网络设备的安全部署

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了网络设备的安全部署相关的知识,希望对你有一定的参考价值。

  1. VPN的模式:

①传输模式:适应于局域网,效率高,IP包头未被保护,只保护数据

②隧道模式:适应于互联网,IP包头被保护,安全性高

  1. VPN类型:

①站点到站点:总公司和分公司之间

②远程访问:个人与公司间

  1. 加密算法:

对称加密算法:加解密的密钥相同,类型:des    3des    aes

非对称加密算法:使用一对公钥和私钥,互相加解密,公钥公开,私钥持有者保存,

               主要算法有:rsa    dsa    dh

验证算法:md5和sha

  1. ISAKMP/IKE阶段1:管理连接阶段   500/udp

配置传输集参数:加密算法、验证算法、验证类型、DH密钥组、生存周期

ISAKMP/IKE阶段2:数据连接   4500/udp

定义VPN间流量:ACL

定义保护数据的安全协议(SA)

AH:只验证,验证IP包头,安全,但不支持NAT

ESP:验证、加密,支持NAT

  1. IPSec  VPN的配置:

(config)#crypto  isakmp  policy  1         管理连接

#encryption  3des(加密算法)

#hash  sha(验证算法)

#authentication  pre-share(预先共享方法)

#group  2|1|5(指定DH密钥组)

#lifetime  10000(秒)(管理连接断开时间)

(config)#crypto  isakmp  key  0  address  对方IP(共享密钥)

                          零,明文

      访问控制触发 VPN

(config)#access-list 100 permit ip  192.168.1.0  0.0.0.255  172.16.10.0  0.0.0.255

      加密和认证算法要相同

(config)#crypto  ipsec  transform-set  t352  esp-des  ah-sha-hmac(加密和验证)

       #mode  tunnel(VPN模式)

       #exit

(config)#crypto  ipsec  security-association  lifetime  seconds 1800(秒)(断开时间)

(config)#crypto  map  hanming  1  ipsec-isakmp        映射MAP

       #set  peer  202.2.2.2(对方IP)

       #set  transform-set  t352

       #match  address  100(ACL编号)

       #exit

(config)#int  f1/0(外部接口)

       #crypto  map  hanming(MAP名字)


以上是关于网络设备的安全部署的主要内容,如果未能解决你的问题,请参考以下文章

部署HTTPS不代表网络安全万无一失

防火墙基础之安全防护和访问控制无线网络部署

网络安全审计介绍与部署实施

防火墙基础之多分支安全防护和无线网络综合部署

网络安全Docker部署DVWA靶机环境

在部署数据中心时,需要规划以下哪些安全解决方案