没有合适的资源?快使用搜索试试~ 我知道了~
资源推荐
资源详情
资源评论
本文来源:网络收集与整理|word 可编辑
HCSE-Security 培训总结
HCSE-Security 培训总结
H3CSE-Security 培训总结
8 月 28 日到 9 月 7 日期间,我参加了 H3C 公司举办的 H3CSE-Security
培训。H3C 公司现在有了独立的网络安全产品线,对这一方面产品的投入不
断增大,希望能在网络安全生品这一领域做成国内(品牌)第一。为配合产
品的销售推广,最近 H3C 针对处代理商及相关客户开办了一系列的 H3CSE 网
络安全培训。
本次培训共有十天,4 门课程包括有:《布置安全防火墙系统》、
《H3C 安全新产品新特性》《构建 VPN 网络》《高级 IPS 系统配置》。前 3
门为考试课程,IPS 系统只讲了半天的课程考试不做要求。培训分为讲课及
实验两部分,一般上午讲课为主,下午及晚上为实验及答疑时间。下面对各
门课程的内容做一下简要介绍。
一、布暑安全防火墙系统
防火墙的课程大概可以分为三个方面的内容
第一部分为对防火墙技术及网络安全做了一些概念性的介绍,指出了防
火墙的几项必备技术:网络隔离及访问控制、攻击防范、地址转换(NAT)
应用层状态检测(ASPF)、微分认证、内容安全过滤,安全管理。
第二部分介绍了 H3CSecPath 的防火墙系系列产品,主要对现有的产品
在业务性能及典型应用,做了相应介绍。
第三部分为这门课程的主机内容,主要讲了网络安全技术在 H3C 防火墙
产品上的实现。
1 / 31
本文来源:网络收集与整理|word 可编辑
防火墙的图形化管理系统:web 管理,BIMS 及 VPNManger 管理软件。
BIMS 软件实现了对大量防火墙设备的升级及配置文件管理,VPNManger 提供
了对 VPN 网络的监控及布置功能。
安全区域:把防火墙的端口加入不同的安全区域,实现对不同网络的隔
离接入。需要注意的一点是防火墙的所有端口(除 loopback 口)都要要加
入到相应的区域中,不然不能转发数据。
访问控制列表(ACL):4 种 ACL,基于接口的 ACL(1000-1999)、基
本防问控制列表(202*-2999)、高级防问控制列表(3000-3999)、基于
MAC 的访问控制列表(4000-4999)。需要注意的是,基于接口的 ACL 只能用
的防火墙接口的 outbound 方向;基于 MAC 的 ACL 只能用于透明模式及模合
模式的桥模式下。
包过滤技术:实现包过滤技术的核心技术是 ACL,主要讲了 ASPF 及黑
名单技术。ASPF 能够对双通道的应用层协议及 TCP/UDP 进行检测,从而实
现对数据流的单访问控制。黑名单是根据数据的源地址进行过滤的一种技
术,防火墙可以根据具体应用(主要指攻击防范)动态的添加及删除黑名
单,实现对网络的安全防护。
地址转换(NAT):地址转换可以实现对网络的单向访问,即保护了网
络的安全又解决了公有 IP 地址短缺的问题。H3C 可以实现的地址转换方式
主要有:多对多地址转换、网络地址端口转换(NAPT)、EasyIP(直接使用
接口上的公有 IP 转换)、NATServer(通过地址及端口映射实现外部对内部网
络的访问)
2 / 31
本文来源:网络收集与整理|word 可编辑
报文统计:H3C 主要提供了以下三种报文统计功能,系统统计、域统
计、IP 统计。报文统计的功能应该是通过报文统计,监控网络状况,根据
具体应用设置的安全阀值,来触发网络系统的安全防护措施。
攻击防范:本节内容介绍了常见的网络攻击行为及基本原理,并启用防
火墙的各项防范功能对网络进行安全防护。
网页过滤和邮件过滤:这一部分应该就是前面提到的防火墙技术中的内
容过滤。H3C 对 web 的访问可以对网页内容及网址(url)过滤,邮件可以
通过对邮件的内容、附件、主题、收件人地址进行过滤。需要注意的是:
1、要实现内容过滤必须先配置 ASPF 策略对 http 或 smtp 以及 tcp 进行检
测;2、配置完成后要记得把配置后的策略保存为一个文件;3、如防火墙重
新启动,需要调用保存的配置文件。
用户认证:分别对 AAA、RADIUS、HWTACASC 做了介绍及相关配置。在了
解以上几种协议的基础上,注意 RADIUS 和 HWTACASC 的一些区别。R 认证授
统一,H 分别进行;R 使用 UDP 传输,H 使用 TCP;R 对论证密码加密,H 对
全体报文加密;R 适用于记费,H 适用于安全控制。H 支持对网关上的配置
命令授权,R 不支持。
运行模式和双机备份:H3C 的 SecPath 防火墙,支持三种工作模式:路
由模式,透明模式,混合模式。路由模式布置防火墙需要对现有网络结构进
行修改,而透明模式可以直接把防火墙串到网络中而不修改网络结构。需要
注意的是防火墙在路由模式下的转发性能更强一些。双机热备:主要指的是
用 VRRP 技术实现防火墙设备的冗余备份。
二、构建安全 VPN 网络
3 / 31
本文来源:网络收集与整理|word 可编辑
VPN 课程也可以分为三部分。第一部分为 H3C 的 VPN 安全产品介绍,主
要讲了安全网关家族成员,业务特性及维护配置基础。第二部分为 VPN 技术
原理及相关的加密算法。第三部分为 H3C 设备的 VPN 业务实现。下面对技术
原理及业务实现做一下简要介绍。
VPN 定义:利用公共网络(比如:Internet、帧中继、ATM 等)来构建
的私有网络被称为 VPN(VirtualPrivateNetwork)。VPN 的安全性,是通过
一系列的安全协议及算法实现的。
VPN 的分类:按应用类型(对象)分为三类:AccessVPN(指远程流动员
工接入到公司网络)、IntranetVPN(指分枝机构与公司总部的网络连接)、
ExtranetVPN(指企业与合作伙伴间的网络连接);按实现层次可分为:二层
隧道 VPN(可以对数据的二层帧封装传递)、三层隧道 VPN(只对网络层的
数据包进行封培育传递)
加密算法:通过一系列的加密协议及算法保证数据在网络上的安全传
输,主要有安全需求有以下几方面:
私密性:通过加密实现,加密分为对称加密(密钥算法有:DES/3DES,
ASE,RC4)和非对称加密(密钥算法有:DH,RSA)
完整性:通过数据摘要(也叫 MAC:消息验证码)实现,主要为摘要算
法有 MD5、SHA1
身份验证:使用 x.509v3 证书和数据签名(对报文的摘要用私钥加密,
得到的结果被称为数据签名)。
PKI 体系结构:PKI 是一个签发证书、传播证书、使用证书的环境,保
证了公钥的可获得性、真实性、完整性。
4 / 31
本文来源:网络收集与整理|word 可编辑
L2TPVPN:L2TPVPN 是二层隧道 VPN,是 AccessVPN 的主要实现方式,也
被称为 VPDN。H3C 二层隧道 VPN 只支持 L2TP。L2TPVPN 有两种发起方式,基
于用户的和基于 NAS。需要注意的是 L2TPVPN 只能实现对用户的认证接入,
但不能实现对数据流的加密传输。
GREVPN:GREVPN 是一种三层 VPN 隧道协议、应用于 IntranetVPN 及
ExtranetVPN。GRE 是利用一种网络层协议对另一种网络层协议 B 的报文进
行封装,从而实现报文在异种网络中的传输。异种报文传输的通道称为
tunnel(隧道),Tunnel 是一个虚拟的点对点的连接,并在 tunnel 的两端分
别对数据进行封装及解封装。GRE 数据使用 47 号协议直接封装在 IP 层之
上,并且不能对数据进行加密。
IPsecVPN:IPSecVPN 是一种三层 VPN 实现机制,通过一系列安全协议
及加密算法保证私有网络数据在公共网络上传输的私有性、完整性、真实性
及反重放。IPsec 包括 AH(协议号 51)和 ESP(协议号 50)两个协议,并
有隧道(tunnel)及传送(transport)两种工作模式。通过配置可以实现
IPSec 的 NAT 穿越。
IKE(IntelnetKeyExchange):是 IPSEC 的信令协议,为 IPSec 提供了
自动协商交你密钥、建立安全联盟的服务。IKE 可以在不安全的网络上安全
的分发密钥,验证身份建立 IPSEC 安全联盟。IKE 协商分两个阶段:先建立
IKESA,再在 IKESA 的保护下完成 IPSec 协商。
DVPN(动态 VPN):DVPN 是华为的专利技术,使用 C/S 结构(其中一台
DVPN 接入设备做为 Server,其它 DVPN 接入设备做为 Client)实现了不同
分支机构间 VPN 的动态建立。Client 向 Server 注册信息。报文使用 UDP 封
装,以保证 NAT 穿越。
5 / 31
剩余30页未读,继续阅读
资源评论
优质网络系统领域创作者
- 粉丝: 2974
- 资源: 2408
下载权益
C知道特权
VIP文章
课程特权
开通VIP
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功