Cryptography 密码学基础

Cryptography 是一个非常深奥的邻域,这里只是从网络工程的角度介绍一些最基础的知识。网络工程里面和 Cryptography 直接挂钩的就是 VPN 的部分,里面涉及到了各种算法的选择和配置。

Cryptography 主要是为了解决通信安全的几个问题:

    • Confidentiality 保密性
      • 确保只有通信双方才能看懂通信的数据
    • Integrity 完整性
      • 确保数据在传输过程中不会被篡改
    • Authentication 认证
      • 在通信中证明自己的身份
    • Nonrepudiation 不可抵赖性
      • 对通信中执行的操作不可抵赖,比如明明发送了一个数据包就不可以抵赖说没有发送过

一些常用的词汇:

    • plaintext = 还为进行加密的数据
    • ciphertext = 加密后的数据
    • key = 加密用的密匙 (key 的长度越长就越安全)

继续阅读“Cryptography 密码学基础”

Cisco ASA Redundant Interface 配置案例

测试平台:Cisco Adaptive Security Appliance Software Version 9.1(5)16

Cisco ASA Redundant Interface 是一种接口层面的冗余配置,它和 EtherChannel 不同的是 Redundant Interface 运行在 Active/Passive 模式下,不对数据做 load balancing,只支持绑定两个物理接口。ASA 会将第一个 active 的接口 MAC 地址作为 Redundant Interface 的 MAC。

继续阅读“Cisco ASA Redundant Interface 配置案例”

Cisco IOS Zone Based Firewall 基础配置案例

在 Cisco IOS 中我们可以利用 ACL 进行数据包过滤,但是 ACL 是一种 stateless (无状态)的包过滤形式,这种方式并不安全。如果 ACL 配置的不恰当其实相当于允许所有数据通过,最典型的例子就是 ACL 中的 ACE 如果没有加 “fragment” 命令它其实会默认允许 non-initial fragments 通过。这样攻击方会很容易实现 Fragmentation Attack (属于 DOS 攻击的一种)。Cisco IOS 提供了另一种包过滤的方式 – Zone Base Firewall (ZBFW)。这种 ZBFW 是 stateful (有状态的)。在这里我们只对 ZBFW 的基础配置进行讨论,因为在实际生产环境中 IOS ZBFW 的用途不是很广泛,我们应该尽量部署专业的防火墙而不是依赖路由器上的 ACL 或者 ZBFW 来进行包过滤,他们只能作为一种应急方案使用

继续阅读“Cisco IOS Zone Based Firewall 基础配置案例”

Cisco ASA Clustering 配置案例

Cisco ASA Clustering 有两种模式:individual 和 spanned。individual 表示 cluster 中的每台 ASA 的每个接口都有一个独立的 IP 地址,spanned 表示整个 cluster 只有 Master Unit 才有 IP 地址,所有的接口以 EtherChannel 的形式存在。唯一的例外是 management-only 接口,我们可以在 spanned mode 下为 cluster 中的每台 ASA 配置一个独立的 IP 地址,这样方便管理。Cisco 推荐的模式为 spanned mode + individual MGMT IP。关于 clustering 理论的部分可以参考 《Cisco ASA Series CLI Configuration Guide, 9.0 – Chapter: Configuring a Cluster of ASAs》

测试平台:Cisco Adaptive Security Appliance Software Version 9.1(5)16

继续阅读“Cisco ASA Clustering 配置案例”

Cisco ASA Manual NAT – Dynamic NAT (Policy NAT)

知识点强化:
    • Manual NAT 又称为 Twice NAT
    • Manual NAT 一般应用于同时转换 Source 和 Destination
    • Policy NAT 是通过 Manual NAT 来实现的
      • Policy NAT 只是一个概念,即 NAT 是否执行是根据配置的 Policy 来决定
      • Policy 是通过 Manual NAT 来配置
      • Identity NAT 也在通过 Policy 来实现的
    • Dynamic NAT 临时双向通信
      • 只能从内向外发送数据包,当连接建立后可从外向内发送数据包

      • 前提是 ACL 已允许双向通信
    • ACL 使用真实 IP
    • Proxy ARP 自动开启

继续阅读“Cisco ASA Manual NAT – Dynamic NAT (Policy NAT)”