crypto map acl和接口acl为什么分开?

最新推荐文章于 2025-06-08 11:32:15 发布
最新推荐文章于 2025-06-08 11:32:15 发布
阅读量1.5k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: Cisco 思科 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/blakegao/article/details/12848411
本文深入探讨了CryMap在接口ACL检查前的角色及其对网络安全的影响,阐述了其在匹配并标记加密流、丢弃明文流、执行接口ACL检查等方面的作用,并解释了从12.3到12.4版本的安全改进,包括分离明文流量匹配与加密流处理,以避免安全漏洞。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

总的来说,cry map在接口acl之前先被检查,来撞击感兴趣流。对入站感兴趣流匹配并标记加密流,cry map来丢弃明文的入站感兴趣流,因为可能是被伪装的,之后对于入站流量来说,检查接口acl,来放行加密流和明文的其他被允许流量,同时,如果对于加密流,因为之前是加密的,所以并不知道加密的内容,解密后,或许可能对内容有限制,所以进行解密,然后去匹配cry map acl,12.3之前将两个acl由接口acl同时执行,这就会在远程接入vpn中出现问题:接入前,由于中心站点并不知道接入客户端的地址,因此在配置ipsec的时候使用的是动态的cry map,并没有指定感兴趣流,也无法知道感兴趣流,因此cry map即使应用在了接口,也不能执行丢弃明文感兴趣流的功能,同样是因为基于动态cry  map的cry map并不知道感兴趣流,但两个acl都由接口acl执行时,j接口acl里会放行解密后的感兴趣流条目,实际上就是感兴趣流的源目地址,但cry map正如刚才说的,没法检查并丢弃可能是伪装的明文感兴趣流,因此一定会放行这个明文的感兴趣流,造成安全漏洞,因此,12.4之后的版本将两个acl功能分开,使得明文感兴趣流匹配cry map时就被丢弃,完善了安全功能。cry map是对出站感兴趣流匹配并加密作用,同样,12.4 之后将感兴趣流的匹配过程和加密流以及其他明文放行流量也是分开执行的。

http://www.cisco.com/en/US/docs/ios/sec_secure_connectivity/configuration/guide/sec_crypto_ac_clrtxt_ps6350_TSD_Products_Configuration_Guide_Chapter.html

spring security原理机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)用户授权 (Authorization)两个部分,这两点也是 Spring
50个华为锐捷设备的命令对比,网络工程师收藏!
网络技术联盟站
09-15 1234
通过对比华为锐捷的50条核心命令,可以看出两者在网络设备配置上的整体思路非常相似,尤其是很多基本网络功能的实现方式如静态路由、VLAN、链路聚合等,命令语法逻辑都保持了一定程度的兼容性,方便管理员从一种设备过渡到另一种设备。然而,在某些具体功能的实现上,尤其是安全相关的配置如ACL、AAA以及高级网络协议(如IPSec、SSL VPN)的操作流程,华为锐捷的命令细节上存在一些差异。
基于物理接口ACL禁止源报文通过
cnparaboy
01-10 1009
javaWeb完整项目
weixin_70320260的博客
02-27 6300
JavaWeb,是用Java技术来解决相关web互联网领域的技术总。web包括:web服务器web客户端两部分。Java在客户端的应用有java applet不过现在使用的很少,Java在服务器端的应用非常的丰富,比如Servlet,JSP第三方框架等等。Java技术对Web领域的发展注了强大的动力。
手动搭建javaweb全项目开发,完成最基本的从前端页面写数据到数据库
最新发布
2302_76417223的博客
06-08 816
1.页面跳转问题,传统表单提交会触发页面刷新或跳转(通过。
第25节 虚拟专有网络原理及配置命令
Fighting_hawk的博客
01-10 3861
1. 了解加密技术的种类及常用算法; 2. 了解VPN技术的作用及分类; 3. 理解掌握两种IPsecVPN模式的工作原理; 4. 理解map表组、map表号、ACL表号、策略集之间的关系; 5. 理解掌握IPsecVPN配置方法。
十几套JavaWeb项目,拿去当毕业设计简直太爽了(源码)
热门推荐
qq_43160291的博客
08-31 2万+
https://space.bilibili.com/1892339/video
初级 - 如何搭建一个Java Web项目 - 记录
Muxiu
07-14 3608
Influx 是一个开源的时序型数据库,常用于存储系统监控数据,IoT 行业的实时数据等场景。依赖,起到一个路由收发的作用,一个 Java Web 项目的根本服务核心。比较好理解,帮助开发者在开发环境可以更好的开发项目,修改代码后可以实时更新服务器的为修改代码后的新状态。还有一点要注意,启动项目时,如果没有配置 MongoDB ,就会报错,原因在于。好了,安装的依赖,就到这里了,下面的依赖目前还不需要,想要了解的参考链接。关于 Mongo DB 依赖,其实还有一个依赖,可以替换,即。
简单虚拟专用网络
Goallegoal的博客
04-12 1656
简单虚拟专用网络 概述 此类虚拟专用网络架设的目的,是为了满足公司更多的在外办公人员,能够允许外部人员(销售人员 / 远程技术人员)通过互联网安全访问公司资源(公司文档、公司的 IT 基础设施)。简单虚拟专用网络是一种 B2C 架构,L2L 虚拟专用网络 / GRE over IPsec / 动态多点虚拟专用网络 更多是一种 B2B 架构。 简单虚拟专用网络原理比常规虚拟专用网络复杂,配置更麻烦,...
Ipsec配置
LeslieLiangZ的博客
03-13 9685
Ipsec用于在数据传输过程中的加密协议 1. 搭建环境拓扑 2. 配置第一阶段:isakmp协商 需要配置的有isakmp协商的加密算法、验证算法、验证方式共享密钥及可选的group值生存时间Lifetime R1配置: R1(config)#crypto isakmp policy 1 定义策略 R1(config-isakmp)#encryption 3des 加密算法为3des R1...
锐捷设备命令大全,网络工程师收藏!
网络技术联盟站
07-03 1819
锐捷网络(Ruijie Networks)是国内领先的网络设备制造商,致力于提供高效、安全、可靠的网络解决方案。锐捷的产品线包括交换机、路由器、防火墙、无线设备等,广泛应用于企业、教育、政府、金融等行业。锐捷设备在各个行业中的应用场景包括:本文给大家整理一下锐捷设备命令,希望对大家有所帮助!目录:设备名称可以帮助管理员识别设备。设置设备名称的命令如下: 例如,将设备名称设置为"Ruijie_Switch": 配置时间日期 配置设备的时间日期有助于日志记录事件管理。使用以下命令配置时区日期时间: 例如
Java Web系列:Java Web 项目基础
m0_62396648的博客
06-21 1399
Session在存储安全性要求较高的会话信息方面是必不可少的,Session当然绝对不是用来存储用户登录状态的,但类似验证码等敏感信息却必须存储在Session中。对于分布式Web应用自定义Session支持独立的状态服务器或集群是必须的。
IPSEC学习
Hakkazhongli的博客
06-20 2653
IPSec协议产生的背景 用户在互联网上传输的数据容易遭受窃取
【网络安全】VPN数据安全原理与应用
景天科技苑
03-25 8298
GRE: 能支持单播、组播、广播,但是不安全。 VPN: 能实现安全加密,但是只支持单播,不能支持组播广播流。 IPSEC 拯救了GRE。
思科路由交换命令大全
qq_40720364的博客
04-29 3101
使用static命令可以在一个本地ip地址一个全局ip地址之间创建了一个静态映射,但从外部到内部接口的连接仍然会被pix防火墙的自适应安全算法(ASA)阻挡,conduit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口,例如允许从外部到DMZ或内部接口方向的会话。其中(if_name)表示内网接口名字,如inside,Nat_id用来标识全局地址池,使它与其相应的global命令相匹配,local_ip表示内网被分配的ip地址。端口号的指定可以用几种不同的方法。
IPSEC
XLYcmy的博客
10-16 1077
隧道传输内部数据,并且要保证数据安全,所以需要在每个部门之间建立一条。设备为运营商设备无法控制,每个部门之间需要建立一条。至此,网络工程与组网技术的全部实验就结束了。设备为模拟运营商设备,无法控制,本题目中。R3R4相同,就只放一张图了。隧道使用预共享秘钥进行身份验证。
Easy ×××&dynamic crypto map
weixin_33769207的博客
04-02 224
R1#sh run Building configuration... Current configuration : 1470 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec ...
***配置实例
weixin_34306593的博客
10-19 100
***配置实例(转载别人的,共同学习) 1 启用IKE协商routerA(config)#crypto isakmp policy 1 建立IKE协商策略(1是策略编号1-1000,号 越小,优先级越高routerA(config-isakmap)#hash md5 密钥认证的算...
CCNA课堂练习:控制访问列表(ACCESS LIST)
weixin_34178244的博客
11-16 1185
大家今天介绍一下访问控制列表,那为什么要用访问控制列表呢?比如说公司里不想让公司以外的人telnet本公司电脑可以用ACL、不想让别人ping通ip可以用ACL、不想…… 老师说挺好用的我在这大家分享一下,废话少说,我们开始,先来介绍一下ACL。 那使用ACL的目的是什么呢?在性能安全上介绍一下: •性能 对网络设计中特定的用户进行控制 拒绝网络...
华为思科ipsec
02-27
而思科设备则使用命令如 `crypto ipsec transform-set` 来定义加密转换集,并通过 `crypto map` 将这些设置映射到接口上。 对于思科 IOS 版本间的差异,在8.2 8.4.5之间可能存在一些参数上的变化,这需要具体...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值