华为 Secospace USG 2000 非默认端口

Question

通常，ISAKMP 密钥交换在 UDP/500 上进行。封装安全负载模式下的 IPSec 有自己的协议号 (50)，因此“端口“不适用。NAT 遍历模式下的 IPSec 通常使用 UDP/4500，但除非您确定处于 NAT-T 模式，否则这将不适用。

端口扫描的第一个问题（即使对于 ISAKMP 子系统而言）是它不是 TCP，因此您无法利用三次握手来确认它正在监听前任何与协议相关的问题都可能出现。此外，许多 IPSec 设备配置为完全忽略不是来自配置为与之通信的对等方的请求，或不适合该协议的流量。这表面上是为了“安全“的原因，但实际上这是一个主要的PITA，它可能解释了为什么你的nmap扫描没有发现任何东西。

在我曾经遇到过一些非常不稳定的 Checkpoint 防火墙的情况下，一旦制定了包含以下内容的 IPSec 提案，任何事物他们对此感到不满（在这种情况下，一方希望启用压缩，而另一方则不希望），因此他们“陷入僵局”——完全沉默——而不是协商替代连接参数，尽管他们非常了解对方。如果不是因为非常作为一名优秀的 C&W 检查点工程师，以及她巧妙地利用 C&W 高层管理人员来支持诺基亚，我认为我们不会曾经已经发现为什么他们的检查站对我们保持沉默。

Answer 1

通常，ISAKMP 密钥交换在 UDP/500 上进行。封装安全负载模式下的 IPSec 有自己的协议号 (50)，因此“端口“不适用。NAT 遍历模式下的 IPSec 通常使用 UDP/4500，但除非您确定处于 NAT-T 模式，否则这将不适用。

端口扫描的第一个问题（即使对于 ISAKMP 子系统而言）是它不是 TCP，因此您无法利用三次握手来确认它正在监听前任何与协议相关的问题都可能出现。此外，许多 IPSec 设备配置为完全忽略不是来自配置为与之通信的对等方的请求，或不适合该协议的流量。这表面上是为了“安全“的原因，但实际上这是一个主要的PITA，它可能解释了为什么你的nmap扫描没有发现任何东西。

在我曾经遇到过一些非常不稳定的 Checkpoint 防火墙的情况下，一旦制定了包含以下内容的 IPSec 提案，任何事物他们对此感到不满（在这种情况下，一方希望启用压缩，而另一方则不希望），因此他们“陷入僵局”——完全沉默——而不是协商替代连接参数，尽管他们非常了解对方。如果不是因为非常作为一名优秀的 C&W 检查点工程师，以及她巧妙地利用 C&W 高层管理人员来支持诺基亚，我认为我们不会曾经已经发现为什么他们的检查站对我们保持沉默。

华为 Secospace USG 2000 非默认端口

答案1

相关内容