>
快捷搜索:

基于PowerPC和嵌入式Linux的VPN网关设计,打造全新

- 编辑:betway必威亚洲官网 -

基于PowerPC和嵌入式Linux的VPN网关设计,打造全新

要保证汽车与云端服务器通信的安全,需要多种技术的整合。对于频繁访问、接入不同网络的汽车来说,可能单一的安全工具并不够。这也意味着,通过VPN建立安全的点对点信道、用户身份验证以及通信数据包的编码加密对汽车联网安全都是至关重要的。

引言

一,交换机数据层面安全

由伟世通和思科合作研发的OASIS概念盒子使得人们在享受车联网技术带来的便利同时,还能够保证汽车与云端服务器进行数据通讯时的安全。OASIS每个缩略首字母表示:O: Optimized,优化的;A:Adaptable,可适配的;S:Secure,安全的;I: Intelligent,智能的;S:Seamless,无缝的。

因特网的迅速普及为企事业、政府、金融机构等部门提供了更为迅捷经济的通信方式,提高了他们的工作和管理效率;但另一方面,日益不安全的网络环境却严重威胁到这些用户的利益。如何保证公网上传输数据的安全,已成为一个迫切需要解决的问题。为此,需开发一种由VPN(Virtual Private Network,简称VPN )安全网关、VPN 客户端和VPN安全管理中心三部份组成的VPN安全系统。

1.1部分Private VLAN介绍

betway必威登录 1

点击这里下载基于PowerPC和嵌入式Linux的VPN网关设计 PDF版

pvlan:Private VLAN专用虚拟局域网

用户配置文件的目的是为了改变一辆汽车的运行参数,它包含了有关汽车和用户身份的私人数据。如果这类配置文件可以从云端获得,那么验证文件来源的过程中将增加额外的保护措施,防止该配置文件被身份不明的第三方篡改。

目前,国内大部分VPN 网关在硬件平台上使用基于x86 CPU的商用工控机主板。由于商用工控机是为一般的工业控制而设计的,作为VPN网关使用时,存在功能冗余、成本及可靠性难于控制等问题。因此,有必要自己设计一款性价比较高的硬件平台供VPN网关使用。Motorola通信处理器PowerPC在通信业中使用广泛,并具有良好的性价比,可以满足VPN安全网关的设计需要。另外,安全产品涉及一个国家的主权和敏感的安全信息,作为保证安全极为重要的操作系统和加密算法应该完全为自己掌握。因此,采用具有自主知识产权的操作系统和加密算法尤为重要。而L inux操作系统源代码的开放性及其在网络产品中的优异表现,使得我们可以用其构建具有自主知识产权的VPN安全网关。

主vlan(Primary VLAN)

OASIS概念装置包含了一个网关盒,本质上是一种专供汽车使用的,经过大幅度改造过的路由器。该网关可以充当防火墙的角色,将汽车与云端服务器以及汽车与可接入电子设备的信道与汽车内部网络分隔开来。

VPN概念

辅助vlan(Secondary VLAN)

个人网络和安全技术使OASIS现在能够实现多样的工业化应用,但倘若要在汽车上全面布局的话,恐怕还得先解决一些工程难题。这些难题包括如何将个人网络的功能和相关安全技术整合到适用于汽车的软件客户端里,而这样的客户端还必须能在车上的通信网关中使用。

什么是VPN

团体VLAN(community VLAN)

客户端和与其对应的网络后台之间的互通性对于VPN终端、认证、加密、密钥管理、异态检测和防卫外界威胁是必要的。同时对目前思科参考网络和数据中心后台结构的可扩展性(比如支持同时发生的数百万VPN通信协议)进行检验和测试,也是必不可少的。

VPN即虚拟专用网,是通过一定的安全机制在公用的网络如因特网中建立起与公网相对独立和封闭的信息通道,以保护企业各子网之间、子网和移动用户之间、移动用户和服务器之间的通信数据的安全。VPN利用公网的资源,让用户拥有同专网相同的安全性,并享受因特网带来的经济实惠和方便迅捷。

隔离VLAN(isolated VLAN)

尽管保障汽车与云端服务器的通信安全是OASIS概念装置的主要功用,但其他一些功能我们可以通过OASIS每个字母的缩略词来了解。

VPN如何保护通信安全

端口分:

  1. OPTIMIZED-优化的

不同类型的VPN所采用的协议不同,使用的安全机制也不同。关于VPN的协议比较多,但目前最完善的、安全性最高的应属IPSec协议。它可使用CA 数字证书来实现通信双方的身份认证;使用对称加密算法来对数据进行加密,保证数据的安全性;使用单向散列函数对数据计算摘要,并对摘要进行加密来保证数据的完整性。此外,VPN节点之间通信,不可能每次都手工配置密钥,手工方式既不安全也不方便,可以采用因特网自动密钥交换协议来进行密钥的协商,设置每次会话密钥的生命期,在快要结束生命期时,自动协商下一个会话密钥。

团体端口Community port

OASIS网络连接的优化是通过外置无线网络、嵌入式调制解调器、具有蓝牙功能的手机及其它数据通道来实现的。而思科负责车联网安全的部门想要依照现在用户数据的使用量和使用数据的通道情况,来进行设备的优化。

当企业虚拟专网建立时,需要在各个子网的出口配置安全网关。安全网关负责对流出数据进行加密和计算校验和,对进入数据进行检验和解密,并实施访问控制。VPN安全网关在其中具有举足轻重的作用。比如,当一台主机与另外一台主机通信时,会首先启动IKE (自动密钥协商)进程协商各种工作参数,包括加密算法、验证算法、密钥长度、密钥值等,并进行双向的身份认证,所有这些成为一个安全关联( Security Association) 。

隔离端口Isolated port

  1. ADAPTABLE-可适配的

VPN的使用

混杂端口Promiscuous port

OASIS这个小装置在云端服务器上还能够创建和保存可适配驾驶员的文件。车载系统通常都会联网,但仅仅靠着这种内部网络的连接,大量的驾驶参数就可以私人定制。当你按下汽车的启停按钮时,系统会读取你的身份信息,并随后下载适合数字仪表盘、中控台、座椅和其它车厢设置的预选数据。而预先载入的可适配驾驶员的文件即使对Zipcar以及其它汽车共享软件来说也是至关重要的。”

VPN安全网关与VPN Client软件配合使用,通过灵活配置隧道策略,不仅可以解决通信的安全问题,还可以解决用户对公司总部网络的访问授权问题。图1 是一个VPN安全系统的典型网络拓扑图。

Private VLAN介绍

  1. INTELLIGENT-智能的

当网关与网关相连时,通过VPN管理中心或终端方式为需要相互通信的两台网关间配置对应的隧道,位于两台私口后的主机就能通过加密隧道进行通信,防止数据被丢失、篡改并保证数据的完整。

PVLANs允许你提供一个VLAN内通过访问控制来限制连接:

信息的智能化处理能够用来提高服务质量。例如,人机互动的信息可以为汽车制造商做用户分析所用。当驾驶员使用音频系统时,是否还会使用方向盘控制、中控按钮、触摸屏和语言控制功能呢?这些数据对汽车厂商提高用户体验十分关键。

VPN安全网关设计方案概述

一个VLAN可以分为多个逻辑部分(次要vlan),它具有特定连接需求。

“当操作导航系统时,要使用哪种控制方式?一个人实用屏幕的时间是多少秒?因为如果有人盯着屏幕10秒以上,也许是屏幕太混乱或是屏幕上有太多信息。当我们搜集到用户的这类信息时候,就可以实现双向通联,而不是单一被动地接受信息。”

VPN系统体系结构

次要VLAN可以创建主机组或隔  离单个主机,并仍然为离开VLAN,提供三层路由。

通过收集真实的数据,我们可以考虑怎么后续改进人机互动的功能。例如,如果一个司机只使用声控操作两到三个功能,而针对这些功能的描述,车载系统只能接受有限的词汇指令,而通过逐步的升级,汽车制造商就有可能决定是否扩展操作这些功能的可用词汇表。

VPN的主要作用是采用加密、认证和网络技术在公共互联网上构建相互信任方之间的安全加密信息传输通道,以期达到专用网络的效果。VPN网关在其中将发挥非常重要的核心作用。

PVLAN边界

  1. SEAMLESS-无缝的

由图1可知,VPN网关工作在本地局域网及与其通信的远程局域网的网关位置,具有加密和认证功能。相互信任的局域网间进行通信时,仍然使用互联网作为中间信道。但是,通过VPN网关的加密功能确保信息在不安全的互联网上流通时是密文形式。这样,即便信息被截取,也无法偷窥或篡改其内容,保证通过互联网连接的局域网间通信的安全性、机密性、可认证性和完整性等安全性能。

PVLAN边界也被称为被保护的端口

数据通道间的无缝切换也是OASIS装置功能的一部分。“比如说,当你下了车,回到家里的时候,你可以使用WiFi来下载。而当你离开WiFi的信号覆盖范围之后,系统能够马上无缝切换到其它的数据通道。

VPN安全网关的设计目标

1.Protected Ports技术只在本地交换机配置了这个特性的 接口上生效。

OASIS的概念设备是伟世通在位于密歇根州范布伦镇,占地面积7632平方英尺的新创新中心内展示的第一批概念产品之一。该中心包含了一个产品陈列室·、会议区、设计室和实验室。

(1) 完整实现IPSec协议簇,完全支持VPN的要求。

2.在相同的交换机上,被保护的端口不能转发流量到其他 的被保护端口。

据伟世通全球创新、设计、和研发部门的主管Tim Yerdon表示,这个创新中心并不是‘我们创造今天的地方’,更多的是‘我们创造未来的地方。”

betway必威登录 2

3.为了让流量在两个被保护端口之间交换,流量必须穿越 一个3层设备。

betway必威登录 3

1.2部分DHCP防护技术

DHCP介绍

DHCP是一种常见的和有用的局域网协议。 在一个网络设备,都会支持它。打印机、IP电话、笔记本电脑和路由器都可以使用DHCP动态获取IP地址。DHCP已成为许多现代局域网技术。

DHCP包交换

DHCP端口号 :DHCP客户听用户数据报协议(UDP)端口68,而DHCP服务器听UDP端口67。

DHCP Snooping (DHCP监听)

1.使用DHCP snooping,管理员可以指派交换机的端口为信任或非信任端口。

信任端口可以转发DHCP的请求和确认

非信任端口只能转发DHCP请求

  1. DHCP snooping功能在交换机上被激活后,以构建一个表项,这个表项映射:客户端MAC地址,IP地址,VLAN以及端口ID的对应关系。

配置DHCP Snooping步骤

1.在交换机上全局激活DHCP snooping特性

2.指定一个持久的DHCP snooping绑定数据库的 位置

3.把连接合法DHCP服务器的端口配置为Trust信任

4.指定所有其他的端口(包括静态地址的主机) 为非信任端口

5.其他非信任的端口上配置DHCP限速(和端口安 全)----可选配置

6.在特定的VLAN中开启DHCP snooping

1.3部分DAI技术(Dynamic  ARP Inspection)动 态A R P检 测ARP欺骗— 中间人攻击

ARP监控

1.使用ARP监控,管理员可以指定交换机的 端口为信任和非信任端口:

信任端口可以转发任何ARP信息

非信任端口的ARP消息要进行ARP检测验证

2.交换机执行如下的ARP验证:

为一个静态的IP地址配置一个静态ARP访问  控制列表(静态ARP监控功能)

为DHCP指派的IP地址引用DHCP snooping绑定数据库(动态ARP监控功能)

配置ARP监控步骤

1.如果使用DHCP,确认DHCP Snooping技术已经被激活,并且已经完全填充数据库

2.指定某端口为受信任的端口,也就是接受这个接口上的ARP欺骗威胁。(可选)

3.指定其他端口为非信任的端口。

4.在每一个端口上调整ARP限速。(可选)

5.配置一个ARP访问控制列表,静态映射IP到MAC。(可 选)

6.调整error-disable行为。

7.在特定VLAN中启用ARP snooping功能。

1.4部分IP Source Guard(Ip来源保护  )

IP Source Guard介绍

1.能够基于IP或(IP和MAC)过滤流量,有效抵御IP和MAC地址欺骗攻击。

2.需要基于DHCP snooping绑定表或手动配置的IP Source绑定表过滤流量。

3.需要在激活DHCP Snooping的untrust接口上配置IP source guard。

4.一旦激活IP Source guard所有IP流量都被阻止,只允DHCPSnooping允许的DHCP流量。

5.一个Port ACL会被运用到这个端口,放行绑定表指定的源IP和源MAC,阻止其它流量。

IP Source Guard功能

配置IP Source Guard步骤

1.如果使用DHCP,检验DHCP snooping是激活的,并且已经完全填充了数据库

2.在启用DHCP snooping的端口上激活IP源防护功能

3.在连接静态配置地址的主机端口上配置一个静态的IP source guard的映射或PACLs。

二,交换安全概述

恶意接入点

流氓网络设备可以是:

无线集线器

无线路由器

接入交换机

集线器

这些设备通常连接在接入层交换机

交换机攻击类别

MAC layer attacks---MAC层攻击 (MAC地址泛洪攻击 )

VLAN attacks----vlan攻击

Spoofing attacks----欺骗攻击

Attacks on switch devices ----交换设备攻击

Port Security端口安全

Port security restricts port access by MAC address.

(端口安全限制端口访问MAC地址)

betway必威登录,MAC地址的粘贴

Sticky MAC stores dynamically learned MAC addresses

(粘粘的动态学习MAC地址)

基于802.1x的验证

Network access through switch requires authentication.

(通过交换机的网络访问需要验证)

2层安全措施必须作为整体网络安全计划的一个子集。

恶意接入网络可能破坏安全。

交换攻击分为四大类。

MAC泛滥的攻击是针对2层接入交换机,可以溢出存储。

端口安全可以配置在2层,以阻止设备的输入。

在一个交换机上配置端口安全性是很容易的。

粘性的访问允许端口安全限制访问一个特定的,动态地学习到的mac地址。

应配置多层交换机以支持安全。

AAA可用于多层交换机的认证。

802.1x基于端口的认证可以减轻流氓设备未经授权访问的风险。

三,STP安全机制

STP的应用保护

保护开关在portfast端口添加。

BPDU保护关闭端口下

BPDU过滤指定要在收到

防止STP环路转发

比较环路守卫和UDLD

Loop Guard

UDLD配置

Per port每个端口

Action granularity作用粒度

Per VLAN每个vlan

Per Port每个端口

Autorecovery自动恢复

BPDU保护和BPDU过滤保护运行STP对portfast配置端口。

当BPDU保护配置在全局内,它影响到所有portfast配置端口。

BPDU保护可配置端口,甚至那些端口没有配置portfast。

BPDU过滤可以配置全局或每端口。

根交换机不能当选通过BPDU收到一根保护配置的端口。

根防护可以使用各种命令进行配置和验证。

UDLD检测和禁用单向连接的接口,保护网络免受异常STP条件。

环路检测和禁用与2层单向连接的接口,保护网络免受异常STP条件。

UDLD和环路保护配置和使用特定的命令进行验证。

对普通和环路保护实施保护生成树操作被中断由于单向链接。

四,802.1x验证

基于标识别的网络服务

特点和好处:

智能适应性为分层用户提供更大的灵活性和移动性认证,访问控制和用户策略的组合,以确保网络连接和资源,用户生产率的提高和降低运营成本

802.1x特性

Feature(特征)

Feature(特征)

802.1x Authenticator Support

(802.1x认证支持)可以在工作站和适当的政策应用的客户端组件之间的相互作用。

MAC Address Authentication

(MAC地址认证)添加设备如IP电话,目前不包括802.1x客户端支持

Default Authorization Policy

(默认认证政策)对于未经身份验证的设备,基本的网络服务许可证

Multiple DHCP Pools

(多台DHCP池)通过身份验证的用户可分配的IP地址从一个不同的IP范围比未经身份验证的用户,使网络交通政策应用的地址范围

支持的拓扑类型

基于802.1X端口认证是两种拓扑结构的支持:

点对点

无线局域网

选择恰当的EAP

EAP---可扩展认证协议

提供额外的身份验证功能

一种用于携带任意身份验证信息的灵活的协议。

通常在另一个协议的上面如802.1x或半径。(可能是TACACS ,等)

在RFC 2284中指定的

支持多个“身份验证”类型:

EAP-MD5:普通的密码哈希(CHAP在EAP)

EAP-TLS(基于X.509证书)

LEAP(EAP Cisco无线)

PEAP(受保护的EAP)

EAP的选择

EAP:

– EAP-MD5

– EAP-TLS

– LEAP

– PEAP

– EAP-FAST

思科的LEAP

Lightweight Extensible Authentication Protocol(轻量级可扩展身份验证协议)

来自每个用户,每个会话密钥

对IEEE802.11b有线等效保密(WEP)增强加密

“相互认证”,用户和美联社需要进行身份验证

RFC 2716

用于TLS握手(rfc2246)

需要PKI证书(X.509)而不是用户名/密码

“相互认证”

要求客户端和服务器证书

证书管理是复杂和昂贵的

PEAP(Protected Extensible Authentication Protocol, 保护可扩展认证协议)

思科互联网草案,微软与RSA

增强EAP-TLS

仅需服务器证书

“相互认证”

用户名/密码的挑战在TLS通道

微软和思科

基于端口的网络接入工作如何进行?

交换机检测802.1x兼容的客户端,认证,然后作为一个中间人的身份认证,认证成功后的交换机设置端口转发,并将指定的政策。

ACS Deployment in a Small LAN(ACS部署在一个小局域网)

ACS Deployment in a Global Network(ACS部署在全局网络)

Summary总结

基于网络服务的思科身份(IBNS)将几个思科产品提供认证、访问控制、用户的政策来确保网络的连通性和资源。

好处包括:

智能适应性

身份验证、访问控制和用户策略的组合

用户生产率的提高和降低运营成本

思科IBNS方案基于标准半径和802.1x的实现。

802.1X是一个标准化的框架,由IEEE定义的,旨在提供基于端口的网络访问。

可扩展身份验证协议(EAP),基于IETF 802.1X是一个端到端的框架,允许创建认证类型不改变AAA客户端配置

802.1x的角色:

恳求

验证器

认证服务器

认证过程由可扩展认证协议(EAP)信息交流。

802.1x支持两种拓扑结构

点对点

无线局域网

交换机端口状态决定是否授予客户端访问网络的权限。

利用dot1x端口控制接口配置命令你控制端口的授权状态。

EAP支持多种认证”等类型:

EAP-MD5:普通的密码哈希(chap在EAP)

EAP-TLS(基于X.509证书)

LEAP(EAP Cisco无线)

PEAP(受保护的EAP)

在一个Cisco Catalyst交换机环境认证两种选择是EAP消息摘要5(MD5)和EAP-TLS。

在一个更大的网络,地理上分散的、速度、冗余和可靠性是很重要的,在决定是否使用一个集中的Cisco Secure ACS服务或 多个地理上分散的Cisco Secure ACS单元。

在RFC 2284中指定的EAP

802.1x端口认证服务称为水平。

4.2配置802.1x基于端口的认证

802.1x基于端口的认证的配置

启用802.1x认证(需要)

配置切换到Switch-to-RADIUS-Server(要求)

启用定期重新认证(可选)

手动重新认证客户端连接到一个端口(可选)

重置802.1x配置为默认值(可选)

改变安静时期(可选)

改变切换到客户端的重传时间(可选)

设置切换到客户端帧重传号(可选)

启用多主机(可选)

重置802.1x配置为默认值(可选)

Summary总结

当802.1x端口认证前启用,其他2层功能已启用。

802.1x协议不支持某些端口类型如树干,等。

允许基于802.1X端口认证,您必须启用AAA和指定的身份验证方法列表 。

一个方法列表描述了要对用户进行身份验证的顺序和身份验证方法。

如果在这个周期中的任何一个点上的认证失败,验证过程停止,并且没有其他的验证方法被尝试。

您可以创建一个默认的列表,这是使用时,一个名为名单没有指定。

半径的安全服务器的主机名或IP地址标识的主机的名字,和特定的UDP端口号,或IP地址和特定的UDP端口号。

RADIUS host以其配置的顺序进行尝试。

关键是一个字符串,必须匹配的加密密钥,用于在RADIUS erver

您还需要在RADIUS server.上配置一些设置。

如果在启用重新验证之前不指定时间段,则重新验证尝试的时间是3600。

你可以在任何时候手动重新验证客户端连接到一个特定的端口。

您可以将多个主机的一个802.1x-enabled端口。

五,思科ACS服务器的部署

ACS服务器的应用

网络设备提供AAA服务功能为AAA的客户,如routers, NASs, PIX    Firewalls, or VPN Concentrators

有助于集中访问控制和核算,除了路由器和交换机的接入管理

允许网络管理员快速管理帐户,并在全局范围内更改用户的服务水平

虽然外部用户数据库的使用是可选的,Cisco Secure ACS的Windows服务器支持许多流行的用户库的实现

使用TACACS (终端访问控制器访问控制系统)和RADIUS(远程身份验证拨入用户服务)协议提供AAA服务,确保一个安全的环境

可以对许多流行的令牌服务器进行身份验证

思科安全ACS服务器:通用特性PAP,CHAP,TACACS ,MS-CHAP

Cisco Secure ACS for  NAS,RADIUS,Windows Server

使用TACACS 或RADIUS的Cisco Secure ACS和NAS

允许验证Windows 2003的用户数据库,ACS的用户数据库,令牌服务器或其他外部数据库

支持PAP、CHAP、MS-CHAP认证和NAS

思科安全ACS服务器: AAA特性

TACACS 支持:

访问列表(名称或编号)

控制时间一天一周的访问

启用特权支持级别

RADIUS支持:

IETF的RADIUS

思科AV双RADIUS

专有的RADIUS扩展

单TACACS 或RADIUS数据库同时支持

TACACS /RADIUS比较

TACACS

RADIUS

功能

分离AAA

结合认证和授权

传输协议

TCP

UDP

CHAP

双向

单向

协议支持

多协议支持NetBEUI

No ARA,no

保密

整包加密

密码加密

合计

有限

广泛

验证和用户数据库

Windows NT/2003 User Database

通用LDAP

NDS

ODBC-兼容的关系数据库

令牌服务器的密码卡

safeword令牌服务器

axent令牌服务器

secureid RSA令牌服务器

activcard令牌服务器

该令牌服务器密码

思科安全ACS支持许多常见的密码协议:

ASCII/PAP

CHAP

MS-CHAP

LEAP

EAP-CHAP

EAP-TLS

ARAP

思科安全ACS服务器:管理员特性 :

– 浏览器界面可以方便管理

– 允许远程管理

– 每个管理员定义不同的权限

– 日志管理活动的能力

– 查看用户登录列表的能力

–CSMonitor服务,提供监测、通知、记录、和有限的自动故障响应

– 导入大量用户的csutil.exe命令行的能力

– 一个关系数据库管理系统的ciscosecure用户数据库(RDBMS)同步

对ciscosecure用户数据库组件其他思科 安全ACS服务器复制

– 恢复思科 安全ACS配置,用户账户的能力,并从备份文件组简介

ACS服务器主要特点

–Cisco NAC支持

–EAP通过安全隧道的灵活验证(快速)的无线认证支持

– 可下载的IP

– 证书撤销列表(CRL)的比较

– 机器访问限制(可)

– 网络访问过滤(NaF)

–在Cisco Secure ACS解决发动机思科安全代理的集成

– 复制增强

ACS服务器分布式系统的特点

– 借助于连接失败

– 远程和集中记录

– 代理

–ciscosecure数据库复制

思科安全ACS服务器:数据库特性

Primary– 数据库复制

Cisco Secure– 数据库同步

ACS for Windows  NAS–ODBC导入

思科安全ACS服务器架构

提供多个Cisco设备认证的ACS包括几个模块化windows2003服务,在一台服务器上运行行政服务,认证服务,授权服务,同步服务,监控服务

思科安全的ACS的服务

–csadmin提供HTML界面,思科ACS管理安全。

–csauth提供认证服务。

–csdbsync提供的ciscosecure用户数据库同步与外部数据库的应 用。

–cslog提供测井服务,既为会计和系统的活动。

–csmon提供监视、记录、和思科 通知Secure ACS的性能,包括某些情况下自动响应。

–cstacacs提供TACACS AAA客户端和服务之间的通信csauth。

–csradius提供RADIUS AAA客户端和服务之间的通信csauth。

思科安全ACS服务器工作:使用ACS数据库

思科安全ACS Windows服务器:使用的数据库服务器

思科安全ACS服务器:支持令牌卡

– 服务器端的RSA SecurID令牌

– 基于令牌的RADIUS服务器,包括:

–activcard令牌服务器

– 令牌服务器密码认证卡

–safeword令牌服务器

–RADIUS服务器通用的令牌

Cisco Secure ACS的Windows服务器具有以下特点:

它运行在Windows 200x服务器一组服务。

它使用TACACS 或RADIUS认证。

思科NAS,PIX防火墙,VPN集中器,或路由器可以验证Cisco Secure  ACS的Windows服务器。

它可以在Windows 2003 Server用户数据库使用的用户名和密码,Cisco Secure ACS用户数据库、LDAP、令牌服务器,或NDS。

安装与其他Windows应用程序(正版)。

管理通过网络浏览器完成。

它支持分布式ACS系统。

与AAA的远程安全服务器,该服务器执行AAA,更加易于管理。

TACACS ,RADIUS,和Kerberos安全服务器支持的协议由思科。

Cisco Secure ACS的Windows服务器:安装概述

–任务1:配置Windows 2000 Server系统。

–任务2:验证连接Windows 2000 Server系统和Cisco路由器。

–任务3:安装Cisco Secure ACS在Windows 2000 Server系统的Windows服务器。

–任务4:最初配置Cisco Secure ACS的Windows服务器通过Web浏览器。

–任务5:配置路由器为AAA。

–任务6:验证正确的安装和操作。

Cisco Secure ACS的Windows服务器管理

Cisco Secure ACS的Windows服务器:故障 排除

– 使用失败的尝试报告,报告和活动为出发点。

– 提供了一个有价值的故障排除信息来源。

RADIUS背景

RADIUS是由利文斯顿企业发展,现在朗讯的一部分。

它包含:

一帧格式,使用UDP协议

服务器

客户端

Summary

-安装你想安装Cisco Secure ACS和网络上的客户端计算机的具 体信息需要AAA。

– 如果你想Cisco Secure ACS认证用户的Windows域用户数据库,您必须执行额外的Windows配置。

– 初始配置是通过网络接口完成的。

– 你应该检查ACS服务器和客户端之间的连接AAA。

– 故障排除工具包括调试TACACS 的命令。

– 失败的尝试报告是用来解决问题的访问。

–TACACS 和RADIUS支持Cisco Secure ACS。

六,IOS防火墙

第一部分Cisco IOS Classic Firewall

配置IP ACL

1.(可选)放行内部合法流量访问外部非信任网络。

a. outbound方向。

b.可以配置在内部接口in方向,也可以配置在外部接口out方向。

c.注意:先检查ACL后检查监控策略,如果ACL没有放行,也就没有必要监控。

2.(必须)阻止源至于非信任网络的流量

a.至少要deny返回流量。

b.建议deny ip any any。

c.应该放行非信任网络访问内部互联网服务器的流量。

e.建议在外部接口in方向运用。

定义inspection rules(监控策略)

1,配置全局超时时间和阙值

2,配置普通TCP和UDP监控

3,配置运用层协议监控

4,配置JAVA过滤

5,配置IP分片防御

监控普通的TCP和UDP

IP检查名称iosfw警报关闭TCP超时1800跟踪审计

IP检查名称iosfw UDP警报关闭超时10跟踪审计

监控了TCP和UDP,单一信道的TCP和UDP协议就能够正常工作。

例如:telnet,smtp,dns等等。

监控特殊运用层协议

IP检查名称iosfw SMTP警报关闭超时300跟踪审计

IP检查名称iosfw FTP警报关闭超时300跟踪审计

1.如果只是希望单一信道的普通TCP/UDP协议能够穿越防火墙,而不希望对协议进行限制和过滤,只需监控TCP/UDP足以。

2.监控特殊运用层协议的前提如下:

a.保障协议正常工作(例如:FTP,H.323等等)

b.协议安全防护与过滤(例如:SMTP,HTTP,IM等等)

3.特殊协议监控策略所配置的alert, audit-trail, timeout优先于全局设置。

配置IP分片防御策略

1.默认IOS FW不对分片进行控制。

2.上述配置限制IOS FW最大能够缓存的未重组装完成的IP分片包为100个。

3.IOS FW缓存的未重组装完成的IP分片包,必须在2秒内组装完成,否则将被丢弃。

4.数据包的初始化分片必须首先抵达防火墙,否则整个分片包 将被丢弃。

本文由用车保养发布,转载请注明来源:基于PowerPC和嵌入式Linux的VPN网关设计,打造全新