网络安全 [20]
ASA-Failover
一、Failover概述 Failover由两台ASA组成不间断安全防护的架构。Active负责创建状态表和转换表、传输数据、监控Standby,Active和Standby采用专用网络连接(Failover控制链路/LAN Link),向其发送故障倒换相关消息。如果Active发生故障,Stand
园区网安全-Port Security
园区网安全-Port Security 一、Port-Security概述 大部分园区网或者办公网的场景下,客户对于员工的工位都有着明确分配。每个员工都有一个工位,工位下方的网口用于员工接入内部网络。对于安全性要求较高的客户,会为每个工位配备一台台式机,对于员工采用的非公司的移动笔记本接入内部网络执
ASA-多厂商IPsec VPN对接
IPsec VPN-ASA&山石 一、多厂商对接IPsec VPN背景 IPsec VPN技术是IETF所提出的公有安全框架,因此网络和安全厂商都可以根据公开的标准实现IPsec VPN技术。客户通常出于安全架构设计或者成本方面考虑,可能会采用不同厂商的防火墙部署IPsec VPN,这就需要工程师了
ASA-数据包处理流程
ASA-数据包处理流程 一、理解数据包处理流程 数据包的处理流程是配置和排错的重要前提,避免在设计网络和配置安全策略的时候出现问题。当集成多项技术时,数据包的处理顺序显得尤为重要,也是编写NAT和ACL的关键前提。 二、数据包处理流程 1、Ingress Interface 数据包抵达入接口网卡,i
IPsec VPN增强特性-对等体检测机制
IPsec VPN增强特性—对等体检测机制 一、对等体检测机制 IPsec是一种对等体到对等体的技术,是作为IP的补充协议,因此对等体之间建立IPsec会话的前提就是必须网络层可达。常常会因为路由选择或者对等体重启的问题,导致网络层丢失连接性,IPsec和IKE协议无法感知到网络层是否连接: IKE
Site-to-Site IPsec VPN
Site-to-Site IPsec VPN 一、Site-to-Site实验需求&拓扑 实验需求:上海及北京两地架构如图,当前流量均走DCI链路,为了减轻DCI链路的负载,现有需求上海VLAN 411与VLAN 511通信走IPsec VPN隧道;上海VLAN 412与VLAN 512通信走DCI