百度站点管理成都网站建设 推广行

当前位置： 首页 > news >正文

百度站点管理,成都网站建设 推广行,html in wordpress,网站建设中最重要的是什么意思VPN相关介绍 VPN#xff1a;虚拟私有网络 例如#xff1a;像这种不加密的 PPTPL2TP ——- 一般用在windows server 服务端#xff08;但是大多数企业不用这个#xff09; 假如总公司内部的PC1要去访问分公司内部的PC2#xff08;一般用在公司服务器有内网的服务#…VPN相关介绍 VPN虚拟私有网络 例如像这种不加密的 PPTPL2TP ——- 一般用在windows server 服务端但是大多数企业不用这个 假如总公司内部的PC1要去访问分公司内部的PC2一般用在公司服务器有内网的服务 目的ip172.16.1.1目的ip192.168.1.1路由器传递分两种数据 管理型数据路由表标签LSAhello包等为了通信而传递的数据业务型数据ERPOAftphttp等真实传输的数据 要确保两边的内网的数据要像局域网一样能够通信向运营商申请专线 早期专线业务FR(帧中继)专线带宽只有1.544M一根线一根线的拉总部牵一根线直接到分部主要是安全性和保密性好现在已经没有了现在专线业务MPLS专线用于大型的跨国企业异地化企业等并不是物理线路实现专线而是通过逻辑上的标签路由是给这个MPLS打底层的最近很火的专线是SDN把路由器变成智能的通过一个控制器来控制流量的分发 跨越式的VPN企业自己弄不申请专线的情况下 此时PC1去PC2目的ip和源ip都是内网的我们可以在这个外面再打一个公网ip运营商接受到我们这个数据他看到的就是公网这一层帮我们转发对于运营商来说那边是察觉不到的对于我们只是给地址打上了一个双报头
IPSec相关介绍 跨越式VPN和IPSec两者有什么关系 VPN是VPNIPsec是IPSecIPSec是基于ip层的一个加密也就是说基于VPN的基础上把这个数据给加密了IPSec不是一个算法也不是一个加密方式它是一个协议组协议组里面有很多协议 什么是IPSec VPN IPSec早期是针对ipv6设计的后来针对ipv4做了一个IPSec的拓展版本IPSec VPN IPSecInternet Protocol Security 基于IP协议的安全VPNVirtual Private Network 虚拟专用网络IPSec VPNIPSec协议组实现IP数据包传输安全的一种VPN技术VPN建立成功后因为用户的数据包传输实际仍需要经过公共网络因此存在极大的安全隐患所以需要利用IPSec技术来保证数据包传输的安全IPSecVPN 技术要求再VPN中传输数据的同时确保数据包传输的安全性从建立模型来看IPSec VPN是一种Overlay VPN MPLS VPN和IPSec VPN的简要区别 MPLS VPN 基于标签的转发数据是没有被加密的 安全数据被截取到了会不会被爆破私密数据会不会被截取到从某种意义上来说基于物理转发MPLS一般只能保障私密性和转发速度安全性是不能保障的因为数据是没有被加密的 IPSec VPN 既针对于数据安全性又针对于数据私密性它都是有一个控制机制的算法
传统的数据通信 一般我们都使用NAT R1的内网访问R2的内网为什么访问不过去 目的ip172.16.1.1源ip192.168.1.1R1内部数据出来的时候经过R1转化的是源ip地址到达运营商目标地址还是内网的还是没办法转发 R1的内网访问R2的内网有没有一种方式能够访问过去不做专线也不做VPN还要经过SP 用NAT就可以 NAT有一个outside功能可以转换目的地址把目的ip转换成对方的公网地址运营商此时就可以转发当数据到达R2之后R2会针对过来的数据转发到内部 NAT是非常耗费资源内存的 每条NAT耗费内存64k 设备内的存储器 RAM内存flash相当于C盘系统盘ROM存放bootstrapnvram存config
IPSec VPN理解重点 IPSec VPN技术是由两种技术共同组成因此该技术的实施过程分成两个步骤来完成第一是要配置VPN,第二是要配置IPSec VPN的建立即为一个网络的建立而网络的建立除去实际链路的连接以外就是路由的建立过程因此配置VPN就是配置路由的过程.这里的路由指的是站点的内网路由 IPsec的配置就是利用已经存在的安全协议组来协商如何安全的交互数据; 数据传输如何才能安全 私密性加密数据包防止非法用户截取并且获取数据包内容完整性确保数据包在传输过程中不会被非法用户篡改源认证确保数据包发送者的真实身份是否为合法用户不可否认性发送者不可否认曾经发送过该数据 网络攻击的主要手段 窃听攻击 Eavesdrop ping 数据交互过程中攻击者通过一些协议分析工具获取到数据信息因为常见的数据交互都是通过明文方式完成的比如常见的协议或应用TelnetFTPHTTP等等解决方法对原始的明文数据进行加密Encryption如下实验当R1 telnet R2输入username cisco password cisco时所有信息都是明文显示因此容易被攻击者截获并且获知 SW配置 monitor session 1 source interface Et0/0monitor session 1 destination interface Et0/2 然后用R1telnet到R1用wireshark抓包SW的e0/2端口
欺骗攻击 Spoofing 攻击者通过伪装假冒成正常用户于对端进行通信 解决方法身份认证Authentication Identify 理解重点数据加密与身份认证的关系 数据包即便在传输过程中进行了加密处理但是仍然需要在接受方发送方进行身份认证 在IPSec实际使用过程中接受方会先解密在认证保护认证信息的安全 例如 R1去往R2的数据信息加密了PC抓取到的信息就看不到里面的数据了但是还是要攻击你 PC抓取R1去往R2的数据包并且复制一份发给R2让R2以为PC就是R1之后回包就回给PC
中间人攻击 Man-in-the-Middle Attack 攻击者针对通信双方分别假冒对端身份与通信双方分别建立数据通信从而让用户认为通信是在合法的用户之间进行的 因为有加密与身份认证过程的错在因此要想实现中间人攻击首先就要破坏加密和身份认证过程 最典型的一种方法为重放攻击Relay Attack攻击者发送一个目的主机已经收到过的数据包从而完成欺骗 解决方法通过加入序列号或者是一次性随机数random来防止重放攻击从而阻止中间人攻击例如TCP连接PPP CHAP认证 tcp连接防范机制 正常发数据数据都会有一个sequence序列号R1给R2发送数据序列号假如为30PC抓取到这个序列号为30的数据再发送数据给R2序列号也为30但有可能R1给R2通信的数据不是30号的数据或者应用层处理数据没有处理到这个层面会导致失败所以sequence序列号不止运用再tcp重传也能够防范中间人攻击 中间人攻击典型案例 黑客攻击PC让PC来攻击server 黑客pingPC ping 30.1.1.2 source 20.1.1.2目的ip30.1.1.2源ip10.1.1.2 20.1.1.2伪装源ip把自己伪装成PCPC收到包之后回包就会回给server黑客的配置 int lo 0 ip add 20.1.1.2 255.255.255.0 解决方法 在ISP连接黑客的接口上打上一条ip verify unicast reverse-path开启单播逆向路径转发URPF Unicast Reverse Path Forwarding 它是基于cdf表的查询 show ip cef 查看思科快速转发表它会记录每一个接口对应的网段会有一个校验 PPP的random防止重放攻击 R2给R1发送一个拨号的请求R1收到拨号请求之后会给R2回复三个信息 主机名usernameR1id号每发出一次就有一个id号比如第一次id是1第二次就是21randomA R2收到回复消息之后会把对方的randomA提取出来然后找到自己的密码B把两者合在一起做一个hash #mermaid-svg-4TFHPc5mfTRvmh2g {font-family:“trebuchet ms”,verdana,arial,sans-serif;font-size:16px;fill:#333;}#mermaid-svg-4TFHPc5mfTRvmh2g .error-icon{fill:#552222;}#mermaid-svg-4TFHPc5mfTRvmh2g .error-text{fill:#552222;stroke:#552222;}#mermaid-svg-4TFHPc5mfTRvmh2g .edge-thickness-normal{stroke-width:2px;}#mermaid-svg-4TFHPc5mfTRvmh2g .edge-thickness-thick{stroke-width:3.5px;}#mermaid-svg-4TFHPc5mfTRvmh2g .edge-pattern-solid{stroke-dasharray:0;}#mermaid-svg-4TFHPc5mfTRvmh2g .edge-pattern-dashed{stroke-dasharray:3;}#mermaid-svg-4TFHPc5mfTRvmh2g .edge-pattern-dotted{stroke-dasharray:2;}#mermaid-svg-4TFHPc5mfTRvmh2g .marker{fill:#333333;stroke:#333333;}#mermaid-svg-4TFHPc5mfTRvmh2g .marker.cross{stroke:#333333;}#mermaid-svg-4TFHPc5mfTRvmh2g svg{font-family:“trebuchet ms”,verdana,arial,sans-serif;font-size:16px;}#mermaid-svg-4TFHPc5mfTRvmh2g .label{font-family:“trebuchet ms”,verdana,arial,sans-serif;color:#333;}#mermaid-svg-4TFHPc5mfTRvmh2g .cluster-label text{fill:#333;}#mermaid-svg-4TFHPc5mfTRvmh2g .cluster-label span{color:#333;}#mermaid-svg-4TFHPc5mfTRvmh2g .label text,#mermaid-svg-4TFHPc5mfTRvmh2g span{fill:#333;color:#333;}#mermaid-svg-4TFHPc5mfTRvmh2g .node rect,#mermaid-svg-4TFHPc5mfTRvmh2g .node circle,#mermaid-svg-4TFHPc5mfTRvmh2g .node ellipse,#mermaid-svg-4TFHPc5mfTRvmh2g .node polygon,#mermaid-svg-4TFHPc5mfTRvmh2g .node path{fill:#ECECFF;stroke:#9370DB;stroke-width:1px;}#mermaid-svg-4TFHPc5mfTRvmh2g .node .label{text-align:center;}#mermaid-svg-4TFHPc5mfTRvmh2g .node.clickable{cursor:pointer;}#mermaid-svg-4TFHPc5mfTRvmh2g .arrowheadPath{fill:#333333;}#mermaid-svg-4TFHPc5mfTRvmh2g .edgePath .path{stroke:#333333;stroke-width:2.0px;}#mermaid-svg-4TFHPc5mfTRvmh2g .flowchart-link{stroke:#333333;fill:none;}#mermaid-svg-4TFHPc5mfTRvmh2g .edgeLabel{background-color:#e8e8e8;text-align:center;}#mermaid-svg-4TFHPc5mfTRvmh2g .edgeLabel rect{opacity:0.5;background-color:#e8e8e8;fill:#e8e8e8;}#mermaid-svg-4TFHPc5mfTRvmh2g .cluster rect{fill:#ffffde;stroke:#aaaa33;stroke-width:1px;}#mermaid-svg-4TFHPc5mfTRvmh2g .cluster text{fill:#333;}#mermaid-svg-4TFHPc5mfTRvmh2g .cluster span{color:#333;}#mermaid-svg-4TFHPc5mfTRvmh2g div.mermaidTooltip{position:absolute;text-align:center;max-width:200px;padding:2px;font-family:“trebuchet ms”,verdana,arial,sans-serif;font-size:12px;background:hsl(80, 100%, 96.2745098039%);border:1px solid #aaaa33;border-radius:2px;pointer-events:none;z-index:100;}#mermaid-svg-4TFHPc5mfTRvmh2g :root{–mermaid-font-family:“trebuchet ms”,verdana,arial,sans-serif;} hash AB C R2收到回复消息后还会给R1回复三个信息 主机名usernameR2这个不是电脑名而是办宽带给你的账户名id号1randomC R1收到之后会查看主机名是谁R2然后查看自己的数据库看R2对应的密码是谁把自己之前的随机数A和R2对应的密码B结合做一个hash #mermaid-svg-MGH4w0fuiOueVWZo {font-family:“trebuchet ms”,verdana,arial,sans-serif;font-size:16px;fill:#333;}#mermaid-svg-MGH4w0fuiOueVWZo .error-icon{fill:#552222;}#mermaid-svg-MGH4w0fuiOueVWZo .error-text{fill:#552222;stroke:#552222;}#mermaid-svg-MGH4w0fuiOueVWZo .edge-thickness-normal{stroke-width:2px;}#mermaid-svg-MGH4w0fuiOueVWZo .edge-thickness-thick{stroke-width:3.5px;}#mermaid-svg-MGH4w0fuiOueVWZo .edge-pattern-solid{stroke-dasharray:0;}#mermaid-svg-MGH4w0fuiOueVWZo .edge-pattern-dashed{stroke-dasharray:3;}#mermaid-svg-MGH4w0fuiOueVWZo .edge-pattern-dotted{stroke-dasharray:2;}#mermaid-svg-MGH4w0fuiOueVWZo .marker{fill:#333333;stroke:#333333;}#mermaid-svg-MGH4w0fuiOueVWZo .marker.cross{stroke:#333333;}#mermaid-svg-MGH4w0fuiOueVWZo svg{font-family:“trebuchet ms”,verdana,arial,sans-serif;font-size:16px;}#mermaid-svg-MGH4w0fuiOueVWZo .label{font-family:“trebuchet ms”,verdana,arial,sans-serif;color:#333;}#mermaid-svg-MGH4w0fuiOueVWZo .cluster-label text{fill:#333;}#mermaid-svg-MGH4w0fuiOueVWZo .cluster-label span{color:#333;}#mermaid-svg-MGH4w0fuiOueVWZo .label text,#mermaid-svg-MGH4w0fuiOueVWZo span{fill:#333;color:#333;}#mermaid-svg-MGH4w0fuiOueVWZo .node rect,#mermaid-svg-MGH4w0fuiOueVWZo .node circle,#mermaid-svg-MGH4w0fuiOueVWZo .node ellipse,#mermaid-svg-MGH4w0fuiOueVWZo .node polygon,#mermaid-svg-MGH4w0fuiOueVWZo .node path{fill:#ECECFF;stroke:#9370DB;stroke-width:1px;}#mermaid-svg-MGH4w0fuiOueVWZo .node .label{text-align:center;}#mermaid-svg-MGH4w0fuiOueVWZo .node.clickable{cursor:pointer;}#mermaid-svg-MGH4w0fuiOueVWZo .arrowheadPath{fill:#333333;}#mermaid-svg-MGH4w0fuiOueVWZo .edgePath .path{stroke:#333333;stroke-width:2.0px;}#mermaid-svg-MGH4w0fuiOueVWZo .flowchart-link{stroke:#333333;fill:none;}#mermaid-svg-MGH4w0fuiOueVWZo .edgeLabel{background-color:#e8e8e8;text-align:center;}#mermaid-svg-MGH4w0fuiOueVWZo .edgeLabel rect{opacity:0.5;background-color:#e8e8e8;fill:#e8e8e8;}#mermaid-svg-MGH4w0fuiOueVWZo .cluster rect{fill:#ffffde;stroke:#aaaa33;stroke-width:1px;}#mermaid-svg-MGH4w0fuiOueVWZo .cluster text{fill:#333;}#mermaid-svg-MGH4w0fuiOueVWZo .cluster span{color:#333;}#mermaid-svg-MGH4w0fuiOueVWZo div.mermaidTooltip{position:absolute;text-align:center;max-width:200px;padding:2px;font-family:“trebuchet ms”,verdana,arial,sans-serif;font-size:12px;background:hsl(80, 100%, 96.2745098039%);border:1px solid #aaaa33;border-radius:2px;pointer-events:none;z-index:100;}#mermaid-svg-MGH4w0fuiOueVWZo :root{–mermaid-font-family:“trebuchet ms”,verdana,arial,sans-serif;} hash BA D 查看D和C的hash值是否一样
如何具体实现私密性 为了实现数据传输的私密性需要对数据启用加密而加密则需要以来加密学来完成加密学由两部分构成算法与密钥古典加密学主要研究算法现代加密学主要研究密钥算法是公开的密钥是不公开的密钥是基于不同的密钥最终加密的方式是不同的 移位式Transposition Cipher 将字母重新排列的方法来加密数据明文thinkmo is a good place加密密钥5五个字母为一分之后再竖从上往下看加密密文tmgl hooa iioc nsde kap 替代式Subsititution Cipher 将一组字母换成其他字母或符号数据明文thinkmo is a good place 加密密钥2加密算法用每个字母之后的第N个字母替换加密密文vjkpmq ku c iqqf rnceg 维吉尼亚算法 明文和密钥的xy轴对应来看 数据明文thinkmoisagoodplace加密密钥goodgoodgoodgoodgo加密算法密码表加密密文zvwqqaclyowrurdzdis 理解重点 针对现代加密学中的算法与密钥算法式可以公开的但是密钥必须是私密的加密需要key解密同样需要key一个算法是否可靠取决于算法的先进性同时也取决于key的长度 加密算法的分类 对称加密算法 代表算法DES淘汰3DESAESRC4主要用于SSL VPN特点加密和解密使用相同的密钥优点速度快安全紧凑加密后对原始数据长度几乎不改变例如加密前为100k加密后也是100k缺点密钥的安全交换以及管理是个问题对称加密算法一般用来进行数据流的加密业务型数据