安全设备
文章平均质量分 80
防火墙、VPN配置排错
期待未来的男孩
加油!
展开
-
ASA-HA-FO-A/S
硬件需求:相同硬件型号、相同数量和类型的接口、相同类型SSM模块、相同内存软件需求:相同的操作模式、相同的主版本和子版本授权需求:不必一模一样的授权,只需要FO授权即可仅仅只提供硬件冗余当切换发生时,所有已经建立的状态话跟踪的连接都将被丢弃用户必须重新建立连接护展了无状态化FO的功能提供了硬件和状态话表项的冗余故障切换期间,连接依旧保持用户没必要重新建立连接在两个设备之间需要一个状态化链路(是LAN-FO链路之外的另外一条链路)!!!!原创 2022-09-12 21:37:11 · 220 阅读 · 0 评论 -
SoftEther 介绍
特点免费和开源软件。轻松建立远程访问和站点到站点 VPN。SSL-VPN 在 HTTPS 上通过隧道通过 NAT 和防火墙。革命性的VPN over ICMP和VPN over DNS功能。抵御高度受限的防火墙。通过 VPN 的以太网桥接 (L2) 和 IP 路由 (L3)。嵌入式动态 DNS 和 NAT 遍历,因此不需要静态或固定 IP 地址。AES 256 位和 R...原创 2022-05-27 10:54:37 · 8146 阅读 · 0 评论 -
什么是CSR以及CSR的作用和生成
摘要说起SSL证书的时候,势必会提到CSR这么一个词汇,本文就围绕CSR是什么,什么样,如何生成等内容做个详细的说明。关键字:CSR,SSL证书,SSLtoolCSR是什么CSR是Certificate Signing Request的英文缩写,即证书签名请求文件,是证书申请者在申请数字证书时由CSP(加密服务提供者)在生成私钥的同时也生成证书请求文件,证书申请者只要把CSR文件提交给证书颁发机构后,证书颁发机构使用其根证书私钥签名就生成了证书公钥文件,也就是颁发给用户的证书。CSR..转载 2021-12-08 15:38:31 · 3303 阅读 · 0 评论 -
softether 穿越防火墙原理
SoftEther VPN的主要功能之一是防火墙,代理服务器和NAT(网络地址转换器)的透明度。NAT 有时在宽带路由器产品上实现。使用HTTPS协议建立VPN隧道内置动态 DNSSoftEther VPN具有内置的动态DNS(DDNS)功能,以缓解上述问题。动态DNS功能默认开启。DDNS功能在DNS记录“.softether.net”上注册VPN服务器的IP地址,这是SoftEth...原创 2022-05-27 09:05:04 · 2125 阅读 · 0 评论 -
Cisco AAA 基础
1. 配置本地认证登录管理:1) R1通过VTY和Console登录R2,验证本地用户名密码认证与授权;username admin privilege 15 password 0 Cisc0123line con 0 logging synchronous login local2) 简述Console、AUX和VTY默认策略。console:默认不需认证即可登录aux:默认login 必须认证...原创 2021-11-17 11:18:25 · 285 阅读 · 0 评论 -
外部证书服务器充当IKEv2认证方式
hostname Server!enable password cisco!interface Loopback0 ip address 10.1.1.1 255.255.255.0!interface GigabitEthernet1 ip address 61.128.1.1 255.255.255.0 no shu!ip route 0.0.0.0 0.0.0.0 61...原创 2022-01-19 10:50:28 · 3577 阅读 · 0 评论 -
DM P3 static 注意事项
拓扑参考P2配置HUBcrypto isakmp policy 10 authentication pre-share crypto isakmp key cisco address 0.0.0.0 ! crypto ipsec transform-set cisco esp-des esp-md5-hmac mode tunnel ! crypto ipsec profile ipsecprof set transform-set cisco ! interface Tun原创 2021-10-27 10:46:23 · 82 阅读 · 0 评论 -
Spoke to Spoke Flex
FlexVPN cisco对ikev2叫法 私有名称公有协议Hubhostname Hub!enable password cisco!aaa new-model!!aaa authentication login noacs line noneaaa authorization network Qytang-Author-Network-List local !clock ...原创 2022-01-19 09:28:02 · 392 阅读 · 0 评论 -
Cisco Umbrella
Cisco Umbrella应用测序管理、目标列表、文件检测、智能代理、身份验证外部认证数据库连接器服务器为了支持与雨伞AD (Umbrella Active Directory)集成,必须在以下环境下配置AD域的成员服务器:Windows Server 2012, 2012 R2, 2016, 2019或2022,最新的服务包和100MB空闲硬盘空间。SP2之前的服务包不受支持。.NET Framework 4.5或以上版本如果本地防病毒应用程序正在运行,则允许列出OpenDNSAudit原创 2022-04-24 13:22:52 · 1554 阅读 · 0 评论 -
启明星辰-SDP
1、产品简介零信任安全理念默认情况下不应该信任网络内部和外部的任何人/设备/系统,需要基于认证和授权重构访问控制的信任基础。零信任对访问控制进行了范式上的颠覆,引导安全体系架构从网络中心化走向身份中心化,其本质诉求是以身份为中心进行访问控制。SDP-软件定义边界系统作为零信任安全接入的最佳实践之一,其边界隐身机制、安全消减网络攻击的架构、易于网络扩展的特性、极易落地实施的优点得到了大多数致力于零信任体系构建的用户偏好。软件定义边界系统,最初由CSA提出,作为零信任的最佳实践推广使用。典型部件包含SDP客原创 2022-04-24 13:19:21 · 2379 阅读 · 0 评论 -
天融信-SDP
零信任的核心思想是“从不信任,持续验证”,通过软件来定义企业的安全边界,“数据在哪里,安全就在哪里”。天融信SDP方案 基于软件定义边界的理念, 方案可 覆盖终端安全、用户身份管理、网络安全、应用安全以及数据安全,帮助客户 解决 传统网络安全架构上的多个核心“痛点”。1、以身份治理,建立新“边界”企业远程办公、应用上云、协作办公的全新业务模式,导致网络安全边界逐渐模糊,基于物理边界的安全建设逐渐失效,导致企业内部攻击、外部威胁等安全问题不断增加。天融信SDP方案基于以身份为信任机制的安全方案,通过身份原创 2022-04-24 13:18:21 · 5474 阅读 · 0 评论 -
ZTNA (Zero Trust Network Access)
ZTNA 文档 (sophos.com)解决方案概述架构设计单臂代理部署使用 WAN(外部接口)来处理通过防火墙的传入和传出流量。它可以最大限度地减少对基础结构的更改。双臂代理部署同时使用 WAN 和 LAN(外部和内部接口)。这需要更改基础结构,但提供最佳的安全性和吞吐量。前置条件公共 DNS 服务器您需要一个可以解析以下记录的公共(外部)DNS 服务器:指向 ZTNA 网关的“A 记录”。指向 ZTNA 网关的域名 (FQDN) 的应用程序的“CNAME 记录”。如原创 2022-04-22 16:15:05 · 3680 阅读 · 0 评论 -
WSA 高级应用
1.Block源自于10.1.1.2使用IE浏览器访问淘宝的HTTP/HTTPS流量,其他浏览器访问淘宝的HTTP/HTTPS流量需要使用AD账户进行认证:测试AD用户非AD 用户2.因公司需求,请针对AD用户组WSAGROUP2的用户进行如下限制:1) 阻止FTP和FTP over HTTP,阻止IE;2) 不允许用户在周一至周五早9:00-17:30上班时间访问京东,对访问百度进行Warn行为警告,对访问Cisco官网的流量重定向到w.原创 2022-01-20 21:14:06 · 4469 阅读 · 0 评论 -
Cisco WSA配置
初始化配置登录 默认账号admin/ironport网络配置配置透明代理ASA(config)# sh run access-list access-list out extended permit icmp any any access-list WSA-REDIRECT extended permit ip 10.1.1.0 255.255.255.0 any access-list WSA-SERVER extended perm..原创 2022-01-20 13:32:35 · 733 阅读 · 0 评论 -
WIN10充当Client的IKEv2认证方式
serverip local pool Win7Pool 123.1.1.100 123.1.1.200 crypto ikev2 authorization policy Lxf-IKEv2-Author-Win pool Win7Pool ! crypto pki certificate map Lxf-CertMap-Win 10 subject-name co cn = TCPIPWIN10 ! crypto ikev2 proposal Lxf-IKEv2-Proposal-Wi原创 2022-01-19 12:38:45 · 1353 阅读 · 0 评论 -
Spoke to Spoke FlexVirtualPN
Hubhostname Hub!enable password cisco!aaa new-model!!aaa authentication login noacs line noneaaa authorization network Qytang-Author-Network-List local !clock timezone GMT 8 0!ip domain name qytang.com!crypto pki server CA database leve..原创 2022-01-19 09:21:52 · 359 阅读 · 0 评论 -
在VMware vSphere / ESXi上部署pfsense
官方文档:Interfaces |Documentation添加两个虚拟交换机,一个用于 WAN,另一个用于 LAN。对于上行链路,选择两个单独的可用端口。创建端口组 创建虚拟交换机后,单击端口组选项卡。在端口组选项卡上单击“添加端口组”。添加 WAN 和 LAN 端口组,每个组分别使用 WAN 和 LAN 交换机。创建pfsense虚机安装操作系统在下一个屏幕上,按“I”调用安装程序模式。pfSense 软件安装程序会自动启动。选择“接受这些设置”.原创 2021-12-28 16:22:52 · 1352 阅读 · 0 评论 -
Cisco AAA 基础
1.配置本地认证登录管理:1) R1通过VTY和Console登录R2,验证本地用户名密码认证与授权;username admin privilege 15 password 0 Cisc0123line con 0logging synchronouslogin local2) 简述Console、AUX和VTY默认策略。console:默认不需认证即可登录 aux:默认login 必须认证才能登录 vty:默认login 必须认证才能登录2.配置Cisc...原创 2021-11-17 11:19:20 · 1280 阅读 · 0 评论 -
Cisco SSL 虚拟私有网络
SSL VPN(Secure Sockets Layer VPN)是以HTTPS为基础的安全接入的VPN技术,它利用SSL协议提供的数据加密、身份验证和消息完整性验证机制,为用户远程访问公司内部网络提供安全保障。SSL VPN网关部署在企业网等内部网络的边缘,与安装在远程终端上的浏览器以及可以从浏览器自动下载的客户端软件配合,通过SSL协议保护在Internet上传输的业务数据,并代理用户对内网服务器的访问。SSL 建立的两个阶段第一阶段:协商加密算法、认证服务器、建立用于加密和MAC(Messa原创 2021-11-15 09:32:39 · 1873 阅读 · 0 评论 -
Cisco GETVPN
目录GET VPN简介GETVPN的优势GETVPN技术分为以下几个核心组件:实验验证GET VPN简介CISCO的组加密传输VPN提出了一个名叫信任组的概念,不再使用点到点隧道来承载路由信息。而是由所有的组成员(GMs)共享一个公用SA,在这里可以理解为一个组SA。这个特性将允许组内的成员解密其他成员发送过来的加密流量。同一个组的成员间不再需要协商点到点的IPSEC隧道。IETF标准化文档RFC 3547中的组解释域Group Domain of Interpretatio原创 2021-11-08 17:17:51 · 1285 阅读 · 0 评论 -
Cisco SVTI IKEv1
1)在Center和Branch1之间配置SVTI,确保1.1.1.1与3.3.3.3之间互通;2)在Center和Branch2之间配置SVTI,确保2002:3:3::3与2002:2:2::2之间互通,并作OSPFv3区域认证,Area为1,密码为Cisc0123。设备配置:##此处展示各设备的配置,可以粘贴文字,也可以粘贴截图##任务1Branch!crypto isakmp policy 10authentication pre-sharecryp...原创 2021-10-20 13:17:44 · 221 阅读 · 0 评论 -
Sophos HA A-S快速模式
前置条件设备和固件HA群集中的设备(主设备和辅助设备)必须具有相同的型号和版本。例如,XG 210 rev3只能连接到另一个XG 210 rev3。XG230甚至SG 210都不能使用。所有设备必须具有相同数量的端口或接口。这包括何时安装任何FleXi端口扩展模块。这些设备必须安装相同的固件版本。这包括维护版本和修补程序。在A-A模式下,两个设备都需要许可证。在A-S模式下,您只需要主设备的许可证。辅助设备不需要许可证。如果使用软件或虚拟设备,则只需购买一个基本许可证。注册序原创 2021-10-20 09:28:37 · 2136 阅读 · 0 评论 -
Sophos 固件升级
目 录目录... 1一、 在线升级固件版本... 1二、 使用U盘将版本刷一致... 11、下载镜像方法... 12、系统启动盘制作方法... 23、重装sophos. 5三、HA配置... 7在线升级固件版本设备型号和固件版本需要完全一致,如果固件版本不一致,需要在线进行升级 如下图使用U盘将版本刷一致如果在线无法将两台SOPHOS固件版本升级一致,需要在官网下载镜像包 然后用U盘做系统启动盘 将SOPHOS通过COM口(...原创 2021-10-20 08:40:21 · 439 阅读 · 0 评论 -
Dynamic-IPSec
总部crypto isakmp policy 10 authentication pre-share crypto isakmp key cisco address 0.0.0.0 #对端用8个0替代 ! crypto ipsec transform-set cisco esp-des esp-md5-hmac mode tunnel ! crypto dynamic-map dymap 10 set transform-set cisco ! crypto map cisco ..原创 2021-10-14 14:25:05 · 1814 阅读 · 0 评论 -
IPSec HA
NAT!interface FastEthernet0/0ip nat inside!interface FastEthernet1/0ip nat outside!access-list 100 permit ip host 61.128.1.1 anyip nat inside source list 100 interface FastEthernet1/0 overload!IPSe -HABranchaccess-list 100 per...原创 2021-10-14 14:21:16 · 231 阅读 · 0 评论 -
Cisco ESA 基础配置
实验拓扑配置带外管理接口FTP上传授权文件并加载授权初始化ESA,配置IP地址,网关,时间等,并加载授权,将密码修改为Cisc0123。 ###实验截图###配置Public-DNS服务器,Private-DNS服务器,Public-Mail服务器,Private-Mail服务器,并发送测试邮件,查看ESA Outgoing Mail Summary匹配信息。配置Content Filter(内容过滤),过滤正文包含关键原创 2021-09-03 09:11:40 · 624 阅读 · 0 评论 -
ipsec ikev2 中转
changxing站点与chengdu和aliyun分别建立vpn隧道使得vpc 和vpc6通信changxing站点配置Router#sh runBuilding configuration...Current configuration : 2715 bytes!! Last configuration change at 14:41:58 EET Mon Aug 2 2021!version 15.4service timestamps debug da..原创 2021-08-02 20:58:18 · 313 阅读 · 0 评论 -
华为 USG 双机热备
应用场景防火墙一般用作内网到外网的出口,是业务关键路径上的设备。为了防止因一台设备故障而导致的业务终端,要求防火墙必须提供更高的可靠性,此时需要使用防火墙双机热备组网。双机热备需要两台硬件和软件配置均相同的FW。两台FW之间通过一条独立的链路连接,这条链路通常被称为“心跳线”。两台Fw通过心跳线了解对端的健康状况,向对端备份配置个会话表项。当其中一台设备出现故障时,业务流量能平滑的切换到另外一台设备,使业务不中断。双机热备架构VRRP,负责单个接口的故障检测和流量引导。每个VRRP备份组原创 2021-06-06 11:23:16 · 1258 阅读 · 2 评论 -
telnet ssh 比较
协议用途Telnet和SSH用于远程访问服务器的的两大常用协议。利用它们,我们可以管理并监控生产服务器和企业服务器,更新服务器内核,安装最新的软件包和补丁,能够远程登录服务器,开展软件开发、测试运行、更改代码和重新部署。虽然前者比较古老,但是后者用了不太长的时间就占据了主流。wireshark抓包SSHSSH取名自安全外壳(Secure Shell),它现在是通过互联网访问网络设备和服务器的唯一的...原创 2020-08-04 08:51:10 · 1296 阅读 · 0 评论 -
IPSec 穿越问题
一、穿越防火墙Site2#ping 1.1.1.1 source 2.2.2.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:Packet sent with a source address of 2.2.2.2 .....Success rate is ...原创 2020-09-13 23:30:06 · 445 阅读 · 0 评论 -
IPSec IKEV1
理论:安全联盟SA:安全联盟是要建立IPSec 隧道的通信双方对隧道参数的约定,包括隧道两端的IP地址、隧道采用的验证方式、验证算法、验证密钥、加密算法、共享密钥以及生命周期等一系列参数。SA由三元组来唯一标识,这个三元组包括安全参数索引SPI(Security Parameter Index)、目的IP地址和使用的安全协议号(AH或ESP)。其中,SPI是为唯一标识SA而生成的一个32位比特的数...原创 2020-08-27 11:10:00 · 669 阅读 · 0 评论 -
IPSec IKEV2
理论IKEv2介绍:定义在RFC4306 ,更新与 RFC 5996.不兼容IKEv1,IKEv1不支持认证,IKEv2支持认证,EAP。支持NAT穿越。IKEv2支持私密性、完整性、源认证。工作在UDP 的 500 /4500端口。NAT-T用的是UDP4500端口。 Cisco Flex VPN 约等于IKEV2。DH算法:离散对数问题,在数学上无解,保证信息交换的安全性。IKEV1第一阶段(...原创 2020-08-04 11:33:10 · 1267 阅读 · 0 评论 -
Juniper SSG 防火墙
win10无法登陆SSG进行WEB UI管理故障描述:尝试登录SSG设备时,无法无法刷出页面,但是设备时可以ping通的(内部接口),可以Telnet上设备,就是无法通过网页登录。深入测试:win7的系统可以登录,win10的不行,浏览器报协议版本或加密算法不支持。故障分析:这种情况下,可能是由于防火墙的加密算法的问题。 1、con到设备:SSG320M-> get ssh ...原创 2020-08-25 10:17:18 · 1076 阅读 · 0 评论 -
ASA和pfsense ipsec ikev1对接的调试
背景:ASA和pfsense在公网用ipsec ikev1 组网 。ASA 模拟客户 、pfsense是我们这段在测试环境测试的时候一切正常,但是将ASA配置迁移到客户的时候,两者不能协商成功。且第一阶段都不能协商成功。log:Jun 10 10:09:30 [IKEv1 DEBUG]Group = 公网IP, IP = 公网IP, IKE MM Initiator FSM error histo...原创 2020-06-18 13:04:52 · 253 阅读 · 0 评论