为什么需要 PKI
在之前的文章中我们介绍了 digital signature,使用 digital signature 可以同时实现 authentication,integrity 和 nonrepudiation,如果再加上一种 encryption 的算法就可以完全确保通信的安全了。那么为什么还需要 PKI 呢?先来回顾一下 digital signature 的概念:
在之前的文章中我们介绍了 digital signature,使用 digital signature 可以同时实现 authentication,integrity 和 nonrepudiation,如果再加上一种 encryption 的算法就可以完全确保通信的安全了。那么为什么还需要 PKI 呢?先来回顾一下 digital signature 的概念:
Cryptography 是一个非常深奥的邻域,这里只是从网络工程的角度介绍一些最基础的知识。网络工程里面和 Cryptography 直接挂钩的就是 VPN 的部分,里面涉及到了各种算法的选择和配置。
Cryptography 主要是为了解决通信安全的几个问题:
一些常用的词汇:
测试平台:Cisco Adaptive Security Appliance Software Version 9.1(5)16
Cisco ASA EtherChannel 配置和 IOS 基本一致。
测试平台:Cisco Adaptive Security Appliance Software Version 9.1(5)16
Cisco ASA Redundant Interface 是一种接口层面的冗余配置,它和 EtherChannel 不同的是 Redundant Interface 运行在 Active/Passive 模式下,不对数据做 load balancing,只支持绑定两个物理接口。ASA 会将第一个 active 的接口 MAC 地址作为 Redundant Interface 的 MAC。
在 Cisco IOS 中我们可以利用 ACL 进行数据包过滤,但是 ACL 是一种 stateless (无状态)的包过滤形式,这种方式并不安全。如果 ACL 配置的不恰当其实相当于允许所有数据通过,最典型的例子就是 ACL 中的 ACE 如果没有加 “fragment” 命令它其实会默认允许 non-initial fragments 通过。这样攻击方会很容易实现 Fragmentation Attack (属于 DOS 攻击的一种)。Cisco IOS 提供了另一种包过滤的方式 – Zone Base Firewall (ZBFW)。这种 ZBFW 是 stateful (有状态的)。在这里我们只对 ZBFW 的基础配置进行讨论,因为在实际生产环境中 IOS ZBFW 的用途不是很广泛,我们应该尽量部署专业的防火墙而不是依赖路由器上的 ACL 或者 ZBFW 来进行包过滤,他们只能作为一种应急方案使用。
Cisco ASA Clustering 有两种模式:individual 和 spanned。individual 表示 cluster 中的每台 ASA 的每个接口都有一个独立的 IP 地址,spanned 表示整个 cluster 只有 Master Unit 才有 IP 地址,所有的接口以 EtherChannel 的形式存在。唯一的例外是 management-only 接口,我们可以在 spanned mode 下为 cluster 中的每台 ASA 配置一个独立的 IP 地址,这样方便管理。Cisco 推荐的模式为 spanned mode + individual MGMT IP。关于 clustering 理论的部分可以参考 《Cisco ASA Series CLI Configuration Guide, 9.0 – Chapter: Configuring a Cluster of ASAs》
测试平台:Cisco Adaptive Security Appliance Software Version 9.1(5)16
测试平台:Cisco Adaptive Security Appliance Software Version 9.1(5)16
测试平台:ASAv 9.9(2)
这里测试第二种配置方法,即将两个用于做 HA 的接口做成 redundant interface,然后在上面同时跑 Failover Control Link 和 Failover Stateful Link 的数据。
测试平台:ASAv 9.9(2)
Cisco ASA 在做 HA 的时候 ASA 之间需要两种连接,分别是 Failover Control Link 和 Stateful Link。我们可以用两条物理线缆一条配置成 Failover Control Link 另一条配置成 Stateful Link,也可以对两条线缆做一个 aggregation 再进行配置。这里测试第一种配置方法。
只能从内向外发送数据包,当连接建立后可从外向内发送数据包