为什么需要 PKI
在之前的文章中我们介绍了 digital signature,使用 digital signature 可以同时实现 authentication,integrity 和 nonrepudiation,如果再加上一种 encryption 的算法就可以完全确保通信的安全了。那么为什么还需要 PKI 呢?先来回顾一下 digital signature 的概念:
Cryptography 密码学基础
Cryptography 是一个非常深奥的邻域,这里只是从网络工程的角度介绍一些最基础的知识。网络工程里面和 Cryptography 直接挂钩的就是 VPN 的部分,里面涉及到了各种算法的选择和配置。
Cryptography 主要是为了解决通信安全的几个问题:
-
- Confidentiality 保密性
- 确保只有通信双方才能看懂通信的数据
- Integrity 完整性
- 确保数据在传输过程中不会被篡改
- Authentication 认证
- 在通信中证明自己的身份
- Nonrepudiation 不可抵赖性
- 对通信中执行的操作不可抵赖,比如明明发送了一个数据包就不可以抵赖说没有发送过
- Confidentiality 保密性
一些常用的词汇:
-
- plaintext = 还为进行加密的数据
- ciphertext = 加密后的数据
- key = 加密用的密匙 (key 的长度越长就越安全)
Cisco ASA EtherChannel 配置案例
测试平台:Cisco Adaptive Security Appliance Software Version 9.1(5)16
Cisco ASA EtherChannel 配置和 IOS 基本一致。
Cisco ASA Redundant Interface 配置案例
测试平台:Cisco Adaptive Security Appliance Software Version 9.1(5)16
Cisco ASA Redundant Interface 是一种接口层面的冗余配置,它和 EtherChannel 不同的是 Redundant Interface 运行在 Active/Passive 模式下,不对数据做 load balancing,只支持绑定两个物理接口。ASA 会将第一个 active 的接口 MAC 地址作为 Redundant Interface 的 MAC。
Cisco IOS Zone Based Firewall 基础配置案例
在 Cisco IOS 中我们可以利用 ACL 进行数据包过滤,但是 ACL 是一种 stateless (无状态)的包过滤形式,这种方式并不安全。如果 ACL 配置的不恰当其实相当于允许所有数据通过,最典型的例子就是 ACL 中的 ACE 如果没有加 “fragment” 命令它其实会默认允许 non-initial fragments 通过。这样攻击方会很容易实现 Fragmentation Attack (属于 DOS 攻击的一种)。Cisco IOS 提供了另一种包过滤的方式 – Zone Base Firewall (ZBFW)。这种 ZBFW 是 stateful (有状态的)。在这里我们只对 ZBFW 的基础配置进行讨论,因为在实际生产环境中 IOS ZBFW 的用途不是很广泛,我们应该尽量部署专业的防火墙而不是依赖路由器上的 ACL 或者 ZBFW 来进行包过滤,他们只能作为一种应急方案使用。
Cisco ASA Clustering 配置案例
Cisco ASA Clustering 有两种模式:individual 和 spanned。individual 表示 cluster 中的每台 ASA 的每个接口都有一个独立的 IP 地址,spanned 表示整个 cluster 只有 Master Unit 才有 IP 地址,所有的接口以 EtherChannel 的形式存在。唯一的例外是 management-only 接口,我们可以在 spanned mode 下为 cluster 中的每台 ASA 配置一个独立的 IP 地址,这样方便管理。Cisco 推荐的模式为 spanned mode + individual MGMT IP。关于 clustering 理论的部分可以参考 《Cisco ASA Series CLI Configuration Guide, 9.0 – Chapter: Configuring a Cluster of ASAs》
测试平台:Cisco Adaptive Security Appliance Software Version 9.1(5)16
Cisco ASA HA Active/Active 配置案例
测试平台:Cisco Adaptive Security Appliance Software Version 9.1(5)16
物理拓扑
逻辑拓扑
Cisco ASA HA Active/Passive 配置方法二
测试平台:ASAv 9.9(2)
这里测试第二种配置方法,即将两个用于做 HA 的接口做成 redundant interface,然后在上面同时跑 Failover Control Link 和 Failover Stateful Link 的数据。
Cisco ASA HA Active/Passive 配置方法一
测试平台:ASAv 9.9(2)
Cisco ASA 在做 HA 的时候 ASA 之间需要两种连接,分别是 Failover Control Link 和 Stateful Link。我们可以用两条物理线缆一条配置成 Failover Control Link 另一条配置成 Stateful Link,也可以对两条线缆做一个 aggregation 再进行配置。这里测试第一种配置方法。
Cisco ASA Manual NAT – Dynamic NAT (Policy NAT)
知识点强化:
-
- Manual NAT 又称为 Twice NAT
- Manual NAT 一般应用于同时转换 Source 和 Destination
- Policy NAT 是通过 Manual NAT 来实现的
- Policy NAT 只是一个概念,即 NAT 是否执行是根据配置的 Policy 来决定
- Policy 是通过 Manual NAT 来配置
- Identity NAT 也在通过 Policy 来实现的
- Dynamic NAT 临时双向通信
-
只能从内向外发送数据包,当连接建立后可从外向内发送数据包
- 前提是 ACL 已允许双向通信
-
- ACL 使用真实 IP
- Proxy ARP 自动开启
