【正文】 訪問協(xié)議的很少， 21CN是少數(shù)之一 167。通過 SMTP協(xié)議所指定的服務(wù)器，就可以把 Email寄到收信人的服務(wù)器上。 167。這個(gè) Email協(xié)議可以讓用戶遠(yuǎn)程撥號(hào)連接 Inter服務(wù)器，并且可以在下載郵件之前預(yù)覽郵件的主題與來源，還可以選擇是否下載附件，可以是郵件的一部分或是郵整體。 POP郵局協(xié)議 167。 POP郵局協(xié)議負(fù)責(zé)將郵件通過 SLIP/PPP連接傳送到用戶的主機(jī)上，它是一種只負(fù)責(zé)接收的協(xié)議，不能通過它發(fā)送郵件。 167。 后臺(tái)的進(jìn)程用域名系統(tǒng)將目的機(jī)器映射為 IP地址，然后建立 TCP連接。電子郵件傳遞與其它應(yīng)用服務(wù)的不同之處在于：當(dāng)接收端網(wǎng)絡(luò)出現(xiàn)故障時(shí)郵件系統(tǒng)還必須提供服務(wù)，而其它服務(wù)則可能重發(fā)幾次后中止。這就是電子郵件的一個(gè)子系統(tǒng)，用戶代理。 電子郵件概述 電子郵件是一種利用電子手段提供信息交換的通信方式，是因特網(wǎng)中應(yīng)用服務(wù)中用戶最多，使用最廣泛的一類服務(wù)。因此在本章中詳細(xì)講述一下電子郵件系統(tǒng)的安全知識(shí)，并且講述對(duì)電子郵件服務(wù)器 Exchange的安全配置。 IKE協(xié)商成功并創(chuàng)建了安全聯(lián)盟后，子網(wǎng) 被加密傳輸。 [QuidwaySerial4/1/2] ipsec policy use1 退回到系統(tǒng)視圖。 [Quidway] interface serial 4/1/2 配置串口的 IP地址。 [Quidwayipsecpolicyisakmpmap110] ike peer peer 退回到系統(tǒng)視圖。 [Quidwayipsecpolicyisakmpuse110] security acl 101 引用安全提議。 [Quidway] ike peer peer [Quidwayikepeerpeer] presharekey abcde [Quidwayikepeerpeer] remoteaddress 創(chuàng)建一條安全策略，協(xié)商方式為 isakmp。 [Quidwayipsecproposaltran1] esp encryptionalgorithm des [Quidwayipsecproposaltran1] esp authenticationalgorithm sha1 退回到系統(tǒng)視圖。 [Quidwayipsecproposaltran1] encapsulationmode tunnel 安全協(xié)議采用 ESP協(xié)議。 [Quidway] ip routestatic 創(chuàng)建名為 tran1的安全提議。 [QuidwaySerial12/0/1] quit (2) 配置 Router B 配置一個(gè)訪問控制列表，定義由子網(wǎng) 。 [QuidwaySerial12/0/1] ip address 在串口上應(yīng)用安全策略組。 [Quidwayipsecpolicyisakmpmap110] quit 進(jìn)入串口配置視圖。 [Quidwayipsecpolicyisakmpmap110] security acl 101 引用 IKE對(duì)等體。 [Quidway] ipsec policy map1 10 isakmp 引用安全提議。 [Quidwayipsecproposaltran1] quit 配置 IKE對(duì)等體。 [Quidwayipsecproposaltran1] transform esp 選擇算法。 [Quidway] ipsec proposal tran1 報(bào)文封裝形式采用隧道模式。 [Quidway] acl number 101 [Quidwayacladv101] rule permit ip source destination [Quidwayacladv101] rule deny ip source any destination any 配置到 PC B的靜態(tài)路由。安全協(xié)議采用 ESP協(xié)議，加密算法采用 DES，驗(yàn)證算法采用 SHA1HMAC96。如果指定參數(shù) parameters，由于安全聯(lián)盟是成對(duì)出現(xiàn)的，刪除了一個(gè)方向安全聯(lián)盟，另一個(gè)方向安全聯(lián)盟也隨之被刪除。在用戶視圖下進(jìn)行下列操作： 刪除安全聯(lián)盟 reset ipsec sa [ remote ipaddress | policy policyname [ seqnumber ] | parameters destaddress protocol spi ] 對(duì)于通過 IKE協(xié)商建立的安全聯(lián)盟，被刪除后如果有報(bào)文重新觸發(fā) IKE協(xié)商， IKE將重新協(xié)商建立安全聯(lián)盟。在用戶視圖下進(jìn)行下列操作： 清除 IPSec的報(bào)文統(tǒng)計(jì)信息 reset ipsec statistics 刪除安全聯(lián)盟，此配置任務(wù)刪除已經(jīng)建立的安全聯(lián)盟（無論是手工建立的還是通過 IKE協(xié)商建立的）。 display命令可在所有視圖下進(jìn)行操作， debugging命令只能在用戶視圖下操作。 IPSec能夠?qū)Σ煌臄?shù)據(jù)流施加不同的安全保護(hù)，因此 IPSec配置的第一步就是定義數(shù)據(jù)流。一個(gè)數(shù)據(jù)流用一個(gè) ACL來定義，所有匹配一個(gè)訪問控制列表規(guī)則的流量，在邏輯上作為一個(gè)數(shù)據(jù)流。其中數(shù)據(jù)流的區(qū)分通過配置 ACL來進(jìn)行；安全保護(hù)所用到的安全協(xié)議、驗(yàn)證算法和加密算法、操作模式等通過配置安全提議來進(jìn)行；數(shù)據(jù)流和安全提議的關(guān)聯(lián)（即定義對(duì)何種數(shù)據(jù)流實(shí)施何種保護(hù)）、 SA的協(xié)商方式、對(duì)等體 IP地址的設(shè)置（即保護(hù)路徑的起 /終點(diǎn)）、所需要的密鑰和 SA的生存周期等通過配置安全策略來進(jìn)行；最后在路由器接口上實(shí)施安全策略即完成了 IPSec的配置。用 IKE創(chuàng)建安全策略包括在安全策略中引用安全提議、在安全策略中引用訪問控制列表、在安全策略中引用 IKE對(duì)等體、配置安全聯(lián)盟生存周期（可選）和配置協(xié)商時(shí)使用的 PFS特性。 (3) 創(chuàng)建安全策略包括手工創(chuàng)建安全策略和用 IKE創(chuàng)建安全策略手工創(chuàng)建安全策略。 (4) 接口實(shí)施安全策略 在接口上應(yīng)用安全策略組，安全策略組中的所有安全策略同時(shí)應(yīng)用在這個(gè)接口上，從而實(shí)現(xiàn)對(duì)流經(jīng)這個(gè)接口的不同的數(shù)據(jù)流進(jìn)行不同的安全保護(hù)。安全策略組是所有具有相同名字、不同順序號(hào)的安全策略的集合。一條安全策略由 “名字”和“順序號(hào)”共同唯一確定。因此，請先根據(jù)需要配置好一個(gè)安全提議，以便下一步將數(shù)據(jù)流和安全提議相關(guān)聯(lián)。對(duì)同一數(shù)據(jù)流，對(duì)等體兩端必須設(shè)置相同的協(xié)議、算法和操作模式。其中， AH支持 MD5和 SHA1驗(yàn)證算法； ESP協(xié)議支持 MD SHA1驗(yàn)證算法和 DES、 3DES加密算法。 (2) 定義安全提議 安全提議規(guī)定了對(duì)要保護(hù)的數(shù)據(jù)流所采用的安全協(xié)議、驗(yàn)證或加密算法、操作模式（即報(bào)文的封裝方式）等。一個(gè)數(shù)據(jù)流可以小到是兩臺(tái)主機(jī)之間單一的 TCP連接；也可以大到是兩個(gè)子網(wǎng)之間所有的流量。主要步驟如下： （ 1）定義被保護(hù)的數(shù)據(jù)流 數(shù)據(jù)流是一組流量（ traffic）的集合，由源地址 /掩碼、目的地址 /掩碼、IP報(bào)文承載的協(xié)議號(hào)、源端口號(hào)、目的端口號(hào)等來規(guī)定。 IPSec在 VRP上的配置與實(shí)現(xiàn)方法 IPSec實(shí)現(xiàn)方式是基于下列思路：通過 IPSec，對(duì)等體之間（此處是指VRP所在路由器及其對(duì)端）能夠?qū)Σ煌臄?shù)據(jù)流實(shí)施不同的安全保護(hù)（驗(yàn)證、加密或兩者同時(shí)使用）。 IKE為 IPSec提供了自動(dòng)協(xié)商交換密鑰、建立安全聯(lián)盟的服務(wù)，能夠簡化 IPSec的使用和管理。對(duì)于中、大型的動(dòng)態(tài)網(wǎng)絡(luò)環(huán)境中，推薦使用 IKE協(xié)商建立安全聯(lián)盟。而后者則相對(duì)比較簡單，只需要配置好 IKE協(xié)商安全策略的信息，由 IKE自動(dòng)協(xié)商來創(chuàng)建和維護(hù)安全聯(lián)盟。 4. 協(xié)商方式 有兩種協(xié)商方式建立安全聯(lián)盟，一種是手工方式（ manual），一種是IKE自動(dòng)協(xié)商（ isakmp）方式。 3DES（ Triple DES）：使用三個(gè) 56bit的 DES密鑰（共 168bit密鑰）對(duì)明文進(jìn)行加密。加密算法實(shí)現(xiàn)主要通過對(duì)稱密鑰系統(tǒng)，它使用相同的密鑰對(duì)數(shù)據(jù)進(jìn)行加密和解密。 SHA1的摘要長于 MD5，因而是更安全的。一般來說 IPSec使用兩種驗(yàn)證算法： MD5： MD5通過輸入任意長度的消息，產(chǎn)生 128bit的消息摘要。驗(yàn)證算法的實(shí)現(xiàn)主要是通過雜湊函數(shù)，雜湊函數(shù)是一種能夠接受任意長的消息輸入，并產(chǎn)生固定長度輸出的算法，該輸出稱為消息摘要。在隧道模式下， AH或 ESP插在原始 IP頭之前，另外生成一個(gè)新頭放到 AH或 ESP之前。 SA中指定了協(xié)議的操作模式。 IKE協(xié)商并不是必須的， IPSec所使用的策略和算法等也可以手工協(xié)商。對(duì)于 AH和 ESP，都有兩種操作模式：傳輸模式和隧道模式。 ESP（ Encapsulating Security Payload）是封裝安全載荷協(xié)議，它除提供AH協(xié)議的所有功能之外（數(shù)據(jù)完整性校驗(yàn)不包括 IP頭），還可提供對(duì) IP報(bào)文的加密功能。并且還可以通過 IKE（ Inter Key Exchange，因特網(wǎng)密鑰交換協(xié)議）為 IPSec提供了自動(dòng)協(xié)商交換密鑰、建立和維護(hù)安全聯(lián)盟的服務(wù)，以簡化IPSec的使用和管理。 防重放（ Antireplay）指防止惡意用戶通過重復(fù)發(fā)送捕獲到的數(shù)據(jù)包所進(jìn)行的攻擊，即接收方會(huì)拒絕舊的或重復(fù)的數(shù)據(jù)包。 完整性（ Data integrity）指對(duì)接收的數(shù)據(jù)進(jìn)行驗(yàn)證，以判定報(bào)文是否被篡改。特定的通信方之間在 IP層通過加密與數(shù)據(jù)源驗(yàn)證等方式，來保證數(shù)據(jù)報(bào)在網(wǎng)絡(luò)上傳輸時(shí)的私有性、完整性、真實(shí)性和防重放。 〔 QEther0/0/0]firewall packe七一 fil七 er 101 inbound 將規(guī)則 102作用于從接口 Serial1 /0/0進(jìn)入的包。 〔 Qacladv101] rule permi ip source 0 〔 Qacladv101] rule permi ip source 0 〔 Qacladv101] rule permi ip source 0 〔 Qacladv101] rule permi ip source 0 創(chuàng)建訪問控制列表 102 〔 Q] acl number 102 配置規(guī)則允許特定用戶從外部網(wǎng)訪問內(nèi)部服務(wù)器。 「 Q]firewall default permit 創(chuàng)建訪問控制列表 1010 〔 Q] acl number 101 酉己置規(guī)則禁 }入所有 IP包通過。 假定外部特定用戶的 IP地址為 3．配置步驟： 在路由器 Q上允許防火墻。公司內(nèi)部對(duì)外提供 WWW. FTP和 Tel服務(wù)，公司內(nèi)部子網(wǎng)為 ，內(nèi)部 FTP服務(wù)器地址為，內(nèi)部 Tel服務(wù)器地址為 ，內(nèi)部 WWW服務(wù)器地址為 ，公司對(duì)外地址為 0在路由器上配置了地址轉(zhuǎn)換，這樣內(nèi)部 PC機(jī)可以訪問 Inter，外部 PC可以訪問內(nèi)部服務(wù)器。在配置訪問控制列表的規(guī)則之前，首先需要?jiǎng)?chuàng)建一個(gè)訪問控制列表?？梢越y(tǒng)計(jì)雙向的報(bào)文流量，統(tǒng)計(jì)結(jié)果即可以是報(bào)文的字?jǐn)?shù)，也可以是報(bào)文的包數(shù)。 報(bào)文統(tǒng)計(jì) (Packet Gathering)技術(shù)：管理員確定要統(tǒng)計(jì)的報(bào)文流向，即從何處而來 (報(bào)文的源地址 )，準(zhǔn)備去和一哪里 (報(bào)文的口的地址 )。既可以是 IP地址對(duì)，也可以是 MAC地址對(duì)。這時(shí)進(jìn)入或離開路由器的所有 ICM P報(bào)文都會(huì)被拷貝到監(jiān)控端，連接到該端口的網(wǎng)絡(luò)分析儀能同時(shí)收到該報(bào)文進(jìn)行分析。監(jiān)控端口一般接報(bào)文 /協(xié)議分析儀，用于報(bào)文 /協(xié)議分析。如果配置的規(guī)則合理，在這一層能夠過濾掉很多有安全隱患的數(shù)據(jù)包。 使用的技術(shù)如下： 包過濾（ Packet Filtering )技術(shù)指對(duì)每個(gè)數(shù)據(jù)包按照用戶所定義的項(xiàng)日進(jìn)行過濾，如比較數(shù)據(jù)包的源地址、口的地址是否符合規(guī)則等。 管理員只能對(duì)懷疑的數(shù)據(jù)包作出丟棄決定 ， 但不能監(jiān)控那些存在安全隱患的數(shù)據(jù)包 。 而采用訪問控制列表 ， 則路由器在轉(zhuǎn)發(fā)某個(gè)數(shù)據(jù)包之前 ， 將會(huì)參考訪問控制列表中的內(nèi)容以確定是否轉(zhuǎn)發(fā) 。 路由器的訪問控制列表在創(chuàng)建后將應(yīng)用路由器的端口上 。對(duì)到達(dá)端口的數(shù)據(jù)包進(jìn)行分類，并打上不同的動(dòng)作標(biāo)記，訪問列表作用于路由器的所有端口，訪問列表的主要用途有： 包過濾、鏡像、流限制、流統(tǒng)計(jì)、分配隊(duì)列優(yōu)先級(jí)等。在使用訪問控制列表之前，安全管理員必須非常清楚當(dāng)前網(wǎng)絡(luò)環(huán)境的安全規(guī)劃，和潛在的安全問題。同樣，如果某類服務(wù)僅在網(wǎng)絡(luò)外部是必須的，則管理員還應(yīng)將該服務(wù)限制在網(wǎng)絡(luò)外部。如果是部分用戶需要，則應(yīng)當(dāng)為該服務(wù)規(guī)劃權(quán)限，禁止無權(quán)限的用戶使用該服務(wù)。如果該服務(wù)不必要，則應(yīng)當(dāng)禁止該服務(wù)。對(duì)某類服務(wù)而言，安全管理員首先應(yīng)該考慮該服務(wù)是否有必要運(yùn)行在當(dāng)前環(huán)境中。 [Quidway] radius sharedkey thisismysecret [Quidway] radius retry 4 [Quidway] radius timer responsetimeout 2 [Quidway] radius timer quiet 1 啟動(dòng) FTP服務(wù)器。 [Quid