1、IKE、TLS均提供了数据加密的方式,对应IPSec-vpn、SSL-vpn,实际就是对相应通信流量做数据的完整性、私密性和不可否认性的处理。
2、IKE 1-4个包,协商提议,产生密钥,为后续5-6,1-3数据包做认证和加密做准备工作。phase2阶段的协商提议、产生密钥则为感兴趣流做认证和加密。 TLS也是遵循了认证和加密的真理,客户端发起hello后,服务器回应自身证书以作身份认证,客户端则通过用户名密码在服务器端认证自身身份。认证身份之后,客户端随机产生对称密钥,利用服务器证书中携带的公钥,加密对称密钥转给服务器,完成对称密钥的安全传输。
*非对称密钥的用途:加密hash值形成数字签名---证书;加密对称密钥实现对称密钥的安全交换。
3、SSL-vpn中RSA算法实现了证书认证、密钥交换两大功能,GET-vpn中,RSA算法实现了密钥的交换。GET-vpn中需配置产生密钥过程,SSL-vpn中没有配置,因为ASA中webvpn模式下,已有默认配置RSA相关,路由器一样,配置webvpn下的getaway后会自动产生RSA密钥及自签名证书。
4、对称加密算法:des、3des、aes、rc4
非对称加密算法:rsa、dh、椭圆曲线算法
5、防火墙 ---IPS---WAF---沙箱技术的演变,实际是攻击方式和需求的演进,IPS关注3、4层协议及上层应用,对他们进行协议分析、RFC对照;WAF只提供对Web应用流量全部层面的监管。IPS只对事中控制;WAF可以对事前、事中、事后均监管,且WAF能对不同的编码方式做强制多重转换还原成攻击明文。
6、IPSec-vpn采用DH算法而非RSA算法,认为DH密钥由两端协商生成,只有一方无法过程密钥,更安全不易伪造。SSL-vpn中,客户端需生成RSA密钥,有客户端单方即可产生。
7、ESP、AH封装,相当于数据的ESP、AH类型的报头,头部中包含认证信息,认证通过,即可后续加密。所有为什么trans-set中没有配置认证方式,其实就是esp指定的(第一阶段指定为pre-share或证书认证)。所以第二阶段sa中看到spi等,都是esp、ah的参数属性。