 项⽬官⽹是 https://github.com/fatedier/frp底层 vpnfrp⼯作原理服务端运⾏,监听⼀个主端⼝,等待客户端的连接;客户端连接到服务端的主端⼝,同时告诉服务端要监听的端⼝和转发类型;服务端fork新的进程监听客户端指定的端⼝;外⽹⽤户连接到客户端指定的端⼝,服务端通过和客户端的连接将数据转发到客户端;
信安学习---day21-25
ekko_jay的博客
11-23 1425
网络安全
cisp学习笔记day1---信息安全保障
weixin_45796142的博客
10-13 641
信息安全的定义 为数据处理系统建立和采取技术、管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而受到破坏、更改、泄露;保障信息不产生安全问题,保障信息的可用性 通讯传输安全:联网设备之间的通信收到保障,通信不会受到影响 网络安全:对信息进行收集、存储、传输、交换、处理 信息安全问题的根源 内因:系统复杂性导致漏洞的不可避免 外因:环境人为因素 信息安全的特性:系统性、动态性、无边界、非传统(传统安全:实体地区安全防护,实地防护,物理防护) 威胁情报分析案例 态势感知 提前可能预知到攻击,主
DAY SIX -- ospf的不规则区域问题和链路状态通告LSA
weixin_53891591的博客
04-15 2712
OSPF的不规则区域问题 不规则区域产生的原因 1,远离骨干的非骨干区域--连接在非骨干区域上的区域 连接这个区域的ABR不合法,该区域除边界路由器外均学不到其他区域的路由 2,不连续骨干区域--骨干区域之间插入非骨干区域 中间的非骨干区域可以接收到两端的骨干区域的路由,但两个骨干区域之间的路由存在鸿沟 解决不规则区域问题的方法 ...
Linux将二进制软件包编译成rpm软件包教程详解
广阔天地,大有作为
11-12 407
通过以上步骤,你可以将二进制软件包编译成RPM软件包,并在Linux系统中进行安装和管理。这个过程虽然涉及一些复杂的配置,但通过.spec文件的详细定义,你可以精确控制软件包的构建和安装过程。希望这篇教程能帮助你更好地理解和使用RPM包管理工具。
linux-vlan(1)
吃不饱、力不足的博客
11-11 613
ns1通过ns1-veth0.100 ping 1.1.1.31时,ns21-veth0和ns23-veth0 vlan id都是100,br0不带vlan id。ns1通过ns1-veth0.200 ping 1.1.1.31时,ns21-veth0和ns23-veth0 vlan id都是200,br0不带vlan id。# 4.veth设备放入命名空间,启动接口。# 5.创建br0,添加接口到br0。# 7.添加子接口到br0。# 3.创建veth设备。# 2.创建命名空间。# 6.创建vlan。
服务器】本地安装X11 服务器-Windows
WW、forever的博客
11-12 795
服务器】本地安装X11 服务器-Windows
Linux的基本指令(一)
2302_80378107的博客
11-08 841
对于目录,该命令列出该目录下的所有子目录与文件。对于文件,将列出文件名以及信息。-a列出目录下的所有文件,包括以 . 开头的隐含文件。-l列出文件的详细信息。
服务器集群的作用有什么?
wanhengwangluo的博客
11-12 443
服务器集群通常是指多个服务器集中起来一起进行同一种服务,在客户端看来只有一个服务器服务器集群能够利用多个计算机做备份工作,同时进行并行计算来获得更高的计算速度,即使其中的某个机器出现问题,整个系统还是可以正常运行的。服务器集群可以将传入的用户请求分发到不同的服务器上进行处理,以此来达到负载均衡的效果,可以充分利用每台服务器的资源,提高了整个系统的性能和响应速度;同时当服务器出现故障时,扔人可以保证服务的正常运行,避免可单点故障,保证业务的持续运行。接下来就来了解一下服务器集群的作用是什么吧!
IDC机房服务器托管的费用组成
最新发布
yilinwangluo的博客
11-12 349
青蛙云IDC提示:在选择IDC机房时,建议详细了解其定价结构和各项费用明细,以便做出符合预算和业务需求的合适选择,同时,记得比较不同机房的报价和服务质量,以找到性价比高的解决方案。- 如果你需要额外的IP地址,IDC机房可能会为此收取额外的费用。- 根据你的服务器功率和预计的电力消耗,IDC机房可能会收取电力费用。- 在某些情况下,IDC机房可能会收取初始的设置和安装费用,包括服务器上架、网络配置、操作系统安装等。- 如果你选择由IDC机房提供全面的服务器管理和维护服务,这将产生额外的费用。
Linux
qq_73579869的博客
11-06 340
对网卡ens37添加一个子接口ens37:0,IP地址为6.6.6.6/8。永久修改主机名为xxx,并查看主机名信息。使用nmcli查看网络设备的UUID号。临时修改主机名为xxx,重启后失效。删除刚才创建的子接口ens37:0。查看系统中所有的网络接口信息。查看指定的网络接口信息。
day--和--day区别
04-18
"day--"和"day"是两种不同的操作符,它们在编程中有着不同的含义和用法。 1. "day--"是一个后缀自减操作符,用于将变量的值减1,并返回减1之前的值。例如,如果有一个变量day的值为5,执行day--操作后,day的值将...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值