- 博客(8)
- 收藏
- 关注
RSS订阅原创 8、防火墙IPSec VPN技术
阶段二,快速模式,3个包交互,建立IPSec SA,该阶段交互受阶段1保护(协商对数据流的保护,例如:安全协议AH or ESP、安全算法、对数据的封装模式(隧道模式 or 传输模式),结合阶段1推导出相关密钥材料,实现对数据流的加解密)默认情况下,IPSec配置完成后,IKE SA、IPSec SA建立需要被保护的数据流出发,或者可以在IPSec策略下执行一条命令,接口绑定了IPSec策略,无法流量触发,两台设备自动发起IKE协商建立SA信息。该IPSec策略在相关接口调用。认证)、流量封装模式。
2024-09-30 15:30:27
453
原创 7、密码学原理
P1、P2数据发送方、接收方,首先两者约定相同的对称加密算法,且实现约定好、生成相同的对称秘钥,这把秘钥不可以被公开,加解密双方保管,不可泄漏;数字签名也存在安全性问题,公钥合法性无法得到保证,引入数字证书保证公钥的合法性问题,数字证书类似证明个体身份的身份证,它是设备产生的公钥的载体,需要找特定的机构申请颁发,该机构称之为CA。P1、P2数据发送方、接收方,事先约定相同的非对称加密算法,两者需要维护两把秘钥,一把是公钥(可以暴露)、一把是私钥(只能自己私有,不能被其他任何人得知)3、对数据做完整性校验。
2024-09-30 15:21:42
244
原创 6、GRE VPN技术
1、一定要配置一个IP地址,基于场景配置,可以配置IPv4、也可以配置IPv6,双方配置的地址可在一个网段,也可以不在以一个网段;核心需要在VPN网关上配置隧道接口,称之为tunnel,它是以一个逻辑隧道接口,未来基于隧道接口转发的数据都会被VPN协议封装。2、三层VPN封装的对象是数据包,例如:GRE VPN、IPSec VPN、MPLS VPN...1、二层VPN封装的对象是数据帧,例如:L2TP VPN、VxLAN、VPLS...基于不同VPN封装的对象,可以分为二层VPN、三层VPN。
2024-09-27 22:18:15
268
原创 5、防火墙双机热备
1)两台墙在组件双机之前,配置不一致,组件双机后,无法通过自动备份同步方式同步相关配置,引入手工批量备份在拥有配置的墙上执行hrp sync config ,把当前拥有的可同步配置同步给备墙。1、VGMP(VRP组管理协议),解决防火墙上部署的VRRP状态不一致问题,因为VRRP不同的备份组之间无任何关系,某一个备份组的主、备倒换,不会影响其他备份组。1)双击场景,某台防火墙重启,业务由另一台墙承担,可能会发生配置更变,重启后为了保证双方配置一致性,主动向另一台墙执行配置同步。
2024-09-27 22:16:01
347
原创 4、防火墙NAT技术
1、边界防火墙配置的nat Server全局地址与公网接口在一个网段,如果外网节点频繁访问防火墙上地址池中的公网IP,触发大量的ARP解析报文,造成资源占用,可以引入UNR路由,类似黑洞路由,把访问地址池中公网IP的数据本地终结。1、边界防火墙地址池配置的公网IP与公网接口在一个网段,如果外网节点频繁频繁访问防火墙上地址池中的公网IP,触发大量的ARP解析报文,造成资源占用,可以引入UNR路由,类似黑洞路由,把访问地址池中公网IP的数据本地终结。
2024-09-23 15:43:52
751
原创 3、多通道FTP、ASPF
如果启动ASPF功能,未来多通道报文穿越防火墙,就有能力检测多通道协议携带控制通道中交互的载荷信息,从而感知出动态端口、即后续的数据通道连接报文的特点。ASPF如何让记录检测结果(动态端口,即ftp数据连接的特征)------>放入防火墙上的Server-Map表(ASPF类型的Server-map),流量抵达防火墙时,首先匹配会话表,如果没有匹配会话表,但是可以被Server-Map表匹配,则防火墙会把该流量直接放行,无需安全策略,会创建会话。1、单通道应用层协议:通信过程中只需占用一个端口的协议。
2024-09-22 12:01:21
638
原创 2、状态检测、Stelnet
在以上登录阶段,client会获取到服务器的公钥,未来如果采用密码认证,client会把向服务器提交的密码使用服务器的公钥加密,然后加密后的密码附加在报文中传输给服务器。4、基于协商出来的key加密后续所有报文,包括客户端向ssh服务器推送的认证密码也是在报文中,而报文本身是被加密的。2、SSH安全的telney登录,交互的报文、包括用户、密码信息、远程操作CLI命令都会被加密起来,安全性高。1、telnet不安全,明文方式交互报文,包括用户、密码提交、远程操作CLI命令上传都是明文,不建议使用;
2024-09-21 14:03:37
640
原创 1、防火墙安全策略
2.3、其他节点访问防火墙的流量(HTTP、HTTPS、Telnet、Ping、SSH、NETCONF、SNMP),默认不受安全策略控制的,受接口service-manage命令控制,且动作是拒绝所有,可以修改成允许,该命令可以undo关闭掉,如果关闭掉接口的service-manage功能,以上流量也会受安全策列控制。2、安全策略如何匹配流量?----------------------------------如果来回路径不一致,首包没有经过防火墙,非首包经过防火墙,防火墙就无法放行非首包。
2024-09-21 14:01:06
748
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人