crypto map acl和接口acl为什么分开?

本文深入探讨了CryMap在接口ACL检查前的角色及其对网络安全的影响,阐述了其在匹配并标记加密流、丢弃明文流、执行接口ACL检查等方面的作用,并解释了从12.3到12.4版本的安全改进,包括分离明文流量匹配与加密流处理,以避免安全漏洞。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

总的来说,cry map在接口acl之前先被检查,来撞击感兴趣流。对入站感兴趣流匹配并标记加密流,cry map来丢弃明文的入站感兴趣流,因为可能是被伪装的,之后对于入站流量来说,检查接口acl,来放行加密流和明文的其他被允许流量,同时,如果对于加密流,因为之前是加密的,所以并不知道加密的内容,解密后,或许可能对内容有限制,所以进行解密,然后去匹配cry map acl,12.3之前将两个acl由接口acl同时执行,这就会在远程接入vpn中出现问题:接入前,由于中心站点并不知道接入客户端的地址,因此在配置ipsec的时候使用的是动态的cry map,并没有指定感兴趣流,也无法知道感兴趣流,因此cry map即使应用在了接口,也不能执行丢弃明文感兴趣流的功能,同样是因为基于动态cry  map的cry map并不知道感兴趣流,但两个acl都由接口acl执行时,j接口acl里会放行解密后的感兴趣流条目,实际上就是感兴趣流的源目地址,但cry map正如刚才说的,没法检查并丢弃可能是伪装的明文感兴趣流,因此一定会放行这个明文的感兴趣流,造成安全漏洞,因此,12.4之后的版本将两个acl功能分开,使得明文感兴趣流匹配cry map时就被丢弃,完善了安全功能。cry map是对出站感兴趣流匹配并加密作用,同样,12.4 之后将感兴趣流的匹配过程和加密流以及其他明文放行流量也是分开执行的。

http://www.cisco.com/en/US/docs/ios/sec_secure_connectivity/configuration/guide/sec_crypto_ac_clrtxt_ps6350_TSD_Products_Configuration_Guide_Chapter.html

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值