HCIA/HCIP sercurity
文章平均质量分 58
none
Mllllk
只想做自己想做的,学自己想学的
展开
-
OSPF type1LSA
*报文格式报文分析type1LSA是一种描述路由器自身链路情况的LSA,里面主要包含的内容是它的标准头部以及其所携带的内容部分,标准头部是所有的LSA共有的标准格式。其中头部的三个字段“Type,Ls id,Adv rtr”唯一标识了一个LSA,这对于所有的LSA来说都是一样的,其中Ls id对于不同的LSA来说取值的含义都是不同的,对于type1 LSA来说它的取值是发送该LSA的路由器的路由ID,它的类型决定了这是什么类型的LSA,是1类LSA还是2类LSA?然后第三个地址段adv rt原创 2022-05-12 21:10:40 · 1233 阅读 · 1 评论 -
华为防火墙L2TP各个配置作用以及流的走向分析
概述如下图所示,左边的防火墙是NAS,右边的防火墙是LNS,NAS作为pppoe验证的服务器。1、NASNAS作为PPPoe的LCP的协商者以及PPP的认证者,在NAS的g1/0/0接口上绑定有VT接口,因为NAS的VT接口在PPP的协商过程中仅仅做的工作只有PPP中的LCP协商以及PPP的认证,所以我们在在NAS绑定在用户侧的VT接口上只需要配置PPP认证即可,后续的网络层协商是LNS的工作,LNS进行网络层的协商并下发相关的IP地址。同时为了后续的l2tp的协商,NAS上也要配置l2tp原创 2022-05-09 20:44:07 · 1233 阅读 · 0 评论 -
L2TP LAC initial基础配置
LNS ip pool 地址池名 network 1.1.1.0 mask 24 gateway-list 1.1.1.1aaa service-scheme 服务类型名 ip-pool 地址池名inter virtual-template 10 ip address 1.1.1.1 24 ppp authen chap remote address service-scheme 服务类型名l2tp enablel2tp-group 1 al...原创 2022-05-08 22:51:01 · 428 阅读 · 0 评论 -
l2tp client initial 协商报文分析
1、协商的报文整体观察从整体上出发,L2TP的协商被我的红框分为上面几个步骤,首先是客户端向服务端发送RQ隧道协商请求,然后服务端回复,最后客户端再确认,这个阶段完成后会协商出一个隧道ID。然后就是会话协商,也是三次数据包的交互,最后协商出一个会话ID。然后就是PPP协议中的LCP协商,到CHAP的认证,到最后的IPCP网络层地址协商。2、L2TP的协商SCCRQ报文:其实和大部分的协商请求报文类似,无非是协商一些版本一些控制参数,Host Name就是客户端的标识符,这样虽然L原创 2022-05-08 17:42:39 · 1602 阅读 · 1 评论 -
IPsec学习总结
这个阶段IPsec学习了诸多的内容,从一开始的IPsec整个交互过程,到后面的IPsec的具体应用,因为内容颇多,所以在这里记录一下。IPsec是一个IPv4的安全保护措施,IPsec内夹杂着多个安全协议和多种安全算法,可以算作是协议簇,从一开始的IKEv1的主模式+快速模式,野蛮模式+快速模式,到后面的IKEv2的4包交互,IPsec的也是在不断地发展地。IPsec中主要的两个传输模式隧道模式和传输模式,隧道模式主要用于端对端地保护,其实说它是端到端的主要原因就是因为只有加密包的目的地址是自己,那么该原创 2022-05-06 11:03:19 · 815 阅读 · 0 评论 -
Effcient网络隧道 基础配置
服务端服务端其实就是配置策略模板,配置策略模板用于响应客户端的Effcient VPN的快速请求。(83条消息) 华为IPsec预共享密钥配置命令汇总_Mllllk的博客-CSDN博客看上面这个客户端ipsec effcient-vpn xxx mode [ client | network | network-plus ] //创建effcient VPN并进入相关视图在Effcient VPN上能够配置的内容较传统的配置方式来说要少:基本上来说,能配置的内容一般...原创 2022-05-06 08:48:29 · 635 阅读 · 1 评论 -
IPsec野蛮模式出现的原因
原因概述其主要原因是因为在早期IKEv1的相关设备没有实现使用除了IP地址之外的其他标识符去表示一个IPsec隧道的一端,所以这就导致了动态IP地址的IPsec隧道的某一端出现了地址变动之后将无法重新建立IPsec隧道。我们在配置了IPsec的时候,如果没有特定地指定标识符,在报文中发送的identity都是在配置命令中指定的IP地址,这就导致IKEv1的主模式是无法根据它们的标识去找到对应的共享密钥(因为是动态地址,所以地址变换之后先前的配置就无法生效了),但是野蛮模式在早期支持使用除了IP地址的方式原创 2022-05-02 22:06:20 · 2942 阅读 · 1 评论 -
IPsec DPD检测报文
可以看见DPD报文有MID作为序号来标识一对请求与应答,同时它的类型也被设置未Informational,翻译过来就是信息类的报文。报文内部并没有很多的相关信息,有的只有几个简单的标识以及MID用来标识当前的回复状态以及当前的报文是请求报文还是回复报文。...原创 2022-05-01 16:32:05 · 2306 阅读 · 0 评论 -
华为IPsec预共享密钥配置命令汇总
IKE协商对象创建ike proposal xx //创建ike协商 authentication-method xx //设置认证方式 authentication-algorithm xx //设置认证算法,主要使用MAC进行认证 encryption-algorithm xx //设置加密算法 dh xx //设置DH算法 推荐使用DH14 sa duration xx //设置IKE SA的生成周期 prf xxx //设置伪随机函数 sha2-512>sha2-384...原创 2022-05-01 15:55:04 · 3008 阅读 · 1 评论 -
IPsec中传输模式与隧道模式中的点到点和端到端本质区别
拿这个图来说吧,端到端指的是FW或者路由器这类VPN网关之间创建的IPsec隧道,主要用于保护网关背后的局域网而创建出来的隧道,且这类网络场景中主要使用的是隧道模式,其原因不言而喻,主要就是因为FW需要保护内部网络,分支与总部之间如果需要通信,它们的数据报文都需要打上额外的IP首部,这个IP首部是由VPN网关来决定的,新的IP首部的目的地址就是VPN网关对外开放的IP地址,也正是因为新的IP首部的目的地址是VPN网关对外开放的公网接口,VPN网关才能接收这个IPsec的相关报文进行解封解密的操作,然后才..原创 2022-05-01 09:44:30 · 3464 阅读 · 2 评论 -
IPsec ESP与AH首部数据校验与加密范围
AHAH协议仅包括数据的认证,数据完整性校验以及防报文重放攻击,如上图可知,无论是传输模式还是隧道模式,AH的认证范围都是全部的报文,AH的数据校验字段是包含在AH首部当中的,所以这虽然看起来很不错,但是当这类报文在经过NAT之后,IP首部中的地址发生变化,AH首部中的校验字段将与经过NAT后的报文匹配不上,所以这将导致数据报文传送到对端后,对端会直接将其丢弃,这主要原因就是AH的校验字段中记录的校验和与根据现有报文计算出来的校验和不一样。ESP从上图可知,ESP无论是传输还是隧道...原创 2022-05-01 09:29:28 · 3617 阅读 · 0 评论 -
华为STUN类协议需要NAT ALG进行帮助吗
概述NAT ALG的主要工作就是帮助某些协议在NAT之后还可以正常的工作。比如说FTP协议,我们知道每次FTP要进行数据的传输的时候,都会进行模式的选择,可能是主动模式,也可能是被动模式,如果是主动模式的话客户端就会通过控制通道发送port命令,然后在port命令中携带自己开放的TCP端口,随后服务器端向客户端开放的TCP端口进行数据通道的建立。如果是被动模式,那么首先客户端会向服务器端发送pasv命令,然后服务器端就会从控制通道回送报文,里面携带着服务器端开放的用于数据传输的端口,随后由客户端主动地向原创 2022-04-29 20:35:23 · 1121 阅读 · 0 评论 -
华为防火墙STUN server-map
概述一开始我学到这里的时候,我是不太理解的,现在看来其实也很简单,STUN是英文simple traversal of UDP network ,翻译过来就是UDP网络的简单穿越。那么为什么会出现这个东西?其本质原因就是有些协议像TFTP...原创 2022-04-29 22:55:45 · 1441 阅读 · 0 评论 -
华为双向NAT中的数据包源目地址的转换流程
概述如图所示,PC1是untrust区域的主机,server1是trust区域的主机,我在防火墙上配置了双向NAT,一方面使用nat server开放了内网的DNS服务以及ICMP服务,另一方面在防火墙开启了untrust-->trust区域的源NAT,转换地址池与server1同网段。如图所示,配置了nat server后会在防火墙上生成两个server-map表用于对DNS服务以及ICMP服务的开放测试方式在PC1上使用ping命令,ping一个在server1上存..原创 2022-04-29 11:28:38 · 2135 阅读 · 0 评论 -
华为URPF
概述对于传统的网络转发设备来说,主要依靠的就是路由表,只要有路由就转发,如果没有就不转发。可以说对于要转发的报文,网络转发设备是无条件的完全信任,这就导致了IP欺骗的问题,这也是诸多内网IP欺骗的来源,列如在一个局域网的内部,可以在某台主机上面使用流量制造工具进行虚假流量的制造,这些流量的目的可能就是对当前网络进行扰乱。像IP-MAC的绑定也可以防范IP欺骗以及ARP欺骗,IP-MAC绑定技术主要是人为设置的IP-MAC的映射关系,于是在报文转发或者arp记录学习的过程中就会对映射关系进行检查,原创 2022-04-21 08:46:44 · 811 阅读 · 0 评论 -
常见畸形包
1、IP欺骗2、IP分片错误报文fraggle特意制造该分片但是不分片的报文,不该分片但是却设置了相关分片信息的报文3、Teardrop:Teardrop的攻击原理是:攻击者A给受害者B发送一些分片IP报文,并且故意将“13位分片偏移”字段设置成错误的值(既可与上一分片数据重叠,也可错开),B在组合这种含有重叠偏移的伪造分片报文时,会导致系统崩溃4、smurf:制造ICMP的目的IP地址设置为目的主机所在网段的广播,源地址为目的主机的地址,所以这就导致目的主机会收到网段主机的ICMP flood的攻原创 2022-04-20 20:55:54 · 2941 阅读 · 0 评论 -
DNS Reply Flood防御原理
介绍DNS Reply flood攻击和防御原理。DNS Reply Flood是指攻击者在一定条件下将大量伪造的DNS应答包发送给某个DNS服务器或主机,从而消耗服务器的处理性能。FW基于目的地址对DNS回应报文速率进行统计,当DNS回应报文速率超过阈值时,启动源认证。当FW收到DNS Reply报文时,构造携带新的Query ID和源端口的DNS Request探测报文。当FW再次收到对端发出的DNS Reply报文时,检查DNS Reply报文中的Query ID和源端口与DNS Req.原创 2022-04-20 18:27:22 · 1349 阅读 · 0 评论 -
DNS request Flood防范
1、通知客户端使用TCP的方式DNS是可以通过TCP的方式进行DNS查询的,如果DNS服务器在响应报文中回应需要使用TCP的报文进行查询,那么正常的客户端会使用进行TCP方式的DNS查询,如果是虚假客户端则不会响应。以这种方式与TCP的源认证类似,当客户端正常响应了服务器的回应使用TCP方式进行DNS查询,那么防火墙就会将该源IP记录到白名单中,后续的DNS查询将不会对其进行DNS防范2、DNS重定向的方式DNS重定向的方式去判断客户端的真实性,当客户端发送DNS请求的时候,会向客户端发原创 2022-04-20 16:34:35 · 2493 阅读 · 0 评论 -
ICMP Flood防范
ICMP Flood防御原理介绍ICMP flood的攻击和防御原理攻击者短时间内发送大量的ICMP报文到被攻击目标,导致依靠会话转发的网络设备会话耗尽引起网络瘫痪,如果采用超大报文攻击也会导致网络链路拥塞。比如ping命令上面就有某个选项可以调整ICMP报文的发送大小,最大时65500B,在一些普通的主机上都没有对这个大ICMP包进行防范,所以如果没有对ICMP的大小进行限制那么毫无疑问将会产生十分严重的后果。所以一般来说,如果我们在网络上使用ping命令去制造一些大的ICMP报文希望某些网站的服原创 2022-04-20 16:17:35 · 1530 阅读 · 0 评论 -
UDP Flood防范
概述UDP协议是一种无协议的连接,数据报文的传输较TCP迅速并不需要任何TCP握手,所以它的数据报文的传输速度是比较快的,所以如果当攻击者向某台主机的UDP端口发送大字节的UDP数据报文,当UDP流量积累到一定程度后将会呈现以UDP为主体的Flood流攻击。UDP指纹学习UDP协议因为不需要握手,所以直接将数据报文发送给目的主机即可,而攻击者构造的UDP报文从一定程度上来说,可能会呈现出一定的规律,比如可能在构造UDP报文的时候以递增的形式去对源的信息进行修改,同时还有可能对udp报文的实体原创 2022-04-20 15:56:19 · 4802 阅读 · 0 评论 -
SYN FLOOD攻击防范
概述说起SYN FLOOD的攻击主要的攻击原理就是让服务器创建多个半连接由此来使得服务器的资源被消耗殆尽。下面是华为防火墙的三个主要防护手段:1、TCP代理TCP代理的核心思想就是代表服务器去建立TCP的半连接,与防火墙充当SSL的解密中间人类似,它主要是充当一个TCP的中间人的角色,当有TCP连接的时候先和FW进行TCP的三次握手,若客户端可以正常的完成三次握手,那么FW就代替客户端与内部服务器进行TCP的三次握手,其实整个流程下来总共完成了两次的TCP握手,于是后续的关于该TCP会话原创 2022-04-20 15:20:12 · 5339 阅读 · 0 评论 -
DDOS攻击防范防御的大致方法
1、系统启用流量统计由于不同的攻击类型采用的攻击报文不同,因此FW需要开启流量统计功能,对经过自身的各种流量进行统计。以区分攻击流量以及正常流量。另外,开启了流量统计功能便于系统根据统计结果来判断攻击流量是否超过预先设定的阈值。FW使用绑定接口的方式去开启流量的统计功能,并对来自绑定接口的流量按照目的地址的方式进行统计。FW主要用户来沪内网服务器或主机不受外网主机的攻击,因此被绑定的接口应为FW连接外网的接口。2、流量超过设定的阈值FW需要为不同的攻击类型设置不同的防范阈值,当某一类型的流量原创 2022-04-20 14:53:49 · 694 阅读 · 0 评论 -
华为SSL流量安全解析
概述针对早期的安全设备来说,若客户端与服务器之间使用的是https,那么任何数据都已经变为加密数据了,如果没有进行特殊处理,对报文内容进行解密,那么无论是防火墙上的任何相关的安全内容的功能可能都不会去生效,比如反病毒,针对华为的防火墙来说,他的反病毒主要是依靠识别支持的协议,并从流量中提取特征在病毒库中进行特征匹配之后才会进行相关的安全内容的检查,二对于华为防火墙内置的IPS来说,几乎也是大同小异也是靠收集来的巨大的签名特征库去对相关的流量进行审查。但是若数据被SSL层加密了,那么就可以说是无计可施..原创 2022-04-20 13:37:48 · 1404 阅读 · 0 评论 -
华为DNS过滤
上图是URL过滤以及DNS过滤的两个流程图, 其实都差不多,主要是URL的涉及到的东西比较多。比如外部恶意URL引入,白名单嵌入。但是大体上其实都是类似的,先从本地的预置库中读取,然后当有相关流量触发了DNS的检查那么就进行DNS的匹对,如果查不到就查询远端服务器,URL过滤使用的远端服务器和DNS过滤使用的远端服务器是一样的。它们的配置也差不多, 主要区别在下面:在URL中还涉及了URL缓存,URL缓存中有几种区别信誉URL以及恶意URL还有预置库中的URL,但是在配置中并没有体现出来..原创 2022-04-19 19:26:55 · 1483 阅读 · 1 评论 -
华为URL思绪总结
首先是加密流量过滤,这个功能的主要作用就是为了让https的URL也可以经过防火墙的过滤,恶意流量URL检测的勾选代表着当防火墙上预置地URL库中如果没有办法查询到相对应的URL的时候,它就会去远程地查询相对应的服务器,当然远程服务器的相关参数肯定是要进行确定的。URL的来源主要有两个,但是最终我们都是要将URL导入到防火墙的缓存之后才能去使用,首先第一个来源就是本地预先设置的URL库,这个在对象-->URL分类中就可以看见到,然后第二个来源就是URL的远程服务器,我们在系统--->URL分..原创 2022-04-19 09:20:40 · 1531 阅读 · 1 评论 -
华为防火墙反病毒(个人思绪总结)
首先华为的防火墙主要支持一些应用层的传输协议,其次再应用层之上有诸多的应用软件使用这些协议,如果http,FTP等。当判断其是支持的协议之后,会再判断相关的流来源是否在白名单之中,如果在白名单之中,那么就意味着可以逃避防火墙的病毒检查。然后没有匹配上白名单的流量会进行病毒特征库的检查,病毒特征库在系统--->升级中心中可以去进行导入和升级,一般防火墙联网之后会去sec.huawei.com的网站去进行病毒特征库的下载,当进入防火墙的流量匹配上了病毒特征库,那么第一件事会判断该病毒是否是病毒例外,...原创 2022-04-18 18:47:39 · 1815 阅读 · 0 评论 -
nmap的基本用法
nmap IP地址|多个IP地址:探测x个主机上1-10000的端口-vv :显示探测到的原因,以及发现的过程-p 3389-90000 :表示指定端口进行扫描-exclude :除外某个主机IP-excludefile xxx :除外该文件中的IP-sP 列出在线主机-sT:三次握手的探测-sS:只发出SYN的探测-sU:UDP端口扫描-sV :扫描相关服务的版本-O :扫描目的主机的操作系统...原创 2022-04-18 17:26:25 · 1110 阅读 · 0 评论 -
tunnel接口的IPsec可不可以做l2tp over ipsec
我觉得不行,因为首先我们常规下做tunnel方式的ipsec,我们需要创建路由将相关的流量引入tunnel接口做ipsec的隧道封装,封装后源目IP变为隧道两端的IP地址,所以防火墙会根据去往防火墙对端接口的路由将封装后的路由进行转发。如果在tunnel接口方式的IPsec上叠加l2tp,那么路由的设置将会变得矛盾,首先我们需要将去往目的内部网络的流量送入VT接口进行l2tp的隧道封装,一般来说此时的流量的源目IP地址是l2tp隧道双方的地址,也是ipsec隧道双方的地址,然后为了将l2tp的流量进行加密,原创 2022-04-11 12:46:10 · 517 阅读 · 0 评论 -
路由方式的IPsec下的路由条目的设置
1、路由方式传输模式对于传输模式来说,不适合在安全网关之间架设,即便架设了,防火墙对待这类报文也只是将其当做普通的三层数据报文,然后将其进行数据报文的传递。所以只有在主机到主机之间架设了IPsec之间的互相联系,那么才会对这类报文进行正常的加密和解密。如这个拓扑,左边的PC1到达FW3且匹配上了感兴趣流并做了IPsec的传输封装,那么这个传输报文的源目IP是192.168.1.1 192.168.2.1,那么对于右边的防火墙来说,目的地址不是自己,这就使得右边的FW2对待这类报文的时候会直接将其原创 2022-04-11 11:26:37 · 1373 阅读 · 0 评论 -
IPsec ACL隧道模式的路由设置
针对这个拓扑来进行讲解1、去往对端隧道接口的路由这个毋庸置疑,因为隧道双方都要进行隧道相关协商报文的传递,所以去往对端隧道接口的路由是是必须的2、去往对端内部网络的路由对于隧道模式来说,当相关流量根据路由从绑定了ipsec的物理接口上流入,且匹配上了该IPsec的感兴趣流,那么就会引发IPsec的隧道封装,隧道封装也就是根据IPsecSA中记录的隧道双方的IP地址去生成新的IP首部。那么为了将流量引入绑定了IPsec的物理接口,那么我们就必须设置相对应的路由,使得相关的流量可以从物理接口..原创 2022-04-11 11:03:11 · 815 阅读 · 0 评论 -
IPsec传输模式出现的问题
据书中所述,传输模式适合的场景仅仅是在主机与主机之间的IPsec的流量保护。一开始我还不大理解,知道现在就有些眉目了。看上图的这个实验场景,在左右两端的防火墙建立ipsec传输模式隧道,感兴趣流是内网主机的网段,那么会出现什么问题?出现的问题当左边的主机去ping右边的主机的地址的时候,会匹配上左边防火墙上IPsec的感兴趣流,那么这就会导致防火墙为其打上IPsec的加密首部,但是原目地址还是PC1和PC2,而不像隧道模式会根据隧道两端的IP地址为其打上新的IP首部。那么此时左边的防火墙FW1根..原创 2022-04-11 10:52:43 · 829 阅读 · 0 评论 -
NAS上对于pppoe报文的转发态度
NAS上对于pppoe报文的态度是全部交给LNS,它会判断进行当前数据流使用的验证用户是谁,然后根据l2tp的tunnel的创建者判断是否为该验证用户,于是它就会将这报文直接传递给LNS。在这个拓扑中左边是NAS,右边是LNS,在NAS上没有任何的相关转发路由,所以在这种网络场景下NAS的态度就是直接对相关的pppoe报文进行直接转送给LNS进行处理...原创 2022-04-10 08:45:21 · 203 阅读 · 0 评论 -
l2tp over ipsec 报文分析以及传递到防火墙后防火墙的处理
l2tp over ipsec推荐使用的封装模式这是一个l2tp的报文,对于一个l2tp报文来说,它的外壳已经被l2tp隧道所产生的新的IP首部所包围,我们都知道IPsec添加相关加密层的方式,如果是传输模式就直接在旧IP首部后面添加加密首部,如果是隧道模式就重新添加一个新的IP首部以及加密首部。所以在l2tp的这种报文格式加,即便是使用ipsec的传输模式也不会泄露两端的地址信息。所以l2tp over ipsec推荐使用传输模式,避免过多层报文的叠加使得报文数据传输效率低下。处理流程原创 2022-04-10 08:19:42 · 1107 阅读 · 0 评论 -
l2tp over ipsec配置的大概思路
l2tp over ipsec的大概思路先配置l2tp的内容,然后再正常地建立ipsec隧道,将创建后地ipsec policy挂在l2tp隧道的接口上。如果是client发起的,且使用的就是l2tp over ipsec那么从一开始就会在client发出相关请求报文就会包括l2tp隧道建立以及ipsec隧道的建立。如果是NAS发起的,那么pppoe的客户端所有的流量都是先到NAS,然后NAS再将这些流量通过l2tp隧道将流量转发给防火墙,也就是l2tp隧道的对端,那么针对这种网络场景,ipsec的隧道原创 2022-04-09 16:12:09 · 1826 阅读 · 2 评论 -
华为GRE over IPsec的配置思路原理以及安全策略的设置
1、建立IPsec隧道2、创建tunnel接口,且指定封装协议是GRE3、创建静态路由进行tunnel接口的引流,也就是指定哪些流量想要进行gre的封装4、在ipsec策略中指定感兴趣流为进行gre封装后的源目IP,也就是指定只要流量是gre隧道的两端那么就进行ipsec的隧道封装原理流量进入防火墙的时候会先进行路由表查表,而只有流量到达接口上准备发送的时候才会进行ipsec的隧道封装,于是相关流量如果被静态路由引入tunnel接口后,先做的操作其实是gre的封装,然后该流量到达与i原创 2022-04-08 20:00:05 · 2548 阅读 · 0 评论 -
华为IPsec隧道模式能否做到路由协议的动态传播
回答ACL方式是不能,因为有些报文是以组播和广播的形式进行传播,所以IPsec不会对这类报文进行隧道封装。如果在路由协议中的交互中有单播的报文,而且你设置了相关的流是进行隧道封装,那么是会对该报文进行隧道封装,但是像OSPF这个协议在广播型链路上既有组播报文也有单播链路,所以它的隧道封装加密并不彻底。如果将IPsec放在tunnel接口中,我在模拟器上测试也是不行,即便你将tunnel口宣告进ospf中,它也不会发送任何的hello报文出去。...原创 2022-04-08 09:49:39 · 3042 阅读 · 2 评论 -
IPsec的NAT穿越详解
问题场景左边的支部,它的防火墙上联路由器,由于防火墙内部的接口使用的是私网地址,这就导致其无无法在公网上与对端防火墙进行IPsec的隧道建立 。所以必须在AR5上面不是NAT地址转换,由于一般使用的是NAPT,isakmp协议因为是UDP报文,且没有像AH或者ESP那样有对内容进行签名,所以可以正常地协商IKE SA以及IPsec SA,但是AH和ESP就没有那么简单了AH和ESP的认证范围如图所示,其实说是认证范围本质上来说应该是进行HASH运算的范围,如图所示,AH的签...原创 2022-04-07 21:26:35 · 11654 阅读 · 1 评论 -
华为IPsec中总部对多个支部场景下针对多个支部设置不同的于预共享密钥
假设现在有一个总部,两个支部,支部A,支部B,那么如果总部与支部A,总部与支部B之间如果想要使用不同的预共享密钥的话,该如何部署?第一步 创建用户表ike user-table 1user fuck3 id-type fqdn fuck3 pre-shared-key %^%#emIOXr@\7+uemHEL}_|5,"ay7`YOuN2q`wC~r3@;%^%# vpn-instance-traffic publicuser fuck2 id-type fqdn fu...原创 2022-04-07 15:18:47 · 398 阅读 · 0 评论 -
华为IPsec实现支部与支部间借助总部进行隧道中转
如图所示,左边的防火墙是总部,中间的防火墙是支部1,右边的防火墙是支部2,三台防火墙我用cloud进行web界面管理。如果要实现支部1借助总部和支部2之间的隧道进行加密通信,那么该如何实现?1、保证总部与支部1,支部2之间建立好IPsec SA这是一个毋庸置疑的前提,因为只有总部建立好了隧道之后,它们之间才能进行隧道转发2、感兴趣流的设置在这种转发模式下,感兴趣流是十分关键的,因为只有隧道双方的感兴趣流一致后才能进行隧道加密转发。下面是三台防火墙的感兴趣流设置:...原创 2022-04-06 18:40:21 · 517 阅读 · 0 评论 -
IPsec中以ACL引流方式中不设置镜像流会出现的问题
设有AB两端IPsec设备,设A端的设备创建ACL为:X-->Y,B端的设备创建ACL为Y-->X,那么此时设备之间的acl是互为镜像的,则AB端可以正常地进行隧道流地封装。若此时A端的设备创建的ACL为:Z--->P,B端设备创建的ACL为:P-->Z,Z-->M,那么此时因为AB设备两端的Z-->P和P-->Z是互为镜像的,所以当有此类流量的时候将会进行IPsec隧道转发,而当B设备遇到Z-->M的流量的时候将会导致虽然通过了路由表查找,会话建立,但是原创 2022-04-06 18:20:02 · 400 阅读 · 0 评论