【正文】 ket Filtering )技術(shù)指對(duì)每個(gè)數(shù)據(jù)包按照用戶所定義的項(xiàng)日進(jìn)行過(guò)濾，如比較數(shù)據(jù)包的源地址、口的地址是否符合規(guī)則等。包過(guò)濾不涉及會(huì)話的狀態(tài)，也不分析數(shù)據(jù)，只分析數(shù)據(jù)包的包頭信息。如果配置的規(guī)則合理，在這一層能夠過(guò)濾掉很多有安全隱患的數(shù)據(jù)包。 報(bào)文監(jiān)控 (Packet Monitoring)技術(shù)：一般 1臺(tái)設(shè)備需要個(gè)監(jiān)控端口就可以監(jiān)控設(shè)備的所有端口。監(jiān)控端口一般接報(bào)文 /協(xié)議分析儀，用于報(bào)文 /協(xié)議分析。管理員事先確定要監(jiān)控的報(bào)文類型，如 ICMP報(bào)文。這時(shí)進(jìn)入或離開(kāi)路由器的所有 ICM P報(bào)文都會(huì)被拷貝到監(jiān)控端，連接到該端口的網(wǎng)絡(luò)分析儀能同時(shí)收到該報(bào)文進(jìn)行分析。 流量限制 (CAR)技術(shù)：管理員可以限制某一源與目的對(duì)之間的平均報(bào)文流量。既可以是 IP地址對(duì)，也可以是 MAC地址對(duì)。流量限制將在兩個(gè)方向上同時(shí)進(jìn)行。 報(bào)文統(tǒng)計(jì) (Packet Gathering)技術(shù)：管理員確定要統(tǒng)計(jì)的報(bào)文流向，即從何處而來(lái) (報(bào)文的源地址 )，準(zhǔn)備去和一哪里 (報(bào)文的口的地址 )。這里的地址既可以是 MAC地址，也可以是 IP地址?？梢越y(tǒng)計(jì)雙向的報(bào)文流量，統(tǒng)計(jì)結(jié)果即可以是報(bào)文的字?jǐn)?shù)，也可以是報(bào)文的包數(shù)。 訪問(wèn)控制列表的創(chuàng)建 一個(gè)訪問(wèn)控制列表是由 permit | deny語(yǔ)句組成的一系列的規(guī)則列表，若干個(gè)規(guī)則列表構(gòu)成一個(gè)訪問(wèn)控制列表。在配置訪問(wèn)控制列表的規(guī)則之前，首先需要?jiǎng)?chuàng)建一個(gè)訪問(wèn)控制列表。 創(chuàng)建一個(gè)訪問(wèn)控制列表，先確定 ACL是數(shù)字型的還是名字型的，需要指定如下參數(shù)： ACL如果是名字型的， ACL還需要指定 ACL的用途類型，指定該訪問(wèn)控制列表的匹配順序，可以使用如下命令創(chuàng)建一個(gè)訪問(wèn)控制列表： acl { number aclnumber | name aclname [ basic | advanced | interface ] } [ matchorder { config | auto } ] 使用如下的命令刪除一個(gè)或所有的訪問(wèn)控制列表： undo acl { number aclnumber | name aclname | all } 訪問(wèn)控制列表配置舉例： 某公司通過(guò)一臺(tái) Quidway路由器的接口 Serial1 /0/0訪問(wèn) Inter，路由器與內(nèi)部網(wǎng)通過(guò)以太網(wǎng)接口 Ether0/0/0連接。公司內(nèi)部對(duì)外提供 WWW. FTP和 Tel服務(wù)，公司內(nèi)部子網(wǎng)為 ，內(nèi)部 FTP服務(wù)器地址為，內(nèi)部 Tel服務(wù)器地址為 ，內(nèi)部 WWW服務(wù)器地址為 ，公司對(duì)外地址為 0在路由器上配置了地址轉(zhuǎn)換，這樣內(nèi)部 PC機(jī)可以訪問(wèn) Inter，外部 PC可以訪問(wèn)內(nèi)部服務(wù)器。通過(guò)配置路由器的防火墻功能，希望實(shí)現(xiàn)以下要求： 外部網(wǎng)絡(luò)只有特定用戶地址可以訪問(wèn)內(nèi)部服務(wù)器 內(nèi)部網(wǎng)絡(luò)只有特定主機(jī)可以訪問(wèn)外部網(wǎng)絡(luò)。 假定外部特定用戶的 IP地址為 3．配置步驟： 在路由器 Q上允許防火墻。 〔 Q] firewall enable 設(shè) .占防火墻缺省過(guò)濾方式為允許包通過(guò)。 「 Q]firewall default permit 創(chuàng)建訪問(wèn)控制列表 1010 〔 Q] acl number 101 酉己置規(guī)則禁 }入所有 IP包通過(guò)。 〔 Qacladv101〕 工一 adV101] rule deny ip 配置規(guī)則允許特定主機(jī)訪問(wèn)外部網(wǎng)，允許內(nèi)部服務(wù)器訪問(wèn)外部網(wǎng)。 〔 Qacladv101] rule permi ip source 0 〔 Qacladv101] rule permi ip source 0 〔 Qacladv101] rule permi ip source 0 〔 Qacladv101] rule permi ip source 0 創(chuàng)建訪問(wèn)控制列表 102 〔 Q] acl number 102 配置規(guī)則允許特定用戶從外部網(wǎng)訪問(wèn)內(nèi)部服務(wù)器。 [Qacladv102]rule permit tcp source 0 destination 0 酉己置規(guī)則允許特定用 )、‘從外部網(wǎng)取得數(shù)據(jù) (只允許端口大十 1024的包 ) [Qacladv102] rule permit tcp destination 0 destinationport gt 1024 將規(guī)則 101作用于從接口 Ether0/0/0進(jìn)入的包。 〔 QEther0/0/0]firewall packe七一 fil七 er 101 inbound 將規(guī)則 102作用于從接口 Serial1 /0/0進(jìn)入的包。 「 QSerial1/0/0 }]firewall packet一 filter 102 inbound IPSec與 IKE技術(shù)與配置 IPSec（ IP Security）協(xié)議族是 IETF制定的一系列協(xié)議，它為 IP數(shù)據(jù)報(bào)提供了高質(zhì)量的、可互操作的、基于密碼學(xué)的安全性。特定的通信方之間在 IP層通過(guò)加密與數(shù)據(jù)源驗(yàn)證等方式，來(lái)保證數(shù)據(jù)報(bào)在網(wǎng)絡(luò)上傳輸時(shí)的私有性、完整性、真實(shí)性和防重放。 私有性（ Confidentiality）指對(duì)用戶數(shù)據(jù)進(jìn)行加密保護(hù)，用密文的形式傳送。 完整性（ Data integrity）指對(duì)接收的數(shù)據(jù)進(jìn)行驗(yàn)證，以判定報(bào)文是否被篡改。 真實(shí)性（ Data authentication）指驗(yàn)證數(shù)據(jù)源，以保證數(shù)據(jù)來(lái)自真實(shí)的發(fā)送者。 防重放（ Antireplay）指防止惡意用戶通過(guò)重復(fù)發(fā)送捕獲到的數(shù)據(jù)包所進(jìn)行的攻擊，即接收方會(huì)拒絕舊的或重復(fù)的數(shù)據(jù)包。 IPSec通過(guò) AH（ Authentication Header，認(rèn)證頭）和 ESP（ Encapsulating Security Payload，封裝安全載荷）這兩個(gè)安全協(xié)議來(lái)實(shí)現(xiàn)上述目標(biāo)。并且還可以通過(guò) IKE（ Inter Key Exchange，因特網(wǎng)密鑰交換協(xié)議）為 IPSec提供了自動(dòng)協(xié)商交換密鑰、建立和維護(hù)安全聯(lián)盟的服務(wù)，以簡(jiǎn)化IPSec的使用和管理。 AH（ Authentication Header）是報(bào)文頭驗(yàn)證協(xié)議，主要提供的功能有數(shù)據(jù)源驗(yàn)證、數(shù)據(jù)完整性校驗(yàn)和防報(bào)文重放功能；然而， AH并不加密所保護(hù)的數(shù)據(jù)報(bào)。 ESP（ Encapsulating Security Payload）是封裝安全載荷協(xié)議，它除提供AH協(xié)議的所有功能之外（數(shù)據(jù)完整性校驗(yàn)不包括 IP頭），還可提供對(duì) IP報(bào)文的加密功能。 AH和 ESP可以單獨(dú)使用，也可以同時(shí)使用。對(duì)于 AH和 ESP，都有兩種操作模式：傳輸模式和隧道模式。 IKE用于協(xié)商 AH和 ESP所使用的密碼算法，并將算法所需的必備密鑰放到恰當(dāng)位置。 IKE協(xié)商并不是必須的， IPSec所使用的策略和算法等也可以手工協(xié)商。 2. IPSec協(xié)議的操作模式 IPSec協(xié)議有兩種操作模式：傳輸模式和隧道模式。 SA中指定了協(xié)議的操作模式。 在傳輸模式下， AH或 ESP被插入到 IP頭之后但在所有傳輸層協(xié)議之前，或所有其他 IPSec協(xié)議之前。在隧道模式下， AH或 ESP插在原始 IP頭之前，另外生成一個(gè)新頭放到 AH或 ESP之前。不同安全協(xié)議在傳輸模式和隧道模式下的數(shù)據(jù)封裝形式（傳輸協(xié)議以 TCP為例）如圖 67所示： 3. 驗(yàn)證算法與加密算法 (1) 驗(yàn)證算法 AH和 ESP都能夠?qū)? IP報(bào)文的完整性進(jìn)行驗(yàn)證，以判別報(bào)文在傳輸過(guò)程中是否被篡改。驗(yàn)證算法的實(shí)現(xiàn)主要是通過(guò)雜湊函數(shù)，雜湊函數(shù)是一種能夠接受任意長(zhǎng)的消息輸入，并產(chǎn)生固定長(zhǎng)度輸出的算法，該輸出稱為消息摘要。 IPSec對(duì)等體計(jì)算摘要，如果兩個(gè)摘要是相同的，則表示報(bào)文是完整未經(jīng)篡改的。一般來(lái)說(shuō) IPSec使用兩種驗(yàn)證算法： MD5： MD5通過(guò)輸入任意長(zhǎng)度的消息，產(chǎn)生 128bit的消息摘要。 SHA1： SHA1通過(guò)輸入長(zhǎng)度小于 2的 64次方比特的消息，產(chǎn)生 160bit的消息摘要。 SHA1的摘要長(zhǎng)于 MD5，因而是更安全的。 (2) 加密算法 ESP能夠?qū)? IP報(bào)文內(nèi)容進(jìn)行加密保護(hù)，防止報(bào)文內(nèi)容在傳輸過(guò)程中被窺探。加密算法實(shí)現(xiàn)主要通過(guò)對(duì)稱密鑰系統(tǒng)，它使用相同的密鑰對(duì)數(shù)據(jù)進(jìn)行加密和解密。 VRP中 IPSec實(shí)現(xiàn)三種加密算法： DES（ Data Encryption Standard）：使用 56bit的密鑰對(duì)一個(gè) 64bit的明文塊進(jìn)行加密。 3DES（ Triple DES）：使用三個(gè) 56bit的 DES密鑰（共 168bit密鑰）對(duì)明文進(jìn)行加密。 AES（ Advanced Encryption Standard）： VRP實(shí)現(xiàn)了 128bit密鑰長(zhǎng)度的 AES算法，這也是 IETF標(biāo)準(zhǔn)要求實(shí)現(xiàn)的。 4. 協(xié)商方式 有兩種協(xié)商方式建立安全聯(lián)盟，一種是手工方式（ manual），一種是IKE自動(dòng)協(xié)商（ isakmp）方式。前者配置比較復(fù)雜，創(chuàng)建安全聯(lián)盟所需的全部信息都必須手工配置，而且 IPSec的一些高級(jí)特性（例如定時(shí)更新密鑰）不被支持，但優(yōu)點(diǎn)是可以不依賴 IKE而單獨(dú)實(shí)現(xiàn) IPSec功能。而后者則相對(duì)比較簡(jiǎn)單，只需要配置好 IKE協(xié)商安全策略的信息，由 IKE自動(dòng)協(xié)商來(lái)創(chuàng)建和維護(hù)安全聯(lián)盟。當(dāng)與之進(jìn)行通信的對(duì)等體設(shè)備數(shù)量較少時(shí)，或是在不型靜態(tài)環(huán)境中，手工配置安全聯(lián)盟是可行的。對(duì)于中、大型的動(dòng)態(tài)網(wǎng)絡(luò)環(huán)境中，推薦使用 IKE協(xié)商建立安全聯(lián)盟。 在實(shí)施 IPSec的過(guò)程中，可以使用因特網(wǎng)密鑰交換 IKE（ Inter Key Exchange）協(xié)議來(lái)建立安全聯(lián)盟，該協(xié)議建立在由 Inter安全聯(lián)盟和密鑰管理協(xié)議 ISAKMP（ Inter Security Association and Key Management Protocol）定義的框架上。 IKE為 IPSec提供了自動(dòng)協(xié)商交換密鑰、建立安全聯(lián)盟的服務(wù)，能夠簡(jiǎn)化 IPSec的使用和管理。 從圖 68我們可以看出 IKE和 IPSec的關(guān)系 。 IPSec在 VRP上的配置與實(shí)現(xiàn)方法 IPSec實(shí)現(xiàn)方式是基于下列思路：通過(guò) IPSec，對(duì)等體之間（此處是指VRP所在路由器及其對(duì)端）能夠?qū)Σ煌臄?shù)據(jù)流實(shí)施不同的安全保護(hù)（驗(yàn)證、加密或兩者同時(shí)使用）。其中數(shù)據(jù)流的區(qū)分通過(guò)配置 ACL來(lái)進(jìn)行；安全保護(hù)所用到的安全協(xié)議、驗(yàn)證算法和加密算法、操作模式等通過(guò)配置安全提議來(lái)進(jìn)行；數(shù)據(jù)流和安全提議的關(guān)聯(lián)（即定義對(duì)何種數(shù)據(jù)流實(shí)施何種保護(hù)）、 SA的協(xié)商方式、對(duì)等體 IP地址的設(shè)置（即保護(hù)路徑的起 /終點(diǎn)）、所需要的密鑰和 SA的生存周期等通過(guò)配置安全策略來(lái)進(jìn)行；最后在路由器接口上實(shí)施安全策略即完成了 IPSec的配置。主要步驟如下： （ 1）定義被保護(hù)的數(shù)據(jù)流 數(shù)據(jù)流是一組流量（ traffic）的集合，由源地址 /掩碼、目的地址 /掩碼、IP報(bào)文承載的協(xié)議號(hào)、源端口號(hào)、目的端口號(hào)等來(lái)規(guī)定。一個(gè)數(shù)據(jù)流用一個(gè) ACL來(lái)定義，所有匹配一個(gè)訪問(wèn)控制列表規(guī)則的流量，在邏輯上作為一個(gè)數(shù)據(jù)流。一個(gè)數(shù)據(jù)流可以小到是兩臺(tái)主機(jī)之間單一的 TCP連接；也可以大到是兩個(gè)子網(wǎng)之間所有的流量。 IPSec能夠?qū)Σ煌臄?shù)據(jù)流施加不同的安全保護(hù)，因此 IPSec配置的第一步就是定義數(shù)據(jù)流。 (2) 定義安全提議 安全提議規(guī)定了對(duì)要保護(hù)的數(shù)據(jù)流所采用的安全協(xié)議、驗(yàn)證或加密算法、操作模式（即報(bào)文的封裝方式）等。 VRP支持的 AH和 ESP安全協(xié)議，兩者既可單獨(dú)使用，也可聯(lián)合使用。其中， AH支持 MD5和 SHA1驗(yàn)證算法； ESP協(xié)議支持 MD SHA1驗(yàn)證算法和 DES、 3DES加密算法。 VRP支持的操作模式包括傳輸模式和隧道模式。對(duì)同一數(shù)據(jù)流，對(duì)等體兩端必須設(shè)置相同的協(xié)議、算法和操作模式。另外，對(duì)于兩個(gè)安全網(wǎng)關(guān)（例如 VRP路由器間）實(shí)施 IPSec，建議采用隧道模式，以隱藏實(shí)際通信的源和目的 IP地址。因此，請(qǐng)先根據(jù)需要配置好一個(gè)安全提議，以便下一步將數(shù)據(jù)流和安全提議相關(guān)聯(lián)。 (3) 定義安全策略或安全策略組 安全策略規(guī)定了對(duì)什么樣的數(shù)據(jù)流采用什么樣的安全提議。一條安全策略由 “名字”和“順序號(hào)”共同唯一確定。安全策略分為手工安全策略和 IKE協(xié)商安全策略，前者需要用戶手工配置密鑰、 SPI、 SA的生存周期等參數(shù)，在隧道模式下還需要手工配置安全隧道兩個(gè)端點(diǎn)的 IP地址；后者則由 IKE自動(dòng)協(xié)商生成這些參數(shù)。安全策略組是所有具有相同名字、不同順序號(hào)的安全策略的集合。在同一個(gè)安全策略組中，順序號(hào)越小的安全策略，優(yōu)先級(jí)越高。 (4) 接口實(shí)施安全策略 在接口上應(yīng)用安全策略組，安全策略組中的所有安全策略同時(shí)應(yīng)用在這個(gè)接口上，從而實(shí)現(xiàn)對(duì)流經(jīng)這個(gè)接口的不同的數(shù)據(jù)流進(jìn)行不同的安全保護(hù)。 根據(jù)上面的介紹， IPSec主要配置包括： (1) 配置訪問(wèn)控制列表 (2) 定義安全提議，它包括創(chuàng)建安全提議、選擇安全協(xié)議、選擇安全算法和選擇報(bào)文封裝形式 。 (3) 創(chuàng)建安全策略包括手工創(chuàng)建安全策略和用 IKE創(chuàng)建安全策略手工創(chuàng)建安全策略。其中手工創(chuàng)建安全策略包括在安全策略中引用安全提議、在安全策略中引用訪問(wèn)控制列表、配置隧道的起點(diǎn)和終點(diǎn)、配置安全聯(lián)盟的 SPI、配置安全聯(lián)盟使用的密鑰。用 IKE創(chuàng)建安全策略包括在安全策略中引用安全提議、在安全策略中引用訪問(wèn)控制列表、在安全策略中引用 IKE對(duì)等體、配置安全聯(lián)盟