盤分區(qū)工具
是一款非常好用的硬盤分區(qū)工具,為用戶提供非常完善的硬盤分區(qū)服務(wù),可以幫助用戶做好電腦硬盤管理。是用戶日常維護(hù)電腦系統(tǒng)常用管理好幫手。
這個是國外的專業(yè)技術(shù)員版本。可以智能調(diào)整分區(qū)數(shù)值,智能移動分區(qū)區(qū)域,不管什么狀態(tài)都可以創(chuàng)建新的硬盤分區(qū),也可以將將一個磁盤所有內(nèi)容復(fù)制
到另一個磁盤
1.散列函數(shù)(HASH函數(shù))
主流散列算法:MD5、SHA-1 (MD5是128bit散列值,SHA-1是160bit散列值)
數(shù)據(jù)的散列值也成為數(shù)據(jù)的“指紋”
特點(diǎn):1.固定大小 2.雪崩效應(yīng) 3.單向 4.沖突避免
散列函數(shù)只能保證數(shù)據(jù)完整性,無法提供源認(rèn)證功能
2.HMAC
Keyed-HASH Message Authentication Code密鑰化散列信息認(rèn)證代碼
提供源認(rèn)證+完整性功能
過程:1.將路由更新信息+預(yù)共享密鑰一起HASH,得到散列值和路由更新信息一起發(fā)送出去
2.接收后把路由更新信息和預(yù)共享密鑰HASH得到散列值,對比兩個散列值,一致就接收。
3.對稱加密算法
代表算法:DES、3DES、AES、RC4
優(yōu)點(diǎn):速度快、安全、緊湊
缺點(diǎn):密鑰傳輸難、密鑰管理難
4.非對稱加密算法
代表算法:RSA、DH、ECC
使用公鑰加密私鑰解密實(shí)現(xiàn)數(shù)據(jù)私密性
使用私鑰加密公鑰解密實(shí)現(xiàn)數(shù)據(jù)簽名,進(jìn)而實(shí)現(xiàn)完整性和源認(rèn)證、不可否認(rèn)
特點(diǎn):用一個密鑰加密,只能用另一個密鑰解密;僅用于密鑰交換(加密密鑰)和數(shù)字簽名(加密散列)
優(yōu)點(diǎn):安全、密鑰數(shù)和參與者數(shù)量相等、支持?jǐn)?shù)字簽名和不可否認(rèn)
缺點(diǎn):速度慢、密文會變長
5.巧妙的加密解決方案
步驟:1.用隨機(jī)數(shù)產(chǎn)生器生成對稱密鑰,用對稱密鑰對數(shù)據(jù)加密,用公鑰對密鑰進(jìn)行加密
2.接收者先用私鑰解密得到對稱密鑰,再用對稱密鑰解密數(shù)據(jù)
該加密方案廣泛應(yīng)用于實(shí)際環(huán)境中
6.IPSec兩種封裝協(xié)議
ESP(Encapsulation Security Payload封裝安全載荷)基于IP協(xié)議號50
能夠提供私密性、完整性、源認(rèn)證,并能抵抗重放攻擊(反復(fù)發(fā)相同的報文,利用解密耗盡資源實(shí)現(xiàn)DOS攻擊)
ESP封裝結(jié)構(gòu):
安全參數(shù)索引SPI:32bit,標(biāo)識處理數(shù)據(jù)包的安全關(guān)聯(lián)(SA,Security Association)
序列號SN:32bit,標(biāo)識一個ESP數(shù)據(jù)包,遞增,防止重放攻擊
初始化向量IV,Initialization Vector:32bit,隨機(jī)數(shù),用于擾亂加密,防止同樣內(nèi)容密文一樣
負(fù)載數(shù)據(jù)Payload Data:一般是TCP頭+應(yīng)用數(shù)據(jù)
墊片Padding:塊加密需要湊齊,不夠的數(shù)據(jù)需要補(bǔ)齊
墊片長度Pad Length:告訴對方可以清除這部分無需解密
下一個頭部Next Header:表示封裝負(fù)載里的頭部協(xié)議,傳輸模式一般是傳輸層TCP或UDP,隧道模式一般是IP
認(rèn)證數(shù)據(jù)Authentication Data:對所有數(shù)據(jù)做HMAC散列計算,以完成源認(rèn)證和完整性的驗證
AH(Authentication Header認(rèn)證頭)封裝基于IP協(xié)議號51
只做源認(rèn)證和完整性,并有抵御重放攻擊功能,不進(jìn)行加密,使用較少
AH對部分字段進(jìn)行完整性驗證,包括IP地址,對于IPv6不需要NAT的場景使用,但是對于IPv4中NAT場景無法適應(yīng)
7.IPSec的封裝模式
傳輸模式(Transport Mode)
兩地全局路由可達(dá),只是使用IPSec對傳輸數(shù)據(jù)進(jìn)行加密和認(rèn)證,通訊點(diǎn)=加密點(diǎn)
隧道模式(Tunnel Mode)
站點(diǎn)對站點(diǎn),通訊點(diǎn)不等于加密點(diǎn),將原數(shù)據(jù)包的IP頭作為負(fù)載,添加新的IP頭
8.密鑰有效期
對稱的密鑰(加密數(shù)據(jù)的密鑰)會周期性變化,默認(rèn)3600s(1小時)更新一次
PFS(Perfect Forward Secrecy完美向前保密)表示新密鑰是否是通過前一次密鑰推演出來的
9.IKE(Internet Key Exchange互聯(lián)網(wǎng)密鑰交換)協(xié)議
該協(xié)議的主要三個任務(wù):對雙方進(jìn)行認(rèn)證、產(chǎn)生用于加密和HMAC的隨機(jī)密鑰、協(xié)商協(xié)議參數(shù)(加密協(xié)議、散列函數(shù)、封裝協(xié)議、封裝模式和密鑰有效期;協(xié)商后的結(jié)果叫做SA安全關(guān)聯(lián))
IKE SA:維護(hù)安全防護(hù),包括加密協(xié)議、散列函數(shù)、認(rèn)證方式、密鑰有效期
IPSec SA:維護(hù)了實(shí)際數(shù)據(jù)流的細(xì)節(jié)
IKE三大組成協(xié)議:
SKEME:決定了IKE的密鑰交換方式,主要使用DH實(shí)現(xiàn)密鑰交換
Oakley:決定了IPSec的框架設(shè)計,讓IPSec能夠支持更多協(xié)議
ISAKMP:Internet Security Association and Key Managemant Protocol互聯(lián)網(wǎng)安全關(guān)聯(lián)和密鑰管理協(xié)議,是IKE的本質(zhì)協(xié)議,決定了協(xié)商包的封裝格式,交換過程和模式的切換。
通常使用中就將IKE=ISAKMP
10.IKE的兩個階段、三個模式
第一階段:
目的:對建立IPSec雙方進(jìn)行認(rèn)證,確保合法的對等體才能建立IPSec VPN
結(jié)果:IKE SA
模式:主模式MM(Main Mode)需要6個數(shù)據(jù)包交換,野蠻模式AM(主動模式,Aggressive Mode)需要3個數(shù)據(jù)包協(xié)商
第二階段:
目的:根據(jù)感興趣流協(xié)商保護(hù)流量的策略
結(jié)果:IPSec SA
模式:快速模式QM(Quick Mode)需要3個數(shù)據(jù)包協(xié)商
思科只有通過預(yù)共享密鑰認(rèn)證的遠(yuǎn)程訪問VPN(EzVPN)才使用野蠻模式
11.第一階段主模式MM6個報文交換過程
1-2ISAKMP報文:準(zhǔn)備策略,任務(wù)是通過報文源地址判斷是否是合法對等體和協(xié)商IKE策略,源目端口都是UDP500
IKE策略包括:加密策略、散列函數(shù)、DH組、認(rèn)證方式、密鑰有效期
該IKE策略主要對IKE數(shù)據(jù)加密的策略,包括5-6包和快速模式的1-3包,不用于對感興趣流加密
3-4ISAKMP報文:準(zhǔn)備密鑰,通過DH算法生成密鑰,傳輸過程不發(fā)送密鑰,但各自可以計算出密鑰
5-6ISAKMP報文:進(jìn)行IPSec雙方的認(rèn)證,(預(yù)共享密鑰認(rèn)證、證書認(rèn)證和RSA加密隨機(jī)數(shù)認(rèn)證)最常用預(yù)共享密鑰認(rèn)證,把預(yù)共享密鑰+密鑰資源+IKE策略內(nèi)容一起散列得到”認(rèn)證散列值“,雙方得到的值一致表示認(rèn)證通過
12.第二階段快速模式QM3個報文交換過程
目的:在安全的環(huán)境下,基于感興趣流協(xié)商IPSec策略,主要包括:感興趣流、加密策略、散列函數(shù)、封裝協(xié)議、封裝模式、密鑰有效期。
這個階段協(xié)商完成后得到IPSec SA,并且是單向的(IKE SA是雙向的)
SPI用于唯一標(biāo)識一個單向的IPSec SA,SPI的值是由目的設(shè)備決定的。
思科ipsec默認(rèn)沒有開啟PFS,手動開啟后可以使每一個小時重新生成一個全新的密鑰。
13.IPSec配置路由
需要在出口路由器把指向?qū)Ψ秸军c(diǎn)網(wǎng)絡(luò)的路由指向互聯(lián)網(wǎng)下一跳,原因是需要經(jīng)過匹配才能出發(fā)接口的加密,流程如下:
14.思科IPSec VPN的經(jīng)典配置
crypto isakmp enable(激活I(lǐng)SAKMP,默認(rèn)激活,僅用于顯示)
配置IKE第一階段策略:
crypto isakmp policy 10
encryption 3des (ike數(shù)據(jù)包加密算法使用3des,默認(rèn)des)
hash md5 (ike數(shù)據(jù)包完整性校驗的散列算法使用md5,默認(rèn)SHA1)
authentication pre-share (第5-6個包認(rèn)證方式為預(yù)共享密鑰,默認(rèn)數(shù)字簽名認(rèn)證)
group 2 (第一階段3-4個包DH交換使用Group2,默認(rèn)Group1)
crypto isakmp key 0 ***** address 對端互聯(lián)網(wǎng)出口IP (第一階段5-6個包預(yù)共享密鑰為*****,僅用于認(rèn)證)
lifetime 86400 (密鑰有效期默認(rèn)一天,不建議修改)
show crypto isakmp policy (查看第一階段配置的策略)
配置IKE第二階段策略:
ip access-list extended vpn
permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 (使用ACL配置感興趣流)
crypto ipsec transform-set cisco esp-des esp-md5-hmac (配置ipsec策略,也叫轉(zhuǎn)換集,封裝使用ESP,加密使用DES,完整性校驗使用md5-hmac)
crypto map cisco 10 ipsec-isakmp (新建一個加密圖map,id為10,一個map可以有多個id,每個接口只能應(yīng)用一個map)
match address vpn (調(diào)用ACL,匹配感興趣流)
set transform-set cisco (調(diào)用轉(zhuǎn)換集)
set peer 61.128.1.1 (定義對端出口IP建立IPSec)
set pfs group2 (啟用PFS,完美向前保密)
set security-association lifetime seconds 1800 (配置ipsec SA的生存期)
接口調(diào)用map:
interface FastEthernet1/0
ip address 202.100.1.1 255.255.255.0
crypto map cisco
show crypto isakmp sa (detail) (查看第一階段ike sa的狀態(tài))
show crypto ipsec sa (查看第二階段ipsec sa的狀態(tài))
show crypto session (查看IPSec VPN的摘要)
show crypto engine connections active (查看加解密的包數(shù)量)
15.華為IPSec VPN配置流程圖
16.GRE Over IPSec
傳統(tǒng)IPSec站點(diǎn)到站點(diǎn)的方式不適用于網(wǎng)絡(luò)復(fù)雜的情況,主要三大問題:
GRE Over IPSec用GRE提供虛擬隧道,使用IPSec保護(hù)該隧道
GRE Over IPSec是典型的傳輸模式的IPSec VPN,因為感興趣流是A和B之間的GRE流量,感興趣流在外網(wǎng)是可路由的,加密點(diǎn)=通訊點(diǎn),所以GRE Over IPSec推薦使用傳輸模式,傳輸模式能夠節(jié)省一個IP頭部(20字節(jié))的開銷,可以承載更多的數(shù)據(jù)。
配置:
crypto isakmp policy 10
authentication pre-share
crypto isakmp key 0 cisco address 61.128.1.1
ip access-list extended vpn
permit gre host 202.100.1.1 host 61.128.1.1
crypto ipsec transform-set cisco esp-des esp-md5-hmac
mode transport
crypto map cisco 10 ipsec-isakmp
match address vpn
set transform-set cisco
set peer 61.128.1.1
interface fa0/0
crypto map cisco
17.GRE Over IPSec簡易配置
crypto isakmp policy 10
authentication pre-share
crypto isakmp key 0 cisco address 61.128.1.1
crypto ipsec transform-set cisco esp-des esp-md5-hmac
mode transport
crypto ipsec profile filename
set transform-set cisco
interface tunnel 0
tunnel protection ipsec profile filename
該方式直接將profile調(diào)用在Tunnel接口下,省略了感興趣流配置,感興趣流即隧道接口所有GRE流量,省略了peer配置,對等體即隧道接口配置的source和destination地址。
18.VTI技術(shù)(Virtual Tunnle Interface虛擬隧道接口)
擺脫了對GRE隧道接口的依賴,直接使用IPSec創(chuàng)建隧道接口,節(jié)省了GRE的封裝4個字節(jié)的頭部,可以承載更多數(shù)據(jù)
分為靜態(tài)VTI(Static Virtual Tunnel Interface,SVTI),常用于站點(diǎn)到站點(diǎn)的VPN
動態(tài)VTI(Dynamic Virtual Tunnel Interface,DVTI),常用于遠(yuǎn)程訪問VPN
19.SVTI使用簡易配置
crypto isakmp policy 10
authentication pre-share
crypto isakmp key 0 cisco address 61.128.1.1
crypto ipsec transform-set cisco esp-des esp-md5-hmac (使用默認(rèn)隧道模式)
crypto ipsec profile filename
set transform-set cisco
interface tunnel 0
ip address 172.16.1.1 255.255.255.0
tunnel source 202.100.1.1
tunnel destination 61.128.1.1
tunnel mode ipsec ipv4 (隧道接口使用ipsec隧道接口模式)
tunnel protection ipsec filename
20.IPSec的兼容性
ASA防火墻僅支持經(jīng)典站點(diǎn)到站點(diǎn)IPSec VPN
思科與非思科對接只能使用經(jīng)典站點(diǎn)到站點(diǎn)IPSec VPN
兩臺思科路由器IOS低于12.4,推薦使用GRE Over IPSec
IOS高于12.4,推薦使用SVTI
21.動態(tài)地址問題
前期的VPN基于公網(wǎng)IP地址固定的情況下,但是實(shí)際地址可能是動態(tài)的,解決方法:
22.動態(tài)crypto map
適用于分支站點(diǎn)動態(tài)獲取地址場景,但是必須由分支站點(diǎn)發(fā)起IPSec的請求,中心站點(diǎn)只能被動接受
適用于思科和非思科設(shè)備對接場景,如果都是思科設(shè)備建議使用EzVPN
分支站點(diǎn)和普通IPSec VPN一致,中心站點(diǎn)的配置:
crypto isakmp policy 10
authentication pre-share
crypto isakmp key 0 cisco address 0.0.0.0 0.0.0.0 匹配所有地址
crypto ipsec transform-set cisco esp-des esp-md5-hmac
crypto dynamic-map dymap 10
set transform-set cisco
crypto map cisco 1000 ipsec-isakmp dynamic dymap
interface fastethernet 0//0
crypto map cisco
23.DDNS
Dynamic Domain Name System動態(tài)域名系統(tǒng),用來動態(tài)更新域名和IP地址的對應(yīng)關(guān)系
set peer abc.com dynamic 設(shè)置對端是域名,其他配置相同
24.加密設(shè)備NAT對IPSec VPN的影響
出口路由器啟用NAT會影響經(jīng)典的IPSec VPN的配置,但是不影響帶隧道接口的VPN(GRE Over IPSec和SVTI)
開啟PAT以后無法建立IPSec VPN的原因:NAT的優(yōu)先級高于加密技術(shù)處理數(shù)據(jù)包,導(dǎo)致地址先被轉(zhuǎn)換,轉(zhuǎn)換完以后無法匹配感興趣流而失敗
可以修改PAT的ACL來排除私網(wǎng)通訊的流量不NAT
ip access-list extended PAT
permit ip 2.2.2.0 0.0.0.255 any
添加一條:
5 deny ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255
25.IPSec VPN穿越防火墻存在的問題
防火墻默認(rèn)放行out的流量,阻止in的流量,并且不會對ESP加密數(shù)據(jù)記錄狀態(tài)化信息,導(dǎo)致外到內(nèi)協(xié)商階段失敗或內(nèi)到外加密數(shù)據(jù)丟棄
需要在防火墻出接口配置:
access-list out permit udp host 202.100.1.1 host 61.128.1.1 eq isakmp 放行UDP500,使雙方都可以主動協(xié)商
access-list out permit esp host 202.100.1.1 host 61.128.1.1 放行ESP流量,雙方可以自由使用ESP加密流量
26.中間設(shè)備PAT對IPSecVPN的影響
中間設(shè)備PAT需要開啟NAT-T功能
27.IPSec VPN的高可用技術(shù)
鏈路高可用:DPD和RRI
DPD(Dead Peer Detection,問題對等體檢測)
RRI(Reverse Route Injection反向路由注入)
28.DPD技術(shù)
周期工作模式:周期發(fā)送DPD探測報文,消耗較多的網(wǎng)絡(luò)和設(shè)備資源,檢測速度快
按需工作模式:有數(shù)據(jù)發(fā)送就探測,消耗網(wǎng)絡(luò)和設(shè)備小,切換較慢
DPD檢測報文其實(shí)就是特殊的ISAKMP報文
如果DPD檢測失敗,將自動清楚SA
crypto isakmp keeplive 10 periodic 周期性10s發(fā)送一個DPD報文
crypto isakmp keeplive 10 按需工作,10s收不到解密報文就探測
29.RRI
解決主備路由問題,只有活動路由器才會注入相應(yīng)路由,保證返回數(shù)據(jù)包發(fā)送給活動路由器,解決了回包路由問題
reverse-route 啟用RRI
set reverse-route tag 10 對RRI的路由打標(biāo),方便引入
route-map RRI-to-OSPF
match tag 10
redistribute static route-map RRI-to-OSPF subnets
30.設(shè)備備份IPSec VPN(Redundancy VPN)
對于中心站點(diǎn)只有一條互聯(lián)網(wǎng)線路,想對設(shè)備做冗余的方案
配置:
在HSRP需要配置name,供ipsec VPN調(diào)用
reverse-route static 無論有沒有SA都產(chǎn)生反向靜態(tài)路由,由HSRP活的發(fā)布
crypto map cisco redundancy Redun.VPN 調(diào)用HSRP的name,活的才會和對端建立VPN
支持搶占,前提是因為HSRP支持搶占
31.高可用站點(diǎn)到站點(diǎn)IPSec VPN最佳方案
前提是均為思科設(shè)備
連線和DPD+RRI方案一樣
使用SVTI提供虛擬互聯(lián)線路
分支節(jié)點(diǎn)同時學(xué)習(xí)兩條等價路由,可以實(shí)現(xiàn)流量的負(fù)載均衡
不再使用DPD和RRI,借助動態(tài)路由協(xié)議實(shí)現(xiàn)切換
32.思科在安全領(lǐng)域最重要的三大IPSec VPN
DMVPN
GETVPN
EZVPN
33.DMVPN
Dynamic Multipoint VPN,動態(tài)多點(diǎn)VPN
可以理解為mGRE Over IPSec
傳統(tǒng)IPSec VPN不適用于有大量分支的情況,可擴(kuò)展性差
優(yōu)點(diǎn):
四大組成協(xié)議:
配置步驟:配置nGRE+NHRP、配置動態(tài)路由協(xié)議、配置IPSec
思科私有協(xié)議
34.GETVPN
Group Encrypted Transport VPN,組加密傳輸VPN
用于解決MPLS VPN實(shí)現(xiàn)數(shù)據(jù)安全
35.EZVPN
也叫Easy VPN、EzVPN,思科私有技術(shù)
是思科為遠(yuǎn)程辦公提供的解決方案
是C/S架構(gòu)