华为防火墙配置总部与分布之间×××

重点:***核心技术;***应用
一.***核心技术:
1.加密:
1)ipsec是ipv6中一个字段,应用ipv4中可以建立×××(虚拟专用网);
2)ipsec一方传递消息之前,先使用加密算法和加密密钥,将消息改头换面,称之为加密;另一方收到消息后使用相同的加密算法和加密密钥,逆向将消息恢复为真实面目,该过程称为解密。(使用对称加密)
3)对称加密算法有:DES、3DES、AES;
2.验证:
1)ipsec一方传递消息之前,先使用验证算法和验证密钥对消息进行处理,得到签名然后将签名随消息一同发出去;另一方收到消息后,使用相同的验证算法和验证密钥对消息进行处理(hash),同样得到签名,然后对比报文中携带的签名,如果相同则证明该消息没有被篡改。
2)验证算法有:MD5、SHA1、SHA2;
3.ipsec中:AH只能用来验证,没有加密功能;ESP同时具有加密和验证功能,AH和ESP可以单独使用也可以配合使用。
4.ipsec两种封装模式:
1)隧道模式:ipsec将AH头或ESP头插入到原始IP头之前,另外生成一个新的报文放在AH和ESP头前;隧道模式使用心得报文头来封装消息,新ip头中的源/目的地址为隧道两端的公网ip地址,适用于两个网关之间建立IPsec隧道,是目前比较常用的封装模式。
2)传输模式:AH头和ESP头被插入到IP头和传输层协议头之间,不改变报文头,隧道的源和目的地址就是最终通信双方的源和目的地址,通信双方只能保护消息,不能保护一个网络的消息,只适用于两台主机之间通信。
5.安全联盟:SA
1)ipsec中通信双方建立的连接叫做安全联盟SA,即使用相同的封装模式、加密算法、加密密钥、验证算法、验证密钥;SA是单向的逻辑连接,为了让每个方向都得到保护,每个方向都需要建立SA;每一个安全联盟均有一个唯一的标识符SPI。
2)安全联盟SA的方向:outbound方向和inbound,一个安全联盟内,一端的outbound是另一端的inbound;
6.IKE和ISAKMP:密钥管理
1)ISAKMP(网络SA和密钥管理协议)主要定义IKE伙伴(IKE Peer)之间的合作关系(及IKE SA)的建立过程;
2)Oakley协议和SKEME协议的核心是DH(diffe-hellman迪菲.赫尔曼)算法,主要用于在Internet上安全的分发密钥及验证身份,以保障数据安全传输。
3)DH算法为IPSecSA、IKE SA提供需要的加密密钥、验证密钥,且动态刷新;
4)IKE协议的终极目标是通过协商在总部和分部之间动态建立ipsec SA,并能够实时维护ipsec SA;
5)IKE(密钥交换):分为v1和v2;
6)ipsec安全协议框架:
安全协议:ESP(加密+验证)、AH(验证)
加密:DES、3DES、AES(对称加密算法)
验证:MD5、SHA(hash算法)
密钥交换:IKE(ISAKMP、DH)
二.ipsec ×××应用:
1.ipsec与NAT并存于一个防火墙的要求:
1)问题:ipsec要求数据必须是完整的,而nat必须要源地址或目标地址,二者存在冲突;
2)解决问题:在nat策略中配置一条针对ipsec流量不进行地址转换的策略,该策略的优先级要高于其他策略,并且该策略中定义的流量范围是其他策略的子集;
3)ipsec和nat server并存解决方案:在配置NAT server时指定no-revers参数,不生成反向server-map表项即可。
2.ipsec的安全策略配置思路:
1)设置默认策略为允许:firewall packet-filter default permit all
2)配置ipsec,发起访问,分析会话表,编写安策略规则;
3)设置默认策略为拒绝:firewall packet-filter default deny all
3.ipsec常用应用场景:
1)移动用户使用L2TP over IPSec远程接入:配置L2TP-->ACL-->IPSEC-->客户端拨号;
2)总部和分部站点到站点IPSec×××:配置ip、路由及安全区域-->配置nat与***共存-->ipsec×××第一阶段:配置安全提议、创建IKE对等体-->ipsec×××第二阶段:配置一个ipsec安全提议、创建acl定义感兴趣流、创建安全策略、在外网网卡调用安全策略-->配置区域间安全策略

原文地址:https://blog.51cto.com/14381205/2406354

时间: 2024-11-02 18:31:45

华为防火墙配置总部与分布之间×××的相关文章

华为防火墙配置远程管理设备

################# 接口配置和打开Telnet服务####<USG6000V1>sys ####进全局模式[USG6000V1]int g0/0/0 ###进端口号[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.32.10 24配置接口IP地址[USG6000V1-GigabitEthernet0/0/0]quit ###退出端口号(也可以简写q退出) [USG6000V1]telnet service enable 打开防火墙Te

华为防火墙USG5500

华为防火墙USG5500重点:什么是防火墙:防火墙基础:防火墙功能配置一.什么是防火墙:1.什么是防火墙:防火墙主要用于保护一个网络免受来自另一个网络的***和***行为,因其隔离.防守属性,防火墙灵活应用于网络边界.子网隔离等位置,如企业网络出口.大型网络内部子网隔离.数据中心(IDC)边界.2.对比交换机路由器及防火墙:1)交换机:组建局域网.通过二层或三层交换快速转发报文:2)路由器:连接不同网络.通过路由协议实现互联互通.确保报文转发到目的地:3)防火墙:部署在边界,对进出网络的访问行为

华为防火墙和路由器之间运行OSPF协议配置案例(可跟做)

防火墙的动态路由 ? 防火墙和一台路由器之间配置OSPF过程如下: FW1: ospf 1 router-id 10.10.10.10 ----------RID不能相同 area 0.0.0.0 network 202.100.1.0 0.0.0.255 ---------采用通配符方法 network 10.10.10.10 0.0.0.0 放行OSPF安全策略 ? 默认情况防火墙只放行组播的报文,单播包不放行,需要配置安全策略? OSPF网络类型------OSPF报文的单播还是组播---

华为防火墙VRRP双机热备的原理及实例配置

博文目录:一.双机热备是什么?二.什么是VRRP?三.VRRP的两种角色四.VRRP的三个状态机五.VRRP选举Master路由器和Backup路由器的流程六.通过VGMP实现VRRP备份组的统一管理七.双机热备的配置八.总结 一.双机热备是什么? 1.双机热备的作用 多台设备运行双机热备:一台设备故障其他设备接替工作:增强网络稳定性:保证业务的连续性: 华为的双机热备是通过部署两台或多台防火墙实现热备及负载均衡,两台防火墙相互协同工作,犹如一个更大的防火墙. 2.华为防火墙双机热备的两种模式:

华为防火墙实现双机热备配置详解

一提到防火墙,一般都会想到企业的边界设备,是内网用户与互联网的必经之路.防火墙承载了非常多的功能,比如:安全规则.IPS.文件类型过滤.内容过滤.应用层过滤等.也正是因为防火墙如此的重要,如果防火墙一旦出现问题,所有对外通信的服务都将中断,所以企业中首先要考虑的就是防火墙的优化及高可用性. 博文大纲:一.双机热备工作原理二.VRRP协议(1)VRRP协议概述(2)VRRP的角色(3)VRRP的状态机(4)VRRP的工作原理三.VGMP协议(1)VGMP的工作原理(2)VGMP的报文封装(3)双机

华为防火墙VRRP双机热备的原理及配置

一.何为双机热备?所谓的双机热备无非就是以7X24小时不中断的为企业提供服务为目的,各种双机热备的技术很多,那么华为使用了这个共有协议的热备协议--VRRP. 华为的双机热备是通过部署两台或多台防火墙实现热备及负载均衡,两台防火墙相互协同工作,犹如一个更大的防火墙. 华为防火墙的双机热备包含以下两种模式: 热备模式:同一时间只有一台防火墙转发数据,其他防火墙不转发,但是会同步会话表及server-map表,当目前工作的防火墙宕机以后,备份防火墙接替转发数据的工作. 负载均衡模式:同一时间内,多台

华为防火墙6000web界面配置

实验名称华为防火墙6000web界面配置 实验拓扑图 3.实验目的:  1.使内网 192.168..2.0网段通过pat转化可以上外网 2.使内网 client 1可以访问外网web服务器 3.发布内网WEB服务器,可以使外网client2可以访问 4.地址 规划 :  trust : client1 : 192.168.2.1 255.255.255.0 gateway  192.168.2.254 dmz :  192.168.3.1 255.255.255.0 gateway 192.1

华为防火墙的管理方式介绍及配置

博文大纲: 一.华为防火墙设备的几种管理方式介绍 二.各种管理方式的配置1.通过Telnet方式管理2.通过web方式管理3.通过SSH方式管理 一.华为防火墙设备的几种管理方式介绍 由于在对防火墙设备配置管理方式时,涉及到了AAA这个概念,索性就将AAA的相关介绍简单写一下. AAA是验证(Authentication).授权(Authorization)和记账(Accounting)三个部分组成,是一个能够处理用户访问请求的服务器程序,主要目的是管理用户访问网络服务器,为具有访问权限的用户提

华为防火墙的NAT介绍及配置详解

博文大纲:一.华为防火墙NAT的六个分类:二.解决NAT转换时的环路及无效ARP:三.server-map表的作用:四.NAT对报文的处理流程:五.各种常用NAT的配置方法: 一.华为防火墙NAT的六个分类 华为防火墙的NAT分类: NAT No-PAT:类似于Cisco的动态转换,只转换源IP地址,不转换端口,属于多对多转换,不能节约公网IP地址,使用情况较少. NAPT(Network Address and Port Translation,网络地址和端口转换):类似于Cisco的PAT转