CISCO ASA防火墙、 VPN基础内容、 IPSec VPN

已于 2025-04-02 21:12:05 修改
阅读量593 收藏 11
点赞数 5
分类专栏: 网络安全阶段一 文章标签: Cisco ASA防火墙 VPN IPSec VPN 网络安全 隧道模式 AH协议 ESP协议
于 2025-04-02 13:54:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_57385165/article/details/146945243
版权

CISCO ASA防火墙

ASA系列

1、防火墙工作原理(状态化防火墙)

2、在防火墙上配置ACL(基本都是命名的ACL)

3.在防火墙上配置NAT(防火墙设备基本上放在局域网出口

一、工作原理

1.系列

ASA5500系列

2、ASA防火墙状态化防火墙

  • 维护一张表:状态化链接表(conn表)

    • 源IP地址

    • 目标IP地址

    • IP协议(TCP/UDP)

    • IP协议信息(端口号,序列号,控制位)

  • 默认情况下,ASA对TCP和UDP协议提供状态化链接,对ICMP协议是非状态化的

  • 状态化防火墙的处理过程,

  • ASA的安全算法

    • 接口安全级别(优先级)

    • 访问控制列表

    • 记录conn表

    • 链接表

    • 检测引擎(根据结构安全级别来决定数据是放通还是阻止)

      • 默认情况下,ASA自动放通高安全级别访问低安全级别,阻止低安全级别访问高安全级别;安全级别一直,直接阻止。

二、ASA接口

1.物理接口

  • 基于防火墙自身模块定义

2.逻辑接口

  • 用来描述物理接口所处的安全区域:insid内网区域,outside外网区域,DMZ服务器区域

    • inside:安全级别设置为100 outside:安全级别设置为0 DMZ:安全级别设置为50

三、ASA配置ACL

 access-list dma_to_in  permit tcp host 192.168.2.10 host 192.168.1.10 eq

VPN基础内容

1、基本概念

  • 虚拟专用网络(VPN)的功能是:在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN可通过服务器、硬件、软件等多种方式实现。

  • 企业对专用网络的传输要求越来越高。

  • 虚拟:不需要实际长途路线,使用公共资源建立自己的私有网络

  • 专用:可以定制符合自身需求的网络

  • 核心技术:隧道技术

2、VPN分类

  • 客户端到局域网(client--LAN) access VPN

    • PPTP或L2TP

  • 局域网到局域网(LAN---LAN)

    • IPSecVPN

  • PPTP和L2TP属于网络接口层协议

  • IPSec属于网络层

  • SSL VPN属于应用层

3、VPN常用技术

  • 隧道技术

    • 通过在隧道两端封装和解封装(新的报文头)

    • GRE ,不支持身份验证,只支持简单的关键字验证和校验,(IPv4到IPv6过渡)

    • L2TP,支持基于PPP的身份验证,加密和验证不支持

    • IPSec,预共享密钥或证书认证、支持IKEV2的认证,支持加密和验证

    • SSL VPN,支持多种身份认证,支持加密和验证

  • 加解密技术

    • 对称加密,DES、3DES、AES

    • 非对称加密,RSA、DH

    • 完整性校验算法,MD5、SHA

  • 身份认证技术

IPSec VPN

1、概述

  • 一组基于网络层的应用密码学的安全通信协议族,是一个开放的协议族,也考虑长远性要求(支持IPv4,IPv6)

  • 保护的是网络层及上层流量,主要保护TCP、UDP、ICMP等的隧道的IP数据包

  • 可以提供的安全服务

    • 机密性

    • 完整性

    • 数据源鉴别

    • 不可否认

    • 访问控制

    • 重放攻击保护

2、IPSec架构

  • 两个通信保护协议

    • AH:只支持鉴别算法(完整性校验)

    • ESP:支持加密和鉴别算法

  • 两个工作模式:传输模式、隧道模式

  • IKE协商,秘钥交换管理协议:SA(安全联盟)

    • 阶段一:主模式,野蛮模式(快速模式)

    • 阶段二:配置感兴趣流

3、传输模式

  • 应用场景:用于主机和主机之间端到端通信的数据保护

  • 封装方式:不会改变原始IP包头,在原始包头后插入IPSec包头

4、隧道模式

  • 应用场景:用于私网与私网之间通过公网进行通信,建立VPN通道

  • 封装方式:增加新的IP头部,其后是IPSec头部,接着是原始数据包

5、AH协议

  • 完整性校验(通过哈希函数(MD5、SHA1)产生的校验来保证)

  • 不管是传输模式还是隧道模式都会验证整个数据报

6、ESP协议

  • 加解密(使用对称加密算法DES、3DES、AES)

  • 完整性校验(通过哈希函数(MD5、SHA1)产生的校验来保证)

  • ESP在传输模式下,只对数据进行加密和完整性校验

  • ESP在隧道模式下,对整个原始报文进行加密和校验

7、AH和ESP对比

安全特性AHESP
协议号5150
数据完整性校验支持但不验证IP头
数据源验证
数据加解密×
抗重放
NAT-T (NAT穿透)×

思科CISCO ASA 5555防火墙如何新增一条Ipsec隧道至深信服防火墙
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
03-17 394
(第一阶段,协商IKE)
Cisco ASA配置L2TP over IPsec
游离态De猫
05-10 766
拓扑说明: 环境说明: ASA版本信息: ciscoasa# show version Cisco Adaptive Security Appliance Software Version 9.8(1)5 Firepower Extensible Operating System Version 2.2(1.50) Device Manager Version 7.8(1)150 ...
思科ASA防火墙建立IPSec VPN(IKEV1)
weixin_47666829的博客
11-29 1893
ipsec vpnASA路由器中的实现
Cisco ASA防火墙实现IPSec 虚拟专用网,可跟做!!!
小健健的博客
11-05 1974
通过博文CIsco路由器实现IPSec 虚拟专用网原理及配置详解已经初步了解IPSec 虚拟专用网的原理以及如何在Cisco的路由器上实现IPSec 虚拟专用网技术。千万不要以为在CIsco路由器可以实现IPSec 虚拟专用网,在CIsco ASA防火墙也可以实现,虽然原理是一致的,但是其配置过程,稍微有一些不同。下面主要讲解一下如何在Cisco ASA 防火墙上实现IPSec 虚拟专用网。 博...
思科防火墙建立IPSEC VPN以及NAT穿越问题(大学生易读版)
qq_74338624的博客
12-28 1504
具体思路如上,在可视化界面上也要按照如此顺序依次配置。
思科防火墙查如何查看现有ipsec隧道信息
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
05-03 1222
思科ASA5555。
CiscoASA防火墙上实现IPSec虚拟专用网
lvjianzhaoa的博客
08-17 566
博文大纲: 一、网络环境需求 二、配置前准备 三、配置虚拟专用网 四、总结 前言: 之前写过一篇博文:Cisco路由器之IPSec 虚拟专用网,那是在公司网关使用的是Cisco路由器的情况下,来搭建虚拟专用网的,那么公司网关若是CiscoASA防火墙呢?就让这篇博文来带你配置一下。 注:虚拟专用网:(Virtual Private Network),请看英文的首字母,就知道是什么咯...
Cisco ASA 防火墙配置WebVPN实例详解
Jian Sun_的博客
02-28 904
另外,SSLVPN 还能细化接入控制功能,易于将不同访问权限赋予不同用户,实现伸缩性访问;随着远程接入需求的不断增长,远程接入IPSec VPN 在访问控制方面受到极大挑战,而且管理和运行支撑成本较高,它是实现点对点连接的最佳解决方案,但要实现任意位置的远程安全接入,SSLVPN 要理想得多。目前市场上VPN 产品很多,而且技术各异,就比如传统的IPSec VPN来讲, SSL能让公司实现更多远程用户在不同地点接入,实现更多网络资源访问,且对客户端设备要求低,因而降低了配置和运行支撑成本。
防火墙:配置IPSec VPN
weixin_42494218的博客
11-15 828
在思科 FPR1120-ASA-K9 上设置 IPSec VPN.
CiscoASA防火墙和路由器上实现IPSec虚拟专用网
:Struggle.
09-13 962
博文目录一、IPSec 虚拟专用网故障排查二、配置防火墙和路由器实现IPSec 虚拟专用网三、总结 关于IPSec 虚拟专用网工作原理及概念,前面写过一篇博文:Cisco路由器IPSec 虚拟专用网原理与详细配置,博客里都有详细介绍,前面是在公司网关使用的是Cisco路由器的情况下来搭建虚拟专用网的,今天来配置一下在ASA防火墙上实现IPSec 虚拟专用网。 由于“Virtual Privat...
H3C与VPN高级应用(五)深入探索IPSec VPNASA防火墙中的应用
洛秋的博客
07-23 1163
IPSec VPN作为VPN的一种主要实现方式,通过加密和验证机制确保数据在不安全网络中的传输安全。本文将深入探讨在ASA防火墙上实现IPSec VPN的详细步骤,并通过具体案例来解析如何配置和排查IPSec VPN的问题。我们了解了IPSec VPN的基本原理,掌握了在ASA防火墙上配置IPSec VPN的具体步骤,并通过具体案例分析了如何配置和排查IPSec VPN的问题。以下是具体的网络拓扑和配置步骤。在配置IPSec VPN的过程中,常见的故障主要集中在ISAKMP阶段和IPSec阶段。
Cisco ASA 11条非常有用的命令,值得收藏!
网络技术联盟站
08-11 322
思科自适应安全设备(Cisco ASA)是广泛应用于企业网络中的防火墙VPN解决方案。ASA设备不仅具备高级安全功能,还提供了大量的命令行工具来帮助网络管理员管理、监控和排除故障。在数千条可用命令中,有一些命令特别有用,尤其是在排查故障和优化网络性能时。本文将详细介绍11条在Cisco ASA设备上非常有用的命令,帮助网络管理员更高效地管理和维护其网络环境。
acs cisco 查看log_Cisco ASA 5510 防火墙 配置笔记
weixin_39707168的博客
12-21 921
access-list inside_access_in line 2 extended permit ip object-group all anyaccess-group inside_access_in in interface inside6.配置sitetosite之VPNcrypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-h...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8664
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
电子工程0欧姆电阻在PCB设计中的多功能应用
04-03
内容概要:0欧姆电阻在电路设计中有多种重要作用。它不仅可以在PCB上为调试提供便利,还能用于跳线、替代不确定参数的元件以及测量电路的耗电流。此外,在布线困难时可作为应急解决方案。在高频信号环境下,它能充当电感或电容,有助于解决EMC问题。对于地线处理,0欧姆电阻可用于实现单点接地,避免模拟地和数字地直接大面积相连带来的互相干扰问题。在跨接电流回路方面,它可以提供较短的回流路径,减少干扰。同时,0欧姆电阻还适用于配置电路,防止用户误操作跳线或拨码开关,并且在布线、调试、测试、温度补偿等方面有着广泛应用,尤其在EMC对策中表现突出。; 适合人群:电子工程师、硬件设计师以及对电路设计感兴趣的爱好者。; 使用场景及目标:①在PCB设计阶段,利用0欧姆电阻进行灵活的电路调试与优化;②解决高频信号下的EMC问题,确保电路稳定性和抗干扰能力;③实现单点接地,避免不同地线间的相互干扰;④提高电路的可维护性和可靠性,降低生产成本。; 阅读建议:本文详细介绍了0欧姆电阻在电路设计中的多种应用场景,读者应结合具体项目需求来理解和运用这些知识,特别是在面对复杂的电路布局和电磁兼容性问题时,要充分考虑0欧姆电阻的独特优势。
一个基于SpringBoot+Mybatis+Mysql+Html实现的页面登录案例
04-03
mysql安装教程 一个基于SpringBoot+Mybatis+Mysql+Html实现的页面登录案例.
全域旅游综合解决方案PPT(71页).pptx
最新发布
04-03
在探索智慧旅游的新纪元中,一个集科技、创新与服务于一体的整体解决方案正悄然改变着我们的旅行方式。智慧旅游,作为智慧城市的重要分支,旨在通过新一代信息技术,如云计算、大数据、物联网等,为游客、旅游企业及政府部门提供无缝对接、高效互动的旅游体验与管理模式。这一方案不仅重新定义了旅游行业的服务标准,更开启了旅游业数字化转型的新篇章。 智慧旅游的核心在于“以人为本”,它不仅仅关注技术的革新,更注重游客体验的提升。从游前的行程规划、信息查询,到游中的智能导航、个性化导览,再到游后的心情分享、服务评价,智慧旅游通过构建“一云多屏”的服务平台,让游客在旅游的全过程中都能享受到便捷、个性化的服务。例如,游客可以通过手机APP轻松定制专属行程,利用智能语音导览深入了解景点背后的故事,甚至通过三维GIS地图实现虚拟漫游,提前感受目的地的魅力。这些创新服务不仅增强了游客的参与感和满意度,也让旅游变得更加智能化、趣味化。 此外,智慧旅游还为旅游企业和政府部门带来了前所未有的管理变革。通过大数据分析,旅游企业能够精准把握市场动态,实现旅游产品的精准营销和个性化推荐,从而提升市场竞争力。而政府部门则能利用智慧旅游平台实现对旅游资源的科学规划和精细管理,提高监管效率和质量。例如,通过实时监控和数据分析,政府可以迅速应对旅游高峰期的客流压力,有效预防景区超载,保障游客安全。同时,智慧旅游还促进了跨行业、跨部门的数据共享与协同合作,为旅游业的可持续发展奠定了坚实基础。总之,智慧旅游以其独特的魅力和无限潜力,正引领着旅游业迈向一个更加智慧、便捷、高效的新时代。
工业自动化中模拟量滤波防抖PLC程序的实现与应用
04-03
内容概要:本文详细介绍了如何通过PLC程序实现模拟量滤波防抖,确保电流、电压和热电阻等信号的准确采集。核心算法采用掐头去尾平均法,即去掉一组数据中的最大值和最小值后取剩余数据的平均值,以消除因环境干扰导致的异常值。文中提供了详细的代码实现步骤,包括数据结构定义、主程序逻辑、间接寻址方法以及参数配置。此外,还讨论了如何通过死区判断和上升率限制进一步优化滤波效果,提高系统的稳定性和响应速度。 适合人群:从事工业自动化领域的工程师和技术人员,尤其是熟悉PLC编程和模拟量信号处理的专业人士。 使用场景及目标:适用于需要高精度模拟量信号采集的工业控制系统,如电力、化工、制造业等领域。主要目标是提升数据采集的准确性和稳定性,减少外部干扰带来的误差。 其他说明:文中提供的代码示例基于西门子S7-1200/1500系列PLC,但相关原理和方法同样适用于其他品牌的PLC。建议在实际应用中根据具体情况调整参数设置,以达到最佳效果。
【人工智能大模型发展】从技术突破到场景落地:大模型发展图谱与DeepSeek创新应用解析
04-03
内容概要:本文详细介绍了大模型的发展现状与未来趋势,尤其聚焦于DeepSeek这一创新应用。文章首先回顾了人工智能的定义、分类及其发展历程,指出从摩尔定律到知识密度提升的转变,强调了大模型知识密度的重要性。随后,文章深入探讨了DeepSeek的发展路径及其核心价值,包括其推理模型、思维链技术的应用及局限性。此外,文章展示了DeepSeek在多个行业的应用场景,如智能客服、医疗、金融等,并分析了DeepSeek如何赋能个人发展,具体体现在公文写作、文档处理、知识搜索、论文写作等方面。最后,文章展望了大模型的发展趋势,如通用大模型与垂域大模型的协同发展,以及本地部署小模型成为主流应用渠道的趋势。 适合人群:对人工智能和大模型技术感兴趣的从业者、研究人员及希望利用DeepSeek提升工作效率的个人用户。 使用场景及目标:①了解大模型技术的最新进展和发展趋势;②掌握DeepSeek在不同领域的具体应用场景和操作方法;③学习如何通过DeepSeek提升个人在公文写作、文档处理、知识搜索、论文写作等方面的工作效率;④探索大模型在特定行业的应用潜力,如医疗、金融等领域。 其他说明:本文不仅提供了理论知识,还结合实际案例,详细介绍了DeepSeek在各个场景下的应用方式,帮助读者更好地理解和应用大模型技术。同时,文章也指出了当前大模型技术面临的挑战,如模型的局限性和数据安全问题,鼓励读者关注技术的持续改进和发展。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值