cisco安全vpn等知识汇总

安全知识一、网络安全CIA三角模型私密性：逻辑和物理的限制完整性：出来没有修改----源认证高可用性：数据能够持续被访问二、安全的定义私密性：也就是加密，防止除了各地老师以外的其他人员能够看到这个版本完整性：确保版本在传输过程中是没有被篡改的源认证：各地老师要确保收的版本是我发的而不是其他伪装源发的不可否认性：我不能事后否认发送过版本给各地老师三、防火墙的定义防火墙是一个连接两个或多个网络区域，并且基于策略限制区域间流量的设备。（组织威胁从一个区域蔓延到其他区域1、区域类型内部默认安全级别为100外部默认安全级别为0dmz隔离区域默认安全级别为0高安全级别可以访问低安全级别的区域，但是低安全级别不能访问高安全级别区域dmz区域用来放置一些服务器2、防火墙的技术1、包过滤特点：基于静态包头信息，限制进入网络内部的数据包2、应用层代理特点：处理速度慢（对数据包深度检测）对设备的性能要求也高数据包的处理效率也是要降低的但是安全性比较高防火墙必须定时更新进程，否则防火墙没有办法去代理新的服务。3、状态包过滤特点：转发效率比较高（基于状态化表象转发数据）能够感知应用层，能动态打开服务端口安全强度稍差与代理防火墙四、包过滤的工作过程TCP已建立连接的返回包穿越防火墙外网接口，检测tcp的flag位有ack字样，acl就会认为这是已经建立连接的返回包。tcp三次握手建立连接（请求发送回应）syn————》syn+ackA《————Back————》TCP是一个面向连接，每发送一个数据包，都要收到一个ACK确认，如果没有收到，就一直发包，直到收到ACK确认包为止，确保每一个数据包发送回到目的地（前提：tcp连接建立好了）五、应用层代理的工作过程1、客户端发送请求到ALG2、ALG从新封装发送给服务器3、服务器回应4、ALG从新封装回应给客户端六、状态包过滤的工作过程当内网的流量去访问外网的时候会经过防火墙，防火墙会对内网流量进行状态化信息记录，而这些状态化信息记录都存放在他的状态信息表里，当外网的流访问内网时，到达防火墙会查看状态信息表，如果有则直接转发到内网，如果没有则不能直接转发到内网。failover故障切换故障倒置包含：A/AA/S七、PIX支持功能：a.私有的操作系统b.状态化的包过滤：源目ip；源目端口号；序列号；flagc.穿越用户认证d.应用层感知的监控系统：1.保证协议正常工作2.应用程序安全e.模块化的策略：1.inspect:改变端口的时候起作用，现在可以基于acl或者vpn的流量做监控2.IPs3.policyf.vpn:pix集成了几乎所有vpn3000的功能g.多模式防火墙：多个不同的模块，65防火墙模块继承而来h.failover性能(时效性恢复功能)i.透明防火墙：对于3层来说是透明的j.图形化界面：SDM（IOS），ASDM（PIXASA），ISDM（IPS）八、.ASA特性：CISCO防火墙型号大部分都软件区别，硬件是一样的。a.状态监控包过滤b.穿越用户访问网络验证（ip直接访问不安全，容易伪装ip）c.应用层过滤（不是为了做ACL,而是URL过滤，FTP上传下载的文件名，msn只能传文件，不能玩游戏，等高级控制功能）d.MPF模块化安全策略（qos）------MQC:MQC(ModularQoS):模块化QoS命令行接口，在CiscoIOS12.0(5)T版本中被引用.通过做MQC来实现监控，限速，QOS等等e.强大的vpn功能：IPSECVPN（远程拨号VPN强大，如果是站点到站点还是用路由器）SSLVPNf.IPS硬件模块（两个模块：AIP-SSM--入侵防护CSC-SSM---防病毒，URL，防垃圾邮件来扩展功能）g.多模式防火墙（虚拟防火墙）最独特的功能，做很多子防火墙（虚拟化）h.FO可用性主备用i.透明防火墙（就是二层交换机）防火墙基于路由表来转发数据表j.图形化界面网管（ASDM）：SDM（IOS），ASDM（PIXASA），ISDM（IPS）九.PIX与ASA的区别：版本都能支持8.03考试版本，以下都是PIX没有的功能------最新的8.3几SSLVPNSSM（PIX没有这个槽位不能扩展功能）支持VPN族和负载均衡5520开始有这个功能CF卡（扩展FLASH）AUX口十.PIX产品的授权：l版本的授权：1.UR:非限制版2.Restricted：限制版。1.只能够支持3个物理口2.只支持内存64M的内存3.不能够做failover3.Active/standbyfailover版本4.Active/activefailover版本最便宜的做法是拿一个UR和一个FO做failover金牌可以将failover自己生成UR的产品来赚取之间的利润。从中差价很大。单独的FO没有用处。2、加密的授权所有人都可以免费得到DES的授权理论上只有北美和加拿大才有3DES的授权。中国不可以。但是中国市场上有多模式防火墙的授权R限制版不支持多模式防火墙UR非限制版默认有2个多模式防火墙的授权。但是最多可以买50个的授权。mpf模块化安全策略包扩四个G口模块ips模块AIPSSM模块CSCSSM模块（放病毒URL过滤放垃圾邮件)透明防火墙：二层防火墙一般在公司的内网已经确定好在分割的时候不想改变网段，把防火墙的路由模式改成透明模式，这样防火墙纯粹属于一个二层的防火墙这样就实现了一个过滤的功能。透明防火墙是二层防火墙技术1.只能有两个接口，2.如果两个接口都接交换机，两个接口必须要化到不同的vlan中3.支持多模式防火墙5.防火墙的安全策略:dmz：非军事区，安全级别居中50，适合放为内部和外部服务的服务器及VPN设备。同时可以存在多个DMZ。DMZ一般放在第三接口上，也可以放在两个防火墙之间。（如果没有DMZ？？？？？）Outbound流量：由高安全级别到低安全级别Inbound流量：由低安全界别到高安全级别从高安全接口到低安全接口是完全可以的，但是从低安全接口到高安全接口是不可以的，除非用访问列表放掉。避免安全级别相同，相同安全级别端口默认不通，可以用命令激活。防火墙的acl由低安全级别区域去访问高安全级别区域叫做inbound由高安全级别区域去访问低安全级别区域叫做outbound路由器上的和防火墙上访问控制列表的相同点个不同点？相同点：1、访问控制列表隐藏的默认还是拒绝2、访问控制列表的顺序由上到下一次匹配3、针对数据包的源ip去过滤数据包不同点：1、防火墙上的acl只控制穿越防火墙的流量对抵达防火墙的流量是不起作用的2、只对初始化的数据包起作用防火墙内部出去的流量依旧可以返回路由器从内网出去的流量返回的时候就会被干掉防火墙上不指定访问控制的类型的话，默认为扩展的访问控制列表。inactive暂时性的不活跃可以暂时性的使一个条目失效rename可以对访问控制列表改名字remask可以对访问控制列表做注释l时间ACLtimerange123（名称）absolutestart00:001August2004end00:0030august2004----绝对时间periodicweekdays8:00to17:00----周期性时间static(dmz,outside)192.168.0.6172.16.0.6access-listaclinpermittcphost192.168.10.2host192.168.0.6eq对抵达(对穿越的没有作用)防火墙的icmp进行控制，方向是只能是in方向icmpdenyanyechooutsideicmp拒绝从源为任何地址，目的为outside接口的echo-request流量。默认后面有一个deny所有流量的列表。icmppermitanyoutside---其他的抵达outside流量全部放行NAT网络地址转换ASAnat动态NAT:一对一，多对一，自己转化自己，（nat0）特定流量的NAT(POLICENAT)高优先级--低优先级静态NAT:一对一，网络静态转换，端口转换低优先级---高优先级ACL放行NATbypass:NAT旁路NAT0+ACL配置1.动态一对一NAT：（适用于内部用户上网）nat(inside)110.1.1.0255.255.255.0global(outside)1192.168.0.20-192.160.0.254netmask255.255.255.0showxlate查看转化槽位2、PATnat(inside)110.1.1.0255.255.255.0global(outside)1202.100.1.100fw1(config)#access-listdeny-flow-max1024fw(config)#access-listalert-interval120-----120秒以内最多出现1024条log显示，以免攻击流量所显示的信息占用太多的资源。deny不会产生log生成日志同样名字的access-list根据输入时间先后顺序来用用line1/2/3来区分，如果想在1和2之间插入一条，那么可以写入line2条目，这样原来的2就变成了条目3.3.network-object的配置方法：DMZ区域有3台服务器，每个服务器提供http,https,ftp服务。这样就会有3条静态的nat,和9条acl进行配置。配置起来很麻烦。可以对服务（http,https,ftp），或网络主机，或4层协议(tcpudp)，或ICMP类型(echoecho-reply)进行归类。对地址进行归类对服务进行归类同时调用地址归类和服务归类：对协议进行归类对ICMP信息进行归类1.activeXblocking:fw1(config)#filteractivex800.0.0.00.0.0.00.0.0.00.0.0.02.javaappletfiltering3.urlfilterservice思科支持两个厂商websence和n2h2的url服务器。多模式防火墙把一个防火墙虚拟成两个防火墙必须有admin子接口多模式防火墙使用场合：1.SP的IDC机房为不同用户做不同的防火墙策略2.大企业或者学校，希望部门之间完全的隔离3.若单模防火墙接口非常多的情况下。两种配置模式：1.系统全局配置模式：创建虚拟防火墙，为每一个虚拟防火墙关联接口。2.子防火墙配置模式1.admin虚拟防火墙：因为系统全局配置模式不能为接口配置IP的。也不能进行网管的，所以有了admin虚拟防火墙，它把一个接口虚拟连到自己身上，配置IP地址进行网管。可以切换到系统全局模式，也可以切换到其他子防火墙。子防火墙也可以配置IP进行网管，但是只能网管自己，不能切换到其他防火墙上。2、接口share模式：一个接口为多个虚拟防火墙所公用，配置多个IP地址，但是MAC地址是唯一的。连接用户PC的接口不能是share的。因为用户所写网关的真正用途是，用户再封装数据包时，目的地址时网关的MAC地址。这样数据再到达防火墙后不知道走哪个路径。所以不能用share模式。Failover故障切换A/SFO:备用是闲置一个主一个备当主运行的时候是备是闲置的A/AFO:网络规划使两个设备都有流量。两个都是主设备防火墙的热备就是防火墙的failover做防火墙的热备必须具有相同的的条件靠专线来实现两个防火墙的同步串口f/0和lanbasedf/0pix可以做两种情况的f/0,asa只能做lanbasedf/o.因为其没有串口。硬件FO：没有已建连接的copystatefulFO:有已建连接的copy。2.做failover的两台设备的条件：两个FO或者一个UR和一个FO硬件,接口，必须相同加密授权必须相同7.0、以上软件版本可不相同，以下要相同outside与outside必须是二层网络inside与inside必须是二层网络DMZ和DMZ必须使二层网络3.active切换为standby的过程：如果一段时间内收不到hello,接口进入测试