• 文章分类

  • ADC (1)
  • Hardware&Device (6)
  • Linux (10)
  • Program-Language (8)
  • Switch&Route&Firewall (31)
  • Uncategorized (15)
  • web-develop (18)
• Search for:

• 最近评论

  • SNONE'S BLOG » www.gracecode.com|精于心、简于形 on FollowMe:万网.com国际域名转出实例
  • tanghui on ARM开发板mini2440的按键控制LED小程序
  • Hans Adreaman on PPP,PPPoE,PPTP,L2TP-VPN简介（之三）- PPPoE协议与场景

• 热门标签

  A10 ADC ADSL Android APT ASA cisco CMS Debian DHCP filter Firewall Gartner Godaddy google http java Juniper L2TP Linux NAT NGFW Palo Alto PHP PIX PPP PPPoE PPTP Ubuntu web whitespace 协议 图片 域名 字符串 安装 思科 拨号 无线 服务器 算法 网络 认证 配置 防火墙

• Meta

  • Log in
  • Entries RSS
  • Comments RSS
  • WordPress.org

关于建立一次安全私密的连接的场景和技术点。以通俗易懂的方式介绍对称密钥，非对称密钥，Diffie-Hellman，身份认证等知识点。

本文是Adreaman根据思科PIX6.3配置文档手册中的VPDN功能介绍整理出来的，介绍思科PIX（软件版本6.3）防火墙中PPPoE/L2TP/PPTP这三种VPDN特性的配置步骤。思科PIX防火墙支持作为PPPoE客户端拨号，支持作为L2TP和PPTP服务器接受拨入，并且，仅支持L2TP over IPsec方式拨入，不支持纯L2TP方式拨入。

对于动态NAT来说，nat命令中指定的接口的安全级别比global命令中指定的接口的安全级别高，即为内部NAT转换。global命令中指定的接口的安全级别比nat命令中指定的接口的安全级别高，即为外部NAT转换。对于静态NAT来说，static命令关键字后面的小括号中，前面的接口安全级别比后面接口的安全级别高时，为一个静态内部NAT转换，当后面的接口安全级别比前面的接口的安全级别高时，为一个静态外部NAT转换。

领导大人（注：自家行政区划）曾经说我“在电脑旁一坐可以一天不动窝，只要给你备好粮食和水就不用管了”，在电脑旁我不生事、低消耗，真是绿色又环保。为什么我能在电脑旁久坐不腻，好似僧人打坐？这就是“宅男”的一次小小的思维之旅，肉身静坐的我思绪飘过何止千里万里，在上述“思”绸之路的每个节点上，我都尽量地穷究深考，确实也收获颇丰。

使能fixup时只有在PIX系统才指定协议的端口号，因为在PIX7.0系统中，还不存在MPF框架机制，配置在全局视图下进行，而在ASA和FWSM的MPF框架中，各Inspection（fixup）在定义之时已经在相应的策略和分类视图下（如上面的TFTP），有的协议还可以指定全局配置的策略视图（如上面的HTTP指定了名为http_pmap_name的策略，H323指定了名为h323_pmap_name的策略，这类协议的策略视图下面可以使用parameters命令配置一些高级参数，后面详细介绍），所以就无需在此再指定端口了，并且，MPF的策略和分类机制提供了更加复杂和灵活的流量分类方法。

MPF（Modular Policy Framework, 模块式策略框架）是思科ASA7.0版本引入的一套“对报文按规则分类并针对各分类灵活的应用不同策略”的机制。它由三部分组成，分类（class）、策略（policy）和应用（service），其中分类是将报文分类的机制，定义各种灵活的规则将报文划分为不同的“流”；策略是对“流”采取的“动作”；应用（service）是将策略在可指定的位置启用起来。思科ASA7.0版本之后的各种filter过滤功能和Inspect（即fixup）功能开始切换到这一框架之中实现并且功能上得到很大的强化和丰富（旧版本的fixup和filter过滤命令依然存在，以向后兼容）。Adreaman尝试通过本文对这一框架机制进行概要地基础性分析和总结。

目前还不清楚Google退出的方式（关闭cn域名、撤销中国分部、关闭与中国相关业务）以及范围（是否包括台湾？），但是仅仅罗列上面的若干深入社会文化、经济、科技领域的服务和产品，就可以想象一旦此次google退出的动作巨大，即将对众多领域造成深远影响。

思科的filter过滤可以分为内容过滤和URL地址过滤两个大的方面。内容过滤包括ActiveX和JavaApplet的过滤，功能是阻止用户浏览器获取到HTML标准的网页中的ActiveX控件或JavaApplet小程序，因为这些控件可能会在浏览器客户端运行而带来不可预知的风险。URL过滤是指检查用户的网络客户端访问外网时指定的外网URL地址，例如，用户浏览网页时，浏览器地址栏中输入的URL就是防火墙检查的对象，FTP工具访问FTP服务器时，用户指定的服务器地址（域名或IP）就是防火墙检查的URL。

keep looking »