防火墙基础与VPN.pptx

防火墙基础与VPN;目录; 防火墙基础;防火墙的概念;防火墙特征;;防火墙分类：包过滤防火墙;防火墙分类：包过滤防火墙;防火墙分类：代理防火墙;防火墙分类：状态检测防火墙;防火墙分类：状态检测防火墙;防火墙组网方式：二层;防火墙组网方式：三层;防火墙多业务功能;安全区域;华为防火墙上的安全区域分类;安全区域与接口关系;安全区域的方向;安全区域的配置;安全区域的配置;防火墙上的状态检测与会话机制;⑥ 出接口 ⑦ 下一跳IP/MAC ⑧ 报文方向/个数/字节数统计 ⑨ 5元组信息/连接方向 ?? 用户名和策略名是NGFW 新增内容;防火墙上的状态检测与会话机制;防火墙上的状态检测与会话机制;会话表在转发流程中的位置（1/3）;会话表在转发流程中的位置（2/3）;会话表在转发流程中的位置（3/3）;安全策略概述;安全策略;安全策略;安全策略;安全策略部署示例1;安全策略部署示例1;安全策略部署示例1;安全策略部署示例1;安全策略;Server-map;ASPF概述;ASPF技术原理;ASPF技术原理;ASPF技术原理;ASPF配置;防火墙基本配置流程; NAT技术;NAT技术概述;NAT分类;NAT的优缺点;NAT处理流程;源NAT;源NAT（NO PAT）;源NAT（NO PAT）配置示例;源NAT（NO PAT）配置示例;源NAT（NO PAT）配置示例;源NAT（NO PAT）配置示例;源NAT（NO PAT）配置示例;源NAT（NAPT）;源NAT（NAPT）配置示例;源NAT（NO PAT）配置示例;源NAT（Easy IP）;源NAT（Easy IP）配置示例;源NAT（Easy IP）配置示例;源NAT（Easy IP）配置示例;源NAT总结;基于目的地址转换的NAT;NAT Server工作原理;NAT Server配置示例;NAT Server配置示例;NAT Server配置示例;目的NAT;NAT ALG简介;NAT ALG工作原理;NAT ALG; VPN基础;VPN概述;VPN概述;VPN概述;密码学基础;对称加密算法;非对称加密算法;VPN技术对比;GRE协议概述 GRE (Generic Routing Encapsulation)：是对某些网络层协议（如：IP, IPX, AppleTalk等）的数据报进行封装，使这些被封装的数据报能够在另一个网络层协议（如IP）中传输。;GRE的实现——隧道接口 隧道接口（Tunnel接口）是为实现报文的封装而提供的一种点对点类型的虚拟接口，与Loopback接口类似，都是一种逻辑接口。;GRE的实现——封装与解封装 隧道接口（Tunnel接口）是为实现报文的封装而提供的一种点对点类型的虚拟接口，与Loopback接口类似，都是一种逻辑接口。;GRE;GRE;GRE;GRE VPN部署示例;IPSec简介;IPSec协议特性;IPSec标准 IPSec体系结构 ESP协议 AH协议 加密算法 认证算法 DOI 密钥管理 应用;IPSec协议框架;IPSec技术原理;IPSec技术原理;IPSec技术原理;IPSec技术;IPSec VPN密钥管理协议 IKE（ Internet Key Exchange ，RFC2409）：IKE是一个以受保护的方式动态协商SA的协议。 IKE的功能 协商：通信参数，安全特性 认证通信对端 保护实体 用安全的方法产生，交换，建立密钥 管理，删除安全关联（SA）;IPSec VPN密钥管理协议——IKE协议的组成与实现 IKE是一个混合的协议，它的组成： Internet密钥交换协议Internet安全关联密钥管理协议（ISAKMP，RFC2408） Oakley密钥确定协议（RFC2412） IPSec Domain of Interpretation ，（IPSec DOI，RFC2407） IKE分两个阶段实现： 第一阶段为建立IKE本身使用的安全信道而相互交换SA（采用ISAKMP）——ISAKMP SA（双向） 第二阶段利用第一阶段建立的安全信道交换IPSec通信中使用的SA——IPSec SA（单向）;IPSec VPN密钥管理协议——ISAKMP ISAKMP协议，Internet Security Association and Key Management Protocol (RFC 2407) 提供密钥管理架构 定义SA的建立、协商、修改、删除规程和分组格式 独立于密钥交换协议、加密算法和认证方法 下层由UDP协议承载，端口号为500;IPSec VPN密钥管理协议——ISAKMP HDR.;MM：IKE Phase 1 Authenticated With PSK;Quick Mode;Summary;IPSec