ipsec

　　前言： 　　之前写过一篇博文：Cisco路由器之IPSec 虚拟专用网，那是在公司网关使用的是Cisco路由器的情况下，来搭建虚拟专用网的，那么公司网关若是Cisco的ASA防火墙呢?就让这篇博文来带你配置一下。 　　注：虚拟专用网：(Virtual Private Network)，请看英文的首字母，就知道是什么咯，由于它是敏/感词汇，所以文中全部使用虚拟专用网来代替 　　关于其中的知识点及相关概念，都在文章开头的那篇博文链接中介绍的差不多了，在防火墙和路由器上实现虚拟专用网，原理差不多，所以这里就不啰嗦了，直接上配置。 　　网络环境如下： 　　 　　一、网络环境需求 　　1、需要在总公司和各个分公司的网关ASA上建立IPSec虚拟专用网，实现总公司和分公司的某个网段(一般是只有某个部门有互通的必要性)互通。 　　2、两个分公司之间也需要配置虚拟专用网实现互通，并且是通过总公司的网关ASA的outside区域的E0/1实现互通的(当然，也可以绕过总公司的ASA防火墙，根据实际需求来定即可)。 　　3、不但总公司与分公司之间需要有虚拟专用网，而且不要影响公司内部主机访问Internet(通过端口PAT来实现，配置完成后，Telnet登录R2路由器进行验证)。 　　4、公司内部使用路由器来代替PC机进行测试，Internet的R2路由器除了配置IP地址外，不可配置任何路由条目。

20199102 2019-2020-2 《网络攻防实践》第五周作业 [toc] 1.为了排版方便，相关图片可能比较小，推荐右键查看原图 2.这个作业最终版尽量用一个软件完成，不增加大家安装负担 3.对arp，TCP/UDP相关原理和字段意义，推荐《TCP/IP协议：卷一》 4.这次作业尝试和很多方法，可行的、不可行的和暂时未完成的都会列在最后 0 总体结构 本次作业属于那个课程 《网络攻防实践》 这个作业要求在哪里 第五次作业 TCP/IP网络协议攻击 我在这个课程的目标是 学习网络攻防相关技术、掌握网络攻防相关能力 这个作业在哪个具体方面帮助我实现目标 学会TCP/IP层相关协议的攻击方式 作业正文 下述正文，1，2，3， 4部分 其他参考文献 见正文最后部分 1.实践内容 1.1 TCP/IP协议栈攻击概述 网络安全属性与攻击模式 网络安全属性：机密性、完整性、可用性、真实性和不可抵赖性 网络攻击基本模式：截获、中断、篡改和伪造。截获是一种被动的攻击模式，其目的是获取网络通信双方的通信信息内容，是对机密性的违反。中断攻击是使目标的正常网络通信和回话无法继续，是对可用性的破坏。伪造则是假冒网络通信方的身份，欺骗通信对方达到恶意目的。篡改则是对网络通信过程的内容进行修改 TCP/IP网络协议栈安全缺陷与攻击技术 网络接口层（数据链路层）：常用的协议包括R/ARP和PPP协议

工业智能网关下工业自动化设备的远程监控方案，改变了工人的作业形式以及更加高效的设备维护效率和低成本，通过大本营中心连接上千万台的设备运营数据并统一管理，可实现大屏、手机端、PC电脑端以及更多的终端软件系统实现远程设备的运维和管理控制，在工业4.0时代，远程运维平台也将越来越成熟和智能化，依靠数据可实现整个管理的数字化标准化。    工业自动化设备远程监控实现 工业现场设备及PLC控制器等通过以太网或RS485/RS232串口方式接入计讯物联工业网关，智能网关具协议解析以及数据传输功能将采集的前端数据通过无线或者有线网络传输至服务器中，最后通过部署的计讯物联云管理平台，将设备监控监控数据、业务数据以及其他数据发布到管控中心及各个监控端。 工业自动化设备远程监控系统功能   1、远程数据监测，多中心发送，并在电脑上和手机APP端实时显示。   2、设备管理集中化，远程采集设备运行数据来实现对不同地点设备的远程集中实时监控维护，包括每日作业时长，油耗量，何时需要保养等等信息。   3、实现设备提前故障危险预警、远程诊断分析，故障服务响应自动化，维护售后人员调度智能化，降低设备运维管理成本。   4、历史数据记录查询、报警、趋势图、流程图及报表等。 工业自动化监测用工业智能网关-TG462 1、运算能力强，支持边缘计算减轻云端负荷。   2、支持RS485/232接口、1wan、4lan

Windows默认开放135、137、138、139和445五个端口，都与文件共享和打印机共享有关的，若机器连接网络后会在用户不知道的情况下泄露本机部分信息，这样会给用户带来一部分危险，所以我们在工作中根据自己的需求定位一下是否需要关闭这些端口，以免带来不必要的损失。 1）137,138----UDP 2) 135,139,445----TCP 下面介绍一下这些端口的用途： 135端口 在许多“网管”眼里，135端口是最让人捉摸不透的端口，因为他们中的大多数都无法明确地了解到135端口的真正作用，也不清楚该端口到底会有哪些潜在的危险。直到一种名为“IEen”的专业远程控制工具出现，人们才清楚135端口究竟会有什么样的潜在安全威胁。IEen工 具能够借助135端口轻松连接到Internet上的其他工作站，并远程控制该工作站的IE浏览器。例如，在浏览器中执行的任何操作，包括浏览页面内容、输入帐号密码、输入搜索关键字等，都会被IEen工具监控到。甚至在网上银行中输入的各种密码信息，都能被IEen工具清 楚地获得。除了可以对远程工作站上的IE浏览器进行*作、控制外，IEen工具通过135端口几乎可以对所有的借助DCOM开发技术设计出来的应用程序进行远程控制，例如 IEen工具也能轻松进入到正在运行Excel的计算机中，直接对Excel进行各种编辑*作。怎么样？135端

https://github.com/hwdsl2/setup-ipsec-vpn/blob/master/README-zh.md 来源： oschina 链接： https://my.oschina.net/u/4352701/blog/4807277

计讯物联防水型智慧灯杆网关TG473，关采用航天接头设计，具有超强防水性能。符合智慧灯杆集成型设计需求，专用于智慧灯杆、多功能杆等场景。具备供电源输出、用电计量、数据采集、协议转换、设备控制、远程运维等功能。 5G/4G智慧灯杆网关 全新二代，双核配置，5G千兆光口，速度快了不止一点点 采用双核CPU，更高配置内核，为设备挂载服务提供强支撑。7个5G千兆网口，网络接入更高速。FLASH内存可扩展至1G，设备运行更快速。 5G/4G智慧灯杆网关 接口丰富，兼容性强，可同时接入多种设备，提供智慧灯杆集成化服务。 支持5G/4G网络(可选)，同时支持多种VPN协议（OpenVPN、IPSEC、PPTP、L2TP等）来保证数据传输的安全性。支持2个光纤口、7×LAN、1×WAN、2×RS485、1×AC220V输入、3×AC220V输出、1×DC24V输出、1×DC12V输出。 5G/4G智慧灯杆网关产品接口图 多路直流/交流电源输出，智慧灯杆设备一站式服务。 计讯物联TG473防水型智慧灯杆网关自带一个3个220V交流电源输出接口，可同时为多个交流外设供电。24V和12V直流电源输出各一个。为载入的设备和传感器提供电源接入。一站式供电，解决部署难题。 5G/4G智慧灯杆网关一站式服务 预留扩展接口，功能延展性强，可全面满足各类智慧灯杆组网需求。 支持选配电表功能，3路交流检测电压、电流

----------------IKEv1--------------------------- NAT配置忽略 //定义网络 object-group network LOCAL_CMB_*** network-object 172.29.41.0 255.255.255.0 network-object 172.29.46.0 255.255.255.0 object-group network REMOTE_CMB_*** network-object 172.16.20.0 255.255.255.0 //放行***流量 access-list ingate extended permit ip object-group LOCAL_CMB_*** object-group REMOTE_CMB_*** //定义感兴趣流 access-list 111 extended permit ip object-group LOCAL_CMB_*** object-group REMOTE_CMB_*** //拒绝***流量备NAT nat (inside,outside) source static LOCAL_CMB_*** LOCAL_CMB_*** destination static REMOTE_CMB_*** REMOTE_CMB_*** //***配置 ---

计讯物联防水型智慧灯杆网关TG473，关采用航天接头设计，具有超强防水性能。符合智慧灯杆集成型设计需求，专用于智慧灯杆、多功能杆等场景。具备供电源输出、用电计量、数据采集、协议转换、设备控制、远程运维等功能。 全新二代，双核配置，5G千兆光口，速度快了不止一点点 采用双核CPU，更高配置内核，为设备挂载服务提供强支撑。7个5G千兆网口，网络接入更高速。FLASH内存可扩展至1G，设备运行更快速。 接口丰富，兼容性强，可同时接入多种设备，提供智慧灯杆集成化服务。 支持5G/4G网络(可选)，同时支持多种VPN协议（OpenVPN、IPSEC、PPTP、L2TP等）来保证数据传输的安全性。支持2个光纤口、7×LAN、1×WAN、2×RS485、1×AC220V输入、3×AC220V输出、1×DC24V输出、1×DC12V输出。 多路直流/交流电源输出，智慧灯杆设备一站式服务。 计讯物联TG473防水型智慧灯杆网关自带一个3个220V交流电源输出接口，可同时为多个交流外设供电。24V和12V直流电源输出各一个。为载入的设备和传感器提供电源接入。一站式供电，解决部署难题。 预留扩展接口，功能延展性强，可全面满足各类智慧灯杆组网需求。 支持选配电表功能，3路交流检测电压、电流，可用于平台监测及异常控制。支持无线拓展、接口拓展。支持下行Zigbee、LoRa、蓝牙、LoRaWAN、电力载波等。

本文主要初步了解了下开源防火墙中的2兄弟pFsense和OPNsense差异，闲来无事顺便用它俩撸了一把site to site IPsec 。 一，oFsense(v2.3.3)和OPNsense（V20.1）通俗对比 这2兄弟前面的是大哥，差不多15岁了，后面的是弟弟也就4/5岁，因为都是一个爹妈（FreeBSD/m0n0wall）生的，虽然外表有所差异，但是骨子里的东西99%都一样。首先，哥哥长的丑一点（GUI中规中矩），弟弟长的就帅很多了，也比较时髦（2个系统的前端框架不一样，前者是Bootstrap后者是基于Phalcon PHP框架的Bootstrap）；其次，哥哥长大了想法也多了，感觉自己有些某些方面能力不足但自己有无能为力，所以需要第三方的力量来弥补（支持插件），而弟弟想法是引入第三方会影响到自身某些方面的发展，所以不想接入外来（不支持插件）；最后，他俩对周围环境的安全意识也发生了一些分歧（前者是IDS大佬Snort，这个已经被cisco撸到FTD中了，后者是Suricata），其他的2兄弟可以说基本都一样，最后他俩现在都出名了（主要国外名气大），哥哥开发布会比较随意，弟弟则是每周开发布会（安全更新周期不同）。 先来张他俩的自拍，大家体会下，上面的是哥哥，下面的是弟弟。 简要拓扑 目标：10.10.10.11和10.10.11.11之间通过 IPSEC 互通。 二

5G 已成为科技巨头甚至各国的兵家必争之地，在其众多应用中， 智慧灯杆 不得不提。5G智慧灯杆作为包含 充电桩 、视频监控、环保监测、灯杆屏等多种模块的新一代城市信息基础设施，不仅肩负着 智慧城市 建设的突破口，还集成了5G基站的功能，担起了5G建设的重任。 一、 5G智慧灯杆系统原理 1、感知输出设备： 即负责前端数据感知和相关输出的设备，包括 照明灯 、 各类传感器 、 一键报警器 、 摄像头 、 音频广播 、 LED屏 等设备。 2、通信控制设备： 即负责感知输出设备的数据采集、通信和控制的设备，按环境和业务需求可选路灯专用 网关 、工业路由器、 RT U、数采仪等。 3、数据指令流程： 通信控制设备下端 通过 RS232、 RS485 等接口与感知输出设备连接，实现数据的采集和设备的控制 。通信控制设备上行 通过 4G或有线与平台系统通信 ，实现数据和指令的实时传输。 二、智慧灯杆组成 智能杆系统总体架构包括：基础设施层、接入 感知层 、传输层、平台层、{link 56 }。 由 杆子系统、供电和防雷子系统、通信子系统和管理平台 组成。 1、照明控制系统 a、单灯/等群控制 多种控制方式，可按单盏灯或群组远程开灯、关灯、调光。 b、节能控制 按场景需求定义策略，实现智能化节能效果，延长灯具寿命。 C 、设备监测告警 对每一盏灯的工作状态、电流、电压、故障等信息进行