密钥可能被窃听使用非对称加密算法.ppt

建立ISAKMP 配置管理连接策略 配置预共享密钥 7.0版本以上的防火墙一般使用隧道组来配置密钥 Cisco ASA配置IPSec VPN4-3 ASA1(config)#crypto isakmp enable outside ASA1(config)#crypto isakmp policy 1 ASA1(config-isakmp-policy)#encryption aes ASA1(config-isakmp-policy)#hash sha ASA1(config-isakmp-policy)#authentication pre-share ASA1(config-isakmp-policy)#group 1 ASA1(config)#crypto isakmp key benet address 200.0.0.1 ASA1(config)#tunnel-group 200.0.0.1 type ipsec-l2l ASA1(config)#tunnel-group 200.0.0.1 ipsec-attributes ASA1(config-ipsec)#pre-shared-key benet 防火墙IKE默认关闭 配置crypto ACL 配置传输集 配置crypto map 将Crypto Map应用到outside接口上 Cisco ASA配置IPSec VPN4-4 ASA1(config)#access-list yfvpn extended permit ip 172.16.10.0 255.255.255.0 10.10.33.0 255.255.255.0 ASA1(config)#crypto ipsec transform-set benet-set esp-aes esp-sha-hmac ASA1(config)#crypto map benet-map 1 match address yfvpn ASA1(config)#crypto map benet-map 1 set peer 200.0.0.1 ASA1(config)#crypto map benet-map 1 set transform-set benet-set ASA1(config)#crypto map benet-map interface outside 正掩码 阶段1的默认配置 防火墙和路由器的区别3-1 ASA1(config)#show run crypto crypto isakmp policy 1 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 Router# show crypto isakmp policy ...... encryption algorithm: DES - Data Encryption Standard （56 bit keys）. hash algorithm: Secure Hash Standard authentication method: Rivest-Shamir-Adleman Signature Diffie-Hellman group: #1 （768 bit） lifetime: 86400 seconds, no volume limit 接口安全级别对于IPSec流量的影响 流量无法通过具有相同安全级别的两个不同的接口 流量无法从同一接口进入后再流出 防火墙和路由器的区别3-3 ASA(config)#same-security-traffic permit {intra-interface | inter-interface} Internet 中心节点 分支节点 分支节点 * 数据报文验证包括两个方面：数据来源验证（身份验证）和报文完整性验证。 Hash算法为单向算法，具有不可逆性。举例而言，余数算法就是一个简单的不可逆算法，10除以3余数为1，但除以3余数为1的未必只有10，可以有无数种可能性，所以即使你知道除数3和余数1，也无法反推到答案10。 所以如图所示，无法从数字签名反推出用户数据和Key。 说明单向算法之后需讲解HMAC的整个过程： 双方共享执行Hash算法的密钥Key 路由器A的用户数据与共享密钥Key通过Hash算法得到数字签名 路由器A将数字签民和用户数据一同传送给路由器B 路由器B执行相同的算法过程得到数字签名 路由器B比对数字签名是否一致 常用的Hash算法是：MD5和SHA，要简单说明二者的区别。 SHA比MD5