信息安全技術(shù)（HCIA-Security）（微課版）（第2版） 課件 復(fù)習(xí)

信息安全技術(shù)總復(fù)習(xí)網(wǎng)絡(luò)參考模型常見網(wǎng)絡(luò)設(shè)備NAT地址轉(zhuǎn)換防火墻雙機熱備加解密技術(shù)應(yīng)用1.網(wǎng)絡(luò)參考模型OSI七層模型應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層1234567提供應(yīng)用程序間通信處理數(shù)據(jù)格式、數(shù)據(jù)加密等建立、維護和管理會話建立主機端到端連接尋址和路由選擇提供介質(zhì)訪問、鏈路管理等比特流傳輸APDUPPDUSPDUSegmentPacketFrameBit上三層下四層TCP/IP參考模型提供應(yīng)用程序網(wǎng)絡(luò)接口建立端到端連接尋址和路由選擇物理介質(zhì)訪問HTTP,Telnet,FTP,TFTP,DNS網(wǎng)絡(luò)接口層網(wǎng)絡(luò)層傳輸層應(yīng)用層Ethernet,802.3,PPP,HDLC,FRTCP/UDPIPICMP,IGMPARP,RARP2.常見網(wǎng)絡(luò)設(shè)備交換機交換機工作在數(shù)據(jù)鏈路層，轉(zhuǎn)發(fā)數(shù)據(jù)幀。SWA主機A主機C主機BIP:/24MAC:00-01-02-03-04-AAIP:/24MAC:00-01-02-03-04-BBIP:/24MAC:00-01-02-03-04-CCG0/0/1G0/0/2G0/0/3交換機的轉(zhuǎn)發(fā)行為泛洪（Flooding）轉(zhuǎn)發(fā)（Forwarding）丟棄（Discarding）路由器功能：在不同的網(wǎng)絡(luò)之間轉(zhuǎn)發(fā)數(shù)據(jù)包。網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層RouterARouterBRouterC應(yīng)用層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層HostAHostB應(yīng)用層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層RouterCRouterBRouterA路由選路路由器負責為數(shù)據(jù)包選擇一條最優(yōu)路徑，并進行轉(zhuǎn)發(fā)。RTARTBRTCRTD防火墻防火墻主要用于保護一個網(wǎng)絡(luò)區(qū)域免受來自另一個網(wǎng)絡(luò)區(qū)域的網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)入侵行為。防火墻安全區(qū)域安全區(qū)域（SecurityZone），或者簡稱為區(qū)域（Zone）。Zone是本地邏輯安全區(qū)域的概念。Zone是一個或多個接口所連接的網(wǎng)絡(luò)。DMZ區(qū)域Trust區(qū)域Untrust區(qū)域防火墻安全區(qū)域與接口關(guān)系安全區(qū)域與接口關(guān)系防火墻是否存在兩個具有完全相同安全級別的安全區(qū)域？防火墻是否允許同一物理接口分屬于兩個不同的安全區(qū)域？防火墻的不同接口是否可以屬于同一個安全區(qū)域？G0/0/2

DMZ區(qū)域G0/0/3

Untrust區(qū)域G0/0/0

Trust區(qū)域G0/0/1

Trust區(qū)域防火墻安全策略定義安全策略是按一定規(guī)則控制設(shè)備對流量轉(zhuǎn)發(fā)以及對流量進行內(nèi)容安全一體化檢測的策略。規(guī)則的本質(zhì)是包過濾。主要應(yīng)用對跨防火墻的網(wǎng)絡(luò)互訪進行控制。對設(shè)備本身的訪問進行控制。入數(shù)據(jù)流出數(shù)據(jù)流防火墻安全策略的原理BBAABBBAAAA

AAAAAAPolicy0：允許A后續(xù)操作Policy1：拒絕B后續(xù)操作防火墻安全策略防火墻安全策略作用：根據(jù)定義的規(guī)則對經(jīng)過防火墻的流量進行篩選，并根據(jù)關(guān)鍵字確定篩選出的流量如何進行下一步操作。步驟1：入數(shù)據(jù)流經(jīng)過防火墻步驟2：查找防火墻安全策略判斷是否允許下一步操作步驟３：防火墻根據(jù)安全策略定義規(guī)則對數(shù)據(jù)包進行處理默認策略操作3.NAT地址轉(zhuǎn)換NAT產(chǎn)生背景IPv4地址日漸枯竭；IPv6技術(shù)不能立即大面積替換；各種延長IPv4壽命的技術(shù)不斷出現(xiàn)，NAT就是其中之一。NAT的優(yōu)點與缺點優(yōu)點：實現(xiàn)IP地址復(fù)用，節(jié)約寶貴的地址資源。地址轉(zhuǎn)換過程對用戶透明。對內(nèi)網(wǎng)用戶提供隱私保護?？蓪崿F(xiàn)對內(nèi)部服務(wù)器的負載均衡。缺點：網(wǎng)絡(luò)監(jiān)控難度加大。限制某些具體應(yīng)用。NAT技術(shù)的基本原理NAT技術(shù)通過對IP報文頭中的源地址或目的地址進行轉(zhuǎn)換，可以使大量的私網(wǎng)IP地址通過共享少量的公網(wǎng)IP地址來訪問公網(wǎng)。內(nèi)網(wǎng)用戶FTPServer將私網(wǎng)源地址替換為公網(wǎng)地址將公網(wǎng)目的地址替換為私網(wǎng)地址目的IP：源IP：目的IP：源IP：目的IP：源IP：目的IP：源IP：NAT分類源NAT地址池方式出接口地址方式（EasyIP）服務(wù)器映射靜態(tài)映射（NATserver）源NAT地址池方式(1)不帶端口轉(zhuǎn)換的地址池方式。此種方式為一對一的IP地址的轉(zhuǎn)換，端口不進行轉(zhuǎn)換。丟棄Untrust轉(zhuǎn)換Trust源

目的源1目的源NAT地址池方式(2)帶端口轉(zhuǎn)換的地址池方式。將不同的內(nèi)部地址映射到同一公有地址的不同端口號上，實現(xiàn)多對一地址轉(zhuǎn)換。：7111：7112：7113Untrust轉(zhuǎn)換Trust源1源端口X

目的源源端口Y目的4.防火墻雙機熱備雙機熱備技術(shù)產(chǎn)生的原因傳統(tǒng)的組網(wǎng)方式如圖所示，內(nèi)部用戶和外部用戶的交互報文全部通過FirewallA。如果FirewallA出現(xiàn)故障，內(nèi)部網(wǎng)絡(luò)中所有以FirewallA作為默認網(wǎng)關(guān)的主機與外部網(wǎng)絡(luò)之間的通訊將中斷，通訊可靠性無法保證。FirewallA/24PC服務(wù)器內(nèi)部網(wǎng)絡(luò)/24VRRP在多區(qū)域防火墻組網(wǎng)中的應(yīng)用為防火墻上多個區(qū)域提供雙機備份功能時，需要在每一臺防火墻上配置多個VRRP備份組。DMZTrustUntrustUSGA/24MasterUSGBBackup/24備份組1VirtualIPAddress備份組2VirtualIPAddress備份組3VirtualIPAddressVRRP在防火墻應(yīng)用中存在的缺陷傳統(tǒng)VRRP方式無法實現(xiàn)主、備用防火墻狀態(tài)的一致性。USGAMasterUSGBBackupTrustDMZUntrustPC1PC2(1)(2)(3)(4)(7)會話表項Server(5)(6)(8)實際連線報文流徑(9)VRRP用于防火墻多區(qū)域備份為了保證所有VRRP備份組切換的一致性，在VRRP的基礎(chǔ)上進行了擴展，推出了VGMP（VRRPGroupManagementProtocol）來彌補此局限。DMZTrustUntrustUSGA/24vUSGB/24備份組2備份組3備份組1VGMP管理組VGMP管理組helloackVGMP組管理狀態(tài)一致性管理VGMP管理組控制所有的VRRP備份組統(tǒng)一切換。搶占管理當原來出現(xiàn)故障的主設(shè)備故障恢復(fù)時，其優(yōu)先級也會恢復(fù)，此時可以重新將自己的狀態(tài)搶占為主。HRP基本概念HRP（HuaweiRedundancyProtocol）協(xié)議，用來實現(xiàn)防火墻雙機之間動態(tài)狀態(tài)數(shù)據(jù)和關(guān)鍵配置命令的備份。VRRP組1VRRP組2VRRP組3①②③④⑤UntrustTrustDMZ會話表⑥FWAFWBHRP心跳接口兩臺FW之間備份的數(shù)據(jù)是通過心跳口發(fā)送和接收的，是通過心跳鏈路（備份通道）傳輸?shù)?。心跳口必須是狀態(tài)獨立且具有IP地址的接口，可以是一個物理接口（GE接口），也可以是為了增加帶寬，由多個物理接口捆綁而成的一個邏輯接口Eth-Trunk。VRRP備份組配置命令-CLI接口視圖下配置VRRP：執(zhí)行此命令時，指定active或standby參數(shù)后，即將該VRRP組加入了VGMP管理組的Active或Standby管理組。每個普通物理接口（GigabitEthernet接口）下最多配置255個VRRP組。vrrpvridvirtual-router-IDvirtual-ipvirtual-address[ip-mask|ip-mask-length]{active|standby}HRP配置命令-CLI指定心跳口啟用HRP備份功能啟用允許配置備用設(shè)備的功能啟用命令與狀態(tài)信息的自動備份啟用會話快速備份hrpinterfaceinterface-typeinterface-number[remote{ip-address|ipv6-address}]hrpenablehrpstandbyconfigenablehrpauto-sync[config|connection-status]hrpmirrorsessionenableVRRP配置舉例-CLIUSG_A關(guān)于VRRP組1配置：USG_B關(guān)于VRRP組1的配置：[USG_A]interfaceGigabitEthernet1/0/1[USG_A-GigabitEthernet1/0/1]ipaddress24[USG_A-GigabitEthernet1/0/1]vrrpvrid1virtual-ipactive[USG_B]interfaceGigabitEthernet1/0/1[USG_B-GigabitEthernet1/0/1]ipaddress24[USG_B-GigabitEthernet1/0/1]vrrpvrid1virtual-ipstandbyHRP配置舉例-CLIUSG_A關(guān)于HRP配置：[USG_A]hrpenable[USG_A]hrpmirrorsessionenable[USG_A]hrpinterfaceGigabitEthernet1/0/6查看VRRP狀態(tài)-CLI查看處于VRRP備份組中的接口狀態(tài)信息：HRP_A<USG_A>displayvrrpinterfaceG1/0/3GigabitEthernet1/0/3|VirtualRouter2VRRPGroup:Activestate:ActiveVirtualIP:VirtualMAC:0000-5e00-0102PrimaryIP:PriorityRun:120PriorityConfig:100MasterPriority:120Preempt:YESDelayTime:0AdvertisementTimer:1AuthType:NONECheckTTL:YES查看HRP狀態(tài)-CLI查看處于Master狀態(tài)防火墻的狀態(tài)信息如下：HRP_A<USG_A>dishrpstateThefirewall'sconfigstateis:ACTIVE

Currentstateofvirtualroutersconfiguredasactive:GigabitEthernet1/0/1vrid1:activeGigabitEthernet1/0/3vrid2:active5.加解密技術(shù)應(yīng)用加密技術(shù)分類對稱加密又稱為共享密鑰加密，它使用同一個密鑰對數(shù)據(jù)進行加密和解密。非對稱加密加解密使用兩個不同的密鑰，私鑰用來保護數(shù)據(jù)，公鑰則由同一系統(tǒng)的人公用，用來檢驗信息及其發(fā)送者的真實性和身份。密鑰：公鑰&私鑰。對稱加密算法對稱密鑰對稱密鑰加密解密對稱密鑰對稱密鑰⑥④①②③⑤非對稱加密算法乙的公鑰乙的私鑰乙的公鑰乙的私鑰加密解密⑥④①②③⑤缺點優(yōu)點對稱和非對稱加密比較密鑰分發(fā)問題加解密速度快加解密對速度敏感密鑰安全性高對稱加密非對稱加密數(shù)據(jù)加密-

數(shù)字信封乙的私鑰乙的公鑰對稱密鑰對稱密鑰對稱密鑰對稱密鑰對稱密鑰乙