08-加密技术应用

最新推荐文章于 2023-04-26 19:44:52 发布
最新推荐文章于 2023-04-26 19:44:52 发布
阅读量1.1k 收藏 5
点赞数
分类专栏: 华为安全HCIA 文章标签: 网络协议 华为 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qianlai22/article/details/123402953
版权

密码学应用

  • 数字信封:结合对称和非对称加密,从而保证数据传输的机密性。

  • 数字签名:采用散列算法,从而保证数据传输的完整性。

  • 数字证书:通过第三方机构(CA)对公钥进行公证,从而保证数据传输的不可否认性。

VPN简介

  • 虚拟专用网VPN(VirtualPrivateNetwork)是一种“通过共享的公共网络建立私有的数据通道,将各个需要接入这张虚拟网的网络或终端通过通道连接起来,构成一个专用的、具有一定安全性和服务质量保证的网络”。

  • 虚拟:用户不再需要拥有实际的专用长途数据线路,而是利用Internet的长途数据线路建立自己的私有网络。

  • 专用网络:用户可以为自己制定一个最符合自己需求的网络。

VPN分类

在这里插入图片描述

  • L3VPN

    • 三层VPN主要是指VPN技术工作在协议栈的网络层。以IPSecVPN技术为例,IPSec报头与IP报头工作在同一层次,封装报文时或者是以IPinIP的方式进行封装,或者是IPSec报头与IP报头同时对数据载荷进行封装。

  • L2VPN

    • 与三层VPN类似,二层VPN则是指VPN技术工作在协议栈的数据链路层,即数据链路层。二层VPN主要包括的协议有点到点隧道协议(PPTP,Point-to-Point Tunneling Protocol)、二层转发协议(L2F,Layer 2 Forwarding)以及二层隧道协议(L2TP,Layer 2 Tunneling Protocol)。

VPN的应用场景

  • Site-to-Site VPN

    • 用于两个局域网之间建立连接。

    • 可采用的VPN技术:IPSec、L2TP、L2TP over IPSec、GRE over IPSec、IPSec over GRE。

  • Client-to-Site VPN

    • 用于客户端与企业内网之间建立连接。

    • 可采用的VPN技术:SSL、IPSec、L2TP、L2TP over IPSec。

L2TP VPN简介

L2TP (Layer Two Tunneling Protocol) 二层隧道协议

为在用户和企业的服务器之间透明传输PPP报文而设置的隧道协议。提供了对PPP链路层数据包的通道(Tunnel)传输支持。

三种使用场景

NAS-Initiated VPN

LAC自动拨号

Client-Initiated VPN

Client-Initiated VPN方式L2TPVPN

在这里插入图片描述

Client-Initiated VPN隧道和会话建立过程

在这里插入图片描述

(1.a)LAC:发送SCCRQ报文,告知LNS使用1作为Tunnel
ID与其通信。一个LAC或LNS设备都可以同时简立多条隧道,不同的隧道用来传输不同的业务,使用Tunnel
ID来区分。L2TP隧道协商使用UDP+1701(目标端口)

(1.b)LNS:返回SCCRP报文,告知LAC也使用1作为Tunnel ID与其通信

(1.c)LAC:发送SCCCN确认报文,隧道ID协商结束,L2TP VPN隧道建立完毕。

(2.a)LAC:发送ICRQ 报文,告知LNS使用81作为Session ID 与其通信。

(2.b)LNS:返回ICRP报文,告知LAC使用77作为Session ID与其通信

(2.c)LAC:发送ICCN确认报文。隧道双方Session ID协商结束,L2TP会话建立完毕

3.LAC与LNS建立PPP连接

LAC:发送LCP Request请求报文,协商链路层参数

LNS:返回LCP ACK确认报文

用户认证(PAP/CHAP)

LAC:发送PAP Request报文,请求LNS进行身份认证

LNS:返回认证结果PAP ACK报文,身份认证完成

认证通过后,(网络层参数协商)

LAC向LNS发送**IPCP **Request消息,请求LNS向其分配企业内网IP地址。

LNS向LAC返回IPCP ACK消息,在此消息中携带了为LAC分配的企业内网IP地址,PPP连接建立

  • Client-InitiatedVPN中,每个接入用户和LNS之间均建立一条隧道;每条隧道中仅承载一条L2TP会话和PPP连接。

  • L2TP隧道的呼叫建立流程

    • 当接入用户拨号到LNS时,首先触发接入用户和LNS之间建立L2TP隧道。

    • L2TP隧道建立成功后,在隧道基础上建立L2TP会话。

    • LNS对用户进行认证。

    • 用户与LNS之间建立PPP连接。

    • 用户在PPP连接基础上,通过LNS访问内网资源。

配置Call-LNS场景下的L2TP VPN(本地认证)

在这里插入图片描述

在这里插入图片描述

配置步骤

  • 配置LAC

1.配置接口IP地址,并将接口加入安全区域

sys
sys LAC
int g1/0/1
	ip add 1.1.1.1 24
	q
int g1/0/0
	ip add 172.16.1.2 24
	q
firewall zone untrust 
	add int g1/0/1
	q
firewall zone trust
	add int g1/0/0
	q

2.配置L2TP功能。

如果LAC需要和多个LNS建立L2TP VPN隧道,请在start l2tp命令中指定多个LNS的IP地址。(start l2tp ip 1.1.1.2 ip 1.1.1.5 fullusername user0001
)

l2tp enable
l2tp-group 1
              
	#l2tp组
 tunnel name LAC 
         
	#设置隧道名称
 start l2tp ip 1.1.1.2 fullusername user0001
 
	#触发l2tp隧道建立的条件
 tunnel authentication
     
	#设置隧道认证
 tunnel password cipher Hello123
q

3.配置VT(虚拟模板)接口。(用来完成PPP会话协商的相关功能)

interface Virtual-Template1
 ppp authentication-mode chap
 y
 ppp chap user user0001
 ppp chap password cipher Password123
 ip address ppp-negotiate
 #call-lns local-user user0001
	#完成用户名的触发,完成拨号的条件
 q
firewall zone dmz
 add interface Virtual-Template1
 q

4.配置路由

a.配置到总部内网服务器的路由,出接口为LAC上的VT接口。

ip route-static 10.2.2.0 24 Virtual-Template1

b.配置到Internet上的缺省路由,假设LAC通往Internet的下一跳IP地址为1.1.1.2。

ip route-static 0.0.0.0 0 1.1.1.2

5.配置出接口方式的源NAT策略。

LAC拨号成功后,LNS会生成一条目的地址是LAC VT口地址(LAC VT口地址是LNS从地址池分配出去的)的路由,且路由的下一跳地址也是LAC VT口的IP地址。LNS响应LAC内网的流量会按照该路由进入L2TP隧道转发。因此,LAC内网的报文在发往LNS前,需要将报文的源地址转换成LAC VT口的IP地址,经过了NAT转换,LNS响应LAC的内网流量才能正常返回。不做源NAT转换,会造成业务不通。

nat-policy
 rule name p1
  source-zone trust
  egress-interface Virtual-Template1
  
		#
  source-address 10.1.1.0 mask 255.255.255.0
  action source-nat easy-ip

6.配置LAC上的域间安全策略。

配置trust与dmz之间的安全策略,允许分支用户访问总部内网以及总部内网访问分支用户的双向业务流量通过。

security-policy
 rule name service_trust_dmz
  source-zone trust
  destination-zone dmz
  source-address 10.1.1.0 mask 255.255.255.0
  destination-address 10.2.2.0 mask 255.255.255.0
  action permit
  q

配置从local到untrust方向的安全策略,允许L2TP报文通过。

rule name l2tp_local_untrust
  source-zone local
  destination-zone untrust
  source-address 1.1.1.1 mask 255.255.255.255
  destination-address 1.1.1.2 mask 255.255.255.255
  service l2tp
  action permit
  • 配置LNS。

1.配置接口IP地址,并将接口加入安全区域。


sys
sys LNS 
int g1/0/1
	ip add 1.1.1.2 24
int g1/0/0
	ip add 172.16.2.2 24
	q
firewall zone untrust
	add int g1/0/1
	q
firewall zone trust
	add int g1/0/0
	q

2.配置地址池。

如果真实环境中地址池地址和总部内网地址配置在了同一网段,则必须在LNS连接总部网络的接口上配置虚拟转发功能,保证LNS可以对总部服务器发出的ARP请求进行应答。

ip pool pool 
	section 1 192.168.1.2 192.168.1.254
	q

3.配置业务方案

aaa
	service-scheme l2tp
		#创建一个计划
	ip-pool pool
	q

4.配置认证域及其下用户。

a.配置认证域

如果需要对L2TP接入用户进行基于用户名的策略控制,认证域的接入控制必须包含internetaccess

aaa
	domain default
		service-type l2tp
		q

b.配置分支用户及其对应的用户组。

aaa
user-manage group /default/branch
	#创建一个组
	q
user-manage user user0001
		#创建一个用户
	parent-group /default/branch
		#将用户加入组
	password Password123
	q

5.配置VT接口

interface Virtual-Template1
	ip address 192.168.1.1 255.255.255.0
		#这个地址和地址池里的在同一个网段,但在不要再里面
	ppp authentication-mode chap
	y
	remote service-scheme l2tp
		#对应前面的“配置业务方案”
	q
firewall zone dmz
	add interface Virtual-Template1
	q

6.配置L2TP Group

l2tp enable
l2tp-group 2
	#这个编号可以和对端的一样,也可以不一样
	allow l2tp virtual-template 1 remote LAC
		#允许远程连接的,这个”LAC”是对端的隧道名称
	tunnel authentication
	tunnel password cipher Hello123
	q

7.配置到Internet上的缺省路由,假设LNS通往Internet的下一跳IP地址为1.1.1.1。

ip route-static 0.0.0.0 0 1.1.1.1

8.配置LNS上的域间安全策略。

配置trust与dmz之间的安全策略,允许分支用户访问总部内网以及总部内网访问分支用户的双向业务流量通过。

security-policy
 rule name service_dmz_trust
  source-zone dmz
  destination-zone trust
  source-address 192.168.1.0 mask 255.255.255.0
  destination-address 10.2.2.0 mask 255.255.255.0
  action permit
  q
q

配置从untrust到local方向的安全策略,允许L2TP报文通过。

security-policy
 rule name l2tp_untrust_local
  source-zone untrust
  destination-zone local
  destination-address 1.1.1.2 mask 255.255.255.255
  service l2tp
ation-address 1.1.1.2 mask 255.255.255.255
  service l2tp
  action permit
我是一条胖咸鱼
关注
专栏目录
.NET加密技术应用
liubingonline的专栏
08-11 571
 using System;using System.Text;using System.Security;using System.Security.Cryptography;using System.IO;namespace EncryptClasses{ ///  /// 此处定义的是DES加密,为了便于今后的管理和维护 /// 请不要随便改动密码,或者改变了密码后请一定要 ///
加密技术应用
坏坏-5的博客
07-22 1337
关于华为防火墙的一些加密技术应用
日常生活中的加密技术
jiamisoft的博客
05-30 867
说起加密技术,可能很多人会觉得陌生,一大串的字符代码让人看的眼花缭乱,它仿佛离我们的生活很远。 但其实不然,加密技术时刻都在我们身边,下面我们就来一起了解一下吧,最后的那个你一定在用! 1、账号密码安全 登录账号密码可能是不少人每天都会做的事,最早,互联网公司储存用户账号密码时,都是明文保存,比如你设置的密码是“123456”,那就直接将“123456”保存在数据库中,这就导致早期互联网行业隐私泄露频繁,而现在大多数互联网企业会选择DES、AES等加密算法,来保存用户账号密码,大大提高了用户的
常见加密技术以及应用-----个人笔记
weixin_33747129的博客
11-14 237
<?php//1:被泄密的事件:CSDN,天涯社区,冠希哥//2:常见加密算法:md5(),Crypt(),Sha1(),URL(),Base64()//MD5()加密:单向加密 md5($str[,true])$str="imooc";echo md5($str); //返回数字字母的组合echo "<hr/>";echo ...
×××加密技术应用
weixin_34408717的博客
11-09 119
加密技术应用是多方面的,但最为广泛的还是在电子商务和×××上的应用,下面就分别简叙。 1、在电子商务方面的应用 电子商务(E-business)要求顾客可以在网上进行各种商务活动,不必担心自己的信用卡会被人盗用。在过去,用户为了防止信用卡的号码被窃取到,一般是通过电话订货,然后使用用户的信用卡进行付款。现在人们开始用RSA(一种公开/私有密钥)的加密技术,提高信用卡交易的安...
SQL-Server-2012数据库技术与应用08.pptx
04-12
"SQL Server 2012 数据库技术与应用" 视图是数据库中一个重要的对象,通过学习了解什么是视图、使用视图的优点、掌握如何创建管理视图。视图是一个虚拟表,其内容由查询定义。同真实的表一样,视图包含一系列带有...
计算机网络通信安全中数据加密技术应用 (3).pdf
09-26
【摘要】本文主要探讨了计算机网络通信安全中数据加密技术应用,强调了其在保障5G室内小基站建设与运行中的重要性。数据加密技术能够有效地保护信息在传输过程中的安全,防止数据泄露,对抗黑客攻击。随着5G技术的...
JDY-08模块(JDY-V3.3_JDY-8_jdy蓝牙使用_JDY蓝牙_JDY-08V3.387_jdy_
09-29
JDY-08模块是基于蓝牙技术的无线通信模块,主要用于实现设备间的透明传输。这个模块的最新版本为JDY-8 V3.3,它在蓝牙通信领域提供了高效、稳定的解决方案,广泛应用于物联网(IoT)设备、智能家居、智能穿戴以及工业...
08-identity-in-ten-hundred-words.zip
10-25
标题“08-identity-in-ten-hundred-words”似乎是指一个关于身份识别技术的专题,而描述中的“08-identity-in-ten-hundred-words”可能代表这是该系列的第八部分,专注于通过一千个词来简洁地阐述身份识别的主题。...
信息安全_数据安全_hum-t08-building-a-security-awar.pdf
08-22
标题中提到的“信息安全_数据安全”是文件讨论的核心主题,而副标题“hum-t08-building-a-security-awareness”则指向建立安全意识的重要性。在信息安全领域中,建立一个全面的安全意识计划是至关重要的。这不仅仅...
加密算法及应用
呆萌很的博客
05-11 882
加密算法及应用
AES加密技术简介与应用
loveLifeLoveCoding的博客
01-14 3393
AES简介 AES最一种常见的对称加密算法,对称加密算法也就是加密和解密用相同的密钥。 具体的加密流程如下图: 下面简单介绍下各个部分的作用与意义: 明文P 没有经过加密的数据。 密钥K 用来加密明文的密码,在对称加密算法中,加密与解密的密钥是相同的。密钥为接收方与发送方协商产生,但不可以直接在网络上传输,否则会导致密钥泄漏,通常是通过非对称加密算法加密密钥,然后再通过网络传输...
详解加密技术概念、加密方法以及应用
07-31 496
随着网络技术的发展,网络安全也就成为当今网络社会的焦点中的焦点,几乎没有人不在谈论网络上的安全问题,病毒、黑客程序、邮件炸弹、远程侦听等这一切都无不让人胆战心惊。病毒、黑客的猖獗使身处今日网络社会的人们感觉到谈网色变,无所适从。 但我们必需清楚地认识到,这一切一切的安全问题我们不可一下全部找到解决方案,况且有的是根本无法找到彻底的解决方案,如病毒程序,因为任何反病毒程序都只能...
2022年全国职业院校技能大赛网络系统管理赛项模块B:Windows部署(样题1)
最新发布
傻傻的心动的博客
04-26 7557
2022年全国职业院校技能大赛网络系统管理赛项模块B:Windows部署(样题1)
Client-Initiated场景下的L2TP实验配置
m0_49864110的博客
05-29 718
目录 LNS配置 配置业务、认证方案 配置认证域以及用户 配置VT接口 配置L2TP-Group 配置路由 配置安全策略 客户端配置 防火墙——L2TP基础知识_多谢思考的博客-CSDN博客https://blog.csdn.net/m0_49864110/article/details/124882684 LNS配置 配置业务、认证方案 创建地址池并绑定业务方案 ip pool l2tp section 1 172.16.0.100 172.16.0.200 serv...
Call——LNS场景下的L2TP over IPSec实验配置
m0_49864110的博客
05-30 701
防火墙——图解隧道技术数据报文传输解封装过程_多谢思考的博客-CSDN博客https://blog.csdn.net/m0_49864110/article/details/124894840 目录 L2TP配置 IPSec配置 安全策略 L2TP配置 同Call-LNS场景下的L2TP配置(创建用户地址池、VT口、L2TP-Group) 路由配置也相同(只满足PC1访问PC2) IPSec配置 绿色为FW1(LAC)配置 蓝色为FW2(LNS)配置...
转载一篇密码学基本介绍
weixin_30457065的博客
10-10 863
【密码学02】密码系统原理及数学背景 上一篇文章【密码学】四大主题简单介绍一文提到要实现信息传输的保密性、完整性,以及身份鉴别和抗抵赖,使用的技术手段有: 1) 密码技术(加密与解密)。 2)哈希技术,即散列技术。 3)随机数。 4)时间戳。 下面先讨论密码技术。 下图是一个典型的密码系统,展示了...
IPsec隧道模式下安全策略的设置原理
qq_47529104的博客
03-14 835
策略一 首先策略一主要想要达成的流量放行是local-->untrust,以及untrust-->local这两个方向的流量,因为在ike协商的过程中,其协商流量都是防火墙与防火墙之间进行的,所以我们该安全策略的源目区域是untrust,local。同事因为在ike协商的过程中,其使用的是UDP500的报文,所以在放行服务上,我们必须对该服务进行放行,华为默认是没有创建端口为500的服务的,现在问题来了: 为什么要在local和untrust区域之间放行esp的流量呢? 按理来说loc
总部与多分支***解决方案(hub to spoke拓扑结构)juniper防火墙为例
weixin_33890499的博客
05-13 1009
企业案例:总部与多分支×××解决方案(hub to spoke拓扑结构)第1章 hub to spoke应用场景介绍: IPsec ×××可以将公司分散在各地的办公场地安全的连接在一起,用户体验就如同专线连接。各地只需要有互联网接入和支持ipsec ***功能的路由器或者防火墙。 ipsec ***只能够两两互联,如果企业有10个分散的机构,两两互联,每...
身份加密技术在学分制管理系统安全中的应用
本文主要探讨了学分制管理系统在数据安全方面的挑战,如数据未加密存储、传输不安全以及身份验证不严格,并针对这些问题提出了一个基于身份加密(IBE)技术的改进方案。该方案旨在克服传统的公钥基础设施(PKI)技术...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值