VPN防火墙企业管理知识培训资料.pptx
- 文档编号:30847836
- 上传时间:2024-02-07
- 格式:PPTX
- 页数:87
- 大小:2.11MB
VPN防火墙企业管理知识培训资料.pptx
《VPN防火墙企业管理知识培训资料.pptx》由会员分享,可在线阅读,更多相关《VPN防火墙企业管理知识培训资料.pptx(87页珍藏版)》请在冰豆网上搜索。
系列防火墙技术资料部分2004年11月内容介绍内容介绍基本概念基本概念二层隧道协议二层隧道协议L2三层隧道协议三层隧道协议+L2/+配置配置隧道隧道典型典型应用实例应用实例概述概述什么是什么是什么是什么是?
()()()()是通过是通过是通过是通过公共网络在局域网络之间或单点之间安全地传递数据的技公共网络在局域网络之间或单点之间安全地传递数据的技公共网络在局域网络之间或单点之间安全地传递数据的技公共网络在局域网络之间或单点之间安全地传递数据的技术术术术总部总部网络网络远程局域远程局域网络网络总部总部总部总部分支机构分支机构分支机构分支机构单个单个用户用户InternetInternet可以省去专线租用费用或者长距离电话费用,大大降低成本可以省去专线租用费用或者长距离电话费用,大大降低成本可以省去专线租用费用或者长距离电话费用,大大降低成本可以省去专线租用费用或者长距离电话费用,大大降低成本可以充分利用可以充分利用可以充分利用可以充分利用公网资源,快速地建立起公司的广域连接公网资源,快速地建立起公司的广域连接公网资源,快速地建立起公司的广域连接公网资源,快速地建立起公司的广域连接类型类型按照构建方式和功能的不同可将分为以下按照构建方式和功能的不同可将分为以下33类类基于加密和不加密的类型基于加密和不加密的类型1:
1:
加密加密2:
2:
非加密非加密基于模型分层的类型基于模型分层的类型1:
1:
数据链路层数据链路层2:
2:
网络层网络层3:
3:
应用层应用层基于商业功能性的类型基于商业功能性的类型1:
1:
远程接入远程接入()()2:
2:
企业内联网企业内联网()3:
3:
企业外联网企业外联网()远程接入远程接入()(内联网)(内联网)(外联网)(外联网)应用范围应用范围的基本目标的基本目标的基本目标的基本目标无缝连接和保证中网络交互的安全性无缝连接和保证中网络交互的安全性无缝连接和保证中网络交互的安全性无缝连接和保证中网络交互的安全性为远程、移动办公的用户提供对公司网络资源的访为远程、移动办公的用户提供对公司网络资源的访为远程、移动办公的用户提供对公司网络资源的访为远程、移动办公的用户提供对公司网络资源的访问问问问使远程办公室与公司内联网安全地进行连接使远程办公室与公司内联网安全地进行连接使远程办公室与公司内联网安全地进行连接使远程办公室与公司内联网安全地进行连接控制商业伙伴、客户和提供商对公司网络资源的访控制商业伙伴、客户和提供商对公司网络资源的访控制商业伙伴、客户和提供商对公司网络资源的访控制商业伙伴、客户和提供商对公司网络资源的访问问问问的优势的优势之间的广域连接之间的广域连接(专线方式专线方式对比对比方式方式)北京北京北京北京深圳深圳深圳深圳沈阳沈阳沈阳沈阳上海上海上海上海传统的专线传统的专线传统的专线传统的专线方式方式方式方式北京北京北京北京深圳深圳深圳深圳沈阳沈阳沈阳沈阳上海上海上海上海单个用户接入单个用户接入(直接拨入方式对比直接拨入方式对比方式方式)用户专用用户专用用户专用用户专用公用电话公用电话公用电话公用电话网络网络网络网络本地本地本地本地本地本地本地本地长途长途长途长途节省资金节省资金节省资金节省资金(降低降低降低降低30-70%30-70%30-70%30-70%的网络费用的网络费用的网络费用的网络费用)免去长途费用免去长途费用免去长途费用免去长途费用降低建立私有专网的费用降低建立私有专网的费用降低建立私有专网的费用降低建立私有专网的费用用户不必设立自己的用户不必设立自己的用户不必设立自己的用户不必设立自己的对于用户来说,可以以任何技术任何地点访问对于用户来说,可以以任何技术任何地点访问对于用户来说,可以以任何技术任何地点访问对于用户来说,可以以任何技术任何地点访问的容量完全可以随着需求的增加而增长的容量完全可以随着需求的增加而增长的容量完全可以随着需求的增加而增长的容量完全可以随着需求的增加而增长提供安全性提供安全性提供安全性提供安全性强大的用户认证机制强大的用户认证机制强大的用户认证机制强大的用户认证机制数据的私有性以及完整性得以保障数据的私有性以及完整性得以保障数据的私有性以及完整性得以保障数据的私有性以及完整性得以保障不必改变现有的应用程序、网络架构以及用户计算环境不必改变现有的应用程序、网络架构以及用户计算环境不必改变现有的应用程序、网络架构以及用户计算环境不必改变现有的应用程序、网络架构以及用户计算环境网络现有的网络现有的网络现有的网络现有的不用作任何修改不用作任何修改不用作任何修改不用作任何修改现有的网络应用完全可以正常运行现有的网络应用完全可以正常运行现有的网络应用完全可以正常运行现有的网络应用完全可以正常运行对于最终用户来说完全感觉不到任何变化对于最终用户来说完全感觉不到任何变化对于最终用户来说完全感觉不到任何变化对于最终用户来说完全感觉不到任何变化的基本概念:
隧道,加密以及认证的基本概念:
隧道,加密以及认证的基本概念:
隧道,加密以及认证的基本概念:
隧道,加密以及认证隧道隧道隧道是在公网上传递私有数据的一种隧道是在公网上传递私有数据的一种方式方式a“”安全隧道是指在公网上几方之间进行安全隧道是指在公网上几方之间进行数据传输中,保证数据安全及完整的数据传输中,保证数据安全及完整的技术技术加密加密保证数据传输过程中的安全保证数据传输过程中的安全认证认证保证保证通讯方的身份确认及合法通讯方的身份确认及合法Internet的完整解决方案特性的完整解决方案特性符合特性符合特性防火墙防火墙隧道隧道机密性机密性远程管理远程管理第二层隧道协议第二层隧道协议L2L2L2L2概述概述是一种二层隧道协议,它扩展了的模型,通过是一种二层隧道协议,它扩展了的模型,通过二层隧道可以把会话的逻辑终点延伸到目的二层隧道可以把会话的逻辑终点延伸到目的访问网关。
这样,企业的本地局域网就可以访问网关。
这样,企业的本地局域网就可以为远程拨号用户分配一个企业内部网的地址,为远程拨号用户分配一个企业内部网的地址,从逻辑上看,远程出差员工的手提电脑已经从逻辑上看,远程出差员工的手提电脑已经通过一块网卡直接连接到企业网络,于是用通过一块网卡直接连接到企业网络,于是用户数据包可以通过防火墙到达企业内部网,户数据包可以通过防火墙到达企业内部网,该员工可以访问任何其有权使用的企业内部该员工可以访问任何其有权使用的企业内部共享资源。
此外,企业本地局域网也可以对共享资源。
此外,企业本地局域网也可以对远程拨号用户进行(认证、授权和计费)管远程拨号用户进行(认证、授权和计费)管理和会话监控。
理和会话监控。
约定术语解释:
约定术语解释:
2访问集中器,进行处理以及访问集中器,进行处理以及L2处理,它将已成帧的分组处理,它将已成帧的分组进行适当的处理并封装入进行适当的处理并封装入L2之中,发送给。
它是入站呼叫之中,发送给。
它是入站呼叫的发起者、出站呼叫的接收者,是的发起者、出站呼叫的接收者,是L2协议的客户协议的客户/服务器服务器模式的客户端模式的客户端2的服务器端,在处,能进行的服务器端,在处,能进行L2封装或解封,并能进行处封装或解封,并能进行处理。
又称理。
又称L2网络服务器网络服务器:
挑战握手鉴别协议,是一种通过协议交换鉴别信息的鉴别挑战握手鉴别协议,是一种通过协议交换鉴别信息的鉴别协议。
该鉴别协议密钥不被明文传输协议。
该鉴别协议密钥不被明文传输:
口令鉴别协议。
通过传输明文的用户名和口令达到证明身口令鉴别协议。
通过传输明文的用户名和口令达到证明身份的目的。
份的目的。
会话:
当远程拨号用户和之间发起一次端到端的连接时,会话:
当远程拨号用户和之间发起一次端到端的连接时,就形成了一条会话。
就形成了一条会话。
隧道:
一对和定义了一条或多条隧道。
隧道:
一对和定义了一条或多条隧道。
L2L2隧道类型隧道类型q强制隧道模式q自愿隧道模式L2L2强制隧道模式强制隧道模式L2L2自愿隧道模式自愿隧道模式L2L2的功能细节的功能细节L2L2隧道的建立通过两个阶段协商隧道的建立通过两个阶段协商阶段阶段11:
在和之间建立一个控制会话:
在和之间建立一个控制会话阶段阶段22:
建立实际传输数据的:
建立实际传输数据的L2L2隧道(也隧道(也可以称为建立一个会话)可以称为建立一个会话)提示提示:
单个隧道可以承载多个会话,在同一和单个隧道可以承载多个会话,在同一和之间也可以拥有多个隧道之间也可以拥有多个隧道建立控制连接建立控制连接建立会话建立会话检测到的呼叫检测到的呼叫L2配置实例研究配置实例研究实现防火墙功能,并给拨号用户提供远程接入实现防火墙功能,并给拨号用户提供远程接入防火墙的解决方案。
因此我们实现的是(防火墙的解决方案。
因此我们实现的是(L2L2网网络服务器)络服务器)自愿隧道建立步骤自愿隧道建立步骤1.1.客户端发起到的客户端发起到的L2L2隧道连接请求隧道连接请求2.2.对客户端进行认证对客户端进行认证3.3.认证通过后,客户端与之间建立认证通过后,客户端与之间建立L2L2隧道连接隧道连接4.4.客户端再次发起到的连接请求客户端再次发起到的连接请求5.5.利用认证来确认用户,然后分配私网地址利用认证来确认用户,然后分配私网地址6.6.与客户端之间的会话建立与客户端之间的会话建立自愿隧道研究实例自愿隧道研究实例0:
192.168.5.1/161:
11.1.2.2/242:
2.2.2.1/241:
14.1.2.2/240:
13.1.1.1/242000L2客户端客户端2.2.2.253/2450313.1.1.2/24隧道隧道自愿隧道的配置自愿隧道的配置2.2.2.25318132.2.2.25318122.2.2.117.1.1.1/1601800180060202.99.8.110.1.0.410.1.0.4l22.2.2.1606l217.1.1.1/1617.1.1.117.1.1.1017.1.1.100600017.1.1.2100的相关调试命令的相关调试命令l2l2l2L2报文封装格式报文封装格式L2L2强制隧道模式流程强制隧道模式流程三层隧道协议三层隧道协议密码学简介密码学简介对称密码算法对称密码算法加密密钥能够从解密密钥中推算出来,反过来也成立加密密钥能够从解密密钥中推算出来,反过来也成立在大多数对称密码算法中,加在大多数对称密码算法中,加/解密密钥是相同的解密密钥是相同的加密加密解密解密密文明文原始明文密钥密钥对称密码算法的特点1:
同一个密钥既用来加密也用于解密2:
对称加密速度快3:
对称加密得到的密文是紧凑的4:
因为接受者需要对称密钥,所以对称加密容易受到中途拦截窃听的攻击典型的对称密码算法1:
2:
3非对称密码算法非对称密码算法用作加密的密钥不同于作解密的密钥,而且解密的密用作加密的密钥不同于作解密的密钥,而且解密的密钥不能根据加密的密钥计算出来钥不能根据加密的密钥计算出来加密加密解密解密密文明文原始明文加密密钥解密密钥非对称密码算法的特点非对称密码算法的特点1:
使用非对称密码技术时,用一个密钥:
使用非对称密码技术时,用一个密钥(公钥或私钥公钥或私钥)加密的数据加密的数据只能用另一个密钥只能用另一个密钥(私钥或公钥私钥或公钥)来解密来解密2:
不必发送密钥给接收者,所以非对称加密不必担不必发送密钥给接收者,所以非对称加密不必担心密钥被中途心密钥被中途拦截的问题拦截的问题3:
非对称加密速度较慢非对称加密速度较慢4:
非对称加密会导致得到的密文变长非对称加密会导致得到的密文变长典型的非对称密码算法典型的非对称密码算法散列函数:
接受一大块的数据并将其压缩成最初数据的一个摘要()散列函数用于认证典型的散列函数1:
52:
1概述概述在层为对等体间(,需要对数据流进行处理的路由器或主机)提供了数据机密性、数据完整性和数据来源鉴别保护,可被用来在对等体间保护一种或多种数据流。
有两个基本目标:
1)保护数据包安全2)为抵御网络攻击提供防护措施提示:
并不是一个协议,而是一整套安全体系结构。
的类型的类型试图解决的两个主要设计问题试图解决的两个主要设计问题1:
为把两个专用网络组合成一个虚拟网络的无缝连:
为把两个专用网络组合成一个虚拟网络的无缝连接接2:
将虚拟网络扩展成允许远程访问用户(:
将虚拟网络扩展成允许远程访问用户()成为可)成为可信网络的一部分信网络的一部分基于两个设计的基础上,基于两个设计的基础上,可以被分为两类可以被分为两类1:
实现(也被称为实现(也被称为)2:
远程访问客户端实现远程访问客户端实现的组成的组成结合了三个主要的协议从而组成了一个和谐的安全框架结合了三个主要的协议从而组成了一个和谐的安全框架密钥交换密钥交换()()协议协议提供协商安全参数和创建认证密钥的框架提供协商安全参数和创建认证密钥的框架(封装安全载荷封装安全载荷)提供加密、认证和保护数据的框架提供加密、认证和保护数据的框架(鉴别头鉴别头)提供认证和保护数据的框架提供认证和保护数据的框架的两种工作模式的两种工作模式隧道模式()隧道模式()可以对头和数据进行加密认证,即协议使可以对头和数据进行加密认证,即协议使包通过隧道传输包通过隧道传输传输模式传输模式()()可以对数据进行加密认证,即协议为高层可以对数据进行加密认证,即协议为高层提供基本的保护提供基本的保护提示提示:
传输模式应用于端到端的会话,隧道模式被应传输模式应用于端到端的会话,隧道模式被应用于任何其他情况下用于任何其他情况下流量10.6.1.2/3210.8.1.2/32使用两个路由器之间的隧道模式流量10.1.1.1/3210.1.2.1/32使用两个路由器之间的传输模式Internet10.1.1.1/3210.1.2.1/3210.6.1.2/3210.8.1.2/32传输模式传输隧道模式模式和和简介简介(头部认证)(头部认证)为对等体间传送的数据报提供认证为对等体间传送的数据报提供认证(鉴别鉴别)、完整性保护、完整性保护和和抗重播服务抗重播服务这是通过对数据报应用带密钥的散列函数创建消息摘这是通过对数据报应用带密钥的散列函数创建消息摘要要而实现的而实现的(封装安全负载(封装安全负载)为对等体间传送的数据报提供加密、认证、完整性保为对等体间传送的数据报提供加密、认证、完整性保护护和抗重播服务和抗重播服务提示提示:
和虽然都可以进行完整性认证,但是由于认证的区域和虽然都可以进行完整性认证,但是由于认证的区域不一样不一样所以二者不能相互替代。
所以二者不能相互替代。
报文格式报文格式隧道模式的报文隧道模式的报文隧道模式的报文隧道模式的报文隧道模式的、混合报文隧道模式的、混合报文简介简介安全联盟,是构成的基础,是两个通信实体经协商建立起来的一种协定,它决定了用来保护数据包安全的协议(或)、算法、密钥以及密钥的有效存在时间等是单方向的,在对等体A、B之间有两条,一条AB,另一条BA。
通过、工作方式、安全协议、数据流的目的地址唯一标示一条。
可以手工建立也可以动态建立安全联盟安全联盟()()的参数的参数目的地址192.168.2.1安全参数索引(SPI)7A390BC1IPSec变换AH,HMAC-MD5密钥7572CA7890FF16其他SA属性(例如,生命周期)3600秒或100MB参数示例参数示例外出方向:
0x12345A变换:
工作方式:
加密图:
定时:
()入方向:
0x12345A变换:
工作方式:
加密图:
定时:
()外出方向:
0x67890B变换:
工作方式:
加密图:
定时:
()入方向:
0x67890B变换:
工作方式:
加密图:
定时:
()概述概述在协议中负责以下内容在协议中负责以下内容协商协议参数协商协议参数交换公共密钥交换公共密钥对双方进行认证对双方进行认证在交换后对密钥进行管理在交换后对密钥进行管理提示提示:
或或密钥交换协议是负责在两个对等体密钥交换协议是负责在两个对等体间协商一条隧道的协议间协商一条隧道的协议的建立的建立的建立分为两个阶段:
的建立分为两个阶段:
(一阶段)(一阶段)(二阶段)(二阶段)第一阶段,协商创建一个通信信道第一阶段,协商创建一个通信信道()(),并对该信道进行,并对该信道进行验证,为双方进一步的通信提供机密性、消息完整性验证,为双方进一步的通信提供机密性、消息完整性以及消息源验证服务;以及消息源验证服务;第二阶段,使用已建立的第二阶段,使用已建立的建立建立。
提示提示:
一个一个可以用于建立多个可以用于建立多个。
策略参数策略参数参数可接受的值关键词缺省值消息加密算法333消息完整性(散列)算法5155对等体鉴别方法预共享密钥加密的随机数签名密钥交换参数768102412768的存活时间可以是任何秒数无3600协商过程协商过程L2L2和的结合应用和的结合应用创建创建L2L2时可能遇到的主要安全威胁时可能遇到的主要安全威胁攻击者试图通过窥探数据分组获得用户标识攻击者试图通过窥探数据分组获得用户标识攻击者试图修改分组(控制分组或是数据分组)攻击者试图修改分组(控制分组或是数据分组)攻击者试图截获攻击者试图截获L2L2隧道或隧道中的连接隧道或隧道中的连接攻击者可以通过终止连接或是攻击者可以通过终止连接或是L2L2隧道发起的攻击隧道发起的攻击攻击者试图破坏攻击者试图破坏协商以削弱或是消除机密保护协商以削弱或是消除机密保护攻击者也可以破坏攻击者也可以破坏协商以削弱认证过程或窃取用户密码协商以削弱认证过程或窃取用户密码在自愿隧道模式中使用保护在自愿隧道模式中使用保护L2通信通信在强制隧道模式中使用保护在强制隧道模式中使用保护L2通信通信L211.1.2.214.1.1.2提示提示的配置:
的配置:
10111.1.2.2170114.1.1.2170110111.1.2.2170114.1.1.21701:
10114.1.1.2170111.1.2.2170110114.1.1.2170111.1.2.21701高可用性配置高可用性配置适用范围:
适用范围:
在链接上发送组播或广播流量在链接上发送组播或广播流量在链接上发送基于非协议的流量在链接上发送基于非协议的流量可以获得高可用性可以获得高可用性使实现具有可扩展性使实现具有可扩展性提示提示:
和常常一起被用于传输模式,因为可以提供隧道:
和常常一起被用于传输模式,因为可以提供隧道模式具有的隧道功能。
因此,不使用隧道模式节省了分组的开销总量模式具有的隧道功能。
因此,不使用隧道模式节省了分组的开销总量12310.2.1.0/2410.3.1.0/2410.1.1.0/24172.18.45.1172.18.45.2172.18.31.1提示的配置过程:
开始明文分组被协议封装,然后,接管并提示的配置过程:
开始明文分组被协议封装,然后,接管并加密分组。
加密分组。
172.18.45.1172.18.45.25102101172.18.45.1101172.18.31.1172.18.45.1203102172.18.45.2102172.18.31.1172.18.45.211的配置的配置0210.4.1.1255.255.255.0172.18.31.1172.18.45.11111310.4.1.1255.255.255.0172.18.31.1172.18.45.2111典型应用实例典型应用实例1111使用客户端软件的远程用户Internet/ISP场点场点22发生协商产生动态加密图远端对等体发起远端对等体发起动态接入动态接入典型应用实例典型应用实例22典型应用实例典型应用实例33Internet多点多点ABCDEF典型应用实例典型应用实例44动态多点动态多点典型应用实例典型应用实例55转换设备转换设备穿越穿越配置配置0:
192.168.5.1/161:
11.1.2.2/241:
14.1.1.2/240:
13.1.1.1/24192.168.120.0/2450313.1.1.0/2414.1.1.2/2411.1.2.1/24503步骤1:
定义感兴趣的数据流对于的使用,确定什么样的数据流被认为是感兴趣的,是安全策略设计的一部分。
在防火墙中,访问控制列表被用于确定要加密的数据流,将访问控制列表()指派给策略后,其“”语句指明:
所选的数据流必须被加密发送;其“”语句指明:
所选的数据流必须不被加密(以明文方式)发送。
当感兴趣的数据流被产生或流过应用的路由器时,系统将启动的下一步,协商()#101192.168.120.213.1.1.2()#10113.1.1.2192.168.120.2提示的配置:
1:
配置基于多条不同协议的2:
配置基于多条不同端口号的步骤2:
阶段1,协商1:
使能()#:
配置方式的密钥和对等体()3:
配置()#序号越小,优先级越高,意味着越先被比较执行上述命令会进入模式()#模式命令如下:
指定加密算法指定散列算法指定算法使用的组步骤3:
阶段2,协商,建立通道1配置变换集()()#变换可以在以下三个集合中任选:
5、5、3、128、256、但每个集合中只可以选一个元素提示:
不能配置的空加密和空认证2配置加密图()#序号越小,优先级越高,意味着越先选择。
加密图类型有两种:
、。
执行上述命令,进入模式模式命令如下:
指定变换集指定对等体地址指定的生命周期指定感兴趣的数据流指定算法使用的组对于类型的加密图还涉及:
指定入流量所需的密钥指定出流量所需的密钥提示提示:
算法规定,其中第算法规定,其中第88、1616、.64.64位是奇偶校验位,不参与运算。
故位是奇偶校验位,不参与运算。
故实实际可用位数便只有际可用位数便只有5656位。
位。
因此的安全性是基于除了因此的安全性是基于除了88,1616,2424,.64.64位外的其余位外的其余5656位的组合变化位的组合变化256256才得以保证的。
因此,手工配置中,应才得以保证的。
因此,手工配置中,应避开使用第避开使用第88,1616,2424,.64.64位作为有效数据位,而使用其它的位作为有效数据位,而使用其它的5656位位作为有效数据位,才能保证算法安全可靠地发挥作用作为有效数据位,才能保证算法安全可靠地发挥作用完美向前保密(,)如果在中指定了,则在建立二阶段时执行一个新的交换,能够提供强度更大的密钥材料,因此对密码分析攻击的抵抗能力更强。
但这是以牺牲性能为代价的,交换需要大量的乘幂运算,因此会增加对的占用并降低系统性能,使用时要慎重。
3在对等体双方接口绑定加密图()#1()()#1():
1,:
1:
1:
21:
42:
11.1.2.2:
14.1.1.2:
192.168.120.2/32:
0:
13.1.1.2/32:
0:
0x1001:
0x1002:
():
3381/3400:
0x5151E0D8:
0x1B7E22:
5:
():
3381/3400:
0x5151E0D7:
0x1751913:
5:
(02):
0:
0:
步骤4:
加密隧道当建立起之后,数据就通过对等体间的隧道进行传送,数据被使用中所指定的加密算法和密钥来加密和解密步骤5:
隧道终止当被删除或生命周期超时后,就中止了。
当指定的时间过去或指定的字节数通过隧道后,就超时。
当终结后,密钥会被丢弃。
当一个数据流需要后续的时,就协商新的和,一次成功的的协商会产生新的和密钥。
新的可以在现有的超时之前被建立,这样可以不打断数据流,这种机制称为软超时。
手工配置加密图手工配置加密图在上创建名为在上创建名为,序列号为序列号为11的手工加密图,设置认的手工加密图,设置认证算法为证算法为55加密算法为,进入配置模式下加密算法为,进入配置模式下()#1()#1()#14.1.1.2()#14.1.1.2()#369()#3690123456789012345678901234567890123456789()#369()#36998765432109876543210987654
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- VPN 防火墙 企业管理 知识 培训资料