VPN防火墻企業(yè)管理知識培訓(xùn)資料

系列防火墻技術(shù)資料部分2004年11月內(nèi)容介紹基本概念二層隧道協(xié)議L2三層隧道協(xié)議+L2/+配置隧道典型應(yīng)用實例概述什么是?()是通過公共網(wǎng)絡(luò)在局域網(wǎng)絡(luò)之間或單點之間安全地傳遞數(shù)據(jù)的技術(shù)

總部網(wǎng)絡(luò)遠(yuǎn)程局域網(wǎng)絡(luò)總部分支機(jī)構(gòu)單個用戶Internet可以省去專線租用費用或者長距離電話費用，大大降低成本可以充分利用公網(wǎng)資源，快速地建立起公司的廣域連接類型

按照構(gòu)建方式和功能的不同可將分為以下3類基于加密和不加密的類型1:加密2:非加密基于模型分層的類型1:數(shù)據(jù)鏈路層2:網(wǎng)絡(luò)層3:應(yīng)用層基于商業(yè)功能性的類型1:遠(yuǎn)程接入()2:企業(yè)內(nèi)聯(lián)網(wǎng)（）3:企業(yè)外聯(lián)網(wǎng)（）遠(yuǎn)程接入（）（內(nèi)聯(lián)網(wǎng)）（外聯(lián)網(wǎng)）應(yīng)用范圍的基本目標(biāo)無縫連接和保證中網(wǎng)絡(luò)交互的安全性為遠(yuǎn)程、移動辦公的用戶提供對公司網(wǎng)絡(luò)資源的訪問使遠(yuǎn)程辦公室與公司內(nèi)聯(lián)網(wǎng)安全地進(jìn)行連接控制商業(yè)伙伴、客戶和提供商對公司網(wǎng)絡(luò)資源的訪問的優(yōu)勢之間的廣域連接(專線方式對比方式)北京深圳沈陽上海傳統(tǒng)的專線方式北京深圳沈陽上海

單個用戶接入

(直接撥入方式對比方式)用戶專用公用電話網(wǎng)絡(luò)

本地本地長途節(jié)省資金(降低30-70%的網(wǎng)絡(luò)費用)免去長途費用降低建立私有專網(wǎng)的費用用戶不必設(shè)立自己的對于用戶來說，可以以任何技術(shù)任何地點訪問的容量完全可以隨著需求的增加而增長提供安全性強(qiáng)大的用戶認(rèn)證機(jī)制數(shù)據(jù)的私有性以及完整性得以保障不必改變現(xiàn)有的應(yīng)用程序、網(wǎng)絡(luò)架構(gòu)以及用戶計算環(huán)境網(wǎng)絡(luò)現(xiàn)有的不用作任何修改現(xiàn)有的網(wǎng)絡(luò)應(yīng)用完全可以正常運行對于最終用戶來說完全感覺不到任何變化的基本概念：隧道，加密以及認(rèn)證隧道隧道是在公網(wǎng)上傳遞私有數(shù)據(jù)的一種方式a“”安全隧道是指在公網(wǎng)上幾方之間進(jìn)行數(shù)據(jù)傳輸中，保證數(shù)據(jù)安全及完整的技術(shù)加密保證數(shù)據(jù)傳輸過程中的安全認(rèn)證保證通訊方的身份確認(rèn)及合法Internet的完整解決方案特性符合特性防火墻隧道機(jī)密性遠(yuǎn)程管理第二層隧道協(xié)議L2L2概述是一種二層隧道協(xié)議，它擴(kuò)展了的模型，通過二層隧道可以把會話的邏輯終點延伸到目的訪問網(wǎng)關(guān)。這樣，企業(yè)的本地局域網(wǎng)就可以為遠(yuǎn)程撥號用戶分配一個企業(yè)內(nèi)部網(wǎng)的地址，從邏輯上看，遠(yuǎn)程出差員工的手提電腦已經(jīng)通過一塊網(wǎng)卡直接連接到企業(yè)網(wǎng)絡(luò)，于是用戶數(shù)據(jù)包可以通過防火墻到達(dá)企業(yè)內(nèi)部網(wǎng)，該員工可以訪問任何其有權(quán)使用的企業(yè)內(nèi)部共享資源。此外，企業(yè)本地局域網(wǎng)也可以對遠(yuǎn)程撥號用戶進(jìn)行（認(rèn)證、授權(quán)和計費）管理和會話監(jiān)控。約定術(shù)語解釋：2訪問集中器，進(jìn)行處理以及L2處理，它將已成幀的分組進(jìn)行適當(dāng)?shù)奶幚聿⒎庋b入L2之中，發(fā)送給。它是入站呼叫的發(fā)起者、出站呼叫的接收者，是L2協(xié)議的客戶/服務(wù)器模式的客戶端2的服務(wù)器端，在處，能進(jìn)行L2封裝或解封，并能進(jìn)行處理。又稱L2網(wǎng)絡(luò)服務(wù)器:挑戰(zhàn)握手鑒別協(xié)議，是一種通過協(xié)議交換鑒別信息的鑒別協(xié)議。該鑒別協(xié)議密鑰不被明文傳輸:口令鑒別協(xié)議。通過傳輸明文的用戶名和口令達(dá)到證明身份的目的。會話：當(dāng)遠(yuǎn)程撥號用戶和之間發(fā)起一次端到端的連接時，就形成了一條會話。隧道：一對和定義了一條或多條隧道。L2隧道類型強(qiáng)制隧道模式自愿隧道模式L2強(qiáng)制隧道模式L2自愿隧道模式L2的功能細(xì)節(jié)L2隧道的建立通過兩個階段協(xié)商階段1：在和之間建立一個控制會話階段2：建立實際傳輸數(shù)據(jù)的L2隧道（也可以稱為建立一個會話）提示:單個隧道可以承載多個會話，在同一和之間也可以擁有多個隧道建立控制連接

建立會話

檢測到的呼叫L2配置實例研究實現(xiàn)防火墻功能，并給撥號用戶提供遠(yuǎn)程接入防火墻的解決方案。因此我們實現(xiàn)的是（L2網(wǎng)絡(luò)服務(wù)器）自愿隧道建立步驟客戶端發(fā)起到的L2隧道連接請求對客戶端進(jìn)行認(rèn)證認(rèn)證通過后，客戶端與之間建立L2隧道連接客戶端再次發(fā)起到的連接請求利用認(rèn)證來確認(rèn)用戶，然后分配私網(wǎng)地址與客戶端之間的會話建立自愿隧道研究實例0:192.168.5.1/161:11.1.2.2/242:2.2.2.1/241:14.1.2.2/240:13.1.1.1/242000L2客戶端2.2.2.253/24503

13.1.1.2/24隧道自愿隧道的配置

2.2.2.25318132.2.2.25318122.2.2.1

17.1.1.1/1601800180060202.99.8.110.1.0.410.1.0.4l2

2.2.2.1606l217.1.1.1/1617.1.1.117.1.1.1017.1.1.100600017.1.1.2100的相關(guān)調(diào)試命令l2

l2l2

L2報文封裝格式L2強(qiáng)制隧道模式流程三層隧道協(xié)議密碼學(xué)簡介對稱密碼算法加密密鑰能夠從解密密鑰中推算出來，反過來也成立在大多數(shù)對稱密碼算法中，加/解密密鑰是相同的加密解密密文明文原始明文密鑰密鑰對稱密碼算法的特點1：同一個密鑰既用來加密也用于解密2：對稱加密速度快3：對稱加密得到的密文是緊湊的4：因為接受者需要對稱密鑰，所以對稱加密容易受到中途攔截竊聽的攻擊

典型的對稱密碼算法1：2：3非對稱密碼算法用作加密的密鑰不同于作解密的密鑰，而且解密的密鑰不能根據(jù)加密的密鑰計算出來

加密解密密文明文原始明文加密密鑰解密密鑰非對稱密碼算法的特點1：使用非對稱密碼技術(shù)時，用一個密鑰(公鑰或私鑰)加密的數(shù)據(jù)只能用另一個密鑰(私鑰或公鑰)來解密2:不必發(fā)送密鑰給接收者，所以非對稱加密不必?fù)?dān)心密鑰被中途攔截的問題3:非對稱加密速度較慢4:非對稱加密會導(dǎo)致得到的密文變長典型的非對稱密碼算法

散列函數(shù)：接受一大塊的數(shù)據(jù)并將其壓縮成最初數(shù)據(jù)的一個摘要()散列函數(shù)用于認(rèn)證典型的散列函數(shù) 1：52：1概述

在層為對等體間(，需要對數(shù)據(jù)流進(jìn)行處理的路由器或主機(jī))提供了數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性和數(shù)據(jù)來源鑒別保護(hù)，可被用來在對等體間保護(hù)一種或多種數(shù)據(jù)流。有兩個基本目標(biāo)：1）保護(hù)數(shù)據(jù)包安全2）為抵御網(wǎng)絡(luò)攻擊提供防護(hù)措施提示:并不是一個協(xié)議，而是一整套安全體系結(jié)構(gòu)。的類型試圖解決的兩個主要設(shè)計問題1：為把兩個專用網(wǎng)絡(luò)組合成一個虛擬網(wǎng)絡(luò)的無縫連接2：將虛擬網(wǎng)絡(luò)擴(kuò)展成允許遠(yuǎn)程訪問用戶（）成為可信網(wǎng)絡(luò)的一部分基于兩個設(shè)計的基礎(chǔ)上，可以被分為兩類1:實現(xiàn)（也被稱為）2:遠(yuǎn)程訪問客戶端實現(xiàn)

的組成結(jié)合了三個主要的協(xié)議從而組成了一個和諧的安全框架密鑰交換()協(xié)議提供協(xié)商安全參數(shù)和創(chuàng)建認(rèn)證密鑰的框架(封裝安全載荷)提供加密、認(rèn)證和保護(hù)數(shù)據(jù)的框架(鑒別頭)提供認(rèn)證和保護(hù)數(shù)據(jù)的框架的兩種工作模式隧道模式（）可以對頭和數(shù)據(jù)進(jìn)行加密認(rèn)證，即協(xié)議使包通過隧道傳輸傳輸模式（）可以對數(shù)據(jù)進(jìn)行加密認(rèn)證，即協(xié)議為高層提供基本的保護(hù)提示:傳輸模式應(yīng)用于端到端的會話，隧道模式被應(yīng)用于任何其他情況下流量10.6.1.2/3210.8.1.2/32使用兩個路由器之間的隧道模式流量10.1.1.1/3210.1.2.1/32使用兩個路由器之間的傳輸模式Internet10.1.1.1/3210.1.2.1/3210.6.1.2/3210.8.1.2/32傳輸模式傳輸隧道模式模式和簡介（頭部認(rèn)證）為對等體間傳送的數(shù)據(jù)報提供認(rèn)證(鑒別)、完整性保護(hù)和抗重播服務(wù)這是通過對數(shù)據(jù)報應(yīng)用帶密鑰的散列函數(shù)創(chuàng)建消息摘要而實現(xiàn)的（封裝安全負(fù)載）為對等體間傳送的數(shù)據(jù)報提供加密、認(rèn)證、完整性保護(hù)和抗重播服務(wù)提示:和雖然都可以進(jìn)行完整性認(rèn)證，但是由于認(rèn)證的區(qū)域不一樣所以二者不能相互替代。報文格式隧道模式的報文隧道模式的報文隧道模式的、混合報文簡介安全聯(lián)盟，是構(gòu)成的基礎(chǔ)，是兩個通信實體經(jīng)協(xié)商建立起來的一種協(xié)定，它決定了用來保護(hù)數(shù)據(jù)包安全的協(xié)議（或）、算法、密鑰以及密鑰的有效存在時間等是單方向的，在對等體A、B之間有兩條，一條A→B，另一條B→A。通過、工作方式、安全協(xié)議、數(shù)據(jù)流的目的地址唯一標(biāo)示一條?？梢允止そ⒁部梢詣討B(tài)建立安全聯(lián)盟()的參數(shù)

目的地址192.168.2.1安全參數(shù)索引(SPI)7A390BC1IPSec變換AH,HMAC-MD5密鑰7572CA7890FF16其他SA屬性(例如，生命周期)3600秒或100MB參數(shù)示例外出方向::0x12345A變換：工作方式：加密圖：定時：()入方向::0x12345A變換：工作方式：加密圖：定時：()外出方向::0x67890B變換：工作方式：加密圖：定時：()入方向::0x67890B變換：工作方式：加密圖：定時：()概述在協(xié)議中負(fù)責(zé)以下內(nèi)容協(xié)商協(xié)議參數(shù)交換公共密鑰對雙方進(jìn)行認(rèn)證在交換后對密鑰進(jìn)行管理提示:或密鑰交換協(xié)議是負(fù)責(zé)在兩個對等體間協(xié)商一條隧道的協(xié)議的建立的建立分為兩個階段：（一階段）（二階段）第一階段，協(xié)商創(chuàng)建一個通信信道()，并對該信道進(jìn)行驗證，為雙方進(jìn)一步的通信提供機(jī)密性、消息完整性以及消息源驗證服務(wù)；第二階段，使用已建立的建立。提示:一個可以用于建立多個。策略參數(shù)參數(shù)可接受的值關(guān)鍵詞缺省值消息加密算法333消息完整性（散列）算法5155對等體鑒別方法預(yù)共享密鑰加密的隨機(jī)數(shù)簽名密鑰交換參數(shù)768102412768的存活時間可以是任何秒數(shù)無3600協(xié)商過程L2和的結(jié)合應(yīng)用創(chuàng)建L2時可能遇到的主要安全威脅攻擊者試圖通過窺探數(shù)據(jù)分組獲得用戶標(biāo)識攻擊者試圖修改分組（控制分組或是數(shù)據(jù)分組）攻擊者試圖截獲L2隧道或隧道中的連接攻擊者可以通過終止連接或是L2隧道發(fā)起的攻擊攻擊者試圖破壞協(xié)商以削弱或是消除機(jī)密保護(hù)攻擊者也可以破壞協(xié)商以削弱認(rèn)證過程或竊取用戶密碼在自愿隧道模式中使用保護(hù)L2通信在強(qiáng)制隧道模式中使用保護(hù)L2通信

L2

11.1.2.214.1.1.2提示的配置：：10111.1.2.2170114.1.1.21701：10114.1.1.2170111.1.2.21701高可用性配置適用范圍：在鏈接上發(fā)送組播或廣播流量在鏈接上發(fā)送基于非協(xié)議的流量可以獲得高可用性使實現(xiàn)具有可擴(kuò)展性提示：和常常一起被用于傳輸模式，因為可以提供隧道模式具有的隧道功能。因此，不使用隧道模式節(jié)省了分組的開銷總量12310.2.1.0/2410.3.1.0/2410.1.1.0/24172.18.45.1172.18.45.2172.18.31.1提示的配置過程：開始明文分組被協(xié)議封裝，然后，接管并加密分組。172.18.45.1172.18.45.25

102101172.18.45.1

101172.18.31.1172.18.45.1203102172.18.45.2

102172.18.31.1172.18.45.21的配置0210.4.1.1255.255.255.0172.18.31.1172.18.45.11111310.4.1.1255.255.255.0172.18.31.1172.18.45.2111典型應(yīng)用實例1

1

1使用客戶端軟件的遠(yuǎn)程用戶Internet/ISP場點2發(fā)生協(xié)商產(chǎn)生動態(tài)加密圖遠(yuǎn)端對等體發(fā)起動態(tài)接入典型應(yīng)用實例2典型應(yīng)用實例3Internet多點ABCDEF典型應(yīng)用實例4動態(tài)多點典型應(yīng)用實例5轉(zhuǎn)換設(shè)備

穿越配置0:192.168.5.1/161:11.1.2.2/241:14.1.1.2/240:13.1.1.1/24

192.168.120.0/24503

13.1.1.0/2414.1.1.2/2411.1.2.1/24503步驟1：定義感興趣的數(shù)據(jù)流對于的使用，確定什么樣的數(shù)據(jù)流被認(rèn)為是感興趣的，是安全策略設(shè)計的一部分。在防火墻中，訪問控制列表被用于確定要加密的數(shù)據(jù)流，將訪問控制列表()指派給策略后，其“”語句指明：所選的數(shù)據(jù)流必須被加密發(fā)送；其“”語句指明：所選的數(shù)據(jù)流必須不被加密(以明文方式)發(fā)送。當(dāng)感興趣的數(shù)據(jù)流被產(chǎn)生或流過應(yīng)用的路由器時，系統(tǒng)將啟動的下一步，協(xié)商()#101192.168.120.213.1.1.2()#10113.1.1.2192.168.120.2提示的配置：1：配置基于多條不同協(xié)議的2：配置基于多條不同端口號的

步驟2：階段1，協(xié)商1：使能()#２：配置方式的密鑰和對等體()<密鑰><對等體地址>3：配置()#<1-1000>序號越小，優(yōu)先級越高，意味著越先被比較執(zhí)行上述命令會進(jìn)入模式()#模式命令如下： 指定加密算法 指定散列算法 指定算法使用的組步驟3：階段2，協(xié)商，建立通道1配置變換集()()#<變換集名><變換>變換可以在以下三個集合中任選：{5、}{5、}{3、128、256、、}但每個集合中只可以選一個元素提示：不能配置的空加密和空認(rèn)證2配置加密圖()#<加密圖名><序號><加密圖類型>序號越小，優(yōu)先級越高，意味著越先選擇。加密圖類型有兩種：、。執(zhí)行上述命令，進(jìn)入模式模式命令如下： 指定變換集 指定對等體地址指定的生命周期 指定感興趣的數(shù)據(jù)流 指定算法使用的組對于類型的加密圖還涉及： 指定入流量所需的密鑰 指定出流量所需的密鑰提示：算法規(guī)定，其中第8、16、......64位是奇偶校驗位，不參與運算。故實際可用位數(shù)便只有56位。因此的安全性是基于除了8，16，24，......64位外的其余56位的組合變化256才得以保證的。因此，手工配置中，應(yīng)避開使用第8，16，24，......64位作為有效數(shù)據(jù)位，而使用其它的56位作為有效數(shù)據(jù)位，才能保證算法安全可靠地發(fā)揮作用完美向前保密(，)如果在中指定了，則在建立二階段時執(zhí)行一個新的交換，能夠提供強(qiáng)度更大的密鑰材料，因此對密碼分析攻擊的抵抗能力更強(qiáng)。但這是以犧牲性能為代價的，交換需要大量的乘冪運算，因此會增加對的占用并降低系統(tǒng)性能，使用時要慎重。3在對等體雙方接口綁定加密圖()#1()<加密圖名>()#1()<加密圖名>

:1,:1:"1":21:42:11.1.2.2:14.1.1.2:192.168.120.2/32:0:13.1.1.2/32:0::0x1001:0x1002:():3381/3400:0x5151E0D8:0x1B7E22:5::():3381/3400:0x5151E0D7:0x1751913:5:(02):0:0:步驟4：加密隧道當(dāng)建立起之后，數(shù)據(jù)就通過對等體間的隧道進(jìn)行傳送，數(shù)據(jù)被使用中所指定的加密算法和密鑰來加密和解密步驟5：隧道終止當(dāng)被刪除或生命周期超時后，就中止了。當(dāng)指定的時間過去或指定的字節(jié)數(shù)通過隧道后，就超時。當(dāng)終結(jié)后，密鑰會被丟棄。當(dāng)一個數(shù)據(jù)流需要后續(xù)的時，就協(xié)商新的和，一次成功的的協(xié)商會產(chǎn)生新的和密鑰。新的可以在現(xiàn)有的超時之前被建立，這樣可以不打斷數(shù)據(jù)流，這種機(jī)制稱為軟超時。手工配置加密圖在上創(chuàng)建名為,序列號為1的手工加密圖，設(shè)置認(rèn)證算法為5加密算法為，進(jìn)入配置模式下()#1()#14.1.1.2()#36901234567890123456789()#36998765432109876543210()#3690123456789()#3699876543210()#1()#101提示：中的與中的相同，中的與中的相同!!

配置配置動態(tài)可以不指定對端地址，它適用于對端地址不能確定