网络安全_VPN_2012_V1.pptVIP

* * * * * 说明下面将通过一个案例来讲解IPSec VPN的配置。在搭建实验环境时，Internet网云需要一台路由器来替代。 说明为什么要使用一台设备模拟Internet？ 主要是为了隔开两台VPN设备，如果没有中间的Internet设备，即使两边的VPN没有成功建立起来，两端的客户端也可以正常通信。 另外，客户端的IP地址可以在路由器上模拟loopback接口来实现。 根据要求，需要在分支公司的网关路由器上同时配置VPN和PAT 。 * 对配置进行简单讲解，强调R1(config)#crypto isakmp key 0 benet address 中的地址是对方的IP，这里对初学者来说容易出现错误。 还有就是ACL强调两端一定是对称的，无论阶段1还是阶段2都要注意传输集参数的匹配。 IPSec VPN的配置较多，学员可能在很多意想不到的地方犯错误，这里一定要帮助大家理清思路，要求学员跟着思考每只每一步的原因，在关键点需要提问。 * 对配置进行简单讲解，强调crypto ACL与R1的配置互为镜像 。 * 验证并查看结果时要边演示边讲解。 show crypto isakmp policy 强调对比默认配置，提问：这里所显示的参数两端的VPN设备是否要求完全一致？ show crypto isakmp sa 强调active即可，QM_IDLE下一章再详细讲解 show crypto ipsec transform-set 可以看到加密和认证的方式以及采用的协议，同时可以看到VPN建立的模式 show crypto ipsec security-association lifetime 复习一下两个计时器的区别 show crypto ipsec sa 可以看到两端对等体的地址信息，建立连接的端口 还有通过该连接的数据包个数 show crypto map 主要可以观察到阶段2各个参数 明确一个概念，并不是有了政务网就没有项目机会了，使用政务网传数据的用户有多家，用户数据的安全性更无法保证 增加CDMA网络知识？ 防火墙应该具有如下基本特征： 1、经过防火墙保护的网络之间的通信必须都经过防火墙。 2、只有经过各种配置的策略验证过的合法数据包才可以通过防火墙。 3、防火墙本身必须具有很强的抗攻击、渗透能力。 4、防火墙可以保护内部网络的安全，可以使受保护的网络避免遭到外部网络的攻击。硬件防火墙应该可以支持若干个网络接口，这些接口都是LAN接口（如Ethernet、Token Ring、FDDI），这些接口用来连接几个网络。在这些网络中进行的连接都必须经过硬件防火墙，防火墙来控制这些连接，对连接进行验证、过滤。 防火墙应该具有如下基本特征： 1、经过防火墙保护的网络之间的通信必须都经过防火墙。 2、只有经过各种配置的策略验证过的合法数据包才可以通过防火墙。 3、防火墙本身必须具有很强的抗攻击、渗透能力。 4、防火墙可以保护内部网络的安全，可以使受保护的网络避免遭到外部网络的攻击。硬件防火墙应该可以支持若干个网络接口，这些接口都是LAN接口（如Ethernet、Token Ring、FDDI），这些接口用来连接几个网络。在这些网络中进行的连接都必须经过硬件防火墙，防火墙来控制这些连接，对连接进行验证、过滤。 * SSL协议 SSL (Secure socket Layer)安全套接层协议主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性，它不能保证信息的不可抵赖性，主要适用于点对点之间的信息传输，常用Web Server方式。 安全套接层协议（SSL，Security Socket Layer）是网景（Netscape）公司提出的基于WEB应用的安全协议，它包括：服务器认证、客户认证（可选）、SSL链路上的数据完整性和SSL链路上的数据保密性。对于电子商务应用来说，使用SSL可保证信息的真实性、完整性和保密性。但由于SSL不对应用层的消息进行数字签名，因此不能提供交易的不可否认性，这是SSL在电子商务中使用的最大不足。有鉴于此，网景公司在从Communicator 4.04版开始的所有浏览器中引入了一种被称作表单签名（Form Signing）的功能，在电子商务中，可利用这一功能来对包含购买者的订购信息和付款指令的表单进行数字签名，从而保证交易信息的不可否认性。综上所述，在电子商务中采用单一的SSL协议来保证交易的安全是不够的，但采用SSL+表单签名模式能够为电子商务提供较好的安全性保证。 * * * * * * * * * * 教师介绍案例需求。 教师介绍实验环境的搭建，使用Dynamips。 * * 教师介绍每个阶段要完成的任务。 * * 指导子阶段： 1、教师讲