网络安全高级应用--总结

《网络安全高级应用--总结》由会员分享，可在线阅读，更多相关《网络安全高级应用--总结（15页珍藏版）》请在金锄头文库上搜索。

1、一、 TCP/IP 高级技术IP 数据包结构：首部（固定 20B）和数据（可变，最大 40B）1. 标识-数据包 id，标明数据包是否属于同一数据流 标志-是否允许分片（3 个比特位） ，第二位为 0，表示允许分片；为 1 表示不允许分片；第三位为 0，表示没有分片；为 1 表示还有分 片。 分片偏移-表示重组的先后顺序。 协议（协议（ProtocolProtocol）：标识了上层所使用的协议。 以下是比较常用的协议号：1 ICMP2 IGMP 6 TCP17 UDP88 IGRP 89 OSPF2. ICMP 头部总长度为 8B 报文的类型： 类型 8：回送请求；类型 0：回送应答； 代码

2、1：主机不可达；常见 类型 3：终点不可达 代码 3：端口不可达。类型 4：源点抑制；类型 11：超时； 类型 5：改变路由；类型 12：参数问题；IP 分片的原理：当数据的总长度大于 MTU（最大传送单元，默认：以太网 1500B,PPP 链路296B）值时，会被分片，将每个分片加一个 IP 包头，封装成帧格式，传输过程 可以被再分片，到达目的地后会根据 OFFSET 值进行分片重装！3. TCP 协议内的几种控制位：URG：紧急指针有效位；ACK：确认序列号；PSH：要求接受方尽快将数据段送达应用层；RST：重新建立 TCP 连接；SYN：请求连接；FIN：请求断开。 TCP 的 mss（

3、maxmum segment size）最大报文段长度表示可以被重点接受的 TCP 报文段长度！一般地：MSS=MTU-20-20 4. 滑动窗口的原理：跟对方先协商一下，一次最多能处理多少个数据包；控制 发送端根据接受端的能力来发送数据。如果之前没有协商，发送的数据包过 多，会被丢弃，浪费带宽。5. 滑动窗口的好处：使传输更加有效，同时也控制数据的流动，使得接受端不 致因数据量过大而瘫痪。 6. TCP 的计时器的类型：1、重传计时器：主要用于重传丢失的报文段；2、持久计时器3、保活计时器（和持久计时器一样，当 PC 突然断 电时，一般都会使用这两种计时器）4、时间等待计时器：在 TCP 连

4、接终止期间使用的。 UDP 协议：UDP 是一个无连接的、不保证可靠性的四层协议，首部结构简单， 传输中只花费最小开销。 7.死亡之 ping 的工作原理：发送一个数据包（大于 65535 字节） ，PC 机一下处 理 不过来，就会放到缓冲区，当缓冲区满时，会导致 缓 冲区溢出，最后导致系统宕机。8.泪滴攻击的原理：修改分片的偏移量，使分片重叠，导致系统重组不成功， 直至 CPU 资源耗尽。9.SYN Flood 泛洪的原理：根据 tcp 三次握手的原理来进行攻击；攻击者伪造虚假的源 IP 向目标主机发送 SYN 请求，而目标主机回复 SYN 请求后，得不到确认，产生大量半连 接，造成正常用户

5、无法访问。二、Cisco 防火墙1.防火墙的分类：1、硬件防火墙；2、软件防火墙；3、芯片级防火墙。2.硬件防火墙和软件防火墙的区别：1、硬件防火墙功能强大，且明确是为抵制 威胁而设计的；2、硬件防火墙的漏洞少。3.Cisco 防火墙的型号及区别： ASA5505、ASA5510、ASA5520、ASA554 0、ASA5550、ASA5580。区别：ASA5505 是二层接口，需要进入 VLAN 配置， 其他的都是三层接口。4.ASA 支持三种主要的远程管理接入方式：telnet、SSH、ASDM。5.nat-control 的作用：高安全级别访问低安全级别都需要进行 nat 转换，否则丢

6、弃7. 从低级别访问高级别须配置静态 NAT，因为静态 NAT 是双向的！ 8.三、IPsec VPN（一） 1.VPN 的定义：虚拟专用网 2.VPN 可以“保护”网络实体之间的通信：1、使用加密技术防止数据被窃听；2、数据完整性验证防止数据被破坏、 篡改。3、通过认证机制实现通信方身份确 认，来防止通信数据被截获和回 放。 3.VPN 的模式：1、传输模式；2、隧道模式。VPN 的类型：1、站点到站点的 VPN；2、远程访问 VPN4.VPN 的加密算法：1、对称加密（密钥可能被窃听，速度快） ；2、非对称加 （计 算复杂，效率低，传输速度慢，安全） 5.对称加密的算法：1、DES（56

7、位密钥）2、3DES（3 个 56 位密钥） 3、AES（支持 128、192、256 位密钥，最安全的一种） 6.非对称加密的算法：1、RSA 算法 2、DSA（数字签名算法）3、DH 算法（支 持组 1 768，组 2 1024，组 3 1536） 7.对称加密的原理：有一个共享密钥，使用同一个共享密钥进行加密，进行解 密。 8.非对称加密的原理：PC1 会发送自己的公钥给 PC2，然后 PC2 会用 PC1 发来 的公钥进行数据加密，然后发送过去，PC1 会用自己的 私钥解密。 9.数据报文验证：1、身份验证；2、报文完整性验证。 10.数据报文验证的算法：1、MD5；2、SHA 11.

8、IPsec：阶段 1 的建立过程：1、协商采用何种方式建立管理连接；2、通过 DH 算法共享密钥信息；3、对等体彼此进行身份验证。 12：IPsec：阶段 2 的建立过程：1、定义对等体间需要保护何种流量；2、定义用来保护数据的安全协议；3、定义传输模式（默认是隧道模式） ；4、定义生存周期。13：在主模式中，这三个任务是通过六个数据报文完成的：1、前两个数据包用 于协商对等体间的管理连接使用何种安全策略（交换 ISAKMP/IKE 传输集） ；2、中间的两个数据 包通过 DH 算法产生并交换加密算法和 HMAC 功能所需的密钥；3、最后两个数据包 使用预共享密钥等方式执行对等体间的身份验证。

9、 注意：前四个报文为明文传输，从第五个数据报文开始为密文传输，而前 四个数据包通过各种算法最终产生的密钥用于第 5、第 6 个数据包以及后续数 据的加密。 14：ESP 和 AH 的区别：ESP 只对数据进行身份验证，AH 对整个数据包进行验 证，AH 不支持加密功能，而 ESP 支持加密功能。四、IPsec VPN（二） 1：nat 豁免的作用：VPN 的流量不需要做 NAT 转换。 2.路由器与 ASA 防火墙的区别：1、默认配置区别；2、路由器默认是开始 IPsec 的，而 ASA 防火 墙默认是关闭的；3、配置预共享密钥不同；4、ASA 默认是不允许从同一个接口进入再流 出，流量无法通

10、过具有相同级别的两个流量进入或流出。 3.AH 协议不能与 NAT 设备一同工作，AH 也不能和 PAT 一起工作（AH 对整 个数据包进行验证）ESP 协议不能与 PAT 设备一同工作，ESP 对 IP 数据进行验证。 4：为了解决 ESP 与 PAT 一同工作，需要配置 NAT-T 改变端口号（4500-数 据连接，500-管理连接） 5.管理连接所处的状态：MM_NO_STATE-ISAKMP SA 建立的初始状态；MM_SA_SETUP-对等体之间 ISAKMP 策略协商成 功后处于该状态；MM_KEY_EXCH-对等体通过 DH 算法成功建立共 享密钥，此时还没有进行设备验证；MM_

11、KEY_AUTH-对等体成功进行设备验证，之后 会过渡到 QM_IDIE 状态；QM_IDIE-管理连接成功建立，即将过渡到 阶段 2 的数据连接建立过程。6.故障排查：1：完全没有 debug 信息：1、路由器未配置或配置错误；2、防火墙的 crypto map 配置错误；3、防火墙的 crypto map 未应用在接口；4、ACL 未配置；5、Transform-set 配置不匹配；6、peer +IP 地址配置不正确。2：管理连接建立不成功：1、防火墙的 IKE 协议未启用；2、预共享密钥双方不匹配；3、与共享密钥的地址配置错误；4、阶段 1 传输不匹配。3：数据连接建立不成功：1、阶段

12、 2 的传输集配置错误；2、路由器的 crypto map 配置错误；3、路由器的 ACL 配置错误。网络安全第五章一，Easy VPN 和 SSL VPN 它们都属于远程访问 VPN 远程访问 VPN 包含了：1 远程 IPsee VPN Easy VPN DVTI(动态虚拟隧道接口) 2 远程 SSL VPN （DVTI 属于下一代远程 IPsec VPN 概述） 主要讲： Easy VPN 的工作原理 有两个组件：VPN 服务器：它定义好 VPN 策略，连接时将策略发送到 客户端，降低了 Client 部署的复杂性增加了可拓展行和灵活性 VPN client：软甲和硬件之分 软件：安装在

13、 PC 机上的 Cisco VPN client 可直接访问内部网络 硬件：可以说 router 或 ASA 有三种模式 1，client made(pat)模式，远程主机不使用服务器的 IP 地址池地址而采用硬件 客户端的 PAT 配置。 网络扩展模式（net work mode）:不使用 NAT 和 PAT，客户端能直接访问目标网段主机 网络扩展 PLUS 模式：它比 2，增加了以个新特点，可以为 loopback 口请求 IP，用于故障 排查。 IPsec VPN 特点： 1， 更适合做站点到站点的 VPn 2， 远程访问时需要配置客户端软件 3， 不易解决 NAT 穿越及防火墙穿越等问

14、题 SSL VPN 特点： 1， 不需要安装客户端，另需要一个 web 浏览器 2， 可以轻易穿越 nat 和防火墙，应为 ssl 处于传输层和应用层中间。 3， 只有基于 web 的应用程序可以和 ssl 一起工作 它有两个组件 Ssl vpn 服务器 Ssl vpn 客户端 有三种部署方法 1，无 client 模式：只需启用、用户名，密码。和 web vpn基于网页内容的访问和对网页资源的安全访问还可通过 cifs （command interface file system） 2，瘦客户端（也称端口转发模式）：提供基于 tcp 的远程访问，如 PoP3，smtp，ssh 等他 扩展了网

15、页浏览的加密功能通过 Java applet 传输 4， 胖客户端又称 tunnel mode 或 full tunnel client mode：需下载 ssl vpn client 软件 svc。支持所有应用程序的 3 层访问。 配置命令 Ios 上的 esasy vpn 配置 一，定义 aaa 启动 aaa R1（config）#aaa net-model 启用 aaa 登陆身份验证列表名为 vpn-authen 验证方法为本地 R1(config)#aaa authentication login vpn authen local 启用网络授权，授权列表名为 VPN author 方法

16、为本地（local） R1（config）#aaa authorication network vpn_author local 当验证方法为 local 时，需在路由器上定义用户名和密码 Username benet password cisco 二定义阶段 1 的参数，easy VPN 多了一个阶段 1.5 的认证 阶段一参数 Crypto isakrnp policy 10 Encryption aes 128 Hash sha Authentication pre-share Group 2 Exit 三定义 1.5 认证 设置 aaa 服务器1.定义 IP 地址池 Ip local pool vpn_pool 10.0.0.1 10.0.0.10 （地址范围） 2.定义 acl 用于分离隧道，指既可以访问公网，也可以走 vpn 用 pertnit 指定 vpn 流量 用 D