Cisco VPN完全配置指南

內(nèi)容概要

　　《Cisco
VPN完全配置指南》提供了VPN專(zhuān)家級(jí)解決方案。全書(shū)共分為6個(gè)部分，涵蓋了VPN技術(shù)的方方面面和Cisco相關(guān)產(chǎn)品的特性及應(yīng)用。第一部分介紹了VPN的概念及主要相關(guān)技術(shù)，包括IPSec和SSL
VPN。第二部分詳細(xì)介紹了集中器產(chǎn)品，并且討論了站點(diǎn)到站點(diǎn)和遠(yuǎn)程訪問(wèn)的連接類(lèi)型，重點(diǎn)在于IPSec和WebVPN。第三部分討論了Cisco
VPN客戶(hù)端及3002硬件客戶(hù)端。第四部分介紹了Cisco
IOS路由器，討論了可擴(kuò)展的VPN，包括動(dòng)態(tài)的多點(diǎn)VPN、路由器證書(shū)授權(quán)和路由器遠(yuǎn)程訪問(wèn)方案。第五部分解釋了Cisco
PIX和Cisco
ASA安全設(shè)備以及它們?cè)赩PN連接方面的作用，包括遠(yuǎn)程訪問(wèn)和站點(diǎn)到站點(diǎn)的連接。第六部分通過(guò)一個(gè)案例展示了真實(shí)的VPN解決方案?！禖isco
VPN完全配置指南》在介紹技術(shù)的同時(shí)，融入了作者的實(shí)際工作經(jīng)驗(yàn)，并提供了故障診斷與排除方面的案例，極具參考價(jià)值?！　　禖isco
VPN完全配置指南》適合想要全面、綜合了解VPN技術(shù)的網(wǎng)絡(luò)技術(shù)人員，也適合想要進(jìn)一步了解網(wǎng)絡(luò)安全核心知識(shí)的網(wǎng)絡(luò)專(zhuān)業(yè)人員。對(duì)于想?yún)⒓覥isco相關(guān)認(rèn)證考試的考生，本書(shū)也不失為一本很好的參考書(shū)籍。

作者簡(jiǎn)介

　　Richard A.
Deal在計(jì)算機(jī)與網(wǎng)絡(luò)行業(yè)有近20年的從業(yè)經(jīng)驗(yàn)，先后從事過(guò)網(wǎng)絡(luò)互聯(lián)、培訓(xùn)、系統(tǒng)管理與編程等工作。除了擁有格羅夫城市學(xué)院的數(shù)學(xué)與計(jì)算機(jī)科學(xué)學(xué)士學(xué)位之外，Richard還持有Cisco的多項(xiàng)證書(shū)。從1997年起，Richard成立了自己的公司The
Deal Group, Inc。該公司位于佛羅里達(dá)州的奧蘭多。在過(guò)去的8年，Richard一直在運(yùn)營(yíng)自己的The Deal Group
Inc公司。他還在Boson Training講授Cisco安全課程，并為其編寫(xiě)Cisco認(rèn)證備考測(cè)試題。

書(shū)籍目錄

第一部分　VPN
第1章　VPN概述　
1.1　流量問(wèn)題　
1.1.1　竊聽(tīng)攻擊　
1.1.2　偽裝攻擊　
1.1.3　中間人攻擊　
1.2　VPN定義　
1.2.1　VPN描述　
1.2.2　VPN連接模式　
1.2.3　VPN類(lèi)型　
1.2.4　VPN分類(lèi)　
1.3　VPN組件　
1.3.1　驗(yàn)證　
1.3.2　封裝方法　
1.3.3　數(shù)據(jù)加密　
1.3.4　數(shù)據(jù)包的完整性　
1.3.5　密鑰管理　
1.3.6　抗抵賴(lài)性　
1.3.7　應(yīng)用程序和協(xié)議的支持　
1.3.8　地址管理　
1.4　VPN設(shè)計(jì)　
1.4.1　連接類(lèi)型　
1.4.2　VPN考慮　
1.4.3　冗余　
1.5　VPN實(shí)施　
1.5.1　GRE　
1.5.2　IPSec　
1.5.3　PPTP　
1.5.4　L2TP　
1.5.5　MPLS　
1.5.6　SSL　
1.6　VPN：選擇解決方案　
1.6.1　安全性　
1.6.2　實(shí)施、管理和支持　
1.6.3　高可靠性　
1.6.4　擴(kuò)展性和靈活性　
1.6.5　費(fèi)用　
1.7　總結(jié)　
第2章　VPN技術(shù)　
2.1　密鑰　
2.1.1　密鑰的使用　
2.1.2　對(duì)稱(chēng)密鑰　
2.1.3　非對(duì)稱(chēng)密鑰　
2.2　加密　
2.2.1　加密的過(guò)程　
2.2.2　加密算法　
2.3　數(shù)據(jù)包驗(yàn)證　
2.3.1　數(shù)據(jù)包驗(yàn)證的實(shí)施　
2.3.2　數(shù)據(jù)包驗(yàn)證的使用　
2.3.3　數(shù)據(jù)包驗(yàn)證的問(wèn)題　
2.4　密鑰交換　
2.4.1　密鑰共享的困惑　
2.4.2　Diffie-HellMan(赫爾曼算法)　
2.4.3　密鑰刷新　
2.4.4　密鑰交換方法的限制　
2.5　驗(yàn)證方法　
2.5.1　中間人攻擊　
2.5.2　驗(yàn)證的解決方案　
2.5.3　設(shè)備驗(yàn)證　
2.5.4　用戶(hù)驗(yàn)證　
2.6　總結(jié)　
第3章　IPSec　
3.1　IPSec標(biāo)準(zhǔn)　
3.1.1　IETF RFC　
3.1.2　IPSec連接　
3.1.3　構(gòu)建連接的基本過(guò)程　
3.2　ISAKMP/IKE階段1　
3.2.1　管理連接　
3.2.2　密鑰交換協(xié)議：Diffie-Hellman　
3.2.3　設(shè)備驗(yàn)證　
3.2.4　遠(yuǎn)程訪問(wèn)額外的步驟　
3.3　ISAKMP/IKE階段2　
3.3.1　ISAKMP/IKE階段2組件　
3.3.2　階段2安全協(xié)議　
3.3.3　階段2的連接模式　
3.3.4　階段2的傳輸集　
3.3.5　數(shù)據(jù)連接　
3.4　IPSec流量和網(wǎng)絡(luò)　
3.4.1　IPSec和地址轉(zhuǎn)換　
3.4.2　IPSec和防火墻　
3.4.3　使用IPSec的其他問(wèn)題　
3.5　總結(jié)　
第4章　PPTP和L2TP　
4.1　PPTP　
4.1.1　PPP回顧　
4.1.2　PPTP組件　
4.1.3　PPTP是如何工作的　
4.1.4　使用PPTP的問(wèn)題　
4.2　L2TP　
4.2.1　L2TP概述　
4.2.2　L2TP操作　
4.2.3　L2TP/IPSec和PPTP的比較　
4.3　總結(jié)　
第5章　SSL VPN　
5.1　SSL回顧　
5.1.1　SSL客戶(hù)實(shí)施　
5.1.2　SSL保護(hù)　
5.1.3　SSL組件　
5.2　什么時(shí)候使用SSL VPN　
5.2.1　SSL VPN的好處　
5.2.2　SSL VPN的缺點(diǎn)　
5.3　Cisco的WebVPN解決方案　
5.3.1　VPN 3000系列集中器　
5.3.2　WebVPN的操作　
5.3.3　Web訪問(wèn)　
5.3.4　網(wǎng)絡(luò)瀏覽和文件管理訪問(wèn)　
5.3.5　應(yīng)用程序訪問(wèn)和端口轉(zhuǎn)發(fā)　
5.3.6　E-mail客戶(hù)的訪問(wèn)　
5.4　總結(jié)　
第二部分　集中器
第6章　集中器產(chǎn)品信息　
6.1　集中器的型號(hào)　
6.1.1　3005集中器　
6.1.2　3015集中器　
6.1.3　3020集中器　
6.1.4　3030集中器　
6.1.5　3060集中器　
6.1.6　3080集中器　
6.1.7　集中器型號(hào)的比較　
6.2　集中器的模塊　
6.2.1　SEP模塊　
6.2.2　SEP操作　
6.3　集中器的特性　
6.3.1　版本3.5特性　
6.3.2　版本3.6特性　
6.3.3　版本4.0特性　
6.3.4　版本4.1特性　
6.3.5　版本4.7特性　
6.4　介紹對(duì)集中器的訪問(wèn)　
6.4.1　命令行接口　
6.4.2　圖形用戶(hù)接口　
6.5　總結(jié)　
第7章　使用IPSec實(shí)現(xiàn)集中器的遠(yuǎn)程訪問(wèn)連接　
7.1　控制對(duì)集中器的遠(yuǎn)程訪問(wèn)會(huì)話　
7.1.1　組的配置　
7.1.2　用戶(hù)配置　
7.2　IPSec遠(yuǎn)程訪問(wèn)　
7.2.1　ISAKMP/IKE階段1：IKE建議　
7.2.2　ISAKMP/IKE階段1：設(shè)備驗(yàn)證　
7.2.3　ISAKMP/IKE階段1：IPSec標(biāo)簽　
7.2.4　ISAKMP/IKE階段1：Mode/Client Config標(biāo)簽　
7.2.5　ISAKMP/IKE階段1：Client FW標(biāo)簽　
7.2.6　ISAKMP/IKE階段2：數(shù)據(jù)SA　
7.3　對(duì)于IPSec和L2TP/IPSec用戶(hù)的網(wǎng)絡(luò)訪問(wèn)控制(NAC)　
7.3.1　對(duì)于IPSec，NAC的全局配置　
7.3.2　NAC的組配置　
7.4　總結(jié)　
第8章　使用PPTP、L2TP和WebVPN實(shí)現(xiàn)集中器遠(yuǎn)程訪問(wèn)連接　
8.1　PPTP和L2TP遠(yuǎn)程訪問(wèn)　
8.1.1　PPTP和L2TP組配置　
8.1.2　PPTP全局配置　
8.1.3　L2TP全局配置　
8.2　WebVPN遠(yuǎn)程訪問(wèn)　
8.2.1　HTTPS訪問(wèn)　
8.2.2　WebVPN全局配置　
8.2.3　組配置　
8.2.4　SSL VPN客戶(hù)端(SSL VPN客戶(hù)端，SVC)　
8.2.5　用于WebVPN訪問(wèn)的Cisco安全桌面　
8.3　總結(jié)　
第9章　集中器站點(diǎn)到站點(diǎn)的連接　
9.1　L2L連接例子　
9.2　ISAKMP/IKE階段1準(zhǔn)備　
9.2.1　現(xiàn)有的IKE策略　
9.2.2　IKE策略屏幕　
9.3　增加站點(diǎn)到站點(diǎn)的連接　
9.3.1　添加L2L會(huì)話　
9.3.2　完成L2L會(huì)話　
9.3.3　修改L2L會(huì)話　
9.4　地址轉(zhuǎn)換和L2L會(huì)話　
9.4.1　介紹集中器地址轉(zhuǎn)換的能力　
9.4.2　需要L2L地址轉(zhuǎn)換的例子　
9.4.3　建立L2L地址轉(zhuǎn)換規(guī)則　
9.4.4　啟動(dòng)L2L地址轉(zhuǎn)換　
9.5　總結(jié)　
第10章　集中器的管理　
10.1　帶寬管理　
10.1.1　建立帶寬策略　
10.1.2　激活帶寬策略　
10.2　集中器上的路由選擇　
10.2.1　靜態(tài)路由選擇　
10.2.2　RIP路由選擇協(xié)議　
10.2.3　OSPF路由選擇協(xié)議　
10.3　機(jī)箱冗余　
10.3.1　VRRP　
10.3.2　VCA　
10.4　管理屏幕　
10.4.1　Administrator Access(管理員訪問(wèn))　
10.4.2　集中器的升級(jí)　
10.4.3　文件管理　
10.5　總結(jié)　
第11章　驗(yàn)證和故障診斷與排除集中器的連接　
11.1　集中器的工具　
11.1.1　系統(tǒng)狀態(tài)　
11.1.2　VPN會(huì)話　
11.1.3　事件日志　
11.1.4　監(jiān)控統(tǒng)計(jì)信息屏幕　
11.2　故障診斷與排除問(wèn)題　
11.2.1　ISAKMP/IKE階段1的問(wèn)題　
11.2.2　ISAKMP/IKE階段2的問(wèn)題　
11.3　總結(jié)　
第三部分　客戶(hù)端
第12章　Cisco VPN軟件客戶(hù)端　
12.1　Cisco VPN客戶(hù)端的概述　
12.1.1　Cisco VPN客戶(hù)端的特性　
12.1.2　Cisco VPN客戶(hù)端的安裝　
12.2　Cisco VPN客戶(hù)端接口　
12.2.1　操作模式　
12.2.2　喜好　
12.2.3　先進(jìn)模式工具欄按鈕和標(biāo)簽選項(xiàng)　
12.3　IPSec連接　
12.3.1　使用預(yù)共享密鑰建立連接　
12.3.2　使用證書(shū)建立連接　
12.3.3　其他的連接配置選項(xiàng)　
12.3.4　連接到一臺(tái)Easy VPN服務(wù)器　
12.3.5　客戶(hù)端的連接狀態(tài)　
12.3.6　斷開(kāi)連接　
12.4　VPN客戶(hù)端的GUI選項(xiàng)　
12.4.1　Application Launcher(應(yīng)用程序發(fā)起器)　
12.4.2　Windows Login Properties(Windows登錄屬性)　
12.4.3　Automatic Initiation(自動(dòng)發(fā)起)　
12.4.4　Stateful Firewall(狀態(tài)防火墻)　
12.5　VPN客戶(hù)端軟件的更新　
12.5.1　集中器：客戶(hù)端更新　
12.5.2　對(duì)于Windows 2000和XP的VPN客戶(hù)端的自動(dòng)更新的準(zhǔn)備　
12.5.3　客戶(hù)端的更新過(guò)程　
12.6　VPN客戶(hù)端的故障診斷與排除　
12.6.1　日志查看器　
12.6.2　驗(yàn)證問(wèn)題　
12.6.3　ISAKMP/IKE策略不匹配的問(wèn)題　
12.6.4　地址分配的故障診斷與排除　
12.6.5　分離隧道問(wèn)題　
12.6.6　地址轉(zhuǎn)換問(wèn)題　
12.6.7　碎片問(wèn)題　
12.6.8　Microsoft的網(wǎng)絡(luò)鄰居問(wèn)題　
12.7　總結(jié)　
第13章　Windows軟件客戶(hù)端　
13.1　Windows客戶(hù)端　
13.1.1　理解Windows客戶(hù)端的特性　
13.1.2　驗(yàn)證Windows客戶(hù)端是可操作的　
13.2　配置Windows VPN客戶(hù)端　
13.2.1　建立一個(gè)安全的策略　
13.2.2　需要使用L2TP　
13.2.3　建立一個(gè)Microsoft的VPN連接　
13.3　配置VPN 3000集中器　
13.3.1　IKE建議　
13.3.2　IPSec SA　
13.3.3　組配置　
13.3.4　地址管理　
13.3.5　用戶(hù)配置　
13.4　Microsoft客戶(hù)端的連接　
13.4.1　連接到VPN網(wǎng)關(guān)　
13.4.2　核實(shí)PC上的連接　
13.4.3　核實(shí)集中器上的連接　
13.5　故障診斷與排除VPN的連接　
13.5.1　集中器故障診斷與排除工具　
13.5.2　Microsoft的客戶(hù)端故障診斷與排除工具　
13.6　總結(jié)　
第14章　3002硬件客戶(hù)端　
14.1　3002硬件客戶(hù)端概覽　
14.1.1　3002的特性　
14.1.2　3002型號(hào)　
14.1.3　3002的實(shí)施　
14.2　對(duì)于3002的初始訪問(wèn)　
14.2.1　命令行接口　
14.2.2　圖形用戶(hù)接口　
14.3　驗(yàn)證和連接選項(xiàng)　
14.3.1　單元驗(yàn)證　
14.3.2　額外的驗(yàn)證選項(xiàng)　
14.4　連接模式　
14.4.1　客戶(hù)模式　
14.4.2　網(wǎng)絡(luò)擴(kuò)展模式　
14.4.3　路由和反向路由注入　
14.5　管理任務(wù)　
14.5.1　從公有接口上訪問(wèn)3002　
14.5.2　升級(jí)3002　
14.6　總結(jié)　
第四部分　IOS路由器
第15章　路由器產(chǎn)品信息　
15.1　路由器實(shí)施場(chǎng)景　
15.1.1　L2L和遠(yuǎn)程訪問(wèn)連接　
15.1.2　路由器的特殊能力　
15.2　路由器產(chǎn)品概述　
15.3　總結(jié)　
第16章　路由器的ISAKMP/IKE階段1連接　
16.1　IPSec的準(zhǔn)備　
16.1.1　收集信息　
16.1.2　允許IPSec的流量　
16.2　ISAKMP/IKE階段1策略　
16.2.1　啟動(dòng)ISAKMP　
16.2.2　建立策略　
16.2.3　與對(duì)等體協(xié)商策略　
16.2.4　啟動(dòng)IKE死亡對(duì)等體檢測(cè)　
16.3　ISAKMP/IKE階段1設(shè)備驗(yàn)證　
16.3.1　ISAKMP/IKE身份類(lèi)型　
16.3.2　預(yù)共享密鑰　
16.3.3　RSA加密的隨機(jī)數(shù)　
16.3.4　數(shù)字證書(shū)和路由器的注冊(cè)　
16.4　監(jiān)控和管理管理連接　
16.4.1　查看ISAKMP/IKE階段1的連接　
16.4.2　管理ISAKMP/IKE階段1的連接　
16.4.3　路由器作為證書(shū)授權(quán)　
16.4.4　步驟1：產(chǎn)生和導(dǎo)出RSA密鑰信息　
16.4.5　步驟2：?jiǎn)?dòng)CA　
16.4.6　步驟3：定義額外的CA參數(shù)　
16.4.7　步驟4：處理申請(qǐng)請(qǐng)求　
16.4.8　步驟5：吊銷(xiāo)身份證書(shū)　
16.4.9　步驟6：配置一臺(tái)服務(wù)器使其運(yùn)行在RA的模式　
16.4.10　步驟7：備份一個(gè)CA　
16.4.11　步驟8：恢復(fù)一個(gè)CA　
16.4.12　步驟9：清除CA服務(wù)　
16.5　總結(jié)　
第17章　路由器站點(diǎn)到站點(diǎn)連接　
17.1　ISAKMP/IKE階段2配置　
17.1.1　定義被保護(hù)的流量：Crypto ACL　
17.1.2　定義保護(hù)方法：Transform Set(傳輸集)　
17.1.3　構(gòu)建一個(gè)靜態(tài)的Crypto Map條目　
17.1.4　構(gòu)建一個(gè)動(dòng)態(tài)的Crypto Map　
17.1.5　可區(qū)分的基于名字的Crypto Map　
17.2　查看和管理連接　
17.2.1　查看IPSec的數(shù)據(jù)SA　
17.2.2　管理IPSec數(shù)據(jù)SA　
17.3　站點(diǎn)到站點(diǎn)連接的問(wèn)題　
17.3.1　遷移到一個(gè)基于IPSec的設(shè)計(jì)　
17.3.2　過(guò)濾IPSec的流量　
17.3.3　地址轉(zhuǎn)換和狀態(tài)防火墻　
17.3.4　非單播流量　
17.3.5　配置簡(jiǎn)化　
17.3.6　IPSec冗余　
17.3.7　L2L擴(kuò)展性　
17.4　總結(jié)　
第18章　路由器遠(yuǎn)程訪問(wèn)連接　
18.1　Easy VPN服務(wù)器　
18.1.1　Easy VPN服務(wù)器的配置　
18.1.2　VPN組監(jiān)控　
18.1.3　Easy VPN服務(wù)器配置例子　
18.2　Easy VPN遠(yuǎn)端　
18.2.1　Easy VPN遠(yuǎn)端連接模式　
18.2.2　Easy VPN遠(yuǎn)端配置　
18.2.3　Easy VPN遠(yuǎn)端配置的例子　
18.3　在同一路由器上的IPSec遠(yuǎn)程訪問(wèn)和L2L會(huì)話　
18.3.1　中心辦公室路由器的配置　
18.3.2　遠(yuǎn)程訪問(wèn)和L2L樣例配置　
18.4　WebVPN　
18.4.1　WebVPN建立　
18.4.2　WebVPN配置例子　
18.5　總結(jié)　
第19章　路由器連接的故障診斷與排除　
19.1　ISAKMP/IKE階段1連接　
19.1.1　階段1命令的回顧　
19.1.2　show crypto isakmp sa命令　
19.1.3　debug crypto isakmp命令　
19.1.4　debug crypto pki命令　
19.1.5　debug crypto engine命令　
19.2　ISAKMP/IKE階段2連接　
19.2.1　階段2命令的回顧　
19.2.2　show crypto engine connection active命令　
19.2.3　show crypto ipsec sa命令　
19.2.4　debug crypto ipsec命令　
19.3　新的IPSec故障診斷與排除特性　
19.3.1　IPSec VPN監(jiān)控特性　
19.3.2　清除Crypto會(huì)話　
19.3.3　無(wú)效的安全參數(shù)索引恢復(fù)特性　
19.4　碎片問(wèn)題　
19.4.1　碎片問(wèn)題　
19.4.2　碎片發(fā)現(xiàn)　
19.4.3　碎片問(wèn)題的解決方案　
19.5　總結(jié)　
第五部分　PIX防火墻
第20章　PIX和ASA產(chǎn)品信息　
20.1　PIX實(shí)施場(chǎng)景　
20.1.1　L2L和遠(yuǎn)程訪問(wèn)連接　
20.1.2　PIX和ASA的特殊能力　
20.2　PIX和ASA的特性和產(chǎn)品回顧　
20.2.1　PIX和ASA VPN特性　
20.2.2　PIX型號(hào)　
20.2.3　ASA型號(hào)　
20.3　總結(jié)　
第21章　PIX和ASA站點(diǎn)到站點(diǎn)的連接　
21.1　ISAKMP/IKE階段1管理連接　
21.1.1　允許IPSec的流量　
21.1.2　建立ISAKMP　
21.1.3　配置管理連接的策略　
21.1.4　配置設(shè)備驗(yàn)證　
21.2　ISAKMP/IKE階段2數(shù)據(jù)連接　
21.2.1　指定被保護(hù)的流量　
21.2.2　定義如何保護(hù)流量　
21.2.3　構(gòu)建Crypto Map　
21.2.4　激活一個(gè)Crypto Map　
21.2.5　數(shù)據(jù)連接管理命令　
21.3　L2L連接例子　
21.3.1　FOS 6.3 L2L的例子　
21.3.2　FOS 7.0 L2L的例子　
21.4　總結(jié)　
第22章　PIX和ASA遠(yuǎn)程訪問(wèn)連接　
22.1　6.x對(duì)于Easy VPN服務(wù)器的支持　
22.1.1　6.x的Easy VPN服務(wù)器的配置　
22.1.2　6.x的Easy VPN服務(wù)器的例子　
22.2　6.x的Easy VPN遠(yuǎn)端支持　
22.2.1　6.x的Easy VPN遠(yuǎn)端配置　
22.2.2　使用證書(shū)作為遠(yuǎn)程訪問(wèn)　
22.2.3　核實(shí)您的6.x遠(yuǎn)端配置和連接　
22.2.4　6.x的Easy VPN遠(yuǎn)端設(shè)備的例子配置　
22.3　對(duì)于7.0的Easy VPN服務(wù)器的支持　
22.3.1　理解隧道組　
22.3.2　定義組策略　
22.3.3　建立隧道組　
22.3.4　為XAUTH建立用戶(hù)賬號(hào)　
22.3.5　遠(yuǎn)程訪問(wèn)會(huì)話的問(wèn)題及在7.0中的解決方案　
22.3.6　解釋7.0的一臺(tái)Easy VPN服務(wù)器配置的例子　
22.4　總結(jié)　
第23章　PIX和ASA連接的故障診斷與排除　
23.1　ISAKMP/IKE階段1連接　
23.1.1　階段1命令的回顧　
23.1.2　show isakmp sa命令　
23.1.3　debug crypto isakmp命令　
23.1.4　debug crypto vpnclient命令　
23.2　ISAKMP/IKE階段2連接　
23.2.1　階段2命令的回顧　
23.2.2　show crypto ipsec sa命令　
23.2.3　debug crypto ipsec命令　
23.3　總結(jié)　
第六部分　案例研究
第24章　案例研究　
24.1　公司的概貌　
24.1.1　總部辦公室　
24.1.2　區(qū)域辦公室　
24.1.3　分支辦公室　
24.1.4　遠(yuǎn)程訪問(wèn)用戶(hù)　
24.2　案例研究的配置　
24.2.1　邊緣路由器的配置　
24.2.2　Internet遠(yuǎn)程訪問(wèn)配置　
24.2.3　主要園區(qū)無(wú)線的配置　
24.3　總結(jié)　

章節(jié)摘錄

版權(quán)頁(yè)：   插圖：   1.數(shù)字證書(shū)的定義 證書(shū)中包含的信息可以幫助驗(yàn)證過(guò)程。不像預(yù)共享密鑰驗(yàn)證方法，證書(shū)是不預(yù)先共享的。相反，只有當(dāng)設(shè)備需要和另外一方建立連接的時(shí)候，證書(shū)才被共享。因此，最艱難的部分就是在設(shè)備上得到證書(shū)——您不需要在您的設(shè)備上配置其他對(duì)等體的證書(shū)。 一個(gè)數(shù)字證書(shū)類(lèi)似于司機(jī)駕照或者是護(hù)照的電子版本；它可以用于驗(yàn)證一個(gè)人（或者在這個(gè)例子里，一臺(tái)設(shè)備）的身份。數(shù)字證書(shū)是基于非對(duì)稱(chēng)密鑰的使用（公鑰／私鑰），例如RSA加密的隨機(jī)數(shù)。您會(huì)找到許多關(guān)于數(shù)字證書(shū)的內(nèi)容，我將在“X.509證書(shū)”的小節(jié)中深入討論。然而，關(guān)于數(shù)字證書(shū)的三件重要的事情就是一臺(tái)設(shè)備的身份信息、它的公鑰，和用它的私鑰產(chǎn)生的相應(yīng)的簽名。因此，能夠證明一臺(tái)設(shè)備的身份的必要信息都存儲(chǔ)在一個(gè)地方：它的證書(shū)。為了驗(yàn)證一個(gè)遠(yuǎn)端的對(duì)等體，您只需要它的數(shù)字證書(shū)。 當(dāng)然，這就出現(xiàn)了一個(gè)問(wèn)題：您如何知道某人送給您的證書(shū)就是他說(shuō)他是的證書(shū)呢？換句話說(shuō)，一個(gè)攻擊者可以產(chǎn)生一個(gè)數(shù)字證書(shū)，然后把它發(fā)送給您，去假冒別人。您如何能夠檢測(cè)到這種類(lèi)型的偽裝攻擊呢？ 在這里我在自頒發(fā)的證書(shū)和使用一個(gè)信任的第三方，稱(chēng)為證書(shū)頒發(fā)機(jī)構(gòu)，它所提供的可信任的證書(shū)信息之間畫(huà)上一道分界線。例如，如果雙方都產(chǎn)生其自己的自頒發(fā)證書(shū)，如果對(duì)方在假冒別人的話，您確實(shí)不能夠核實(shí)對(duì)方的身份。因此，需要一個(gè)信任的證書(shū)倉(cāng)庫(kù)。這個(gè)倉(cāng)庫(kù)被稱(chēng)為證書(shū)頒發(fā)機(jī)構(gòu)（CA）。在這種情況下，CA就是一個(gè)被所有想使用證書(shū)的設(shè)備信任的一臺(tái)設(shè)備。接著，當(dāng)雙方彼此想建立連接的時(shí)候，使用證書(shū)驗(yàn)證，他們可以使用CA作為一個(gè)信任的第三方來(lái)確保沒(méi)有偽裝攻擊發(fā)生，并且您所連接的對(duì)方確實(shí)是它說(shuō)它是的設(shè)備。我將下面的“證書(shū)頒發(fā)機(jī)構(gòu)”部分深入討論CA。

編輯推薦

《Cisco VPN完全配置指南》是Cisco Press出版的網(wǎng)絡(luò)安全技術(shù)系列叢書(shū)之一《Cisco VPN完全配置指南》提供專(zhuān)家級(jí)解決方案《Cisco VPN完全配置指南》融入作者的實(shí)際工作經(jīng)驗(yàn)，提供故障診斷與排除方面的案例

圖書(shū)封面

圖書(shū)標(biāo)簽Tags

無(wú)

評(píng)論、評(píng)分、閱讀與下載

---

    Cisco VPN完全配置指南 PDF格式下載

---