安全知识一、 网络安全CIA三角模型私密性:逻辑和物理的限制完整性:出来没有修改 源认证高可用性:数据能够持续被访问二、 安全的定义私密性:也就是加密,防止除了各地老师以外的其他人员能够看到这个版本完整性:确保版本在传输过程中是没有被篡改的源认证:各地老师要确保收的版本是我发的而不是其他伪装源发的不可否认性:我不能事后否认发送过版本给各地老师三、 防火墙的定义 防火墙是一个连接两个或多个网络区域,并且基于策略限制区域间流量的设备组织威胁从一个区域蔓延到其他区域1、 区域类型内部 默认安全级别为 100 外部 默认安全级别为 0 dmz 隔离区域 默认安全级 别为 0 高安全级别可以访问低安全级别的区域,但是低安全级别不能访问高安全级别区域 dmz 区域用来放置一些服务器2、 防火墙的技术1、 包过滤 特点: 基于静态包头信息,限制进入网络内部的数据包2、 应用层代理 特点:处理速度慢(对数据包深度检测) 对设备的性能要求也 高 数据包的处理效率也是要降低的 但是安全性比较高防火墙必须定时更新进程,否则防火墙没有办法去代理新的服务3、状态包过滤 特点: 转发效率比较高(基于状态化表象转发数据) 能够感知 应用层,能动态打开服务端口 安全强度稍差与代理防火墙四、包过滤的工作过程TCP已建立连接的返回包穿越防火墙外网接口,检测tcp的flag位有ack字样,acl就会认 为这是已经建立连接的返回包。
tcp 三次握手建立连接 (请求 发送 回应)syn————》syn+ackA 《 ———— Back————》TCP是一个面向连接,每发送一个数据包,都要收到一个ACK确认,如果没有收到, 就一直发包,直到收到ACK确认包为止,确保每一个数据包发送回到目的地(前提:tcp 连接建立好了)五、 应用层代理的工作过程1、客户端发送请求到 ALG 2、ALG 从新封装发送给服务器 3、服务器回应 4、ALG 从新封装回应给客户端六、 状态包过滤的工作过程当内网的流量去访问外网的时候会经过防火墙,防火墙会对内网流量进行状态化信息记 录,而这些状态化信息记录都存放在他的状态信息表里,当外网的流访问内网时,到达防火 墙会查看状态信息表,如果有则直接转发到内网,如果没有则不能直接转发到内网failover 故障切换 故障倒置包含: A/A A/S七、 PIX支持功能:a. 私有的操作系统b. 状态化的包过滤:源目ip;源目端口号;序列号;flagc. 穿越用户认证d. 应用层感知的监控系统:1.保证协议正常工作2•应用程序安全e. 模块化的策略:l.inspect:改变端口的时候起作用,现在可以基于acl或者vpn的流量 做监控 2.IPs 3.policyf. vpn:pix集成了几乎所有vpn3000的功能g. 多模式防火墙:多个不同的模块,65防火墙模块继承而来h. failover 性能(时效性恢复功能)i. 透明防火墙:对于3层来说是透明的j. 图形化界面:SDM (IOS), ASDM (PIX ASA), ISDM(IPS)八、.ASA特性:CISCO防火墙型号大部分都软件区别,硬件是一样的。
a. 状态监控包过滤b. 穿越用户访问网络验证(ip直接访问不安全,容易伪装ip)c. 应用层过滤(不是为了做ACL ,而是URL过滤,FTP上传下载的文件名,msn只能传文件, 不能玩游戏,等高级控制功能)d. MPF模块化安全策略(qos) ——MQC:MQC(Modular QoS ):模块化QoS命令行接口, 在Cisco IOS 12.0⑸T版本中被引用.通过做MQC来实现监控,限速, QOS 等等e. 强大的vpn功能:IPSEC VPN (远程拨号VPN强大,如果是站点到站点还是用路由器)SSL VPNf. IPS硬件模块(两个模块:AIP-SSM -入侵防护 CSC-SSM---防病毒,URL,防垃圾邮件来扩展功能)g. 多模式防火墙(虚拟防火墙)最独特的功能,做很多子防火墙(虚拟化)h. FO 可用性主备用i. 透明防火墙(就是二层交换机) 防火墙基于路由表 来转发数据表j. 图形化界面网管(ASDM): SDM (IOS), ASDM(PIX ASA), ISDM(IPS)九PIX与ASA的区别:版本都能支持8.03考试版本,以下都是PIX没有的功能——最新的8.3几SSLVPNSSM (PIX 没有这个槽位不能扩展功能)支持VPN族和负载均衡5520开始有这个功能CF 卡 (扩展 FLASH)AUX 口十.PIX产品的授权:l 版本的授权:1.UR :非限制版2.Restricted:限制版。
1. 只能够支持 3 个物理口2•只支持内存64M的内存3. 不能够做 failover3. Active/standby failover 版本4. Active/active failover 版本最便宜的做法是拿一个UR和一个FO做failover金牌可以将failover自己生成UR的产品来赚取之间的利润从中差价很大单独的FO没 有用处2、加密的授权所有人都可以免费得到DES的授权理论上只有北美和加拿大才有3DES的授权中国不可以但是中国市场上有多模式 防火墙的授权R 限制版不支持多模式防火墙UR非限制版默认有2个多模式防火墙的授权但是最多可以买50个的授权mpf 模块化安全策略 包扩四个 G 口模块 ips 模块 AIP SSM 模块 CSC SSM 模块 (放病毒 URL 过滤 放垃圾邮件)透明防火墙:二层防火墙 一般在 公司的内网已经确定好 在分割的时候 不想改变网段 把防火墙的路由模式改成透明模式,这样防火墙纯粹属于一个二层的防火墙 这样就实现了一个过滤的功能透明防火墙是二层防火墙技术1. 只能有两个接口,2. 如果两个接口都接交换机,两个接口必须要化到不同的 vlan 中3. 支持多模式防火墙5.防火墙的安全策略:• dmz:非军事区,安全级别居中50,适合放为内部和外部服务的服务器及VPN设备。
同 时可以存在多个DMZDMZ—般放在第三接口上,也可以放在两个防火墙之间如果 没有 DMZ?????)• Outbound流量:由高安全级别到低安全级别• Inbound流量:由低安全界别到高安全级别从高安全接口到低安全接口是完全可以的,但是从低安全接口到高安全接口是不可以的,除 非用访问列表放掉避免安全级别相同,相同安全级别端口默认不通,可以用命令激活防火墙的 acl由低安全级别区域去访问高安全级别区域叫做inbound 由高安全级别区域去访问低安全级别区域叫做outbound路由器上的和防火墙上访问控制列表的相同点个不同点?相同点: 1、访问控制列表隐藏的默认还是拒绝2、 访问控制列表的顺序由上到下一次匹配3、 针对数据包的源ip去过滤数据包不同点:1、防火墙上的acl只控制穿越防火墙的流量 对抵达防火墙的流量是不起作用的2、 只对初始化的数据包起作用 防火墙内部出去的流量依旧可以返回路由器从内网出去的流量返回的时候就会被干掉防火墙上不指定访问控制的类型的话,默认为扩展的访问控制列表inactive 暂时性的不活跃 可以暂时性的使一个条目失效rename 可以对访问控制列表改名字remask 可以对访问控制列表做注释l 时间 ACLtime range 123 (名称)absolute start 00:00 1 August 2004 end 00:00 30 august 2004 绝对时间periodic weekdays 8:00 to 17:00 周期性时间static (dmz,outside) 192.168.0.6 172.16.0.6access-list aclin permit tcp host 192.168.10.2 host 192.168.0.6 eq www time-range 123l 对抵达 (对穿越的没有作用)防火墙的 icmp 进行控制,方向是只能是 in 方向 icmp deny any echo outsideicmp 拒绝从源为任何地址,目的为 outside 接口的 echo-request 流量。
默认后面有一个 deny 所有流量的列表icmp permit any outside ---其他的抵达 outside 流量全部放行Nat-control• OS >7.x 默认no nat-control□• OS <7.x 默认nat-controlp• Nat-control一旦启用,没有n®t不能穿越FVV口• No WtYO®着程験蚕幽劇齢前提下,无 需Wt也能穿越FWNAT 网络地址转换ASA nat动态NAT :—对一,多对一,自己转化自己,(natO)特定流量的NAT(POLICE NAT) 高优先级-低优先级静态NAT:—对一,网络静态转换,端口转换 低优先级--高优先级 ACL放行NAT bypass :NAT 旁路NAT 0 +ACL配置1. 动态一对一NAT:(适用于内部用户上网)nat(inside) 1 10.1.1.0 255.255.255.0 global(outside) 1 192.168.0.20-192.160.0.254 netmask 255.255.255.0 show xlate 查看转化槽位2、PATnat(inside) 1 10.1.1.0 255.255.255.0global(outside) 1 202.100.1.100 fw1(config)# access-list deny-flow-max 1024 fw(config)#access-list alert-interval120-—120秒以内最多出现1024条log显示,以免攻击流量所显示的信息占用太多的资源。
deny不会产生log生成日志同样名字的 access-list根据输入时间先后顺序来用用line1/2/3来区分,如果想在1和2之间插入一条,那么可以写入line 2条目,这样原来的2就变成了条目3.work-object 的配置方法:DMZ区域有3台服务器,每个服务器提供http ,https,ftp服务这样就会有3条静态的nat,和9条acl进行配置配置起来很麻烦可以对服务(http,https,ftp),或网络主机,或4层协议(tcp udp),或ICMP类型(echoecho-reply )进行归类对地址进行归类对服务进行归类同时调用地址归类和服务归类:对协议进行归类对ICMP信息进行归类1. activeX blocking:fw1(config)# filter activex 80 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.02. java applet filtering3. url filter service思科支持两个厂商websence和n2h2的url服务器多模式防火墙多模式防火墙使用场合:1.SP的IDC机房为不同用户做不同的防火墙策略2. 大企业或者学校,希望部门之间完全的隔离3. 若单模防火墙接口非常多的情况下。
两种配置模式:1. 系统全局配置模式:创建虚拟防火墙,为每一个虚拟防火墙关联接口2. 子防火墙配置模式l.adm in虚拟防火墙:因为系统全局配置模式不能为接口配置IP的也不能进行网管的,所以有了admin虚拟防火 墙,它把一个接口虚拟连到自己身上,配置IP地址进行网管可以切换到系统全局模式, 也可以切换到其他子防火墙子防火墙也可以配置IP进行网管,但是只能网管自己,不能切 换到其他防火墙上2、接口 share模式:一个接口为多个虚拟防火墙所公用,配置多个IP地址,但是MAC地址是唯一的连接用户 PC的接口不能是share的因为用户所写网关的真正用途是,用户再封装数据包时,目的地 址时网关的MAC地址这样数据再到达防火墙后不知道走哪个路径所以不能用share模式Failover故障切换A/S FO :备用是闲置 一个主 一个备 当主运行的时候是备是闲置的A/A FO:网络规划使两个设备都有流量 两个都是主设备防火墙的热备就是防火墙的failover 做防火墙的热备必须具有相同的的条件靠专线来实现两个防火墙的同步串口 f/0 和 lan based f/0pix可以做两种情况的f/0,asa只能做lan based f/o.因为其没有串口。
硬件FO:没有已建连接的copy stateful FO:有已建连接的copy2. 做failover的两台设备的条件:两个FO或者一个UR和一个F0硬件,接口,必须相同加密授权必须相同7.0、以上软件版本可不相同,以下要相同outside与outside必须是二层网络inside与inside必须是二层网络DMZ和DMZ必须使二层网络3. active切换为standb y的过程:如果一段时间内收不至到hello,接口进入测试模式:1. 接口是否up2. 有没有活动的网络流量3. 做接口的arp测试4. 做广播的ping.如果都失败的话,就交出active o4.一个基于串口 A/S FOserial线缆两端有标识分别是primary和secondaryprimary连接主用,secondery连接备用 不能接加密学原理凯撒密码: 最早的加密算法,已经被淘汰两种加密学对称密码学: 两个通讯者之间的密钥是一样的,也就是加密是和解密时的密钥相同加密算法 des 56位 3des 168位 aes 128位 196位 256bit 从古埃及的时候就用这种密码学密钥的长度越长,加密的可靠性就越强优点:加密速度快,加密后的数据不会变大非对称密码学:用户拥有两个对应的密钥 用其中一个加密,只有另一个能够解密, 两者一一对应。
加密算法:DH RSA ECC主要应用于3G网络缺点:加密速度慢,加密后的数据会变大组合加解密过程 也叫做数字信封使用对称加密算法进行大批量的数据加密 ,每次产生一个新的随机密钥(会话密钥)使用非对称加密算法的公钥对会话密钥进行加密并传递,会话密钥到达对端 之后,用非对称加密算法公钥所对应的私钥 进行解密,得出会话密钥,然后用对称加密算法的私钥对会话密钥进行解密,得出所要的 明文数据完整性校验md5 sha摘要算法可以验证数据的完整性(hash) 散列函数计算结果称为摘要,同一种算法,不管输入长度是多少,结果定长无法从摘要的值反推回原始内容,具有单向性,不可逆性不同的内容其摘要也不同数字证书 给自己的本身做一个证书数字签名数字签名使用签名方的私钥对信息摘要进行加密的一个过程签名过程中所得到的密文即称为签名信息首先将明文信息通过hash算法计算出一个摘要,使用发送方的私钥对摘要进行加密,得到 加密后的摘要,然后再将明文使用接收方的公钥进行加密,到达接收方时,使用接收方的 私钥对密文进行解密,得到明文之后通过hash算法计算出摘要值,然后再将其加密后的摘 要使用发送方的公钥进行解密,得出摘要值,如果相同则证明是发送方发送的。
数字签名的功能:保证信息传输的完整性发送者的身份认证(原认证)VPN1、 定义:两个内网之间跨公网通信,在局域网的边界设备做vpn,来实现内网之间的通信2、 vpn的分类2层ATM异步传输FR帧中继3层GRE IPSEC MPLS (服务商提供的vpn 只支持站点到站点的vpn)vpn的模型站点到站点 (l2l site to side) ATM FR GRE远程 vpn(REMOTE ACCESS)-----IPSEC,PPTP,L2TP+IPSEC,SSLVPN通信点:vpn本端身后需要加密的网段叫做通信点 对端身后需要加密的网段也叫做通信点 必须知道对端通信点的路由,原因是因为要保证对端的通信点的路由必须经过本端通信点 的出接口加密点;感兴趣流经过的出接口叫做加密点感兴趣流: 通信点到通信点之间的流量叫做感兴趣流 边界设备只对感兴趣流进行加密ipsec两个安全的承载协议IPSEC组成部分-----Internet协议安全性esp (负载安全封装)协议 ---50AH 认证头协议 51IKE internet密钥交换协议esp与AH的区别1. 封装格式不一样esp:头尾验证 ah:头2. esp既加密又验证 ah只验证,不加密3. esp能够穿越nat ah不能够穿越natipsec两种模式传输模式:加密点等于通信点的时候为传输模式隧道模式:默认模式为隧道模式 加密点补等于通信点 lan to lan隧道模式也具有传输模式的功能ipsec加密算法des 默认 3des aesipsec验证md5 128 shal 默认.ipse两个数据库SPD 全策略数据库:决定什么流量将接受ipse处理SADB---安全关联数据库:维护每一个SA (安全关联)包含的参数SA—包含了双方关于IKE和IPSEC 已经协商完毕的安全心心(都是又IKE协议协商产生的)ike or isakmp sO1双向的2.决定了 IKE协议处理相关的细节)IPSEC SA (1.单向的2.决定了具体加密流量的处理方式)ike■办商的两个阶段第一阶段:建立vpn连接 第二阶段:为数据包进行加密封装IKE介绍:负责建立维护IKE SA和IPSEC SAIKE负责在两个IPSEC对等体间协商一条IPSEC隧道的协议功能:对双方进行验证交换公共密钥,产生密钥资源,管理密钥协商协议参数(封装,加密,验证。
在交换后对密钥进行管理IKE的三个组成部分1. SKEME: 提供为认证目的使用的公开密钥加密的机制2. Oakle y提供在两个IPSEC对等体间达成相同加密密钥的基本模式的机制3.ISAKMP :定义了消息交换的体系接□,包括两个IPSEC对等体间分组形式和状态转变IKE 包括两个阶段三个模式:1.isakmp sa 相互认证1. main mode(6 message ) 一般用主模式2. aggressive mode (3 message)为远程vpn服务 主动模式(H3C 野蛮)2.ipsec sa ( quick mode 3 message) 选择加密算法 二阶段对端地址固定的时候用主模式 对端地址不固定的时候用主动模式例如远程vpn第一阶段ISAKMP( udp 500)主模式:周期是一天6个包1 2个包 选择安全侧略 3 4个包选择加密算法 56个包 选择认证第二阶段IPSEC SA :周期是1个小时1.首先把ISAKMP协商的内容发给对方,进行第二次的认证2.IPSEC阶段的策略协商3.建立sa .和后续工作配置i psecvp n的五大步骤1、 iskamp或ike peer验证 (第一阶段)2、 ipsec sa策略封装协议 :esp ah工作模式:传输模式 隧道模式加密算法:des 3des aes验证算法: md5 shal3、 感兴趣流 (扩展acl抓流)4、 3个关联(sa关联)set peer (第一阶段)ike sa匹配感兴趣流mapset 转换体 (第二阶段)ipsec SA5、调用:物理口 tunnel封装格式:新源ipesp 源ip新目的ip新目 ipremote VPNgre vpn使用场合:分支与中心必须有固定的IP,且身后都有负复杂的网段网络1、GRE (通用路由封装)——47 纯粹是为了两内网跟隧道跑动态路由协议一种隧道协议,可支持多协议数据,内部支持广播组播。
支持同一站点多个内部局域网的VPN不提供传输安全性2采用ip协议号473、新ip头部为20个字节gre头部的长度为4〜20个字节动态map 分支地址不固定 总部地址固定第一阶段:分支单向发起如果分支想和分支通vpn,必须在中心处理之后中转,这样就需要两次加解密dmz vpn 动态多点vpn分支之间是按需建立连接的nhrp 吓一跳解析协议必须把分支机构的公网地址对应得隧道地址告诉中心,中心来进行管理,并且中心会把其他分支机构公网ip和隧道接口 ip的对应关系告诉各个分支机构nhs 中心服务器REMOTO VPN远程拨号vpn (拨号) 位出差人员提供便利第一阶段:建立vpn连接 第二阶段:为数据包进行加密封装地址池需要在网关设备上创建一个地址池,远程设备获取poo 1里的地址作为源与内网通信用户组反向路由注入ezvpnEZVP N是IPSEC VPN的一个易用技术,它的主要思想源于cisco remoteVPN为了简化客户端的配置cisco把这种思想引入到了 client端路由器上名字叫EZVPN但是easy只是客户端简单中心站点还是remote vpn配置EZVP N主要适用于一些小型的站点,例如:小超市,小的服装专卖店,或者彩票点。
他们 的网络很简单,地址是动态获得的只有身后的直连网络,不需要什么动态路由协议,并 且客户端维护人员基本不懂任何vp n的这样的网络非常适合使用EZVP N这个技术mode两种模式: client获取到一个IP,身后的网段都通过PAT,转化到这个IP,再来访问中心内网服务器的network--plus网络扩展模式,能获取到IP,不作转化,仅仅用作中心网管client路由器的作用vpn特性反向路由注入在HA(高可用性) VPN的情况下需要在GW1和GW2上同时启用RRI,只有当remotevpn成功拨上以后才能产生32位的主机路由,这个时候在GW1和GW2同时运行内部的动态 路由协议,把RRI产生的主机路由重分布进入内部的动态路由协议,正确的引导流量返回re mote vpn主机RRI的路由并不是同时产生的,只会在remotevpn拨上的路由器上产生,所以不会造成内部路由的混乱keepliveISAKMP keepalive作用在于探测当前IPSECvpn的可用性之前各种VPN都没有启用这个特性默认情况TIPSECVPN没有保活机制的IPSECVPN的超时时间为一小时,如果VPN的中间设备出现故障,那么在VPN超时时间以前,VPN的流量都会被丢弃。
也就是说会出现一方有加密的包,另一方却没有解密的包VPN 的SA也只有等足一小时才能重新建立特别是在HAVPN和备用链路VP N的时候更需要启用这个特性要求VPN两端接口要同时启用当启 用了此feature以后Isakmp keepalive会从SA协商时开始周期发送DPD (dead peerdetection )包如果没有回包,则说明peer已经断掉,那么会立即协商SAvpn热备分为链路备份和设备备份邻居peer链路备份是需要设置反向路由注入ip需要本端物理接口的ip地址,先指哪个就先走哪一个 设备备份需要做hsrp和反向路由注入邻居的ip地址应该只本端虚拟网关的ip地址。