-拓展任务3.6-2思科ASA防火墙技术专题培训-技术原理及实验.pptVIP

  • 4
  • 0
  • 约1.94万字
  • 约 82页
  • 2018-11-04 发布于福建
  • 举报

-拓展任务3.6-2思科ASA防火墙技术专题培训-技术原理及实验.ppt

-拓展任务3.6-2思科ASA防火墙技术专题培训-技术原理及实验

设置透明模式 定义接口 设置透明模式 设置管理 IP(/24) 透明模式下安全策略的定义和路由模式的设置是一样的 VPN 借助IPSec,用户可以通过互联网等不受保护的网络传输敏 感信息。IPSec在网络层操作,能保护和鉴别所涉及的IPSec设 备(对等物)之间的IP包。 IPSec提供的网络安全服务如下: · 数据保密性——在通过网络传输之前,IPSec发送者可以对包进行加密; · 数据完整性——IPSec接收者可以对IPSec发送者发出的包进行鉴别,以保证数据在传输过程中未被篡改; · 数据来源鉴别——IPSec接收者可以识别所发送的IPSec包的来源,这种服务与数据完整性服务相关; IPSec自动建立安全通道的过程分为两个阶段: · 第一阶段:这个阶段通过互联网密钥交换(IKE)协议实施,能建立一对IKE SA。IKE SA用于协商一个或多种IPSec SA,以便实际传输应用数据。 · 第二阶段:这个阶段使用IKE SA提供的安全通道协商IPSec SA。当这个阶段结束时,两台对等设备均已建立了一对IPSec SA,以便提供传输应用数据所需的安全通道。SA参数之一是寿命,可配置的寿命期结束之后,SA将自动终止,因此,这个参数能提 高IPSec的安全性。 IKE=isakmp 配置L2L VPN /24 /24 总部 s0/0 internet 分部 s0/0 /24 /24 主要类型:站点到站点VPN和远程接入VPN是VPN的两个类型。 总部准备配置 写两个ACL,在后面的配置会应用到 第一个用来定义要加密的源和目的,也是感兴趣流 从总部的的数据到 的数据加密 第二个ACL,从总部的的数据到 不做NAT转换,去别的网络继续NAT asacisco(config)#access-list l2lvpn permit ip asacisco(config)#access-list nonat permit ip Asacisco(config)#access-list nonat deny ip any 分部准备配置 写两个ACL,在后面的配置会应用到 第一个用来定义要加密的源和目的,也是感兴趣流 从总部的的数据到10.1.1..0 的数据加密 第二个ACL,从总部的的数据到 不做NAT转换, 去别的网络继续NAT asacisco(config)#access-list l2lvpn permit ip asacisco(config)#access-list nonat permit ip Asacisco(config)#access-list nonat deny ip any /24 /24 总部 s0/0 internet 分部 s0/0 /24 /24 总部第一阶段: asacisco(config)# crypto isakmp enable outside 在outside接口上开启IKE asacisco(config)# crypto isakmp policy 10 进入IKE asacisco(config-isakmp)# authentication pre-share 定义认证方式 asacisco(config-isakmp)# encryption 3DES 定义加密算法 asacisco(config-isakmp)# hash md5 定义验证数据完整性 asacisco(config-isakmp)# group 2 定义组为2 asacisco(config-isakmp)# lifetime 86400 遂道时间 分部第一阶段: asacisco(config)# crypto isakmp enable outside 在outside接口上开启IKE asacisco(config)# crypto isakmp policy 10 进入IKE asacisco(config-isakmp)# authentication pre-share 定义认证方式 asacisco(config-isakmp)# encryption 3DES 定义加密算法 asacisco(config-isakmp)# hash md5 定义验证数据完整性 asacisco(config-isakm

文档评论(0)

1亿VIP精品文档

相关文档