返回
IPsecvpn及vpn原理及策略

IPsecvpn及vpn原理及策略

ID:46943917

大小:1.10 MB

页数:23页

时间:2019-11-30

IPsecvpn及vpn原理及策略_第1页
IPsecvpn及vpn原理及策略_第2页
IPsecvpn及vpn原理及策略_第3页
IPsecvpn及vpn原理及策略_第4页
IPsecvpn及vpn原理及策略_第5页
资源描述:

《IPsecvpn及vpn原理及策略》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、防火墙培训一Juniper防火墙-虚拟路由和策略路由的应用在Juniper防火墙设备的OS中,集成了虚拟路由和策略路由功能,在一般的情况下,这两个功能都很少使用,但是,在某些特殊的环境中就需要这两个功能的应用了。虚拟路由在逻辑上,可以看做是一个独立的路由器,并有独立的路由列表。在Juniper防火墙的OS中,默认有两个虚拟路由:trust-vr和untrust-vr。防火墙中的各种基于流量转发的安全区(ZONE),则默认工作在trust-vr中。虚拟路由的功能在一些特殊的环境下,可以将一个独立的多端口防火墙,在逻辑上作为两台独立的防火墙使用(不启用虚

2、拟系统:VSYS),则两个拥有独立路由列表的安全设备可以拥有各自独立的外网线路,并且,互相之间不受影响。策略路由,在Juniper的防火墙中也被称为源地址路由,该路由的作用是:对内部地址外出访问互联网或其它网络时,进行外出线路选择。策略路由一般的应用环境是:在防火墙设备实现多链路接入应用并有负载分配需求时,对内部网络IP地址的外出访问互联网时进行人为指定方式的外出链路选择。策略路由的优先级别在默认的情况下为最高,所以在使用策略路由时,如果防火墙设备还定义了基于trust-vr的DMZ区应用时,一定会受到策略路由优先的影响,从而导致对DMZ区访问的失败

3、。为了解决这个问题,则需要对防火墙的安全域进行调整,从而,应用到了另外一个虚拟路由:untrust-vrIpsec是什么IPSEC是一系列基于IP网络(包括Intranet、Extranet和Internet)的,由IETF正式定制的开放性IP安全标准,是虚拟专网的基础历史背景:计算机紧急事件响应队(CERT)在1996年的年终报告中列举了影响近11,000个站点的2,500多起安全事件。其中最严重的攻击包括IP哄骗(入侵者伪造假的IP地址,并对基于IP认证的应用程序进行哄骗)和各种的窃听和嗅探网包(攻击者在信息传输过程中非法截取如登录口令或数据库内

4、容一类的敏感信息)IPSec的主要特征在于它可以对所有IP级的通信进行加密和认证,正是这一点才使IPSec可以确保包括远程登录、客户/服务器、电子邮件、文件传输及Web访问在内多种应用程序的安全。二IPSec的优点&VPN工作原理如果在路由器或防火墙上执行了IPSec,它就会为周边的通信提供强有力的安全保障。一个公司或工作组内部的通信将不涉及与安全相关的费用。下文叙述了IPSec的一些优点:IPSec在传输层之下,对于应用程序来说是透明的。当在路由器或防火墙上安装IPSec时,无需更改用户或服务器系统中的软件设置。即使在终端系统中执行IPSec,应用

5、程序一类的上层软件也不会被影响。IPSec对终端用户来说是透明的,因此不必对用户进行安全机制的培训。如果需要的话,IPSec可以为个体用户提供安全保障,这样做就可以保护企业内部的敏感信息。IPSEC提供三种不同的形式来保护通过公有或私有:IP网络来传送的私有数据:认证--可以确定所接受的数据与所发送的数据是一致的,同时可以确定申请发送者在实际上是真实发送者,而不是伪装的。数据完整--保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变。机密性--使相应的接收者能获取发送的真正内容,而无意获取数据的接收者无法获知数据的真正内容。在IPS

6、EC由三个基本要素来提供以上三种保护形式:认证协议头(AH)、安全加载封装(ESP)和互联网密匙管理协议(IKMP)。认证协议头和安全加载封装可以通过分开或组合使用来达到所希望的保护等级。VPN工作原理IPSEC提供三种不同的形式来保护通过公有或私有IP网络来传送的私有数据:认证--可以确定所接受的数据与所发送的数据是一致的,同时可以确定申请发送者在实际上是真实发送者,而不是伪装的。数据完整--保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变。机密性--使相应的接收者能获取发送的真正内容,而无意获取数据的接收者无法获知数据的真正内

7、容。在IPSEC由三个基本要素来提供以上三种保护形式:认证协议头(AH)、安全加载封装(ESP)和互联网密匙管理协议(IKMP)。认证协议头和安全加载封装可以通过分开或组合使用来达到所希望的保护等级。对于VPN来说,认证和加密都是必需的,因为只有双重安全措施才能确保未经授权的用户不能进入VPN,同时,Internet上的窃听者无法读取VPN上传输的信息。大部分的应用实例中都采用了ESP而不是AH。钥匙交换功能允许手工或自动交换密钥。当前的IPSec支持数据加密标准(DES),但也可以使用其它多种加密算法。因为人们对DES的安全性有所怀疑,所以用户会选

8、择使用Triple-DES(即三次DES加密)。至于认证技术,将会推出一个叫作HMAC(MAC即信息认证代码

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。