cisco安全、vpn等知识汇总

《cisco安全、vpn等知识汇总》由会员分享，可在线阅读，更多相关《cisco安全、vpn等知识汇总（21页珍藏版）》请在装配图网上搜索。

1、安全知识 一、 网络安全CIA三角模型 私密性：逻辑和物理的限制 完整性：出来没有修改 源认证 高可用性：数据能够持续被访问 二、 安全的定义 私密性：也就是加密，防止除了各地老师以外的其他人员能够看到这个版本 完整性：确保版本在传输过程中是没有被篡改的 源认证：各地老师要确保收的版本是我发的而不是其他伪装源发的 不可否认性：我不能事后否认发送过版本给各地老师 三、 防火墙的定义 防火墙是一个连接两个或多个网络区域，并且基于策略限制区域间流量的设备。（组织威 胁从一个区域蔓延到其他区域 1、 区域类型 内部 默认安全级别为 100 外部 默认安全级别为 0 dmz 隔

2、离区域 默认安全级 别为 0 高安全级别可以访问低安全级别的区域，但是低安全级别不能访问高安全级别区域 dmz 区域用来放置一些服务器 2、 防火墙的技术 1、 包过滤 特点： 基于静态包头信息，限制进入网络内部的数据包 2、 应用层代理 特点：处理速度慢（对数据包深度检测） 对设备的性能要求也 高 数据包的处理效率也是要降低的 但是安全性比较高 防火墙必须定时更新进程，否则防火墙没有办法去代理新的服务。 3、状态包过滤 特点： 转发效率比较高（基于状态化表象转发数据） 能够感知 应用层，能动态打开服务端口 安全强度稍差与代理防火墙 四、包过滤的工作过程 TCP已建立连接的返回包

3、穿越防火墙外网接口，检测tcp的flag位有ack字样，acl就会认 为这是已经建立连接的返回包。 tcp 三次握手建立连接 （请求 发送 回应） syn ————》 syn+ack A 《 ———— B ack ————》 TCP是一个面向连接，每发送一个数据包，都要收到一个ACK确认，如果没有收到， 就一直发包，直到收到ACK确认包为止，确保每一个数据包发送回到目的地（前提：tcp 连接建立好了） 五、 应用层代理的工作过程 1、客户端发送请求到 ALG 2、ALG 从新封装发送给服务器 3、服务器回应 4、 ALG 从新封装回应给客户端 六、 状态包过滤的工作过程

4、 当内网的流量去访问外网的时候会经过防火墙，防火墙会对内网流量进行状态化信息记 录，而这些状态化信息记录都存放在他的状态信息表里，当外网的流访问内网时，到达防火 墙会查看状态信息表，如果有则直接转发到内网，如果没有则不能直接转发到内网。 failover 故障切换 故障倒置 包含： A/A A/S 七、 PIX支持功能： a. 私有的操作系统 b. 状态化的包过滤：源目ip；源目端口号；序列号；flag c. 穿越用户认证 d. 应用层感知的监控系统：1.保证协议正常工作2•应用程序安全 e. 模块化的策略：l.inspect:改变端口的时候起作用，现在可以基于acl或者vp

5、n的流量 做监控 2.IPs 3.policy f. vpn:pix集成了几乎所有vpn3000的功能 g. 多模式防火墙：多个不同的模块，65防火墙模块继承而来 h. failover 性能（时效性恢复功能） i. 透明防火墙：对于3层来说是透明的 j. 图形化界面：SDM （IOS）, ASDM （PIX ASA）， ISDM（IPS） 八、.ASA特性：CISCO防火墙型号大部分都软件区别，硬件是 一样的。 a. 状态监控包过滤 b. 穿越用户访问网络验证（ip直接访问不安全，容易伪装ip） c. 应用层过滤（不是为了做ACL ,而是URL过滤,FTP上传下载的文件名

6、,msn只能传文件， 不能玩游戏，等高级控制功能） d. MPF模块化安全策略（qos） ——MQC:MQC（Modular QoS ）:模块化QoS命令行接口， 在Cisco IOS 12.0⑸T版本中被引用.通过做MQC来 实现监控，限速， QOS 等等 e. 强大的vpn功能：IPSEC VPN （远程拨号VPN强大，如果是站点到站点还是用路由器） SSL VPN f. IPS硬件模块（两个模块：AIP-SSM -入侵防护 CSC-SSM---防病毒，URL,防垃圾邮 件来扩展功能） g. 多模式防火墙（虚拟防火墙）最独特的功能，做很多子防火墙（虚拟化） h. FO 可用

7、性主备用 i. 透明防火墙（就是二层交换机） 防火墙基于路由表 来转发数据表 j. 图形化界面网管（ASDM）： SDM （IOS）, ASDM（PIX ASA）， ISDM（IPS） 九PIX与ASA的区别： 版本都能支持8.03考试版本，以下都是PIX没有的功能——最新的8.3几 SSLVPN SSM （PIX 没有这个槽位不能扩展功能） 支持VPN族和负载均衡5520开始有这个功能 CF 卡 （扩展 FLASH） AUX 口 十.PIX产品的授权： l 版本的授权：1.UR :非限制版 2.Restricted：限制版。 1. 只能够支持 3 个物理口 2•只

8、支持内存64M的内存 3. 不能够做 failover 3. Active/standby failover 版本 4. Active/active failover 版本 最便宜的做法是拿一个UR和一个FO做failover 金牌可以将failover自己生成UR的产品来赚取之间的利润。从中差价很大。单独的FO没 有用处。 2、加密的授权 所有人都可以免费得到DES的授权 理论上只有北美和加拿大才有3DES的授权。中国不可以。但是中国市场上有多模式 防火墙的授权 R 限制版不支持多模式防火墙 UR非限制版默认有2个多模式防火墙的授权。但是最多可以买50个的授权。 mpf

9、 模块化安全策略 包扩四个 G 口模块 ips 模块 AIP SSM 模块 CSC SSM 模块 （放病毒 URL 过滤 放垃圾邮件） 透明防火墙：二层防火墙 一般在 公司的内网已经确定好 在分割的时候 不想改变网段 把防火墙的路由模式改成透明模式，这样防火墙 纯粹属于一个二层的防火墙 这样就实现了一个过滤的功能。 透明防火墙是二层防火墙技术 1. 只能有两个接口， 2. 如果两个接口都接交换机，两个接口必须要化到不同的 vlan 中 3. 支持多模式防火墙 5.防火墙的安全策略: • dmz：非军事区，安全级别居中50,适合放为内部和外部服务的服务器及VPN设备。同 时可以存

10、在多个DMZ。DMZ—般放在第三接口上，也可以放在两个防火墙之间。（如果 没有 DMZ?????） • Outbound流量：由高安全级别到低安全级别 • Inbound流量：由低安全界别到高安全级别 从高安全接口到低安全接口是完全可以的，但是从低安全接口到高安全接口是不可以的，除 非用访问列表放掉。避免安全级别相同，相同安全级别端口默认不通，可以用命令激活。 防火墙的 acl 由低安全级别区域去访问高安全级别区域叫做inbound 由高安全级别区域去访问低安全级别区域叫做outbound 路由器上的和防火墙上访问控制列表的相同点个不同点? 相同点： 1、访问控制列表隐藏的默认还

11、是拒绝 2、 访问控制列表的顺序由上到下一次匹配 3、 针对数据包的源ip去过滤数据包 不同点：1、防火墙上的acl只控制穿越防火墙的流量 对抵达防火墙的流量是不 起作用的 2、 只对初始化的数据包起作用 防火墙内部出去的流量依旧可以返回 路由器从内网出去的流量返回的时候就会被干掉 防火墙上不指定访问控制的类型的话，默认为扩展的访问控制列表。 inactive 暂时性的不活跃 可以暂时性的使一个条目失效 rename 可以对访问控制列表改名字 remask 可以对访问控制列表做注释 l 时间 ACL time range 123 （名称） absolute start

12、 00:00 1 August 2004 end 00:00 30 august 2004 绝对时间 periodic weekdays 8:00 to 17:00 周期性时间 static （dmz,outside） 192.168.0.6 172.16.0.6 access-list aclin permit tcp host 192.168.10.2 host 192.168.0.6 eq www time-range 123 l 对抵达 （对穿越的没有作用）防火墙的 icmp 进行控制，方向是只能是 in 方向 icmp deny any echo outside icmp

13、拒绝从源为任何地址，目的为 outside 接口的 echo-request 流量。默认后面有一个 deny 所有流量的列表。 icmp permit any outside ---其他的抵达 outside 流量全部放行 Nat-control • OS >7.x 默认no nat-control□ • OS <7.x 默认nat-controlp • Nat-control一旦启用,没有n®t不能穿越FVV口 • No WtYO®着程験蚕幽劇齢前提下，无 需Wt也能穿越FW。 NAT 网络地址转换 ASA nat 动态NAT :—对一，多对一，自己转化自己，(natO)特

14、定流量的NAT(POLICE NAT) 高 优先级-低优先级 静态NAT:—对一，网络静态转换，端口转换 低优先级--高优先级 ACL放行 NAT bypass :NAT 旁路 NAT 0 +ACL 配置 1. 动态一对一NAT：(适用于内部用户上网) nat(inside) 1 10.1.1.0 255.255.255.0 global(outside) 1 192.168.0.20-192.160.0.254 netmask 255.255.255.0 show xlate 查看转化槽位 2、PAT nat(inside) 1 10.1.1.0 255.255.255.0

15、 global(outside) 1 202.100.1.100 fw1(config)# access-list deny-flow-max 1024 fw(config)#access-list alert-interval 120-—120秒以内最多出现1024条log显示，以免攻击流量所显示的信息占用太多的资源。 deny不会产生log生成日志 同样名字的 access-list根据输入时间先后顺序来用用line 1/2/3来区分，如果想在1和2之间插入一条， 那么可以写入line 2条目，这样原来的2就变成了条目3. work-object 的配置方法： DMZ区域有

16、3台服务器，每个服务器提供http ,https,ftp服务。 这样就会有3条静态的nat，和9条acl进行配置。配置起来很麻烦。 可以对服务(http,https,ftp)，或网络主机，或4层协议(tcp udp),或ICMP类型(echo echo-reply )进 行归类。 对地址进行归类 对服务进行归类 同时调用地址归类和服务归类： 对协议进行归类 对ICMP信息进行归类 1. activeX blocking: fw1(config)# filter activex 80 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 2. java appl

17、et filtering 3. url filter service思科支持两个厂商websence和n2h2的url服务器。 多模式防火墙 多模式防火墙使用场合： 1.SP的IDC机房为不同用户做不同的防火墙策略 2. 大企业或者学校，希望部门之间完全的隔离 3. 若单模防火墙接口非常多的情况下。 两种配置模式： 1. 系统全局配置模式：创建虚拟防火墙，为每一个虚拟防火墙关联接口。 2. 子防火墙配置模式 l.adm in虚拟防火墙： 因为系统全局配置模式不能为接口配置IP的。也不能进行网管的，所以有了admin虚拟防火 墙，它把一个接口虚拟连到自己身上，配置IP地址进

18、行网管。可以切换到系统全局模式， 也 可以切换到其他子防火墙。子防火墙也可以配置IP进行网管，但是只能网管自己，不能切 换到其他防火墙上。 2、接口 share模式： 一个接口为多个虚拟防火墙所公用，配置多个IP地址，但是MAC地址是唯一的。连接用户 PC的接口不能是share的。因为用户所写网关的真正用途是，用户再封装数据包时，目的地 址时网关的MAC地址。这样数据再到达防火墙后不知道走哪个路径。所以不能用share模式 Failover故障切换 A/S FO :备用是闲置 一个主 一个备 当主运行的时候是备是闲置的 A/A FO:网络规划使两个设备都有流量。 两个都是主设备

19、防火墙的热备就是防火墙的failover 做防火墙的热备必须具有相同的的条件 靠专线来实现两个防火墙的同步 串口 f/0 和 lan based f/0 pix可以做两种情况的f/0,asa只能做lan based f/o.因为其没有串口。 硬件FO：没有已建连接的copy stateful FO:有已建连接的copy。 2. 做failover的两台设备的条件： 两个FO或者一个UR和一个F0 硬件,接口，必须相同 加密授权必须相同 7.0、以上软件版本可不相同，以下要相同 outside与outside必须是二层网络 inside与inside必须是二层网络 DMZ

20、和DMZ必须使二层网络 3. active切换为standb y的过程： 如果一段时间内收不至到hello,接口进入测试模式： 1. 接口是否up 2. 有没有活动的网络流量 3. 做接口的arp测试 4. 做广播的ping. 如果都失败的话，就交出active o 4.一个基于串口 A/S FO serial线缆两端有标识分别是primary和secondary。primary连接主用，secondery连接备用。 不能接 加密学原理 凯撒密码： 最早的加密算法，已经被淘汰 两种加密学 对称密码学： 两个通讯者之间的密钥是一样的，也就是加密是和解密时的密钥相同。

21、加密算法 des 56位 3des 168位 aes 128位 196位 256bit 从古埃及的时候就用这种密码学 密钥的长度越长，加密的可靠性就越强 优点：加密速度快，加密后的数据不会变大 非对称密码学：用户拥有两个对应的密钥 用其中一个加密，只有另一个能够解密， 两者一一对应。 加密算法：DH RSA ECC主要应用于3G网络 缺点：加密速度慢，加密后的数据会变大 组合加解密过程 也叫做数字信封 使用对称加密算法进行大批量的数据加密 ，每次产生一个新的随机密钥 （会话密钥）使用非对称加密算法的公钥对会话密钥进行加密并传递，会话密钥到达对端 之后，用非对称加密算法公钥所对应

22、的私钥 进行解密，得出会话密钥，然后用对称加密算法的私钥对会话密钥进行解密，得出所要的 明文数据 完整性校验 md5 sha 摘要算法可以验证数据的完整性 （hash） 散列函数计算结果称为摘要，同一种算法，不管输入长度是多少，结果定长 无法从摘要的值反推回原始内容，具有单向性，不可逆性 不同的内容其摘要也不同 数字证书 给自己的本身做一个证书 数字签名 数字签名使用签名方的私钥对信息摘要进行加密的一个过程 签名过程中所得到的密文即称为签名信息 首先将明文信息通过hash算法计算出一个摘要，使用发送方的私钥对摘要进行加密，得到 加密后的摘要，然后再将明文使用接收方的公钥进

23、行加密，到达接收方时，使用接收方的 私钥对密文进行解密，得到明文之后通过hash算法计算出摘要值，然后再将其加密后的摘 要使用发送方的公钥进行解密，得出摘要值，如果相同则证明是发送方发送的。 数字签名的功能： 保证信息传输的完整性 发送者的身份认证(原认证) VPN 1、 定义：两个内网之间跨公网通信，在局域网的边界设备做vpn,来实现内网之间的通信 2、 vpn的分类 2层ATM异步传输FR帧中继 3层GRE IPSEC MPLS (服务商提供的vpn 只支持站点到站点的vpn) vpn的模型 站点到站点 (l2l site to side) ATM FR GRE 远程

24、 vpn(REMOTE ACCESS)-----IPSEC,PPTP,L2TP+IPSEC,SSLVPN 通信点：vpn本端身后需要加密的网段叫做通信点 对端身后需要加密的网段也叫做通信点 必须知道对端通信点的路由，原因是因为要保证对端的通信点的路由必须经过本端通信点 的出接口。 加密点；感兴趣流经过的出接口叫做加密点 感兴趣流： 通信点到通信点之间的流量叫做感兴趣流 边界设备只对感兴趣流进行加密 ipsec两个安全的承载协议 IPSEC组成部分-----Internet协议安全性 esp （负载安全封装）协议 ---50 AH 认证头协议 51 IKE internet密钥交

25、换协议 esp与AH的区别 1. 封装格式不一样esp：头尾验证 ah：头 2. esp既加密又验证 ah只验证，不加密 3. esp能够穿越nat ah不能够穿越nat ipsec两种模式 传输模式：加密点等于通信点的时候为传输模式 隧道模式：默认模式为隧道模式 加密点补等于通信点 lan to lan 隧道模式也具有传输模式的功能 ipsec加密算法 des 默认 3des aes ipsec验证 md5 128 shal 默认 .ipse两个数据库 SPD 全策略数据库：决定什么流量将接受ipse处理 SADB---安全关联数据库：维护每一个SA （安全关联

26、）包含的参数 SA—包含了双方关于IKE和IPSEC 已经协商完毕的安全心心 （都是又IKE协议协商产生的） ike or isakmp sO1双向的2.决定了 IKE协议处理相关的细节） IPSEC SA （1.单向的2.决定了具体加密流量的处理方式） ike■办商的两个阶段 第一阶段：建立vpn连接 第二阶段：为数据包进行加密封装 IKE介绍：负责建立维护IKE SA和IPSEC SA IKE负责在两个IPSEC对等体间协商一条IPSEC隧道的协议 功能： 对双方进行验证 交换公共密钥，产生密钥资源，管理密钥 协商协议参数（封装，加密，验证。。。） 在交换后对密钥

27、进行管理 IKE的三个组成部分 1. SKEME: 提供为认证目的使用的公开密钥加密的机制 2. Oakle y提供在两个IPSEC对等体间达成相同加密密钥的基本模式的机制 3. ISAKMP :定义了消息交换的体系接□，包括两个IPSEC对等体间分组形式和状态转变 IKE 包括两个阶段三个模式： 1.isakmp sa 相互认证 1. main mode（6 message ） 一般用主模式 2. aggressive mode （3 message）为远程vpn服务 主动模式（H3C 野蛮） 2.ipsec sa （ quick mode 3 message） 选择加密

28、算法 二阶段 对端地址固定的时候用主模式 对端地址不固定的时候用主动模式例如远程vpn 第一阶段 ISAKMP（ udp 500）主模式：周期是一天。 6个包 1 2个包 选择安全侧略 3 4个包选择加密算法 56个包 选择认证 第二阶段 IPSEC SA :周期是1个小时 1.首先把ISAKMP协商的内容发给对方，进行第二次的认证 2.IPSEC阶段的策略协商 3.建立sa .和后续工作。 配置i psecvp n的五大步骤 1、 iskamp或ike peer验证 （第一阶段） 2、 ipsec sa策略 封装协议 ：esp ah 工作模式：传输模式 隧道模式

29、 加密算法：des 3des aes 验证算法： md5 shal 3、 感兴趣流 （扩展acl抓流） 4、 3个关联（sa关联） set peer （第一阶段） ike sa 匹配感兴趣流 map set 转换体 （第二阶段） ipsec SA 5、调用：物理口 tunnel 封装格式： 新源ip esp 源ip 新目的ip 新目 ip remote VPN gre vpn 使用场合：分支与中心必须有固定的IP，且身后都有负复杂的网段网络 1、GRE （通用路由封装）——47 纯粹是为了两内网跟隧道跑动态路由协议 一种隧道协议，可

30、支持多协议数据，内部支持广播组播。支持同一站点多个内部局域网的 VPN。不提供传输安全性。 2采用ip协议号47 3、新ip头部为20个字节 gre头部的长度为4〜20个字节 动态map 分支地址不固定 总部地址固定 第一阶段：分支单向发起 如果分支想和分支通vpn,必须在中心处理之后中转，这样就需要两次加解密。 dmz vpn 动态多点vpn 分支之间是按需建立连接的 nhrp 吓一跳解析协议 必须把分支机构的公网地址对应得隧道地址告诉中心，中心来进行管理，并且中心会把其 他分支机构公网ip和隧道接口 ip的对应关系告诉各个分支机构 nhs 中心服务器 REMOT

31、O VPN 远程拨号vpn （拨号） 位出差人员提供便利 第一阶段：建立vpn连接 第二阶段：为数据包进行加密封装 地址池 需要在网关设备上创建一个地址池，远程设备获取poo 1里的地址作为源与内网通信 用户组 反向路由注入 ezvpn EZVP N是IPSEC VPN的一个易用技术，它的主要思想源于cisco remote VPN。为了简化客户端的配置cisco把这种思想引入到了 client 端路由器上。名字叫EZVPN。但是easy只是客户端简单。中心站点还是remote vpn配置。 EZVP N主要适用于一些小型的站点，例如：小超市，小的服装专卖店，或者彩票点。

32、他们 的网络很简单，地址是动态获得的。只有身后的直连网络，不需要什么动态路由协议，并 且客户端维护人员基本不懂任何vp n的这样的网络非常适合使用EZVP N这个技术。 mode 两种模式： client 获取到一个IP，身后的网段都通过PAT,转化到这个IP，再来访问中心内网服务器的。 network--plus 网络扩展模式，能获取到IP，不作转化，仅仅用作中心网管client路由器的作用 vpn特性 反向路由注入 在HA(高可用性) VPN的情况下需要在GW1和GW2上同时启用RRI，只有当remote vpn成功拨上以后才能产生32位的主机路由，这个时候在GW1和GW

33、2同时运行内部的动态 路由协议，把RRI产生的主机路由重分布进入内部的动态路由协议，正确的引导流量返回re mote vpn。主机RRI的路由并不是同时产生的，只会在remote vpn拨上的路由器上产生，所以不会造成内部路由的混乱。 keeplive ISAKMP keepalive作用在于探测当前IPSEC vpn的可用性。之前各种VPN都没有启用这个特性。默认情况TIPSEC VPN没有保活机制的。IPSEC VPN的超时时间为一小时，如果VPN的中间设备出现故障，那么在VPN超时时间以前，VP N的流量都会被丢弃。也就是说会出现一方有加密的包，另一方却没有解密的包。VPN 的SA也只有等足一小时才能重新建立。特别是在HA VPN和备用链路VP N的时候。更需要启用这个特性。要求VPN两端接口要同时启用。当启 用了此feature以后。Isakmp keepalive会从SA协商时开始周期发送DPD (dead peer detection )包。如果没有回包，则说明peer已经断掉，那么会立即协商SA。 vpn热备 分为链路备份和设备备份 邻居peer 链路备份是需要设置反向路由注入 ip需要本端物理接口的ip地址，先指哪个就先走哪一个 设备备份需要做hsrp和反向路由注入邻居的ip地址应该只本端虚拟网关的ip地址。