h3c sr8800高安全性技術(shù)白皮書

1、：安全性、ARP、URPF摘要：本篇文檔介紹了SR8800產(chǎn)品安全性相關(guān)的內(nèi)容，按接入、路由轉(zhuǎn)發(fā)和管理等幾方面進(jìn)行闡述?？s略語(yǔ)：第1頁(yè)，共31頁(yè)縮略語(yǔ)英文全名中文解釋URPFUnicast Reverse Path Forwarding單播反向路徑轉(zhuǎn)發(fā)SSHSecure S安全外殼目 錄概述4接入安全性4端口安全4MAC認(rèn)證52.3 802.1x認(rèn)證62.3.1 802.1x的體系結(jié)構(gòu)62.3.2 802.1x的基本概念7Portal認(rèn)證8Portal的系統(tǒng)組成92.5 VLAN端口功能10廣播流量抑止11STP保護(hù)功能11ARP源抑制功能122.9 ARP防IP報(bào)文功能13ARP防ARP防功

2、能13功能132.12ARP功能14協(xié)議端口保護(hù)功能14報(bào)文上送限制和優(yōu)先級(jí)分類上送功能142.15 主動(dòng)對(duì)報(bào)文進(jìn)行功能14路由轉(zhuǎn)發(fā)安全性15路由協(xié)議加密認(rèn)證15IP Source Guard功能15URPF15海量雙向ACL16IPSec16NetStream193.7（FW）203.7.1濾簡(jiǎn)介203.7.2 ASPF簡(jiǎn)介214 管理安全性25第2頁(yè)，共31頁(yè)4.1 用戶管理25用戶等級(jí)管理25信息中心25SSH26算法和密鑰26非對(duì)稱密鑰算法26SSH2.0工作過(guò)程27RADIUS29NQA30第3頁(yè)，共31頁(yè)1概述在網(wǎng)絡(luò)應(yīng)用越來(lái)越廣泛的今天，用戶對(duì)網(wǎng)絡(luò)的安全性要求越來(lái)越高。作為高端路由

3、器，充分考慮了產(chǎn)品的高安全性要求，從接入、路由協(xié)議到設(shè)備管理多方面多層次設(shè)計(jì)，有效地滿足了用戶的要求。隨著網(wǎng)絡(luò)技術(shù)的普及，網(wǎng)絡(luò)行為出現(xiàn)得越來(lái)越頻繁。通過(guò)各種，只要的泛濫，也加具有一般計(jì)算機(jī)的初學(xué)者也能完成對(duì)網(wǎng)絡(luò)的。各種網(wǎng)絡(luò)。目前， ernet網(wǎng)絡(luò)上常見(jiàn)的安全劇了網(wǎng)絡(luò)被的分為以下幾類：使用：資源被未的用戶（也可以稱為用戶）或以未方式（權(quán)限）使用。例如，使用資源。者通過(guò)猜測(cè)帳號(hào)和的組合，從而進(jìn)入計(jì)算機(jī)系統(tǒng)以服務(wù)：服務(wù)器合法用戶正常信息或資源的請(qǐng)求。例如，者短時(shí)間內(nèi)使用大量數(shù)據(jù)包或畸形報(bào)文向服務(wù)器不斷發(fā)起連接或請(qǐng)求回應(yīng)，致使服務(wù)器負(fù)荷過(guò)重而不能處理合法任務(wù)。設(shè)備：設(shè)備的ARP、MAC等重要資源，在短

4、時(shí)間內(nèi)使ARP、MAC等地址空間迅速填滿，正常用戶無(wú)法接入網(wǎng)絡(luò)。信息：者并不直接目標(biāo)系統(tǒng)，而是通過(guò)網(wǎng)絡(luò)來(lái)獲取重要數(shù)據(jù)或信息。數(shù)據(jù)篡改：者對(duì)系統(tǒng)數(shù)據(jù)或消息流進(jìn)行有選擇的修改、刪除、延誤、重排序及虛假消息等操作，而使數(shù)據(jù)的一致性被破壞。一直是ERNET技術(shù)發(fā)展的重要研究課題。隨著以太網(wǎng)技術(shù)的發(fā)展，人們?cè)絹?lái)越以太網(wǎng)技術(shù)需要安全的保駕護(hù)航。路由技術(shù)如何和安全技術(shù)融合，提供給企業(yè)用戶一個(gè)安全、可靠的網(wǎng)絡(luò)環(huán)境是以太網(wǎng)交換機(jī)在組網(wǎng)應(yīng)用中一個(gè)常見(jiàn)。為了能夠確保用戶的安全需求，SR8800提供入安全、路由轉(zhuǎn)發(fā)安全、管理安全等。的解決思路：包括接2接入安全性2.1 端口安全端口安全是一種基于MAC地址的安全機(jī)制。

5、這種機(jī)制通過(guò)檢測(cè)數(shù)據(jù)幀中的源MAC第4頁(yè)，共31頁(yè)設(shè)備對(duì)網(wǎng)絡(luò)的，通過(guò)檢測(cè)數(shù)據(jù)幀中的目的MAC地址來(lái)控制。地址來(lái)控制非對(duì)非設(shè)備的端口安全的主要功能是通過(guò)定義各種端口安全模式，讓設(shè)備學(xué)習(xí)到合法的源MAC地址，以達(dá)到相應(yīng)的網(wǎng)絡(luò)管理效果。啟動(dòng)了端口安全功能之后，當(dāng)發(fā)現(xiàn)報(bào)文時(shí)，系統(tǒng)將觸發(fā)相應(yīng)特性，并按照預(yù)先指定的方式進(jìn)行處理，既方便用戶的管理又提高了系統(tǒng)的安全性。報(bào)文包括：2.2MAC認(rèn)證MAC地址認(rèn)證是一種基于端口和MAC地址對(duì)用戶的網(wǎng)絡(luò)權(quán)限進(jìn)行控制的認(rèn)證方法，它不需要用戶安裝任何客戶端。設(shè)備在首次檢測(cè)到用戶的MAC地址以后，即啟動(dòng)對(duì)該用戶的認(rèn)證操作。認(rèn)證過(guò)程中，也不需要用戶手動(dòng)輸入用戶名或者。目前設(shè)

6、備支持兩種方式的MAC地址認(rèn)證：認(rèn)證方式確定后，可根據(jù)需求選擇MAC認(rèn)證用戶名的類型，包括以下兩種方式：1. RADIUS服務(wù)器認(rèn)證方式進(jìn)行MAC地址認(rèn)證當(dāng)選用RADIUS服務(wù)器認(rèn)證方式進(jìn)行MAC地址認(rèn)證時(shí)，設(shè)備作為RADIUS客戶端，與RADIUS服務(wù)器配合完成MAC地址認(rèn)證操作：第5頁(yè)，共31頁(yè)采用 MAC 地址用戶名時(shí)，設(shè)備將檢測(cè)到的用戶 MAC 地址作為用戶名和發(fā)送給 RADIUS 服務(wù)器。MAC 地址用戶名：使用用戶的 MAC 地址作為認(rèn)證時(shí)的用戶名和；固定用戶名：不論用戶的 MAC 地址為何值，所有用戶均使用在設(shè)備上預(yù)先配置的本地用戶名和進(jìn)行認(rèn)證。通過(guò) RADIUS（Remote

7、Authentication Dial-In User Service，認(rèn)證撥號(hào)用戶服務(wù)）服務(wù)器認(rèn)證。本地認(rèn)證。MAC 地址學(xué)習(xí)時(shí)，收到的源 MAC 地址為未知 MAC 的報(bào)文；端口學(xué)習(xí)到的 MAC 地址達(dá)到端口所允許的最大 MAC 地址數(shù)后，收到的源MAC 地址為未知 MAC 的報(bào)文；未通過(guò)認(rèn)證的用戶發(fā)送的報(bào)文。RADIUS服務(wù)器完成對(duì)該用戶的認(rèn)證后，認(rèn)證通過(guò)的用戶可以網(wǎng)絡(luò)。2. 本地認(rèn)證方式進(jìn)行MAC地址認(rèn)證當(dāng)選用本地認(rèn)證方式進(jìn)行MAC地址認(rèn)證時(shí)，直接在設(shè)備上完成對(duì)用戶的認(rèn)證。需要在設(shè)備上配置本地用戶名和：2.3 802.1x認(rèn)證IEEE802 LAN/WAN為解決無(wú)線局域網(wǎng)問(wèn)題，提出了8

8、02.1x協(xié)議。后來(lái)，802.1x協(xié)議作為局域網(wǎng)端口的一個(gè)普通接入控制機(jī)制在以太網(wǎng)中被廣泛應(yīng)用，主要解決以太網(wǎng)內(nèi)認(rèn)證和安全方面。802.1x協(xié)議是一種基于端口的網(wǎng)絡(luò)接入控制協(xié)議（port based network acscontrol protocol）。“基于端口的網(wǎng)絡(luò)接入控制”是指在局域網(wǎng)接入設(shè)備的端口這一級(jí)對(duì)所接入的用戶設(shè)備進(jìn)行認(rèn)證和控制。連接在端口上的用戶設(shè)備如果能通過(guò)認(rèn)證，就可以局域網(wǎng)中的資源；如果不能通過(guò)認(rèn)證，則無(wú)法局域網(wǎng)中的資源2.3.1 802.1x的體系結(jié)構(gòu)802.1x 系統(tǒng)為典型的Cnt/Server 結(jié)構(gòu)，如下圖所示，包括三個(gè)實(shí)體：客戶端（Cnt）、設(shè)備端（Device

9、）和認(rèn)證服務(wù)器（Server）。圖1 802.1x認(rèn)證系統(tǒng)的體系結(jié)構(gòu)第6頁(yè)，共31頁(yè)客戶端是位于局域網(wǎng)段一端的一個(gè)實(shí)體，由該鏈路另一端的設(shè)備端對(duì)其進(jìn)行認(rèn)證?？蛻舳艘话銥橐粋€(gè)用戶終端設(shè)備，用戶可以通過(guò)啟動(dòng)客戶端發(fā)起采用 MAC 地址用戶名時(shí)，需要配置的本地用戶名為各接入用戶的 MAC 地址。采用固定用戶名時(shí)，需要配置的本地用戶名為自定義的，所有用戶對(duì)應(yīng)的用戶名和與自定義的一致。采用固定用戶名時(shí)，設(shè)備將已經(jīng)在本地配置的用戶名和作為待認(rèn)證用戶的用戶名和，發(fā)送給 RADIUS 服務(wù)器。2.3.2802.1x的基本概念下圖顯示了受控端口上不同的狀態(tài)對(duì)通過(guò)該端口報(bào)文的影響。圖中對(duì)比了兩個(gè)802.1x認(rèn)證系

10、統(tǒng)的端口狀態(tài)。系統(tǒng)1的受控端口處于非狀態(tài)（相當(dāng)于端口開(kāi)關(guān)打開(kāi)），系統(tǒng)2的受控端口處于狀態(tài)（相當(dāng)于端口開(kāi)關(guān)關(guān)閉）。圖2 受控端口上狀態(tài)的影響第7頁(yè)，共31頁(yè)802.1x 認(rèn)證?？蛻舳吮仨氈С?EAPOL（Extensible Authentication Protocol over LAN，局域網(wǎng)上的可擴(kuò)展認(rèn)證協(xié)議）。設(shè)備端是位于局域網(wǎng)段一端的另一個(gè)實(shí)體，對(duì)所連接的客戶端進(jìn)行認(rèn)證。設(shè)備端通常為支持 802.1x 協(xié)議的網(wǎng)絡(luò)設(shè)備，它為客戶端提供接入局域網(wǎng)的端口，該端口可以是物理端口，也可以是邏輯端口。認(rèn)證服務(wù)器是為設(shè)備端提供認(rèn)證服務(wù)的實(shí)體。認(rèn)證服務(wù)器用于實(shí)現(xiàn)對(duì)用戶進(jìn)行認(rèn)證、 和計(jì)費(fèi)，通常為 RAD

11、IUS（Remote Authentication Dial-In User Service， 認(rèn)證撥號(hào)用戶服務(wù)）服務(wù)器。802.1x 認(rèn)證系統(tǒng)使用 Extensible Authentication Protocol，可擴(kuò)展認(rèn)證協(xié)議），來(lái)實(shí)現(xiàn)客戶端、設(shè)備端和認(rèn)證服務(wù)器之間認(rèn)證信息的交換。在客戶端與設(shè)備端之間，EAP 協(xié)議報(bào)文使用 EAPOL 封裝格式，直接承載于LAN 環(huán)境中。在設(shè)備端與 RADIUS 服務(wù)器之間，可以使用兩種方式來(lái)交換信息。一種是 EAP 協(xié)議報(bào)文使用 EAPOR（EAP over RADIUS）封裝格式承載于 RADIUS協(xié)議中；另一種是 EAP 協(xié)議報(bào)文由設(shè)備端進(jìn)行終結(jié)

12、，采用包含 PAP（Password Authentication Protocol，驗(yàn)證協(xié)議）或 CHAP（Challenge Handshake Authentication Protocal ，質(zhì)詢握手驗(yàn)證協(xié)議） 屬性的報(bào)文與RADIUS 服務(wù)器進(jìn)行認(rèn)證交互。1. 受控/非受控端口設(shè)備端為客戶端提供接入局域網(wǎng)的端口，這個(gè)端口被劃分為兩個(gè)邏輯端口：受控端口和非受控端口。任何到達(dá)該端口的幀，在受控端口與非受控端口上均可見(jiàn)。2./非狀態(tài)設(shè)備端利用認(rèn)證服務(wù)器對(duì)需要接入局域網(wǎng)的客戶端執(zhí)行認(rèn)證，并根據(jù)認(rèn)證結(jié)果（Accept或Reject）對(duì)受控端口的/非狀態(tài)進(jìn)行相應(yīng)地控制。用戶可以通過(guò)在端口下配置的

13、接入控制的模式來(lái)控制端口的狀態(tài)。端口支持以下三種接入控制模式：3. 受控方向在非狀態(tài)下，受控端口可以被設(shè)置成單向受控和雙向受控。2.4 Portal認(rèn)證Portal在英語(yǔ)中是稱為門戶的意思。Portal認(rèn)證通常也稱為WEB認(rèn)證，一般將Portal認(rèn)證。未認(rèn)證用戶上網(wǎng)時(shí)，設(shè)備強(qiáng)制用戶登錄到特定站點(diǎn)（門戶主頁(yè)），用戶可以免費(fèi)其中的服務(wù)。當(dāng)用戶需要使用互聯(lián)網(wǎng)中的其它信息時(shí)，必須在門戶進(jìn)行認(rèn)證，只有認(rèn)證通過(guò)后才可以使用互聯(lián)網(wǎng)資源。第8頁(yè)，共31頁(yè)實(shí)行雙向受控時(shí)，幀的發(fā)送和接收；實(shí)行單向受控時(shí)，從客戶端接收幀，但允許向客戶端發(fā)送幀。強(qiáng)制模式（authorized-force）：表示端口始終處于狀態(tài)，允許

14、用戶不經(jīng)認(rèn)證即可網(wǎng)絡(luò)資源。強(qiáng)制非模式（unauthorized-force）：表示端口始終處于非狀態(tài)，不允許用戶進(jìn)行認(rèn)證。設(shè)備端不對(duì)通過(guò)該端口接入的客戶端提供認(rèn)證服務(wù)。自動(dòng)識(shí)別模式（auto）：表示端口初始狀態(tài)為非狀態(tài)，僅允許 EAPOL報(bào)文收發(fā)，不允許用戶網(wǎng)絡(luò)資源；如果認(rèn)證通過(guò)，則端口切換到狀態(tài)，允許用戶網(wǎng)絡(luò)資源。這也是最常見(jiàn)的情況。非受控端口始終處于雙向連通狀態(tài)，主要用來(lái)傳遞 EAPOL 協(xié)議幀，保證客戶端始終能夠發(fā)出或接收認(rèn)證報(bào)文。受控端口在狀態(tài)下處于雙向連通狀態(tài)，用于傳遞業(yè)務(wù)報(bào)文；在非狀態(tài)下從客戶端接收任何報(bào)文。用戶可以主動(dòng)已知的Portal認(rèn)證，輸入用戶名和進(jìn)行認(rèn)證，這種開(kāi)始Port

15、al認(rèn)證的方式稱作主動(dòng)認(rèn)證。反之，如果用戶試圖通過(guò)HTTP其他，將被強(qiáng)制Portal認(rèn)證證。，從而開(kāi)始Portal認(rèn)證過(guò)程，這種方式稱作強(qiáng)制認(rèn)Portal業(yè)務(wù)可以為運(yùn)營(yíng)商提供方便的管理功能，門戶可以開(kāi)展、社區(qū)服務(wù)、個(gè)性化的業(yè)務(wù)等，使寬帶運(yùn)營(yíng)商、設(shè)備提供商和內(nèi)容服務(wù)提供商形成一個(gè)產(chǎn)業(yè)生態(tài)系統(tǒng)。2.4.1Portal的系統(tǒng)組成Portal的典型組網(wǎng)方式如下圖所示，它由四個(gè)基本要素組成：認(rèn)證客戶端、接入設(shè)備、Portal服務(wù)器和認(rèn)證/計(jì)費(fèi)服務(wù)器。認(rèn)證客戶端安全策略服務(wù)器認(rèn)證客戶端接入設(shè)備Portal服務(wù)器認(rèn)證客戶端認(rèn)證/計(jì)費(fèi)服務(wù)器圖3 Portal系統(tǒng)組成示意圖1. 認(rèn)證客戶端安裝于用戶終端的客戶端

16、系統(tǒng)，運(yùn)行HTTP/HTTPS協(xié)議的瀏覽器。2. 接入設(shè)備寬帶接入設(shè)備的統(tǒng)稱，主要有兩方面的作用：3. Portal服務(wù)器接受Portal客戶端認(rèn)證請(qǐng)求的服務(wù)端系統(tǒng)，提供免費(fèi)門戶服務(wù)和基于WEB認(rèn)證的界第9頁(yè)，共31頁(yè)在認(rèn)證之前，認(rèn)證網(wǎng)段內(nèi)用戶的所有 HTTP 請(qǐng)求都被重定向到 Portal 服務(wù)器；在認(rèn)證通過(guò)后，允許用戶使用互聯(lián)網(wǎng)。與 Portal 服務(wù)器、認(rèn)證/計(jì)費(fèi)服務(wù)器交互，完成認(rèn)證、計(jì)費(fèi)的功能。面，與接入設(shè)備交互認(rèn)證客戶端的認(rèn)證信息。4. 認(rèn)證/計(jì)費(fèi)服務(wù)器與接入設(shè)備進(jìn)行交互，完成對(duì)用戶的認(rèn)證和計(jì)費(fèi)。以上四個(gè)基本要素的交互過(guò)程為：(1)對(duì)于一個(gè)未認(rèn)證用戶，在 IE 地址欄中輸入一個(gè)互聯(lián)網(wǎng)

17、的地址，那么此 HTTP請(qǐng)求在經(jīng)過(guò)接入設(shè)備時(shí)會(huì)被重定向到 Portal 的WEB 認(rèn)證主頁(yè)上；用戶在認(rèn)證主頁(yè)中輸入認(rèn)證信息后提交，Portal 服務(wù)器會(huì)將用戶的認(rèn)證信息傳遞給接入設(shè)備；然后接入設(shè)備再與認(rèn)證/計(jì)費(fèi)服務(wù)器通信進(jìn)行認(rèn)證和計(jì)費(fèi)；(2)(3)(4)如果認(rèn)證通過(guò)，接入設(shè)備會(huì)打開(kāi)用戶與互聯(lián)網(wǎng)的通路，允許用戶網(wǎng)?；ヂ?lián)2.5VLAN端口功能實(shí)現(xiàn)同一VLAN內(nèi)端口之間的。用戶只需要將端口加入到組中，就可以實(shí)現(xiàn)組內(nèi)端口之間二層數(shù)據(jù)的。端口功能為用戶提供了更安全、更靈活的組網(wǎng)方案。圖4 配置端口組網(wǎng)圖為了使組內(nèi)端口與組外二層互通，用戶必須為組配置上行口。對(duì)于同VLAN的Host A、B、C三個(gè)用戶，相

18、互之間是的，但是都能通過(guò)Device的GE3/1/1口ernet。第10頁(yè)，共31頁(yè)2.6廣播流量抑止在接口下進(jìn)行配置，設(shè)置的是接口允許通過(guò)的最大廣播報(bào)文流量。當(dāng)接口上的廣播報(bào)文超過(guò)用戶設(shè)置的值后，系統(tǒng)將丟棄超出廣播流量限制的報(bào)文，從而使接口廣播流量所占的比例降低到限定的范圍，保證網(wǎng)絡(luò)業(yè)務(wù)的正常運(yùn)行。2.7STP保護(hù)功能支持MSTP的設(shè)備提供了四種保護(hù)功能：1. BPDU保護(hù)功能對(duì)于接入層設(shè)備，接入端口一般直接與用戶終端（如PC機(jī)）或文件服務(wù)器相連，此時(shí)接入端口被設(shè)置為邊緣端口以實(shí)現(xiàn)這些端口的快速遷移；當(dāng)這些端口接收到配置消息（BPDU報(bào)文）時(shí)系統(tǒng)會(huì)自動(dòng)將這些端口設(shè)置為非邊緣端口，重新計(jì)算生成

19、樹，引起網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的變化。這些端口正常情況下應(yīng)該不會(huì)收到STP的配置消息。如果有人配置消息設(shè)備，就會(huì)引起網(wǎng)絡(luò)震蕩。MSTP提供BPDU保護(hù)功能來(lái)防止這種：設(shè)備上啟動(dòng)了BPDU保護(hù)功能后，如果邊緣端口收到了配置消息，MSTP就將這些端口關(guān)閉，同時(shí)通知這些端口被MSTP關(guān)閉。被關(guān)閉的端口只能由網(wǎng)絡(luò)管理恢復(fù)。2. 根保護(hù)功能生成樹的根橋及備份根橋應(yīng)該處于同一個(gè)域內(nèi)，特別是對(duì)于CIST的根橋和備份根橋，網(wǎng)絡(luò)設(shè)計(jì)時(shí)一般會(huì)把CIST的根橋和備份根橋放在一個(gè)高帶寬的域內(nèi)。但是，由于的錯(cuò)誤配置或網(wǎng)絡(luò)中的，網(wǎng)絡(luò)中的合法根橋有可能會(huì)收到優(yōu)先級(jí)更高的配置消息，這樣當(dāng)前合法根橋會(huì)失去根橋的地位，引起網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的錯(cuò)

20、誤變動(dòng)。這種不合法的變動(dòng)，會(huì)導(dǎo)致原來(lái)應(yīng)該通過(guò)高速鏈路的流量被牽引到低速鏈，導(dǎo)致網(wǎng)絡(luò)擁塞。為了防止這種情況發(fā)生，MSTP提供根保護(hù)功能對(duì)根橋進(jìn)行保護(hù)：對(duì)于設(shè)置了根保護(hù)功能的端口，其在所有實(shí)例上的端口角色只能保持為指定端口。一旦該端口收到第11頁(yè)，共31頁(yè)BPDU 保護(hù)功能；根保護(hù)功能；環(huán)路保護(hù)功能；防止 TC-BPDU 報(bào)文的保護(hù)功能。某實(shí)例優(yōu)先級(jí)更高的配置消息，立即將該實(shí)例端口設(shè)置為偵聽(tīng)狀態(tài)，不再轉(zhuǎn)發(fā)報(bào)文（相當(dāng)于將此端口相連的鏈路斷開(kāi)）。當(dāng)在2倍的Forward Delay時(shí)間內(nèi)沒(méi)有收到更優(yōu)的配置消息時(shí)，端口會(huì)恢復(fù)原來(lái)的正常狀態(tài)。3. 環(huán)路保護(hù)功能依靠不斷接收上游設(shè)備發(fā)送的BPDU報(bào)文，設(shè)備可

21、以維持根端口和其他阻塞端口的狀態(tài)。但是由于鏈路擁塞或者單向鏈路故障，這些端口會(huì)收不到上游設(shè)備的BPDU報(bào)文，此時(shí)下游設(shè)備會(huì)重新選擇端口角色，收不到BPDU報(bào)文的下游設(shè)備端口會(huì)轉(zhuǎn)變?yōu)橹付ǘ丝冢枞丝跁?huì)遷移到轉(zhuǎn)發(fā)狀態(tài)，從而交換網(wǎng)絡(luò)中會(huì)產(chǎn)生環(huán)路。環(huán)路保護(hù)功能會(huì)抑制這種環(huán)路的產(chǎn)生。對(duì)于配置了環(huán)路保護(hù)的端口，當(dāng)接收不到上游設(shè)備發(fā)送的BPDU報(bào)文，環(huán)路保護(hù)生效時(shí)，如果該端口參與了STP計(jì)算，則不論其角色如何，該端口上的所有實(shí)例將一直被設(shè)置為Discarding狀態(tài)。4. 防止TC-BPDU報(bào)文的保護(hù)功能設(shè)備在接收到TC-BPDU報(bào)文（網(wǎng)絡(luò)拓?fù)浒l(fā)生變化報(bào)文）后，會(huì)執(zhí)行轉(zhuǎn)發(fā)地設(shè)備時(shí)，設(shè)備短時(shí)間內(nèi)會(huì)址表項(xiàng)的

22、刪除操作。在有人TC-BPDU報(bào)文收到很多的TC-BPDU報(bào)文，頻繁的刪除操作給設(shè)備帶來(lái)很大負(fù)擔(dān)，給網(wǎng)絡(luò)的穩(wěn)定帶來(lái)很大隱患。通過(guò)在設(shè)備上使能防止TC-BPDU報(bào)文地址表項(xiàng)。的保護(hù)功能，可以避免頻繁地刪除轉(zhuǎn)發(fā)防止TC-BPDU報(bào)文的保護(hù)功能使能后，設(shè)備在收到TC-BPDU報(bào)文后的10秒內(nèi)，允許收到TC-BPDU報(bào)文后立即進(jìn)行地址表項(xiàng)刪除操作的次數(shù)最多為stp tc- protection threshold命令設(shè)置的次數(shù)（假設(shè)命令設(shè)置的次數(shù)為X）。同時(shí)系統(tǒng)會(huì)在該時(shí)間段內(nèi)收到的TC-BPDU報(bào)文數(shù)是否大于X，如果大于X，則設(shè)備在該時(shí)間超時(shí)后再進(jìn)行一次地址表項(xiàng)刪除操作。這樣就可以避免頻繁地刪除轉(zhuǎn)發(fā)地

23、址表項(xiàng)。2.8 ARP源抑制功能如果網(wǎng)絡(luò)中有主機(jī)通過(guò)向設(shè)備發(fā)送大量目標(biāo)IP地址不能則會(huì)造成下面的危害：的IP報(bào)文來(lái)設(shè)備，第12頁(yè)，共31頁(yè)設(shè)備向目的網(wǎng)段產(chǎn)生大量 ARP 請(qǐng)求報(bào)文，加重目的網(wǎng)段的負(fù)載。為避免這種所帶來(lái)的危害，設(shè)備提供了ARP源抑制功能。開(kāi)啟該功能后，如果網(wǎng)絡(luò)中某主機(jī)向設(shè)備某端口連續(xù)發(fā)送目標(biāo)IP地址不能的IP報(bào)文（當(dāng)時(shí)間內(nèi)的ARP請(qǐng)求報(bào)文的流量超過(guò)設(shè)置的閾值），對(duì)于由此IP地址發(fā)出的IP報(bào)文，在時(shí)間內(nèi)設(shè)備不允許其觸發(fā)ARP請(qǐng)求，從而避免了所造成的危害。2.9 ARP防IP報(bào)文功能在進(jìn)行IP報(bào)文轉(zhuǎn)發(fā)過(guò)程中，設(shè)備需要依靠ARP下一跳IP地址的MAC地址。如直接轉(zhuǎn)發(fā)出去，而不需要再由軟

24、果地址成功，報(bào)文可以直接通過(guò)硬件轉(zhuǎn)發(fā)件處理；如果地址不成功，需要由進(jìn)行處理。這樣，如果接收到大量下一跳IP地址循環(huán)變化并且該IP地址不可達(dá)的IP報(bào)文，由于下一跳IP地址不成功，會(huì)試圖反復(fù)地對(duì)下一跳IP地址進(jìn)行探測(cè)，導(dǎo)致CPU負(fù)荷過(guò)重，就造成了IP報(bào)文對(duì)設(shè)備的。用戶可以通過(guò)配置ARP防IP報(bào)文功能來(lái)預(yù)防這種可能存在的情況。在防IP報(bào)文功能啟用后，一旦接收到下一跳地址不可達(dá)的IP報(bào)文（即ARP失敗的IP報(bào)文），設(shè)備立即產(chǎn)生一個(gè)黑洞路由，使硬件轉(zhuǎn)發(fā)在一段時(shí)間內(nèi)將去往該地址的報(bào)文直接丟棄。等待黑洞路由老化時(shí)間過(guò)后，報(bào)文觸發(fā)則再次發(fā)起，如果成功則由硬件進(jìn)行轉(zhuǎn)發(fā)，否則仍然下發(fā)黑洞路由。這種方式能夠有效的防

25、止異常IP報(bào)文的，保護(hù)系統(tǒng)。2.10 ARP防功能當(dāng)設(shè)備學(xué)習(xí)到用戶ARP后，如果者模擬用戶發(fā)送的ARP請(qǐng)求，則用戶的ARP表項(xiàng)被篡改，設(shè)備就不能再把報(bào)文發(fā)給用戶導(dǎo)致用戶業(yè)務(wù)中斷。使能的ARP防后，對(duì)于已經(jīng)存在的ARP表項(xiàng)，當(dāng)有ARP報(bào)文觸發(fā)ARP更新時(shí)，設(shè)備會(huì)反向發(fā)送單播ARP請(qǐng)求，確認(rèn)該ARP報(bào)文的地址正確性，如果是的，則設(shè)備不會(huì)更新ARP表項(xiàng)，保證設(shè)備與用戶間的報(bào)文轉(zhuǎn)發(fā)。者是不會(huì)做出回應(yīng)2.11 ARP防功能如果網(wǎng)絡(luò)中有主機(jī)通過(guò)向設(shè)備發(fā)送大量目標(biāo)IP地址不能則會(huì)造成下面的危害：的IP報(bào)文來(lái)設(shè)備，第13頁(yè)，共31頁(yè)設(shè)備向目的網(wǎng)段產(chǎn)生大量 ARP 請(qǐng)求報(bào)文，加重目的網(wǎng)段的負(fù)載。設(shè)備會(huì)不斷目標(biāo)

26、IP 地址，增加了 CPU 的負(fù)擔(dān)。為避免這種所帶來(lái)的危害，設(shè)備提供了ARP源抑制功能。開(kāi)啟該功能后，如果網(wǎng)絡(luò)中某主機(jī)向設(shè)備某端口連續(xù)發(fā)送目標(biāo)IP地址不能的IP報(bào)文（當(dāng)每5秒內(nèi)的ARP請(qǐng)求報(bào)文的流量超過(guò)設(shè)置的閾值），對(duì)于由此IP地址發(fā)出的IP報(bào)文，設(shè)備不允許其觸發(fā)ARP請(qǐng)求，直至5秒后再處理，從而避免了所造成的危害。2.12ARP功能所謂ARP（Authorized ARP），就是根據(jù)DHCP服務(wù)器生成的租約或者DHCP中繼生成的安全表項(xiàng)同步生成ARP表項(xiàng)。ARP功能可以檢測(cè)用戶的址或MAC地址對(duì)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)的安全性。下線，并且可以防止用戶仿冒其他用戶的IP地，保證只有合法的用戶才能使用網(wǎng)絡(luò)資

27、源，增加了2.13協(xié)議端口保護(hù)功能為了保護(hù)設(shè)備不被網(wǎng)絡(luò)上的其它用戶對(duì)端口的，在默認(rèn)狀態(tài)下，設(shè)備各接入端口上的各協(xié)議狀態(tài)是關(guān)閉的，其它設(shè)備發(fā)送過(guò)來(lái)的相關(guān)協(xié)議報(bào)文不會(huì)被系統(tǒng)處理，這樣就不會(huì)被。只有當(dāng)該端口上的相關(guān)協(xié)議使能后，該協(xié)議的端才被放開(kāi)，系統(tǒng)就能正常處理了。2.14報(bào)文上送限制和優(yōu)先級(jí)分類上送功能為了避免因某種協(xié)議報(bào)文中進(jìn)行了兩種保護(hù)：導(dǎo)致系統(tǒng)無(wú)法處理其它任務(wù)而導(dǎo)致系統(tǒng)故障，在設(shè)備(1)根據(jù)協(xié)議任務(wù)的優(yōu)先級(jí)對(duì)協(xié)議報(bào)文的處理進(jìn)行了優(yōu)先級(jí)分類，保證高優(yōu)先級(jí)的協(xié)議報(bào)文優(yōu)先處理；(2)對(duì)每個(gè)協(xié)議報(bào)文的系統(tǒng)處理能力進(jìn)行了限制，某種協(xié)議報(bào)文的沖擊不會(huì)影響其它協(xié)議報(bào)文的正常處理。2.15主動(dòng)對(duì)報(bào)文進(jìn)行功能

28、控制，根據(jù)源的MAC，IP或VLAN當(dāng)確認(rèn)某種報(bào)文后，可以通過(guò)后端等信息主動(dòng)下發(fā)防規(guī)則，對(duì)該流進(jìn)行，使系統(tǒng)恢復(fù)正常。第14頁(yè)，共31頁(yè)設(shè)備會(huì)不斷目標(biāo) IP 地址，增加了 CPU 的負(fù)擔(dān)。3 路由轉(zhuǎn)發(fā)安全性3.1路由協(xié)議加密認(rèn)證為了避免路由信息外泄或者對(duì)路由器進(jìn)行，路由器提供報(bào)文驗(yàn)證功能。對(duì)所有動(dòng)態(tài)協(xié)議RIPF、ISIS、BGP都可以支持明文或MD5認(rèn)證。3.2IP Source Guard功能通過(guò)IP Source Guard綁定功能，可以對(duì)端口轉(zhuǎn)發(fā)的報(bào)文進(jìn)行過(guò)濾控制，防止報(bào)文通過(guò)端口，提高了端口的安全性。端口接收到報(bào)文后查找IP Source Guard綁定表項(xiàng)，如果報(bào)文中的特征項(xiàng)與綁定表項(xiàng)

29、中文，否則做丟棄處理。的特征項(xiàng)匹配，則端口轉(zhuǎn)發(fā)該報(bào)IP Source Guard支持的報(bào)文特征項(xiàng)包括：源IP地址、源MAC地址和VLAN并且，可支持端口與如下特征項(xiàng)的組合（下文簡(jiǎn)稱綁定表項(xiàng)）：。端口所支持綁定表項(xiàng)的種類與設(shè)備的型號(hào)有關(guān)，請(qǐng)以設(shè)備的實(shí)際情況為準(zhǔn)。該特性提供兩種觸發(fā)綁定的機(jī)制：一種是通過(guò)手工配置方式提供綁定表項(xiàng)，稱為靜態(tài)綁定；另外一種由DHCP Snoo或者DHCP Relay提供綁定表項(xiàng)，稱為動(dòng)態(tài)綁定。而且，綁定是針對(duì)端口的，一個(gè)端口被綁定后，僅該端口被限制，其他端口不受該綁定影響。3.3URPFURPF（Unicast Reverse Path Forwarding，單播反向路

30、徑轉(zhuǎn)發(fā)）的主要功能是用于防止基于源地址的網(wǎng)絡(luò)行為。源地址為者構(gòu)造出一系列帶有源地址的報(bào)文，對(duì)于使用基于IP地址驗(yàn)證的應(yīng)用來(lái)說(shuō)，此方法可以導(dǎo)致未被用戶以他人獲得系統(tǒng)的權(quán)限，甚至是以管理員權(quán)限來(lái)。即使響應(yīng)報(bào)文不能達(dá)到者，同樣也會(huì)造成對(duì)被對(duì)象的破壞。第15頁(yè)，共31頁(yè)IP、MAC、IPMACIPVLAN、MACVLAN、IPMACVLAN圖5 源地址示意圖通過(guò)URPF技術(shù)，如果在Router A上源地址為/8的報(bào)文，向Router B發(fā)起請(qǐng)求，Router B將不會(huì)響應(yīng)該請(qǐng)求，只對(duì)從Router C上過(guò)來(lái)的/8的報(bào)文請(qǐng)求做出響應(yīng)，這樣就可以基于源地址的。3.4海量雙向ACL通過(guò)流量管理技術(shù)，可以對(duì)網(wǎng)

31、絡(luò)流量及其分配的資源實(shí)施控制，保證設(shè)備提供有效的轉(zhuǎn)發(fā)服務(wù)和控制。設(shè)備支持流分類、流量、流量整形、擁塞管理和擁塞避免等技術(shù)，最大可以支持64K的規(guī)則下發(fā)，支持入出雙向的ACL控制，可以從容地進(jìn)行各種流量管理工作。3.5IPSecIPSec（IP Security）是IETF制定的三層隧道加密協(xié)議，它為 ernet上傳輸?shù)臄?shù)據(jù)提供了高質(zhì)量的、可互操作的、基于學(xué)的安全保證。特定的通信方之間在IP層通過(guò)加密與數(shù)據(jù)源認(rèn)證等方式，提供了以下的安全服務(wù)：可以通過(guò)IKE（ ernet Key Exchange，因特網(wǎng)密鑰交換協(xié)議）為IPSec提供自動(dòng)協(xié)商交換密鑰、建立和安全的服務(wù)，以簡(jiǎn)化IPSec的使用和管理

32、。IKE協(xié)商并不是必須的，IPSec所使用的策略和算法等也可以手工協(xié)商。第16頁(yè)，共31頁(yè)數(shù)據(jù)性（ity）：IPSec 發(fā)送通過(guò)網(wǎng)絡(luò)傳輸包前對(duì)包進(jìn)行加密。數(shù)據(jù)完整性（Dataegrity）：IPSec 接收發(fā)送方發(fā)送來(lái)的包進(jìn)行認(rèn)證，以確保數(shù)據(jù)在傳輸過(guò)程中沒(méi)有被篡改。數(shù)據(jù)來(lái)源認(rèn)證（Data Authentication）：IPSec 在接收端可以認(rèn)證發(fā)送 IPSec報(bào)文的發(fā)送端是否合法。防重放（Anti-Replay）：IPSec 接收方可檢測(cè)并接收過(guò)時(shí)或重復(fù)的報(bào)文。1. IPSec的實(shí)現(xiàn)IPSec通過(guò)如下兩種協(xié)議來(lái)實(shí)現(xiàn)安全服務(wù)：AH和ESP可以單獨(dú)使用，也可以聯(lián)合使用。設(shè)備支持的AH和ESP聯(lián)

33、合使用的方式為：先對(duì)報(bào)文進(jìn)行ESP封裝，再對(duì)報(bào)文進(jìn)行AH封裝，封裝之后的報(bào)文從內(nèi)到外依次是原始IP報(bào)文、ESP頭、AH頭和外部IP頭。2. IPSec基本概念3. 安全（Security Assotion，SA）IPSec在兩個(gè)端點(diǎn)之間提供安全通信，端點(diǎn)被稱為IPSec對(duì)等體。SA是IPSec的基礎(chǔ)，也是IPSec的本質(zhì)。SA是通信對(duì)等體間對(duì)某些要素的約定，例如，使用哪種協(xié)議（AH、ESP還是兩者結(jié)合使用）、協(xié)議的封裝模式（傳輸模式和隧道模式）、加密算法（DES、3DES和AES）、特定流中保護(hù)數(shù)據(jù)的共享密鑰以及密鑰的生存周期等。SA是單向的，在兩個(gè)對(duì)等體之間的雙向通信，最少需要兩個(gè)SA來(lái)分別

34、對(duì)兩個(gè)方向的數(shù)據(jù)流進(jìn)行安全保護(hù)。同時(shí)，如果兩個(gè)對(duì)等體希望同時(shí)使用AH和ESP來(lái)進(jìn)行安全通信，則每個(gè)對(duì)等體都會(huì)針對(duì)每一種協(xié)議來(lái)構(gòu)建一個(gè)獨(dú)立的SA。SA由一個(gè)三元組來(lái)唯一標(biāo)識(shí)，這個(gè)三元組包括SPI（Security Parameter Index，安全參數(shù)索引）、目的IP地址、安全協(xié)議號(hào)（AH或ESP）。SPI是為唯一標(biāo)識(shí)SA而生成的一個(gè)32比特的數(shù)值，它在AH和ESP頭中傳輸。在手工配置安全時(shí)，需要手工指定SPI的取值。使用IKE協(xié)商產(chǎn)生安全將隨機(jī)生成。時(shí)，SPI第17頁(yè)，共31頁(yè)AH（Authentication Header）是認(rèn)證頭協(xié)議，協(xié)議號(hào)為 51。主要提供的功能有數(shù)據(jù)源認(rèn)證、數(shù)據(jù)完整

35、性校驗(yàn)和防報(bào)文重放功能，可選擇的認(rèn)證算法有 MD5（Message Digest）、SHA-1（Secure Hash Algorithm）等。AH 報(bào)文頭插在標(biāo)準(zhǔn) IP 包頭后面，保證數(shù)據(jù)包的完整性和真實(shí)性，防止 截獲數(shù)據(jù)包或向網(wǎng)絡(luò)中 的數(shù)據(jù)包。ESP（Encapsulating Security Payload）是報(bào)文安全封裝協(xié)議，協(xié)議號(hào)為 50。與 AH 協(xié)議不同的是，ESP 將需要保護(hù)的用戶數(shù)據(jù)進(jìn)行加密后再封裝到 IP 包中，以保證數(shù)據(jù)的 性。常見(jiàn)的加密算法有 DES、3DES、AES 等。同時(shí)，作為可選項(xiàng)，用戶可以選擇 MD5、SHA-1 算法保證報(bào)文的完整性和真實(shí)性。SA是具有生存

36、周期的，且只對(duì)通過(guò)IKE方式建立的SA有效。分為兩種類型：生存周期到達(dá)指定的時(shí)間或指定的流量，SA就會(huì)失效。SA失效前，IKE將為IPSec協(xié)商建立新的SA，這樣，在舊的SA失效前新的SA就已經(jīng)準(zhǔn)備好。在新的SA開(kāi)始協(xié)商而沒(méi)有協(xié)商好之前，繼續(xù)使用舊的SA保護(hù)通信。在新的SA協(xié)商好之后，則立即采用新的SA保護(hù)通信。4. 封裝模式IPSec有如下兩種工作模式：5. 認(rèn)證算法與加密算法(1)認(rèn)證算法認(rèn)證算法的實(shí)現(xiàn)主要是通過(guò)雜湊函數(shù)。雜湊函數(shù)是一種能夠接受任意長(zhǎng)的消息輸入，并產(chǎn)生固定長(zhǎng)度輸出的算法，該輸出稱為消息摘要。IPSec對(duì)等體計(jì)算摘要，如果兩個(gè)摘要是相同的，則表示報(bào)文是完整 篡改的。IPSec

37、使用兩種認(rèn)證算法：MD5算法的計(jì)算速度比SHA-1算法快，而SHA-1算法的安全強(qiáng)度比MD5算法高。(2)加密算法加密算法實(shí)現(xiàn)主要通過(guò)對(duì)稱密鑰系統(tǒng)，它使用相同的密鑰對(duì)數(shù)據(jù)進(jìn)行加密和目前設(shè)備的IPSec實(shí)現(xiàn)三種加密算法：。第18頁(yè)，共31頁(yè)DES（Data Encryption Standard）：使用 56bit 的密鑰對(duì)一個(gè) 64bit 的明文塊進(jìn)行加密。MD5：MD5 通過(guò)輸入任意長(zhǎng)度的消息，產(chǎn)生 128bit 的消息摘要。SHA-1：SHA-1 通過(guò)輸入長(zhǎng)度小于 2 的 64 次方 bit 的消息，產(chǎn)生 160bit 的消息摘要。隧道（tunnel）模式：用戶的整個(gè) IP 數(shù)據(jù)包被用來(lái)計(jì)

38、算 AH 或 ESP 頭，AH或 ESP 頭以及 ESP 加密的用戶數(shù)據(jù)被封裝在一個(gè)新的 IP 數(shù)據(jù)包中。通常，隧道模式應(yīng)用在兩個(gè)安全網(wǎng)關(guān)之間的通訊。傳輸（transport）模式：只是傳輸層數(shù)據(jù)被用來(lái)計(jì)算 AH 或 ESP 頭，AH 或ESP 頭以及 ESP 加密的用戶數(shù)據(jù)被放置在原 IP 包頭后面。通常，傳輸模式應(yīng)用在兩臺(tái)主機(jī)之間的通訊，或一臺(tái)主機(jī)和一個(gè)安全網(wǎng)關(guān)之間的通訊?；跁r(shí)間，定義一個(gè) SA 從建立到失效的時(shí)間；基于流量，定義一個(gè) SA 允許處理的最大流量。這三個(gè)加密算法的安全性由高到低依次是：AES、3DES、DES，安全性高的加密算法實(shí)現(xiàn)機(jī)制復(fù)雜，運(yùn)算速度慢。對(duì)于普通的安全要求，

39、DES算法就可以滿足需要。6. 協(xié)商方式有如下兩種協(xié)商方式建立SA：當(dāng)與之進(jìn)行通信的對(duì)等體設(shè)備數(shù)量較少時(shí)，或是在小型靜態(tài)環(huán)境中，手工配置SA絡(luò)環(huán)境中，使用IKE協(xié)商建立SA。是可行的。對(duì)于中、大型的7. 安全隧道安全隧道是建立在本端和對(duì)端之間可以互通的一個(gè)通道，它由一對(duì)或多對(duì)SA組成。3.6 NetStreamNetStream提供報(bào)文統(tǒng)計(jì)功能，它根據(jù)報(bào)文的目的IP地址、源IP地址、目的端口號(hào)、源端、協(xié)議號(hào)、ToS（Type of Service，服務(wù)類型）、輸入接口和輸出接口來(lái)區(qū)分流，并針對(duì)不同的流進(jìn)行獨(dú)立的數(shù)據(jù)統(tǒng)計(jì)。圖6 NetStream和分析過(guò)程示意圖第19頁(yè)，共31頁(yè)手工方式（man

40、ual）配置比較復(fù)雜，創(chuàng)建 SA 所需的全部信息都必須手工配置，而且不支持一些高級(jí)特性（例如定時(shí)更新密鑰），但優(yōu)點(diǎn)是可以不依賴 IKE 而單獨(dú)實(shí)現(xiàn) IPSec 功能。IKE 自動(dòng)協(xié)商（isakmp）方式相對(duì)比較簡(jiǎn)單，只需要配置好 IKE 協(xié)商安全策略的信息，由 IKE 自動(dòng)協(xié)商來(lái)創(chuàng)建和SA。3DES（Triple DES）：使用三個(gè) 56bit 的 DES 密鑰（共 168bit 密鑰）對(duì)明文進(jìn)行加密。AES（Advanced Encryption Standard）：使用 128bit、192bit 或 256bit 密鑰長(zhǎng)度的 AES 算法對(duì)明文進(jìn)行加密。NetStream進(jìn)行和分析的過(guò)程

41、如下：(1)配置了 NetStream 功能的設(shè)備把到的關(guān)于流的詳細(xì)信息定期發(fā)送給 NSC（NetStream Collector，網(wǎng)絡(luò)流數(shù)據(jù)收集器）；信息由 NSC 初步處理后發(fā)送給 NDA（NetStream Data據(jù)分析器）；(2)yzer，網(wǎng)絡(luò)流數(shù)(3)NDA 對(duì)數(shù)據(jù)進(jìn)行分析，以用于計(jì)費(fèi)、網(wǎng)絡(luò)規(guī)劃等應(yīng)用。NDA 可以通過(guò) XLog對(duì)輸出的數(shù)據(jù)進(jìn)行分析。3.7（FW）一方面可以來(lái)自因特網(wǎng)的、對(duì)受保護(hù)網(wǎng)絡(luò)的未，另一方面允許也可以作為一個(gè)網(wǎng)絡(luò)用戶對(duì)因特網(wǎng)進(jìn)行Web或收發(fā)等。因特網(wǎng)的權(quán)限控制關(guān)口，如允許組織內(nèi)的特定主機(jī)可以因特網(wǎng)。現(xiàn)在，許多防火墻同時(shí)還具有一些其它特點(diǎn)，如進(jìn)行鑒別、對(duì)信息進(jìn)行

42、安全（加理等。不單用于控制因特網(wǎng)連接，也可以用來(lái)在組織網(wǎng)絡(luò)保護(hù)大型機(jī)和重要的資源（如數(shù)據(jù)）。對(duì)受保護(hù)數(shù)據(jù)的都必須經(jīng)過(guò)。的過(guò)濾，即使網(wǎng)絡(luò)用戶要受保護(hù)的數(shù)據(jù)，也要經(jīng)過(guò)目前設(shè)備中的主要指以下三種：濾，即基于 ACL（Acs Control List，控制列表）的濾狀態(tài)，即 ASPF（Application Specific Packet Filter，基于應(yīng)用層狀態(tài)濾）的地址轉(zhuǎn)換3.7.1濾簡(jiǎn)介1.濾概述濾實(shí)現(xiàn)了對(duì)IP數(shù)據(jù)包的過(guò)濾。對(duì)設(shè)備需要轉(zhuǎn)發(fā)的數(shù)據(jù)包，先獲取其包頭信息（包括IP層所承載的上層協(xié)議的協(xié)議號(hào)、數(shù)據(jù)包的源地址、目的地址、源端口和目的端口等），然后與設(shè)定的ACL規(guī)則進(jìn)行比較，根據(jù)比較的結(jié)

43、果對(duì)數(shù)據(jù)包進(jìn)行相應(yīng)的處理。2. 對(duì)分片報(bào)文過(guò)濾的支持第20頁(yè)，共31頁(yè)目前的濾提供了對(duì)分片報(bào)文檢測(cè)過(guò)濾的支持，檢測(cè)的內(nèi)容有：對(duì)于配置了精確匹配過(guò)濾方式的高級(jí)ACL規(guī)則，濾需要每一個(gè)首片分片的三層以上的信息，當(dāng)后續(xù)分片到達(dá)時(shí)，使用這些保存的信息對(duì)ACL規(guī)則的每一個(gè)匹配條件進(jìn)行精確匹配。應(yīng)用精確匹配過(guò)濾后，濾的執(zhí)行效率會(huì)略微降低，配置的匹配項(xiàng)目越多，效率降低越多，可以配置門限值來(lái)限制最大處理的數(shù)目。3.7.2ASPF簡(jiǎn)介濾屬于靜態(tài)，目前存在如下：因此，提出了狀態(tài)ASPF的概念。ASPF能夠?qū)崿F(xiàn)的檢測(cè)有：1. ASPF的功能ASPF的主要功能如下：ASPF的其它功能有：第21頁(yè)，共31頁(yè)能夠檢查應(yīng)用

44、層協(xié)議信息，如報(bào)文的協(xié)議類型和端 等信息，并且 基于連接的應(yīng)用層協(xié)議狀態(tài)。對(duì)于所有連接，每 接狀態(tài)信息都將被 ASPF ，并用于動(dòng)態(tài)地決定數(shù)據(jù)包是否被允許通過(guò) 進(jìn)入 網(wǎng)絡(luò)，以 的 。能夠檢測(cè)傳輸層協(xié)議信息（即通用 TCP/UDP 檢測(cè)），能夠根據(jù)源、目的地址及端決定 TCP 或 UDP 報(bào)文是否可以通過(guò)進(jìn)入網(wǎng)絡(luò)。應(yīng)用層協(xié)議檢測(cè)，包括 FTP、HTTP 、SMTP 、RTSP、H.323 （ Q.931 、 H.245、RTP/RTCP）檢測(cè)；傳輸層協(xié)議檢測(cè)，包括 TCP 和 UDP 檢測(cè)，即通用 TCP/UDP 檢測(cè)。對(duì)于多通道的應(yīng)用層協(xié)議（如 FTP、H.323 等），部分安全策略配置無(wú)法預(yù)

45、知；無(wú)法檢測(cè)某些來(lái)自傳輸層和應(yīng)用層的行為（如 TCP SYN、Java Applets等）。報(bào)文類型（片報(bào)文、首片分片報(bào)文和非首片分片報(bào)文）獲得報(bào)文的三層信息（基本 ACL 規(guī)則和不含三層以上信息的高級(jí) ACL 規(guī)則）三層以上的信息（包含三層以上信息的高級(jí) ACL 規(guī)則）在網(wǎng)絡(luò)邊界，ASPF和濾協(xié)同工作，能夠?yàn)槠髽I(yè)網(wǎng)絡(luò)提供更全面的、更符合實(shí)際需求的安全策略。2. ASPF基本概念1、Java BlockingJava Blocking是對(duì)通過(guò)HTTP協(xié)議傳輸?shù)腏ava Applets程序進(jìn)行阻斷。當(dāng)配置了 Java Blocking后，用戶為試圖在Web頁(yè)面中獲取包含Java Applets程

46、序而發(fā)送的請(qǐng)求指令將會(huì)被阻斷。2、PAM應(yīng)用層協(xié)議使用通用的端進(jìn)行通信，PAM允許用戶對(duì)不同的應(yīng)用定義一組新的端，并提供了一些機(jī)制來(lái)和使用用戶定義的端口配置信息。PAM支持兩類機(jī)制：3、單通道協(xié)議和多通道協(xié)議4、接口和外部接口第22頁(yè)，共31頁(yè)單通道協(xié)議：從會(huì)話建立到刪除的全過(guò)程中，只有一個(gè)通道參與數(shù)據(jù)交互，如 SMTP、HTTP。多通道協(xié)議：包含一個(gè)控制通道和若干其它控制或數(shù)據(jù)通道，即控制信息的交互和數(shù)據(jù)的傳送是在不同的通道上完成的，如 FTP、RTSP。通用端口 ：是將用戶自定義端 與應(yīng)用層協(xié)議建立 關(guān)系。例如：將 8080 端口 為 HTTP 協(xié)議，這樣所有目的端口是 8080 的 TC

47、P 報(bào)文將被認(rèn)為是 HTTP 報(bào)文。主機(jī)端口 ：是對(duì)去往或來(lái)自某些特定主機(jī)的報(bào)文建立自定義端 和應(yīng)用協(xié)議的 。例如：將目的地址為 網(wǎng)段的、使用 8080 端口的TCP 報(bào)文為 HTTP 報(bào)文。主機(jī)的范圍可由基本 ACL 指定。ASPF 不僅能夠根據(jù)連接的狀態(tài)對(duì)報(bào)文進(jìn)行過(guò)濾，還能夠?qū)?yīng)用層報(bào)文的內(nèi)容加以檢測(cè)，提供對(duì)不 站點(diǎn)的 Java Blocking 功能，用于保護(hù)網(wǎng)絡(luò)不受有害的 Java Applets 的破壞。增強(qiáng)的會(huì)話日志功能?？梢詫?duì)所有的連接進(jìn)行 ，包括：連接的時(shí)間、源地址、目的地址、使用的端口和傳輸?shù)淖止?jié)數(shù)。支持 Port to Application Map，應(yīng)用協(xié)議端口），允許用

48、戶自定義應(yīng)用層協(xié)議使用非通用端口。網(wǎng)和互聯(lián)網(wǎng)，并且設(shè)備要通過(guò)部署ASPF來(lái)保護(hù)如果設(shè)備連接了器，則設(shè)備上與口。網(wǎng)的服務(wù)網(wǎng)連接的接口就是接口，與互聯(lián)網(wǎng)相連的接口就是外部接當(dāng)ASPF應(yīng)用于設(shè)備外部接口的出方向時(shí)，可以在網(wǎng)的返回報(bào)文打開(kāi)一個(gè)臨時(shí)通道。上為網(wǎng)用戶互聯(lián)3. 應(yīng)用層協(xié)議檢測(cè)基本原理圖7 應(yīng)用層協(xié)議檢測(cè)基本原理示意圖如上圖所示，為了保護(hù)網(wǎng)絡(luò)，一般情況下需要在路由器上配置控制列表，以允許網(wǎng)的主機(jī)外部網(wǎng)絡(luò)，同時(shí)外部網(wǎng)絡(luò)的主機(jī)網(wǎng)絡(luò)。但訪問(wèn)控制列表會(huì)將用戶發(fā)起連接后返回的報(bào)文過(guò)濾掉，導(dǎo)致連接無(wú)法正常建立。當(dāng)在設(shè)備上配置了應(yīng)用層協(xié)議檢測(cè)后，ASPF可以檢測(cè)每一個(gè)應(yīng)用層的會(huì)話，并創(chuàng)建一個(gè)狀態(tài)表和一個(gè)臨時(shí)

49、TACL）：控制列表（ Temporary Acs Control List ，下面以FTP檢測(cè)為例說(shuō)明多通道應(yīng)用層協(xié)議檢測(cè)的過(guò)程。第23頁(yè)，共31頁(yè)狀態(tài)表在 ASPF 檢測(cè)到第一個(gè)向外發(fā)送的報(bào)文時(shí)創(chuàng)建，用于 一次會(huì)話中某一時(shí)刻會(huì)話所處的狀態(tài)，并檢測(cè)會(huì)話狀態(tài)的轉(zhuǎn)換是否正確。臨時(shí) 控制列表的表項(xiàng)在創(chuàng)建狀態(tài)表項(xiàng)的同時(shí)創(chuàng)建，會(huì)話結(jié)束后刪除，它相當(dāng)于一個(gè)擴(kuò)展 ACL 的 permit 項(xiàng)。TACL 主要用于匹配一個(gè)會(huì)話中的所有返回的報(bào)文，可以為某一應(yīng)用返回的報(bào)文在 的外部接口上建立一個(gè)臨時(shí)的返回通道。圖8 FTP檢測(cè)過(guò)程示意圖如上圖所示，F(xiàn)TP連接的建立過(guò)程如下：假設(shè)FTP cnt以1333端口向FT

50、P server的21端口發(fā)起FTP控制通道的連接，通過(guò)協(xié)商決定由FTP server的20端口向FTP Cnt的1600端口發(fā)起數(shù)據(jù)通道的連接，數(shù)據(jù)傳輸超時(shí)或結(jié)束后連接刪除。FTP檢測(cè)在FTP連接建立到拆除過(guò)程中的處理如下：(1)(2)(3)檢查從出接口上向外發(fā)送的 IP 報(bào)文，確認(rèn)為基于 TCP 的 FTP 報(bào)文。檢查端確認(rèn)連接為控制連接，建立返回報(bào)文的 TACL 和狀態(tài)表。檢查 FTP 控制連接報(bào)文，F(xiàn)TP 指令，根據(jù)指令更新?tīng)顟B(tài)表。如果包含數(shù)據(jù)通道建立指令，則創(chuàng)建數(shù)據(jù)連接的 TACL；對(duì)于數(shù)據(jù)連接，不進(jìn)行狀態(tài)檢測(cè)。(4)對(duì)于返回報(bào)文，根據(jù)協(xié)議類型做相應(yīng)匹配檢查，檢查將根據(jù)相應(yīng)協(xié)議的狀態(tài)

51、表和 TACL 決定報(bào)文是否允許通過(guò)。FTP 連接刪除時(shí)，狀態(tài)表及 TACL 隨之刪除。(5)單通道應(yīng)用層協(xié)議（如SMTP、HTTP）的檢測(cè)過(guò)程比較簡(jiǎn)單，當(dāng)發(fā)起連接時(shí)建立TACL，連接刪除時(shí)隨之刪除TACL即可。4. 傳輸層協(xié)議檢測(cè)基本原理這里的傳輸層協(xié)議檢測(cè)是指通用TCP/UDP檢測(cè)。通用TCP/UDP檢測(cè)與應(yīng)用層協(xié)議檢測(cè)不同，是對(duì)報(bào)文的傳輸層信息進(jìn)行的檢測(cè)，如源、目的地址及端等。通用TCP/UDP檢測(cè)要求返回到ASPF外部接口的報(bào)文要與前面從ASPF外部接口發(fā)出去的報(bào)文完全匹配，即源、目的地址及端恰好對(duì)應(yīng)，否則返回的報(bào)文將被阻塞。因此對(duì)于FTP、H.323這樣的多通道應(yīng)用層協(xié)議，在不配置應(yīng)

52、用層檢測(cè)而直接配置TCP檢測(cè)的情況下會(huì)導(dǎo)致數(shù)據(jù)連接無(wú)法建立。第24頁(yè)，共31頁(yè)4 管理安全性4.1用戶管理是本地認(rèn)證服務(wù)器提供的功能包括：安全功能，它根據(jù)設(shè)置的策略對(duì)進(jìn)行控制。主要4.2用戶等級(jí)管理用戶級(jí)別指登錄用戶的分類，共劃分為4個(gè)級(jí)別，與命令級(jí)別對(duì)應(yīng)，不同級(jí)別的用戶登錄后，只能使用等于或低于自己級(jí)別令。命令的級(jí)別分為級(jí)、級(jí)、系統(tǒng)級(jí)、管理級(jí)，權(quán)限如下：4.3信息中心信息中心是系統(tǒng)的信息樞紐，它能夠?qū)λ械南到y(tǒng)信息進(jìn)行分類、管理，為網(wǎng)絡(luò)管理員和開(kāi)發(fā)網(wǎng)絡(luò)運(yùn)行情況和網(wǎng)絡(luò)故障提供了強(qiáng)有力的支持。信息中心的工作過(guò)程如下：第25頁(yè)，共31頁(yè)接收各模塊生成的日志信息（ log ）、告警信息（ trap

53、）和調(diào)試信息（debug）。級(jí)：網(wǎng)絡(luò)工具命令（、tracret）、從本設(shè)備出發(fā)外部設(shè)備令（包括：net 客戶端、SSH 客戶端、RLOGIN）等，該級(jí)別命令不允許進(jìn)行配置文件保存的操作。級(jí)：用于 、業(yè)務(wù)故障 等，包括 refresh、rese d 等命令，該級(jí)別命令不允許進(jìn)行配置文件保存的操作。系統(tǒng)級(jí)：業(yè)務(wù)配置命令，包括路由、各個(gè)網(wǎng)絡(luò)層次 令，這些用于向用戶提供直接網(wǎng)絡(luò)服務(wù)。管理級(jí)：關(guān)系到系統(tǒng)基本運(yùn)行、系統(tǒng)支撐模塊 令，這些命令對(duì)業(yè)務(wù)提供支撐作用，包括文件系統(tǒng)、FTP、TFTP、XModem 、配置文件切換命令、電源控制命令、備板控制命令、用戶管理命令、級(jí)別設(shè)置命令、系統(tǒng)內(nèi)部參數(shù)設(shè)置命令（非協(xié)

54、議規(guī)定、非 RFC 規(guī)定）等。長(zhǎng)度限制：可以對(duì)的長(zhǎng)度范圍進(jìn)行控制老化管理：有效時(shí)間限制，老化時(shí)間超過(guò)后用戶必須更換過(guò)期提醒：接近老化時(shí)間時(shí)會(huì)提供用戶及時(shí)進(jìn)行更新4.4 SSHSSH是Secure S（安全外殼）的簡(jiǎn)稱。用戶通過(guò)一個(gè)不能保證安全的網(wǎng)絡(luò)環(huán)境登錄到設(shè)備時(shí)，SSH可以利用加密和強(qiáng)大的認(rèn)證功能提供安全保障，保護(hù)設(shè)備不受諸如IP地址、明文截取等。設(shè)備支持SSH服務(wù)器功能，可以接受多個(gè)SSH客戶端的連接。同時(shí)，設(shè)備還支持SSH客戶端功能，允許用戶與支持SSH服務(wù)器功能的設(shè)備建立SSH連接，從而實(shí)現(xiàn)從本地設(shè)備通過(guò)SSH登錄到設(shè)備上。4.4.1算法和密鑰加密和過(guò)程中使用的一組變換規(guī)則稱為算法。將

55、未加密的信息稱為明文，加密后的信息稱為密文。加密和都是在密鑰的控制下進(jìn)行的。密鑰是一組特定的字符串，是控制明文和密文變換的唯一參數(shù)，起到“”的作用。通過(guò)加密變換操作，可以將明文變換為密文，或者通過(guò)變換操作，將密文恢復(fù)為明文。如下圖所示。圖9 加密和變換關(guān)系基于密鑰的算法通常有兩類：對(duì)稱算法和非對(duì)稱密鑰算法。4.4.2非對(duì)稱密鑰算法非對(duì)稱密鑰算法是指通信的每一端都存在一對(duì)密鑰，即一個(gè)私鑰，一個(gè)公鑰。公鑰是公開(kāi)的，私鑰只有合法者擁有，從公鑰很難推出私鑰。非對(duì)稱密鑰算法可以用于加密，也就是用公鑰對(duì)報(bào)文進(jìn)行加密，然后由擁有私鑰的合法者使用私鑰對(duì)數(shù)據(jù)進(jìn)行，這樣保證數(shù)據(jù)的性。非對(duì)稱密鑰算法還可以用于數(shù)字簽

56、名，比如用戶1使用自己的私鑰對(duì)數(shù)據(jù)進(jìn)行簽名，然后發(fā)給用戶2，用戶2可以用用戶1的公鑰驗(yàn)證簽名，如果簽名是正確的，那第26頁(yè)，共31頁(yè)根據(jù)用戶設(shè)置的輸出規(guī)則，將信息輸出到信息通道。根據(jù)信息通道和輸出方向的關(guān)聯(lián)，將信息輸出到不同方向。么就能夠確認(rèn)該數(shù)據(jù)來(lái)源于用戶1。RSA（Rivest Shamir and Adleman）、DSA（Digital Signature Algorithm，數(shù)字簽名算法）和ECDSA（Elliptic Curve Digital Signature Algorithm，橢圓曲線數(shù)字簽名算法）都是非對(duì)稱密鑰算法，RSA既可以用于加密，又可以用于簽名，而DSA和ECDS

57、A只用于簽名。4.4.3SSH2.0工作過(guò)程在整個(gè)通訊過(guò)程中，為實(shí)現(xiàn)SSH的安全連接，服務(wù)器端與客戶端要經(jīng)歷如下五個(gè)階段：1、版本號(hào)協(xié)商階段具體步驟如下：(1)(2)服務(wù)器打開(kāi)端口 22，等待客戶端連接?？蛻舳讼蚍?wù)器端發(fā)起 TCP 初始連接請(qǐng)求，TCP 連接建立后，服務(wù)器向客戶端發(fā)送第一個(gè)報(bào)文，包括版本標(biāo)志字符串，格式為“SSH.”，協(xié)議版本號(hào)由主版本號(hào)和次版本號(hào)組成，版本號(hào)主要是為調(diào)試使用。(3)客戶端收到報(bào)文后，該數(shù)據(jù)包，如果服務(wù)器端的協(xié)議版本號(hào)比自己的低，且能支持服務(wù)器端的低版本，就使用服務(wù)器端的低版本協(xié)議號(hào)，否則使用自己的協(xié)議版本號(hào)。客戶端回應(yīng)服務(wù)器一個(gè)報(bào)文，包含了客戶端決定使用的協(xié)

58、議版本號(hào)。服務(wù)器比較客戶端發(fā)來(lái)的版本號(hào)，決定是否能同客戶端一起工作。如果協(xié)商成功，則進(jìn)入密鑰和算法協(xié)商階段，否則服務(wù)器端斷開(kāi) TCP 連接。(4)(5)2、密鑰和算法協(xié)商階段具體步驟如下：(1)服務(wù)器端和客戶端分別發(fā)送算法協(xié)商報(bào)文給對(duì)端，報(bào)文中包含自己支持的公鑰算法列表、加密算法列表、MAC（Message Authentication Code，消息驗(yàn)證碼）算法列表、壓縮算法列表等。服務(wù)器端和客戶端根據(jù)對(duì)端和本端支持的算法列表得出最終使用的算法。(2)(3)利用 DH 交換（Diffie-會(huì)話密鑰和會(huì)話 ID。man Exchange）算法、主鑰對(duì)等參數(shù)，生成通過(guò)以上步驟，服務(wù)器端和客戶端就

59、取得了相同的會(huì)話密鑰和會(huì)話ID。對(duì)于后續(xù)傳第27頁(yè)，共31頁(yè)輸?shù)臄?shù)據(jù)，兩端都會(huì)使用會(huì)話密鑰進(jìn)行加密和證階段，兩端會(huì)使用會(huì)話ID用于認(rèn)證過(guò)程。，保證了數(shù)據(jù)傳送的安全。在認(rèn)3、認(rèn)證階段客戶端向服務(wù)器端發(fā)送認(rèn)證請(qǐng)求報(bào)文，認(rèn)證請(qǐng)求中包含用戶名、認(rèn)證方法等相關(guān)內(nèi)容，服務(wù)器端啟動(dòng)對(duì)該用戶進(jìn)行認(rèn)證的程序。SSH提供兩種認(rèn)證方法：(1)password 認(rèn)證：客戶端向服務(wù)器發(fā)出 password 認(rèn)證請(qǐng)求，將用戶名和加密后發(fā)送給服務(wù)器；服務(wù)器將該信息后得到用戶名和的明文，與設(shè)備上保存的用戶名和進(jìn)行比較，并返回認(rèn)證成功或失敗的消息。(2)publickey 認(rèn)證：利用公共密鑰加密算法來(lái)認(rèn)證客戶端。目前，設(shè)備上支

60、持RSA 和 DSA 兩種公共密鑰加密算法。在認(rèn)證過(guò)程中，客戶端和服務(wù)器通過(guò)協(xié)商，確定采用的公共密鑰加密算法?？蛻舳税l(fā)送包含客戶端公鑰模數(shù)的publickey 認(rèn)證請(qǐng)求給服務(wù)器端；服務(wù)器進(jìn)行檢查，如果不合法，則直接發(fā)送失敗消息，否則產(chǎn)生一個(gè) 32 字節(jié)的隨機(jī)數(shù)，按 MSB （ MostSignificant Bit，最）優(yōu)先排列成一個(gè) MP（Multiple Preci，多精度）型整數(shù)，并用客戶端的公鑰加密后向客戶端發(fā)起一個(gè)認(rèn)證；客戶端收到得到 MP 型整數(shù)，用它和會(huì)話 ID（密鑰和算法消息后用自己的私鑰協(xié)商階段生成的中間產(chǎn)物）生成消息摘要 MD5 值，把這個(gè) 16 字節(jié)的 MD5值加密后發(fā)送