HCNAsecurity網絡安全課程簡介USG模擬器使用①環境準備權限默認地址admin Admin@123默認密碼更改之后密碼：abc-1234 （abc-12345）②清空配置刪除除拓撲以外的文件夾<>reset saved-configuration重啟③ 雙橋接④實驗手冊見群共享⑤CE6800交換機OSI模型OSI模型：opensysteminterconnection開放式系統互聯（七層）一層：物理層：物理線纜二層：數據鏈路層：mac地址三層：網絡層：IP地址四層：傳輸層：端口號（TCPUDP五層：會話層七層：應用層注意：osi目前已經被淘汰。目前tcp/ip已經取代osi模型。TCP/IP模型ipv4報文：version版本：4 ipv4IHL（header）：ipv4包頭長度（變化TOS（dDSCP差分服務代碼點）：服務質量 將流量進行分類，然后針對特定類的數據包實現優先轉發totallength：總長度 總長度-頭部長度=高層數據標識、標記、分片偏移用來對數據包進行分片和重組identification標識位：標記屬于同一片報文的idflags標記：標記最后一片報文，告知下一個路由器同一個包分片結束fragmentoffset偏移位：用來確保重組的順序TTL（timetolive）：生存周期 現在用來記錄傳輸的跳數 止三層路由環路 報文通過三層設備時才會減一protocol協議字段：標識上層協議 1ICMP 6TCP UDPheaderchecksum頭部校驗：校驗ipv4損壞options選項位：對于ipv4報文的高級功能（如松散源路由等進行定義 可有可無padding填充位：在options不足32bit時，使用padding填充0。各層協議之間的關系例如：數據鏈路層為三層的網絡層服務二層type:0x0800 >ip二層type:0x0806 >arp例如：三層protocol:6 >tcp三層protocol:17 >udp三層protocol:1 >icmp例如：四層：端口：80 >http21 >ftp23 >telnet二層：type>三層：protocol>四層：端口>高層應用層各個層次的攻擊手段kali踩點掃描篇工具：nmap zenmapnmap -sP -120 對6.1-6.120使用ping行掃描3-5s即可完成zenmap：圖形界面nmapZenmap是nmap的GUI版本，由nmap官方提供，通常隨著nmap安裝包一起發布。Zenmap是用Python語言編寫的，能夠在Windows、Linux、UNIX、MacOS等不同系統上運行。開發Zenmap的目的主要是為nmap提供更加簡單的操作方式。intense：強烈的 認真的細致scan：掃描comprehensive：綜合的完整的20個地址大概需要掃描5分鐘中斷掃描：mannmapnmapnmap使用參考鏈接：/hanxiaobei/p/5603491.htmlScanPortpassword…3.rar31.79KBX-Scan-v3.3passw…3.rarScanPortpassword…3.rar31.79KBX-Scan-v3.3passw…3.rar12.42MB（此版本只能在xp中使用）scanport快速掃描端口xscan掃描對方系統版本漏洞開放端口和服務利用報文：ping arp請求 tcpsyn netbioskalilinux攻擊之斷網：（原理arp欺騙）攻擊機kali6.50受害者win76.116arpspoof -i eth0 -t16 -i網卡 -t 目標IP 網關防御：后面再講arp協議原理簡介：（AddressResolutionProtocol）,地址解析協議，通過目的IP地址，請求對方MAC地址的過程。arp 過程：cmdarp -a 顯示arp緩存arp -d * 清空arp緩存表arp報文種類：① PC1 >PC2arp 請求包:request 廣播注意：目標mac為全F，該報文屬于廣播，交換機見到目標mac為全F的報文會群發（泛洪）。dynamic 動態緩存② PC1< PC2arp響應包reply單M2 >M1arp -s 例如：arp -s 0 1c-87-2c-61-ff-25arp欺騙注意使用arp的響應報文！！總結：arp協議太傻，誰給的響應它都相信！arp攻擊與防御攻擊原理：利用arp傻傻的一根筋思維！別人說啥都信！原理：利用虛假的arprelay報文毒化pc或者網關的arp緩存表,arpreply報文會直接覆蓋自己當前的arp表，后來的arpreply優先！即兩頭哄騙技術！kali攻擊機：arpspoof-t0欺騙6.16.80（將6.80的mac偽裝成B，通過arprelay報文發送給6.1）arpspoof -t 0 欺騙6.80聲稱自己就是6.1（將6.1的mac偽裝成B，通過arprelay報文發送給開啟kali的路由轉發能：echo 1 > /proc/sys/net/ipv4/ip_forwardctrl+shift+t linux里面切換窗口攻擊時通不攻擊時也通 用戶網不中斷！！查看用戶隱私、限速、篡改用戶報文、欺騙釣魚！防御：dhcpsnooping +ip源防護 +DAI arp限速360安衛士開啟局域網防護dhcp snooping：dhcpsnoopingenable 全局dhcpsnoopingenablevlanint xxdhcpsnoopingenable或者vlan xxdhcpsnoopingenintxxxdhcpsnoopingtrusteddisplaydhcpsnoopinguser-bindarp報文限速功能：執行命令arpspeed-limitsource-macmaximummaximum，配置根據任意源MAC地址進行ARP報文限速的限速值。執行命令arpspeed-limitsource-ipmaximummaximum，配置根據任意源IP地址進行ARP報文限速的限速值。執行命令arpanti-attackrate-limitenable，使能ARP報文限速功能。缺省情況下，未使能ARP報文限速功能（可選）執行命令arpanti-attackrate-limitalarmenable，使能ARP報文限速丟棄告警功能。DAI動態arpintxxxarpanti-attackcheckuser-bindenablearpanti-attackcheckuser-bindalarmenable，使能動態ARP檢測丟棄報文告警功能（可選）arpanti-attackcheckuser-bindalarmthresholdthreshold，配置動態ARP檢測丟棄報文告警閾值。（默認是100）方法A：不啟用dhcp-snooping，使用user-bindstatic靜態建立ip-mac-接口檢查表項（這種方法適用于企業靜態給用戶配置ip地址的情況）全局 user-bindstaticip-addressmac-address0021-cccf-1d28interfaceEthernet0/0/2interfaceEthernet0/0/2ipsourcecheckuser-bindenable即可接在e0/0/2口的PC只能是31.7mac是1d28才可以通e0/0/2口 若ip和mac不匹配則報文將被直接丟棄方法B：dhcp協議原理DHCP（DynamicHostConfigurationProtocol）動態主機配置協議，給用戶自動分配ip地址、網關、DNS等參數。可以提供DHCP功能的設備：路由器、家用路由器（小米、tp-link等）、防火墻、三層交換機、服務器用戶上網滿足參數：IP地址、網關、DNS等。配置：路由器：dhcpenable啟用dhcp功能inte0/0/0ipadd24dhcpselectglobal配置dhcp選擇從全局分配地址ippoolqq創建地址池qqgateway-list網關networkmaskip和掩碼dns-list14DNSdisippoolnameaaused 查看dhcp的分配記錄dhcpdiscover源地址：目標地址：55廣播用戶請求地址的時候，將自己的mac地址封裝在dhcp的報文里面，服務器基于不同的mac地址來區分不同的計算機，進而分配不同的ip地址。dhcp接入交換機：dhcpenabledhcpsnoopingvlan 1dhcpsnoopingenableintgi0/0/1將上聯口設置為信任接口（默認所有的接口都是非信任口）dhcpsnoopingtrusteddhcp 耗盡攻擊kali攻擊機偽裝各種dhcp請求報文將dhcp地址池耗盡，使得受害者無法獲取ip地址win7虛機里面運行ensp，使用路由器搭建dhcp服務，kali通過云彩橋接到交換機進行dhcp耗盡攻擊.kali執行攻擊指令：pig.py eth0路由器dhcp服務搭建ip pool aagateway-list54networkmaskdns-list14interfaceGigabitEthernet0/0/0ipaddress54dhcpselectglobal查看指令：dis ip pool name aa used防御：dhcp snooping 端口dhcp請求限速（個數）DHCPDOS攻擊工具：yersiniayersinia是一款底層協議入侵工具，它能偽裝多種協議的報文并實施欺騙和攻擊。例如：奪取生成樹stp的根角色，生成虛擬cdp（cisco發現協議）鄰居。在一個hsrp冗余型網絡環境中偽裝成一個活動的路由器、制造假dhcp報文反饋，耗盡dhcp地址池等等。具體可以虛擬的報文如下：SpanningTreeProtocol(STP)CiscoDiscoveryProtocol(CDP)DynamicTrunkingProtocol(DTP)DynamicHostConfigurationProtocol(DHCP)HotStandbyRouterProtocol(HSRP)IEEE802.1QIEEE802.1XInter-SwitchLinkProtocol(ISL)VLANTrunkingProtocol(VTP)啟動工具：yersinia -G用戶幾乎全部斷網由于大量dhcp廣播(2萬個/s)攻擊報文發出，導致路由器和其他終端幾乎斷網停止攻擊：針對dhcpDOS攻擊防御針對dhcpDos攻擊防御：storm-control 流量抑制及風暴控制6.7 或者dhcp snooping+dhcpsnoopingcheck 9.7.2針對dhcp耗盡攻擊防御針對dhcp耗盡攻擊防御： dhcpsnooping+dhcpsnoopingmax-user-number 9.7.4 或者端口安全 8.6.1注意：針對用戶私接家用路由器依然有效。Kalilinux抓取妹子相冊win7（6.117）kali（6.50）網關（6.1）先來個arp欺騙arpspoof -t 17 開啟kali的路由轉發能（臨時）：echo 1 > /proc/sys/net/ipv4/ip_forwarddriftnet -i eth0 win7打開新浪首頁然后kali端：注意：只針對http的流量，https目前無法解析！Kalilinux攻擊之會話劫持會話劫持：內網登陸他人微博貼吧百度ferret -i hamster等待受害者登陸bbs論壇win7上面： 主要登陸http類型帳戶564992630@回到kali：進入個人后臺成功劫持Kalilinux攻擊之DNS原理：兩頭哄騙！釣魚網站：0（server2008）①修改DNS攻擊文件通過圖形界面修改也可以：echo 1> /proc/sys/net/ipv4/ip_forward開啟kali轉發②運行攻擊工具ettercap③選擇網卡掃描IP選擇使用的網卡④執行arp欺騙選中攻擊目標：將網關6.1添加到target1將受害者6.113添加到target2執行arp毒害，使得網關6.1認為受害者6.113的mac是1a95(攻擊者mac），同時使得受害者6.113認為網關的mac就是1a95(攻擊者mac）。受害者arp表：⑤dns欺騙攻擊后結果：受害者訪問任何網站都會解析成0原理：首先發送arp欺騙報文對網關路由器和受害者進行arp欺騙，得手后利用dns欺騙工具對受害者的dns請求進行偽裝應答。注意：經測試win10安裝360安全衛士也可以攻擊成功。受害者網卡抓包：arp欺騙報文：DNS欺騙報文：arp欺騙攻擊arp欺騙攻擊.pcap1.73KBdnsdns欺騙攻擊.pcap218B利用ettercap還可以做的壞事情：竊取別人數據包、截獲目標機器登陸路由器明文密碼以及郵箱賬號和密碼、查看妹子隱私和她瀏覽的網站、獲取目標主機cookie登陸其個人隱私空間或論壇、dhcp欺騙等等等。參考鏈接：/archives/6068.html/617662.html/hkleak/p/5043063.html針對各種攻擊防范技針對各種攻擊防范技書14.6MB防御措施：dhcpsnooping+DAI+IPSG 端口安使用360安全瀏覽器+360安全衛士防御措施：以上攻擊防御機制：360安全衛士局域網防護默認這些功能全部關閉，需要手動打開電腦管家安裝并打開arp防火墻局域網密碼嗅探簡單攻擊工具cain局域網密碼嗅探Cain4.9漢化版密…3.rar3.03MB綠色軟件 需要安裝winpcapCain4.9漢化版密…3.rar3.03MB選擇網卡和ip 必須要發現ip地址上面的網卡下面那個網卡無效先點擊網卡然后再點擊嗅探器否則會說嗅探器未激活（在嗅探器里面掃描）arp欺騙等待時機113主機上網登陸賬號113：局域網限速和管控P2P終結者P2P終結者4.1.3pa…3.rar2.85MB注意：默認全局限速規則下行100K 上行50k限速前：受害者 使用360瀏覽器ie瀏覽器均成功百度qq下載保存 5.08M/s限速后：98K/s常見局域網攻擊工具網絡執法官V2.88網絡執法官V2.88企…3.rar2.28MB建議在xp環境下安裝（安裝winpcap3.0軟件自帶）注意：該軟件只能使用winpcap3.0不兼容其他版本winpcap。因此和wireshark也無法兼容。選擇網卡3s時間掃描出本網段的用戶掃描原理：大量的arp廣播請求設置關鍵主機（可以設置多臺，一般可以將網關設置為關鍵主機）對用戶進行管理：設定權限（復雜管理）手工簡單管理（中等復雜）鎖定和解鎖（簡單管理）UDP攻擊器UDP攻擊器V2.1pa…3.rar965.31KB攻擊可以是個人pc也可以是服務器 （殺敵一千自損800） 口可以是80 445 135等效果受害者消耗服務器60%的帶寬代理服務器攻擊DD…3.zip代理服務器攻擊DD…3.zip286.55KB 31f代理西刺代理ScanPortpassword…3.rar31.79KBX-Scan-v3.3passw…3.rarScanPortpassword…3.rar31.79KBX-Scan-v3.3passw…3.rar12.42MB（此版本只能在xp中使用）scanport快速掃描端口xscan掃描對方系統版本漏洞開放端口和服務簡單攻擊工具⑤：系統漏洞掃描windows安全公告網站：/zh-cn/security/bulletins系統漏洞掃描工具nessus下載/products/nessus/select-your-operating-system激活官網/products/nessus-home灰鴿子2008灰鴿子2008破解版…3.zip5.79MBPC（6.116）攻擊者 PC受害者（6.112）生成木馬程序 6.116屬于監聽的ip地址先生成木馬生成的木馬文件想辦法將木馬文件放到受害者機器上運行控制受害者：程序會自動加入開機啟動項，且每次啟動會在后臺自動運行!!登陸防火墻USG6370：中等T級下一代防火墻：命令行界面密碼：Admin@123[ ]web-managerenable開啟web界面管理（開啟）web界面：默認admin Admin@123修改后密碼統一為：abc-1234 abc-12345SecureCRT登陸軟件注意：遠程SSH、telnet 登陸見后面章節課程。應用場景：企業出口，關鍵服務器前面，運營商，數據中心等工作模式：①透明網橋模式（二層交換機模式）②路由模式（三層路由模式）分類：形態：軟件防火墻、硬件防火墻功能：包過濾防火墻（老acl功能少）狀態防火墻（新墻功能多）安全設備：防毒墻、VPN設備、IPS、IDS、漏洞掃描設備、WAF（web應用防火墻）、上網行為管理設、網閘、堡壘機（審計）等等區域和地址規劃默認區域：trust untrust dmz localDMZ：demilitarizedzone 隔離區非軍事化區域停火區一般放服務器firewall zone trustadd int gi 1/0/0 將接口加入trust區域允許接口被pingint gi1/0/0service-manageping permit：local_anysecurity-policyrulenamelocal_anysource-zonelocaldestination-zone actionpermit向導配置清空防火墻配置：<>resetsaved-config 停止 啟動向導配置的參數：①區域規劃②接口ip地址③指向運營商的缺省路由④基于源地址轉換的NAT⑤將默認的安全策略改為放行③缺省路由配置：ip route-s 0 ④nat配置nat-policyrulenametrust_ISPsource-zonetrustegress-interfaceGigabitEthernet1/0/2actionnateasy-ip⑤將默認的安全策略改為放行security-policydefaultactionpermit防火墻轉發原理老設備：早期包過濾防火墻是按照“逐包檢測”機制轉發。新設備：轉發機制：“狀態檢測”機制，“狀態檢測”機制以流量對報文進行檢測和轉發，即對一條流量的第一個報文內容。這個“狀態”就是我們平常所述的會話表項(sessiontable)。這種機機制。五元組：即源IP地址和目的IP過判斷IP數據報文報文的五元組，就可以判斷一條數據流相同的IP數據報文。基于會話（狀態）session的轉發首包：建立會話的過程 去包回包：基于會話回包dis firewallsession table查看防火墻會話表放行由trust到dmzsecurity-policyrulenametrust_dmzsource-zonetrustdestination-zoneactionpermitsecurity-policyrulenametrust_dmzsource-zonetrustdestination-zonedmzsource-address24destination-addressservicetelnetserviceicmpaction多通道協議（多信道，多會話）大部分多媒體應用協議（如H.323、SIP）、FTP、netmeeting使用約定的固定端口來初始化一個控制連接，再動態的選擇端口用于數據傳輸。端口的選擇是不可預測的，其中的某些應用甚至可能要同時用到多個端口。老墻只能對單通道協議進行精細管控，新墻才可以靈活控制多通道協議報文。單通道協議：http（www）多通道協議：FTP注意：數據通道的隨機端口是通過查看控制通道的協商報文（主要是查看控制協商報文應用層的信息，ASPF）推算出來。ASPFserver-map表：servermap定義：由特殊協議報文（例如：多通道）動態產生的臨時放行相關業務數據的特殊通道。主要：數據一旦匹配了“特殊通道”（server-map表項），則不再查找普通的包過濾策略，快速放行。查看servermap表：dis firewallserver-map特定協議端口更改(端口識別、端口映射）更改端口指令：FW：aclnumber2000rule permitsource 0 匹配訪問的ftp服務器port-mapping ftp port 31 acl 2000調試：安全策略：只允許tcp31號端口即可ftp服務器：客戶端訪問：web界面配置：常見安全策略源NAT轉換CLI:nat-policyrulenamesource-zonetrustegress-interfaceGigabitEthernet1/0/2actionnateasy-ip端口映射（natserver）將內網地址的23端口映射成公網地址的23端口。注意：如果想檢測由防火墻到服務器的連通性，需放行local到dmz的流量。命令行：natserveraa0protocoltcpglobalwwwinsidewwwno-reverseTelnet遠程管理防火墻①只用密碼telnet server enableint gi1/0/0service-managetelnetpermituser-interfacevty04protocolinboundallauthentication-modepasswordsetauthenticationpassword cipher userprivilegelevel15②使用用戶名和密碼telnet server enable（注意：默認防火墻telnet服務關閉aaamanager-user adminservice-typetelnet webuser-intervty04authentication mode protocol inbound allint gi1/0/0service-managetelnetpermit缺點：明文傳輸SSH遠程管理防火墻rsa local-key-paircreate 產生密鑰對int gi1/0/0service-managesshpermituser-intvty 0 4authentication-mode protocolinbound ssh 默認就是允許sshaaamanager-userxiaogepassword cipher service-typesshlevel15防火墻需開啟ssh服務并指定用戶名和密stelnet serverenable開啟ssh服務sshuserxiaogesshuserxiaogeauthentication-typepasswordsshuserxiaogeservice-typestelnet客戶端路由器：stelnet注意：首次登錄必須重新更改密碼，且要符合復雜度要求例如CCNPa1234，且不能使用歷史密碼。更改密碼后會被踢出然后重新登錄。注意1：ssh只能使用用戶名和密碼的方式登錄。注意2：配置用戶名和密碼時千萬不要加空格再回車。允許防火墻對tracert路徑探測回顯配置防火墻允許tracert回顯：icmp ttl-exceeded send原理：tracert x.x.x.x 用于探測去往某目標經過的三層設備的個數。tracert原理：發送探測報文（UDP報文）ttl=1（第一跳）ttl=2（第二跳）。。。依次類推，當中間的三層設備收到ttl值等于1的報文時認為發生環路，報文無法繼續轉發。并回饋一個icmp的報文通知源端。探測報文路由器回顯報文：注意：防火墻為了安全起見（不暴露自己的ip地址），默認情況下不處理ttl=1的探測報文，收到該報文后直接丟棄，且不會回應。因此tracert 時，會有* * * 出現是多數是防火墻。將防火墻配置成透明交換機FW:intgi1/0/0portswitch portlink-typeaccess注意：默認情況下，華為設備，相同安全區域不同接口可以直接互訪。如果想阻止互訪可以配置例如：trust_trust動作為deny的安全策略。例如：配置安全策略只允許pc1telnet訪問pc5，其他流量deny。注意：防火墻配置成透明模式后，接口可以歸屬在不同的安全區域，方便配置精細化的安全策略。例如下圖：在防火墻上面配置vlan10intgi1/0/0portswitch 將防火墻接口配置為交換機接port link-typeaccessport default vlan 10將接口劃分到不同的安全區域以實現精細化的管控：例如：只允許trust1<>trust2 telnet 流量將防火墻配置成三層核心交換機sw1:vlanbatch1525interfaceEthernet0/0/1portlink-typetrunkporttrunkallow-passvlan1525#interfaceEthernet0/0/2portlink-typeportdefaultvlan15#interfaceEthernet0/0/3portlink-typeaccessportdefaultvlan25sw2:vlan10interfaceEthernet0/0/1portlink-typetrunkporttrunkallow-passvlan10#interfaceEthernet0/0/2portlink-typeaccessportdefaultvlan10注意1：由于vlan10用戶跨越多個安全區域，因此將SVI虛擬接口vlan10劃分在trust區域。如果想做trust1（vlan10用戶在區域）和svi1（vlan15用戶）互訪的安全策略時，只需做trust<>svi1區域的策略即可。即vlan間互訪時使用三層SVI接口所在的安全區域配置策略。但是相同vlan互訪（如：trust1和trust2區域）還需要配置相應的安全策略，這樣方便實施更加精細化的管控。注意2：防火墻配置安全策略對vlan間的互訪報文做控制時，安全區域一定要匹配svi接口（vlanif接口）所在的區域。（尤其針對物理接口和SVI接口劃分在了不同區域）。雙機熱備基礎配置：防火墻接口已規劃區域放行local_to_any防火墻接口都允許ping傳統vrrp在防火墻上執行存在的缺陷：防火墻vrrp需要解決的兩個問題：①左右vrrp組主備不一致，切換不一致（VGMP，不需特殊配置自動加入vgmp組，左右vrrp組要切一起切）②安全策略配置和會話狀態同步（會話同步HRP)VRRP配置：FW1:intgi1/0/0vrrpvrid1virtual-ipactiveintgi1/0/1vrrpvrid2virtual-ipactiveFW2:intgi1/0/0vrrpvrid1virtual-ipstandbyintgi1/0/1vrrpvrid2vritual-ipstandbyHRP配置：FW1:hrpenablehrpinterfacegi1/0/6remote53FW2:hrpenablehrpstandby-devicehrpintgi1/0/6remote54注意1：默認處于standby狀態的設備不允許配置安全策略，只允許在主設備配置安全策略，且安全策略會自動同步到備設備上面。開啟命令：hrpstandbyconfigenable+B表示配置已經同步到備設備上面。注意2：hrp的同步不是所有的都會同步，例如靜態路由配置就不會同步。可以同步內容：要備份的連接狀態數據包括TCP/UDP的會話表、ServerMap表項、動態黑名單、NO-PAT表項、ARP表項以及相關安全策略配置。（路由配置時不同步的）注意3：主設備配置由trust_to_untrust放行策略，才可通信注意4：默認開啟搶占，且搶占延遲60s。調試命令：dishrpstate測試1：R1pingR2通信！！可以做冗余性測試！！測試2：R1telnetR2查看兩個FW的會話狀態是否都有web配置HRP：HuaweiRedundancyProtocolAAA用戶管理賬號分類1：管理防火墻賬號分類2：上網穿越防火墻或者vpn用戶角色：權限注意：模擬器沒有此選項：真機有GRE VPN原理vpn：virtualprivatenetwork虛擬專用網絡原理：封裝兩層IP包頭，私網包頭+公網包頭利用公網包頭穿越公網環境，到達對端后丟棄公網包頭露出私網包頭繼續在內網傳輸。即“改頭換面”偽裝法！防火墻-vpnGREvp…防火墻-vpnGREvp…成.zip88.82KB前提：兩邊公網地址可達①FWlocal_any安全策略②FW缺省路由③FW公網口開通ping管理方便測試FW1：GREvpn配置：路由配置(感興趣流量）：安全策略配置：注意：不要忘記來自分支機構主動訪問總部的流量！測試：命令行配置：FW1：interfaceTunnel0ipaddresstunnel-protocolgrekeepalivesourcedestinationgrekeycipher123grechecksumaliastunnel0undoservice-manageenable（默認隧道口地址不允許ping）配置感興趣流量路由：FW1:iproute-static加密解密技術加密三個要素：①數據 ②算法 ③密鑰加密技術：對稱加密算法：rc4、des、3des、aes非對稱加密算法：rsa對稱和非對稱：對稱：加密密鑰=解密密鑰。非對稱：加密密鑰不等于解密密鑰。非對稱密鑰加密算法：rsa（公鑰、私鑰）公鑰加密 私鑰解密，即使公鑰被第三方竊取也無法破解數據。例如防火墻上：rsalocal-key-paircreate 指令產生密鑰對用ssh加密對稱加密：優點速度快 缺點不安全非對稱加密：優點安全 缺點速度對稱加密和非對稱加密相結合：密鑰交換①所有數據采用對稱密鑰加密（快速）②采用非對稱加密傳輸密鑰（對稱加密時使用的密鑰）（安全）數據完整性校驗：散列算法：md5 sha 校驗數據完整性（不可逆哦/Hash_md5Hash_md5校驗.exe66.5KBipsecvpn簡單配置GREvpn前提：接口區域 公網地址可達 缺省路由ipsec vpn原理簡介IKE：Internet keyexchange 互聯網密鑰交換協議ISAKMP：InternetSecurityAssociationKeyManagementProtocolIKE為IPSec協商生成密鑰,供ipsec報文加解密和驗證使用。三個階段：①IKE密鑰協商階段（建立IKESA）②IPsec參數協商階段（建立IPsecSA）③加密傳輸數據（加密傳輸數據）調試命令：階段①disikesa resetikesa階段②disipsec sa reset ipsec sa階段③dis ipsec statistics 查看經過ipsec加解密的報文具體過程如下：當一個報文從某接口外出時，如果此接口應用了IPSec，匹配。如果找到匹配的安全策略，會查找相應的安全聯盟。如果安全聯盟還沒有建立，則觸發IKE進行協商。IKE首先建立第一階段的安全聯盟，即IKESA。在第一階段安全聯盟的保護下協商第二階段的安全聯盟，即IPSecSA。使用IPSecSA保護通訊數據。注意：安全聯盟是單向的。IKEv1主模式協商過程：（了解即可）IKEv1野蠻模式協商過程：（了解即可）常見IPsec報文封裝模式：（了解即可）ESP**AH隧道模式**ESP+隧道AH+隧道傳輸模式ESP+傳輸AH+傳輸DH（Diffie-Hellman）交換及密鑰分發：Diffie-Hellman算法是一種公共密鑰算法。通信雙方在不傳送密鑰的情況下通過交換一些數據（素材），計算出共享的密鑰，加密的前提是交換加密數據的雙方必須要有共享的密鑰（例如：配置好的預共享密鑰）。即一句話通過交換素材算出密鑰。即使素材被黑客截獲也無法算出密鑰。完美向前保密（PFS：PerfectForwardSecrecy）完美向前保密，即每一密鑰均是“獨一無二”的，這樣一個密鑰被破解，并不影響其他密鑰的安全性，因為這些密鑰間沒有派生關系。所以若有攻擊者破解了一個密鑰后，只能訪問受這個密鑰保護的所有數據報文，而受其它密鑰保護的數據報文還是無法破解。ipsecvpn排錯和診斷（特別注意：不同廠商）ipsecvpn精細化配置前提：兩邊公網接口確保可以ping通①防火墻上面配置缺省路由指向運營商②防火墻上面公網接口運行ping③local_any安全策略vpn配置參照2.46IPsecvpn簡單配置實驗ipsecvpn配置：精細化的安全策略配置總部端：創建地址對象和服務方便調用放行安全策略①放行隧道協商的安全策略IKE和ESP②放行總部到分支的業務流量創建IPsecvpn：配置安全提議：華為和華為設備對接默認的算法都是一致的全部保持默認即可分支端配置：和總部對稱公網口允許ping：方便檢測路由對象安全策略：ipsecvpn：安全提議：最終測試：內網通信調試：UTM技術UTM技術V2.0.pptx1MBUSG：UnifiedSecurityGateway統一安全網關（防火墻firewall）UTM：UnifiedThreatManagement 統一威脅管理IPS：IntrusionPreventionSystemIDS：IntrusionDetectionSystemVirus反病毒DPI：DeepPacketInspection基于數據包的深度檢測技術（內容檢測）華為安全產品：/cn/products/enterprise-networking/security/firewall-gateway常見網絡協議：http:上網網頁https：上網網頁SMTP:SimpleMailTransferProtocol即簡單郵件傳輸協議上傳POP3：PostOfficeProtocol3，即郵局協議的第3個版本下載IMAP:InternetMailAccessProtocol即交互式郵件存取協議下載NFS：NetworkFileSystem即網絡文件系統SMB：ServerMessageBlock共享信息塊 cifs（CommonInternetSystem）、samba。兩種攻擊行為：緩沖區溢出：發送偽造特定報文（應用層）非授權指令，甚至可以取得系統特權。CC攻擊：ChallengeCollapsar，主要用來攻擊網頁，攻擊者借助代理服生成指向受害主機的合法請求，實現DDOS和偽裝。IPS簽名：開源安全社區：/index.php/Main_Page/wiki/Main_Page/新建入侵防御配置文件：在創建IPS策略時，如果策略模板能夠滿足應用場景或者與應用場景相似，則可直接在策略中時簡化配置。系統已經提供了以下策略模板：Default：默認模板。該模板可以應用在一般的入侵防御場景中。Ids：該模板適用于當設備以IDS（旁路）模式部署時的通用場景。Dmz：該模板適用于當設備部署在DMZ區域前的場景。web_server：該模板適用于當設備部署在Web服務器前面的場景。mail_server：該模板適用于當設備部署在Mail服務器前面的場景。dns_server：該模板適用于當設備部署在DNS服務器前面的場景。file_server：該模板適用于當設備部署在File服務器前面的場景。AV反病毒配置終端安全SACG：SecurityAccessControlGateway安全準入控制網關SM：管理服務器，管理AD服務器、防病毒服務器等SC：控制服務器，控制是否準入（需要和SACG聯動）注意：一般將SMSC安裝在一臺服務器上面。準入控制:802.1X認證、主機防火墻（終端安裝客戶端軟件）、準入控制網關硬件身份認證:是否合法是否準入補丁更新等認證前域：身份認證前終端所能訪問區域隔離域：身份認證后，安全認證不通過終端需進行安全修復的區域限的區域Agilecontroller：敏捷控制器下載鏈接：/enterprise/zh/sdn-controller/agile-controller-campus-pid-21085964/softwareAgileController-典型配置舉例下載鏈接：/enterprise/zh/doc/DOC1000072861/?idPath=7919710%7C21782050%7C22318419%7C2