4

防火墙基础之总部与分支之间IPSec VPN对接​

 1 year ago
source link: https://blog.51cto.com/u_15606213/5635013
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

总部与分支之间IPSec VPN对接​

原理概述:​

防火墙(英语:Firewall)技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。​

防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。​

所谓“防火墙”是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,隔离技术。越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet网络为最甚。​

防火墙主要是借助硬件和软件的作用于内部和外部网络的环境间产生一种保护的屏障,从而实现对计算机不安全网络因素的阻断。只有在防火墙同意情况下,用户才能够进入计算机内,如果不同意就会被阻挡于外,防火墙技术的警报功能十分强大,在外部的用户要进入到计算机内时,防火墙就会迅速的发出相应的警报,并提醒用户的行为,并进行自我的判断来决定是否允许外部的用户进入到内部,只要是在网络环境内的用户,这种防火墙都能够进行有效的查询,同时把查到信息朝用户进行显示,然后用户需要按照自身需要对防火墙实施相应设置,对不允许的用户行为进行阻断。通过防火墙还能够对信息数据的流量实施有效查看,并且还能够对数据信息的上传和下载速度进行掌握,便于用户对计算机使用的情况具有良好的控制判断,计算机的内部情况也可以通过这种防火墙进行查看,还具有启动与关闭程序的功能,而计算机系统的内部中具有的日志功能,其实也是防火墙对计算机的内部系统实时安全情况与每日流量情况进行的总结和整理。​

防火墙是在两个网络通讯时执行的一种访问控制尺度,能最大限度阻止网络中的黑客访问你的网络。是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。​

防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。​

网络安全的屏障​

一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。​

强化网络安全策略​

通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。​

监控审计​

如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。​

防止内部信息的外泄​

通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。除了安全作用,防火墙还支持具有Internet服务性的企业内部网络技术体系VPN(虚拟专用网)。​

日志记录与事件通知​

进出网络的数据都必须经过防火墙,防火墙通过日志对其进行记录,能提供网络使用的详细统计信息。当发生可疑事件时,防火墙更能根据机制进行报警和通知,提供网络是否受到威胁的信息。​

IPSec VPN的特性:

在使用公网传送内部专网的内容时,ipsec vpn 在ip传输上通过加密隧道,保证在ip公网上传输的数据的安全性,从而实现总部到分支机构之间的语音,视频等数据的互通。如今,很多国际的企业已经把vpn作为总部到分支机构的主要连接手段,比如的国际大型的组织,商业机构,连锁门店已经采用vpn这种安全的技术。

1经济,企业不再承担实施昂贵的固定线路的租费,而且带宽的费用很高,相反采用把internet作为骨干传输是非常便宜的,而其基本不用花费资金来做后期的维护,并且vpn设备的造价相比之下相对低廉。

2 灵活性很强,连接internet的方式可以多种,一个ipsec vpn 网路可以连接任意地点的分支机构

3.多业务:可以同时支持语音和视频传递到远端的分支机构和移动用户,大大提高了现代化办公的以及其他的数据需求。

4 安全性;安全是ipsec vpn 的显著特点,保证数据的 安全是该技术的根本所在。在vpn设备上,支持通道协议,数据加密,过滤

通过实现授权的多种方式保证安全,同时提供内置防火墙的功能,可以在vpn 通道之外,对公网到私网之间的数据进行监测过滤。

5:冗余设计:vpn 设备提供冗余机制,保证链路和设备的可靠性。

6 通道分离:vpn设备的通道分离特性为 ipsec 提供 客户端同时访问公网私网的支持。访问本地网络可以设置用户的访问权限

该特性在安全的条件下实现看合理方便的使用网络资源。

7:支持动态 静态的路由协议,rip 和ospf 路由协使得vpn设备冲路由器的功能。在扩大网路的规模的同时并实现看安全功能,

并且路由协议可以加密在隧道中进行安全传输。

实验拓扑:​

防火墙基础之总部与分支之间IPSec VPN对接​_数据

基础配置:​

FW1:​

#​
interface GigabitEthernet0/0/0​
 undo shutdown​
 ip binding vpn-instance default​
 ip address 10.1.1.1 255.255.255.0​
 alias GE0/METH​
 service-manage http permit​
 service-manage https permit​
 service-manage ping permit​
 service-manage ssh permit​
 service-manage snmp permit​
 service-manage telnet permit​
#​
interface GigabitEthernet1/0/0​
 undo shutdown​
 ip address 10.1.1.254 255.255.255.0​
 service-manage ping permit​
#​
interface GigabitEthernet1/0/1​
 undo shutdown​
 ip address 11.1.1.1 255.255.255.0​
 gateway 11.1.1.254​
 service-manage ping permit​
 ipsec policy ipsec2982234312



配置接口:​



防火墙基础之总部与分支之间IPSec VPN对接​_防火墙_02



配置路由:​



#​
ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet1/0/1 11.1.1.254



防火墙基础之总部与分支之间IPSec VPN对接​_防火墙_03



配置安全策略:​



#​
security-policy​
 rule name 放通​
 action permit



防火墙基础之总部与分支之间IPSec VPN对接​_信息安全_04



配置IPSec:​



#​
acl number 3000​
 rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255​
#​
ipsec proposal prop29822343150​
 encapsulation-mode auto​
 esp authentication-algorithm sha2-256​
 esp encryption-algorithm aes-256​
#​
ike proposal default​
 encryption-algorithm aes-256 aes-192 aes-128​
 dh group14​
 authentication-algorithm sha2-512 sha2-384 sha2-256​
 authentication-method pre-share​
 integrity-algorithm hmac-sha2-256​
 prf hmac-sha2-256​
ike proposal 1​
 encryption-algorithm aes-256​
 dh group14​
 authentication-algorithm sha2-256​
 authentication-method pre-share​
 integrity-algorithm hmac-sha2-256​
 prf hmac-sha2-256​
#​
ike peer ike298223431509​
 exchange-mode auto​
 pre-shared-key %^%#@)w9(ykYQ/b`HjP'Tn|TWPWV"`c_PMsAom~egC2+%^%#​
 ike-proposal 1​
 remote-id-type none​
 dpd type periodic​
 remote-address 12.1.1.1​
#​
ipsec policy ipsec2982234312 1 isakmp​
 security acl 3000​
 ike-peer ike298223431509​
 proposal prop29822343150​
 tunnel local applied-interface​
 alias IPsec​
 sa trigger-mode auto​
 sa duration traffic-based 10485760​
 sa duration time-based 3600



防火墙基础之总部与分支之间IPSec VPN对接​_信息安全_05



防火墙基础之总部与分支之间IPSec VPN对接​_数据_06



FW2:​



配置接口:​



#​
interface GigabitEthernet0/0/0​
 undo shutdown​
 ip binding vpn-instance default​
 ip address 10.1.1.2 255.255.255.0​
 alias GE0/METH​
 service-manage http permit​
 service-manage https permit​
 service-manage ping permit​
 service-manage ssh permit​
 service-manage snmp permit​
 service-manage telnet permit​
#​
interface GigabitEthernet1/0/0​
 undo shutdown​
 ip address 10.1.2.254 255.255.255.0​
 service-manage ping permit​
#​
interface GigabitEthernet1/0/1​
 undo shutdown​
 ip address 12.1.1.1 255.255.255.0​
 gateway 12.1.1.254​
 service-manage ping permit​
 ipsec policy ipsec2982232385



防火墙基础之总部与分支之间IPSec VPN对接​_信息安全_07



配置路由:​



#​
ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet1/0/1 12.1.1.254



防火墙基础之总部与分支之间IPSec VPN对接​_数据_08



配置安全策略:​



#​
security-policy​
 rule name 放通​
 action permit



防火墙基础之总部与分支之间IPSec VPN对接​_信息安全_09



配置IPSec:​



#​
acl number 3000​
 rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255​
#​
ipsec proposal prop29822323825​
 encapsulation-mode auto​
 esp authentication-algorithm sha2-256​
 esp encryption-algorithm aes-256​
#​
ike proposal default​
 encryption-algorithm aes-256 aes-192 aes-128​
 dh group14​
 authentication-algorithm sha2-512 sha2-384 sha2-256​
 authentication-method pre-share​
 integrity-algorithm hmac-sha2-256​
 prf hmac-sha2-256​
ike proposal 1​
 encryption-algorithm aes-256​
 dh group14​
 authentication-algorithm sha2-256​
 authentication-method pre-share​
 integrity-algorithm hmac-sha2-256​
 prf hmac-sha2-256​
#​
ike peer ike298223238250​
 exchange-mode auto​
 pre-shared-key %^%##]}^YVu}K##luj:U-`97V.VCXk1V|To"<}#'**b,%^%#​
 ike-proposal 1​
 remote-id-type none​
 dpd type periodic​
 remote-address 11.1.1.1​
#​
ipsec policy ipsec2982232385 1 isakmp​
 security acl 3000​
 ike-peer ike298223238250​
 proposal prop29822323825​
 tunnel local applied-interface​
 alias IPsec​
 sa trigger-mode auto​
 sa duration traffic-based 10485760​
 sa duration time-based 3600



防火墙基础之总部与分支之间IPSec VPN对接​_网络安全_10



防火墙基础之总部与分支之间IPSec VPN对接​_防火墙_11



验证实验:​



防火墙基础之总部与分支之间IPSec VPN对接​_网络安全_12



防火墙基础之总部与分支之间IPSec VPN对接​_防火墙_13



实验结束;



备注:如有错误,请谅解!




此文章为本人学习笔记,仅供参考!如有重复!!!请联系本人

        

        

            

                report
            

        

    







        
Recommend

        



                

    
About Joyk

    
 





Aggregate valuable and interesting links.

Joyk means Joy of geeK