h3c sr8800高安全性技术白皮书

1、：安全性、ARP、URPF摘要：本篇文档介绍了SR8800产品安全性相关的内容，按接入、路由转发和管理等几方面进行阐述。缩略语：第1页，共31页缩略语英文全名中文解释URPFUnicast Reverse Path Forwarding单播反向路径转发SSHSecure S安全外壳目 录概述4接入安全性4端口安全4MAC认证52.3 802.1x认证62.3.1 802.1x的体系结构62.3.2 802.1x的基本概念7Portal认证8Portal的系统组成92.5 VLAN端口功能10广播流量抑止11STP保护功能11ARP源抑制功能122.9 ARP防IP报文功能13ARP防ARP防功

2、能13功能132.12ARP功能14协议端口保护功能14报文上送限制和优先级分类上送功能142.15 主动对报文进行功能14路由转发安全性15路由协议加密认证15IP Source Guard功能15URPF15海量双向ACL16IPSec16NetStream193.7（FW）203.7.1滤简介203.7.2 ASPF简介214 管理安全性25第2页，共31页4.1 用户管理25用户等级管理25信息中心25SSH26算法和密钥26非对称密钥算法26SSH2.0工作过程27RADIUS29NQA30第3页，共31页1概述在网络应用越来越广泛的今天，用户对网络的安全性要求越来越高。作为高端路由

3、器，充分考虑了产品的高安全性要求，从接入、路由协议到设备管理多方面多层次设计，有效地满足了用户的要求。随着网络技术的普及，网络行为出现得越来越频繁。通过各种，只要的泛滥，也加具有一般计算机的初学者也能完成对网络的。各种网络。目前， ernet网络上常见的安全剧了网络被的分为以下几类：使用：资源被未的用户（也可以称为用户）或以未方式（权限）使用。例如，使用资源。者通过猜测帐号和的组合，从而进入计算机系统以服务：服务器合法用户正常信息或资源的请求。例如，者短时间内使用大量数据包或畸形报文向服务器不断发起连接或请求回应，致使服务器负荷过重而不能处理合法任务。设备：设备的ARP、MAC等重要资源，在短

4、时间内使ARP、MAC等地址空间迅速填满，正常用户无法接入网络。信息：者并不直接目标系统，而是通过网络来获取重要数据或信息。数据篡改：者对系统数据或消息流进行有选择的修改、删除、延误、重排序及虚假消息等操作，而使数据的一致性被破坏。一直是ERNET技术发展的重要研究课题。随着以太网技术的发展，人们越来越以太网技术需要安全的保驾护航。路由技术如何和安全技术融合，提供给企业用户一个安全、可靠的网络环境是以太网交换机在组网应用中一个常见。为了能够确保用户的安全需求，SR8800提供入安全、路由转发安全、管理安全等。的解决思路：包括接2接入安全性2.1 端口安全端口安全是一种基于MAC地址的安全机制。

5、这种机制通过检测数据帧中的源MAC第4页，共31页设备对网络的，通过检测数据帧中的目的MAC地址来控制。地址来控制非对非设备的端口安全的主要功能是通过定义各种端口安全模式，让设备学习到合法的源MAC地址，以达到相应的网络管理效果。启动了端口安全功能之后，当发现报文时，系统将触发相应特性，并按照预先指定的方式进行处理，既方便用户的管理又提高了系统的安全性。报文包括：2.2MAC认证MAC地址认证是一种基于端口和MAC地址对用户的网络权限进行控制的认证方法，它不需要用户安装任何客户端。设备在首次检测到用户的MAC地址以后，即启动对该用户的认证操作。认证过程中，也不需要用户手动输入用户名或者。目前设

6、备支持两种方式的MAC地址认证：认证方式确定后，可根据需求选择MAC认证用户名的类型，包括以下两种方式：1. RADIUS服务器认证方式进行MAC地址认证当选用RADIUS服务器认证方式进行MAC地址认证时，设备作为RADIUS客户端，与RADIUS服务器配合完成MAC地址认证操作：第5页，共31页采用 MAC 地址用户名时，设备将检测到的用户 MAC 地址作为用户名和发送给 RADIUS 服务器。MAC 地址用户名：使用用户的 MAC 地址作为认证时的用户名和；固定用户名：不论用户的 MAC 地址为何值，所有用户均使用在设备上预先配置的本地用户名和进行认证。通过 RADIUS（Remote

7、Authentication Dial-In User Service，认证拨号用户服务）服务器认证。本地认证。MAC 地址学习时，收到的源 MAC 地址为未知 MAC 的报文；端口学习到的 MAC 地址达到端口所允许的最大 MAC 地址数后，收到的源MAC 地址为未知 MAC 的报文；未通过认证的用户发送的报文。RADIUS服务器完成对该用户的认证后，认证通过的用户可以网络。2. 本地认证方式进行MAC地址认证当选用本地认证方式进行MAC地址认证时，直接在设备上完成对用户的认证。需要在设备上配置本地用户名和：2.3 802.1x认证IEEE802 LAN/WAN为解决无线局域网问题，提出了8

8、02.1x协议。后来，802.1x协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用，主要解决以太网内认证和安全方面。802.1x协议是一种基于端口的网络接入控制协议（port based network acscontrol protocol）。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以局域网中的资源；如果不能通过认证，则无法局域网中的资源2.3.1 802.1x的体系结构802.1x 系统为典型的Cnt/Server 结构，如下图所示，包括三个实体：客户端（Cnt）、设备端（Device

9、）和认证服务器（Server）。图1 802.1x认证系统的体系结构第6页，共31页客户端是位于局域网段一端的一个实体，由该链路另一端的设备端对其进行认证。客户端一般为一个用户终端设备，用户可以通过启动客户端发起采用 MAC 地址用户名时，需要配置的本地用户名为各接入用户的 MAC 地址。采用固定用户名时，需要配置的本地用户名为自定义的，所有用户对应的用户名和与自定义的一致。采用固定用户名时，设备将已经在本地配置的用户名和作为待认证用户的用户名和，发送给 RADIUS 服务器。2.3.2802.1x的基本概念下图显示了受控端口上不同的状态对通过该端口报文的影响。图中对比了两个802.1x认证系

10、统的端口状态。系统1的受控端口处于非状态（相当于端口开关打开），系统2的受控端口处于状态（相当于端口开关关闭）。图2 受控端口上状态的影响第7页，共31页802.1x 认证。客户端必须支持 EAPOL（Extensible Authentication Protocol over LAN，局域网上的可扩展认证协议）。设备端是位于局域网段一端的另一个实体，对所连接的客户端进行认证。设备端通常为支持 802.1x 协议的网络设备，它为客户端提供接入局域网的端口，该端口可以是物理端口，也可以是逻辑端口。认证服务器是为设备端提供认证服务的实体。认证服务器用于实现对用户进行认证、 和计费，通常为 RAD

11、IUS（Remote Authentication Dial-In User Service， 认证拨号用户服务）服务器。802.1x 认证系统使用 Extensible Authentication Protocol，可扩展认证协议），来实现客户端、设备端和认证服务器之间认证信息的交换。在客户端与设备端之间，EAP 协议报文使用 EAPOL 封装格式，直接承载于LAN 环境中。在设备端与 RADIUS 服务器之间，可以使用两种方式来交换信息。一种是 EAP 协议报文使用 EAPOR（EAP over RADIUS）封装格式承载于 RADIUS协议中；另一种是 EAP 协议报文由设备端进行终结

12、，采用包含 PAP（Password Authentication Protocol，验证协议）或 CHAP（Challenge Handshake Authentication Protocal ，质询握手验证协议） 属性的报文与RADIUS 服务器进行认证交互。1. 受控/非受控端口设备端为客户端提供接入局域网的端口，这个端口被划分为两个逻辑端口：受控端口和非受控端口。任何到达该端口的帧，在受控端口与非受控端口上均可见。2./非状态设备端利用认证服务器对需要接入局域网的客户端执行认证，并根据认证结果（Accept或Reject）对受控端口的/非状态进行相应地控制。用户可以通过在端口下配置的

13、接入控制的模式来控制端口的状态。端口支持以下三种接入控制模式：3. 受控方向在非状态下，受控端口可以被设置成单向受控和双向受控。2.4 Portal认证Portal在英语中是称为门户的意思。Portal认证通常也称为WEB认证，一般将Portal认证。未认证用户上网时，设备强制用户登录到特定站点（门户主页），用户可以免费其中的服务。当用户需要使用互联网中的其它信息时，必须在门户进行认证，只有认证通过后才可以使用互联网资源。第8页，共31页实行双向受控时，帧的发送和接收；实行单向受控时，从客户端接收帧，但允许向客户端发送帧。强制模式（authorized-force）：表示端口始终处于状态，允许

14、用户不经认证即可网络资源。强制非模式（unauthorized-force）：表示端口始终处于非状态，不允许用户进行认证。设备端不对通过该端口接入的客户端提供认证服务。自动识别模式（auto）：表示端口初始状态为非状态，仅允许 EAPOL报文收发，不允许用户网络资源；如果认证通过，则端口切换到状态，允许用户网络资源。这也是最常见的情况。非受控端口始终处于双向连通状态，主要用来传递 EAPOL 协议帧，保证客户端始终能够发出或接收认证报文。受控端口在状态下处于双向连通状态，用于传递业务报文；在非状态下从客户端接收任何报文。用户可以主动已知的Portal认证，输入用户名和进行认证，这种开始Port

15、al认证的方式称作主动认证。反之，如果用户试图通过HTTP其他，将被强制Portal认证证。，从而开始Portal认证过程，这种方式称作强制认Portal业务可以为运营商提供方便的管理功能，门户可以开展、社区服务、个性化的业务等，使宽带运营商、设备提供商和内容服务提供商形成一个产业生态系统。2.4.1Portal的系统组成Portal的典型组网方式如下图所示，它由四个基本要素组成：认证客户端、接入设备、Portal服务器和认证/计费服务器。认证客户端安全策略服务器认证客户端接入设备Portal服务器认证客户端认证/计费服务器图3 Portal系统组成示意图1. 认证客户端安装于用户终端的客户端

16、系统，运行HTTP/HTTPS协议的浏览器。2. 接入设备宽带接入设备的统称，主要有两方面的作用：3. Portal服务器接受Portal客户端认证请求的服务端系统，提供免费门户服务和基于WEB认证的界第9页，共31页在认证之前，认证网段内用户的所有 HTTP 请求都被重定向到 Portal 服务器；在认证通过后，允许用户使用互联网。与 Portal 服务器、认证/计费服务器交互，完成认证、计费的功能。面，与接入设备交互认证客户端的认证信息。4. 认证/计费服务器与接入设备进行交互，完成对用户的认证和计费。以上四个基本要素的交互过程为：(1)对于一个未认证用户，在 IE 地址栏中输入一个互联网

17、的地址，那么此 HTTP请求在经过接入设备时会被重定向到 Portal 的WEB 认证主页上；用户在认证主页中输入认证信息后提交，Portal 服务器会将用户的认证信息传递给接入设备；然后接入设备再与认证/计费服务器通信进行认证和计费；(2)(3)(4)如果认证通过，接入设备会打开用户与互联网的通路，允许用户网。互联2.5VLAN端口功能实现同一VLAN内端口之间的。用户只需要将端口加入到组中，就可以实现组内端口之间二层数据的。端口功能为用户提供了更安全、更灵活的组网方案。图4 配置端口组网图为了使组内端口与组外二层互通，用户必须为组配置上行口。对于同VLAN的Host A、B、C三个用户，相

18、互之间是的，但是都能通过Device的GE3/1/1口ernet。第10页，共31页2.6广播流量抑止在接口下进行配置，设置的是接口允许通过的最大广播报文流量。当接口上的广播报文超过用户设置的值后，系统将丢弃超出广播流量限制的报文，从而使接口广播流量所占的比例降低到限定的范围，保证网络业务的正常运行。2.7STP保护功能支持MSTP的设备提供了四种保护功能：1. BPDU保护功能对于接入层设备，接入端口一般直接与用户终端（如PC机）或文件服务器相连，此时接入端口被设置为边缘端口以实现这些端口的快速迁移；当这些端口接收到配置消息（BPDU报文）时系统会自动将这些端口设置为非边缘端口，重新计算生成

19、树，引起网络拓扑结构的变化。这些端口正常情况下应该不会收到STP的配置消息。如果有人配置消息设备，就会引起网络震荡。MSTP提供BPDU保护功能来防止这种：设备上启动了BPDU保护功能后，如果边缘端口收到了配置消息，MSTP就将这些端口关闭，同时通知这些端口被MSTP关闭。被关闭的端口只能由网络管理恢复。2. 根保护功能生成树的根桥及备份根桥应该处于同一个域内，特别是对于CIST的根桥和备份根桥，网络设计时一般会把CIST的根桥和备份根桥放在一个高带宽的域内。但是，由于的错误配置或网络中的，网络中的合法根桥有可能会收到优先级更高的配置消息，这样当前合法根桥会失去根桥的地位，引起网络拓扑结构的错

20、误变动。这种不合法的变动，会导致原来应该通过高速链路的流量被牵引到低速链，导致网络拥塞。为了防止这种情况发生，MSTP提供根保护功能对根桥进行保护：对于设置了根保护功能的端口，其在所有实例上的端口角色只能保持为指定端口。一旦该端口收到第11页，共31页BPDU 保护功能；根保护功能；环路保护功能；防止 TC-BPDU 报文的保护功能。某实例优先级更高的配置消息，立即将该实例端口设置为侦听状态，不再转发报文（相当于将此端口相连的链路断开）。当在2倍的Forward Delay时间内没有收到更优的配置消息时，端口会恢复原来的正常状态。3. 环路保护功能依靠不断接收上游设备发送的BPDU报文，设备可

21、以维持根端口和其他阻塞端口的状态。但是由于链路拥塞或者单向链路故障，这些端口会收不到上游设备的BPDU报文，此时下游设备会重新选择端口角色，收不到BPDU报文的下游设备端口会转变为指定端口，而阻塞端口会迁移到转发状态，从而交换网络中会产生环路。环路保护功能会抑制这种环路的产生。对于配置了环路保护的端口，当接收不到上游设备发送的BPDU报文，环路保护生效时，如果该端口参与了STP计算，则不论其角色如何，该端口上的所有实例将一直被设置为Discarding状态。4. 防止TC-BPDU报文的保护功能设备在接收到TC-BPDU报文（网络拓扑发生变化报文）后，会执行转发地设备时，设备短时间内会址表项的

22、删除操作。在有人TC-BPDU报文收到很多的TC-BPDU报文，频繁的删除操作给设备带来很大负担，给网络的稳定带来很大隐患。通过在设备上使能防止TC-BPDU报文地址表项。的保护功能，可以避免频繁地删除转发防止TC-BPDU报文的保护功能使能后，设备在收到TC-BPDU报文后的10秒内，允许收到TC-BPDU报文后立即进行地址表项删除操作的次数最多为stp tc- protection threshold命令设置的次数（假设命令设置的次数为X）。同时系统会在该时间段内收到的TC-BPDU报文数是否大于X，如果大于X，则设备在该时间超时后再进行一次地址表项删除操作。这样就可以避免频繁地删除转发地

23、址表项。2.8 ARP源抑制功能如果网络中有主机通过向设备发送大量目标IP地址不能则会造成下面的危害：的IP报文来设备，第12页，共31页设备向目的网段产生大量 ARP 请求报文，加重目的网段的负载。为避免这种所带来的危害，设备提供了ARP源抑制功能。开启该功能后，如果网络中某主机向设备某端口连续发送目标IP地址不能的IP报文（当时间内的ARP请求报文的流量超过设置的阈值），对于由此IP地址发出的IP报文，在时间内设备不允许其触发ARP请求，从而避免了所造成的危害。2.9 ARP防IP报文功能在进行IP报文转发过程中，设备需要依靠ARP下一跳IP地址的MAC地址。如直接转发出去，而不需要再由软

24、果地址成功，报文可以直接通过硬件转发件处理；如果地址不成功，需要由进行处理。这样，如果接收到大量下一跳IP地址循环变化并且该IP地址不可达的IP报文，由于下一跳IP地址不成功，会试图反复地对下一跳IP地址进行探测，导致CPU负荷过重，就造成了IP报文对设备的。用户可以通过配置ARP防IP报文功能来预防这种可能存在的情况。在防IP报文功能启用后，一旦接收到下一跳地址不可达的IP报文（即ARP失败的IP报文），设备立即产生一个黑洞路由，使硬件转发在一段时间内将去往该地址的报文直接丢弃。等待黑洞路由老化时间过后，报文触发则再次发起，如果成功则由硬件进行转发，否则仍然下发黑洞路由。这种方式能够有效的防

25、止异常IP报文的，保护系统。2.10 ARP防功能当设备学习到用户ARP后，如果者模拟用户发送的ARP请求，则用户的ARP表项被篡改，设备就不能再把报文发给用户导致用户业务中断。使能的ARP防后，对于已经存在的ARP表项，当有ARP报文触发ARP更新时，设备会反向发送单播ARP请求，确认该ARP报文的地址正确性，如果是的，则设备不会更新ARP表项，保证设备与用户间的报文转发。者是不会做出回应2.11 ARP防功能如果网络中有主机通过向设备发送大量目标IP地址不能则会造成下面的危害：的IP报文来设备，第13页，共31页设备向目的网段产生大量 ARP 请求报文，加重目的网段的负载。设备会不断目标

26、IP 地址，增加了 CPU 的负担。为避免这种所带来的危害，设备提供了ARP源抑制功能。开启该功能后，如果网络中某主机向设备某端口连续发送目标IP地址不能的IP报文（当每5秒内的ARP请求报文的流量超过设置的阈值），对于由此IP地址发出的IP报文，设备不允许其触发ARP请求，直至5秒后再处理，从而避免了所造成的危害。2.12ARP功能所谓ARP（Authorized ARP），就是根据DHCP服务器生成的租约或者DHCP中继生成的安全表项同步生成ARP表项。ARP功能可以检测用户的址或MAC地址对网络进行网络的安全性。下线，并且可以防止用户仿冒其他用户的IP地，保证只有合法的用户才能使用网络资

27、源，增加了2.13协议端口保护功能为了保护设备不被网络上的其它用户对端口的，在默认状态下，设备各接入端口上的各协议状态是关闭的，其它设备发送过来的相关协议报文不会被系统处理，这样就不会被。只有当该端口上的相关协议使能后，该协议的端才被放开，系统就能正常处理了。2.14报文上送限制和优先级分类上送功能为了避免因某种协议报文中进行了两种保护：导致系统无法处理其它任务而导致系统故障，在设备(1)根据协议任务的优先级对协议报文的处理进行了优先级分类，保证高优先级的协议报文优先处理；(2)对每个协议报文的系统处理能力进行了限制，某种协议报文的冲击不会影响其它协议报文的正常处理。2.15主动对报文进行功能

28、控制，根据源的MAC，IP或VLAN当确认某种报文后，可以通过后端等信息主动下发防规则，对该流进行，使系统恢复正常。第14页，共31页设备会不断目标 IP 地址，增加了 CPU 的负担。3 路由转发安全性3.1路由协议加密认证为了避免路由信息外泄或者对路由器进行，路由器提供报文验证功能。对所有动态协议RIPF、ISIS、BGP都可以支持明文或MD5认证。3.2IP Source Guard功能通过IP Source Guard绑定功能，可以对端口转发的报文进行过滤控制，防止报文通过端口，提高了端口的安全性。端口接收到报文后查找IP Source Guard绑定表项，如果报文中的特征项与绑定表项

29、中文，否则做丢弃处理。的特征项匹配，则端口转发该报IP Source Guard支持的报文特征项包括：源IP地址、源MAC地址和VLAN并且，可支持端口与如下特征项的组合（下文简称绑定表项）：。端口所支持绑定表项的种类与设备的型号有关，请以设备的实际情况为准。该特性提供两种触发绑定的机制：一种是通过手工配置方式提供绑定表项，称为静态绑定；另外一种由DHCP Snoo或者DHCP Relay提供绑定表项，称为动态绑定。而且，绑定是针对端口的，一个端口被绑定后，仅该端口被限制，其他端口不受该绑定影响。3.3URPFURPF（Unicast Reverse Path Forwarding，单播反向路

30、径转发）的主要功能是用于防止基于源地址的网络行为。源地址为者构造出一系列带有源地址的报文，对于使用基于IP地址验证的应用来说，此方法可以导致未被用户以他人获得系统的权限，甚至是以管理员权限来。即使响应报文不能达到者，同样也会造成对被对象的破坏。第15页，共31页IP、MAC、IPMACIPVLAN、MACVLAN、IPMACVLAN图5 源地址示意图通过URPF技术，如果在Router A上源地址为/8的报文，向Router B发起请求，Router B将不会响应该请求，只对从Router C上过来的/8的报文请求做出响应，这样就可以基于源地址的。3.4海量双向ACL通过流量管理技术，可以对网

31、络流量及其分配的资源实施控制，保证设备提供有效的转发服务和控制。设备支持流分类、流量、流量整形、拥塞管理和拥塞避免等技术，最大可以支持64K的规则下发，支持入出双向的ACL控制，可以从容地进行各种流量管理工作。3.5IPSecIPSec（IP Security）是IETF制定的三层隧道加密协议，它为 ernet上传输的数据提供了高质量的、可互操作的、基于学的安全保证。特定的通信方之间在IP层通过加密与数据源认证等方式，提供了以下的安全服务：可以通过IKE（ ernet Key Exchange，因特网密钥交换协议）为IPSec提供自动协商交换密钥、建立和安全的服务，以简化IPSec的使用和管理

32、。IKE协商并不是必须的，IPSec所使用的策略和算法等也可以手工协商。第16页，共31页数据性（ity）：IPSec 发送通过网络传输包前对包进行加密。数据完整性（Dataegrity）：IPSec 接收发送方发送来的包进行认证，以确保数据在传输过程中没有被篡改。数据来源认证（Data Authentication）：IPSec 在接收端可以认证发送 IPSec报文的发送端是否合法。防重放（Anti-Replay）：IPSec 接收方可检测并接收过时或重复的报文。1. IPSec的实现IPSec通过如下两种协议来实现安全服务：AH和ESP可以单独使用，也可以联合使用。设备支持的AH和ESP联

33、合使用的方式为：先对报文进行ESP封装，再对报文进行AH封装，封装之后的报文从内到外依次是原始IP报文、ESP头、AH头和外部IP头。2. IPSec基本概念3. 安全（Security Assotion，SA）IPSec在两个端点之间提供安全通信，端点被称为IPSec对等体。SA是IPSec的基础，也是IPSec的本质。SA是通信对等体间对某些要素的约定，例如，使用哪种协议（AH、ESP还是两者结合使用）、协议的封装模式（传输模式和隧道模式）、加密算法（DES、3DES和AES）、特定流中保护数据的共享密钥以及密钥的生存周期等。SA是单向的，在两个对等体之间的双向通信，最少需要两个SA来分别

34、对两个方向的数据流进行安全保护。同时，如果两个对等体希望同时使用AH和ESP来进行安全通信，则每个对等体都会针对每一种协议来构建一个独立的SA。SA由一个三元组来唯一标识，这个三元组包括SPI（Security Parameter Index，安全参数索引）、目的IP地址、安全协议号（AH或ESP）。SPI是为唯一标识SA而生成的一个32比特的数值，它在AH和ESP头中传输。在手工配置安全时，需要手工指定SPI的取值。使用IKE协商产生安全将随机生成。时，SPI第17页，共31页AH（Authentication Header）是认证头协议，协议号为 51。主要提供的功能有数据源认证、数据完整

35、性校验和防报文重放功能，可选择的认证算法有 MD5（Message Digest）、SHA-1（Secure Hash Algorithm）等。AH 报文头插在标准 IP 包头后面，保证数据包的完整性和真实性，防止 截获数据包或向网络中 的数据包。ESP（Encapsulating Security Payload）是报文安全封装协议，协议号为 50。与 AH 协议不同的是，ESP 将需要保护的用户数据进行加密后再封装到 IP 包中，以保证数据的 性。常见的加密算法有 DES、3DES、AES 等。同时，作为可选项，用户可以选择 MD5、SHA-1 算法保证报文的完整性和真实性。SA是具有生存

36、周期的，且只对通过IKE方式建立的SA有效。分为两种类型：生存周期到达指定的时间或指定的流量，SA就会失效。SA失效前，IKE将为IPSec协商建立新的SA，这样，在旧的SA失效前新的SA就已经准备好。在新的SA开始协商而没有协商好之前，继续使用旧的SA保护通信。在新的SA协商好之后，则立即采用新的SA保护通信。4. 封装模式IPSec有如下两种工作模式：5. 认证算法与加密算法(1)认证算法认证算法的实现主要是通过杂凑函数。杂凑函数是一种能够接受任意长的消息输入，并产生固定长度输出的算法，该输出称为消息摘要。IPSec对等体计算摘要，如果两个摘要是相同的，则表示报文是完整 篡改的。IPSec

37、使用两种认证算法：MD5算法的计算速度比SHA-1算法快，而SHA-1算法的安全强度比MD5算法高。(2)加密算法加密算法实现主要通过对称密钥系统，它使用相同的密钥对数据进行加密和目前设备的IPSec实现三种加密算法：。第18页，共31页DES（Data Encryption Standard）：使用 56bit 的密钥对一个 64bit 的明文块进行加密。MD5：MD5 通过输入任意长度的消息，产生 128bit 的消息摘要。SHA-1：SHA-1 通过输入长度小于 2 的 64 次方 bit 的消息，产生 160bit 的消息摘要。隧道（tunnel）模式：用户的整个 IP 数据包被用来计

38、算 AH 或 ESP 头，AH或 ESP 头以及 ESP 加密的用户数据被封装在一个新的 IP 数据包中。通常，隧道模式应用在两个安全网关之间的通讯。传输（transport）模式：只是传输层数据被用来计算 AH 或 ESP 头，AH 或ESP 头以及 ESP 加密的用户数据被放置在原 IP 包头后面。通常，传输模式应用在两台主机之间的通讯，或一台主机和一个安全网关之间的通讯。基于时间，定义一个 SA 从建立到失效的时间；基于流量，定义一个 SA 允许处理的最大流量。这三个加密算法的安全性由高到低依次是：AES、3DES、DES，安全性高的加密算法实现机制复杂，运算速度慢。对于普通的安全要求，

39、DES算法就可以满足需要。6. 协商方式有如下两种协商方式建立SA：当与之进行通信的对等体设备数量较少时，或是在小型静态环境中，手工配置SA络环境中，使用IKE协商建立SA。是可行的。对于中、大型的7. 安全隧道安全隧道是建立在本端和对端之间可以互通的一个通道，它由一对或多对SA组成。3.6 NetStreamNetStream提供报文统计功能，它根据报文的目的IP地址、源IP地址、目的端口号、源端、协议号、ToS（Type of Service，服务类型）、输入接口和输出接口来区分流，并针对不同的流进行独立的数据统计。图6 NetStream和分析过程示意图第19页，共31页手工方式（man

40、ual）配置比较复杂，创建 SA 所需的全部信息都必须手工配置，而且不支持一些高级特性（例如定时更新密钥），但优点是可以不依赖 IKE 而单独实现 IPSec 功能。IKE 自动协商（isakmp）方式相对比较简单，只需要配置好 IKE 协商安全策略的信息，由 IKE 自动协商来创建和SA。3DES（Triple DES）：使用三个 56bit 的 DES 密钥（共 168bit 密钥）对明文进行加密。AES（Advanced Encryption Standard）：使用 128bit、192bit 或 256bit 密钥长度的 AES 算法对明文进行加密。NetStream进行和分析的过程

41、如下：(1)配置了 NetStream 功能的设备把到的关于流的详细信息定期发送给 NSC（NetStream Collector，网络流数据收集器）；信息由 NSC 初步处理后发送给 NDA（NetStream Data据分析器）；(2)yzer，网络流数(3)NDA 对数据进行分析，以用于计费、网络规划等应用。NDA 可以通过 XLog对输出的数据进行分析。3.7（FW）一方面可以来自因特网的、对受保护网络的未，另一方面允许也可以作为一个网络用户对因特网进行Web或收发等。因特网的权限控制关口，如允许组织内的特定主机可以因特网。现在，许多防火墙同时还具有一些其它特点，如进行鉴别、对信息进行

42、安全（加理等。不单用于控制因特网连接，也可以用来在组织网络保护大型机和重要的资源（如数据）。对受保护数据的都必须经过。的过滤，即使网络用户要受保护的数据，也要经过目前设备中的主要指以下三种：滤，即基于 ACL（Acs Control List，控制列表）的滤状态，即 ASPF（Application Specific Packet Filter，基于应用层状态滤）的地址转换3.7.1滤简介1.滤概述滤实现了对IP数据包的过滤。对设备需要转发的数据包，先获取其包头信息（包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口和目的端口等），然后与设定的ACL规则进行比较，根据比较的结

43、果对数据包进行相应的处理。2. 对分片报文过滤的支持第20页，共31页目前的滤提供了对分片报文检测过滤的支持，检测的内容有：对于配置了精确匹配过滤方式的高级ACL规则，滤需要每一个首片分片的三层以上的信息，当后续分片到达时，使用这些保存的信息对ACL规则的每一个匹配条件进行精确匹配。应用精确匹配过滤后，滤的执行效率会略微降低，配置的匹配项目越多，效率降低越多，可以配置门限值来限制最大处理的数目。3.7.2ASPF简介滤属于静态，目前存在如下：因此，提出了状态ASPF的概念。ASPF能够实现的检测有：1. ASPF的功能ASPF的主要功能如下：ASPF的其它功能有：第21页，共31页能够检查应用

44、层协议信息，如报文的协议类型和端 等信息，并且 基于连接的应用层协议状态。对于所有连接，每 接状态信息都将被 ASPF ，并用于动态地决定数据包是否被允许通过 进入 网络，以 的 。能够检测传输层协议信息（即通用 TCP/UDP 检测），能够根据源、目的地址及端决定 TCP 或 UDP 报文是否可以通过进入网络。应用层协议检测，包括 FTP、HTTP 、SMTP 、RTSP、H.323 （ Q.931 、 H.245、RTP/RTCP）检测；传输层协议检测，包括 TCP 和 UDP 检测，即通用 TCP/UDP 检测。对于多通道的应用层协议（如 FTP、H.323 等），部分安全策略配置无法预

45、知；无法检测某些来自传输层和应用层的行为（如 TCP SYN、Java Applets等）。报文类型（片报文、首片分片报文和非首片分片报文）获得报文的三层信息（基本 ACL 规则和不含三层以上信息的高级 ACL 规则）三层以上的信息（包含三层以上信息的高级 ACL 规则）在网络边界，ASPF和滤协同工作，能够为企业网络提供更全面的、更符合实际需求的安全策略。2. ASPF基本概念1、Java BlockingJava Blocking是对通过HTTP协议传输的Java Applets程序进行阻断。当配置了 Java Blocking后，用户为试图在Web页面中获取包含Java Applets程

46、序而发送的请求指令将会被阻断。2、PAM应用层协议使用通用的端进行通信，PAM允许用户对不同的应用定义一组新的端，并提供了一些机制来和使用用户定义的端口配置信息。PAM支持两类机制：3、单通道协议和多通道协议4、接口和外部接口第22页，共31页单通道协议：从会话建立到删除的全过程中，只有一个通道参与数据交互，如 SMTP、HTTP。多通道协议：包含一个控制通道和若干其它控制或数据通道，即控制信息的交互和数据的传送是在不同的通道上完成的，如 FTP、RTSP。通用端口 ：是将用户自定义端 与应用层协议建立 关系。例如：将 8080 端口 为 HTTP 协议，这样所有目的端口是 8080 的 TC

47、P 报文将被认为是 HTTP 报文。主机端口 ：是对去往或来自某些特定主机的报文建立自定义端 和应用协议的 。例如：将目的地址为 网段的、使用 8080 端口的TCP 报文为 HTTP 报文。主机的范围可由基本 ACL 指定。ASPF 不仅能够根据连接的状态对报文进行过滤，还能够对应用层报文的内容加以检测，提供对不 站点的 Java Blocking 功能，用于保护网络不受有害的 Java Applets 的破坏。增强的会话日志功能。可以对所有的连接进行 ，包括：连接的时间、源地址、目的地址、使用的端口和传输的字节数。支持 Port to Application Map，应用协议端口），允许用

48、户自定义应用层协议使用非通用端口。网和互联网，并且设备要通过部署ASPF来保护如果设备连接了器，则设备上与口。网的服务网连接的接口就是接口，与互联网相连的接口就是外部接当ASPF应用于设备外部接口的出方向时，可以在网的返回报文打开一个临时通道。上为网用户互联3. 应用层协议检测基本原理图7 应用层协议检测基本原理示意图如上图所示，为了保护网络，一般情况下需要在路由器上配置控制列表，以允许网的主机外部网络，同时外部网络的主机网络。但访问控制列表会将用户发起连接后返回的报文过滤掉，导致连接无法正常建立。当在设备上配置了应用层协议检测后，ASPF可以检测每一个应用层的会话，并创建一个状态表和一个临时

49、TACL）：控制列表（ Temporary Acs Control List ，下面以FTP检测为例说明多通道应用层协议检测的过程。第23页，共31页状态表在 ASPF 检测到第一个向外发送的报文时创建，用于 一次会话中某一时刻会话所处的状态，并检测会话状态的转换是否正确。临时 控制列表的表项在创建状态表项的同时创建，会话结束后删除，它相当于一个扩展 ACL 的 permit 项。TACL 主要用于匹配一个会话中的所有返回的报文，可以为某一应用返回的报文在 的外部接口上建立一个临时的返回通道。图8 FTP检测过程示意图如上图所示，FTP连接的建立过程如下：假设FTP cnt以1333端口向FT

50、P server的21端口发起FTP控制通道的连接，通过协商决定由FTP server的20端口向FTP Cnt的1600端口发起数据通道的连接，数据传输超时或结束后连接删除。FTP检测在FTP连接建立到拆除过程中的处理如下：(1)(2)(3)检查从出接口上向外发送的 IP 报文，确认为基于 TCP 的 FTP 报文。检查端确认连接为控制连接，建立返回报文的 TACL 和状态表。检查 FTP 控制连接报文，FTP 指令，根据指令更新状态表。如果包含数据通道建立指令，则创建数据连接的 TACL；对于数据连接，不进行状态检测。(4)对于返回报文，根据协议类型做相应匹配检查，检查将根据相应协议的状态

51、表和 TACL 决定报文是否允许通过。FTP 连接删除时，状态表及 TACL 随之删除。(5)单通道应用层协议（如SMTP、HTTP）的检测过程比较简单，当发起连接时建立TACL，连接删除时随之删除TACL即可。4. 传输层协议检测基本原理这里的传输层协议检测是指通用TCP/UDP检测。通用TCP/UDP检测与应用层协议检测不同，是对报文的传输层信息进行的检测，如源、目的地址及端等。通用TCP/UDP检测要求返回到ASPF外部接口的报文要与前面从ASPF外部接口发出去的报文完全匹配，即源、目的地址及端恰好对应，否则返回的报文将被阻塞。因此对于FTP、H.323这样的多通道应用层协议，在不配置应

52、用层检测而直接配置TCP检测的情况下会导致数据连接无法建立。第24页，共31页4 管理安全性4.1用户管理是本地认证服务器提供的功能包括：安全功能，它根据设置的策略对进行控制。主要4.2用户等级管理用户级别指登录用户的分类，共划分为4个级别，与命令级别对应，不同级别的用户登录后，只能使用等于或低于自己级别令。命令的级别分为级、级、系统级、管理级，权限如下：4.3信息中心信息中心是系统的信息枢纽，它能够对所有的系统信息进行分类、管理，为网络管理员和开发网络运行情况和网络故障提供了强有力的支持。信息中心的工作过程如下：第25页，共31页接收各模块生成的日志信息（ log ）、告警信息（ trap

53、）和调试信息（debug）。级：网络工具命令（、tracret）、从本设备出发外部设备令（包括：net 客户端、SSH 客户端、RLOGIN）等，该级别命令不允许进行配置文件保存的操作。级：用于 、业务故障 等，包括 refresh、rese d 等命令，该级别命令不允许进行配置文件保存的操作。系统级：业务配置命令，包括路由、各个网络层次 令，这些用于向用户提供直接网络服务。管理级：关系到系统基本运行、系统支撑模块 令，这些命令对业务提供支撑作用，包括文件系统、FTP、TFTP、XModem 、配置文件切换命令、电源控制命令、备板控制命令、用户管理命令、级别设置命令、系统内部参数设置命令（非协

54、议规定、非 RFC 规定）等。长度限制：可以对的长度范围进行控制老化管理：有效时间限制，老化时间超过后用户必须更换过期提醒：接近老化时间时会提供用户及时进行更新4.4 SSHSSH是Secure S（安全外壳）的简称。用户通过一个不能保证安全的网络环境登录到设备时，SSH可以利用加密和强大的认证功能提供安全保障，保护设备不受诸如IP地址、明文截取等。设备支持SSH服务器功能，可以接受多个SSH客户端的连接。同时，设备还支持SSH客户端功能，允许用户与支持SSH服务器功能的设备建立SSH连接，从而实现从本地设备通过SSH登录到设备上。4.4.1算法和密钥加密和过程中使用的一组变换规则称为算法。将

55、未加密的信息称为明文，加密后的信息称为密文。加密和都是在密钥的控制下进行的。密钥是一组特定的字符串，是控制明文和密文变换的唯一参数，起到“”的作用。通过加密变换操作，可以将明文变换为密文，或者通过变换操作，将密文恢复为明文。如下图所示。图9 加密和变换关系基于密钥的算法通常有两类：对称算法和非对称密钥算法。4.4.2非对称密钥算法非对称密钥算法是指通信的每一端都存在一对密钥，即一个私钥，一个公钥。公钥是公开的，私钥只有合法者拥有，从公钥很难推出私钥。非对称密钥算法可以用于加密，也就是用公钥对报文进行加密，然后由拥有私钥的合法者使用私钥对数据进行，这样保证数据的性。非对称密钥算法还可以用于数字签

56、名，比如用户1使用自己的私钥对数据进行签名，然后发给用户2，用户2可以用用户1的公钥验证签名，如果签名是正确的，那第26页，共31页根据用户设置的输出规则，将信息输出到信息通道。根据信息通道和输出方向的关联，将信息输出到不同方向。么就能够确认该数据来源于用户1。RSA（Rivest Shamir and Adleman）、DSA（Digital Signature Algorithm，数字签名算法）和ECDSA（Elliptic Curve Digital Signature Algorithm，椭圆曲线数字签名算法）都是非对称密钥算法，RSA既可以用于加密，又可以用于签名，而DSA和ECDS

57、A只用于签名。4.4.3SSH2.0工作过程在整个通讯过程中，为实现SSH的安全连接，服务器端与客户端要经历如下五个阶段：1、版本号协商阶段具体步骤如下：(1)(2)服务器打开端口 22，等待客户端连接。客户端向服务器端发起 TCP 初始连接请求，TCP 连接建立后，服务器向客户端发送第一个报文，包括版本标志字符串，格式为“SSH.”，协议版本号由主版本号和次版本号组成，版本号主要是为调试使用。(3)客户端收到报文后，该数据包，如果服务器端的协议版本号比自己的低，且能支持服务器端的低版本，就使用服务器端的低版本协议号，否则使用自己的协议版本号。客户端回应服务器一个报文，包含了客户端决定使用的协

58、议版本号。服务器比较客户端发来的版本号，决定是否能同客户端一起工作。如果协商成功，则进入密钥和算法协商阶段，否则服务器端断开 TCP 连接。(4)(5)2、密钥和算法协商阶段具体步骤如下：(1)服务器端和客户端分别发送算法协商报文给对端，报文中包含自己支持的公钥算法列表、加密算法列表、MAC（Message Authentication Code，消息验证码）算法列表、压缩算法列表等。服务器端和客户端根据对端和本端支持的算法列表得出最终使用的算法。(2)(3)利用 DH 交换（Diffie-会话密钥和会话 ID。man Exchange）算法、主钥对等参数，生成通过以上步骤，服务器端和客户端就

59、取得了相同的会话密钥和会话ID。对于后续传第27页，共31页输的数据，两端都会使用会话密钥进行加密和证阶段，两端会使用会话ID用于认证过程。，保证了数据传送的安全。在认3、认证阶段客户端向服务器端发送认证请求报文，认证请求中包含用户名、认证方法等相关内容，服务器端启动对该用户进行认证的程序。SSH提供两种认证方法：(1)password 认证：客户端向服务器发出 password 认证请求，将用户名和加密后发送给服务器；服务器将该信息后得到用户名和的明文，与设备上保存的用户名和进行比较，并返回认证成功或失败的消息。(2)publickey 认证：利用公共密钥加密算法来认证客户端。目前，设备上支

60、持RSA 和 DSA 两种公共密钥加密算法。在认证过程中，客户端和服务器通过协商，确定采用的公共密钥加密算法。客户端发送包含客户端公钥模数的publickey 认证请求给服务器端；服务器进行检查，如果不合法，则直接发送失败消息，否则产生一个 32 字节的随机数，按 MSB （ MostSignificant Bit，最）优先排列成一个 MP（Multiple Preci，多精度）型整数，并用客户端的公钥加密后向客户端发起一个认证；客户端收到得到 MP 型整数，用它和会话 ID（密钥和算法消息后用自己的私钥协商阶段生成的中间产物）生成消息摘要 MD5 值，把这个 16 字节的 MD5值加密后发送