信息安全技术(HCIA-Security)-第十二次课-加密技术应用课件

加密技术应用加密技术应用通过加密技术，可以保证网络中数据传输的安全性，数据不会被篡改和窥探；通过签名技术，可以保证数据的完整性，证明了数据发送方的身份；通过PKI证书认证技术，可以验证公钥的合法性，从而可以保证用户接入到安全、合法的网络中。通过使用这些技术，企业可以防止非法用户接入企业网络中。企业分支之间可以建立安全通道，保证企业数据的安全性。通过加密技术，可以保证网络中数据传输的安全性，数据不会被篡改学完本课程后，您将能够：描述加密技术的应用场景掌握不同VPN技术的配置方法学完本课程后，您将能够：加密学的应用VPN简介VPN配置加密学的应用密码学应用密码学的应用主要有数字信封、数字签名和数字证书。数字信封：结合对称和非对称加密，从而保证数据传输的机密性。数字签名：采用散列算法，从而保证数据传输的完整性。数字证书：通过第三方机构（CA）对公钥进行公证，从而保证数据传输的不可否认性。密码学应用密码学的应用主要有数字信封、数字签名和数字证书。应用场景结合到实际的网络应用场景，数字信封、数字签名和数字证书又有对应场景的应用。VPNIPv6HTTPS登录系统登录授权应用场景结合到实际的网络应用场景，数字信封、数字签名和数字证加密学的应用VPN简介VPN配置加密学的应用VPN定义虚拟专用网VPN(VirtualPrivateNetwork)是一种“通过共享的公共网络建立私有的数据通道，将各个需要接入这张虚拟网的网络或终端通过通道连接起来，构成一个专用的、具有一定安全性和服务质量保证的网络”。虚拟：用户不再需要拥有实际的专用长途数据线路，而是利用Internet的长途数据线路建立自己的私有网络。专用网络：用户可以为自己制定一个最符合自己需求的网络。VPN定义虚拟专用网VPN(VirtualPrivateVPN分类数据链路层网络层L3VPNL2VPNGREIPSecL2TPPPTPL2F传输层SSLVPNVPN分类数据链路层网络层L3VPNL2VPNGVPN的应用场景Site-to-SiteVPN用于两个局域网之间建立连接。可采用的VPN技术：IPSec、L2TP、L2TPoverIPSec、GREoverIPSec、IPSecoverGRE。Client-to-SiteVPN用于客户端与企业内网之间建立连接。可采用的VPN技术：SSL、IPSec、L2TP、L2TPoverIPSec。VPN的应用场景Site-to-SiteVPNL2TPVPN简介L2TP(LayerTwoTunnelingProtocol)二层隧道协议为在用户和企业的服务器之间透明传输PPP报文而设置的隧道协议。提供了对PPP链路层数据包的通道（Tunnel）传输支持。L2TPVPN主要有三种使用场景NAS-InitiatedVPNLAC自动拨号Client-InitiatedVPNL2TPVPN简介L2TP(LayerTwoTunnClient-InitiatedVPN方式L2TPVPN一般用于出差员工使用PC、手机等移动设备接入总部服务器，实现移动办公的场景，也是最为常用L2TP拨号方式。Client-InitiatedVPN方式L2TPVPNClient-InitiatedVPN隧道和会话建立过程Client-InitiatedVPN隧道和会话建立过程GREVPN简介GeneralRoutingEncapsulation，简称GRE，是一种三层VPN封装技术。GRE可以对某些网络层协议（如IPX、AppleTalk、IP等）的报文进行封装，使封装后的报文能够在另一种网络中（如IPv4）传输，从而解决了跨越异种网络的报文传输问题。异种报文传输的通道称为Tunnel（隧道）。GREVPN简介GeneralRoutingEncapGRE报文处理过程GRE报文处理过程GRE安全策略PC_A发出的原始报文进入Tunnel接口这个过程中，报文经过的安全域间是Trust—>DMZ；原始报文被GRE封装后，FW_A在转发这个报文时，报文经过的安全域间是Local—>Untrust当报文到达FW_B时，FW_B会进行解封装。在此过程中，报文经过的安全域间是Untrust—>Local；GRE报文被解封装后，FW_B在转发原始报文时，报文经过的安全域间是DMZ—>Trust。GRE安全策略PC_A发出的原始报文进入Tunnel接口这个IPSecVPN简介IPSec（IPSecurity）协议族是IETF制定的一系列安全协议，它为端到端IP报文交互提供了基于密码学的、可互操作的、高质量的安全保护机制。IPSecVPN是利用IPSec隧道建立的网络层VPN。IPSecVPN简介IPSec（IPSecurity）协IPSec协议体系IPSec通过验证头AH（AuthenticationHeader）和封装安全载荷ESP（EncapsulatingSecurityPayload）两个安全协议实现IP报文的安全保护。IPSec协议体系IPSec通过验证头AH（AuthentiIPSec安全联盟IPSec安全传输数据的前提是在IPSec对等体（即运行IPSec协议的两个端点）之间成功建立安全联盟SA（SecurityAssociation）。SA是通信的IPSec对等体间对某些要素的约定。IPSec安全联盟IPSec安全传输数据的前提是在IPSec封装模式-

传输模式在传输模式中，AH头或ESP头被插入到IP头与传输层协议头之间，保护TCP/UDP/ICMP负载。封装模式-传输模式在传输模式中，AH头或ESP头被插入到封装模式-

隧道模式在隧道模式下，AH头或ESP头被插到原始IP头之前，另外生成一个新的报文头放到AH头或ESP头之前，保护IP头和负载。封装模式-隧道模式在隧道模式下，AH头或ESP头被插到原IKESAIKE

SA是为IPSecSA服务的，为IPSec提供了自动协商密钥、建立IPSec安全联盟的服务。IKESAIKESA是为IPSecSA服务的，为IPSIPSec加解密及验证过程IPSec加解密及验证过程SSLVPN简介SSL是一个安全协议，为基于TCP的应用层协议提供安全连接。IPTCPHTTPSSLNotSecureSecureIPTCPHTTPSSLVPN简介SSL是一个安全协议，为基于TCP的应用层SSLVPN主要功能SVN安全接入网关网络扩展端口转发用户认证Web代理可靠性文件共享USG系列设备SSLVPN主要功能SVN安全接入网关网络扩展端口转发用加密学的应用VPN简介VPN配置加密学的应用Client-Initialized方式L2TP应用场景描述组网需求某公司建有自己的VPN网络，在公司总部的公网出口处，放置了一台VPN网关，即USG防火墙。要求出差人员能够通过L2TP隧道与公司内部业务服务器进行通信。Client-Initialized方式L2TP应用场景描述L2TPVPN配置流程L2TPVPN配置流程开启L2TP功能选择“网络>L2TP>L2TP”，在“配置L2TP”中，选中L2TP后的“启用”，单击“应用”。开启L2TP功能选择“网络>L2TP>L2TP”，在配置L2TP参数在“L2TP组列表”中，点击新建，设置L2TP组的参数。配置L2TP参数在“L2TP组列表”中，点击新建，设置L2T设置拨号用户信息选择“对象>用户”。选中“default”认证域，在“用户管理”中，单击“新建”，并选择“新建用户”，配置拨号用户名和密码。设置拨号用户信息选择“对象>用户”。选中“defaultVPN客户端设置及验证VPN客户端设置及验证GRE应用场景描述需求描述运行IP协议的两个子网网络1和网络2，通过在防火墙A和防火墙B之间建立的GRE隧道实现互访。GRE应用场景描述需求描述GREVPN配置流程GREVPN配置流程GRE接口配置-FWA选择“网络>GRE>GRE”。单击“新建”，配置GRE接口的各项参数。GRE接口配置-FWA选择“网络>GRE>GRE路由配置-FWA选择“网络>路由>静态路由”。单击“新建”,配置到网络2的静态路由。路由配置-FWA选择“网络>路由>静态路由”。单结果验证网络1中的PC与网络2中的PC能够相互ping通。查看FWA“网络>路由>路由表”可以看到目的地址为/24，出接口为Tunnel1的路由。结果验证网络1中的PC与网络2中的PC能够相互ping通。点到点IPSecVPN应用场景描述需求描述网络A和网络B通过防火墙A和B之间建立的IPSec隧道互联互通IPSec和IKE提议参数采用默认值采用IKE方式建立IPSec隧道点到点IPSecVPN应用场景描述需求描述IPSecVPN配置流程IPSecVPN配置流程路由配置设置到达对端的路由，以FW_A为例，下一跳设置为FW_B的地址。路由配置设置到达对端的路由，以FW_A为例，下一跳设置为FW域间安全策略IPSecFW_AFW_B允许网络A和网络B互访ipsec1方向：trsut>untrust源地址：/24目的地址：/24动作：允许方向：trsut>untrust源地址：/24目的地址：/24动作：允许ipsec2方向：untrsut>trust源地址：/24目的地址：/24动作：允许方向：untrsut>trust源地址：/24目的地址：/24动作：允许允许IKE协商报文通过ipsec3方向：local>untrust源地址：/24目的地址：/24动作：允许方向：local>untrust源地址：/24目的地址：/24动作：允许ipsec4方向：untrust>local源地址：/24目的地址：/24动作：允许方向：untrust>local源地址：/24目的地址：/24动作：允许域间安全策略IPSecFW_AFW_B允许网络A和网络B互访IPSec策略参数配置-FW_AIPSec策略参数配置-FW_A加密数据流配置加密数据流配置应用IPSec策略配置结束后单击配置界面最下方的“应用”，保存并应用IPSec策略。应用IPSec策略配置结束后单击配置界面最下方的“应用”，保判断：IPSec采用的是非对称加密算法加密用户数据的方式来保证信息传递机密性的？（）正确错误以下哪些属于USG6000系列防火墙SSLVPN的主要功能？（）端口转发网络扩展文件共享Web代理

判断：IPSec采用的是非对称加密算法加密用户数据的方式来保加密技术的应用VPN的基本概念GREVPN、L2TPVPN的工作原理IPSecVPN加解密及验证过程四种VPN的配置流程加密技术的应用信息安全技术(HCIA-Security)-第十二次课-加密技术应用课件加密技术应用加密技术应用通过加密技术，可以保证网络中数据传输的安全性，数据不会被篡改和窥探；通过签名技术，可以保证数据的完整性，证明了数据发送方的身份；通过PKI证书认证技术，可以验证公钥的合法性，从而可以保证用户接入到安全、合法的网络中。通过使用这些技术，企业可以防止非法用户接入企业网络中。企业分支之间可以建立安全通道，保证企业数据的安全性。通过加密技术，可以保证网络中数据传输的安全性，数据不会被篡改学完本课程后，您将能够：描述加密技术的应用场景掌握不同VPN技术的配置方法学完本课程后，您将能够：加密学的应用VPN简介VPN配置加密学的应用密码学应用密码学的应用主要有数字信封、数字签名和数字证书。数字信封：结合对称和非对称加密，从而保证数据传输的机密性。数字签名：采用散列算法，从而保证数据传输的完整性。数字证书：通过第三方机构（CA）对公钥进行公证，从而保证数据传输的不可否认性。密码学应用密码学的应用主要有数字信封、数字签名和数字证书。应用场景结合到实际的网络应用场景，数字信封、数字签名和数字证书又有对应场景的应用。VPNIPv6HTTPS登录系统登录授权应用场景结合到实际的网络应用场景，数字信封、数字签名和数字证加密学的应用VPN简介VPN配置加密学的应用VPN定义虚拟专用网VPN(VirtualPrivateNetwork)是一种“通过共享的公共网络建立私有的数据通道，将各个需要接入这张虚拟网的网络或终端通过通道连接起来，构成一个专用的、具有一定安全性和服务质量保证的网络”。虚拟：用户不再需要拥有实际的专用长途数据线路，而是利用Internet的长途数据线路建立自己的私有网络。专用网络：用户可以为自己制定一个最符合自己需求的网络。VPN定义虚拟专用网VPN(VirtualPrivateVPN分类数据链路层网络层L3VPNL2VPNGREIPSecL2TPPPTPL2F传输层SSLVPNVPN分类数据链路层网络层L3VPNL2VPNGVPN的应用场景Site-to-SiteVPN用于两个局域网之间建立连接。可采用的VPN技术：IPSec、L2TP、L2TPoverIPSec、GREoverIPSec、IPSecoverGRE。Client-to-SiteVPN用于客户端与企业内网之间建立连接。可采用的VPN技术：SSL、IPSec、L2TP、L2TPoverIPSec。VPN的应用场景Site-to-SiteVPNL2TPVPN简介L2TP(LayerTwoTunnelingProtocol)二层隧道协议为在用户和企业的服务器之间透明传输PPP报文而设置的隧道协议。提供了对PPP链路层数据包的通道（Tunnel）传输支持。L2TPVPN主要有三种使用场景NAS-InitiatedVPNLAC自动拨号Client-InitiatedVPNL2TPVPN简介L2TP(LayerTwoTunnClient-InitiatedVPN方式L2TPVPN一般用于出差员工使用PC、手机等移动设备接入总部服务器，实现移动办公的场景，也是最为常用L2TP拨号方式。Client-InitiatedVPN方式L2TPVPNClient-InitiatedVPN隧道和会话建立过程Client-InitiatedVPN隧道和会话建立过程GREVPN简介GeneralRoutingEncapsulation，简称GRE，是一种三层VPN封装技术。GRE可以对某些网络层协议（如IPX、AppleTalk、IP等）的报文进行封装，使封装后的报文能够在另一种网络中（如IPv4）传输，从而解决了跨越异种网络的报文传输问题。异种报文传输的通道称为Tunnel（隧道）。GREVPN简介GeneralRoutingEncapGRE报文处理过程GRE报文处理过程GRE安全策略PC_A发出的原始报文进入Tunnel接口这个过程中，报文经过的安全域间是Trust—>DMZ；原始报文被GRE封装后，FW_A在转发这个报文时，报文经过的安全域间是Local—>Untrust当报文到达FW_B时，FW_B会进行解封装。在此过程中，报文经过的安全域间是Untrust—>Local；GRE报文被解封装后，FW_B在转发原始报文时，报文经过的安全域间是DMZ—>Trust。GRE安全策略PC_A发出的原始报文进入Tunnel接口这个IPSecVPN简介IPSec（IPSecurity）协议族是IETF制定的一系列安全协议，它为端到端IP报文交互提供了基于密码学的、可互操作的、高质量的安全保护机制。IPSecVPN是利用IPSec隧道建立的网络层VPN。IPSecVPN简介IPSec（IPSecurity）协IPSec协议体系IPSec通过验证头AH（AuthenticationHeader）和封装安全载荷ESP（EncapsulatingSecurityPayload）两个安全协议实现IP报文的安全保护。IPSec协议体系IPSec通过验证头AH（AuthentiIPSec安全联盟IPSec安全传输数据的前提是在IPSec对等体（即运行IPSec协议的两个端点）之间成功建立安全联盟SA（SecurityAssociation）。SA是通信的IPSec对等体间对某些要素的约定。IPSec安全联盟IPSec安全传输数据的前提是在IPSec封装模式-

传输模式在传输模式中，AH头或ESP头被插入到IP头与传输层协议头之间，保护TCP/UDP/ICMP负载。封装模式-传输模式在传输模式中，AH头或ESP头被插入到封装模式-

隧道模式在隧道模式下，AH头或ESP头被插到原始IP头之前，另外生成一个新的报文头放到AH头或ESP头之前，保护IP头和负载。封装模式-隧道模式在隧道模式下，AH头或ESP头被插到原IKESAIKE

SA是为IPSecSA服务的，为IPSec提供了自动协商密钥、建立IPSec安全联盟的服务。IKESAIKESA是为IPSecSA服务的，为IPSIPSec加解密及验证过程IPSec加解密及验证过程SSLVPN简介SSL是一个安全协议，为基于TCP的应用层协议提供安全连接。IPTCPHTTPSSLNotSecureSecureIPTCPHTTPSSLVPN简介SSL是一个安全协议，为基于TCP的应用层SSLVPN主要功能SVN安全接入网关网络扩展端口转发用户认证Web代理可靠性文件共享USG系列设备SSLVPN主要功能SVN安全接入网关网络扩展端口转发用加密学的应用VPN简介VPN配置加密学的应用Client-Initialized方式L2TP应用场景描述组网需求某公司建有自己的VPN网络，在公司总部的公网出口处，放置了一台VPN网关，即USG防火墙。要求出差人员能够通过L2TP隧道与公司内部业务服务器进行通信。Client-Initialized方式L2TP应用场景描述L2TPVPN配置流程L2TPVPN配置流程开启L2TP功能选择“网络>L2TP>L2TP”，在“配置L2TP”中，选中L2TP后的“启用”，单击“应用”。开启L2TP功能选择“网络>L2TP>L2TP”，在配置L2TP参数在“L2TP组列表”中，点击新建，设置L2TP组的参数。配置L2TP参数在“L2TP组列表”中，点击新建，设置L2T设置拨号用户信息选择“对象>用户”。选中“default”认证域，在“用户管理”中，单击“新建”，并选择“新建用户”，配置拨号用户名和密码。设置拨号用户信息选择“对象>用户”。选中“defaultVPN客户端设置及验证VPN客户端设置及验证GRE应用场景描述需求描述运行IP协议的两个子网网络1和网络2，通过在防火墙A和防火墙B之间建立的GRE隧道实现互访。GRE应用场景描述需求描述GREVPN配置流程GREVPN配置流程GRE接口配置-FWA选择“网络>GRE>GRE”。单击“新建”，配置GRE接口的各项参数。GRE接口配置-FWA选择“网络>GRE>GRE路由配置-FWA选择“网络>路由>静态路由”。单击“新建”,配置到网络2的静态路由。路由配置-FWA选择“网络>路由>静态路由”。单结果验证网络1中的PC与网络2中的PC能够相互ping通。查看FWA“网络>路由>路由表”可以看到目的地址为/24，出接口为Tunnel1的路由。结果验证网络1中的PC与网络2中的PC能够相互ping通。点到点IPSecVPN应用场景描述需求描述网络A和网络B通过防火墙A和B之间建立的IPSec隧道互联互通IPS