SCSA第二天總結

2021-10-08 10:08:54 字數 2829 閱讀 1253

1.ipsec vpn

簡介


ipsec(internet protocol security):是一組基於網路層的,應用密碼學的安全通訊協議族。ipsec不是具體指哪個協議,而是乙個開放的協議族。


ipsec協議的設計目標:是在ipv4和ipv6環境中為網路層流量提供靈活的安全服務。 


ipsec vpn:是基於ipsec協議族構建的在ip層實現的安全虛擬專用網。通過在資料報中插入乙個預定義頭部的方式,來保障osi上層協議資料的安全,主要用於保護tcp、udp、icmp和隧道的ip資料報。
工作模式:

傳輸模式


主要應用場景:經常用於主機和主機之間端到端通訊的資料保護。


封裝方式:不改變原有的ip包頭,在原資料報頭後面插入ipsec包頭,將原來的資料封裝成被保護的資料。


隧道模式


主要應用場景:經常用於私網與私網之間通過公網進行通訊,建立安全vpn通道。


封裝方式:增加新的ip(外網ip)頭,其後是ipsec包頭,之後再將原來的整個資料報封裝。
ipsec 通訊協議:

ah協議:


ah(authentication header,認證報頭):


ah提供的安全服務:


五連線資料完整性 通過雜湊函式(如md5、sha1)產生的校驗來保證


資料來源認證 通過在計算驗證碼時加入乙個共享金鑰來實現


抗重放服務 ah報頭中的序列號可以防止重放攻擊


ah不提供任何保密性服務:它不加密所保護的資料報。


不論是傳輸模式還是隧道模式下,ah提供對資料報的保護時,它保護的是整個ip資料報(易變的字段除外,如ip頭中的ttl和tos欄位)。


esp協議:


esp(encapsulating security payload,封裝安全有效載荷):


無連線資料完整性


資料來源認證


抗重放服務


資料保密


有限的資料流保護


保密服務通過使用密碼演算法加密 ip 資料報的相關部分來實現。


資料流保密由隧道模式下的保密服務提供。


esp通常使用des、3des、aes等加密演算法實現資料加密,使用md5或sha1來實現資料完整性認證。
ah與esp對比:

主模式與野蠻模式比較

ike協商總結:

1、sangfor 的ipsec vpn 主模式身份id是預設配置的,不能修改,在nat環境下會出現上述協商問題,所以只能選用野蠻模式。


2、其他廠商的ipsec vpn主模式身份id若可以自由配置,在nat環境下則可以協商成功。
nat的資料傳輸可行性:

nat下的資料傳輸總結:

sangfor vpn功能優勢:

深信服裝置自身能互聯兩種vpn型別,一是標準ipsec vpn,另乙個就是自主開發的sangfor vpn。


與標準ipsec vpn相比,sangfor vpn的專利技術的優勢:


1、支援兩端都為非固定ip的公網環境---通過webagent實現


2、更細緻的許可權粒度


與標準ipsec vpn相比,sangfor vpn的特殊場景:


1、更細緻的許可權粒度


2、隧道間路由技術,分支使用者通過總部上網,實現總部的統一管控


3、隧道內nat技術,解決多個分支網段ip衝突的問題
webagent工作原理:

建立條件:

1、至少有一端是總部,且有足夠的授權。sangfor硬體與sangfor硬體之間互連不需要授權,與第三方對接需要分支授權,移動客戶端需要移動使用者授權。

2、至少有一端在公網上可訪問,即「可定址」或固定公網ip。

3、建立vpn兩端的內網位址不能衝突。

4、建立vpn兩端的軟體版本要匹配。(如vpn4.x版本既能跟vpn4.x版本互聯也能跟vpn5.x版本互聯,但vpn2.x版本只能跟vpn2.x版本互聯)

建立過程:

1、定址:與誰建立連線(找到目標) ——定址(webagent原理、webagent設定)

2、認證:身份驗證(提交正確、充分的資訊)—賬號密碼、dkey、硬體鑑權、第三方認證。

3、策略:(下發)選路策略、許可權策略、vpn路由策略、安全策略(移動使用者)、vpn專線(移動使用者)、分配虛擬ip

3.上網行為安全概述

上網行為管理三要素:


使用者:非法移動終端、非法使用者、合法終端、合法使用者


管理方法:


使用者認證:確立上網使用者身份,驗證其合法性;以該資訊作為使用者標識,對使用者的上網行為進行控制及審計;


行為審計:記錄內網使用者的上網行為,一旦發生網路違法違規事件可作為追查證據;統計使用者的上網時間、應用流量、應用分布等,為企業決策提供依據;記錄內網安全事件,幫助管理員發現安全威脅。


流量管理:根據業務型別進行頻寬限制或保障,保證核心業務暢通執行;靈活分配頻寬資源,實現動態調整,提高頻寬利用率;


應用選路:對多運營商線路進行有效負載;精準的識別應用,能夠進行有效引流;動態智慧型選路。

第二天總結

1.數 算符 取餘 取模 整除 冪運算 1.1取個位數 對10取餘 例如 num 8925 print num 10 結果等於 51.2整除和取餘 對後面兩位取餘 例如num 8925 print num 100 結果等於 251.3提取數字8925中的9 例如 num 8925 num 8925 ...

第二天學習總結

1.uilabel 1.text 設定label顯示的文字 2.font 字型大小 系統自帶樣式 粗體樣式 斜體樣式 3.textcolor 字型顏色 4.backgroundcolor 背景顏色 5.linebreakmode 內容縮排模式 6.numoflines 0 自動換行 2.uiimag...

linux第二天總結

今天一開始就在linux系統中遨遊,領略各種風景 pwd 顯示當前目錄 cd 進入目錄 vim vi 編輯檔案 ls或ls l ll 列出當前系統的檔案及資料夾 date 顯示時間 cal 顯示當前月份的日曆 cal year 顯示某一年的日曆 bc 計算器 scale number可以顯示出小數點...