加密算法------保证数据私密性
对称加密算法:DES 3DES ASE RC4 用来保障业务 数据的安全 私密
加密实际数据
非对称加密算法: RSA(SSH) DH 用来保障秘钥的传输安全 私密
加密公钥私钥
单向散列函数------hash 校验数据完整性
1.私密性:加密数据包,防止非法用户截获并且获取数据包内容
2.完整性:确保数据包在传输过程中不会被非法用户篡改
3.源认证:确保数据包发送者的真实身份是否为合法用户
4.不可否认性:发送者不可否认曾经发送过该数据
ip snooping 欺骗 基于cef表防护
实验:黑客控制僵尸P攻击Server
此时模拟的是黑客攻击,user,server,hacker都有一条默认路由指向ISP,这个时候黑客自己起一个环回口lo 0 环回口的地址是user的本地地址,这个时候hacker用user这个地址pingserver
user和server开启debug ip icmp此时可以看到虽然黑客没有ping通但是user和server已经产生包了,这就是ip snooping欺骗攻击
SSLVPN----数字证书---RSA-----私钥加密 公钥解密
DH----IPsec VPN 一定会用到
DH是用来计算对称加密算法的秘钥
RSA-----原认证----数字签名
ipsec vpn 是基于ip协议的
优点:与物理层和数据链路层无关,与传输层应用层无关,与网络规模无关,容易扩展,便宜不要钱
组成部分:
IKE:互联网秘钥交换
AH:认证头部
ESP:封装安全协议
预共享秘钥就是自己设置的密码
阶段一:加密定义SA 完整性和私密性
阶段二:定义业务数据的完整性和私密性
IPsec VPN:IPsec是个协议簇
指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务
IPSec VPN应用场景
企业总部与分支内使用的都是私网IP,私网IP之间无法通过Internet进行互访,这就需要使用IPSec VPN在企业与总部之间建立IPSec隧道,实现两个局域网在Internet的传输。
show cdp neighbors -------csico探测相连的端口号
配置IPSec VPN步骤:
配置网络可达
首先确保发送方与接受发之间的网络可达。
配置ACL识别兴趣流
通过ACL来定义和区分不同的数据流,有部分不需要满足完整性、机密性要求,所以要对流量进行过滤,选择出需要进行IPSec处理的兴趣流,通过配置ACL来定义和区分的数据流。
创建IPSec安全提议
为了能够正常传输数据流,安全隧道两端的 对等体必须使用相同的安全协议、认证算法、加密算法和封装模式 。如果要在两个安全网关之间建立IPSec隧道,建议将IPSec封装模 式设置为隧道模式,以便隐藏通信使用的实际
配置IPSec安全策略
IPSec策略中会应用IPSec提议中定 义的安全协议、认证算法、加密算法和封装模式。每一个IPSec安全 策略都使用唯一的名称和序号来标识。IPSec策略可分成两类:手工 建立SA的策略和IKE协商建立SA的策略。
在接口应用IPSec安全策略
对称加密算法建议使用AES(128位及以上密钥)
非对称加密算法建议使用RSA(2048位及以上密钥)
哈希算法建议使用SHA2(256及以上密钥)
HMAC(基于哈希算法的消息验证码)算法建议使用HMAC-SHA
IPSec实现方式
IPSec VPN的强大之处再于它工作在OSI模型的第3层,它可以在两个端点之间建立起一条“隧道”,所有基于IP的应用数据都可以通过这条隧道进行传输。
深信服的可以两边都不是固定IP也能做IPSEC,只要在公网上建立一个寻址服务器就可以,或者直接打400,让客服给你分配一个也行,还是免费的。
另外两边都是固定IP的叫做主模式,一边固定另一边拨号的叫做野蛮模式,两边都不固定IP的叫做webagent。
webagent是分支或者移动用户连接总部需要的地址,如果设备出口没有固定公网IP可以联系4006306430申请一个域名,然后通过域名寻址。