文档详情

网络设备安全部署-PPT05-v1.0.ppt

发布:2019-04-03约7.31千字共33页下载文档
文本预览下载声明
查看IKE策略 查看管理连接SA的状态 查看IPSec传输集 查看数据连接SA的状态 查看Crypto Map IPSec VPN的验证 R1#show crypto isakmp policy R1#show crypto isakmp sa R1#show crypto ipsec transform-set R1#show crypto ipsec sa R1#show crypto map 某软件公司项目需求 开发项目小组可以通过VPN访问总公司开发服务器,但不能访问Internet 分公司的其他客户端可以访问Internet IPSec VPN的配置实现 本章总结 VPN技术 加密算法 数据报文验证 IPSec VPN 原理与配置 VPN的定义 IPSec VPN VPN概述 IPSec连接 ISAKMP/IKE阶段2 ISAKMP/IKE阶段1 IPSec VPN的配置实现 VPN的模式与类型 第五章 IPSec VPN 原理与配置 —— 上机部分 需求描述 分店的销售部分可以通过VPN访问总店的服务器 (10.33.17.58/24) 总店和分店的所有主机都可以访问Internet 实验案例: IPSec VPN的配置2-1 Internet 其他部门 销售部 总店内网 总店服务器 实现思路 在R1与R2之间配置IPSec VPN通道 配置PAT实现内网对于Internet的访问 验证IPSec VPN 验证PAT 学员练习 实验案例: IPSec VPN的配置2-2 100分钟完成 * * * 数据报文验证包括两个方面:数据来源验证(身份验证)和报文完整性验证。 Hash算法为单向算法,具有不可逆性。举例而言,余数算法就是一个简单的不可逆算法,10除以3余数为1,但除以3余数为1的未必只有10,可以有无数种可能性,所以即使你知道除数3和余数1,也无法反推到答案10。 所以如图所示,无法从数字签名反推出用户数据和Key。 说明单向算法之后需讲解HMAC的整个过程: 双方共享执行Hash算法的密钥Key 路由器A的用户数据与共享密钥Key通过Hash算法得到数字签名 路由器A将数字签民和用户数据一同传送给路由器B 路由器B执行相同的算法过程得到数字签名 路由器B比对数字签名是否一致 常用的Hash算法是:MD5和SHA,要简单说明二者的区别。 SHA比MD5更加安全,但中国某大学著名教授已经证明了这两种算法都存在一定的虚假性,目前正在研发的SHA-2具有更长的签名长度,但还未投入使用。 * 这里举一个数据SA的例子,阶段2是单向的,如果只是用ESP协议,两个对等体之间建立一个隧道只有2个SA(一对),如果同时使用AH和ESP,两个对等体之间建立一个隧道就需要4个SA(两对) SA的主要的安全组件包括: 使用的加密算法 使用的HMAC功能 生存周期 DH密钥组的使用 对于管理连接:使用的验证类型 对于数据连接:使用的安全协议,应当受保护的流量 连接的标识符:每一条SA的SPI 笔者经验: 在配置阶段1、2时,分别定义了安全组件,都需要通过SA将它们关联起来,这就像crypto map的作用,但SA并不等同于crypto map,在一个物理接口上只可以配置一个MAP,但可以有很多的SA,可以将MAP看做是一个接口上的SA的集合体,包括阶段1和阶段2所有的SA,这也是为什么MAP配置错误,阶段1的SA都无法建立的原因。 * 教员演示,讲解注意事项 * * * * * * B e n e t BENET 4.0 B e n e t BENET 4.0 */33 BENET 4.0 B e n e t BENET 4.0 */35 B e n e t BENET 4.0 */35 第五章 IPSec VPN 原理与配置 —— 理论部分 简述NAT控制的作用? 简述NAT豁免的作用? 简述ASA的远程管理方式有哪些? 课程回顾 理解VPN实现的各种安全特性 理解ISAKMP/IKE两个阶段的协商建立过程 会在Cisco路由器上配置IPSec VPN 技能展示 本章结构 VPN技术 加密算法 数据报文验证 IPSec VPN 原理与配置 VPN的定义 IPSec VPN VPN概述 IPSec连接 ISAKMP/IKE阶段2 ISAKMP/IKE阶段1 IPSec VPN的配置实现 VPN的模式与类型 广域网存在各种安全隐患 网上传输的数据有被窃听的风险 网上传输的数据有被篡改的危险 通信双方有被冒充的风险 VPN的定义2-1 Internet R2 R1 VPN建立“保护”网络实体之间的通信 使用加密技术防止数据被窃听 数据完整性验证防止数据被破坏、篡改 通过认证机制确认身份,防止数据被
显示全部
相似文档