安全防御第四次作业_总结

一、根据以下问题总结当天内容
1.什么是数据认证，有什么作用，有哪些实现的技术手段？

数字认证证书它是以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的安全性、完整性。 使用了数字证书，即使您发送的信息在网上被他人截获，甚至您丢失了个人的账户、密码等信息，仍可以保证您的账户、资金安全。 简单来说就是保障你的在网上交易的安全。

证书实际是由证书签证机关（CA）签发的对用户的公钥的认证。

证书的内容包括：电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等等。目前，证书的格式和验证方法普遍遵循X.509 国际标准。

2.什么是身份认证，有什么作用，有哪些实现的技术手段？

身份验证又称“验证”、“鉴权”，是指通过一定的手段，完成对用户身份的确认。身份验证的方法有很多，基本上可分为：基于共享密钥的身份验证、基于生物学特征的身份验证和基于公开密钥加密算法的身份验证

身份验证的方法有很多，基本上可分为：基于共享密钥的身份验证、基于生物学特征的身份验证和基于公钥加密解密算法的身份验证。不同的身份验证方法，安全性也各有高低

3.什么VPN技术？

虚拟专用网络(Virtual Private Network，VPN)是专用网络的延伸，它包含了类似Internet的共享或公共网络链接。通过VPN可以以模拟点对点专用链接的方式通过共享或公共网络在两台计算机之间发送数据。

4.VPN技术有哪些分类？

隧道技术

加解密技术

数据认证技术

身份认证技术

密钥管理传输技术

5.IPSEC技术能够提供哪些安全服务？

机密性

完整性

数据源鉴别

重传保护

不可否认行

6.IPSEC的技术架构是什么？

ipsec 有两个安全封装协议

ESP

加密算法

鉴别算法

机密性 完整性 可用性

AH

鉴别算法

完整性 可用性 密钥管理与分发协议

IKE internet key exchange

 

7.AH与ESP封装的异同？

AH（Authentication Header）是验证头部协议，ESP（Encapsulating Security Payload）是封装安全载荷协议，从名字上来看AH主要用于验证IP头部，ESP主要用于加密

AH 不提供加密服务，而 ESP 提供加密服务。

它们验证的范围不同，ESP 不验证 IP 报头，而 AH 验证 IP 报头，所以往往需要结合使用 AH 和 ESP 才能保证 IP 报头的机密性和完整性（如上图所示）；AH 为 IP 报头提供尽可能多的验证保护，验证失败的包将被丢弃，不交给上层协议解密，这种操作模式可以减少拒绝服务攻击成功的机会。

8.IKE的作用是什么？

协商封装协议以及工作模式 esp ah

协商加密和鉴别算法

密钥参数的协商 --- 密钥产生算法、密钥有效期、密钥分发者身份认证、密钥长度、认证算法

为ipsec通信双方，动态的建立安全联盟SA，对SA进行管理与维护。为ipsec生成密钥，提供AH/ESP加解密和验证使用

9.详细说明IKE的工作原理？

IKE 经过俩个阶段为 ipsec 进行密钥协商病建立安全联盟：

第一个阶段 ：通信各方彼此之间需要建立一个已通过身份验证和安全保护的通道，交换建立一个 iskmp 安全联盟，iskmp sa 。

第二个阶段： 用已经建立的安全联盟 iskmp sa(ike sa) 的安全通道为 ipsec 协商安全服务，建立 ipsec sa，产生用于业务数据加密的密钥。

10.IKE第一阶段有哪些模式？有什么区别，使用场景是什么？

主模式和野蛮模式

主模式

 野蛮模式

 

11.ipsec在NAT环境下会遇到什么问题？

NAT会破坏IPSEC的完整性。

具体场景：当我们ipsec设备没有部署在企业边界，而是部署企业内网时，ipsec的通信地址会被边界 NAT设备做地址转换，这种情况下，需要考虑NAT与IPSEC的兼容性。

12.详细分析NAT环境下IPSEC的兼容问题

我们需要详细分析IPSEC在第一阶段、第二阶段与NAT具体兼容情况：

第一阶段的主模式

第一阶段的野蛮模式

第二阶段ESP的传输模式

第二阶段ESP的隧道模式

第二阶段AH的传输模式

第二阶段AH的隧道模式

分析结果：

第一阶段的主模式：第5、6包的认证ID，由于NAT的破坏无法完成身份认证。

第一阶段的野蛮模式：由于ID可以自定义为字符串，NAT无法破坏，可以正常完成第一阶段身份认证。

第二阶段AH的传输模式与隧道模式：AH协议会校验外层IP地址，无论是传输还是隧道NAT都会转换外层头IP地址，所以完整性都会被破坏，AH协议无法与NAT兼容。

第二阶段ESP的隧道模式与传输模式：ESP不会对外层IP做认证或校验，所以完整性算法不会被NAT破坏，但是由于存在尾首部校验，传输模式也被破坏（nat在修改IP地址的时候也要修改伪首部校验和，这样就不会出现伪首部校验失败的问题，但是ESP等加密封装把4层加密后nat就无法修改伪首部校验和，导致校验失败）。

结论：综上所述ipsec的AH协议不支持NAT，ESP仅有隧道模式支持，传输模式不支持NAT，并且标准的IKE SA的主模式是用IP地址作为身份ID的，nat会破坏IP地址故而不支持主模式，仅支持野蛮模式。       野蛮模式+ESP的隧道模式

13.多VPN的NAT环境下ipsec会有哪些问题？如何解决？

NAT 环境下 IPSEC 最终解决方案： NAT-T 技术 , 改技术规定在 NAT 模式下 IPSEC 的 IKE SA 阶段使用目的端 口 UDP 500 或 4500 作为端口号，源端口允许被修改（这种情况下防火墙写策略时不要规定其源端口 号）， IPSEC SA 数据加密流传输阶段规定使用目的端口 UDP 4500 来传输 ESP 加密流，源端口允许被修 改，解决了 ESP 没有端口号的问题。

14.描述NHRP的第三阶段工作原理？

NHRP（Next Hop Resolution Protocol）是一种用于实现动态虚拟专用网（DMVPN）的协议。NHRP协议的第三阶段主要涉及到动态隧道的建立，其工作过程如下：

Spoke节点发送NHRP注册请求消息到Hub节点，请求建立动态IPsec隧道。该消息包括Spoke节点的IP地址和需要与之通信的目标地址。

Hub节点收到NHRP注册请求消息后，检查目标地址是否已经存在于NHRP缓存中。如果目标地址已经存在于缓存中，则Hub节点向Spoke节点发送NHRP响应消息，告知Spoke节点可以直接与目标地址通信。

如果目标地址不存在于NHRP缓存中，则Hub节点将NHRP请求消息转发给其他Spoke节点，请求获取目标地址的动态映射信息。

其他Spoke节点收到NHRP请求消息后，查询本地的路由表，找到下一跳路由器的IP地址，并将其发送回Hub节点。

Hub节点收到其他Spoke节点返回的下一跳路由器IP地址后，将NHRP响应消息发送给Spoke节点，告知Spoke节点可以通过该下一跳路由器建立动态IPsec隧道。

Spoke节点收到NHRP响应消息后，根据响应消息中提供的下一跳路由器IP地址，向该路由器发送IPsec数据包，建立动态IPsec隧道。

Spoke节点将与目标地址的通信流量通过动态IPsec隧道发送到下一跳路由器。

15.IPSEC是否支持动态协议？为什么？

     ipsec不支持动态协议，因为ipsec自始至终都没有创建该协议所需要的接口；并不想GRE协议，需要创建Tunnel口，并且配置IP。

16.DSVPN的工作原理及配置步骤？

DSVPN的工作原理主要涉及到MGRE和IPsec VPN的传输模式

配置步骤：

1. 配置MGRE，在中心站点开启重定向功能；
2. 配置ipsec