Easy-ip的应用场景
Easy-ip主要适用于公网接口IP地址是动态获取的, 或者只有设备的公网接口上的公网地址可用的情况, 比如拨号网络。
基于目的IP地址NAT中no-reverse参数的意义
通过指定no-reverse参数可以禁止内部服务器主动访问外部网络。
域间双向NAT与域内双向NAT应用场景的差异
域间双向NAT的应用场景:当配置NAT Server时, 服务器需要配置到公网地址的路由才可正常发送回应报文, 如果要简化配置, 避免配置到公网地址的路由, 则可以对外网用户的源IP地址也进行转换, 转换后的源IP地址与服务器的私网地址在同一网段。
域内NAT是指当内网用户和服务器部署在同一安全区域的情况下, 仍然希望内网用户只能通过访问服务器的公网地址的场景。 在实现域内NAT过程中, 既要将访问内部服务器的报文的目的地址由公网地址转换为私网地址, 又需要将源地址由私网地址转换为公网地址。
NAT Server 双出口
NAT Server在配置双出口场景时, 应该加上zone参数指定不同ISP出口的区域, 保证用户能通过相应的ISP所提供的公网IP访问到内网服务器。
在不同类型NAT应用场场景中,域间包过滤规则配置应注意的地方
在配置NAT Server时防火墙会生产静态Server Map表项, 而根据防火墙转发流程, 防火墙在创建会话时查询的表项依次为server map表, 路由表, 安全策略, NAT策略。因此在配置NAT server时, 相应的安全策略中, 从外网到内网的目的网段应该为内网服务器所在的真实网段地址;而在配置源NAT时, 相应安全策略中指定的源地址应该为内网真实网段的地址而非转换后的地址。
AAA认证方式
AAA认证是Authentication认证、 Authorization 授权、 Accounting 计费。典型的AAA认证方式有本地认证、 远端认证, 远端认证包括RADIUS、 HWTACACS、LDAP等认证技术。
单点登录认证流程
单点登录认证流程有两种方式:插件方式、 非插件方式。
插件方式认证流程如下:
访问者登录AD域, AD服务器向用户返回登录成功消息并下发登录脚本。
访问者PC执行登录脚本, 将用户登录信息发送给AD监控器。AD监控器连接到AD服务器查询登录用户信息, 如果能查询到该用户的信息则转发用户登录信息到NGFW。
NGFW从登录信息中提取用户和IP的对应关系添加到在线用户表。
免插件方式下, 无需在AD服务器上安装程序。 NGFW通过监控访问者登录AD服务器(AD域控制器) 的认证报文获取认证结果, 如果认证成功将用户和IP对应关系添加到在线用户表。 当NGFW部署在访问者和AD服务器之间时, NGFW可以直接获取认证报文;如果认证报文未经过NGFW, 则需要将AD服务器发给访问者的认证结果报文镜像到NGFW。
对称加密与非对称加密的特点
对称:加解密用同一个密钥,加解密处理速度快,能通过硬件实现
非对称:在加密和解密中使用两个不同的密钥,私钥用来保护数据,公钥则由同一系统的人公用,用来检验信息及其发送者的真实性和身份,密钥的安全性高,只能通过软件实现。
加密算法与散列算法的差异
加密:主要是对传输的数据进行加解密,防止数据被非授权用户获取,保证数据传输过程中的机密性。
散列:在通讯过程中,数据发送方通常对传输的数据进行HASH计算得到一个HASH值,并对该HASH值进行加密,并将其与数据一同发送出去,接收方收到数据后对数据进行HASH计算,并比较收到的HASH值,如果相同则表示数据没有损坏或被篡改,用来实现数据传输过程中的完整性。
密钥长度与加密强度
加密强度取决于密钥长度和加密算法的复杂度,密钥长度长在一定程度可以加强加密强度。
隧道技术在VPN技术中的作用
隧道技术是VPN技术中最关键的技术。是指在隧道的两端通过封装以及解封装技术在公网上建立一条数据通道,使用这条通道对数据报文进行传输。
2462
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
