Gre IPsec配置详解
Gre简介
GRE(Generic Routing Encapsulation)是一种隧道协议,用于封装不同协议的数据包,使得这些数据包可以在不同类型的网络中传输,在IPsec配置中,GRE常用于创建加密和认证的VPN隧道。
Gre IPsec配置步骤
确定Gre接口
需要确定Gre接口的名称,Gre接口名称由“gre”后跟一个数字组成,gre0”。
配置Gre接口
在配置Gre接口时,需要设置Gre接口的IP地址、本地端口号和远程端口号。
以下是一个配置Gre接口的示例:
interface gre0 description VPN Tunnel encapsulation ip gre 5000 ip address 192.168.1.1 255.255.255.252在上面的示例中,Gre接口名为“gre0”,本地端口号为5000,Gre接口的IP地址为192.168.1.1,子网掩码为255.255.255.252。
配置IPsec策略
在配置IPsec策略时,需要设置IPsec的加密算法、认证算法、密钥交换模式和密钥。
以下是一个配置IPsec策略的示例:
ipsec policy 1 authentication-algorithm hmac-sha1 encryption-algorithm 3des mode tunnel source interface gre0 destination ip 192.168.2.0 255.255.255.0在上面的示例中,IPsec策略编号为1,使用的认证算法为hmac-sha1,加密算法为3des,模式为隧道模式,源接口为Gre接口,目的地址为192.168.2.0/24。
配置密钥交换模式
在配置密钥交换模式时,可以选择IKE(Internet Key Exchange)或预共享密钥(PSK)。
以下是一个配置IKE的示例:
ipsec transform-set ESP esp-des esp-sha1 ipsec site-identifier mysite ipsec transform-set IKE esp-des esp-sha1 ipsec key-exchangeikev1
在上面的示例中,ESP变换集为esp-des和esp-sha1,IKE变换集为esp-des和esp-sha1,密钥交换模式为IKEv1。
启用IPsec
需要启用IPsec,以便开始加密和认证隧道。
ipsec enableGre IPsec配置小编总结
通过以上步骤,可以完成Gre IPsec的配置,在实际应用中,需要根据具体的网络环境和需求调整配置参数。
Q1:Gre IPsec配置中,什么是IKE?
A1:IKE(Internet Key Exchange)是一种密钥交换协议,用于在两个通信实体之间建立安全通道,在Gre IPsec配置中,IKE用于在两个端点之间协商和建立安全密钥。
Q2:Gre IPsec配置中,如何查看IPsec的状态?
A2:可以通过以下命令查看IPsec的状态:
show ipsec status该命令将显示所有已建立的IPsec隧道的状态信息。
Microsoft.NETFramework的作用
Framework Framework 概述请参见 使用 Framework 编程 | 快速入门 | 示例 | 教程 Framework 是一种新的计算平台,它简化了在高度分布式 Internet 环境中的应用程序开发。 Framework 旨在实现下列目标: 提供一个一致的面向对象的编程环境,而无论对象代码是在本地存储和执行,还是在本地执行但在 Internet 上分布,或者是在远程执行的。 提供一个将软件部署和版本控制冲突最小化的代码执行环境。 提供一个保证代码(包括由未知的或不完全受信任的第三方创建的代码)安全执行的代码执行环境。 提供一个可消除脚本环境或解释环境的性能问题的代码执行环境。 使开发人员的经验在面对类型大不相同的应用程序(如基于 Windows 的应用程序和基于 Web 的应用程序)时保持一致。 按照工业标准生成所有通信,以确保基于 Framework 的代码可与任何其他代码集成。 Framework 具有两个主要组件:公共语言运行库和 Framework 类库。 公共语言运行库是 Framework 的基础。 您可以将运行库看作一个在执行时管理代码的代理,它提供核心服务(如内存管理、线程管理和远程处理),而且还强制实施严格的类型安全以及可确保安全性和可靠性的其他形式的代码准确性。 事实上,代码管理的概念是运行库的基本原则。 以运行库为目标的代码称为托管代码,而不以运行库为目标的代码称为非托管代码。 Framework 的另一个主要组件是类库,它是一个综合性的面向对象的可重用类型集合,您可以使用它开发多种应用程序,这些应用程序包括传统的命令行或图形用户界面 (GUI) 应用程序,也包括基于 所提供的最新创新的应用程序(如 Web 窗体和 XML Web services)。 Framework 可由非托管组件承载,这些组件将公共语言运行库加载到它们的进程中并启动托管代码的执行,从而创建一个可以同时利用托管和非托管功能的软件环境。 Framework 不但提供若干个运行库宿主,而且还支持第三方运行库宿主的开发。 例如, 承载运行库以为托管代码提供可伸缩的服务器端环境。 直接使用运行库以启用 应用程序和 XML Web services(本主题稍后将对这两者进行讨论)。 Internet Explorer 是承载运行库(以 MIME 类型扩展的形式)的非托管应用程序的一个示例。 使用 Internet Explorer 承载运行库使您能够在 HTML 文档中嵌入托管组件或 Windows 窗体控件。 以这种方式承载运行库使得托管移动代码(类似于 Microsoft? ActiveX? 控件)成为可能,但是它具有只有托管代码才能提供的重大改进(如不完全受信任的执行和安全的独立文件存储)。 下面的插图显示公共语言运行库和类库与应用程序之间以及与整个系统之间的关系。 该插图还显示托管代码如何在更大的结构内运行。 Framework 环境 下面的章节将更加详细地描述 Framework 的主要组件和功能。 公共语言运行库的功能 公共语言运行库管理内存、线程执行、代码执行、代码安全验证、编译以及其他系统服务。 这些功能是在公共语言运行库上运行的托管代码所固有的。 至于安全性,取决于包括托管组件的来源(如 Internet、企业网络或本地计算机)在内的一些因素,托管组件被赋予不同程度的信任。 这意味着即使用在同一活动应用程序中,托管组件既可能能够执行文件访问操作、注册表访问操作或其他须小心使用的功能,也可能不能够执行这些功能。 运行库强制实施代码访问安全。 例如,用户可以相信嵌入在 Web 页中的可执行文件能够在屏幕上播放动画或唱歌,但不能访问他们的个人数据、文件系统或网络。 这样,运行库的安全性功能就使通过 Internet 部署的合法软件能够具有特别丰富的功能。 运行库还通过实现称为通用类型系统 (CTS) 的严格类型验证和代码验证基础结构来加强代码可靠性。 CTS 确保所有托管代码都是可以自我描述的。 各种 Microsoft 和第三方语言编译器生成符合 CTS 的托管代码。 这意味着托管代码可在严格实施类型保真和类型安全的同时使用其他托管类型和实例。 此外,运行库的托管环境还消除了许多常见的软件问题。 例如,运行库自动处理对象布局并管理对对象的引用,在不再使用它们时将它们释放。 这种自动内存管理解决了两个最常见的应用程序错误:内存泄漏和无效内存引用。 运行库还提高了开发人员的工作效率。 例如,程序员可以用他们选择的开发语言编写应用程序,却仍能充分利用其他开发人员用其他语言编写的运行库、类库和组件。 任何选择以运行库为目标的编译器供应商都可以这样做。 以 Framework 为目标的语言编译器使得用该语言编写的现有代码可以使用 Framework 的功能,这大大减轻了现有应用程序的迁移过程的工作负担。 尽管运行库是为未来的软件设计的,但是它也支持现在和以前的软件。 托管和非托管代码之间的互操作性使开发人员能够继续使用所需的 COM 组件和 DLL。 运行库旨在增强性能。 尽管公共语言运行库提供许多标准运行库服务,但是它从不解释托管代码。 一种称为实时 (JIT) 编译的功能使所有托管代码能够以它在其上执行的系统的本机语言运行。 同时,内存管理器排除了出现零碎内存的可能性,并增大了内存引用区域以进一步提高性能。 最后,运行库可由高性能的服务器端应用程序(如 Microsoft? SQL Server? 和 Internet 信息服务 (IIS))承载。 此基础结构使您在享受支持运行库宿主的行业最佳企业服务器的优越性能的同时,能够使用托管代码编写业务逻辑。 Framework 类库 Framework 类库是一个与公共语言运行库紧密集成的可重用的类型集合。 该类库是面向对象的,并提供您自己的托管代码可从中导出功能的类型。 这不但使 Framework 类型易于使用,而且还减少了学习 Framework 的新功能所需要的时间。 此外,第三方组件可与 Framework 中的类无缝集成。 例如, Framework 集合类实现一组可用于开发您自己的集合类的接口。 您的集合类将与 Framework 中的类无缝地混合。 正如您对面向对象的类库所希望的那样, Framework 类型使您能够完成一系列常见编程任务(包括诸如字符串管理、数据收集、数据库连接以及文件访问等任务)。 除这些常见任务之外,类库还包括支持多种专用开发方案的类型。 例如,可使用 Framework 开发下列类型的应用程序和服务: 控制台应用程序。 Windows GUI 应用程序(Windows 窗体)。 应用程序。 XML Web services。 Windows 服务。 例如,Windows 窗体类是一组综合性的可重用的类型,它们大大简化了 Windows GUI 的开发。 如果要编写 Web 窗体应用程序,可使用 Web 窗体类。 客户端应用程序开发 客户端应用程序在基于 Windows 的编程中最接近于传统风格的应用程序。 这些是在桌面上显示窗口或窗体从而使用户能够执行任务的应用程序类型。 客户端应用程序包括诸如字处理程序和电子表格等应用程序,还包括自定义的业务应用程序(如数据输入工具、报告工具等等)。 客户端应用程序通常使用窗口、菜单、按钮和其他 GUI 元素,并且它们可能访问本地资源(如文件系统)和外围设备(如打印机)。 另一种客户端应用程序是作为 Web 页通过 Internet 部署的传统 ActiveX 控件(现在被托管 Windows 窗体控件所替代)。 此应用程序非常类似于其他客户端应用程序:它在本机执行,可以访问本地资源,并包含图形元素。 过去,开发人员将 C/C++ 与 Microsoft 基础类 (MFC) 或应用程序快速开发 (RAD) 环境(如 Microsoft? Visual Basic?)一起使用来创建这样的应用程序。 Framework 将这些现有产品的特点合并到了单个且一致的开发环境中,该环境大大简化了客户端应用程序的开发。 包含在 Framework 中的 Windows 窗体类旨在用于 GUI 开发。 您可以轻松创建具有适应多变的商业需求所需的灵活性的命令窗口、按钮、菜单、工具栏和其他屏幕元素。 例如, Framework 提供简单的属性以调整与窗体相关联的可视属性。 某些情况下,基础操作系统不支持直接更改这些属性,而在这些情况下, Framework 将自动重新创建窗体。 这是 Framework 集成开发人员接口从而使编码更简单更一致的许多方法之一。 和 ActiveX 控件不同,Windows 窗体控件具有对用户计算机的不完全受信任的访问权限。 这意味着二进制代码或在本机执行的代码可访问用户系统上的某些资源,例如 GUI 元素和访问受限制的文件,但这些代码不能访问或危害其他资源。 由于具有代码访问安全性,许多曾经需要安装在用户系统上的应用程序现在可以通过 Web 安全地部署。 您的应用程序可以在像 Web 页那样部署时实现本地应用程序的功能。 服务器应用程序开发 在托管领域中,服务器端应用程序是通过运行库宿主实现的。 非托管应用程序承载公共语言运行库,后者使您的自定义托管代码可以控制服务器的行为。 此模型在获得主服务器的性能和可伸缩性的同时提供给您公共语言运行库和类库的所有功能。 下面的插图显示在不同服务器环境中运行托管代码的基本网络架构。 在应用程序逻辑通过托管代码执行时,服务器(如 IIS 和 SQL Server)可执行标准操作。 服务器端托管代码 是使开发人员能够使用 Framework 开发基于 Web 的应用程序的宿主环境。 但是, 不止是一个运行库宿主;它是使用托管代码开发 Web 站点和通过 Internet 分布的对象的完整结构。 Web 窗体和 XML Web services 都将 IIS 和 用作应用程序的发布机制,并且两者在 Framework 中都具有支持类集合。 XML Web services 作为基于 Web 的技术的重要发展,是类似于常见 Web 站点的分布式服务器端应用程序组件。 但是,与基于 Web 的应用程序不同,XML Web services 组件不具有 UI 并且不以浏览器(如 Internet Explorer 和 Netscape Navigator)为目标。 XML Web services 由旨在供其他应用程序使用的可重用的软件组件组成,所谓的其他应用程序包括:传统的客户端应用程序,基于 Web 的应用程序,甚至是其他 XML Web services。 因此,XML Web services 技术正迅速地将应用程序开发和部署推向高度分布式 Internet 环境。 如果您使用过 ASP 技术的早期版本,很快就会注意到 和 Web 窗体提供的改进。 例如,您可以用支持 Framework 的任何语言开发 Web 窗体页。 此外,您的代码不再需要与 HTTP 文本共享同一个文件(尽管如果您愿意,代码还可以继续这样做)。 Web 窗体页用本机语言执行,这是因为与所有其他托管应用程序一样,它们充分利用运行库。 与此相对照,非托管 ASP 页始终被写成脚本并解释。 页比非托管 ASP 页更快、更实用并且更易于开发,这是因为它们像所有托管应用程序一样与运行库进行交互。 Framework 还提供类和工具的集合来帮助开发和使用 XML Web services 应用程序。 XML Web services 是基于 SOAP(一种远程过程调用协议)、XML(一种可扩展的数据格式)和 WSDL(Web 服务描述语言)这些标准生成的。 基于这些标准生成 Framework 的目的是为了提高与非 Microsoft 解决方案的互操作性。 例如, Framework SDK 所包含的 Web 服务描述语言工具可以查询在 Web 上发布的 XML Web services,分析它的 WSDL 描述,并产生 C# 或 Visual Basic 源代码,您的应用程序可以使用这些代码而成为 XML Web services 的客户端。 这些源代码可以创建从类库中的类派生的类,这些类使用 SOAP 和 XML 分析处理所有基础通信。 虽然您可以使用类库来直接使用 XML Web services,Web 服务描述语言工具和包含在 SDK 中的其他工具可以使您更加方便地用 Framework 进行开发。 如果您开发和发布自己的 XML Web services, Framework 为您提供了一组符合所有基础通信标准(如 SOAP、WSDL 和 XML)的类。 使用这些类使您能够将注意力集中在服务的逻辑上,而无需关注分布式软件开发所需要的通信基础结构。 最后,与托管环境中的 Web 窗体页相似,您的 XML Web services 将使用 IIS 的可伸缩通信以本机语言的速度运行。
怎样了解开机密码?
一、系统中设置用户密码的方法: 开始→控制面板→用户帐户→选择你的帐户→创建密码→输入两遍密码→按“创建密码”按钮即可。 如果要取消密码,只要在第2步要求输入新密码时直接回车即可。 二、系统中设置启动密码的方法: Windows XP除了可以在控制面板的用户帐户里设置“用户密码”来确保系统安全外,系统还提供了一个更安全有效的“系统启动密码”,这个密码在开机时先于“用户密码”显示,而且还可以生成钥匙盘。 如果你设置了“系统启动密码”,系统就更安全了。 Windows XP设置“系统启动密码”的方法如下: 单击“开始”“运行”,在“运行”对话框中输入“Syskey”(引号不要输入),按“确定”或回车,弹出“保证Windows XP帐户数据库的安全”对话框,在对话框中点击“更新”按钮,弹出“启动密码”对话框,选中“密码启动”单选项,在下面输入系统启动时的密码,按“确定”按钮即可。 要取消这个系统“启动密码”,按上面的操作后在“启动密码”对话框中选中“系统产生的密码”,再选中下面的“在本机上保存启动密码”即可,确定后启动密码就会保存到硬盘上,下次启动时就不会出现启动密码的窗口了。 “启动密码”在出现登录画面之前显示,只有输入正确的启动密码后,才会显示登录画面,用户才能输入用户名和登录密码完全登录系统。 如此,系统就有二重密码保护。 三、BIOS中设置密码的方法(不同机器有所不同): 1、开机按Del键进入CMOS设置,将光标移到“Advanced BIOS Features(高级BIOS功能设置)”回车,打开“Advanced BIOS Features”页面,找到“Security Option(检查密码方式)”或“Password Check(检查密码方式)”,将其设置为“System(系统)”(注:该项有两个设定值System和Setup,设置为System时开机进入CMOS设置和进入操作系统均要输入密码;设置为Setup时仅开机进入CMOS设置要输入密码),按Esc键回到主页面; 2、在主页面将光标移到“Set Supervisor Password(超级管理员密码)”回车,在出现的窗口中输入密码并回车,在出现的窗口中再次输入同一密码并回车,CMOS便回将密码记录下来并返回主页面。 3、在主页面将光标移到“Save & Exit(存储退出)”回车,按Y键,再回车即可。 在第2步选择“Set User Password(设置用户密码)”可以设置用户密码,用户密码与超级管理员密码的区别是:用用户密码进入CMOS设置只能查看不能修改。 上述三种密码中以系统启动密码的安全性最高,用户密码其次,BIOS密码的安全性最低。 BIOS密码可以通过将主板上的电池取下而消除;用户密码在网上也可以找到很多破解方法;但启动密码还很难找到破解方法。 建议同时设置启动密码和用户密码,这样就有双重密码保护,不但开机时要输入密码,而且在暂时离开时可以通过同时按Windows徽标键(Ctrl和Alt之间的那个键)和字母L键锁定计算机(锁定时,计算机返回登录的画面,必须输入拥护密码才能返回系统进行正常操作),使他人无法使用
IPSEC是什么
IPSec 协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协议 Authentication Header(AH)、封装安全载荷协议Encapsulating Security Payload(ESP)、密钥管理协议Internet Key Exchange (IKE)和用于网络认证及加密的一些算法等。 IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上提供了访问控制、数据源认证、数据加密等网络安全服务。 一、安全特性IPSec的安全特性主要有: ·不可否认性 不可否认性可以证实消息发送方是唯一可能的发送者,发送者不能否认发送过消息。 不可否认性是采用公钥技术的一个特征,当使用公钥技术时,发送方用私钥产生一个数字签名随消息一起发送,接收方用发送者的公钥来验证数字签名。 由于在理论上只有发送者才唯一拥有私钥,也只有发送者才可能产生该数字签名,所以只要数字签名通过验证,发送者就不能否认曾发送过该消息。 但不可否认性不是基于认证的共享密钥技术的特征,因为在基于认证的共享密钥技术中,发送方和接收方掌握相同的密钥。 ·反重播性 反重播确保每个IP包的唯一性,保证信息万一被截取复制后,不能再被重新利用、重新传输回目的地址。 该特性可以防止攻击者截取破译信息后,再用相同的信息包冒取非法访问权(即使这种冒取行为发生在数月之后)。 ·数据完整性 防止传输过程中数据被篡改,确保发出数据和接收数据的一致性。 IPSec利用Hash函数为每个数据包产生一个加密检查和,接收方在打开包前先计算检查和,若包遭篡改导致检查和不相符,数据包即被丢弃。 ·数据可靠性(加密) 在传输前,对数据进行加密,可以保证在传输过程中,即使数据包遭截取,信息也无法被读。 该特性在IPSec中为可选项,与IPSec策略的具体设置相关。 ·认证 数据源发送信任状,由接收方验证信任状的合法性,只有通过认证的系统才可以建立通信连接。 二、基于电子证书的公钥认证一个架构良好的公钥体系,在信任状的传递中不造成任何信息外泄,能解决很多安全问题。 IPSec与特定的公钥体系相结合,可以提供基于电子证书的认证。 公钥证书认证在Windows 2000中,适用于对非Windows 2000主机、独立主机,非信任域成员的客户机、或者不运行Kerberos v5认证协议的主机进行身份认证。 三、预置共享密钥认证IPSec也可以使用预置共享密钥进行认证。 预共享意味着通信双方必须在IPSec策略设置中就共享的密钥达成一致。 之后在安全协商过程中,信息在传输前使用共享密钥加密,接收端使用同样的密钥解密,如果接收方能够解密,即被认为可以通过认证。 但在Windows 2000 IPSec策略中,这种认证方式被认为不够安全而一般不推荐使用。 四、公钥加密IPSec的公钥加密用于身份认证和密钥交换。 公钥加密,也被称为不对称加密法,即加解密过程需要两把不同的密钥,一把用来产生数字签名和加密数据,另一把用来验证数字签名和对数据进行解密。 使用公钥加密法,每个用户拥有一个密钥对,其中私钥仅为其个人所知,公钥则可分发给任意需要与之进行加密通信的人。 例如:A想要发送加密信息给B,则A需要用B的公钥加密信息,之后只有B才能用他的私钥对该加密信息进行解密。 虽然密钥对中两把钥匙彼此相关,但要想从其中一把来推导出另一把,以目前计算机的运算能力来看,这种做法几乎完全不现实。 因此,在这种加密法中,公钥可以广为分发,而私钥则需要仔细地妥善保管。 五、Hash函数和数据完整性Hash信息验证码HMAC(Hash message authentication codes)验证接收消息和发送消息的完全一致性(完整性)。 这在数据交换中非常关键,尤其当传输媒介如公共网络中不提供安全保证时更显其重要性。 HMAC结合hash算法和共享密钥提供完整性。 Hash散列通常也被当成是数字签名,但这种说法不够准确,两者的区别在于:Hash散列使用共享密钥,而数字签名基于公钥技术。 hash算法也称为消息摘要或单向转换。 称它为单向转换是因为:1)双方必须在通信的两个端头处各自执行Hash函数计算;2)使用Hash函数很容易从消息计算出消息摘要,但其逆向反演过程以目前计算机的运算能力几乎不可实现。 Hash散列本身就是所谓加密检查和或消息完整性编码MIC(Message Integrity Code),通信双方必须各自执行函数计算来验证消息。 举例来说,发送方首先使用HMAC算法和共享密钥计算消息检查和,然后将计算结果A封装进数据包中一起发送;接收方再对所接收的消息执行HMAC计算得出结果B,并将B与A进行比较。 如果消息在传输中遭篡改致使B与A不一致,接收方丢弃该数据包。 有两种最常用的hash函数:·HMAC-MD5 MD5(消息摘要5)基于RFC1321。 MD5对MD4做了改进,计算速度比MD4稍慢,但安全性能得到了进一步改善。 MD5在计算中使用了64个32位常数,最终生成一个128位的完整性检查和。 ·HMAC-SHA 安全Hash算法定义在NIST FIPS 180-1,其算法以MD5为原型。 SHA在计算中使用了79个32位常数,最终产生一个160位完整性检查和。 SHA检查和长度比MD5更长,因此安全性也更高。 六、加密和数据可靠性IPSec使用的数据加密算法是DES--Data Encryption Standard(数据加密标准)。 DES密钥长度为56位,在形式上是一个64位数。 DES以64位(8字节)为分组对数据加密,每64位明文,经过16轮置换生成64位密文,其中每字节有1位用于奇偶校验,所以实际有效密钥长度是56位。 IPSec还支持3DES算法,3DES可提供更高的安全性,但相应地,计算速度更慢。 七、密钥管理·动态密钥更新IPSec策略使用动态密钥更新法来决定在一次通信中,新密钥产生的频率。 动态密钥指在通信过程中,数据流被划分成一个个数据块,每一个数据块都使用不同的密钥加密,这可以保证万一攻击者中途截取了部分通信数据流和相应的密钥后,也不会危及到所有其余的通信信息的安全。 动态密钥更新服务由Internet密钥交换IKE(Internet Key Exchange)提供,详见IKE介绍部分。 IPSec策略允许专家级用户自定义密钥生命周期。 如果该值没有设置,则按缺省时间间隔自动生成新密钥。 ·密钥长度密钥长度每增加一位,可能的密钥数就会增加一倍,相应地,破解密钥的难度也会随之成指数级加大。 IPSec策略提供多种加密算法,可生成多种长度不等的密钥,用户可根据不同的安全需求加以选择。 ·Diffie-Hellman算法要启动安全通讯,通信两端必须首先得到相同的共享密钥(主密钥),但共享密钥不能通过网络相互发送,因为这种做法极易泄密。 Diffie-Hellman算法是用于密钥交换的最早最安全的算法之一。 DH算法的基本工作原理是:通信双方公开或半公开交换一些准备用来生成密钥的材料数据,在彼此交换过密钥生成材料后,两端可以各自生成出完全一样的共享密钥。 在任何时候,双方都绝不交换真正的密钥。 通信双方交换的密钥生成材料,长度不等,材料长度越长,所生成的密钥强度也就越高,密钥破译就越困难。 除进行密钥交换外,IPSec还使用DH算法生成所有其他加密密钥。
发表评论