做网站可以用哪些语言网站文章不收录的原因

当前位置： 首页 > news >正文

做网站可以用哪些语言,网站文章不收录的原因,泰州网络科技有限公司,提升学历有哪几种途径含金量高的目录 IPSEC IPSEC可以提供的安全服务 IPSEC 协议簇 两种工作模式 传输模式 隧道模式 两个通信保护协议#xff08;两个安全协议#xff09; AH#xff08;鉴别头协议#xff09; 可以提供的安全服务 报头 安全索引参数SPI 序列号 认证数据 AH保护范围 传输模…目录 IPSEC IPSEC可以提供的安全服务 IPSEC 协议簇 两种工作模式 传输模式 隧道模式 两个通信保护协议两个安全协议 AH鉴别头协议 可以提供的安全服务 报头 安全索引参数SPI 序列号 认证数据 AH保护范围 传输模式 隧道模式 ESP(封装安全载荷协议) 可以提供的安全服务 ESP的头部 ESP保护范围 传输模式 隧道模式 AH和ESP对比 AD和ESP传输模式联合使用 IKE IPSec手工创建流程 IPSec自动创建流程 使用IKE动态建立IPSEC SA IKE版本 IKE协议包含的三个协议 IKE的两个阶段 阶段1 阶段1过程 交互过程的数据包 主模式和野蛮模式区别 阶段2                                             快速模式 阶段2过程 需要协商的安全参数 PFS技术 数据传输阶段 VPN黑洞 解释域 安全策略数据库SPD 安全关联数据库SPA IKE V2 V2和V1相比较的优势 传输效率 认证 IPSec应用场景 VPN的网关部署模式 VPN的单臂部署 — 在NAT环境下的VPN部署 在不同阶段出现问题 问题1 解决方案 问题2 解决方案 问题3 解决方案 结论 NAT-T技术 通过IKE建立IPSEC SA流程 命令行配置  V1版本这个配置以网络部署模式作为例子 IPSEC IPSEC基于网络层的应用密码学的安全通信协议组 IPV6中IPSEC是要求强制使用的但是IPV4中作为可选项使用 IPSEC可以提供的安全服务 机密性 — 数据加密 完整性 — 防篡改 可用性 — 在批准者需要时可以立即获得与信息相关的信息资产。 不可否认性 — 数据源鉴别 重传攻击攻击者截获登陆的数据包然后攻击者自己发送这个登陆包。通过添加一个一次的序列号就可以防止这个攻击了 有限的流量保密 —在IPSEC中可以抓取感兴趣流即可以设定哪些流量需要进入IPSEC隧道继续保密传输哪些流量不需要进入到通道中。 IPSEC 协议簇 两种工作模式 传输模式 传输模式的工作过程 封装方式不改变原有的IP包头在原始的数据包头后面添加IPSEC包头将原来的数据封装成被保护的数据 作用因为没有添加新的IP头部所以无法跨越公网建立隧道。适合在私网内部数据传输时进行安全保障。 隧道模式 封装方式需要增加新的IP头部其后面是IPSEC的包头之后将原来的整个数据包进行分装保护。 作用适用于需要跨越公网的环境。 两个通信保护协议两个安全协议 AH鉴别头协议 属于网络层协议但是封装在IP协议之上 协议号51 GRE协议号47 可以提供的安全服务 数据的完整性保证 — 其最主要的工作是保证数据传输的完整性但是没有办法对数据进行加密保护。 数据源认证 — 身份认证 抗重放攻击 — 包含序列号 报头 安全索引参数SPI IPSEC在建立通道之前双方需要协商安全参数安全参数协商完成后则建立对应的会话这个会话就是安全联盟 安全参数索引SPI用来唯一的标识SA安全联盟 IPSEC SA是分方向的要想构建一个双向的安全通道则需要建立两条方向相反的SA则不同的SA需要使用不同的SPI来进行标识相当于是SA的一个ID。 序列号 用来防重放攻击 认证数据 AH要保护数据是以完整性校验来保护的它会将后面数据hash然后放在认证数据里面 AH保护范围 传输模式 隧道模式 因为AH在进行完整性校验时会包含IP头部的内容所以在IP头部中有一些在传输过程中就会发生变化的数据比如TTL、TOS这样的数据将不做校验。因为会校验IP地址所以AH无法应用在NAT环境下。 ESP(封装安全载荷协议) 属于网络层协议封装在IP协议之上,协议号50 可以提供的安全服务 1数据的完整性校验 2数据源认证 3抗重放的保护 4数据保密 — 注意这个是AH所不具备的一个安全服务 — 可以进行选 择性加密 ESP的头部 ESP报尾当加密时使用分组交换的时候要满足一定位数当位数不够的时候报尾的填充和填充头部就可以用来补充。下一头部可以标识上层协议。认证数据是所有东西都校验完了放东西的地方。 ESP保护范围 传输模式 IP头部不加密原因是要过其他层加密了就过不去了 隧道模式 AH和ESP对比 AD和ESP传输模式联合使用 IKE IPSec手工创建流程 1、创建acl抓取流量 2、配置IPSec安全提议首先选择协议类型也就是选AH还是ESP然后再选择加密算法、再选择校验算法、如果选了AH的话就选AH的校验再选择封装模式。 3、做IPSec策略首先关联流量和安全提议再去定义自己的通道和对端的通道地址。标识SPI的id再配置一个和认证有关的也就是对方过来的时候需要的证书 4、接口处调用相应的安全策略 注手工建立后这个通道将一直存在 IPSec自动创建流程 使用IKE动态建立IPSEC SA IKE版本 IKE有V1和V2的版本 下面将以V1来学习 IKE协议包含的三个协议 ISAKMP是IKE协议的主体剩下的两个协议用来提供支持 SKEME 提供有关密钥的一些支持 OAKLEY 提供加密算法有关的支持 ISAKMP互联网安全联盟密钥管理协议 用来协商 ISAKMP是一个应用层协议基于传输层工作他在传输层是基于UDP500端口且ISAKMP要求源和目标端口都是UDP的500协商成功与否与这个有很大关系所以配置的时候防火墙需要放通UDP的500端口。 IKE的两个阶段 阶段1 协商构建IKE SAISAKMP SA其主要目的是获得建立IPSEC SA时参数协商过程中的安全通道对协商参数进行安全保护。IKE SA和IPSec SA不同IKE SA是不区分源和目标也就是单向的。 阶段1过程 主模式 默认使用IP地址作为身份标识因为身份标识发送是在第五六个数据包中但是我们在前面的几个数据包过程都需要提取预共享密钥计算需要身份标识来确定是要用哪个预共享密钥要是等身份标识的话等不下去了因为这里有一个时间上的错位所以只能看IP地址了然后在第五六个数据包的时候将IP地址和ID对比再进行身份认证确认。所以这个东西也很怕NAT这个身份标识和身份认证是不一样的在IPSec中多使用预共享密钥进行身份认证然后这个预共享密钥可能一个人和另外好几个人都有。如何区分不同的人的预共享密钥就依靠这个身份标识。 交互过程的数据包 需要经过6个数据包交互来完成IKE SA的建立安全性较高 第一二个数据包SA的交换也就是安全联盟的参数交换 CiCr携带的是cookie这个是IKEV1版本中的做法唯一标识一个SA。到了V2版本这里使用的是SPI在V1版本中其作用是相似 Sai,Sar用来进行进行安全参数协商使用“五元组”来协商下面是五元组 加密算法哈希算法身份认证DH组SA存活时间 DES             MD5        PSK           DH2      86400S 注意这里协商的所有参数是为了构建IKE SA使用参数 注意如果是手工建立的SA则将永久有效但是如果使用IKE建立的SA则将存在老化时间默认是86400S如果时间到了则将拆除通道重新建立。 注意DH算法分组常用分组为DH1DH2DH5DH14组号越大则安全性越高 注意这里的身份认证是在协商身份认证的方式 如果对方在回复时发现里面的参数本地不支持则将回复一个负载拒绝报文则中断SA的构建。但是其中的SA存活时间可以不同如果不同则按照较小的来执行 第三四个数据包 NiNr — 是两端发送时携带的一个随机数,参与DH算法 XY — DH算法中需要交换的两个参数 在DH算法中我们会生成4把密钥 且在密钥的计算中就用到了预共享密钥不用传递预共享而是直接蕴涵在计算的过程中。所有其他密钥在计算时都需要加入种子密钥 SKEYID_e是加密密钥可以用于第5.6个数据包以及第二阶段IPSEC SA协商过 程中的数据加密 CKY_ICKY_R — 前面过程中传递的cookie值 SKEYID_a是验证密钥他是在第一阶段56个数据包以及第二个阶段中进行HASH算法时使用的密钥哈希算法也可以结合密钥一起使用其技术叫做HMACHMAC是融入密钥的hash相比普通的hash来说更安全 SKEYID_d是推导密钥他可以用来计算最终密钥建立IPSec SA用来加密数据的密钥的一个参数 第五六个数据包用来进行身份认证以及数据验证,这两个数据包是进行加密的 第五、六个数据包进行身份认证是依靠上面种子密钥计算时用到的预共享密钥另外一方只要可以解密这两个数据包就可以用到这个预共享密钥所以数据包种就不用携带预共享密钥了 Idi/Idr — 身份标识(IP地址) Hashi/Hashr — 使用哈希算法来校验之前传递的安全参数 — 通过HMAC来进行运算使用之前计算的验证密钥SKEYID_a 野蛮模式 可以自定义身份标识并且速度较快仅需使用3个数据包就可以完成IKE SA的建立 建立过程 注意野蛮模式前两个数据包中的参数用来协商密钥信息则第三个数据包可以进行加密传输因为身份信息是通过明文传递的所以安全性较低 主模式和野蛮模式区别 阶段2                                             通过阶段一构建的安全通道传递需要建立IPSEC SA使用的安全参数用来协商最终的密钥。 快速模式 阶段2过程 需要协商的安全参数 加密算法 — 最终进行数据加密使用的算法协商完加密算法之后需要计算 出最终使用的加密密钥需要根据第一阶段计算出来的推导密钥计算得出 Hash算法 — 最终进行数据传输时使用的hash算法 安全协议 — AH/ESP 封装模式 — 隧道/传输 存活时间 PFS技术 正常情况下第二阶段计算的加密密钥是通过第一阶段计算出的推导密钥衍生出来的但这样可能导致第一阶段密钥泄露影响第二阶段密钥 那么可以开启PFS的功能之后将不再使用之前的推导密钥将重新使用DH算法计算出一个新的密钥 注PFS功能需要两边同时开启方可生效 数据传输阶段 通过AH或者ESP来传输数据 VPN黑洞 数据传输的时候可能出现VPN黑洞 隧道建立之后如果其中一台设备出现异常另一端还在SA的有效期内则数据将出现有去无回的情况形成VPN黑洞 解决方案 DPD死亡对等体检测 类似于心跳检测机制 利用的是空闲计时器原理 — 两边同时开启一个计时器有数据包通过时直接刷新计 时器如果计时器归0则会开始发送DPD的探测报文对方收到后将回复应答正 常回复则刷新计时器如果没有应答则连续发送5次都没有应答则将拆掉通道 解释域 IPSec执行都在解释域中执行 安全策略数据库SPD 存放策略的数据库数据来到来到边界首先在SPD里面找对他的处理 安全关联数据库SPA 和和加密密钥相关的一些东西和SA的有关一些参数都会存在这个数据库里 IKE V2 V2和V1相比较的优势 传输效率 IKEV1协商效率较低主模式6个 快速模式3个 9个野蛮模式3个 快速模式3个 6个 IKEV2也存在两个阶段这两个阶段均仅需两个数据包即可完成总共4个数据包 认证 IKEV1是不支持远程用户接入认证。但是可以结合L2TP VPN实现效果 IKEV2是支持用户认证的加入了一种叫做EAP的认证。 IPSec应用场景 VPN的网关部署模式 由VPN设备放置在边界但是由于VPN在边界所以会存在存在安全风险 解决方法 1使用安全设备集成VPN功能作为边界防火墙 2将VPN设备下沉到内网中下沉到内网的就要做NAT这样就要出问题 VPN的单臂部署 — 在NAT环境下的VPN部署 在不同阶段出现问题 问题1 IKE协商阶段的身份认证问题 如果选择主模式默认身份标识是IP地址下面的VPN设备要出去需要NAT转换这样身份标识不久对不上了 解决方案 使用野蛮模式 问题2 IKE在协商时要求源目端口都必须是UDP 500如果NAT做了端口转换技术则将可能修改原先端口导致对接失败 解决方案 使用NAT-T方案NAT穿越技术 问题3 在数据传输阶段如果选择AH协议因为AH协议在进行完整性校验时会包含IP头部或者新家的IP头部中的内容如果在NAT环境下使用将导致校验失败。那原本使用NAT技术时TCP尾部的校验就可以通过呢原因就是NAT把尾部的校验和一起修改了。但是在ESP中为啥不能修改了因为ESP把IP的数据都加密了无法修改。 这个意思和上面一样。因为TCP或者UDP的封装中包含伪头部校验会校验IP头部中包含IP地址在内的12个字节的内容一般NAT在进行转换时会将地址和校验和一起更改在 ESP加密之后的场景中因为传输层的数据被加密导致伪头部校验和无法修改 最终会因为校验失败导致数据传输失败 解决方案 使用ESP和隧道模式 结论 所以在NAT模式下的组合 — 野蛮模式 ESP 隧道封装 但是我们再观察数据包由于传输层被加密了所以没有端口这个东西而我们现在NAT出去一般都是基于端口的转换这样是不是又出现了问题这个问题又要借助NAT-T技术来解决了 NAT-T技术 通过IKE建立IPSEC SA流程 1、通过ACL抓取要保护流量 2、配置IKE安全提议配置加密算法、配置认证模式、配置hash算法、配置DH、配置老化时间 3、配置IKE对等体相当于邻居的建立选择版本、配置身份认证的参数、配置交换模式也就是主模式还是野蛮模式、还需要配置一个对端IP 4、配置IPSec安全提议配置协议是AH还是ESP、根据你选择的协议来决定下面选择如果是AH就配置AH的认证算法如果你选的是ESP的话你就配置ESP的加密和ESP的认证最后配置封装模式也就是隧道模式还是传输模式 5、配置IPSec策略、引用刚刚配置的策略的策略配置pfs这里主要就是将前面配置的东西调用 6、接口调用 命令行配置  V1版本这个配置以网络部署模式作为例子 1抓取感兴趣流 [r1]acl 3000 — 注意在IPSEC中只能调用高级ACL列表 [r1-acl-adv-3000] [r1-acl-adv-3000]rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 2配置IKE的安全提议 [r1]ike proposal 1 — 创建IKE提议注意后面需要添加一个数字作为区分标识 [r1-ike-proposal-1] [r1-ike-proposal-1]encryption-algorithm aes-cbc-128 — 缺省值是DES [r1-ike-proposal-1]authentication-algorithm md5 — 缺省值是SHA1 [r1-ike-proposal-1]authentication-method pre-share — 缺省是预共享密钥 [r1-ike-proposal-1]dh group2 — 缺省为组1 [r1-ike-proposal-1]sa duration 86400 — 不要太小最好大于600S,太小了占用资源大 3配置IKE对等体 [r1]ike peer aa v1 — 需要给对等体起个名字第一次进入时需要选择使用的IKE版本 [r1-ike-peer-aa]ike-proposal 1 — 关联安全提议 [r1-ike-peer-aa]pre-shared-key cipher 123456 — 定义预共享密钥注意两边需要相同 [r1-ike-peer-aa]exchange-mode main — 选择一阶段模式缺省是主模式 [r1-ike-peer-aa]remote-address 23.0.0.2 — 1建立SA对等体的地址2参与查找预共 享密钥3身份标识 4配置IPSEC安全提议 [r1]ipsec proposal aa — 创建IPSEC提议 [r1-ipsec-proposal-aa] [r1-ipsec-proposal-aa]transform esp — 配置安全协议默认ESP [r1-ipsec-proposal-aa]encapsulation-mode tunnel — 选择封装模式默认隧道模式 [r1-ipsec-proposal-aa]esp encryption-algorithm aes-128 — 配置esp加密算法缺省des [r1-ipsec-proposal-aa]esp authentication-algorithm md5 — 配置esp鉴别算法缺省md5 5配置IPSEC的安全策略 [r1]ipsec policy aa 1 isakmp — 需要定义名称和编号首次进入还需要定义手工还 是IKE  [r1-ipsec-policy-isakmp-aa-1] [r1-ipsec-policy-isakmp-aa-1]security acl 3000 — 关联ACL列表 [r1-ipsec-policy-isakmp-aa-1]ike-peer aa — 关联IKE对等体 [r1-ipsec-policy-isakmp-aa-1]proposal aa — 关联IPSEC 提议 6接口调用 [r1-GigabitEthernet0/0/0]ipsec policy aa