VPN防火墙企业管理知识培训资料.pptxVIP

; 系列防火墙技术资料 部分 2004年11月;内容介绍; 概述; 类型; 远程接入 （ ）; （内联网）; （外联网）; 应用范围;的优势;单个用户接入(直接拨入方式对比 方式);节省资金 (降低 30-70% 的网络费用) 免去长途费用 降低建立私有专网的费用 用户不必设立自己的 对于用户来说，可以以任何技术任何地点访问 的容量完全可以随着需求的增加而增长 提供安全性 强大的用户认证机制 数据的私有性以及完整性得以保障 不必改变现有的应用程序、网络架构以及用户计算环境 网络现有的 不用作任何修改 现有的网络应用完全可以正常运行 对于最终用户来说完全感觉不到任何变化; 的基本概念：隧道，加密以及认证; 的完整解决方案特性 ;第二层隧道协议 L2 ;约定术语解释： 2访问集中器，进行处理以及L2处理，它将已成帧的分组进行适当的处理并封装入L2之中，发送给。它是入站呼叫的发起者、出站呼叫的接收者，是L2协议的客户/服务器模式的客户端 2的服务器端，在处，能进行L2封装或解封，并能进行处理。又称L2网络服务器 :挑战握手鉴别协议，是一种通过协议交换鉴别信息的鉴别协议。该鉴别协议密钥不被明文传输 :口令鉴别协议。通过传输明文的用户名和口令达到证明身份的目的。 会话：当远程拨号用户和之间发起一次端到端的连接时，就形成了一条会话。 隧道：一对和定义了一条或多条隧道。;L2隧道类型;L2强制隧道模式;L2自愿隧道模式;L2的功能细节; 建立控制连接;建立会话;L2配置实例研究;自愿隧道建立步骤;自愿隧道研究实例;自愿隧道的配置;的相关调试命令;L2报文封装格式;;;L2强制隧道模式流程;三层隧道协议 ;对称密码算法的特点 1：同一个密钥既用来加密也用于解密 2：对称加密速度快 3：对称加密得到的密文是紧凑的 4：因为接受者需要对称密钥，所以对称加密容易受到中途拦截 窃听的攻击 典型的对称密码算法 1： 2：3;非对称密码算法 用作加密的密钥不同于作解密的密钥，而且解密的密钥不能根据加密的密钥计算出来 ;非对称密码算法的特点 1：使用非对称密码??术时，用一个密钥(公钥或私钥)加密的数据 只能用另一个密钥(私钥或公钥)来解密 2: 不必发送密钥给接收者，所以非对称加密不必担心密钥被中途 拦截的问题 3: 非对称加密速度较慢 4: 非对称加密会导致得到的密文变长 典型的非对称密码算法 ;散列函数：接受一大块的数据并将其压缩成最初数据的一个摘要() 散列函数用于认证 典型的散列函数 1：5 2：1; 概述; 的类型;的组成;的两种工作模式; 流量10.6.1.2/32??10.8.1.2/32使用两个路由器之间的隧道模式 流量10.1.1.1/32??10.1.2.1/32使用两个路由器之间的传输模式; 和 简介;;;报文格式;;; 简介;安全联盟()的参数;参数示例;概述;的建立;策略参数;协商过程;L2和的结合应用;在自愿隧道模式中使用保护L2通信;在强制隧道模式中使用保护L2通信;高可用性配置;; 172.18.45.1 172.18.45.2 5 10 2 101 172.18.45.1 101 172.18.31.1 172.18.45.1 20 3 102 172.18.45.2 102 172.18.31.1 172.18.45.2; 0 2 10.4.1.1 255.255.255.0 172.18.31.1 172.18.45.1 111 1 3 10.4.1.1 255.255.255.0 172.18.31.1 172.18.45.2 111;典型应用实例 1;;;;典型应用实例 3;典型应用实例 4;;典型应用实例 5;;配置 ; 步骤1： 定义感兴趣的数据流 对于的使用，确定什么样的数据流被认为是感兴趣的，是安全策略设计的一部分。在防火墙中，访问控制列表被用于确定要加密的数据流，将访问控制列表()指派给策略后，其“”语句指明：所选的数据流必须被加密发送；其“”语句指明：所选的数据流必须不被加密(以明文方式)发送。当感兴趣的数据流被产生或流过应用的路由器时，系统将启动的下一步，协