【文章內(nèi)容簡介】 生存周期（可選）和配置協(xié)商時(shí)使用的 PFS特性。 (4) 配置安全策略模板（可選） (5) 在接口上應(yīng)用安全策略 IPSec在 VRP上的配置與實(shí)現(xiàn)方法 IPSec實(shí)現(xiàn)方式是基于下列思路：通過 IPSec，對(duì)等體之間（此處是指VRP所在路由器及其對(duì)端）能夠?qū)Σ煌臄?shù)據(jù)流實(shí)施不同的安全保護(hù)（驗(yàn)證、加密或兩者同時(shí)使用）。其中數(shù)據(jù)流的區(qū)分通過配置 ACL來進(jìn)行；安全保護(hù)所用到的安全協(xié)議、驗(yàn)證算法和加密算法、操作模式等通過配置安全提議來進(jìn)行；數(shù)據(jù)流和安全提議的關(guān)聯(lián)（即定義對(duì)何種數(shù)據(jù)流實(shí)施何種保護(hù)）、 SA的協(xié)商方式、對(duì)等體 IP地址的設(shè)置（即保護(hù)路徑的起 /終點(diǎn)）、所需要的密鑰和 SA的生存周期等通過配置安全策略來進(jìn)行；最后在路由器接口上實(shí)施安全策略即完成了 IPSec的配置。主要步驟如下： （ 1）定義被保護(hù)的數(shù)據(jù)流 數(shù)據(jù)流是一組流量（ traffic）的集合，由源地址 /掩碼、目的地址 /掩碼、IP報(bào)文承載的協(xié)議號(hào)、源端口號(hào)、目的端口號(hào)等來規(guī)定。一個(gè)數(shù)據(jù)流用一個(gè) ACL來定義，所有匹配一個(gè)訪問控制列表規(guī)則的流量，在邏輯上作為一個(gè)數(shù)據(jù)流。一個(gè)數(shù)據(jù)流可以小到是兩臺(tái)主機(jī)之間單一的 TCP連接；也可以大到是兩個(gè)子網(wǎng)之間所有的流量。 IPSec能夠?qū)Σ煌臄?shù)據(jù)流施加不同的安全保護(hù)，因此 IPSec配置的第一步就是定義數(shù)據(jù)流。 IPSec顯示與調(diào)試 IPSec提供以下命令顯示安全聯(lián)盟、安全聯(lián)盟生存周期、安全提議、安全策略 的信息以及 IPSec處理的報(bào)文的統(tǒng)計(jì)信息。 display命令可在所有視圖下進(jìn)行操作， debugging命令只能在用戶視圖下操作。 顯示安全聯(lián)盟的相關(guān)信息 display ipsec sa [ brief | remote ipaddress | policy policyname [ seqnumber ] | duration ] 顯示 IPSec處理報(bào)文的統(tǒng)計(jì)信息 display ipsec statistics 顯示安全提議的信息 display ipsec proposal [ proposalname ] 顯示安全策略的信息 display ipsec policy [ brief | name policyname [ seqnumber ] ] 顯示安全策略模板的信息 display ipsec policytemplate [ brief | name policyname [ seqnumber ] ] 打開 IPSec的調(diào)試功能 debugging ipsec { sa | packet [ policy policyname [ seqnumber ] | parameters ipaddress protocol spinumber ] | misc } 禁止 IPSec的調(diào)試功能 undo debugging ipsec { sa | packet [ policy policyname [ seqnumber ] | parameters ipaddress protocol spinumber ] | misc } 清除 IPSec的報(bào)文統(tǒng)計(jì)信息，此配置任務(wù)清除 IPSec的報(bào)文統(tǒng)計(jì)信息，所有的統(tǒng)計(jì)信息都被設(shè)置成零。在用戶視圖下進(jìn)行下列操作： 清除 IPSec的報(bào)文統(tǒng)計(jì)信息 reset ipsec statistics 刪除安全聯(lián)盟，此配置任務(wù)刪除已經(jīng)建立的安全聯(lián)盟（無論是手工建立的還是通過 IKE協(xié)商建立的）。如果未指定參數(shù)，則刪除所有的安全聯(lián)盟。在用戶視圖下進(jìn)行下列操作： 刪除安全聯(lián)盟 reset ipsec sa [ remote ipaddress | policy policyname [ seqnumber ] | parameters destaddress protocol spi ] 對(duì)于通過 IKE協(xié)商建立的安全聯(lián)盟，被刪除后如果有報(bào)文重新觸發(fā) IKE協(xié)商， IKE將重新協(xié)商建立安全聯(lián)盟。對(duì)于手工建立的安全聯(lián)盟，被刪除后系統(tǒng)會(huì)根據(jù)手工設(shè)置的參數(shù)立即創(chuàng)建新的安全聯(lián)盟。如果指定參數(shù) parameters，由于安全聯(lián)盟是成對(duì)出現(xiàn)的，刪除了一個(gè)方向安全聯(lián)盟，另一個(gè)方向安全聯(lián)盟也隨之被刪除。 IPSec典型配置案例 1. 采用 isakmp方式建立安全聯(lián)盟的配置組網(wǎng)需求 在 Router A和 Router B之間建立一個(gè)安全隧道，對(duì) PC A代表的子網(wǎng)（）與 PC B代表的子網(wǎng)（ ）之間的數(shù)據(jù)流進(jìn)行安全保護(hù)。安全協(xié)議采用 ESP協(xié)議，加密算法采用 DES，驗(yàn)證算法采用 SHA1HMAC96。 2. 組網(wǎng)圖 3. 配置步驟 (1) 配置 Router A 配置一個(gè)訪問控制列表，定義由子網(wǎng) 。 [Quidway] acl number 101 [Quidwayacladv101] rule permit ip source destination [Quidwayacladv101] rule deny ip source any destination any 配置到 PC B的靜態(tài)路由。 [Quidway] ip routestatic 創(chuàng)建名為 tran1的安全提議。 [Quidway] ipsec proposal tran1 報(bào)文封裝形式采用隧道模式。 [Quidwayipsecproposaltran1] encapsulationmode tunnel 安全協(xié)議采用 ESP協(xié)議。 [Quidwayipsecproposaltran1] transform esp 選擇算法。 [Quidwayipsecproposaltran1] esp encryptionalgorithm des [Quidwayipsecproposaltran1] esp authenticationalgorithm sha1 退回到系統(tǒng)視圖。 [Quidwayipsecproposaltran1] quit 配置 IKE對(duì)等體。 [Quidway] ike peer peer [Quidwayikepeerpeer] presharekey abcde [Quidwayikepeerpeer] remote address 創(chuàng)建一條安全策略，協(xié)商方式為 isakmp。 [Quidway] ipsec policy map1 10 isakmp 引用安全提議。 [Quidwayipsecpolicyisakmpmap110] proposal tran1 引用訪問控制列表。 [Quidwayipsecpolicyisakmpmap110] security acl 101 引用 IKE對(duì)等體。 [Quidwayipsecpolicyisakmpmap110] ike peer peer 退回到系統(tǒng)視圖。 [Quidwayipsecpolicyisakmpmap110] quit 進(jìn)入串口配置視圖。 [Quidway] interface serial 12/0/1 配置串口的 IP地址。 [QuidwaySerial12/0/1] ip address 在串口上應(yīng)用安全策略組。 [QuidwaySerial12/0/1] ipsec policy map1 退回到系統(tǒng)視圖。 [QuidwaySerial12/0/1] quit (2) 配置 Router B 配置一個(gè)訪問控制列表，定義由子網(wǎng) 。 [Quidway] acl number 101 [Quidwayacladv101] rule permit ip source destination [Quidwayacladv101] rule deny ip source any destination any 配置到 PC A的靜態(tài)路由。 [Quidway] ip routestatic 創(chuàng)建名為 tran1的安全提議。 [Quidway] ipsec proposal tran1 報(bào)文封裝形式采用隧道模式。 [Quidwayipsecproposaltran1] encapsulationmode tunnel 安全協(xié)議采用 ESP協(xié)議。 [Quidwayipsecproposaltran1] transform esp 選擇算法。 [Quidwayipsecproposaltran1] esp encryptionalgorithm des [Quidwayipsecproposaltran1] esp authenticationalgorithm sha1 退回到系統(tǒng)視圖。 [Quidwayipsecproposaltran1] quit 配置 IKE對(duì)等體。 [Quidway] ike peer peer [Quidwayikepeerpeer] presharekey abcde [Quidwayikepeerpeer] remoteaddress 創(chuàng)建一條安全策略，協(xié)商方式為 isakmp。 [Quidway] ipsec policy use1 10 isakmp 引用訪問控制列表。 [Quidwayipsecpolicyisakmpuse110] security acl 101 引用安全提議。 [Quidwayipsecpolicyisakmpuse110] proposal tran1 引用 IKE對(duì)等體。 [Quidwayipsecpolicyisakmpmap110] ike peer peer 退回到系統(tǒng)視圖。 [Quidwayipsecpolicyisakmpuse110] quit 進(jìn)入串口配置視圖。 [Quidway] interface serial 4/1/2 配置串口的 IP地址。 [QuidwaySerial4/1/2] ip address 在串口上應(yīng)用安全策略組。 [QuidwaySerial4/1/2] ipsec policy use1 退回到系統(tǒng)視圖。 [QuidwaySerial4/1/2] quit 以上配置完成后， Router A和 Router B之間如果有子網(wǎng) ，將觸發(fā) IKE進(jìn)行協(xié)商建立安全聯(lián)盟。 IKE協(xié)商成功并創(chuàng)建了安全聯(lián)盟后，子網(wǎng) 被加密傳輸。 第 6章 電子郵件安全管理 電子郵件概述 電子郵件使用的協(xié)議 電子郵件發(fā)送方式的安全 電子郵件加密工具 Exchange郵件服務(wù)器的安全配置與管理 現(xiàn)在的 Inter上，使用最廣泛的應(yīng)用服務(wù)之一就是電子郵件服務(wù)，上網(wǎng)的人每人幾乎至少有一個(gè)郵箱， E－ mail是一個(gè)時(shí)髦的詞，每個(gè)人都離不開電子郵件，因?yàn)樗呀?jīng)成為互聯(lián)時(shí)代必不可少的產(chǎn)物，它使用天南海北的人的距離拉的很近，很多的信息交流在幾秒內(nèi)就可以在網(wǎng)上傳遞，并且電子郵箱中有我們許多個(gè)人的隱私。因此在本章中詳細(xì)講述一下電子郵件系統(tǒng)的安全知識(shí)，并且講述對(duì)電子郵件服務(wù)器 Exchange的安全配置。 167。 電子郵件概述 電子郵件是一種利用電子手段提供信息交換的通信方式，是因特網(wǎng)中應(yīng)用服務(wù)中用戶最多，使用最廣泛的一類服務(wù)。當(dāng)前電子郵件系統(tǒng)提供了進(jìn)行復(fù)雜通信和交互服務(wù)的功能，主要是接發(fā)電子郵件和對(duì)郵件作各種處理。這就是電子郵件的一個(gè)子系統(tǒng)，用戶代理。 電子郵件的另一個(gè)子系統(tǒng)是消息傳輸代理，顧名思義就是傳送郵件消息。電子郵件傳遞與其它應(yīng)用服務(wù)的不同之處在于：當(dāng)接收端網(wǎng)絡(luò)出現(xiàn)故障時(shí)郵件系統(tǒng)還必須提供服務(wù)，而其它服務(wù)則可能重發(fā)幾次后中止。在電子郵件系統(tǒng)中采用了緩存技術(shù)，當(dāng)用戶發(fā)送一個(gè)郵件消息時(shí)，系統(tǒng)將郵件副本與發(fā)送者，目的機(jī)器的標(biāo)識(shí)及時(shí)間放入獨(dú)有的存儲(chǔ)區(qū)，然后使用后臺(tái)進(jìn)程完成郵件的發(fā)送。 后臺(tái)的進(jìn)程用域名系統(tǒng)將目的機(jī)器映射為 IP地址，然后建立 TCP連接。連接成功后把報(bào)文的副本傳遞給目的主機(jī)，當(dāng)目的主機(jī)發(fā)回已收到報(bào)文認(rèn)可后，在緩存中刪除副本；如果建立連接不成功，后臺(tái)進(jìn)將程將嘗試在幾天內(nèi)發(fā)送，如果仍沒傳送成功，將給郵件發(fā)送者發(fā)送失敗報(bào)告。 167。 電子郵件使用的協(xié)議 POP郵局協(xié)議是個(gè)說明 PC機(jī)如何與 Inter上的郵件服務(wù)器連接及如何下載 Email的協(xié)議。 POP郵局協(xié)議負(fù)責(zé)將郵件通過 SLIP/PPP連接傳送到用戶的主機(jī)上，它是一種只負(fù)責(zé)接收的協(xié)議，不能通過它發(fā)送郵件。目前流行的版本是 POP3協(xié)議，它是一種從遠(yuǎn)程郵箱中讀取電子郵件的簡單協(xié)議。 POP郵局協(xié)議 167。 IMAP交互式電子郵件訪問協(xié)議 IMAP交互式電子郵件訪問協(xié)議（ Inter Message Acc