2021HCNA security 网络安全配置

HCNAsecurity网络安全课程简介USG模拟器使用①环境准备权限默认地址admin Admin@123默认密码更改之后密码：abc-1234 （abc-12345）②清空配置删除除拓扑以外的文件夹<>reset saved-configuration重启③ 双桥接④实验手册见群共享⑤CE6800交换机OSI模型OSI模型：opensysteminterconnection开放式系统互联（七层）一层：物理层：物理线缆二层：数据链路层：mac地址三层：网络层：IP地址四层：传输层：端口号（TCPUDP五层：会话层七层：应用层注意：osi目前已经被淘汰。目前tcp/ip已经取代osi模型。TCP/IP模型ipv4报文：version版本：4 ipv4IHL（header）：ipv4包头长度（变化TOS（dDSCP差分服务代码点）：服务质量 将流量进行分类，然后针对特定类的数据包实现优先转发totallength：总长度 总长度-头部长度=高层数据标识、标记、分片偏移用来对数据包进行分片和重组identification标识位：标记属于同一片报文的idflags标记：标记最后一片报文，告知下一个路由器同一个包分片结束fragmentoffset偏移位：用来确保重组的顺序TTL（timetolive）：生存周期 现在用来记录传输的跳数 止三层路由环路 报文通过三层设备时才会减一protocol协议字段：标识上层协议 1ICMP 6TCP UDPheaderchecksum头部校验：校验ipv4损坏options选项位：对于ipv4报文的高级功能（如松散源路由等进行定义 可有可无padding填充位：在options不足32bit时，使用padding填充0。各层协议之间的关系例如：数据链路层为三层的网络层服务二层type:0x0800 >ip二层type:0x0806 >arp例如：三层protocol:6 >tcp三层protocol:17 >udp三层protocol:1 >icmp例如：四层：端口：80 >http21 >ftp23 >telnet二层：type>三层：protocol>四层：端口>高层应用层各个层次的攻击手段kali踩点扫描篇工具：nmap zenmapnmap -sP -120 对6.1-6.120使用ping行扫描3-5s即可完成zenmap：图形界面nmapZenmap是nmap的GUI版本，由nmap官方提供，通常随着nmap安装包一起发布。Zenmap是用Python语言编写的，能够在Windows、Linux、UNIX、MacOS等不同系统上运行。开发Zenmap的目的主要是为nmap提供更加简单的操作方式。intense：强烈的 认真的细致scan：扫描comprehensive：综合的完整的20个地址大概需要扫描5分钟中断扫描：mannmapnmapnmap使用参考链接：/hanxiaobei/p/5603491.htmlScanPortpassword…3.rar31.79KBX­Scan­v3.3passw…3.rarScanPortpassword…3.rar31.79KBX­Scan­v3.3passw…3.rar12.42MB（此版本只能在xp中使用）scanport快速扫描端口xscan扫描对方系统版本漏洞开放端口和服务利用报文：ping arp请求 tcpsyn netbioskalilinux攻击之断网：（原理arp欺骗）攻击机kali6.50受害者win76.116arpspoof -i eth0 -t16 -i网卡 -t 目标IP 网关防御：后面再讲arp协议原理简介：（AddressResolutionProtocol）,地址解析协议，通过目的IP地址，请求对方MAC地址的过程。arp 过程：cmdarp -a 显示arp缓存arp -d * 清空arp缓存表arp报文种类：① PC1 >PC2arp 请求包:request 广播注意：目标mac为全F，该报文属于广播，交换机见到目标mac为全F的报文会群发（泛洪）。dynamic 动态缓存② PC1< PC2arp响应包reply单M2 >M1arp -s 例如：arp -s 0 1c-87-2c-61-ff-25arp欺骗注意使用arp的响应报文！！总结：arp协议太傻，谁给的响应它都相信！arp攻击与防御攻击原理：利用arp傻傻的一根筋思维！别人说啥都信！原理：利用虚假的arprelay报文毒化pc或者网关的arp缓存表,arpreply报文会直接覆盖自己当前的arp表，后来的arpreply优先！即两头哄骗技术！kali攻击机：arpspoof-t0欺骗6.16.80（将6.80的mac伪装成B，通过arprelay报文发送给6.1）arpspoof -t 0 欺骗6.80声称自己就是6.1（将6.1的mac伪装成B，通过arprelay报文发送给开启kali的路由转发能：echo 1 > /proc/sys/net/ipv4/ip_forwardctrl+shift+t linux里面切换窗口攻击时通不攻击时也通 用户网不中断！！查看用户隐私、限速、篡改用户报文、欺骗钓鱼！防御：dhcpsnooping +ip源防护 +DAI arp限速360安卫士开启局域网防护dhcp snooping：dhcpsnoopingenable 全局dhcpsnoopingenablevlanint xxdhcpsnoopingenable或者vlan xxdhcpsnoopingenintxxxdhcpsnoopingtrusteddisplaydhcpsnoopinguser-bindarp报文限速功能：执行命令arpspeed-limitsource-macmaximummaximum，配置根据任意源MAC地址进行ARP报文限速的限速值。执行命令arpspeed-limitsource-ipmaximummaximum，配置根据任意源IP地址进行ARP报文限速的限速值。执行命令arpanti-attackrate-limitenable，使能ARP报文限速功能。缺省情况下，未使能ARP报文限速功能（可选）执行命令arpanti-attackrate-limitalarmenable，使能ARP报文限速丢弃告警功能。DAI动态arpintxxxarpanti-attackcheckuser-bindenablearpanti-attackcheckuser-bindalarmenable，使能动态ARP检测丢弃报文告警功能（可选）arpanti-attackcheckuser-bindalarmthresholdthreshold，配置动态ARP检测丢弃报文告警阈值。（默认是100）方法A：不启用dhcp-snooping，使用user-bindstatic静态建立ip-mac-接口检查表项（这种方法适用于企业静态给用户配置ip地址的情况）全局 user-bindstaticip-addressmac-address0021-cccf-1d28interfaceEthernet0/0/2interfaceEthernet0/0/2ipsourcecheckuser-bindenable即可接在e0/0/2口的PC只能是31.7mac是1d28才可以通e0/0/2口 若ip和mac不匹配则报文将被直接丢弃方法B：dhcp协议原理DHCP（DynamicHostConfigurationProtocol）动态主机配置协议，给用户自动分配ip地址、网关、DNS等参数。可以提供DHCP功能的设备：路由器、家用路由器（小米、tp-link等）、防火墙、三层交换机、服务器用户上网满足参数：IP地址、网关、DNS等。配置：路由器：dhcpenable启用dhcp功能inte0/0/0ipadd24dhcpselectglobal配置dhcp选择从全局分配地址ippoolqq创建地址池qqgateway-list网关networkmaskip和掩码dns-list14DNSdisippoolnameaaused 查看dhcp的分配记录dhcpdiscover源地址：目标地址：55广播用户请求地址的时候，将自己的mac地址封装在dhcp的报文里面，服务器基于不同的mac地址来区分不同的计算机，进而分配不同的ip地址。dhcp接入交换机：dhcpenabledhcpsnoopingvlan 1dhcpsnoopingenableintgi0/0/1将上联口设置为信任接口（默认所有的接口都是非信任口）dhcpsnoopingtrusteddhcp 耗尽攻击kali攻击机伪装各种dhcp请求报文将dhcp地址池耗尽，使得受害者无法获取ip地址win7虚机里面运行ensp，使用路由器搭建dhcp服务，kali通过云彩桥接到交换机进行dhcp耗尽攻击.kali执行攻击指令：pig.py eth0路由器dhcp服务搭建ip pool aagateway-list54networkmaskdns-list14interfaceGigabitEthernet0/0/0ipaddress54dhcpselectglobal查看指令：dis ip pool name aa used防御：dhcp snooping 端口dhcp请求限速（个数）DHCPDOS攻击工具：yersiniayersinia是一款底层协议入侵工具，它能伪装多种协议的报文并实施欺骗和攻击。例如：夺取生成树stp的根角色，生成虚拟cdp（cisco发现协议）邻居。在一个hsrp冗余型网络环境中伪装成一个活动的路由器、制造假dhcp报文反馈，耗尽dhcp地址池等等。具体可以虚拟的报文如下：SpanningTreeProtocol(STP)CiscoDiscoveryProtocol(CDP)DynamicTrunkingProtocol(DTP)DynamicHostConfigurationProtocol(DHCP)HotStandbyRouterProtocol(HSRP)IEEE802.1QIEEE802.1XInter-SwitchLinkProtocol(ISL)VLANTrunkingProtocol(VTP)启动工具：yersinia -G用户几乎全部断网由于大量dhcp广播(2万个/s)攻击报文发出，导致路由器和其他终端几乎断网停止攻击：针对dhcpDOS攻击防御针对dhcpDos攻击防御：storm-control 流量抑制及风暴控制6.7 或者dhcp snooping+dhcpsnoopingcheck 9.7.2针对dhcp耗尽攻击防御针对dhcp耗尽攻击防御： dhcpsnooping+dhcpsnoopingmax-user-number 9.7.4 或者端口安全 8.6.1注意：针对用户私接家用路由器依然有效。Kalilinux抓取妹子相册win7（6.117）kali（6.50）网关（6.1）先来个arp欺骗arpspoof -t 17 开启kali的路由转发能（临时）：echo 1 > /proc/sys/net/ipv4/ip_forwarddriftnet -i eth0 win7打开新浪首页然后kali端：注意：只针对http的流量，https目前无法解析！Kalilinux攻击之会话劫持会话劫持：内网登陆他人微博贴吧百度ferret -i hamster等待受害者登陆bbs论坛win7上面： 主要登陆http类型帐户564992630@回到kali：进入个人后台成功劫持Kalilinux攻击之DNS原理：两头哄骗！钓鱼网站：0（server2008）①修改DNS攻击文件通过图形界面修改也可以：echo 1> /proc/sys/net/ipv4/ip_forward开启kali转发②运行攻击工具ettercap③选择网卡扫描IP选择使用的网卡④执行arp欺骗选中攻击目标：将网关6.1添加到target1将受害者6.113添加到target2执行arp毒害，使得网关6.1认为受害者6.113的mac是1a95(攻击者mac），同时使得受害者6.113认为网关的mac就是1a95(攻击者mac）。受害者arp表：⑤dns欺骗攻击后结果：受害者访问任何网站都会解析成0原理：首先发送arp欺骗报文对网关路由器和受害者进行arp欺骗，得手后利用dns欺骗工具对受害者的dns请求进行伪装应答。注意：经测试win10安装360安全卫士也可以攻击成功。受害者网卡抓包：arp欺骗报文：DNS欺骗报文：arp欺骗攻击arp欺骗攻击.pcap1.73KBdnsdns欺骗攻击.pcap218B利用ettercap还可以做的坏事情：窃取别人数据包、截获目标机器登陆路由器明文密码以及邮箱账号和密码、查看妹子隐私和她浏览的网站、获取目标主机cookie登陆其个人隐私空间或论坛、dhcp欺骗等等等。参考链接：/archives/6068.html/617662.html/hkleak/p/5043063.html针对各种攻击防范技针对各种攻击防范技书14.6MB防御措施：dhcpsnooping+DAI+IPSG 端口安使用360安全浏览器+360安全卫士防御措施：以上攻击防御机制：360安全卫士局域网防护默认这些功能全部关闭，需要手动打开电脑管家安装并打开arp防火墙局域网密码嗅探简单攻击工具cain局域网密码嗅探Cain4.9汉化版密…3.rar3.03MB绿色软件 需要安装winpcapCain4.9汉化版密…3.rar3.03MB选择网卡和ip 必须要发现ip地址上面的网卡下面那个网卡无效先点击网卡然后再点击嗅探器否则会说嗅探器未激活（在嗅探器里面扫描）arp欺骗等待时机113主机上网登陆账号113：局域网限速和管控P2P终结者P2P终结者4.1.3pa…3.rar2.85MB注意：默认全局限速规则下行100K 上行50k限速前：受害者 使用360浏览器ie浏览器均成功百度qq下载保存 5.08M/s限速后：98K/s常见局域网攻击工具网络执法官V2.88网络执法官V2.88企…3.rar2.28MB建议在xp环境下安装（安装winpcap3.0软件自带）注意：该软件只能使用winpcap3.0不兼容其他版本winpcap。因此和wireshark也无法兼容。选择网卡3s时间扫描出本网段的用户扫描原理：大量的arp广播请求设置关键主机（可以设置多台，一般可以将网关设置为关键主机）对用户进行管理：设定权限（复杂管理）手工简单管理（中等复杂）锁定和解锁（简单管理）UDP攻击器UDP攻击器V2.1pa…3.rar965.31KB攻击可以是个人pc也可以是服务器 （杀敌一千自损800） 口可以是80 445 135等效果受害者消耗服务器60%的带宽代理服务器攻击DD…3.zip代理服务器攻击DD…3.zip286.55KB 31f代理西刺代理ScanPortpassword…3.rar31.79KBX­Scan­v3.3passw…3.rarScanPortpassword…3.rar31.79KBX­Scan­v3.3passw…3.rar12.42MB（此版本只能在xp中使用）scanport快速扫描端口xscan扫描对方系统版本漏洞开放端口和服务简单攻击工具⑤：系统漏洞扫描windows安全公告网站：/zh-cn/security/bulletins系统漏洞扫描工具nessus下载/products/nessus/select-your-operating-system激活官网/products/nessus-home灰鸽子2008灰鸽子2008破解版…3.zip5.79MBPC（6.116）攻击者 PC受害者（6.112）生成木马程序 6.116属于监听的ip地址先生成木马生成的木马文件想办法将木马文件放到受害者机器上运行控制受害者：程序会自动加入开机启动项，且每次启动会在后台自动运行!!登陆防火墙USG6370：中等T级下一代防火墙：命令行界面密码：Admin@123[ ]web-managerenable开启web界面管理（开启）web界面：默认admin Admin@123修改后密码统一为：abc-1234 abc-12345SecureCRT登陆软件注意：远程SSH、telnet 登陆见后面章节课程。应用场景：企业出口，关键服务器前面，运营商，数据中心等工作模式：①透明网桥模式（二层交换机模式）②路由模式（三层路由模式）分类：形态：软件防火墙、硬件防火墙功能：包过滤防火墙（老acl功能少）状态防火墙（新墙功能多）安全设备：防毒墙、VPN设备、IPS、IDS、漏洞扫描设备、WAF（web应用防火墙）、上网行为管理设、网闸、堡垒机（审计）等等区域和地址规划默认区域：trust untrust dmz localDMZ：demilitarizedzone 隔离区非军事化区域停火区一般放服务器firewall zone trustadd int gi 1/0/0 将接口加入trust区域允许接口被pingint gi1/0/0service-manageping permit：local_anysecurity-policyrulenamelocal_anysource-zonelocaldestination-zone actionpermit向导配置清空防火墙配置：<>resetsaved-config 停止 启动向导配置的参数：①区域规划②接口ip地址③指向运营商的缺省路由④基于源地址转换的NAT⑤将默认的安全策略改为放行③缺省路由配置：ip route-s 0 ④nat配置nat-policyrulenametrust_ISPsource-zonetrustegress-interfaceGigabitEthernet1/0/2actionnateasy-ip⑤将默认的安全策略改为放行security-policydefaultactionpermit防火墙转发原理老设备：早期包过滤防火墙是按照“逐包检测”机制转发。新设备：转发机制：“状态检测”机制，“状态检测”机制以流量对报文进行检测和转发，即对一条流量的第一个报文内容。这个“状态”就是我们平常所述的会话表项(sessiontable)。这种机机制。五元组：即源IP地址和目的IP过判断IP数据报文报文的五元组，就可以判断一条数据流相同的IP数据报文。基于会话（状态）session的转发首包：建立会话的过程 去包回包：基于会话回包dis firewallsession table查看防火墙会话表放行由trust到dmzsecurity-policyrulenametrust_dmzsource-zonetrustdestination-zoneactionpermitsecurity-policyrulenametrust_dmzsource-zonetrustdestination-zonedmzsource-address24destination-addressservicetelnetserviceicmpaction多通道协议（多信道，多会话）大部分多媒体应用协议（如H.323、SIP）、FTP、netmeeting使用约定的固定端口来初始化一个控制连接，再动态的选择端口用于数据传输。端口的选择是不可预测的，其中的某些应用甚至可能要同时用到多个端口。老墙只能对单通道协议进行精细管控，新墙才可以灵活控制多通道协议报文。单通道协议：http（www）多通道协议：FTP注意：数据通道的随机端口是通过查看控制通道的协商报文（主要是查看控制协商报文应用层的信息，ASPF）推算出来。ASPFserver-map表：servermap定义：由特殊协议报文（例如：多通道）动态产生的临时放行相关业务数据的特殊通道。主要：数据一旦匹配了“特殊通道”（server-map表项），则不再查找普通的包过滤策略，快速放行。查看servermap表：dis firewallserver-map特定协议端口更改(端口识别、端口映射）更改端口指令：FW：aclnumber2000rule permitsource 0 匹配访问的ftp服务器port-mapping ftp port 31 acl 2000调试：安全策略：只允许tcp31号端口即可ftp服务器：客户端访问：web界面配置：常见安全策略源NAT转换CLI:nat-policyrulenamesource-zonetrustegress-interfaceGigabitEthernet1/0/2actionnateasy-ip端口映射（natserver）将内网地址的23端口映射成公网地址的23端口。注意：如果想检测由防火墙到服务器的连通性，需放行local到dmz的流量。命令行：natserveraa0protocoltcpglobalwwwinsidewwwno-reverseTelnet远程管理防火墙①只用密码telnet server enableint gi1/0/0service-managetelnetpermituser-interfacevty04protocolinboundallauthentication-modepasswordsetauthenticationpassword cipher userprivilegelevel15②使用用户名和密码telnet server enable（注意：默认防火墙telnet服务关闭aaamanager-user adminservice-typetelnet webuser-intervty04authentication mode protocol inbound allint gi1/0/0service-managetelnetpermit缺点：明文传输SSH远程管理防火墙rsa local-key-paircreate 产生密钥对int gi1/0/0service-managesshpermituser-intvty 0 4authentication-mode protocolinbound ssh 默认就是允许sshaaamanager-userxiaogepassword cipher service-typesshlevel15防火墙需开启ssh服务并指定用户名和密stelnet serverenable开启ssh服务sshuserxiaogesshuserxiaogeauthentication-typepasswordsshuserxiaogeservice-typestelnet客户端路由器：stelnet注意：首次登录必须重新更改密码，且要符合复杂度要求例如CCNPa1234，且不能使用历史密码。更改密码后会被踢出然后重新登录。注意1：ssh只能使用用户名和密码的方式登录。注意2：配置用户名和密码时千万不要加空格再回车。允许防火墙对tracert路径探测回显配置防火墙允许tracert回显：icmp ttl-exceeded send原理：tracert x.x.x.x 用于探测去往某目标经过的三层设备的个数。tracert原理：发送探测报文（UDP报文）ttl=1（第一跳）ttl=2（第二跳）。。。依次类推，当中间的三层设备收到ttl值等于1的报文时认为发生环路，报文无法继续转发。并回馈一个icmp的报文通知源端。探测报文路由器回显报文：注意：防火墙为了安全起见（不暴露自己的ip地址），默认情况下不处理ttl=1的探测报文，收到该报文后直接丢弃，且不会回应。因此tracert 时，会有* * * 出现是多数是防火墙。将防火墙配置成透明交换机FW:intgi1/0/0portswitch portlink-typeaccess注意：默认情况下，华为设备，相同安全区域不同接口可以直接互访。如果想阻止互访可以配置例如：trust_trust动作为deny的安全策略。例如：配置安全策略只允许pc1telnet访问pc5，其他流量deny。注意：防火墙配置成透明模式后，接口可以归属在不同的安全区域，方便配置精细化的安全策略。例如下图：在防火墙上面配置vlan10intgi1/0/0portswitch 将防火墙接口配置为交换机接port link-typeaccessport default vlan 10将接口划分到不同的安全区域以实现精细化的管控：例如：只允许trust1<>trust2 telnet 流量将防火墙配置成三层核心交换机sw1:vlanbatch1525interfaceEthernet0/0/1portlink-typetrunkporttrunkallow-passvlan1525#interfaceEthernet0/0/2portlink-typeportdefaultvlan15#interfaceEthernet0/0/3portlink-typeaccessportdefaultvlan25sw2:vlan10interfaceEthernet0/0/1portlink-typetrunkporttrunkallow-passvlan10#interfaceEthernet0/0/2portlink-typeaccessportdefaultvlan10注意1：由于vlan10用户跨越多个安全区域，因此将SVI虚拟接口vlan10划分在trust区域。如果想做trust1（vlan10用户在区域）和svi1（vlan15用户）互访的安全策略时，只需做trust<>svi1区域的策略即可。即vlan间互访时使用三层SVI接口所在的安全区域配置策略。但是相同vlan互访（如：trust1和trust2区域）还需要配置相应的安全策略，这样方便实施更加精细化的管控。注意2：防火墙配置安全策略对vlan间的互访报文做控制时，安全区域一定要匹配svi接口（vlanif接口）所在的区域。（尤其针对物理接口和SVI接口划分在了不同区域）。双机热备基础配置：防火墙接口已规划区域放行local_to_any防火墙接口都允许ping传统vrrp在防火墙上执行存在的缺陷：防火墙vrrp需要解决的两个问题：①左右vrrp组主备不一致，切换不一致（VGMP，不需特殊配置自动加入vgmp组，左右vrrp组要切一起切）②安全策略配置和会话状态同步（会话同步HRP)VRRP配置：FW1:intgi1/0/0vrrpvrid1virtual-ipactiveintgi1/0/1vrrpvrid2virtual-ipactiveFW2:intgi1/0/0vrrpvrid1virtual-ipstandbyintgi1/0/1vrrpvrid2vritual-ipstandbyHRP配置：FW1:hrpenablehrpinterfacegi1/0/6remote53FW2:hrpenablehrpstandby-devicehrpintgi1/0/6remote54注意1：默认处于standby状态的设备不允许配置安全策略，只允许在主设备配置安全策略，且安全策略会自动同步到备设备上面。开启命令：hrpstandbyconfigenable+B表示配置已经同步到备设备上面。注意2：hrp的同步不是所有的都会同步，例如静态路由配置就不会同步。可以同步内容：要备份的连接状态数据包括TCP/UDP的会话表、ServerMap表项、动态黑名单、NO-PAT表项、ARP表项以及相关安全策略配置。（路由配置时不同步的）注意3：主设备配置由trust_to_untrust放行策略，才可通信注意4：默认开启抢占，且抢占延迟60s。调试命令：dishrpstate测试1：R1pingR2通信！！可以做冗余性测试！！测试2：R1telnetR2查看两个FW的会话状态是否都有web配置HRP：HuaweiRedundancyProtocolAAA用户管理账号分类1：管理防火墙账号分类2：上网穿越防火墙或者vpn用户角色：权限注意：模拟器没有此选项：真机有GRE VPN原理vpn：virtualprivatenetwork虚拟专用网络原理：封装两层IP包头，私网包头+公网包头利用公网包头穿越公网环境，到达对端后丢弃公网包头露出私网包头继续在内网传输。即“改头换面”伪装法！防火墙­vpnGREvp…防火墙­vpnGREvp…成.zip88.82KB前提：两边公网地址可达①FWlocal_any安全策略②FW缺省路由③FW公网口开通ping管理方便测试FW1：GREvpn配置：路由配置(感兴趣流量）：安全策略配置：注意：不要忘记来自分支机构主动访问总部的流量！测试：命令行配置：FW1：interfaceTunnel0ipaddresstunnel-protocolgrekeepalivesourcedestinationgrekeycipher123grechecksumaliastunnel0undoservice-manageenable（默认隧道口地址不允许ping）配置感兴趣流量路由：FW1:iproute-static加密解密技术加密三个要素：①数据 ②算法 ③密钥加密技术：对称加密算法：rc4、des、3des、aes非对称加密算法：rsa对称和非对称：对称：加密密钥=解密密钥。非对称：加密密钥不等于解密密钥。非对称密钥加密算法：rsa（公钥、私钥）公钥加密 私钥解密，即使公钥被第三方窃取也无法破解数据。例如防火墙上：rsalocal-key-paircreate 指令产生密钥对用ssh加密对称加密：优点速度快 缺点不安全非对称加密：优点安全 缺点速度对称加密和非对称加密相结合：密钥交换①所有数据采用对称密钥加密（快速）②采用非对称加密传输密钥（对称加密时使用的密钥）（安全）数据完整性校验：散列算法：md5 sha 校验数据完整性（不可逆哦/Hash_md5Hash_md5校验.exe66.5KBipsecvpn简单配置GREvpn前提：接口区域 公网地址可达 缺省路由ipsec vpn原理简介IKE：Internet keyexchange 互联网密钥交换协议ISAKMP：InternetSecurityAssociationKeyManagementProtocolIKE为IPSec协商生成密钥,供ipsec报文加解密和验证使用。三个阶段：①IKE密钥协商阶段（建立IKESA）②IPsec参数协商阶段（建立IPsecSA）③加密传输数据（加密传输数据）调试命令：阶段①disikesa resetikesa阶段②disipsec sa reset ipsec sa阶段③dis ipsec statistics 查看经过ipsec加解密的报文具体过程如下：当一个报文从某接口外出时，如果此接口应用了IPSec，匹配。如果找到匹配的安全策略，会查找相应的安全联盟。如果安全联盟还没有建立，则触发IKE进行协商。IKE首先建立第一阶段的安全联盟，即IKESA。在第一阶段安全联盟的保护下协商第二阶段的安全联盟，即IPSecSA。使用IPSecSA保护通讯数据。注意：安全联盟是单向的。IKEv1主模式协商过程：（了解即可）IKEv1野蛮模式协商过程：（了解即可）常见IPsec报文封装模式：（了解即可）ESP**AH隧道模式**ESP+隧道AH+隧道传输模式ESP+传输AH+传输DH（Diffie-Hellman）交换及密钥分发：Diffie-Hellman算法是一种公共密钥算法。通信双方在不传送密钥的情况下通过交换一些数据（素材），计算出共享的密钥，加密的前提是交换加密数据的双方必须要有共享的密钥（例如：配置好的预共享密钥）。即一句话通过交换素材算出密钥。即使素材被黑客截获也无法算出密钥。完美向前保密（PFS：PerfectForwardSecrecy）完美向前保密，即每一密钥均是“独一无二”的，这样一个密钥被破解，并不影响其他密钥的安全性，因为这些密钥间没有派生关系。所以若有攻击者破解了一个密钥后，只能访问受这个密钥保护的所有数据报文，而受其它密钥保护的数据报文还是无法破解。ipsecvpn排错和诊断（特别注意：不同厂商）ipsecvpn精细化配置前提：两边公网接口确保可以ping通①防火墙上面配置缺省路由指向运营商②防火墙上面公网接口运行ping③local_any安全策略vpn配置参照2.46IPsecvpn简单配置实验ipsecvpn配置：精细化的安全策略配置总部端：创建地址对象和服务方便调用放行安全策略①放行隧道协商的安全策略IKE和ESP②放行总部到分支的业务流量创建IPsecvpn：配置安全提议：华为和华为设备对接默认的算法都是一致的全部保持默认即可分支端配置：和总部对称公网口允许ping：方便检测路由对象安全策略：ipsecvpn：安全提议：最终测试：内网通信调试：UTM技术UTM技术V2.0.pptx1MBUSG：UnifiedSecurityGateway统一安全网关（防火墙firewall）UTM：UnifiedThreatManagement 统一威胁管理IPS：IntrusionPreventionSystemIDS：IntrusionDetectionSystemVirus反病毒DPI：DeepPacketInspection基于数据包的深度检测技术（内容检测）华为安全产品：/cn/products/enterprise-networking/security/firewall-gateway常见网络协议：http:上网网页https：上网网页SMTP:SimpleMailTransferProtocol即简单邮件传输协议上传POP3：PostOfficeProtocol3，即邮局协议的第3个版本下载IMAP:InternetMailAccessProtocol即交互式邮件存取协议下载NFS：NetworkFileSystem即网络文件系统SMB：ServerMessageBlock共享信息块 cifs（CommonInternetSystem）、samba。两种攻击行为：缓冲区溢出：发送伪造特定报文（应用层）非授权指令，甚至可以取得系统特权。CC攻击：ChallengeCollapsar，主要用来攻击网页，攻击者借助代理服生成指向受害主机的合法请求，实现DDOS和伪装。IPS签名：开源安全社区：/index.php/Main_Page/wiki/Main_Page/新建入侵防御配置文件：在创建IPS策略时，如果策略模板能够满足应用场景或者与应用场景相似，则可直接在策略中时简化配置。系统已经提供了以下策略模板：Default：默认模板。该模板可以应用在一般的入侵防御场景中。Ids：该模板适用于当设备以IDS（旁路）模式部署时的通用场景。Dmz：该模板适用于当设备部署在DMZ区域前的场景。web_server：该模板适用于当设备部署在Web服务器前面的场景。mail_server：该模板适用于当设备部署在Mail服务器前面的场景。dns_server：该模板适用于当设备部署在DNS服务器前面的场景。file_server：该模板适用于当设备部署在File服务器前面的场景。AV反病毒配置终端安全SACG：SecurityAccessControlGateway安全准入控制网关SM：管理服务器，管理AD服务器、防病毒服务器等SC：控制服务器，控制是否准入（需要和SACG联动）注意：一般将SMSC安装在一台服务器上面。准入控制:802.1X认证、主机防火墙（终端安装客户端软件）、准入控制网关硬件身份认证:是否合法是否准入补丁更新等认证前域：身份认证前终端所能访问区域隔离域：身份认证后，安全认证不通过终端需进行安全修复的区域限的区域Agilecontroller：敏捷控制器下载链接：/enterprise/zh/sdn-controller/agile-controller-campus-pid-21085964/softwareAgileController-典型配置举例下载链接：/enterprise/zh/doc/DOC1000072861/?idPath=7919710%7C21782050%7C22318419%7C2