【正文】 計(jì)算機(jī)網(wǎng)絡(luò)安全管理 葛秀慧等 編著 高等學(xué)校計(jì)算機(jī)科學(xué)與技術(shù)教材 總目錄 第 1章 網(wǎng)絡(luò)安全管理基礎(chǔ) 第 2章 加密技術(shù) 第 3章 Windows NT網(wǎng)絡(luò)操作系統(tǒng)的安全管理 第 4章 Windows 操作系統(tǒng)的安全管理 第 5章 Linux網(wǎng)絡(luò)操作系統(tǒng)的安全管理 第 6章 電子郵件的安全管理 第 7章 計(jì)算機(jī)病毒 第 8章 防火墻安全管理 第 9章 電子商務(wù)網(wǎng)站的安全 第 6章 路由器安全管理 路由器安全概述 AAA與 RADIUS協(xié)議原理及配置 訪問控制列表配置 IPSec與 IKE技術(shù)與配置 在目前的網(wǎng)絡(luò)體系中，路由器是多種網(wǎng)絡(luò)互聯(lián)的重要設(shè)備，因?yàn)槁酚善饕话阄挥诜阑饓χ?，是邊界網(wǎng)絡(luò)的前沿，所以路由器的安全管理成為了第一道防線。在默認(rèn)情況下，路由器訪問密碼存儲在固定位置，用第一章講到的 sniffer嗅探器很容易獲得登錄名和密碼，從而使路由器完全受到攻擊者控制，從而入侵整個(gè)路由器管理的網(wǎng)絡(luò)。目前的路由器種類繁多，優(yōu)質(zhì)的路由器都有自己豐富的安全機(jī)制，一般都內(nèi)置了入侵檢測系統(tǒng)，但還進(jìn)一步需要網(wǎng)絡(luò)管理員配置相應(yīng)的安全策略及進(jìn)行相應(yīng)的管理。在這一章中，針對路由器使用最多的 AAA（驗(yàn)證、授權(quán)和審計(jì)）、訪問控制技術(shù)和數(shù)據(jù)加密和防偽和數(shù)據(jù)加密技術(shù)（ VPN技術(shù)）進(jìn)行系統(tǒng)介紹，使管理員有章可循，路由器平臺很多，國內(nèi)應(yīng)用最多的主要有思科公司的 IOS平臺和華為公司的 VRP平臺兩大陣營，本章以華為的 VRP的安全配置命令為例進(jìn)行介紹。 針對網(wǎng)絡(luò)存在的各種安全隱患，路由器必須具有的安全特性包括：身份認(rèn)證、訪問控制、信息隱藏、數(shù)據(jù)加密和防偽、安全管理、可靠性和線路安全?？煽啃砸笾饕槍收匣謴?fù)、負(fù)載能力和主設(shè)備運(yùn)行故障時(shí)，備份自動接替工作。負(fù)載分擔(dān)主要指網(wǎng)絡(luò)流量增大時(shí)，備份鏈路承擔(dān)部分主用鏈路的工作，線路安全指的是線路本身的安全性，用于防止非法用戶利用線路進(jìn)行訪問。網(wǎng)絡(luò)安全身份認(rèn)證包括：訪問路由器時(shí)的身份認(rèn)證、Console登陸配置、 Tel登陸配置 、 SNMP登陸配置、 Modem遠(yuǎn)程配置、對其它路由的身份認(rèn)證、直接相連的鄰居路由器配置、邏輯連接的對等體配置、路由信息的身份認(rèn)證、防偽造路由信息的侵入安全特性。 AAA與 RADIUS協(xié)議原理及配置 AAA是 Authentication（認(rèn)證）、 Authorization（授權(quán)）和 Accounting（計(jì)費(fèi)）的簡稱。它提供對用戶進(jìn)行認(rèn)證、授權(quán)和計(jì)費(fèi)三種安全功能。 AAA一般采用客戶 /服務(wù)器結(jié)構(gòu)，客戶端運(yùn)行于被管理的資源側(cè)，服務(wù)器上則集中存放用戶信息。這種結(jié)構(gòu)既具有良好的可擴(kuò)展性，又便于用戶信息的集中管理。具體如下： 認(rèn)證（ Authentication）：認(rèn)證用戶是否可以獲得訪問權(quán)，確定哪些用戶可以訪問網(wǎng)絡(luò)。 授權(quán)（ Authorization）：授權(quán)用戶可以使用哪些服務(wù)。 計(jì)費(fèi)（ Accounting）：記錄用戶使用網(wǎng)絡(luò)資源的情況。 實(shí)現(xiàn) AAA功能可以在本地進(jìn)行，也可以由 AAA服務(wù)器在遠(yuǎn)程進(jìn)行。記費(fèi)功能由于占用系統(tǒng)資源大通常都使用 AAA服務(wù)器實(shí)現(xiàn)。對于用戶數(shù)量大的情況，驗(yàn)證和授權(quán)也應(yīng)該使用 AAA服務(wù)器。 AAA服務(wù)器與網(wǎng)絡(luò)設(shè)備的通信有標(biāo)準(zhǔn)的協(xié)議，日前比較流行的是 RADIUS協(xié)議。 提供 AAA支持的服務(wù)包括： PPP的 PAP和 CHAP（驗(yàn)證用 )、通過tel登陸到路由器、以及通過各種方式 (如 console口， aux口等 )進(jìn)入到路由器進(jìn)行配置的操作和 FTP即通過 ftp登陸到路由器的用戶。 驗(yàn)證 用戶名、口令驗(yàn)證：包括 PPP的 PAP驗(yàn)證、用戶的 CHAP驗(yàn)證、 EXEC用戶驗(yàn)證、 FTP擁護(hù)驗(yàn)證和撥號的 PPP用戶可以進(jìn)行號碼驗(yàn)證。 授權(quán) 服務(wù)類型授權(quán)包括一個(gè)用戶授權(quán)提供的服務(wù)。可以是 PPP、 EXEC、 FTP中的一種或幾種。回呼號碼對 PPP回呼用戶可以設(shè)定回呼號碼。隧道屬性配置 L2TP的隧道屬性。驗(yàn)證、授權(quán)可以在本地進(jìn)行，也可以在 RADIUS服務(wù)器進(jìn)行。但對一個(gè)應(yīng)用服務(wù)的驗(yàn)證和授權(quán)應(yīng)使用相同的方法，可以使驗(yàn)證、授權(quán)均在本地進(jìn)行，也可以使用 RADIUS服務(wù)器。 RADIUS是遠(yuǎn)程認(rèn)證撥號用戶服務(wù)（ Remote Authentication DialIn User Service）的簡稱，最初由 Livingston Enterprise公司開發(fā)，作為一種分布式的客戶機(jī) /服務(wù)器系統(tǒng)，能提供 AAA功能。 RADIUS技術(shù)可以保護(hù)網(wǎng)絡(luò)不受未授權(quán)訪問的干擾，常被用在既要求較高安全性、又要求維持遠(yuǎn)程用戶訪問的各種網(wǎng)絡(luò)環(huán)境中（如用來管理使用串口和調(diào)制解調(diào)器的大量分散撥號用戶） RADIUS服務(wù)器對用戶的認(rèn)證過程通常需要利用 NAS等設(shè)備的代理認(rèn)證功能， RADIUS客戶端和 RADIUS服務(wù)器之間通過共享密鑰認(rèn)證相互間交互的消息，用戶密碼采用密文方式在網(wǎng)絡(luò)上傳輸，增強(qiáng)了安全性。 RADIUS協(xié)議合并了認(rèn)證和授權(quán)過程，即響應(yīng)報(bào)文中攜帶了授權(quán)信息。 RADIUS的基本消息交互流程如下： RADIUS實(shí)現(xiàn) AAA的流程如下 ： AAA與 RADIUS協(xié)議配置方法 首次使用 AAA，經(jīng)常發(fā)生配置了用戶而驗(yàn)證不通過的情況。這實(shí)際上是由于沒有學(xué)會靈活使用 aaa accountingscheme optional的原因。這種情況不是驗(yàn)證不通過，而是計(jì)費(fèi)失敗，切斷了用戶。 因?yàn)殚_始使用的時(shí)候啟用 AAA，這時(shí)缺省使用本地驗(yàn)證。而本地驗(yàn)證也是需要計(jì)費(fèi)的，由于沒有配置 RADIUS服務(wù)器，造成計(jì)費(fèi)失敗，而因?yàn)闆]有配置 aaaaccountingscheme optional，在計(jì)費(fèi)失敗時(shí)就斷開用戶，因此用戶不能成功上網(wǎng)。 aaa accountingscheme optional的作用是在計(jì)費(fèi)失敗時(shí)允許用戶繼續(xù)使用網(wǎng)絡(luò)。因此在只驗(yàn)證不了計(jì)費(fèi)的情況下，一定要注意配置 aaa accountingscheme optional命令。 AAA的配置包含如下幾個(gè)主要步驟： 1．首先應(yīng)該能夠使用 AAA，因?yàn)樵谀J(rèn)情況下是禁止使用 AAA。在系統(tǒng)視圖下進(jìn)行下列配置，操作命令為： AAA aaa enable 禁止 AAA undo aaa enable 2. 配置認(rèn)證方案 如果配置通過 FTP、 Tel登錄到路由器，以及通過各種終端服務(wù)方式（如 Console口、 Aux口等）進(jìn)入到路由器進(jìn)行配置的操作的 Login用戶認(rèn)證方案，在系統(tǒng)視圖下操作命令如下： aaa authenticationscheme login { default | schemename } [ method1 | [ template servertemplatename [ method2 ] ] 刪除 AAA的 Login認(rèn)證方案或恢復(fù) undo aaa authenticationscheme login {default | schemename } 其中， method1為認(rèn)證方法，可以有以下 5種情況： none ， local， radius， radius none， radius local。 method2只能為 local或 none。 AAA和 RADIUS顯示與調(diào)試 在完成上述配置后，在所有視圖下執(zhí)行 display命令可以顯示配置后 AAA和 RADIUS的運(yùn)行情況，通過查看顯示信息認(rèn)證配置的效果。執(zhí)行 debugging命令可對 AAA和 RADIUS進(jìn)行調(diào)試。 顯示在線用戶情況 display aaa user 查看本地用戶數(shù)據(jù)庫 display localuser 打開 AAA事件調(diào)試開關(guān) debugging aaa event 關(guān)閉 AAA事件調(diào)試開關(guān) undo debugging aaa event 打開 AAA原語調(diào)試開關(guān) debugging aaa primitive 關(guān)閉 AAA原語調(diào)試開關(guān) undo debugging aaa primitive 打開 RADIUS報(bào)文調(diào)試開關(guān) debugging radius packet 關(guān)閉 RADIUS報(bào)文調(diào)試開關(guān) undo debugging radius packet AAA和 RADIUS典型配置舉例 1． .對 PPP用戶采用 RADIUS服務(wù)器進(jìn)行認(rèn)證、計(jì)費(fèi) 組網(wǎng)需求 RADIUS服務(wù)器 ， RADIUS服務(wù)器 ，認(rèn)證端口號默認(rèn)為 1812，計(jì)費(fèi)端口號默認(rèn)為 1813。 組網(wǎng)圖 配置步驟 配置 RouterA 啟動 AAA。 [Quidway] aaa enable 配置 PPP用戶的缺省認(rèn)證方案。 [Quidway] aaa authenticationscheme ppp default radius 配置 RADIUS服務(wù)器 IP地址和端口。 [Quidway] radius server authprimary acctprimary [Quidway] radius server 配置 RADIUS服務(wù)器密鑰、重傳次數(shù)、超時(shí)定時(shí)器時(shí)間長度及計(jì)費(fèi)選項(xiàng)。 [Quidway] radius sharedkey thisismysecret [Quidway] radius retry 2 [Quidway] aaa accountingscheme ppp default radius [Quidway] radius timer responsetimeout 5 配置 Serial0/0/0口應(yīng)用認(rèn)證方案。 [RouterSerial0/0/0] ppp authenticationmode chap scheme default 2．對 FTP用戶采用 RADIUS服務(wù)器進(jìn)行認(rèn)證 組網(wǎng)需求對 FTP用戶先用 RADIUS服務(wù)器進(jìn)行認(rèn)證，如果沒有響應(yīng)，則不認(rèn)證。認(rèn)證服務(wù)器使用 ，無備用服務(wù)器，端口號為默認(rèn)值 1812。 組網(wǎng)圖同上 配置步驟 啟動 AAA。 [Quidway] aaa enable 配置 Login用戶的缺省認(rèn)證方案。 [Quidway] aaa authenticationscheme login default radius none 配置 RADIUS服務(wù)器 IP地址和端口，使用默認(rèn)端口號。 [Quidway] radius server 配置 RADIUS服務(wù)器密鑰、重傳次數(shù)、超時(shí)定時(shí)器時(shí)間長度及 RADIUS服務(wù)器 down掉后的恢復(fù)時(shí)間。 [Quidway] radius sharedkey thisismysecret [Quidway] radius retry 4 [Quidway] radius timer responsetimeout 2 [Quidway] radius timer quiet 1 啟動 FTP服務(wù)器。 [Quidway] ftpserver enable 訪問控制列表 (Access Control List， ACL)為網(wǎng)絡(luò)設(shè)備提供基本的服務(wù)安全性。對某類服務(wù)而言，安全管理員首先應(yīng)該考慮該服務(wù)是否有必要運(yùn)行在當(dāng)前環(huán)境中。如果有必要，又有哪些用戶能夠享用該服務(wù)。如果該服務(wù)不必要，則應(yīng)當(dāng)禁止該服務(wù)。因?yàn)檫\(yùn)行這個(gè)不必要的服務(wù)，不僅會浪費(fèi)網(wǎng)絡(luò)等資源，而且會給當(dāng)前的網(wǎng)絡(luò)環(huán)境帶來安全隱患。如果是部分用戶需要，則應(yīng)當(dāng)為該服務(wù)規(guī)劃權(quán)限，禁止無權(quán)限的用戶使用該服務(wù)。如果某類服務(wù)僅僅在網(wǎng)絡(luò)內(nèi)部需要，則還需盡力避免該服務(wù)被網(wǎng)絡(luò)外部訪問。同樣，如果某類服務(wù)僅在網(wǎng)絡(luò)外部是必須的，則管理員還應(yīng)將該服務(wù)限制在網(wǎng)絡(luò)外部。對于某些服務(wù)來說，即使用戶能使用該服務(wù)，安全管理員也應(yīng)該能監(jiān)管該服務(wù)的使用情況，比如控制某服務(wù)只能在某段時(shí)間內(nèi)使用，對該服務(wù)的使用量進(jìn)行統(tǒng)計(jì)等等。在使用訪問控制列表之前，安全管理員必須非常清楚當(dāng)前網(wǎng)絡(luò)環(huán)境的安全規(guī)劃，和潛在的安全問題。例如在企業(yè)網(wǎng)內(nèi)部，管理員必須清楚部門 A、部門 B能夠訪問的服務(wù)器內(nèi)容，部門 A和部門 B相互之間能夠互通的服務(wù)，各部門能夠訪問的企業(yè)網(wǎng)絡(luò)外部服務(wù)，能被企業(yè)網(wǎng)絡(luò)外部訪問的服務(wù)，以及服務(wù)器的訪問權(quán)限等等。對到達(dá)端口的數(shù)據(jù)包進(jìn)行分類，并打上不同的動作標(biāo)記，訪問列表作用于路由器的所有端口，訪問列表的主要用途有： 包過濾、鏡像、流限制、流統(tǒng)計(jì)、分配隊(duì)列優(yōu)先級等。 當(dāng)訪問控制列表被創(chuàng)建后 ， 既可以以用于拒絕某些數(shù)據(jù)包經(jīng)過某個(gè)路由器接口 ， 也可用于拒絕某些數(shù)據(jù)包經(jīng)過路由器的所有接口 。 路由器的訪問控制列表在創(chuàng)建后將應(yīng)用路由器的端口上 。 默認(rèn)情況下 ， 路由器將允許所有的數(shù)據(jù)包經(jīng)過所有接口 ， 即不做任何轉(zhuǎn)發(fā)限制 。 而采用訪問控制列表 ， 則路由器在轉(zhuǎn)發(fā)某個(gè)數(shù)據(jù)包之前 ， 將會參考訪問控制列表中的內(nèi)容以確定是否轉(zhuǎn)發(fā) 。 最初 ， 訪問控制列表的作用僅限于決定是否轉(zhuǎn)發(fā)數(shù)據(jù)包 (如轉(zhuǎn)發(fā)或去棄 )。 管理員只能對懷疑的數(shù)據(jù)包作出丟棄決定 ， 但不能監(jiān)控那些存在安全隱患的數(shù)據(jù)包 。 路由器提供給管理員更豐富的功能， 如利用訪問控制列表進(jìn)行數(shù)據(jù)包分析 、 流量限制和流量統(tǒng)計(jì) 。 使用的技術(shù)如下： 包過濾（ Pac